This media is not supported in your browser
VIEW IN TELEGRAM
1️⃣ проводить мониторинг информационного поля в Telegram
2️⃣ обеспечивать конфиденциальность при использовании мессенджера
3️⃣ устанавливать личность пользователей Telegram
4️⃣ идентифицировать администраторов Telegram-сообществ
5️⃣ конструировать боты-ловушки и использовать специализированные программы для проведения исследований
📖 Получение криминалистически значимой информации из мессенджера Telegram: практическое пособие — Москва: Московская Академия СК России
📖 Организация расследования заведомо ложных сообщений об актах терроризма — Москва: АУ МВД России
📖 Сбор и анализ цифровых следов преступления: практическое пособие — СПб: Издательство Санкт-Петербургской академии Следственного комитета
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡15❤9🔥2💩2🤬1💯1
#news Идёт активный эксплойт критической уязвимости в TeamCity от JetBrains. Раскрытую в понедельник CVE-2024-27198 на обход аутентификации начали простукивать уже в первые часы. И спустя пару дней эксплуатация приняла впечатляющие масштабы с серьёзным потенциалом под атаки на цепочку поставок — на серверах проды.
В сети насчитали чуть больше 1,700 серверов без патча и около 1,500 уже скомпрометированы. На последних всплыли от 3 до 300 новых юзеров с админками. Большая часть уязвимых серверов в Германии, США и России. Мы на почётном третьем месте в списках как по числу отсутствующих фиксов, так и компрометаций — примерно по двести серверов в каждом. Так что если у тебя, дорогой читатель, есть запылившийся TeamCity-сервак и ты ждал знака, это он. Пришло время накатывать патчи.
@tomhunter
В сети насчитали чуть больше 1,700 серверов без патча и около 1,500 уже скомпрометированы. На последних всплыли от 3 до 300 новых юзеров с админками. Большая часть уязвимых серверов в Германии, США и России. Мы на почётном третьем месте в списках как по числу отсутствующих фиксов, так и компрометаций — примерно по двести серверов в каждом. Так что если у тебя, дорогой читатель, есть запылившийся TeamCity-сервак и ты ждал знака, это он. Пришло время накатывать патчи.
@tomhunter
😁12🔥4🤯2❤1
#digest Последний зимний месяц отгремел, так что подводим его итоги. Главным событием, безусловно, стал масштабный перехват инфраструктуры LockBit, нанёсший группировке удар, от которого у неё немного шансов оправиться. BlackCat также наделала шуму в США, положив платёжную систему в здравоохранении, что вылилось в экзит-скам и уход группировки с рансомварь-сцены в начале марта.
Помимо этого, февраль отметился редким зверем — масштабной утечкой внутренней кухни китайской ИБ-фирмы i-SOON, крупным взломом AnyDesk и парой громких киберпреступных имён в контексте их судебных дел. Об этом и других горячих ИБ- событиях самого холодного месяца года читайте на нашем Хабре!
@tomhunter
Помимо этого, февраль отметился редким зверем — масштабной утечкой внутренней кухни китайской ИБ-фирмы i-SOON, крупным взломом AnyDesk и парой громких киберпреступных имён в контексте их судебных дел. Об этом и других горячих ИБ- событиях самого холодного месяца года читайте на нашем Хабре!
@tomhunter
❤4🔥3🎉1
#news Согласно новому отчёту ФБР, в прошлом году американцы потеряли рекордные $12,5 миллиардов из-за киберпреступлений. Тренд на рост числа зарегистрированных случаев продолжается с 2019-го: в прошлом году их стало на 10% больше, финансовые же потери выросли на 22%. При этом отчёт строится только на известных кейсах, а реальные суммы потерь выше.
Четыре столпа киберпреступлений: как обычно, BEC-атаки, мошенничество с инвестициями, рансомварь и мошенничество с техподдержкой. Одни только криптоскамы обошлись американцам в 2023-м почти в $4 миллиарда. По рансомвари же в топе были LockBit с 175 атаками и BlackCat c 100 зарегистрированных, за ними плетутся Akira, Royal и Black Basta. Интересно взглянуть, что из себя будут представлять первые пара кварталов года в плане атак после последних событий с топовыми группировками. И кто попытается переманить к себе их недовольных партнёров и занять вакантные места на вершине.
