#news В нескольких устаревших моделях сетевых хранилищ D-Link обнаружили серьёзную уязвимость. Комбинация из захардкоженного аккаунта и возможности инъекции команд через «system» позволяет злоумышленникам удалённо выполнять команды на устройствах.
Исследователь также опубликовал пример эксплойта, а в сети доступны более 92 тысяч уязвимых NAS-систем. Как сообщает D-Link, патчей нет и не будет: устройства давно достигли конца жизненного цикла. Более того, на них нет и фичи под доставку уведомлений и автоматических апдейтов. Так что компания ограничилась бюллетенем по безопасности, чтобы напомнить владельцам, что старые модели пора сдать в утиль — их поддержка закончилась 5-8 лет назад. Если бы владельцев этих динозавров беспокоили такие мелочи жизни, как чтение ИБ-бюллетеней, они бы, наверное, очень расстроились.
@tomhunter
Исследователь также опубликовал пример эксплойта, а в сети доступны более 92 тысяч уязвимых NAS-систем. Как сообщает D-Link, патчей нет и не будет: устройства давно достигли конца жизненного цикла. Более того, на них нет и фичи под доставку уведомлений и автоматических апдейтов. Так что компания ограничилась бюллетенем по безопасности, чтобы напомнить владельцам, что старые модели пора сдать в утиль — их поддержка закончилась 5-8 лет назад. Если бы владельцев этих динозавров беспокоили такие мелочи жизни, как чтение ИБ-бюллетеней, они бы, наверное, очень расстроились.
@tomhunter
😁6🔥3😢2
#news Microsoft тихонько выкатила в февральских обновлениях драйвер, который препятствует смене браузера по умолчанию в Windows 10 и 11. Ограничения касаются смены через софт или ручное изменение регистра.
Изменения первым заметил Кристоф Колбич, чей софт SetUserFTA и SetDefaultBrowser внезапно отвалился. Анализ показал, что UCPD[.]sys блокирует прямое редактирование ключей реестра по ассоциациям HTTP, HTTPS и PDF. Удалить драйвер не получится, но можно отключит его в реестре и обрубить задачу под его перезапуск в планировщике. Что иронично, драйвер идёт в комплекте с сырым KB5034765, и без того проблемным. В общем, теперь не только bloatware чистить, но и вот такие подарки. С чем связано нововведение, неясно. Может, защита от малвари. А может, Microsoft всё ещё злится на Mozilla за обход их кривого интерфейса в 2021-м.
@tomhunter
Изменения первым заметил Кристоф Колбич, чей софт SetUserFTA и SetDefaultBrowser внезапно отвалился. Анализ показал, что UCPD[.]sys блокирует прямое редактирование ключей реестра по ассоциациям HTTP, HTTPS и PDF. Удалить драйвер не получится, но можно отключит его в реестре и обрубить задачу под его перезапуск в планировщике. Что иронично, драйвер идёт в комплекте с сырым KB5034765, и без того проблемным. В общем, теперь не только bloatware чистить, но и вот такие подарки. С чем связано нововведение, неясно. Может, защита от малвари. А может, Microsoft всё ещё злится на Mozilla за обход их кривого интерфейса в 2021-м.
@tomhunter
🤬6😁3🔥1🤔1
#news Change Healthcare, ставшая последней (и громкой) жертвой Black Cat, столкнулась с новым вымогательством. Идёт оно от лица новой группировки RansomHub. Напомню, Change Healthcare выплатила $22 миллиона выкупа, с которыми Black Cat ушла в закат, кинув партнёра. Так что, видимо, оскорблённый в лучших чувствах злоумышленник вновь пришёл за деньгами. Тем более, как он утверждал, 4 ТБ данных компании у него сохранились, а об их «краже» заявила и RansomHub.
Что касается последних, группировка всплыла в феврале, ведёт набор на Ramp и, что интересно, скидывает выкуп на кошелёк партнёров. Очевидно, это рассчитано на рансомварщиков, которые с экзит-скама Black Cat всё ещё сидят с лицом Пикачу. Есть и теория, что это ребрендинг, но пока она выглядит сомнительной. Вероятно, просто переманивают локбитовцев и прочих обездоленных заманчивыми условиями.
