#news Администрация Трампа выписала Россию из числа киберугроз своей нацбезопасности. Публично и приватно с её стороны доносятся сигналы, что за свою критическую инфраструктуру перед лицом пресловутых русских хакеров они больше не переживают.
Так, в новом перечне директив для CISA Россия почти не упомянута — в приоритете Китай. Аналитикам CISA также в устном порядке предписали не отслеживать киберугрозы из России, а связанные с этим направлением проекты якобы свёрнуты. Наступательные кибератаки против нас приказали прекратить, а представитель Госдепа на заседании в ООН также назвала основными угрозами Китай и Иран. Про рансомварь-группировки не вспомнила, хотя раньше LockBit и прочих не упоминал только ленивый. Иными словами, Евразия никогда не воевала с Океанией. Дружить теперь будем. Впрочем, с китайскими братушками CISA и компании в любом случае расслабляться не придётся. Им бы хоть от них свои системы уберечь.
@tomhunter
Так, в новом перечне директив для CISA Россия почти не упомянута — в приоритете Китай. Аналитикам CISA также в устном порядке предписали не отслеживать киберугрозы из России, а связанные с этим направлением проекты якобы свёрнуты. Наступательные кибератаки против нас приказали прекратить, а представитель Госдепа на заседании в ООН также назвала основными угрозами Китай и Иран. Про рансомварь-группировки не вспомнила, хотя раньше LockBit и прочих не упоминал только ленивый. Иными словами, Евразия никогда не воевала с Океанией. Дружить теперь будем. Впрочем, с китайскими братушками CISA и компании в любом случае расслабляться не придётся. Им бы хоть от них свои системы уберечь.
@tomhunter
😁15🤡9👍7
#news В утечке чатов Black Basta обнаружили эпизод по теме «Увлекательные приключения Нефёдова в Армении». 21 июня прошлого года разыскиваемый в США Олег Нефёдов, предполагаемый лидер группировки, был принят в Армении и доставлен под стражу на 72 часа. Как он избежал ареста? Помогите Даше объяснить это, случайно что-нибудь не дискредитировав.
Нефёдов покинул здание суда прямо во время слушания, до того как судья вынес решение о задержании. Товарища отпустили «на прогулку», после чего он просто уехал. И позже в чатике рассказывал о связях в самых верхах и друзьях очень высокого уровня, обеспечивших ему зелёный коридор на вылет из страны. В общем, всё как всегда — где лихие рансомварь-денежки, там и нужные связи. Из плюсов, Black Basta резко затихла после утечки логов. Скорее всего, её ждёт судьба Conti.
@tomhunter
Нефёдов покинул здание суда прямо во время слушания, до того как судья вынес решение о задержании. Товарища отпустили «на прогулку», после чего он просто уехал. И позже в чатике рассказывал о связях в самых верхах и друзьях очень высокого уровня, обеспечивших ему зелёный коридор на вылет из страны. В общем, всё как всегда — где лихие рансомварь-денежки, там и нужные связи. Из плюсов, Black Basta резко затихла после утечки логов. Скорее всего, её ждёт судьба Conti.
@tomhunter
😁10👍6❤3
#cve Подводим итоги последнего зимнего месяца нашей традиционной подборкой CVE. Февраль был богат на уязвимости под произвольный код: их исправили в Ivanti ICS, Veeam Backup и Trimble Cityworks. А в API Cisco ISE закрыли две критических уязвимости на произвольные команды с правами суперпользователя и обход авторизации.
PostgreSQL отметилась нулевым днём на внедрение SQL-кода; нулевые дни также исправили в продуктах от Apple и Microsoft. Исправлением нескольких серьёзных CVE на обход аутентификации обзавелись PAN-OS, FortiOS и FortyProxy. А пачка устройств от Zyxel серии CPE остались без исправления открытого доступа к ним. Обо всём этом и других интересных уязвимостях февраля читайте на Хабре!
@tomhunter
PostgreSQL отметилась нулевым днём на внедрение SQL-кода; нулевые дни также исправили в продуктах от Apple и Microsoft. Исправлением нескольких серьёзных CVE на обход аутентификации обзавелись PAN-OS, FortiOS и FortyProxy. А пачка устройств от Zyxel серии CPE остались без исправления открытого доступа к ним. Обо всём этом и других интересных уязвимостях февраля читайте на Хабре!
