#news Пятничные новости с анализом самых распространённых пин-кодов в мире. Результаты более чем предсказуемые: в топе 1234, 1111, 0000 и далее по списку простых последовательностей. На первом месте пин-код, составляющий почти 11% от 3,4 миллионов изученных, первая тройка — 18% от массы. Почётное 10 место за 6969.
Используя же всего 20 комбинаций, можно отгадать 26% пин-кодов. Годы рождения тоже не особо надёжны: в топе на 7 месте молодёжь из 2000-го. В целом же комбинации на 19?? в первых 20% проанализированного дата-сета. Среди наиболее уникальных различимых паттернов нет. Когда же речь заходит о 5-значных кодах, воображение юзеров совсем даёт слабину: 22,8% составляет последовательность 12345. Больше цифрового аутизма на вечер с графиками и картами по ссылке.
@tomhunter
Используя же всего 20 комбинаций, можно отгадать 26% пин-кодов. Годы рождения тоже не особо надёжны: в топе на 7 месте молодёжь из 2000-го. В целом же комбинации на 19?? в первых 20% проанализированного дата-сета. Среди наиболее уникальных различимых паттернов нет. Когда же речь заходит о 5-значных кодах, воображение юзеров совсем даёт слабину: 22,8% составляет последовательность 12345. Больше цифрового аутизма на вечер с графиками и картами по ссылке.
@tomhunter
😁12❤3🤔1
#news Вслед за перехватом BreachForums ФБР мгновенно всплыли желающие занять вакантное местечко: небезызвестный хакер USDoD объявил о создании новой площадки, Breach Nation. Запуск запланирован на 4 июля.
В пространном посте амбициозный злоумышленник делится планами и обещает платформу для всех-всех киберпреступников, чтобы никто не ушёл обиженным. Между тем слухи об аресте товарища Baphomet множатся, но пока ждём официальных заявлений от безопасников в погонах. ShinyHunters же утверждают, что его арест привёл к перехвату большей части инфраструктуры форума. Иными словами, конвейер от админа новой итерации RaidForums до скорого тюремного заключения продолжает работать на полную катушку.
@tomhunter
В пространном посте амбициозный злоумышленник делится планами и обещает платформу для всех-всех киберпреступников, чтобы никто не ушёл обиженным. Между тем слухи об аресте товарища Baphomet множатся, но пока ждём официальных заявлений от безопасников в погонах. ShinyHunters же утверждают, что его арест привёл к перехвату большей части инфраструктуры форума. Иными словами, конвейер от админа новой итерации RaidForums до скорого тюремного заключения продолжает работать на полную катушку.
@tomhunter
🔥6😁4
#news Злоумышленники активно эксплуатируют слабое место в дизайне FoxitPDF для доставки малвари. При запуске софт выдаёт окно с предложением включить фичи, если юзер доверяет файлу, и следом ещё одно с предупреждением об открытии файла. В обоих окнах по умолчанию идёт вариант согласиться, что повышает шанс выполнения вредоноса.
В кампаниях, эксплуатирующих эту уязвимость, замечены с десяток троянов удалённого доступа, инфостилеры и криптомайнеры. Часть мотивированы финансово, часть заточены под шпионаж, в том числе по оборонке. Эксплойтом это назвать сложно, скорее, тянет на фишинг. Так что уязвимость в сущности не в самом софте, а в нашем кривом wetware, склонном кликать на всё подряд без задней мысли. Подробнее о проблеме в отчёте.
@tomhunter
В кампаниях, эксплуатирующих эту уязвимость, замечены с десяток троянов удалённого доступа, инфостилеры и криптомайнеры. Часть мотивированы финансово, часть заточены под шпионаж, в том числе по оборонке. Эксплойтом это назвать сложно, скорее, тянет на фишинг. Так что уязвимость в сущности не в самом софте, а в нашем кривом wetware, склонном кликать на всё подряд без задней мысли. Подробнее о проблеме в отчёте.