@tomhunter
Что касается последних, группировка всплыла в феврале, ведёт набор на Ramp и, что интересно, скидывает выкуп на кошелёк партнёров. Очевидно, это рассчитано на рансомварщиков, которые с экзит-скама Black Cat всё ещё сидят с лицом Пикачу. Есть и теория, что это ребрендинг, но пока она выглядит сомнительной. Вероятно, просто переманивают локбитовцев и прочих обездоленных заманчивыми условиями.
@tomhunter
🔥1🤔1🤯1
#news Ожидаемо пошёл активный эксплойт цепочки уязвимостей в старых сетевых хранилищах D-Link. Вчера были замечены первые атаки, вскоре после публикаций в новостях. Заражённые устройства отправляются прямиком в ботнет, разновидность Mirai.
Среди уязвимых модели DNS-340L, DNS-320L, DNS-327L и DNS-325. Напомню, патчей нет, уведомлений нет, даже отделов, которые над ними работали, уже нет. А устройства есть, почти 100 тысяч в сети. Как и PoC под эксплойт. Так что если у тебя, дорогой читатель, где-то пылится древнее хранилище от D-Link на несколько терабайт сомнительного и не очень содержания, стоит хотя бы запоздало закинуть его под файрвол. Иначе в старичка могут вдохнуть новую жизнь, и он отправится зарабатывать копеечку для дудосеров.
@tomhunter
Среди уязвимых модели DNS-340L, DNS-320L, DNS-327L и DNS-325. Напомню, патчей нет, уведомлений нет, даже отделов, которые над ними работали, уже нет. А устройства есть, почти 100 тысяч в сети. Как и PoC под эксплойт. Так что если у тебя, дорогой читатель, где-то пылится древнее хранилище от D-Link на несколько терабайт сомнительного и не очень содержания, стоит хотя бы запоздало закинуть его под файрвол. Иначе в старичка могут вдохнуть новую жизнь, и он отправится зарабатывать копеечку для дудосеров.
@tomhunter
😁6🔥4
#news Что общего между 90 тысячами старых хранилищ от D-Link и 90 тысячами смарт-телевизоров от LG? Они доступны в сети и уязвимы к атакам. Bitdefender нашла в webOS телевизоров четыре уязвимости. Злоумышленники могут получить root-доступ на устройствах и внедрять произвольные команды.
Обновления от производителя уже доступны, но телевизионный инфобез — не та область, в которой от пользователей можно ждать оперативного накатывания апдейтов. Так что потенциально чьи-то смарт-телевизоры могут и в ботнет попасть, и заняться майнингом крипты, и открыть доступ к другим устройствам в сети владельцев. Впрочем, в основном потенциал на раскрытие новой функциональности свои телевизоров у корейцев — львиная доля уязвимых устройств стоит у них.
@tomhunter
Обновления от производителя уже доступны, но телевизионный инфобез — не та область, в которой от пользователей можно ждать оперативного накатывания апдейтов. Так что потенциально чьи-то смарт-телевизоры могут и в ботнет попасть, и заняться майнингом крипты, и открыть доступ к другим устройствам в сети владельцев. Впрочем, в основном потенциал на раскрытие новой функциональности свои телевизоров у корейцев — львиная доля уязвимых устройств стоит у них.
@tomhunter
🔥5😁4🤡1
#news Патчевый вторник от Microsoft в этом месяце бьёт рекорды: компания исправила 147 уязвимостей в своих продуктах. Крупнейший релиз как минимум с 2017-го и самый масштабный для их дня патчей.
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter
❤2🔥2🤔2
#news Шесть лет спустя после обнаружения Spectre призрак продолжает бродить по процессорам: обнаружен новый вариант атаки Spectre V2 под Linux-системы на основе многих процессоров Intel.
Очередная уязвимость вновь позволяет злоумышленникам считывать произвольные данные памяти в обход существующих механизмов защиты. В этот раз исследователям удалось обойти ограничения по изоляции уровней привилегий. Не обошлось и без нердовских шуточек: инструмент для атаки получил название InSpectre Gadget. Ну а новейшие процессоры от Intel — первый нативный эксплойт Spectre V2 под ядро Linux. Некоторые разработчики подтвердили уязвимость своих систем и работают над митигацией. Вопрос лишь в том, насколько от патчей просядет производительность в этот раз. Подробнее об атаке здесь.