@tomhunter
🔥6😁3👍2
#news Исследователи обнаружили, что Google начинает отслеживать устройства на Android с момента включения. В ход идут идентификаторы, куки и другие данные. Юзеру даже не нужно открывать предустановленные приложения.
Помимо этого, в отчёте упоминают рекламные клики и просмотры объявлений, привязанные к Android ID — а значит, к конкретному пользователю. И отключить какие-либо из этих механизмов невозможно, а после сброса до заводских данные в любом случае пишут и отсылают заново. Гугл оперативно отреагировал на отчёт: законы о приватности мы соблюдаем, а выводы в отчёте «юридически неверны». Проще говоря, мы собирали и собираем данные, удачи в попытках нас за это засудить. А пока семь Android-бед — один ответ: GrapheneOS. Гуглу будет сложнее за тобой следить, если ты снесёшь их блоатварь со своего устройства, юзернейм. Подробнее о механизмах слежки в отчёте (PDF).
@tomhunter
Помимо этого, в отчёте упоминают рекламные клики и просмотры объявлений, привязанные к Android ID — а значит, к конкретному пользователю. И отключить какие-либо из этих механизмов невозможно, а после сброса до заводских данные в любом случае пишут и отсылают заново. Гугл оперативно отреагировал на отчёт: законы о приватности мы соблюдаем, а выводы в отчёте «юридически неверны». Проще говоря, мы собирали и собираем данные, удачи в попытках нас за это засудить. А пока семь Android-бед — один ответ: GrapheneOS. Гуглу будет сложнее за тобой следить, если ты снесёшь их блоатварь со своего устройства, юзернейм. Подробнее о механизмах слежки в отчёте (PDF).
@tomhunter
👍5🤡5😁4🔥1
#news Оригинальный скам из Штатов: злоумышленники рассылают почтовые письма от лица рансомварь-группировки BianLian с заявлением о взломе. Письма адресованы CEO компаний и предлагают выплатить выкуп за стянутые данные. При этом никаких взломов нет.
В импровизированных рансомварь-записках утверждают, что стянули корпоративные и пользовательские данные. Переговоров больше не ведут: вот вам наш адрес в Tor и кошельки — переводите $250-500 тысяч, иначе сольём данные. Для большей легитимности в некоторых письмах указывают скомпрометированный пароль от систем компании. Но назвать их убедительными всё ещё сложно. Тем не менее, эволюция мошеннических писем забавная: зачем стричь по паре сотен баксов с простых смертных, если можно развести CEO сразу на несколько сотен тысяч. Логика, конечно, железная. Будь я CEO многомиллионной компании, без раздумий бы отправил мелочь с карманных расходов по этому QR-коду.
@tomhunter
В импровизированных рансомварь-записках утверждают, что стянули корпоративные и пользовательские данные. Переговоров больше не ведут: вот вам наш адрес в Tor и кошельки — переводите $250-500 тысяч, иначе сольём данные. Для большей легитимности в некоторых письмах указывают скомпрометированный пароль от систем компании. Но назвать их убедительными всё ещё сложно. Тем не менее, эволюция мошеннических писем забавная: зачем стричь по паре сотен баксов с простых смертных, если можно развести CEO сразу на несколько сотен тысяч. Логика, конечно, железная. Будь я CEO многомиллионной компании, без раздумий бы отправил мелочь с карманных расходов по этому QR-коду.
@tomhunter
😁14
#news Рансомварь-группировка «У нас нет тормозов» Qilin продолжает отмечаться громкими атаками по здравоохранению. За последний месяц злоумышленники взломали две клиники в США и Японии, включая онкологическую.
В обоих случаях группировка слила сэмплы украденных данных с документами пациентов. В японской больнице скомпрометированы данные 300 тысяч клиентов, работа штатовской была нарушена на пару дней. Ранее Qilin также светилась во взломах некоммерческих организаций, помогающих детям и бездомным, а также поставщиков медицинских услуг. В нашумевшем случае в Британии это серьёзно нарушило работу больниц по всей стране. В общем, когда от Европола и компании поступят благие вести, мало кто расстроится даже среди самых отбитых персонажей на рансомварь-сцене. Слишком уж много от них проблем.
