#news Твич... нет, не стал героем очередной истории вида «безопасность как-нибудь сама собой обеспечится». И его даже не взломали в третий раз (напомню про первый и второй).
Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.
Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.
Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.
Твич говорит, что принял против участников схемы меры.
@tomhunter
Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.
Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.
Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.
Твич говорит, что принял против участников схемы меры.
@tomhunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil.
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
T.Hunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil. Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот…
#news Министерство финансов США объявило о санкциях против криптовалютной биржи Chatex за помощь бандам вымогателей в уклонении от санкций и содействие транзакциям с выкупом. Как и в случае с Suex, санкционируя Chatex, администрация США стремится перекрыть основной канал, используемый операциями вымогателей для сбора выкупа со своих жертв.
@tomhunter
@tomhunter
#news Министерство юстиции США сегодня объявило обвинения в адрес представителя программы-вымогателя REvil, ответственного за атаку на платформу Kaseya MSP 2 июля и конфискацию более 6 миллионов долларов у другого партнера REvil.
Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.
@tomhunter
Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.
@tomhunter
#news Своим мнением о причинах использования иностранными киберпреступниками российских серверов поделился в беседе с газетой «Известия» главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров:
«Хакерские группы прекрасно осведомлены о том, что почти любая их противоправная деятельность вместо полноценного расследования будет вызывать очередную истерию под брендом «русские хакеры атакуют», которая очень выгодна западным подрядчикам, обеспечивающим информбезопасность компаний и госорганизаций. Дела «правительственных русских хакеров» забирает ЦРУ или ФБР, у которых сложности во взаимоотношениях с российскими коллегами. Подрядчика с пониманием слегка журят за «косяки» в обеспечении безопасности. Правительство выделяет еще больше денег на обеспечение кибербезопасности. Все довольны».@tomhunter
#news У Robinhood утечка, ставшая результатом успешной социнженерии на сотрудника поддержки. Неизвестные взломщики получили около 5 миллионов электронных почт пользователей и порядка 2 миллионов настоящих имён. Для около 310 (не тысяч, а человек) слиты имя, дата рождения и индекс; ещё на 10 человек получили некие «более детальные данные».
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
#news По поводу "горячей новости" о засвете пользователями Telegram своих телефонов, могу пояснить принцип его работы...
@tomhunter
https://api.telegram.org/bot{токен_бота}/sendContact?chat_id={ваш_id}&phone_number=919876543210&first_name={отображаемое_имя}
Создаёте бота. В описании оставляете данные своего фейкового аккаунта, как аккаунт техподдержки. Выполняете код. Бот вам присылает контакт. Это сообщение отправляете жертве с сообщением "Смотри, в этом боте слили твой номер телефона, чтобы его удалить, обратись к админам со скриншотом записи". Пользователь делает скриншот, где отображается его номер телефона и отправляет вам. Это социальная инженерия. Судя по всему, уязвимость работает только на официальных клиентах под Android.@tomhunter
#news Проект Tor выпустил Tor Browser 11.0 с новым дизайном пользовательского интерфейса и удалением поддержки луковых сервисов V2. Браузер представляет собой переделку Firefox ESR, которая позволяет пользователям анонимно просматривать веб-страницы и получать доступ к специальным доменам .onion, доступным только через Tor. Наиболее значительным изменением является, давно анонсированное, прекращение поддержки луковых служб V2, означающее, что URL-адреса TOR с короткими 16-символьными именами хостов больше не поддерживаются.
@tomhunter
@tomhunter
#news Забавно-интригующий апдейт по REvil: теперь их луковые сайты (блог со сливами и сервис для выплаты выкупа), которые ранее были взломаны спецслужбами, показывают вот такую страницу с заголовком «Revil это плохо».
На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css.
Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка взломала уже взломанных хакеров?
@tomhunter
На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css.
Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка взломала уже взломанных хакеров?
@tomhunter
#news Microsoft выпустили свежий патч, устраняющий 55 уязвимостей. 6 из них — «нулевые дни», причём две активно эксплойтят хакеры: это уязвимости в Excel и Exchange.
CVE-2021-42292 — уязвимость в Экселе, позволяющая обходить внутреннюю систему безопасности: если пользователь откроет специальный зловредный файл, это позволяло провернуть через Эксель выполнение произвольного кода. Читателей-маководов прошу обратить на это особое внимание — патча под яблочную ОС пока нет, а значит, маковский Excel всё ещё уязвим.
CVE-2021-42321 — RCE-уязвимость в Exchange, затрагивающая версии от 2016 и 2019. Корень проблемы — неверная валидация cmdlet-аргументов. Для эксплойта злоумышленнику нужно быть авторизованным в системе, что немного облегчило возможный урон от неё.
Всем советую как можно быстрее обновиться, а за macOS держим кулачки и ждём Excel-патча.
@tomhunter
CVE-2021-42292 — уязвимость в Экселе, позволяющая обходить внутреннюю систему безопасности: если пользователь откроет специальный зловредный файл, это позволяло провернуть через Эксель выполнение произвольного кода. Читателей-маководов прошу обратить на это особое внимание — патча под яблочную ОС пока нет, а значит, маковский Excel всё ещё уязвим.
CVE-2021-42321 — RCE-уязвимость в Exchange, затрагивающая версии от 2016 и 2019. Корень проблемы — неверная валидация cmdlet-аргументов. Для эксплойта злоумышленнику нужно быть авторизованным в системе, что немного облегчило возможный урон от неё.
Всем советую как можно быстрее обновиться, а за macOS держим кулачки и ждём Excel-патча.
@tomhunter
#news Исследователи заметили корейский штамм вариант Пегасуса, работающий под Android.