@tomhunter
🔥5❤1😁1
#news Microsoft анонсировала новую фичу под Windows 11 назло всем инфобез-параноикам. Recall будет записывать всё, что юзер делает на своём компьютере с помощью ИИ-модели и собирать в таймлайн приложений, сайтов и документов. Позже по снапшотам можно, например, вернуться к конкретному письму, вкладке или чату в Teams.
Хранится это всё якобы будет локально, отдельные снапшоты можно удалять, а также фильтровать содержимое приложений и прочих инкогнито-вкладок из истории. Но даже если до серверов Microsoft это всё не доберётся, остаётся вопрос, как это будет защищено на устройствах. И не появится ли у инфостилеров новый вектор атаки. В общем, такая вотранее не задокументированная интересная фича. Желающие ей пользоваться есть?
@tomhunter
Хранится это всё якобы будет локально, отдельные снапшоты можно удалять, а также фильтровать содержимое приложений и прочих инкогнито-вкладок из истории. Но даже если до серверов Microsoft это всё не доберётся, остаётся вопрос, как это будет защищено на устройствах. И не появится ли у инфостилеров новый вектор атаки. В общем, такая вот
@tomhunter
🤡20😁7🤬2❤1
#news В логгере Fluent Bit обнаружили критическую уязвимость на повреждение памяти, CVE-2024-4323, 9.8 по CVSS. Баг вызван переполнением кучи во встроенном HTTP-сервере. Серьёзности проблеме добавляет распространённость софта: 13 миллиардов скачиваний. Развёрнут Fluent Bit в Amazon AWS, Microsoft Azure, в кубах и прочих контейнерах, у десятков IT-гигантов и далее по списку.
Уязвимость позволяет неаутентифицированному злоумышленнику вызвать отказ в обслуживании и перехватить конфиденциальную информацию. Есть заход и под RCE, но надёжный эксплойт под переполнение кучи вряд ли появится в скором времени. Баг исправлен в версии Fluent Bit 3.0.4, а пока фиксы не выкатят для всех платформ, админы могут ограничить доступ к API или отключить уязвимый эндпоинт, чтобы блокировать потенциальные атаки.
@tomhunter
Уязвимость позволяет неаутентифицированному злоумышленнику вызвать отказ в обслуживании и перехватить конфиденциальную информацию. Есть заход и под RCE, но надёжный эксплойт под переполнение кучи вряд ли появится в скором времени. Баг исправлен в версии Fluent Bit 3.0.4, а пока фиксы не выкатят для всех платформ, админы могут ограничить доступ к API или отключить уязвимый эндпоинт, чтобы блокировать потенциальные атаки.
@tomhunter
🔥7
#news Недавнее исследование сбора устройствами от Apple и Google информации о точках Wi-Fi как ночной кошмар ИБ-параноика. Исследователи геолоцировали миллиарды устройств по всему миру. В основном благодаря тому, что яблочные изделия отправляют по API MAC-адреса точек доступа — до 400 ближайших к тому, с которого идёт запрос.
В сущности API Apple сливает на свои устройства кучу данных о местоположении ближайших точек для геолокации. На карте выше анализ индексации яблочного API. С его помощью, например, отследили терминалы Starlink в зоне конфликта. И маршруты беженцев по их телефонам. И многое другое. Starlink закрыла брешь, добавив на уровне софта рандомизатор BSSID. Apple предложила добавлять «_nomap» к имени Wi-Fi для отключения индексации. И идея хорошая: яблочный юзер не только носит в кармане персональный маячок, но и сливает Apple геолокацию всех роутеров в округе как послушный корпоративный дрон. Вот он, киберпанк, который мы заслужили.
