​🚀 Шифровальщик просит подписаться и оставить комментарий под видео на YouTube

Исследователи обнаружили новый тип шифровальщика, который вместо BTC просит у жертвы подписку и комментарий на одном из YouTube каналов🙂🤦‍♂️ Локер от команды GHOST CYBER TEAM требует прожать кнопку subscribe на канале с 65 подписчиками, после чего каким-то магическим образом тролли поделятся ключом для расшифровки файлов.

Остаётся неизвестным, принадлежит ли в действительности YouTube канал GHOST CYBER TEAM. С большой долей вероятности всё это смахивает на пранк.

Это не первый раз когда хакеры пытаются привлечь к себе внимание, ранее уже были известны случаи с поясами целомудрия, когда ChastityLock атаковали пользователей и блокировали их IoT-устройства, лишая владельцев возможности снять пояс или случай с nRansom, злоумышленники просили вместо криптовалюты прислать 10 фотографий в обнаженном виде.

🤹‍♂️Сегодня один из пользователей реддит опубликовал новый OSINT сервис под названием "BirdHunt" для поиска опубликованных постов на платформе Twitter с учётом привязки к географическим координатам и радиусу.

🏙🎯 Принцип работы: вам необходимо выбрать конкретную локацию (город), район, место на глобальной карте, указать нужный радиус поиска от 0 до 25км и далее при нажатии SEARCH FOR TWEETS вас перебросит в Twitter, где уже в поисковой строке автоматом пропишутся такие параметры как geocode: и радиус. Удобно пользоваться👍

🗺 Пример в Twitter:
geocode:47.37572378797617,8.5452636758383,2.8km

Добавим в коллекцию)
https://birdhunt.co/

#OSINT #Geolocation Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования данных геолокации.

├Jeffrey's (Metadata Viewer)
├pic2map (Metadata Viewer)
├exiftool (Metadata Viewer)
├mattw (YouTube)
├meedan (YouTube)
├skylens (Twitter, Youtube, Instagram, Flickr, VK и Weibu)
├vk (VK)
├photo-map (VK)
├snradar (VK)
├twitter (ex: geocode:13.08,80.27,100km)
├tigmint (Twitter)
├onemilliontweetmap (Twitter)
├birdhunt (Twitter)
├twimap (Twitter)
├geOSINT (Twitter, FourSquare, Flickr)
├osintcombine (Instagram)
├explore (Instagram)
├instmap (Instagram)
├instaloctrack (Instagram)
├whopostedwhat (Facebook)
├snapchat (SnapChat)
├@locatortlrm_bot (Telegram)
├telegram-nearby (Telegram)
├geocreepy (Framework)
├@UniversalSearchBot (Framework)
├quickgeolocationsearch (Maps Services)
└intelx (Maps Services)

@tomhunter

Отписался разработчик "BirdHunt" 🙂если у кого есть замечания, нашли баги или хотите увидеть новые фичи, напишите сюда @russian_osint_bot. Переведу и списком отправлю📲

🔥ТОП-5 горячих новостей за последние пару дней

1️⃣ Интересный и подробный пост у коллег из SecAtor о новой ransomware группировке😾ALPHV, которая претендует на cоздание своей RaaS "мета-вселенной".

2️⃣ Signal теперь сохраняет ваши 📲сообщения даже после смены номера

3️⃣👮‍♂️БСТМ заблокировали работу двух «кардерских» ресурсов «FERUMSHOP» и «SKYFRAUD»

4️⃣ От мощной кибератаки пострадал один крупнейших операторов связи 🇵🇹Vodafone Portugal. Был ли это шифровальщик, в пресс-релизе не сообщается.

5️⃣ ТАСС: Экспертиза изъятой у участников🥷🏻 хакерской группировки Lurk техники не выявила следов атак на серверы американского правительства. По заявлению источника, в ходе следствия не установлена связь между Козловским и какими-либо сотрудниками ФСБ.

🔥Поджигаем лайками
https://youtu.be/xFxQ9qqaTUU

⏳Таймкоды:
00:00 - Как ИБ специалисты защищают КИИ России
00:52 - С чего начать? - Инвентаризация
01:55 - Стандарты безопасности
02:03 - IEC 62443
02:05 - NIST Cybersecurity framework
02:17 - Почему не нужно изобретать велосипед
02:42 - Как выбивают хакеров из инфраструктуры
03:15 - В жизни бывает не по протоколу
03:46 - Атаки шифровальщиков в СНГ
04:37 - Norsk Hydro: атака шифровальщика
05:42 - Истории атак шифровальщиков в РФ
06:32 - "Сносят всё и ставят заново"
07:15 - Переключение ransomware СНГ
07:35 - Почему мало говорят о кибератаках в СМИ
08:12 - Статья 274
09:09 - Как защищаться от шифровальщиков?
11:39 - Нужно ли платить выкуп?
12:14 - Киберстрахование
13:06 - Что делать когда нет бэкапов и денег
13:49 - Разбор примера Colonial Pipeline
14:27 - Разбор Norsk Hydro
15:26 - Примеры в РФ
15:37 - Атрибуция APT
17:24 - Как следят за киберкраймом
19:12 - НКЦКИ
20:20 - Kamerka-GUI
20:39 - Интервью с Войцехом
21:23 - Прозрачная отчётность об атаках на КИИ
22:39 - С чего начать изучение защиты КИИ
23:28 - Материалы для новичков (КИИ)
24:45 - CEH
25:07 - Сертификаты
27:15 - Зарплаты ИБ: специализация КИИ
28:54 - Как выглядит рабочий день Антона?
30:35 - Во сколько заканчивается рабочий день
31:16 - Бывает ли выгорание на работе?
31:58 - Есть ли желание бросить ИБ?
33:35 - Советы по литературе
34:42 - Разница между белым ИБ и киберкраймом
36:51 - Финальный совет молодым ИБ специалистам