@tomhunter
В обоих случаях группировка слила сэмплы украденных данных с документами пациентов. В японской больнице скомпрометированы данные 300 тысяч клиентов, работа штатовской была нарушена на пару дней. Ранее Qilin также светилась во взломах некоммерческих организаций, помогающих детям и бездомным, а также поставщиков медицинских услуг. В нашумевшем случае в Британии это серьёзно нарушило работу больниц по всей стране. В общем, когда от Европола и компании поступят благие вести, мало кто расстроится даже среди самых отбитых персонажей на рансомварь-сцене. Слишком уж много от них проблем.
@tomhunter
🤬12👍5💯4😁3🤔1
#news Cellebrite не отстаёт от сомнительного тренда в айтишечке: компания внедрила в свои продукты LLM. Последняя будет обобщать историю поиска, содержимое чатов и аудиосообщений с проверяемых телефонов, переводить их и заниматься прочим сопутствующим.
LLM в софте в теории сэкономит сотни часов ручного анализа логов. Тем не менее, потенциально это может создать и немало проблем для подозреваемых. Скажем, в сценарии, где ограниченный своим дата-сетом ИИ делает неправильные выводы, а языковая модель на основе белка ленится проверять нагенерированное. Кто анализировал массивы чатов через ChatGPT, тот в курсе, как часто его начинает глючить и что каждый вывод нужно ревьюить вручную. Сдаёшь телефон на проверку дружелюбному майору. ИИ-модель от Cellebrite на основе подписок, дурацких шуточек и мемов в чатиках галлюцинирует, что ты опасный экстремист. Твои действия?
@tomhunter
LLM в софте в теории сэкономит сотни часов ручного анализа логов. Тем не менее, потенциально это может создать и немало проблем для подозреваемых. Скажем, в сценарии, где ограниченный своим дата-сетом ИИ делает неправильные выводы, а языковая модель на основе белка ленится проверять нагенерированное. Кто анализировал массивы чатов через ChatGPT, тот в курсе, как часто его начинает глючить и что каждый вывод нужно ревьюить вручную. Сдаёшь телефон на проверку дружелюбному майору. ИИ-модель от Cellebrite на основе подписок, дурацких шуточек и мемов в чатиках галлюцинирует, что ты опасный экстремист. Твои действия?
@tomhunter
😁14🤬2❤1🤔1
#digest Ушедший месяц отметился множеством интересных новостных поводов, так что давайте подводить его итоги. Главным событием февраля, конечно, стал взлом Bybit на рекордную сумму. Тем временем в Штатах департамент Doge поверг в шок всю местную бюрократию, затронув и ИБ-сектор, а в отношениях США и России в сфере инфобеза наметилась оттепель.
В феврале члены рансомварь-группировки 8Base были арестованы, а Black Basta получила мощный удар — утечку своих чатов. Чиновники в ЕС разошлись, массово требуя бэкдоры в мессенджеры. А ИИ-модель Deepseek попала под пристальное внимание безопасников по следам своего громкого релиза. Об этом и других ключевых новостях последнего зимнего месяца читайте на Хабре!
@tomhunter
В феврале члены рансомварь-группировки 8Base были арестованы, а Black Basta получила мощный удар — утечку своих чатов. Чиновники в ЕС разошлись, массово требуя бэкдоры в мессенджеры. А ИИ-модель Deepseek попала под пристальное внимание безопасников по следам своего громкого релиза. Об этом и других ключевых новостях последнего зимнего месяца читайте на Хабре!
@tomhunter
👍3🔥1
#news Спустя меньше двух недель после взлома Bybit Lazarus уже успела отмыть больше миллиарда долларов эфира. В операции задействованы почти 7,000 кошельков, 83% средств конвертировали в биток.
Большую часть украденного провели через DeFi-биржу THORChain, в отмыве также засветились прокси-сервис от OKX и ExCH. Последняя вышла на нешуточный конфликт с Bybit в попытках откреститься от идущих через неё криптоденежек. Гендиректор Bybit же утверждает, что ближайшие пару недель станут критическими в заморозке средств — дальше они исчезнут без следа. Тем не менее, заморозить пока удалось лишь 3% стянутого, и 20% с радаров уже пропали. И только у охотников за наградой праздник: им выплатили уже более $2 миллионов с возвращённых средств. Что для КНДР недополученные доли процента от бюджета, для ловцов шального эфира — уникальная возможность разбогатеть.