@tomhunter
В сущности API Apple сливает на свои устройства кучу данных о местоположении ближайших точек для геолокации. На карте выше анализ индексации яблочного API. С его помощью, например, отследили терминалы Starlink в зоне конфликта. И маршруты беженцев по их телефонам. И многое другое. Starlink закрыла брешь, добавив на уровне софта рандомизатор BSSID. Apple предложила добавлять «_nomap» к имени Wi-Fi для отключения индексации. И идея хорошая: яблочный юзер не только носит в кармане персональный маячок, но и сливает Apple геолокацию всех роутеров в округе как послушный корпоративный дрон. Вот он, киберпанк, который мы заслужили.
@tomhunter
🤯13🤬3😁2
#news Veeam предупредила пользователей о критической уязвимости в Veeam Backup Enterprise Manager. Она позволяет неаутентифицированному злоумышленнику зайти в веб-интерфейс под любым аккаунтом. Уязвимость вместе с несколькими другими исправлена в свежей версии. Если нет возможности накатить обновления, VBEM можно отключить. Кроме того, менеджер не развёрнут по умолчанию, так что не все инстансы уязвимы. И если он не используется, его можно просто удалить.
Раньше баги в софте от Veeam использовали в атаках, включая уязвимость в марте 2023-го, по которой активно работали рансомварь-группировки. Так что ИБ-отделы 74% компаний из Global 2000, пользующихся решениями Veeam, ждёт увлекательный квест «Пропатчь меня, пока работодатель не попал на несколько десятков миллионов долларов». Возможно, пройдут его не все.
@tomhunter
Раньше баги в софте от Veeam использовали в атаках, включая уязвимость в марте 2023-го, по которой активно работали рансомварь-группировки. Так что ИБ-отделы 74% компаний из Global 2000, пользующихся решениями Veeam, ждёт увлекательный квест «Пропатчь меня, пока работодатель не попал на несколько десятков миллионов долларов». Возможно, пройдут его не все.
@tomhunter
🔥2💯2😁1🤡1
#news Как и ожидалось, ИБ-сообщество встретило новую фичу от Microsoft с огромным энтузиазмом. Единогласное мнение: Recall станет кошмаром для приватности и масштабной поверхностью атаки, а будущие утечки данных будут впечатляющими.
Снапшоты паролей и банковских аккаунтов, конфиденциальных документов и приватных фото — Recall соберёт их все. А затем также беспристрастно сольёт инфостилерам и любому добравшемуся до устройства. В то, что Microsoft не будет эксплойтить фичу и стягивать собранные ею данные на сервера, тоже мало кто верит. В том числе зашевелились и регуляторы: британский потребовал от компании объяснений. Кевин Бомонт и вовсе окрестил Recall встроенным кейлоггером. В общем, пока разработчиков спайвари обкладывают санкциями, Microsoft открыто анонсирует собственную в качестве фичи. Но эта спайварь, как водится, кого надо спайварь. Так что ждите её в скором времени у каждого юзера с Windows 11.
@tomhunter
Снапшоты паролей и банковских аккаунтов, конфиденциальных документов и приватных фото — Recall соберёт их все. А затем также беспристрастно сольёт инфостилерам и любому добравшемуся до устройства. В то, что Microsoft не будет эксплойтить фичу и стягивать собранные ею данные на сервера, тоже мало кто верит. В том числе зашевелились и регуляторы: британский потребовал от компании объяснений. Кевин Бомонт и вовсе окрестил Recall встроенным кейлоггером. В общем, пока разработчиков спайвари обкладывают санкциями, Microsoft открыто анонсирует собственную в качестве фичи. Но эта спайварь, как водится, кого надо спайварь. Так что ждите её в скором времени у каждого юзера с Windows 11.
@tomhunter
😁10❤3💯3🤯1
#news Microsoft анонсировала дорожную карту по отказу от VBScript. Во второй половине 2024-го с релизом Windows 11 24H2 скриптовый язык перейдёт в разряд дополнительных компонентов.
