#news В софте TeamCity от JetBrains выявили две уязвимости на обход аутентификации, позволяющие злоумышленнику перехватить контроль над сервером. Подмена HTTPS-сертификата, MiTM-атаки, задел под атаки на цепочку поставок и прочие радости. Эксплойт пошёл уже в первые часы после релиза информации о CVE.
Между тем JetBrains попала под раздачу от Rapid7, сообщившей им об уязвимостях. Как сообщают в последней, со совместным пресс-релизом как-то не сложилось, и в JetBrains после недели тишины тихонько исправили баги, забыв опубликовать данные по ним и сообщить исследователям. После письма из Rapid7 инфу по всё же выложили, но на вопросы по забытому CVD отмалчиваются. В общем, либо заботились о юзере во избежание скорых эксплойтов, либо просто забили на CVD и не хотели лишнего внимания после только исправленной в феврале другой критической уязвимости. Кому какой вариант больше по вкусу.
@tomhunter
Между тем JetBrains попала под раздачу от Rapid7, сообщившей им об уязвимостях. Как сообщают в последней, со совместным пресс-релизом как-то не сложилось, и в JetBrains после недели тишины тихонько исправили баги, забыв опубликовать данные по ним и сообщить исследователям. После письма из Rapid7 инфу по всё же выложили, но на вопросы по забытому CVD отмалчиваются. В общем, либо заботились о юзере во избежание скорых эксплойтов, либо просто забили на CVD и не хотели лишнего внимания после только исправленной в феврале другой критической уязвимости. Кому какой вариант больше по вкусу.
@tomhunter
😁4🔥3❤1
#news Дамы и господа от мира ИБ, ставки по BlackCat больше не принимаются, ставок больше нет. Группировка провернула экзит-скам и свалила в закат с деньгами партнёров. И, конечно же, обвинила в произошедшем федералов. Дотянулась кровавая рука ФБР до простых трудяг энкриптора. Как по нотам. Но всё равно забавно.
Подождите, креативность на этом не закончилась. На сайте с утечками группировка даже не поленилась вывесить фейковую заглушку из архива. В NCA и Европоле задумчиво на неё поглядели и сообщили, что никакого отношения к этому не имеют. ФБР от комментариев воздержалось. В общем, сервера отключены, деньги пропали, исходники выставлены на продажу за $5 миллионов, операция свернулась. GG, всего хорошего, и спасибо за инфоповоды. Остаётся надеяться, что желающих работать под новым брендом не найдётся. Хотя о чём это я. Необучаемые же.
@tomhunter
Подождите, креативность на этом не закончилась. На сайте с утечками группировка даже не поленилась вывесить фейковую заглушку из архива. В NCA и Европоле задумчиво на неё поглядели и сообщили, что никакого отношения к этому не имеют. ФБР от комментариев воздержалось. В общем, сервера отключены, деньги пропали, исходники выставлены на продажу за $5 миллионов, операция свернулась. GG, всего хорошего, и спасибо за инфоповоды. Остаётся надеяться, что желающих работать под новым брендом не найдётся. Хотя о чём это я. Необучаемые же.
@tomhunter
😁6🎉3💯3💩2
#news К слову, о последней громкой атаке BlackCat. Обвал медицинского сектора по следам отключения систем Change Healthcare всё продолжается. Дошло до того, что пришлось вмешаться правительству США — довольно редкий прецедент. И яркий пример того, почему не надо гнать все транзакции через одного поставщика: по цепочке посыпалась все инфраструктура платежей в здравоохранении.
Пока правительство облегчило условия провода платежей для затронутых компаний и рекомендует выделить финансирование для особо пострадавших. В общем, декабрьская бравада BlackCat «Ну сейчас мы положим вашу критическую инфраструктуру» вышла им боком. Положили. И теперь резко залегают на дно. Иными словами, инцидент с Colonial Pipeline в 2021-м BlackCat ничему не научил. Либо так, либо пробивший потолок биток навеял мечты о безбедном выходе на пенсию. Причём навеял, возможно, не столько админам BlackCat. Но это уже спекуляции.