@tomhunter
Большую часть украденного провели через DeFi-биржу THORChain, в отмыве также засветились прокси-сервис от OKX и ExCH. Последняя вышла на нешуточный конфликт с Bybit в попытках откреститься от идущих через неё криптоденежек. Гендиректор Bybit же утверждает, что ближайшие пару недель станут критическими в заморозке средств — дальше они исчезнут без следа. Тем не менее, заморозить пока удалось лишь 3% стянутого, и 20% с радаров уже пропали. И только у охотников за наградой праздник: им выплатили уже более $2 миллионов с возвращённых средств. Что для КНДР недополученные доли процента от бюджета, для ловцов шального эфира — уникальная возможность разбогатеть.
@tomhunter
😁7❤2🔥2🤬1
#news Секретная служба США перехватила сайт российской криптобиржи Garantex. Домены изъяты и ведут на серверы, контролируемые службой. На сайте теперь красуется заглушка в лучших традициях таких перехватов.
Параллельно эмиттер стейбла USDT Tether заблокировал крипту на кошельках биржи на 2,5 миллиарда рублей. На фоне этого у Garantex случились непроизвольные технические работы, и она приостановила оказание всех услуг, включая вывод средств. Ну а пока в родном сегменте интернетов стоит вой про войну против российского крипторынка и американку, которая гадит, остаётся напомнить, что Garantex под санкциями США с апреля 2022-го года. И не за борьбу за многополярный мир, а проступки более приземленные: прогон больше $100 миллионов подозрительных транзакций, в том числе связанных с Conti и Hydra. Так что под вопли о невинных жертвах американского империализма не забывайте следить за руками. И криптокошельками. А то ведь чревато.
@tomhunter
Параллельно эмиттер стейбла USDT Tether заблокировал крипту на кошельках биржи на 2,5 миллиарда рублей. На фоне этого у Garantex случились непроизвольные технические работы, и она приостановила оказание всех услуг, включая вывод средств. Ну а пока в родном сегменте интернетов стоит вой про войну против российского крипторынка и американку, которая гадит, остаётся напомнить, что Garantex под санкциями США с апреля 2022-го года. И не за борьбу за многополярный мир, а проступки более приземленные: прогон больше $100 миллионов подозрительных транзакций, в том числе связанных с Conti и Hydra. Так что под вопли о невинных жертвах американского империализма не забывайте следить за руками. И криптокошельками. А то ведь чревато.
@tomhunter
😁8👍7🔥2
#news Оригинальный кейс рансомварь-атаки от Akira. Группировка проникла в сети жертвы, но её энкриптор был заблокирован EDR-решением. Но на этом злоумышленники не остановились, и развернули шифровальщик на уязвимой веб-камере.
Камера крутилась на версии Linux, поддерживавшей энкриптор группировки. Так что к ней подключились, развернули вредонос через SMB и зашифровали сетевые диски. А так как устройство не мониторили, полетевший на сервер по SMB вредоносный трафик просто не заметили. При этом у камеры было обновление прошивки, закрывшее брешь, но оно просто не было установлено. Так что атаки можно было избежать. Как, впрочем, и большинства других атак. Но это сценарий из идеального мира. В реальности же и висящая в офисе камера — это поверхность атаки для находчивого злоумышленника. Потому что надо было изолировать её от остальной сети, а не подключать как попало.
@tomhunter
Камера крутилась на версии Linux, поддерживавшей энкриптор группировки. Так что к ней подключились, развернули вредонос через SMB и зашифровали сетевые диски. А так как устройство не мониторили, полетевший на сервер по SMB вредоносный трафик просто не заметили. При этом у камеры было обновление прошивки, закрывшее брешь, но оно просто не было установлено. Так что атаки можно было избежать. Как, впрочем, и большинства других атак. Но это сценарий из идеального мира. В реальности же и висящая в офисе камера — это поверхность атаки для находчивого злоумышленника. Потому что надо было изолировать её от остальной сети, а не подключать как попало.
@tomhunter
🔥11👍6❤5
⚡ Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🤡14🔥2🎉1
#news Анализ 10 самых популярных приложений для очистки памяти в App Store показал удручающие результаты. Все десять передают данные третьим сторонам. В том числе геолокацию, историю покупок и взаимодействия с рекламой.