К 2027-му VBScript не будет предустановлен в системах, а на последнем этапе, даты которого пока не анонсированы, его окончательно уберут, удалят связанные библиотеки, и проекты на языке перестанут функционировать. В общем, у 30-летнего скриптового старичка ещё в запасе времени до конца десятилетия. Что занятно, его пустили под нож в рамках избавления продуктов Microsoft от векторов атаки. И параллельно с этой дорожной картой анонсирована Recall. Получается, всё в Редмонде сбалансировано: одну поверхность атаки порезали, но планируют добавить другую, ещё более масштабную. Чтобы ни злоумышленники, ни инфобез-фирмы не ушли обиженными.
@tomhunter
К 2027-му VBScript не будет предустановлен в системах, а на последнем этапе, даты которого пока не анонсированы, его окончательно уберут, удалят связанные библиотеки, и проекты на языке перестанут функционировать. В общем, у 30-летнего скриптового старичка ещё в запасе времени до конца десятилетия. Что занятно, его пустили под нож в рамках избавления продуктов Microsoft от векторов атаки. И параллельно с этой дорожной картой анонсирована Recall. Получается, всё в Редмонде сбалансировано: одну поверхность атаки порезали, но планируют добавить другую, ещё более масштабную. Чтобы ни злоумышленники, ни инфобез-фирмы не ушли обиженными.
@tomhunter
😁10❤2
#news Пока Apple отмалчивается касаемо всплывших у юзеров удалённых фотографий, в Synactiv вскрыли недавнее обновление реверс-инжинирингом. Как утверждает компания, баг связан с iOS, а не iCloud. А именно существенными изменениями в одной из функций PhotoLibraryServices.
В свежем патче Apple убрала из функции скан и ре-импорт фото из системы, из-за чего и были переиндексированы старые локальные файлы и добавлены обратно в галерею. Анализ кода показал, что фото лежали в файловых системах и просто подтянулись после глитча в функции переноса данных. В общем, и ИБ-фирма выдала вердикт, и аналогичные мнения инсайдеров из Apple на Reddit оперативно подвезли — всё сводится к тому, что это просто глюк iOS. И не забывайте, никаких бэкдоров в яблочных устройствах нет!
@tomhunter
В свежем патче Apple убрала из функции скан и ре-импорт фото из системы, из-за чего и были переиндексированы старые локальные файлы и добавлены обратно в галерею. Анализ кода показал, что фото лежали в файловых системах и просто подтянулись после глитча в функции переноса данных. В общем, и ИБ-фирма выдала вердикт, и аналогичные мнения инсайдеров из Apple на Reddit оперативно подвезли — всё сводится к тому, что это просто глюк iOS. И не забывайте, никаких бэкдоров в яблочных устройствах нет!
@tomhunter
😁21🤡3❤2🔥1
#news Пятничные новости, снова от мира ИИ-моделей. Пока Google ломает поиск форсированным внедрением ИИ, процесс приносит совсем уж комические ситуации. По сети разошёлся скриншот рецепта соуса для пиццы от Гугла: чтобы сыр не растекался, добавьте в него 1/8 чашки нетоксичного клея. Источник? Комментарий на Reddit 11-летней давности.
Иными словами, предположения о том, что скрапинг форумных помоек ИИ-моделями отравит выдачу, были верны. Наш будущий кремниевый повелитель познаёт мир глазами юзеров Reddit и Tumblr — вот они, грядущие рукотворные ужасы, выходящие за рамки понимания. По крайней мере, теперь понятно, за что Google платит Reddit $60 миллионов в год за доступ к API по партнёрке, к которой на днях подключилась и OpenAI. Чтобы товарищ под ником Fucksmith из 2013-го советовал пользователям Гугла есть клей.