@tomhunter
Очередная уязвимость вновь позволяет злоумышленникам считывать произвольные данные памяти в обход существующих механизмов защиты. В этот раз исследователям удалось обойти ограничения по изоляции уровней привилегий. Не обошлось и без нердовских шуточек: инструмент для атаки получил название InSpectre Gadget. Ну а новейшие процессоры от Intel — первый нативный эксплойт Spectre V2 под ядро Linux. Некоторые разработчики подтвердили уязвимость своих систем и работают над митигацией. Вопрос лишь в том, насколько от патчей просядет производительность в этот раз. Подробнее об атаке здесь.
@tomhunter
🔥4🤯1😢1
18 апреля в Санкт-Петербурге стартует ежегодная конференция Код ИБ. Участников ждут актуальная информация об обеспечении ИБ в современных реалиях, возможность пообщаться с ключевыми людьми инфобез-индустрии России и регуляторами, а также многое другое.
На конференции традиционно пройдут штабные киберучения для отработки навыков реагирования на киберинциденты. От T.Hunter с докладом по теме «Разведка угроз» выступит наш менеджер проектов Денис Симонов. А подробнее ознакомиться с программой конференции и зарегистрироваться можно по ссылке. Присоединяйтесь, будет интересно!
@tomhunter
На конференции традиционно пройдут штабные киберучения для отработки навыков реагирования на киберинциденты. От T.Hunter с докладом по теме «Разведка угроз» выступит наш менеджер проектов Денис Симонов. А подробнее ознакомиться с программой конференции и зарегистрироваться можно по ссылке. Присоединяйтесь, будет интересно!
@tomhunter
❤4🔥2
#news Интересный прецедент от нарождающегося мира ИИ: в недавней серии атак был замечен скрипт, написанный с помощью языковой модели. В операции от группировки Scully Spider, брокера начального доступа, по компаниям в Германии.
В ходе неё злоумышленники распространяли инфостилер Rhadamanthys. А PowerShell-скрипт под его загрузку в память оказался написан при поддержке языкового болванчика. Его участие выдал код скрипта. А точнее, комментарии к нему. Каждая строчка тщательно прокомментирована, чем обычно грешат именно языковые модели. Как отметили в исследовании, «высококачественные комментарии нехарактерны для написанного человеком кода». На этом моменте становится немного обидно. Да и неясно, что сложнее: натаскать болванчика писать хороший код или разработчика — качественные комментарии?
@tomhunter
В ходе неё злоумышленники распространяли инфостилер Rhadamanthys. А PowerShell-скрипт под его загрузку в память оказался написан при поддержке языкового болванчика. Его участие выдал код скрипта. А точнее, комментарии к нему. Каждая строчка тщательно прокомментирована, чем обычно грешат именно языковые модели. Как отметили в исследовании, «высококачественные комментарии нехарактерны для написанного человеком кода». На этом моменте становится немного обидно. Да и неясно, что сложнее: натаскать болванчика писать хороший код или разработчика — качественные комментарии?
@tomhunter
😁12🔥1
#news Apple разослала уведомления пользователям в 92 странах о попытках взлома их устройств с помощью «спайвари по найму». Что интересно, раньше уведомления шли с пометкой «спонсируемые государством атаки», но теперь компания предпочла обойтись нейтральными формулировками.
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давлениеиндусского девелоперского лобби индийских чиновников и исправила текст уведомлений и статьи о них. Теперь по версии Apple остались только загадочные злоумышленно-нейтральные атаки, которые Apple «не привязывает к конкретным лицам и регионам». В общем, спайварь есть, а заказчика нет. Возможно, это всё как-то связано с тем, что продажи Apple в Индии бьют рекорды. Но это неточно.
