#news К вопросу о том, почему с установкой Tails лучше не спешить. На недавнем хакерском соревновании Pwn2Own в джава-движке от Firefox обнаружили две критических уязвимости нулевого дня. Их уже поправили, но патч в дистрибутиве Tails появится только в следующей версии.
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
❤6🔥4
#news Интерпол арестовал предполагаемого лидера хакерской группировки SilverTerrier.
Подозреваемого задержали в Нигерии в результате операции правоохранительных органов и инфосек-компаний, в числе которых наша Group-IB. Их спецы следили за бандой африканских принцев с 2019-го года и предоставили данные, сыгравшие ключевую роль в аресте.
Группировка занималась фишингом и мошенничеством с электронной почтой, и их BEC-атаки — самая прибыльная киберпреступная стезя — скомпрометировали сотни тысяч ящиков по всему миру. Что ж, теперь писем счастья от нигерийского преступного барона будет порядком меньше.
@tomhunter
Подозреваемого задержали в Нигерии в результате операции правоохранительных органов и инфосек-компаний, в числе которых наша Group-IB. Их спецы следили за бандой африканских принцев с 2019-го года и предоставили данные, сыгравшие ключевую роль в аресте.
Группировка занималась фишингом и мошенничеством с электронной почтой, и их BEC-атаки — самая прибыльная киберпреступная стезя — скомпрометировали сотни тысяч ящиков по всему миру. Что ж, теперь писем счастья от нигерийского преступного барона будет порядком меньше.
@tomhunter
🔥9🤔1
#news Исследователи обнаружили 11 приложений для Android, собирающих конфиденциальную информацию с телефонов пользователей, включая данные копирования и вставки, номера телефонов и адреса электронной почты. Всякий раз, когда пользователь что-то копирует/вставляет, оно попадает в общий буфер обмена, который этот SDK просматривал и загружал на свои серверы. SDK принадлежат панамской фирме Measurement Systems, имеющей связи с оборонным подрядчиком в Вирджинии Vstrom Holdings, который занимается киберразведкой для правительственных агентств США.
@tomhunter
@tomhunter
🤯7😁2
#news В первых числах июня в Нижнем Новгороде пройдет конференция ЦИПР (Цифровая индустрия промышленной России). В рамках мероприятия от компании T.Hunter выступят эксперты департамента информационно-аналитических исследований Федор Ряузов и Саид Табаев по теме Цифровые жертвы: буллинг, харассмент и шантаж в сети.
Подробнее о мероприятии...
Подробнее о мероприятии...
❤5💩2
#news Google отключил кэширующие сервера двух российских провайдеров, МФТИ-Телеком и Радиосвязь.
Компании сообщили, что получили уведомления об этом только через пару дней после отключения. Связано оно, как водится, с санкциями. Это вряд ли скажется на работе наших сетей, так как у этих двух провайдеров небольшой охват. Но если вслед за ними отрубят и остальные…
Эти сервера облегчают нагрузку при прокачке контента от Гугла на 70-90 процентов. Речь, прежде всего, о YouTube. Их отключение серьёзно увеличит нагрузку на сети провайдеров, что в свою очередь приведёт к росту стоимости услуг. Кроме того, гугловская капча на российских сайтах может банально отвалиться.
@tomhunter
Компании сообщили, что получили уведомления об этом только через пару дней после отключения. Связано оно, как водится, с санкциями. Это вряд ли скажется на работе наших сетей, так как у этих двух провайдеров небольшой охват. Но если вслед за ними отрубят и остальные…
Эти сервера облегчают нагрузку при прокачке контента от Гугла на 70-90 процентов. Речь, прежде всего, о YouTube. Их отключение серьёзно увеличит нагрузку на сети провайдеров, что в свою очередь приведёт к росту стоимости услуг. Кроме того, гугловская капча на российских сайтах может банально отвалиться.
@tomhunter
😢11❤8😁3🤔2🔥1
#news Вышел ежегодный DBIR-отчёт по инфобезопасности (Data Breach Investigations Report). В принципе, за пятнадцать лет с его первой публикации мало что изменилось.