@tomhunter
Иными словами, предположения о том, что скрапинг форумных помоек ИИ-моделями отравит выдачу, были верны. Наш будущий кремниевый повелитель познаёт мир глазами юзеров Reddit и Tumblr — вот они, грядущие рукотворные ужасы, выходящие за рамки понимания. По крайней мере, теперь понятно, за что Google платит Reddit $60 миллионов в год за доступ к API по партнёрке, к которой на днях подключилась и OpenAI. Чтобы товарищ под ником Fucksmith из 2013-го советовал пользователям Гугла есть клей.
@tomhunter
😁13🔥2
#news Утёкший договор Samsung с сервисными центрами раскрывает детали политики компании касаемо ремонта устройств. Спойлер: дела хуже, чем у Apple. Два ключевых момента. Компания требует ежедневных обновлений по ремонту. Со сливом данных клиентов в базу — имена, контактные данные, адреса, идентификаторы. И второе: устройства со сторонними запчастями должны быть немедленно разобраны, а данные провинившегося клиента — переданы Samsung.
То есть если вы принесёте на замену батареи телефон с неоригинальным экраном, его должны уничтожить и настучать на вас компании. Это прописано в контракте корпорации, на публику утверждающей, что «Сторонние запчасти — это реальность, которую нужно принять». Очевидно, Samsung её принимать не спешит. Почитать договор можно здесь (PDF).
@tomhunter
То есть если вы принесёте на замену батареи телефон с неоригинальным экраном, его должны уничтожить и настучать на вас компании. Это прописано в контракте корпорации, на публику утверждающей, что «Сторонние запчасти — это реальность, которую нужно принять». Очевидно, Samsung её принимать не спешит. Почитать договор можно здесь (PDF).
@tomhunter
🤯16😁4🔥2
#news Индия отметилась масштабной утечкой данных миллионов граждан. Включая биометрию полицейских и военных. Фотографии, отпечатки пальцев, подписи, почты, свидетельства о рождении, дипломы — проще сказать, что не утекло.
Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде. Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии.
@tomhunter
Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде. Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии.
@tomhunter
😁16💯7❤1🤡1
#news Редкий зверь на территории РФ: причиной масштабного «технического сбоя» у СДЭК, судя по всему, стала рансомварь-атака. Ответственность за неё взяли на себя хакеры из Head Mare, рансомварь в системах так же подтвердил источник в компании.
СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Ну а теперь Head Mare опубликовала скриншоты из внутренних систем и передаёт привет безопасникам, обслуживающим СДЭК. Восстановление работы теперь упирается в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare утверждают, что бэкапы в компании делали раз в полгода. Посылки-то, может, и в безопасности, а вот системы…
@tomhunter
СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Ну а теперь Head Mare опубликовала скриншоты из внутренних систем и передаёт привет безопасникам, обслуживающим СДЭК. Восстановление работы теперь упирается в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare утверждают, что бэкапы в компании делали раз в полгода. Посылки-то, может, и в безопасности, а вот системы…
@tomhunter
🤯14😁8🔥4😢1
Завтра, 29 мая в 12:00 по Москве, пройдёт вебинар Код ИБ | БЕЗОПАСНАЯ СРЕДА. Темой выпуска станет «Как происходит предупреждение киберугроз?» Участники обсудят DPR (Data Risk Protection) как процесс предупреждения угроз — иными словами, то как проходит работа по их выявлению изнутри.
От T.Hunter участие в эфире примут руководитель нашего департамента расследований Игорь Бедеров и Product Owner Денис Симонов. Зарегистрироваться можно здесь. Присоединяйтесь, будет интересно!
@tomhunter
От T.Hunter участие в эфире примут руководитель нашего департамента расследований Игорь Бедеров и Product Owner Денис Симонов. Зарегистрироваться можно здесь. Присоединяйтесь, будет интересно!
@tomhunter
❤5🤡4🔥2💯1
#news Передовые новости инфобеза из Индонезии: президент запретил разработку новых приложений для правительства. Причина проста: их число перевалило за 27 тысяч. Одно министерство набрало в пользование 500 приложений. Новые же создают при вступлении в должность министров, губернаторов и чиновников.