@tomhunter
Четыре столпа киберпреступлений: как обычно, BEC-атаки, мошенничество с инвестициями, рансомварь и мошенничество с техподдержкой. Одни только криптоскамы обошлись американцам в 2023-м почти в $4 миллиарда. По рансомвари же в топе были LockBit с 175 атаками и BlackCat c 100 зарегистрированных, за ними плетутся Akira, Royal и Black Basta. Интересно взглянуть, что из себя будут представлять первые пара кварталов года в плане атак после последних событий с топовыми группировками. И кто попытается переманить к себе их недовольных партнёров и занять вакантные места на вершине.
@tomhunter
❤3🔥3🤔1🤯1🎉1🤡1
#news Ни дня без визита вездесущих русских хакеров в системы Microsoft: компания в очередной раз сообщила об инциденте. По следам взлома легаси-аккаунта в январе Midnight Blizzard добралась до систем посвежее. В ход пошли секреты, вытянутые из почты в прошлой атаке.
Хакеры получили доступ к некоторым исходникам и внутренним системам Microsoft. Какие секреты вытянули из почты, не уточняют, но, видимо, токены, ключи API и логины с паролями. Кроме того, Midnight Blizzard брутфорсит аккаунты распылением паролей, активность в феврале по этой части скакнула в 10 раз в сравнении с предыдущим месяцем. По следам заполнения формы 8-K для провинившихся ИБ-мальчиков в Microsoft сообщили комиссии, что усилили работу над безопасностью и борьбой с APT-угрозами. Видимо, усилия пока не особо помогают. Что ж, дорогу осилит идущий.
@tomhunter
Хакеры получили доступ к некоторым исходникам и внутренним системам Microsoft. Какие секреты вытянули из почты, не уточняют, но, видимо, токены, ключи API и логины с паролями. Кроме того, Midnight Blizzard брутфорсит аккаунты распылением паролей, активность в феврале по этой части скакнула в 10 раз в сравнении с предыдущим месяцем. По следам заполнения формы 8-K для провинившихся ИБ-мальчиков в Microsoft сообщили комиссии, что усилили работу над безопасностью и борьбой с APT-угрозами. Видимо, усилия пока не особо помогают. Что ж, дорогу осилит идущий.
@tomhunter
😁6🔥5🤡3
#news Восстановление систем Change Healthcare в США после атаки BlackCat идёт, мягко говоря, неспешно: часть сумели поднять, но три недели спустя после атаки. Переводы платежей обещают постепенно включить с середины месяца. Систему счетов для страховых компаний начнут тестировать на предмет пульса 18 марта.
Под работу последней подняли временные решения и настойчиво рекомендуют подключать их сейчас и оставить для резерва. Потому как даты восстановления сильно приблизительные. В общем, кроме как полной катастрофой последствия атаки не назовёшь — BlackCat ушли со сцены ярко. Ну а у нас хороший пример, как объяснить далёкому от инфобеза человеку важность своей работы. Потому как без толковой ИБ российские киберпреступники, обиженные на ФБР, нечаянно ломают вообще всё, и медсектор на другом континенте сыпется под горестные вопли про «Самый значимый и масштабный киберинцидент в истории здравоохранения США».
@tomhunter
Под работу последней подняли временные решения и настойчиво рекомендуют подключать их сейчас и оставить для резерва. Потому как даты восстановления сильно приблизительные. В общем, кроме как полной катастрофой последствия атаки не назовёшь — BlackCat ушли со сцены ярко. Ну а у нас хороший пример, как объяснить далёкому от инфобеза человеку важность своей работы. Потому как без толковой ИБ российские киберпреступники, обиженные на ФБР, нечаянно ломают вообще всё, и медсектор на другом континенте сыпется под горестные вопли про «Самый значимый и масштабный киберинцидент в истории здравоохранения США».
@tomhunter
🔥4❤2🤯1
#news К вопросу чести среди воров и громких экзит-скамов. Один наркомаркет в даркнете на днях провернул последний, и пользователи платформы лишились миллионов долларов на счетах. Но на этом владельцы не остановились и выдали ещё один неприятный сюрприз. Вкратце, «У нас ваши сообщения, транзакции и история заказов, с вас $100-20,000, или сольём всё органам. Да, это вымогательство!»
Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам вскоре предложат удалить свои данные из базы. В общем, наркомаркет знакомится с методами рансомварь-сцены, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, мои маленькие любители мефедрона?
@tomhunter
Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам вскоре предложат удалить свои данные из базы. В общем, наркомаркет знакомится с методами рансомварь-сцены, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, мои маленькие любители мефедрона?
@tomhunter
😁21🔥4🤯4🤡1
#news ЦРУ анонсировало новую стратегию по работе с информацией из открытых источников. Иными словами, американская разведка официально признала растущую важность OSINT’a. И теперь у красноглазых аутистов, по тени от веток дерева и столбу на горизонте определяющих ход боевых действий с точностью до градуса, появится возможность делать это прямиком из Лэнгли.
В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.
@tomhunter
В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.
@tomhunter
❤6😁5🤡4🔥3
#news Приход любимого криптокошелька на любимую же яблочную платформу — радостное событие для многих юзеров. Но не для пользователей Leather wallet: приложение в Apple App Store оказалось криптодрейнером.
Огоньку событию добавило то, что версии под iOS у кошелька попросту нет. Но по версии злоумышленников под ником LetalComRu была. И такие пользователи как Aquala Leemingtutwbtqx и Quintez Peltzerijgtehlg даже поставили ему пять звёзд — как тут не скачать. И теперь сеть полнится репортами лишившихся своих цифровых монеток и дорогих сердечку картинок с обезьянками. Один бедолага потерял $120 тысяч в STX. Возможно, успех аферы как-то связан с тем, что криптодрейнер провисел в магазине приложений больше двух недель и больше недели после того, как разработчик Leather wallet сообщил о нём в Apple. И удалили его только после шумихи в новостях. Но это неточно.
@tomhunter
Огоньку событию добавило то, что версии под iOS у кошелька попросту нет. Но по версии злоумышленников под ником LetalComRu была. И такие пользователи как Aquala Leemingtutwbtqx и Quintez Peltzerijgtehlg даже поставили ему пять звёзд — как тут не скачать. И теперь сеть полнится репортами лишившихся своих цифровых монеток и дорогих сердечку картинок с обезьянками. Один бедолага потерял $120 тысяч в STX. Возможно, успех аферы как-то связан с тем, что криптодрейнер провисел в магазине приложений больше двух недель и больше недели после того, как разработчик Leather wallet сообщил о нём в Apple. И удалили его только после шумихи в новостях. Но это неточно.
@tomhunter
🔥7😁6🤔1
This media is not supported in your browser
VIEW IN TELEGRAM
1️⃣ собирать информацию о криптовалютах и их владельцах
2️⃣ отслеживать транзакции в блокчейн-сетях
3️⃣ взаимодействовать с регуляторами и финансовыми институтами
4️⃣ использовать различные программные продукты для исследования ЦФА
5️⃣ приемам анонимизации транзакций криптовалют
📖 Установление владельцев криптовалютных кошельков при расследовании преступлений в сфере незаконного оборота наркотических средств: учебное пособие — Москва: АУ МВД России
📖 Установление личности владельцев цифровой валюты: методологические основы — Москва: АУ МВД России
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥5😁2💯2
#news Согласно свежему отчёту, пользователи Гитхаба по неосторожности выложили в открытый доступ 12,8 миллионов секретов за 2023-й год. Три миллиона репозиториев с API-ключами, сертификатами, ключами шифрования, данными доступа от облаков, OAuth-токенами и прочим. И большинство — 91,6 процента — были валидны спустя пять дней после публикации.
Негативный тренд с каждым годом продолжается: так, в 2022-м юзеры выложили 10 миллионов секретов. В топе, очевидно, айтишечка — 65,9% от утечек. А кто по-прежнему на первом месте по сливам? Конечно же, Индия. Между тем только 1,8% разрабов, которым сообщили об утёкших секретах, оперативно это поправили. Поможет ли рассеянным индусским и не только кодерам включённая на днях Гитхабом по умолчанию защита git push от утечки секретов? Узнаем в следующем году.