@tomhunter
Пока правительство облегчило условия провода платежей для затронутых компаний и рекомендует выделить финансирование для особо пострадавших. В общем, декабрьская бравада BlackCat «Ну сейчас мы положим вашу критическую инфраструктуру» вышла им боком. Положили. И теперь резко залегают на дно. Иными словами, инцидент с Colonial Pipeline в 2021-м BlackCat ничему не научил. Либо так, либо пробивший потолок биток навеял мечты о безбедном выходе на пенсию. Причём навеял, возможно, не столько админам BlackCat. Но это уже спекуляции.
@tomhunter
❤2🤔2🤯2
This media is not supported in your browser
VIEW IN TELEGRAM
1️⃣ проводить мониторинг информационного поля в Telegram
2️⃣ обеспечивать конфиденциальность при использовании мессенджера
3️⃣ устанавливать личность пользователей Telegram
4️⃣ идентифицировать администраторов Telegram-сообществ
5️⃣ конструировать боты-ловушки и использовать специализированные программы для проведения исследований
📖 Получение криминалистически значимой информации из мессенджера Telegram: практическое пособие — Москва: Московская Академия СК России
📖 Организация расследования заведомо ложных сообщений об актах терроризма — Москва: АУ МВД России
📖 Сбор и анализ цифровых следов преступления: практическое пособие — СПб: Издательство Санкт-Петербургской академии Следственного комитета
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡15❤9🔥2💩2🤬1💯1
#news Идёт активный эксплойт критической уязвимости в TeamCity от JetBrains. Раскрытую в понедельник CVE-2024-27198 на обход аутентификации начали простукивать уже в первые часы. И спустя пару дней эксплуатация приняла впечатляющие масштабы с серьёзным потенциалом под атаки на цепочку поставок — на серверах проды.
В сети насчитали чуть больше 1,700 серверов без патча и около 1,500 уже скомпрометированы. На последних всплыли от 3 до 300 новых юзеров с админками. Большая часть уязвимых серверов в Германии, США и России. Мы на почётном третьем месте в списках как по числу отсутствующих фиксов, так и компрометаций — примерно по двести серверов в каждом. Так что если у тебя, дорогой читатель, есть запылившийся TeamCity-сервак и ты ждал знака, это он. Пришло время накатывать патчи.
@tomhunter
В сети насчитали чуть больше 1,700 серверов без патча и около 1,500 уже скомпрометированы. На последних всплыли от 3 до 300 новых юзеров с админками. Большая часть уязвимых серверов в Германии, США и России. Мы на почётном третьем месте в списках как по числу отсутствующих фиксов, так и компрометаций — примерно по двести серверов в каждом. Так что если у тебя, дорогой читатель, есть запылившийся TeamCity-сервак и ты ждал знака, это он. Пришло время накатывать патчи.
@tomhunter
😁12🔥4🤯2❤1
#digest Последний зимний месяц отгремел, так что подводим его итоги. Главным событием, безусловно, стал масштабный перехват инфраструктуры LockBit, нанёсший группировке удар, от которого у неё немного шансов оправиться. BlackCat также наделала шуму в США, положив платёжную систему в здравоохранении, что вылилось в экзит-скам и уход группировки с рансомварь-сцены в начале марта.
Помимо этого, февраль отметился редким зверем — масштабной утечкой внутренней кухни китайской ИБ-фирмы i-SOON, крупным взломом AnyDesk и парой громких киберпреступных имён в контексте их судебных дел. Об этом и других горячих ИБ- событиях самого холодного месяца года читайте на нашем Хабре!
@tomhunter
Помимо этого, февраль отметился редким зверем — масштабной утечкой внутренней кухни китайской ИБ-фирмы i-SOON, крупным взломом AnyDesk и парой громких киберпреступных имён в контексте их судебных дел. Об этом и других горячих ИБ- событиях самого холодного месяца года читайте на нашем Хабре!
@tomhunter
❤4🔥3🎉1
#news Согласно новому отчёту ФБР, в прошлом году американцы потеряли рекордные $12,5 миллиардов из-за киберпреступлений. Тренд на рост числа зарегистрированных случаев продолжается с 2019-го: в прошлом году их стало на 10% больше, финансовые же потери выросли на 22%. При этом отчёт строится только на известных кейсах, а реальные суммы потерь выше.