Разве что рансомварь сейчас правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года по ссылке.
@tomhunter
Разве что рансомварь сейчас правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года по ссылке.
@tomhunter
🔥8
#OSINT #DEEPFAKE Дипфейк — реалистичная подмена фото-, аудио- и видеоматериалов, созданная с помощью нейросетей. Какие есть сервисы для обнаружения дипфеков? Читаем далее:
├deepfake-detection
├Fake Profile Detector
├DFSpot-Deepfake-Recognition
├KaiCatch
├RealAI
├deepware
├Weishi
└DFSpot-Deepfake-Recognition
@tomhunter
├deepfake-detection
├Fake Profile Detector
├DFSpot-Deepfake-Recognition
├KaiCatch
├RealAI
├deepware
├Weishi
└DFSpot-Deepfake-Recognition
@tomhunter
🔥5😁1
#news Касперский рапортует о взрывном росте числа мобильных троянов. Их стали обнаруживать в два раза чаще в сравнении с тем же периодом за прошлый год.
Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Ну, лишь бы у нас этот тренд не прижился. С нашей-то коллекторской, кхм, этикой.
@tomhunter
Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Ну, лишь бы у нас этот тренд не прижился. С нашей-то коллекторской, кхм, этикой.
@tomhunter
🔥13😱3
#news Ни дня без сливов от «Яндекс.Еды». Теперь в сети огромные базы как их курьеров, так и конкурентов в зелёненьком. Имена, телефоны, почтовые ящики больше полумиллиона человек. Пароли только хешированы, и то добро.
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
😁12🔥3
#news Новая уязвимость нулевого дня в Microsoft Office не требует включённых макросов для эксплойта.
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
🔥15😱4
#news Гугл втихаря запретил использовать вычислительные мощности своего Colab’a для создания дипфейков.
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
🔥4😁3🤯1😱1💩1
#news Беды Коста-Рики на киберфронтах не закончились после атаки Conti. Сначала ЧП после их проделок, а теперь оффлайн ушла и вся компьютерная сеть системы здравоохранения. За взломом стоят злоумышленники из Hive.
Масштабы атаки пока неизвестны, она произошла только вчера — утром все принтеры в сети начали разом печатать«All your base are belong to us» случайный набор ASCII-символов. Компьютеры отключили от сети и пытаются восстановить системы.
Скорее всего, за взлом ответственны хакеры из Conti, влившиеся в Hive. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
@tomhunter
Масштабы атаки пока неизвестны, она произошла только вчера — утром все принтеры в сети начали разом печатать
Скорее всего, за взлом ответственны хакеры из Conti, влившиеся в Hive. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
@tomhunter
🔥6😢1
#news Тем временем рансомварь-методы эволюционируют и требуют на порядок меньше времени: в 2019-м году от доступа к системе до шифровки уходили 1637 часов, в 2020-м — уже всего 230. А в 2021-м злоумышленники справлялись в среднем за 92.5 часа.
Сомнительная пальма первенства принадлежит зловреду Quantum: в апреле этого года фиксировали атаки, занимавшие меньше четырёх часов. Против таких стремительных налётов рансомварь-пиратов защититься непросто. Методы противостояния им тоже совершенствуют, но пока в них есть серьёзные пробелы.
Спецы также отмечают, что торговцы доступом к взломанным сетям и рансомварщики стали сотрудничать плотнее: раньше покупателя могли искать неделями, а теперь мы имеем дело с часом на всё про всё. Эффективный тайм-менеджмент от мира киберпреступности! Подробнее с графиками по ссылке.
@tomhunter
Сомнительная пальма первенства принадлежит зловреду Quantum: в апреле этого года фиксировали атаки, занимавшие меньше четырёх часов. Против таких стремительных налётов рансомварь-пиратов защититься непросто. Методы противостояния им тоже совершенствуют, но пока в них есть серьёзные пробелы.