Главные ключи дешифрования стали доступны для жертв, пострадавших от вымогателей Maze, Egregor и Sekhmet.

Исходники были опубликованы на форуме BleepingComputer пользователем Topleak, который утверждает, что являлся кодером всех трех ransomware. Кроме того, в одном из размещенных пользователем архивов находится исходный код вредоносной ПО M0yv, которая также была частью арсенала хакеров и детектируется как Win64/Expiro.

Авторитетные исследователи Майкл Гиллеспи и Фабиан Восар подтвердили подлинность ключей и их возможность дешифровки файлов.

TopLeak сообщил, что спланированная утечка не связана с недавними действиями спецслужб и заверил, что ни одна из указанных групп не вернется к работе с ransomware, а исходный код когда-либо разработанных инструментов уничтожен.

Напомним, что Maze считалась одной из самых серьезных групп с момента начала своей деятельности в мае 2019 года. Именно с этой ransomware зародилась практика двойного вымогательства. Несмотря на то, что Maze прекратили свою деятельность в ноябре 2020 года (объявили об официальном прекращении своей деятельности), их дело продолжили Egregor, которые после арестов на Украине в феврале 2021 года исчезли с радара.

При этом исследователи установили, что исполняемый код Egregor очень похож на Sekhmet, а TTP операторов Egregor почти идентичны ProLock. Кроме того, исходный код Egregor также имеет общее сходство с Maze, которые как считается и обосновали тот самый новый бренд.

Однако теперь, все споры и предположения уже лежат в плоскости истории, а вот для жертв, которые до сих пор не могли преодолеть последствия атак, наконец-то открылась такая возможность, ведь Emsisoft даже выпустила бесплатный инструмент для расшифровки Maze, Egregor и Sekhmet.

​🕵️‍♀️ Аналитики Chainalysis оценили заработок шифровальщиков за 2021 в $602 миллиона в криптовалюте.

Аналитики предполагают, что заработки операторов в реальности могут быть ещё выше, так как не все случаи попадают в СМИ и подсчитать реальные цифры крайне сложно. Прошлый год эксперты называют “Year of Ransomware”. За три года с 2019 по 2021 средняя сумма выплат хакерам выросла с $25'000 до $118'000.

По данным аналитиков, больше всех заработали хакеры Conti, выплаты группировке составили не менее 180 миллионов долларов. Дальше по списку идут DarkSide, Phoenix Cryptolocker, Revil, Cuba, Clop, LockBit, Hive. Цифры Chainalysis аналитиков не претендуют на истину, но в целом неплохо описывают тренд ransomware последних лет.

Специалисты Chainalysis особо подчёркивают, что группировки всё чаще стали требовать выкупы в Monero от своих жертв, так как её трудно отследить. В числе стран, связанных с ransomware атаками выделяют 🇮🇷🇷🇺🇨🇳🇰🇵

Также стоит обратить внимание на обновленные данные специалистов DarkTracer, которые опубликовали статистику по количеству атак ransomware на организации, "королями" на фоне остальных сингапурцы выделают Conti, LockBit и Pysa. Maze и REvil вне игры. Пойдет ли на спад общий тренд ransomware атак в ближайшие годы? - Будем посмотреть.

https://blog.chainalysis.com/reports/2022-crypto-crime-report-preview-ransomware/

Компания Hold Security, специализирующаяся на Threat Intelligence в Dark Web утверждает, что правоохранительные органы задержали ключевых членов #Trickbot. Слухи или нет, неизвестно. Дождёмся пресс-релиза от официальных лиц.

https://nitter.net/HoldSecurity/status/1492197523120955394

OSINT исследователи создали Serverse для поиска популярных Discord серверов по ключевым словам.

https://extraction.team/serverse.html

​Как-то давно рассказывал вам об Intezer. Замечательный сервис для анализа файлов на вредоносы. Сейчас Intezer предоставляет использование premium функций бесплатно на 14 дней. Согласитесь, вдвойне приятно🙂 если вы регистрируете аккаунт не на своё имя и через временную почту)

1️⃣ Заходим https://analyze.intezer.com, далее Sign Up for Free

2️⃣ Логин/пароль, почта - https://10minutemail.com/ (любая временная почта), запоминаем user/pass!