@tomhunter
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давление
@tomhunter
😁5🔥1
#news Пятничные чудеса инфобеза от eX-Твиттера. 8 апреля платформа начала автоматически изменять ссылки с упоминанием twitter[.]com на x[.]com. Но в последующие 48 часов на волне изменений сеть заполонили десятки примеров фишинговых ссылок.
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
😁15💯2❤1
#news Telegram исправил нулевой день в своём десктопном приложении. Изначально по сети ходили слухи о RCE с нулевой интеракцией, но всё оказалось проще. Уязвимость позволяла обходить предупреждения системы безопасности и запускать скрипты на Питоне, если пользователь откроет файл.
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
🔥7😁7🤡3
#news Бэкдор в XZ Utils продолжает страшить линуксоидов: его вредоносные файлы просочились в пакет liblzma-sys, широко используемые разработчиками на Rust. Версия от 5 апреля апреля содержала тестовые файлы для XZ, в которых сидел бэкдор.
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
❤3🔥2🤡1
#news Palo Alto Networks начала выпускать хотфиксы под нулевой день в своих файрволах. Выбившая десяточку по CVSS уязвимость на RCE через внедрение команд активно эксплойтили с конца марта для установки бэкдоров на устройства. Судя по характеру атак и целям, действовала госгруппировка.
CVE-2024-3400 затронула файрволы PAN-OS 10.2, PAN-OS 11.0, и PAN-OS 11.1. Хотфиксы станут постепенно доступны для систем в ближайшие дни. Админы в ожидании исправлений могут отключить телеметрию на устройствах. Между тем анализ показал 82 тысячи уязвимых файрволов в сети, из них 300 в России. Гораздо хуже дела в Штатах, где почти 33 тысячи устройств, открытых для бэкдоров от трудолюбивых китайских и не только хакеров.
@tomhunter
CVE-2024-3400 затронула файрволы PAN-OS 10.2, PAN-OS 11.0, и PAN-OS 11.1. Хотфиксы станут постепенно доступны для систем в ближайшие дни. Админы в ожидании исправлений могут отключить телеметрию на устройствах. Между тем анализ показал 82 тысячи уязвимых файрволов в сети, из них 300 в России. Гораздо хуже дела в Штатах, где почти 33 тысячи устройств, открытых для бэкдоров от трудолюбивых китайских и не только хакеров.
@tomhunter
🤯3❤2🔥2
#news TrustWallet призвал отключить iMessage на фоне слухов о нулевом дне в яблочных устройствах. Директор компании ссылается на уязвимость с нулевой интеракцией для перехвата контроля над устройством.
При этом речь идёт об эксплойте, который выставлен на продаже в даркнете за $2 миллиона. А в качестве доказательства его существования приведён скриншот с сайта. Ни демоверсии, ни подтверждения подлинности, ни какой-либо известности у продавца. Иными словами, пока вероятно, что это просто мошенники. Директор TrustWallet же ссылается на достоверную информацию от команды безопасности и на то, что у них самое популярное криптоприложение на 90 миллионов скачиваний и самый активный соцаккаунт от мира кошельков. Уберегут ли их эти занимательные факты от конфуза с разгоном паники на ровном месте? Скоро узнаем.
@tomhunter
При этом речь идёт об эксплойте, который выставлен на продаже в даркнете за $2 миллиона. А в качестве доказательства его существования приведён скриншот с сайта. Ни демоверсии, ни подтверждения подлинности, ни какой-либо известности у продавца. Иными словами, пока вероятно, что это просто мошенники. Директор TrustWallet же ссылается на достоверную информацию от команды безопасности и на то, что у них самое популярное криптоприложение на 90 миллионов скачиваний и самый активный соцаккаунт от мира кошельков. Уберегут ли их эти занимательные факты от конфуза с разгоном паники на ровном месте? Скоро узнаем.
@tomhunter
🔥4😁4🤔1
#news Группировка RansomHub, под крыло которой перебрался партнёр Black Cat, взломавший Change Healthcare, начала сливать данные. Напомню, недовольный злоумышленник, оставшийся без выкупа после экзит-скама, но с украденными данными, предсказуемо снова начал вымогать деньги у компании.