Называется спайварь PhoneSpy. Она маскируется под лайфстайл-приложения, при этом даёт взломщикам полный доступ к заражённому устройству. Можно удалённо записывать видео и аудио с камеры и микрофона пользователя, следить за локацией, воровать СМС и чего только не. Полный список возможностей доступен в отчёте Zimperium.
Исследователи считают, что PhoneSpy используется с теми же целями, что и Пегасус. Жертвы — только южнокорейцы — уже есть, но пока не очень ясно, что у них общего и как они связаны.
@tomhunter
Называется спайварь PhoneSpy. Она маскируется под лайфстайл-приложения, при этом даёт взломщикам полный доступ к заражённому устройству. Можно удалённо записывать видео и аудио с камеры и микрофона пользователя, следить за локацией, воровать СМС и чего только не. Полный список возможностей доступен в отчёте Zimperium.
Исследователи считают, что PhoneSpy используется с теми же целями, что и Пегасус. Жертвы — только южнокорейцы — уже есть, но пока не очень ясно, что у них общего и как они связаны.
@tomhunter
#news Исследователь из ТОП-3 гугловского Bug Bounty рассказал на днях в своём блоге о критической уязвимости, которую в 2018 нашёл в GSuite (ныне переименована в Workspace). Она позволяла получить права суперпользователя в любой организации.
Чтобы получить доступ к управлению вообще всем, злоумышленнику нужно было знать лишь домен организации-жертвы и ID её GSuite. Оставалось бы немного поиграться на входе с POST-запросами, и вуаля.
Эксплойт исследователь запечатлел на видео, а о деталях рассказал в блог-посте.
Конечно, уязвимость устранили ещё в 2018, когда автор её и зарепортил. Но это один из тех случаев, когда невольно радуешься, что внимательный исследователь жажду денег и славы решил реализовывать всего-то через багбаунти-программу Гугла...
@tomhunter
Чтобы получить доступ к управлению вообще всем, злоумышленнику нужно было знать лишь домен организации-жертвы и ID её GSuite. Оставалось бы немного поиграться на входе с POST-запросами, и вуаля.
Эксплойт исследователь запечатлел на видео, а о деталях рассказал в блог-посте.
Конечно, уязвимость устранили ещё в 2018, когда автор её и зарепортил. Но это один из тех случаев, когда невольно радуешься, что внимательный исследователь жажду денег и славы решил реализовывать всего-то через багбаунти-программу Гугла...
@tomhunter
#news Тут заметили осеннюю фишинговую email-кампанию, которая нацелена на пользователей Microsoft 365. Примечательна тем, что успешно обходит антиспам-фильтры.
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
#news Госуслуги уже два дня кто-то штурмует, причём мощно. 10 ноября Минцифры говорило про атаку 680 Гб в секунду.
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
#news Помимо хакерской атаки на чат-бота Госуслуг, СМИ возопили сегодня об утечке персональных данных покупателей фейковых ПЦР-тестов. Называются цифры в районе 0,5 млн. человек. И это только по столичному региону. Не буду говорить о моральной составляющей покупателей таких "тестов".
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
#news Федеральная торговая комиссия США (FTC) поделилась руководством для малых предприятий о том, как защитить свои сети от атак программ-вымогателей, блокируя попытки злоумышленников использовать уязвимости с помощью социальной инженерии или атак на технологии таргетинга.
@tomhunter
@tomhunter
#news Троян GravityRAT снова распространяется в сети, на этот раз под видом чата со сквозным шифрованием SoSafe Chat. В 2020 году эта же вредоносная программа распространялась через приложение для Android под названием Travel Mate Pro. После установки на целевое устройство шпионское ПО может выполнять широкий спектр вредоносных действий, позволяя злоумышленникам извлекать данные, шпионить за жертвой и отслеживать ее местоположение.
@tomhunter
@tomhunter
#news Управление комиссара по защите персональных данных на Кипре взыскало штраф в размере 1 млн долларов от разведывательной компании WiSpear за сбор мобильных данных от различных лиц, прибывающих в аэропорт Ларнаки. WiSpear зарегистрирована в Лимассоле, Кипр. Возглавляется Дилианом, бывшим кадровым офицером сил обороны Израиля (IDF). Компания специализируется на предоставлении решений для непрерывного перехвата Wi-Fi и обеспечения безопасности. До WiSpear Дилан основал Circles, компанию по видеонаблюдению, которая объединилась с NSO, создателем шпионского ПО Pegasus. В настоящее время он руководит Intellexa, компанией, предоставляющей киберразведку правоохранительным органам и спецслужбам.
▶️ https://youtu.be/Tl3mpywMYFA
@tomhunter
▶️ https://youtu.be/Tl3mpywMYFA
@tomhunter
#news Серверы электронной почты Федерального бюро расследований (ФБР) были взломаны для распространения спама. Сообщения поступали с законного адреса электронной почты - eims@ic.fbi.gov - с корпоративного портала правоохранительных органов ФБР (LEEP) и содержали тему «Срочно: злоумышленник в системе». Все электронные письма приходили с IP-адреса ФБР 153.31.119.142 (mx-east-ic.fbi.gov). Электронные письма достигли не менее 100 000 почтовых ящиков.
@tomhunter
@tomhunter
#news Palo Alto Networks создала сводную таблицу, чтобы дать обзор злонамеренного использования верхних TLD (доменов верхнего уровня) для каждой категории и их совокупного распределения (CD). Чем выше CD, тем больше этот конкретный TLD используется для категории. Самым популярным доменом верхнего уровня является .com, который имеет среднее количество вредоносных доменов. Мошенники, как правило, используют его, потому что он добавляет легитимности и в целом повышает их шансы на успех. Наиболее распространенными вредоносными программами являются TLD .ga, .xyz, .cf, tk, .org и .ml.
@tomhunter
@tomhunter