@tomhunter
Негативный тренд с каждым годом продолжается: так, в 2022-м юзеры выложили 10 миллионов секретов. В топе, очевидно, айтишечка — 65,9% от утечек. А кто по-прежнему на первом месте по сливам? Конечно же, Индия. Между тем только 1,8% разрабов, которым сообщили об утёкших секретах, оперативно это поправили. Поможет ли рассеянным индусским и не только кодерам включённая на днях Гитхабом по умолчанию защита git push от утечки секретов? Узнаем в следующем году.
@tomhunter
😁10🤔2🔥1😢1
#news Новость в копилку локбитовского «Всё идёт по плану»: Михаила Васильева приговорили к четырём годам и штрафу в $860 тысяч в Канаде. Арестованный в октябре 2022-го гражданин России и Канады проходил по документам как ключевой член группировки. Считается, что он был причастен к тысяче атак LockBit в 2021-м и 2022-м годах.
На этом приключения Васильева не заканчиваются: ему грозит экстрадиция в Штаты и дополнительные обвинения, где четыре года легко превратятся во все двадцать. Что расскажет ФБР, предположительно, ключевой член LockBit, чтобы избежать драконовского срока — вопрос на $10 миллионов. Ну а что касается натужного возвращения группировки к трудовым рансомварь-будням, здесь краткий анализ их блога со «свежими» сливами. Спойлер: из 63 записей 31 из 2023-го, 7 до перехвата серверов, а 3 и вовсе из 2022-го. Семена рансомвари дают бурный рост, а выкуп — это праздник! Или нет.
@tomhunter
На этом приключения Васильева не заканчиваются: ему грозит экстрадиция в Штаты и дополнительные обвинения, где четыре года легко превратятся во все двадцать. Что расскажет ФБР, предположительно, ключевой член LockBit, чтобы избежать драконовского срока — вопрос на $10 миллионов. Ну а что касается натужного возвращения группировки к трудовым рансомварь-будням, здесь краткий анализ их блога со «свежими» сливами. Спойлер: из 63 записей 31 из 2023-го, 7 до перехвата серверов, а 3 и вовсе из 2022-го. Семена рансомвари дают бурный рост, а выкуп — это праздник! Или нет.
@tomhunter
❤5😁3🔥2
#news По следам раскрытия уязвимости в TeamCity производитель и ИБ-фирма продолжают перекидываться обвинениями. На одной стороне JetBrains, утверждающая, что всё делала по нормам раскрытия уязвимостей. На другой, Rapid7, стучащая по своей табличке «Rapid7 следует своей политике раскрытия».
Напомню, политика у них звучит как: «Если мы поймаем вас за тихим выкатыванием патчей, мы сольём всё, что у нас есть по уязвимости». Так и произошло. Безопасники опубликовали инфу по CVE вместе с проверкой концепции для скрипт-кидди. И уже через несколько часов пошли рансомварь-атаки по пользователям TeamCity. Крайними, как обычно, оказались админы, которые мирно спали, пока JetBrains с Rapid7 не смогли договориться о координированном раскрытии. И теперь, чертыхаясь, достают свои сервера из чьих-то ботнетов, а кто и бэкапы зашифрованных файлов. В общем, хороший пример того, почему ИБ-сообщество работает в порядке сотрудничества на максималках. Иначе получается полный бардак.
@tomhunter
Напомню, политика у них звучит как: «Если мы поймаем вас за тихим выкатыванием патчей, мы сольём всё, что у нас есть по уязвимости». Так и произошло. Безопасники опубликовали инфу по CVE вместе с проверкой концепции для скрипт-кидди. И уже через несколько часов пошли рансомварь-атаки по пользователям TeamCity. Крайними, как обычно, оказались админы, которые мирно спали, пока JetBrains с Rapid7 не смогли договориться о координированном раскрытии. И теперь, чертыхаясь, достают свои сервера из чьих-то ботнетов, а кто и бэкапы зашифрованных файлов. В общем, хороший пример того, почему ИБ-сообщество работает в порядке сотрудничества на максималках. Иначе получается полный бардак.