Четыре столпа киберпреступлений: как обычно, BEC-атаки, мошенничество с инвестициями, рансомварь и мошенничество с техподдержкой. Одни только криптоскамы обошлись американцам в 2023-м почти в $4 миллиарда. По рансомвари же в топе были LockBit с 175 атаками и BlackCat c 100 зарегистрированных, за ними плетутся Akira, Royal и Black Basta. Интересно взглянуть, что из себя будут представлять первые пара кварталов года в плане атак после последних событий с топовыми группировками. И кто попытается переманить к себе их недовольных партнёров и занять вакантные места на вершине.
@tomhunter
Четыре столпа киберпреступлений: как обычно, BEC-атаки, мошенничество с инвестициями, рансомварь и мошенничество с техподдержкой. Одни только криптоскамы обошлись американцам в 2023-м почти в $4 миллиарда. По рансомвари же в топе были LockBit с 175 атаками и BlackCat c 100 зарегистрированных, за ними плетутся Akira, Royal и Black Basta. Интересно взглянуть, что из себя будут представлять первые пара кварталов года в плане атак после последних событий с топовыми группировками. И кто попытается переманить к себе их недовольных партнёров и занять вакантные места на вершине.
@tomhunter
❤3🔥3🤔1🤯1🎉1🤡1
#news Ни дня без визита вездесущих русских хакеров в системы Microsoft: компания в очередной раз сообщила об инциденте. По следам взлома легаси-аккаунта в январе Midnight Blizzard добралась до систем посвежее. В ход пошли секреты, вытянутые из почты в прошлой атаке.
Хакеры получили доступ к некоторым исходникам и внутренним системам Microsoft. Какие секреты вытянули из почты, не уточняют, но, видимо, токены, ключи API и логины с паролями. Кроме того, Midnight Blizzard брутфорсит аккаунты распылением паролей, активность в феврале по этой части скакнула в 10 раз в сравнении с предыдущим месяцем. По следам заполнения формы 8-K для провинившихся ИБ-мальчиков в Microsoft сообщили комиссии, что усилили работу над безопасностью и борьбой с APT-угрозами. Видимо, усилия пока не особо помогают. Что ж, дорогу осилит идущий.
@tomhunter
Хакеры получили доступ к некоторым исходникам и внутренним системам Microsoft. Какие секреты вытянули из почты, не уточняют, но, видимо, токены, ключи API и логины с паролями. Кроме того, Midnight Blizzard брутфорсит аккаунты распылением паролей, активность в феврале по этой части скакнула в 10 раз в сравнении с предыдущим месяцем. По следам заполнения формы 8-K для провинившихся ИБ-мальчиков в Microsoft сообщили комиссии, что усилили работу над безопасностью и борьбой с APT-угрозами. Видимо, усилия пока не особо помогают. Что ж, дорогу осилит идущий.
@tomhunter
😁6🔥5🤡3
#news Восстановление систем Change Healthcare в США после атаки BlackCat идёт, мягко говоря, неспешно: часть сумели поднять, но три недели спустя после атаки. Переводы платежей обещают постепенно включить с середины месяца. Систему счетов для страховых компаний начнут тестировать на предмет пульса 18 марта.
Под работу последней подняли временные решения и настойчиво рекомендуют подключать их сейчас и оставить для резерва. Потому как даты восстановления сильно приблизительные. В общем, кроме как полной катастрофой последствия атаки не назовёшь — BlackCat ушли со сцены ярко. Ну а у нас хороший пример, как объяснить далёкому от инфобеза человеку важность своей работы. Потому как без толковой ИБ российские киберпреступники, обиженные на ФБР, нечаянно ломают вообще всё, и медсектор на другом континенте сыпется под горестные вопли про «Самый значимый и масштабный киберинцидент в истории здравоохранения США».
@tomhunter
Под работу последней подняли временные решения и настойчиво рекомендуют подключать их сейчас и оставить для резерва. Потому как даты восстановления сильно приблизительные. В общем, кроме как полной катастрофой последствия атаки не назовёшь — BlackCat ушли со сцены ярко. Ну а у нас хороший пример, как объяснить далёкому от инфобеза человеку важность своей работы. Потому как без толковой ИБ российские киберпреступники, обиженные на ФБР, нечаянно ломают вообще всё, и медсектор на другом континенте сыпется под горестные вопли про «Самый значимый и масштабный киберинцидент в истории здравоохранения США».