Девять из десяти приложений отправляют идентификаторы, семь бонусом шлют из упомянутого выше. Два из них отсылают на сторону местоположение юзеров. Абсолютный чемпион в списке — Cleaner Kit. Он сливает уважаемым партнёрам в лице брокеров 9 категорий данных, которые потом разлетаются по сотням компаний. В общем, чистить свой айфончик от лишнего лучше вручную. Из альтернатив в основном выбор между брокерским зондом и залётной малварью под видом искомого софта. А пока можете поискать любимый инструмент в списке и перепроверить его политику конфиденциальности. А то ведь может и доступ к камере запросить.
@tomhunter
Девять из десяти приложений отправляют идентификаторы, семь бонусом шлют из упомянутого выше. Два из них отсылают на сторону местоположение юзеров. Абсолютный чемпион в списке — Cleaner Kit. Он сливает уважаемым партнёрам в лице брокеров 9 категорий данных, которые потом разлетаются по сотням компаний. В общем, чистить свой айфончик от лишнего лучше вручную. Из альтернатив в основном выбор между брокерским зондом и залётной малварью под видом искомого софта. А пока можете поискать любимый инструмент в списке и перепроверить его политику конфиденциальности. А то ведь может и доступ к камере запросить.
@tomhunter
😁10👍4🔥1
#news По компьютерам в России распространяется SilentCryptoMiner. Вектор заражения в духе времени: майнер ловят в попытках обойти блокировки YouTube и Discord. Счёт заражённых устройств идёт на тысячи, у видео со ссылками сотни тысяч просмотров.
Из интересного, злоумышленники с помощью шантажа вынуждают блогеров на YouTube участвовать в распространении малвари. Они кидают страйки от лица разработчиков инструмента для обхода блокировок, троянизированную версию которого распространяют. У владельцев канала требуют постить ссылки на сайт с вредоносом вместо Гитхаба с оригинальным софтом, а также снять ещё два видео для его распространения. Так что если ваш любимый блогер начал активно продвигать инструмент для борьбы с деградацией ютубовских серверов, не спешите переходить по ссылке. Не все клоны GoodbyeDPI одинаково полезны.
@tomhunter
Из интересного, злоумышленники с помощью шантажа вынуждают блогеров на YouTube участвовать в распространении малвари. Они кидают страйки от лица разработчиков инструмента для обхода блокировок, троянизированную версию которого распространяют. У владельцев канала требуют постить ссылки на сайт с вредоносом вместо Гитхаба с оригинальным софтом, а также снять ещё два видео для его распространения. Так что если ваш любимый блогер начал активно продвигать инструмент для борьбы с деградацией ютубовских серверов, не спешите переходить по ссылке. Не все клоны GoodbyeDPI одинаково полезны.
@tomhunter
😁17🤡4🤬3
#news По запретному в наших краях eX-Твиттеру вчера прошлась DDoS-атака, вызвавшая перебои в работе платформы и фрустрацию у твиттерозависимых. Ответственность на себя взяли пропалестинские хактивисты из Dark Storm Team.
Из занятного, Маск сгоряча успел заявить, что дудосят его из Украины. И айпишники из украинского региона, и атака такая массивная, что явно скоординирована — возможно, на уровне страны. В общем, можно в прямом эфире дивиться на не очень психически здорового индивида с миллиардами долларов и буйными фантазиями. То он солнышко покажет, то украинские дудосы ему мерещатся. Может, юные дарования из The Com, нанятые Маском в DOGE, популярно объяснят ему ценность гадания по айпишникам и базовые принципы DDoS-атак. Хотя цель громких заявлений Маска явно не в демонстрации своей некомпетентности, конечно.
@tomhunter
Из занятного, Маск сгоряча успел заявить, что дудосят его из Украины. И айпишники из украинского региона, и атака такая массивная, что явно скоординирована — возможно, на уровне страны. В общем, можно в прямом эфире дивиться на не очень психически здорового индивида с миллиардами долларов и буйными фантазиями. То он солнышко покажет, то украинские дудосы ему мерещатся. Может, юные дарования из The Com, нанятые Маском в DOGE, популярно объяснят ему ценность гадания по айпишникам и базовые принципы DDoS-атак. Хотя цель громких заявлений Маска явно не в демонстрации своей некомпетентности, конечно.
@tomhunter
😁19👎5🤡4👍2
👾 ИАС «ОКО», кроме проверки физических и юридических лиц, а также их контактов, умеет отлично проводить сбор данных из открытых источников по автотранспорту.
⚡Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
🤡14👍9🤬2💯2❤1