Разгадка, судя по всему, очень проста: в 2024-м правительство запросило под разработку приложений 6,2 триллиона рупий — почти 400 миллионов долларов. Так что за неуёмной цифровизацией, видимо, элементарно скрывается коррупционная схема. Как это всё работает и поддерживается можно только догадываться. Но теперь лавочку прикрывают вместе с анонсом индонезийских Госуслуг — единая платформа призвана положить конец бесконечному разрастанию мелких приложений. По персональному для каждого чиновника.
@tomhunter
Разгадка, судя по всему, очень проста: в 2024-м правительство запросило под разработку приложений 6,2 триллиона рупий — почти 400 миллионов долларов. Так что за неуёмной цифровизацией, видимо, элементарно скрывается коррупционная схема. Как это всё работает и поддерживается можно только догадываться. Но теперь лавочку прикрывают вместе с анонсом индонезийских Госуслуг — единая платформа призвана положить конец бесконечному разрастанию мелких приложений. По персональному для каждого чиновника.
@tomhunter
😁13🤡3🔥2❤1
#news BreachForums вернулся спустя всего пару недель после перехвата его инфраструктуры ФБР. В верхнем интернете по одному из прежних адресов. Но есть нюанс: чтобы попасть на форум, нужно зарегистрироваться.
На поднявшемся сайте некто под юзернеймом ShinyHunters выставил на продажу базу сайта Ticketmaster на 1,3TB и, предположительно, 560 миллионов клиентов. На фоне открытой регистрации ходят слухи, что это всё очевидный ханипот от любителей чертовски хорошего кофе. Однако Hackread утверждает, что у последних случилась накладочка с перехватом, и ShinyHunters вернули контроль над доменом уже через пару часов, связавшись с провайдером, гонконгской NiceNIC. Что объясняет отсутствие пресс-релизов за последние недели. В любом случае запасайтесь попкорном — завязка получается интересная.
@tomhunter
На поднявшемся сайте некто под юзернеймом ShinyHunters выставил на продажу базу сайта Ticketmaster на 1,3TB и, предположительно, 560 миллионов клиентов. На фоне открытой регистрации ходят слухи, что это всё очевидный ханипот от любителей чертовски хорошего кофе. Однако Hackread утверждает, что у последних случилась накладочка с перехватом, и ShinyHunters вернули контроль над доменом уже через пару часов, связавшись с провайдером, гонконгской NiceNIC. Что объясняет отсутствие пресс-релизов за последние недели. В любом случае запасайтесь попкорном — завязка получается интересная.
@tomhunter
😁8🤔5🔥2
#news К критической уязвимости с максимальным рейтингом в FortiSIEM опубликован эксплойт. Той самой, которую Fortinet пропатчила в феврале, CVE-2024-23108. И изначально отрицала её существование, утверждая, что это был дубликат, всплывший в результате ошибки в API. С точкой с запятой в другом аргументе в качестве единственного отличия между эксплойтами.
Уязвимость под RCE с рут-правами от неаутентифицированного злоумышленника, так что десяточка по CVSS более чем оправдана. От Horizon3 доступны подробный анализ CVE и сам эксплойт. Между тем с релиза патча прошло более трёх месяцев. Так что, как водится, кто не успел обновиться, тот опоздал.
@tomhunter
Уязвимость под RCE с рут-правами от неаутентифицированного злоумышленника, так что десяточка по CVSS более чем оправдана. От Horizon3 доступны подробный анализ CVE и сам эксплойт. Между тем с релиза патча прошло более трёх месяцев. Так что, как водится, кто не успел обновиться, тот опоздал.