@tomhunter
🔥4❤2🤯1
#news К вопросу чести среди воров и громких экзит-скамов. Один наркомаркет в даркнете на днях провернул последний, и пользователи платформы лишились миллионов долларов на счетах. Но на этом владельцы не остановились и выдали ещё один неприятный сюрприз. Вкратце, «У нас ваши сообщения, транзакции и история заказов, с вас $100-20,000, или сольём всё органам. Да, это вымогательство!»
Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам вскоре предложат удалить свои данные из базы. В общем, наркомаркет знакомится с методами рансомварь-сцены, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, мои маленькие любители мефедрона?
@tomhunter
Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам вскоре предложат удалить свои данные из базы. В общем, наркомаркет знакомится с методами рансомварь-сцены, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, мои маленькие любители мефедрона?
@tomhunter
😁21🔥4🤯4🤡1
#news ЦРУ анонсировало новую стратегию по работе с информацией из открытых источников. Иными словами, американская разведка официально признала растущую важность OSINT’a. И теперь у красноглазых аутистов, по тени от веток дерева и столбу на горизонте определяющих ход боевых действий с точностью до градуса, появится возможность делать это прямиком из Лэнгли.
В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.
@tomhunter
В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.
@tomhunter
❤6😁5🤡4🔥3
#news Приход любимого криптокошелька на любимую же яблочную платформу — радостное событие для многих юзеров. Но не для пользователей Leather wallet: приложение в Apple App Store оказалось криптодрейнером.
Огоньку событию добавило то, что версии под iOS у кошелька попросту нет. Но по версии злоумышленников под ником LetalComRu была. И такие пользователи как Aquala Leemingtutwbtqx и Quintez Peltzerijgtehlg даже поставили ему пять звёзд — как тут не скачать. И теперь сеть полнится репортами лишившихся своих цифровых монеток и дорогих сердечку картинок с обезьянками. Один бедолага потерял $120 тысяч в STX. Возможно, успех аферы как-то связан с тем, что криптодрейнер провисел в магазине приложений больше двух недель и больше недели после того, как разработчик Leather wallet сообщил о нём в Apple. И удалили его только после шумихи в новостях. Но это неточно.
@tomhunter
Огоньку событию добавило то, что версии под iOS у кошелька попросту нет. Но по версии злоумышленников под ником LetalComRu была. И такие пользователи как Aquala Leemingtutwbtqx и Quintez Peltzerijgtehlg даже поставили ему пять звёзд — как тут не скачать. И теперь сеть полнится репортами лишившихся своих цифровых монеток и дорогих сердечку картинок с обезьянками. Один бедолага потерял $120 тысяч в STX. Возможно, успех аферы как-то связан с тем, что криптодрейнер провисел в магазине приложений больше двух недель и больше недели после того, как разработчик Leather wallet сообщил о нём в Apple. И удалили его только после шумихи в новостях. Но это неточно.
@tomhunter
🔥7😁6🤔1
This media is not supported in your browser
VIEW IN TELEGRAM
1️⃣ собирать информацию о криптовалютах и их владельцах
2️⃣ отслеживать транзакции в блокчейн-сетях
3️⃣ взаимодействовать с регуляторами и финансовыми институтами
4️⃣ использовать различные программные продукты для исследования ЦФА
5️⃣ приемам анонимизации транзакций криптовалют
📖 Установление владельцев криптовалютных кошельков при расследовании преступлений в сфере незаконного оборота наркотических средств: учебное пособие — Москва: АУ МВД России
📖 Установление личности владельцев цифровой валюты: методологические основы — Москва: АУ МВД России
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥5😁2💯2
#news Согласно свежему отчёту, пользователи Гитхаба по неосторожности выложили в открытый доступ 12,8 миллионов секретов за 2023-й год. Три миллиона репозиториев с API-ключами, сертификатами, ключами шифрования, данными доступа от облаков, OAuth-токенами и прочим. И большинство — 91,6 процента — были валидны спустя пять дней после публикации.
Негативный тренд с каждым годом продолжается: так, в 2022-м юзеры выложили 10 миллионов секретов. В топе, очевидно, айтишечка — 65,9% от утечек. А кто по-прежнему на первом месте по сливам? Конечно же, Индия. Между тем только 1,8% разрабов, которым сообщили об утёкших секретах, оперативно это поправили. Поможет ли рассеянным индусским и не только кодерам включённая на днях Гитхабом по умолчанию защита git push от утечки секретов? Узнаем в следующем году.