Change Healthcare, выплатившая $22 миллиона Black Cat, такого поворота явно не ожидала. В утечке 4 TB данных (по другой информации, 6 TB), внутренние документы компании и данные пациентов. И через несколько дней всё это уйдёт на продажу. Компания комментариев не даёт и факт выплаты первого выкупа не подтверждает. Но пока сохраняется интрига, ведут ли они переговоры о компенсации для товарища Notchy, которого Black Cat оставила без незаконно нажитых средств. Так или иначе, Change Healthcare довелось познакомиться с двойным вымогательством, вышедшим на качественно иной уровень.
@tomhunter
Change Healthcare, выплатившая $22 миллиона Black Cat, такого поворота явно не ожидала. В утечке 4 TB данных (по другой информации, 6 TB), внутренние документы компании и данные пациентов. И через несколько дней всё это уйдёт на продажу. Компания комментариев не даёт и факт выплаты первого выкупа не подтверждает. Но пока сохраняется интрига, ведут ли они переговоры о компенсации для товарища Notchy, которого Black Cat оставила без незаконно нажитых средств. Так или иначе, Change Healthcare довелось познакомиться с двойным вымогательством, вышедшим на качественно иной уровень.
@tomhunter
🤯9🔥3
#news По следам истории с XZ Utils всплывают тревожные инциденты аналогичного содержания. Вчера OpenJS Foundation, мониторящая проекты на JavaScript, получила несколько подозрительных писем. Отправители писали о необходимости срочно обновить один популярный проект и исправить критические уязвимости. И запросили права мейнтейнера.
Кроме того, такую же активность отследили в паре других проектов на OpenJS. Во всех случаях подход напоминал перехват управления XZ Utils — в ход шла социнженерия, настойчивые попытки попасть в мейнтейнеры и фейки, с которых поддерживали запрос потенциального крота. В общем, инцидент с XZ Utils явно не разовый. В лучшем случае это имитаторы, стремящиеся повторить нашумевший сценарий. В худшем — опенсорс пестрит такими трудолюбивыми кротами, за персоной которых скрывается госгруппировка с далеко идущими планами.
@tomhunter
Кроме того, такую же активность отследили в паре других проектов на OpenJS. Во всех случаях подход напоминал перехват управления XZ Utils — в ход шла социнженерия, настойчивые попытки попасть в мейнтейнеры и фейки, с которых поддерживали запрос потенциального крота. В общем, инцидент с XZ Utils явно не разовый. В лучшем случае это имитаторы, стремящиеся повторить нашумевший сценарий. В худшем — опенсорс пестрит такими трудолюбивыми кротами, за персоной которых скрывается госгруппировка с далеко идущими планами.
@tomhunter
🔥8😁2
#news К уязвимости в файрволах от Palo Alto Networks на произвольное выполнение кода опубликовали рабочую проверку концепции. Плохие новости для 82 тысяч уязвимых устройств, из которых 40% в Штатах и их часть — в засекреченных и госсетях. CISA требует у госструктур поставить патчи до 19 апреля. Что довольно оптимистично — исправления пока ещё доступны не для всех сборок. Одна получит хотфикс аккурат девятнадцатого.
Более того, внезапно обнаружилось, что отключение телеметрии и функции GlobalProtect на митигацию не тянет — устройства по-прежнему уязвимы. Так что единственным вариантом остаётся накатывать хотфиксы. И не затягивать с этим: с учётом публично доступной PoC к эксплойту от госгруппировки теперь могут присоединиться все желающие. Между тем это уже четвёртая уязвимость в SSL VPN за 2024-й. По одной на каждый месяц. Так и живём.
@tomhunter
Более того, внезапно обнаружилось, что отключение телеметрии и функции GlobalProtect на митигацию не тянет — устройства по-прежнему уязвимы. Так что единственным вариантом остаётся накатывать хотфиксы. И не затягивать с этим: с учётом публично доступной PoC к эксплойту от госгруппировки теперь могут присоединиться все желающие. Между тем это уже четвёртая уязвимость в SSL VPN за 2024-й. По одной на каждый месяц. Так и живём.