3️⃣ Пишем любые User details, проверять данные на валидность система не будет, жмём далее-далее

4️⃣ Подтверждаем аккаунт на почте и заходим через логин/пароль

5️⃣ Вверху справа Start a Free 14-day Trial - вводим любые данные в окне, они не проверяются

6️⃣ Поздравляю, теперь у вас Premium Edition!

7️⃣ Проверка файлов до 150 МB (+ с паролем), URL (beta), Endpoint и даже Memory Dump

8️⃣ После окончания 14-day Trial повторяем процедуру заново

Халяву могут закрыть в любой момент, пользуйтесь бесплатно пока есть возможность.

🇷🇺 По данным "Лаборатории Касперского" в 2021 году в России с применением программ-шифровальщиков было атаковано почти 🩸16'000 компаний

Лаборатория Касперского сообщила об обнаружении 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всем мире в 2021. Примечательно, что локеры стали чаще использовать сборки Linux систем, чтобы увеличить поверхность атак.

"Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объемами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик", - комментирует эксперт по кибербезопасности "Лаборатории Касперского" Федор Синицын

Кто говорил, что шифровальщики не атакуют СНГ?🤔

Наверное прозвучит забавно и не так пафосно как мы привыкли. Но! Нигерийские хакеры … Да, да и такие есть, ведут активную противоправную деятельность в многолетних атаках в сфере авиации и транспорта организаций Северной Америки, Европы и Ближнего Востока.

О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).

Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.

Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.

Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.

Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.

Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.

ИБ специалист Дэн Петро из компании Bishop Fox поделился open-source тулзой под названием Unredacter, которая позволяет депикселизировать "защищенный" текст на картинке. 🙂 Это когда авторы пытаются скрыть содержимое изображения при помощи наложения пикселей поверх текста. Потестил, работает, но сразу скажу разобраться получится не у всех.

Если текст или кусок информации на изображении необходимо надежно скрыть, то лучший способ обычным мазком в paint закрасить содержимое. Именно поэтому текст в важных документах закрашивают ⬛️ чёрным цветом без всяких размытий и пикселизаций, но при этом можно забыть о красоте картинки.

https://github.com/bishopfox/unredacter

​Хакерская группа Moses Staff предположительно связанная с Ираном (но это не точно) продолжает наступательные атаки на Израильские организации. Moses Staff известна в первую очередь тем, что недавно нашумела в СМИ выложив в сеть некоторые сведения о "Подразделении 8200" радиоэлектронной разведки Израиля.

В феврале 2022 группа хакеров продолжила атаки и использовала троян удаленного доступа под названием «StrifeWater», который маскируется под приложение Windows Calculator. Подробно RAT разобрали ИБ специалисты Cybereason тут. Хакеры на своём сайте заявляют об успешных взломах: 172 серверов, 257 сайтов и получению доступа к 34 ТB цифровых данных.

🇮🇱Последние в списке жертв на сайте Moses Staff фигурируют Rafael Advanced Defense Systems, израильская компания, входящая в четвёрку крупнейших израильских фирм-экспортёров вооружений. Примечательно, что израильский гигант называет себя на русском языке лидером в сфере кибербезопасности. Rafael прокомментировали изданию Jerusalem Post утечку Moses Staff, высказав мнение, что она не представляет никакой ценности:

Rafael itself said, “This is an isolated incident involving unclassified information on the company’s external network.”

Moses Staff до недавнего времени часто выкладывали утечки в своих Telegram каналах, но один из последних постов с нелестным комментарием в адрес Павла Дурова окончательно разрушил планы хакеров. Все каналы удалены.

⚠️ Друзья, возникли технические проблемы с ботом @russian_osint_bot с начала месяца, не все сообщения доходили. Кто писал, но не получил ответа, убедительная просьба продублировать сообщения. Постараюсь всем ответить в ближайшее время!

«Когда я делал доклад в феврале 2003 года, то опирался на самую лучшую информацию, которую мне предоставило ЦРУ. Мы ее тщательно изучили и рассмотрели источники данных по мобильным лабораториям производства ОМУ, базирующимся на грузовиках и в поездах. К сожалению, со временем выяснилось, что источники были неточными и неверными, а в ряде случаев преднамеренно вводили в заблуждение. Я этим глубоко разочарован и сожалею об этом» - бывший госсекретарь США Колин Пауэлл о вторжении в Ирак

Вместо написания обвинительных постов в Twitter о DDoS атрибуции лучше бы время тратилось на переговоры и мирное урегулирование ситуации.

20k на YouTube

🥂Всем огромное спасибо за поддержку, движемся дальше! 🚀

🇷🇺 Путин официально признал ЛНР и ДНР. Исторический момент.

Понеслось

Рынок акций РФ вписал в свою историю новый "черный понедельник". Непростые времена наступили😏будем надеяться до конца на разрешение всех вопросов мирным путём🙏