@tomhunter
Негативный тренд с каждым годом продолжается: так, в 2022-м юзеры выложили 10 миллионов секретов. В топе, очевидно, айтишечка — 65,9% от утечек. А кто по-прежнему на первом месте по сливам? Конечно же, Индия. Между тем только 1,8% разрабов, которым сообщили об утёкших секретах, оперативно это поправили. Поможет ли рассеянным индусским и не только кодерам включённая на днях Гитхабом по умолчанию защита git push от утечки секретов? Узнаем в следующем году.
@tomhunter
😁10🤔2🔥1😢1
#news Новость в копилку локбитовского «Всё идёт по плану»: Михаила Васильева приговорили к четырём годам и штрафу в $860 тысяч в Канаде. Арестованный в октябре 2022-го гражданин России и Канады проходил по документам как ключевой член группировки. Считается, что он был причастен к тысяче атак LockBit в 2021-м и 2022-м годах.
На этом приключения Васильева не заканчиваются: ему грозит экстрадиция в Штаты и дополнительные обвинения, где четыре года легко превратятся во все двадцать. Что расскажет ФБР, предположительно, ключевой член LockBit, чтобы избежать драконовского срока — вопрос на $10 миллионов. Ну а что касается натужного возвращения группировки к трудовым рансомварь-будням, здесь краткий анализ их блога со «свежими» сливами. Спойлер: из 63 записей 31 из 2023-го, 7 до перехвата серверов, а 3 и вовсе из 2022-го. Семена рансомвари дают бурный рост, а выкуп — это праздник! Или нет.
@tomhunter
На этом приключения Васильева не заканчиваются: ему грозит экстрадиция в Штаты и дополнительные обвинения, где четыре года легко превратятся во все двадцать. Что расскажет ФБР, предположительно, ключевой член LockBit, чтобы избежать драконовского срока — вопрос на $10 миллионов. Ну а что касается натужного возвращения группировки к трудовым рансомварь-будням, здесь краткий анализ их блога со «свежими» сливами. Спойлер: из 63 записей 31 из 2023-го, 7 до перехвата серверов, а 3 и вовсе из 2022-го. Семена рансомвари дают бурный рост, а выкуп — это праздник! Или нет.
@tomhunter
❤5😁3🔥2
#news По следам раскрытия уязвимости в TeamCity производитель и ИБ-фирма продолжают перекидываться обвинениями. На одной стороне JetBrains, утверждающая, что всё делала по нормам раскрытия уязвимостей. На другой, Rapid7, стучащая по своей табличке «Rapid7 следует своей политике раскрытия».
Напомню, политика у них звучит как: «Если мы поймаем вас за тихим выкатыванием патчей, мы сольём всё, что у нас есть по уязвимости». Так и произошло. Безопасники опубликовали инфу по CVE вместе с проверкой концепции для скрипт-кидди. И уже через несколько часов пошли рансомварь-атаки по пользователям TeamCity. Крайними, как обычно, оказались админы, которые мирно спали, пока JetBrains с Rapid7 не смогли договориться о координированном раскрытии. И теперь, чертыхаясь, достают свои сервера из чьих-то ботнетов, а кто и бэкапы зашифрованных файлов. В общем, хороший пример того, почему ИБ-сообщество работает в порядке сотрудничества на максималках. Иначе получается полный бардак.
@tomhunter
Напомню, политика у них звучит как: «Если мы поймаем вас за тихим выкатыванием патчей, мы сольём всё, что у нас есть по уязвимости». Так и произошло. Безопасники опубликовали инфу по CVE вместе с проверкой концепции для скрипт-кидди. И уже через несколько часов пошли рансомварь-атаки по пользователям TeamCity. Крайними, как обычно, оказались админы, которые мирно спали, пока JetBrains с Rapid7 не смогли договориться о координированном раскрытии. И теперь, чертыхаясь, достают свои сервера из чьих-то ботнетов, а кто и бэкапы зашифрованных файлов. В общем, хороший пример того, почему ИБ-сообщество работает в порядке сотрудничества на максималках. Иначе получается полный бардак.
@tomhunter
😁6💯3🔥2