@tomhunter
😁5🔥2
#news В США завели дело на гражданина России как предполагаемого брокера начального доступа. 31-летний Евгений Дорошенко из Астрахани, он же «FlankerWWH» и «Flanker», по документам работает по этому профилю с февраля 2019-го года.
Flanker предпочитает брутфорсить доступные в сети сервисы удалённого доступа к рабочему столу, судя по истории активности, он же искал контакты для взлома NTLM-хэшей и связи с разработчиками кейлоггеров. Максимальный срок по обвинениям — до 20 лет заключения и $250 тысяч штрафа. Однако пока товарищ Дорошенко сидит в России и не рискует заезжать в страны с экстрадицией, штатовских безопасников в погонах он может не опасаться. А вот российских, кхм…
@tomhunter
Flanker предпочитает брутфорсить доступные в сети сервисы удалённого доступа к рабочему столу, судя по истории активности, он же искал контакты для взлома NTLM-хэшей и связи с разработчиками кейлоггеров. Максимальный срок по обвинениям — до 20 лет заключения и $250 тысяч штрафа. Однако пока товарищ Дорошенко сидит в России и не рискует заезжать в страны с экстрадицией, штатовских безопасников в погонах он может не опасаться. А вот российских, кхм…
@tomhunter
😁8❤5🤡2💯1
#news Европол устроил масштабную чистку серверам ботнетов в операции Endgame. Как сообщает служба, это крупнейшая операция такого плана. Перехвачены более 100 серверов и 2,000 доменов по всему миру, связанных с дропперами IcedID, SmokeLoader, TrickBot и другим вредоносом. Ботнеты уничтожены с помощью синкхолинга.
Также прошли аресты: один человек арестован в Армении, трое — на Украине. Ключевой подозреваемый, как предполагается, получил не менее $75 миллионов, предоставляя инфраструктуру под рансомварь. В розыске также семь человек, поднявших TrickBot, и восьмой — один из ключевых операторов SmokeLoader. В общем, привет из прошлого от Европола после разбора ботнета Emotet в 2021-м — часть арестованных были вовлечены ещё в его работу, и операция прошла по результатам продолжавшегося с тех пор расследования.
@tomhunter
Также прошли аресты: один человек арестован в Армении, трое — на Украине. Ключевой подозреваемый, как предполагается, получил не менее $75 миллионов, предоставляя инфраструктуру под рансомварь. В розыске также семь человек, поднявших TrickBot, и восьмой — один из ключевых операторов SmokeLoader. В общем, привет из прошлого от Европола после разбора ботнета Emotet в 2021-м — часть арестованных были вовлечены ещё в его работу, и операция прошла по результатам продолжавшегося с тех пор расследования.
@tomhunter
🔥10🤡3
#news На днях был арестован создатель и оператор 911 S5, одного из крупнейших ботнетов в мире с десятилетней историей. 35-летний гражданин Китая ответственен за миллиарды долларов ущерба, который нанесли злоумышленники через его сетку прокси. Сайт и инфраструктура 911 S5 перехвачены.
Между тем ботнет собирали в том числе через бесплатные VPN, так же известные в узких кругах любителей ИБ-трэша как порталы в ад. Они предоставляли юзерам заявленную функциональность, в то же время превращая их устройства в прокси. В основном заражения шли в Штатах, но если названия MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, и ShineVPN звучат знакомо, это тревожный звоночек. Потому как эти порталы в ад недружественных ресурсов шли в комплекте с бэкдором от 911 S5.
@tomhunter
Между тем ботнет собирали в том числе через бесплатные VPN, так же известные в узких кругах любителей ИБ-трэша как порталы в ад. Они предоставляли юзерам заявленную функциональность, в то же время превращая их устройства в прокси. В основном заражения шли в Штатах, но если названия MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, и ShineVPN звучат знакомо, это тревожный звоночек. Потому как эти порталы в ад недружественных ресурсов шли в комплекте с бэкдором от 911 S5.
@tomhunter
😁9🔥1