Спецы также отмечают, что торговцы доступом к взломанным сетям и рансомварщики стали сотрудничать плотнее: раньше покупателя могли искать неделями, а теперь мы имеем дело с часом на всё про всё. Эффективный тайм-менеджмент от мира киберпреступности! Подробнее с графиками по ссылке.
@tomhunter
🔥7
#news И вновь ни дня без сливов данных в России. В открытом доступе обнаружена база клиентов образовательной платформы Geekbrains.
Имена, адреса почты, телефоны — в базе 6 миллионов строк. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты.
Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных. В преддверии грядущего-то ужесточения закона об утечках, грозящего штрафом от оборота.
@tomhunter
Имена, адреса почты, телефоны — в базе 6 миллионов строк. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты.
Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных. В преддверии грядущего-то ужесточения закона об утечках, грозящего штрафом от оборота.
@tomhunter
😁10🔥7
Май 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. Серьёзные уязвимости в фреймворках Laravel и Spring Security, без малого полдюжины критических уязвимостей, выбивших почти десяточку по шкале CVSS 3.1, и многое другое. За подробностями добро пожаловать на наш Хабр!
❤4🔥2
#news Злоумышленники могут с лёгкостью угонять аккаунты WhatsApp с помощью переадресации звонков.
Немного социальной инженерии, звонок пользователя по MMI-коду, и последующие звонки на его телефон переадресуют на указанный номер. Дальше злоумышленнику достаточно лишь получить голосовое с кодом на перерегистрацию WhatsApp, и у него будет полный доступ к контактам и сообщениям жертвы.
Всё это сработает далеко не всегда: здесь и социнженерия, и уведомление о настройке переадресации, и смс от WhatsApp. Тем не менее, метод рабочий. Лучшей защитой здесь будет двухфакторная аутентификация. Если почему-то ещё вдруг не озаботились, вот отличный повод настроить её вообще везде.
@tomhunter
Немного социальной инженерии, звонок пользователя по MMI-коду, и последующие звонки на его телефон переадресуют на указанный номер. Дальше злоумышленнику достаточно лишь получить голосовое с кодом на перерегистрацию WhatsApp, и у него будет полный доступ к контактам и сообщениям жертвы.
Всё это сработает далеко не всегда: здесь и социнженерия, и уведомление о настройке переадресации, и смс от WhatsApp. Тем не менее, метод рабочий. Лучшей защитой здесь будет двухфакторная аутентификация. Если почему-то ещё вдруг не озаботились, вот отличный повод настроить её вообще везде.
@tomhunter
🤯6😱2🤬1
#news В самом популярном софте для корпоративных баз знаний от Atlassian обнаружена критическая уязвимость нулевого дня, которую активно используют злоумышленники.
RCE-уязвимость присутствует во многих версиях Confluence Server и Data Center, активнее всего эксплойтят 7.18.0. В ожидании патча единственным средством остаётся только отключить сервера, либо запретив скомпрометированному ПО доступ в сеть, либо вырубив его. Дело серьёзное настолько, что Агенство по кибербезопасности США потребовало у всех ведомств немедленно обрубить траффик к Atlassian-серверам.
Оно и неудивительно, с учётом того, что уязвимость активно используют китайские группировки. Старый-добрый кибершпионаж от прозорливого китайского дракона.
@tomhunter
RCE-уязвимость присутствует во многих версиях Confluence Server и Data Center, активнее всего эксплойтят 7.18.0. В ожидании патча единственным средством остаётся только отключить сервера, либо запретив скомпрометированному ПО доступ в сеть, либо вырубив его. Дело серьёзное настолько, что Агенство по кибербезопасности США потребовало у всех ведомств немедленно обрубить траффик к Atlassian-серверам.
Оно и неудивительно, с учётом того, что уязвимость активно используют китайские группировки. Старый-добрый кибершпионаж от прозорливого китайского дракона.