@tomhunter
🔥7😁1
#news Неутешительные новости из ежегодного отчёта Imperva Bad Bot: в 2023-м почти половина (49,6%) трафика в сети вновь пришлась на боты. Годом ранее было на 2% меньше. Кроме того, вырос трафик вредоносных ботов: теперь это треть от всего объёма, рост пятый год подряд. Их источник предсказуемый: языковые ИИ-модели способствуют генерации простых ботов.
Однако растёт и число продвинутых ботов, имитирующих поведение реальных людей и обходящих защиту. Также выросло число атак на перехват аккаунта, почти половина идёт по API-интерфейсам. А вот доля реальных пользователей ожидаемо снижается. Так что вскоре боты могут уже существенно превзойти долю трафика, приходящуюся на людей. В общем, конспирологическая теория мёртвого интернета не существует, но продолжает активно воплощаться в реальность.
@tomhunter
Однако растёт и число продвинутых ботов, имитирующих поведение реальных людей и обходящих защиту. Также выросло число атак на перехват аккаунта, почти половина идёт по API-интерфейсам. А вот доля реальных пользователей ожидаемо снижается. Так что вскоре боты могут уже существенно превзойти долю трафика, приходящуюся на людей. В общем, конспирологическая теория мёртвого интернета не существует, но продолжает активно воплощаться в реальность.
@tomhunter
😁4🔥3💯3🤬1
#news UnitedHealth Group подсчитывает убытки после рансомварь-атаки Black Cat по своим системам. Суммы впечатляющие: на текущий момент это $872 миллиона, $593 миллиона на устранение последствий атаки и $279 миллионов из-за нарушения работы.
Ожидается, что общая сумма убытков превысит миллиард долларов, а её последствия будут сказываться на финансах компании вплоть до конца года. Потенциальный слив украденных данных медгиганта также вряд ли добавит веса его акциям. Как сообщает гендиректор, реагирование на атаку было быстрым и эффективным. Формулировка интересная: быстро и эффективно разве что весь финсектор здравоохранения целой страны впал в кому, и последствия атаки всё ещё устраняют два месяца спустя. Но что ещё может сказать CEO многомиллиардной компании. Не про вложения полпроцента от доходов в инфобез, чтобы инциденты таких космических пропорций не повторялись, ему говорить.
@tomhunter
Ожидается, что общая сумма убытков превысит миллиард долларов, а её последствия будут сказываться на финансах компании вплоть до конца года. Потенциальный слив украденных данных медгиганта также вряд ли добавит веса его акциям. Как сообщает гендиректор, реагирование на атаку было быстрым и эффективным. Формулировка интересная: быстро и эффективно разве что весь финсектор здравоохранения целой страны впал в кому, и последствия атаки всё ещё устраняют два месяца спустя. Но что ещё может сказать CEO многомиллиардной компании. Не про вложения полпроцента от доходов в инфобез, чтобы инциденты таких космических пропорций не повторялись, ему говорить.
@tomhunter
🔥6🤯3😁2
#news В платформе OpenMetadata нашли пять уязвимостей, которые эксплойтят для обхода аутентификации и RCE. Конечной целью является доступ к Kubernetes и установка криптомайнеров с сервера в Китае. Атаки идут с начала апреля.
Microsoft рекомендует проверить кластеры с OpenMetadata на предмет подозрительной активности и накатить свежую версию. Анализ атаки здесь. Между тем злоумышленник оставляет записку интересного содержания. В ней он доверительно сообщает, что не хочет никому вредить, но ничего не может поделать — жильё в Китае ему не по карману, да и машину хочется купить. Проникшимся его бедой кубовладельцам предлагает прислать Monero в помощь бедному китайскому хакеру. Заманчиво, не правда ли?
@tomhunter
Microsoft рекомендует проверить кластеры с OpenMetadata на предмет подозрительной активности и накатить свежую версию. Анализ атаки здесь. Между тем злоумышленник оставляет записку интересного содержания. В ней он доверительно сообщает, что не хочет никому вредить, но ничего не может поделать — жильё в Китае ему не по карману, да и машину хочется купить. Проникшимся его бедой кубовладельцам предлагает прислать Monero в помощь бедному китайскому хакеру. Заманчиво, не правда ли?
@tomhunter
😁10🔥5❤2