@tomhunter
😁6💯3🔥2
#news И вновь к громким судебным делам: гражданин России и Швеции Роман Стерлингов был признан виновным по делу Bitcoin Fog, самого долгоиграющего криптомиксер даркнета и любимчика наркомаркетов. Он был активен с 2011-го по 2021-й, через него прошли 1,2 миллиона битков, что на момент транзакций составляло около $400 миллионов.
По делу Стерлингов проходит как оператор криптомиксера. Защита, судя по всему, строится на том, что он был рядовым шифропанком, который просто пользовался Bitcoin Fog приватности ради, а анализ транзакций на блокчейне недостаточно убедителен, чтобы признать его владельцем. Тем не менее, по всем обвинениям Стерлингов признан виновным, ему грозит до 20 лет. Такой вот невесёлый привет от пионеров криптомикса его продолжателям: другой Roman S. — Роман Шторм — предстанет перед судом в сентябре как разработчик Tornado Cash.
@tomhunter
По делу Стерлингов проходит как оператор криптомиксера. Защита, судя по всему, строится на том, что он был рядовым шифропанком, который просто пользовался Bitcoin Fog приватности ради, а анализ транзакций на блокчейне недостаточно убедителен, чтобы признать его владельцем. Тем не менее, по всем обвинениям Стерлингов признан виновным, ему грозит до 20 лет. Такой вот невесёлый привет от пионеров криптомикса его продолжателям: другой Roman S. — Роман Шторм — предстанет перед судом в сентябре как разработчик Tornado Cash.
@tomhunter
😢4🔥3💩1
#news Во Франции утекли данные центра занятости, причём утекли масштабно: на 43 миллиона человек за последние двадцать лет. ФИО, даты рождения, соцномера, почты, адреса и телефоны.
Атака примечательна тем, что это новый антирекорд утечек для страны: предыдущая крупная была на 33 миллиона человек после взлома двух поставщиков в сфере здравоохранения, причём произошла она всего месяц назад. А теперь и этот слив пойдёт в потенциальную «Мать всех французских утечек», в базе которой найдётся всего понемногу на каждого. В общем, Франция подтягивается под российские стандарты утечек данных на граждан. Нам к пустяковым цифрам вроде 43 миллионов уже не привыкать, а для Франции — это две трети жителей.
@tomhunter
Атака примечательна тем, что это новый антирекорд утечек для страны: предыдущая крупная была на 33 миллиона человек после взлома двух поставщиков в сфере здравоохранения, причём произошла она всего месяц назад. А теперь и этот слив пойдёт в потенциальную «Мать всех французских утечек», в базе которой найдётся всего понемногу на каждого. В общем, Франция подтягивается под российские стандарты утечек данных на граждан. Нам к пустяковым цифрам вроде 43 миллионов уже не привыкать, а для Франции — это две трети жителей.
@tomhunter
😁8🔥2💯1
#news Потайная гроза всех любителей халявного софта, рансомварь STOP, обзавелась свежей версией. Названный StopCrypt, вредонос теперь может похвастаться исполнение в несколько этапов и обходом обнаружения.
С 2018-го код STOP особых изменений не претерпевал, разработчики шевелились только в критические моменты — например, когда к вредоносу выкладывали декриптор. Так что его обновление в таком ключе рядовому пользователю ничего хорошего не сулит. На BleepingComputer тред с жалобами на STOP перевалил уже за 800 страниц. Добьёт ли новая версия его до тысячи? Озаботятся ли когда-нибудь федералы ловлей операторов, уже шесть лет шифрующих безобидного юзера вместо большого бизнеса? Вопросы-вопросы. Подробнее о новой версии в отчёте.
@tomhunter
С 2018-го код STOP особых изменений не претерпевал, разработчики шевелились только в критические моменты — например, когда к вредоносу выкладывали декриптор. Так что его обновление в таком ключе рядовому пользователю ничего хорошего не сулит. На BleepingComputer тред с жалобами на STOP перевалил уже за 800 страниц. Добьёт ли новая версия его до тысячи? Озаботятся ли когда-нибудь федералы ловлей операторов, уже шесть лет шифрующих безобидного юзера вместо большого бизнеса? Вопросы-вопросы. Подробнее о новой версии в отчёте.
@tomhunter
😁3❤2🔥2