@tomhunter
🔥7🤯1
#news Мои коллеги из отдела расследований T.Hunter завели собственные блоги в Telegram. Не могу не приветствовать их начинание и рекомендую подписаться на @CyberScoutszametki и @volcandynamite. А те, кто живет в Москве, могут с ними встретиться 6 июня и обсудить вопросы кибердетективной деятельности на конференции «Страховое мошенничество в России…». Зарегистрироваться можно по ссылке.
@tomhunter
@tomhunter
❤8🔥3💩3
#news В России набирает популярность новой мошеннической схемы. Злоумышленники обманом получают доступ к аккаунтам абонентов сотовой связи, представляясь службой поддержки клиентов оператора. Вне зависимости от предлога результат один: мошенник просит сообщить код из SMS, чтобы подтвердить изменения. Дальше преступники настраивают переадресацию вызовов и сообщений, чтобы перехватывать аутентификационные коды для подтверждения операций. Это позволяет снять деньги с карт жертвы, оформить на неё кредиты, подписаться на платные сервисы и т.д.
@tomhunter
@tomhunter
😱5❤1
#news Атаки BitB вызывают все большее беспокойство... BitB (браузер в браузере) — это новый метод фишинга, который копирует всплывающие окна, используемые для единого входа, с целью кражи учетных данных для входа. Атака использует комбинацию HTML и CSS для имитации поддельного дизайна браузера в браузере, который неотличим от настоящей страницы авторизации. Атаки BitB особенно опасны, поскольку они могут предоставить жертве законный URL-адрес на фишинговом сайте.
В мае была выявлена компания, нацеленная на финансовые учреждения и использующая фиктивную форму авторизации а-ля Office 365 (O365). Чтобы получить простое представление о том, как работает атака BitB, можно изучить следующие статью и репозиторий. Поскольку атака основана на коде HTML, ее трудно обнаружить и трудно создать индикатор компрометации (IOC). Один из возможных способов обнаружения — проверить, может ли всплывающее окно SSO выйти за пределы браузера.
@tomhunter
В мае была выявлена компания, нацеленная на финансовые учреждения и использующая фиктивную форму авторизации а-ля Office 365 (O365). Чтобы получить простое представление о том, как работает атака BitB, можно изучить следующие статью и репозиторий. Поскольку атака основана на коде HTML, ее трудно обнаружить и трудно создать индикатор компрометации (IOC). Один из возможных способов обнаружения — проверить, может ли всплывающее окно SSO выйти за пределы браузера.
@tomhunter
🔥7😁1💩1
#news Федор Ряузов и Саид Табаев выступили в панельной дискуссии о кибербуллинге и кибершантаже и поделились своими впечатлениями. По их словам, ожидали, что будет «лебедь, рак, да щука» в силу разницы направлений спикеров. Однако, по результатам спикеры пришли к общему консенсусу. Радует также, что разговор был интенсивным и разноплановым, и сам факт того, что такие современные темы и острые вопросы были затронуты — это шаг в правильном направлении.
В 2022 году ЦИПР объединил в себе бизнес-форум и выставочное пространство, где компании представили свои новые разработки и концептуальные решения: роботы-охранники с модулями обнаружения газа, дроны с алгоритмом облета периметра, электронные стетоскопы, VR программа реабилитации после инсульта, VR симуляторы работы с тяжелой техникой и многое другое.
Эксперты департамента информационно-аналитических исследований T.Hunter отметили, что в целом мероприятие было насыщенным, актуальным, полезным.
▶️ https://youtu.be/f1v_o5bmVrY
@tomhunter
В 2022 году ЦИПР объединил в себе бизнес-форум и выставочное пространство, где компании представили свои новые разработки и концептуальные решения: роботы-охранники с модулями обнаружения газа, дроны с алгоритмом облета периметра, электронные стетоскопы, VR программа реабилитации после инсульта, VR симуляторы работы с тяжелой техникой и многое другое.
Эксперты департамента информационно-аналитических исследований T.Hunter отметили, что в целом мероприятие было насыщенным, актуальным, полезным.
▶️ https://youtu.be/f1v_o5bmVrY
@tomhunter
❤8