#news Рансомварь-группировка «У нас нет тормозов» Qilin продолжает отмечаться громкими атаками по здравоохранению. За последний месяц злоумышленники взломали две клиники в США и Японии, включая онкологическую.
В обоих случаях группировка слила сэмплы украденных данных с документами пациентов. В японской больнице скомпрометированы данные 300 тысяч клиентов, работа штатовской была нарушена на пару дней. Ранее Qilin также светилась во взломах некоммерческих организаций, помогающих детям и бездомным, а также поставщиков медицинских услуг. В нашумевшем случае в Британии это серьёзно нарушило работу больниц по всей стране. В общем, когда от Европола и компании поступят благие вести, мало кто расстроится даже среди самых отбитых персонажей на рансомварь-сцене. Слишком уж много от них проблем.
@tomhunter
В обоих случаях группировка слила сэмплы украденных данных с документами пациентов. В японской больнице скомпрометированы данные 300 тысяч клиентов, работа штатовской была нарушена на пару дней. Ранее Qilin также светилась во взломах некоммерческих организаций, помогающих детям и бездомным, а также поставщиков медицинских услуг. В нашумевшем случае в Британии это серьёзно нарушило работу больниц по всей стране. В общем, когда от Европола и компании поступят благие вести, мало кто расстроится даже среди самых отбитых персонажей на рансомварь-сцене. Слишком уж много от них проблем.
@tomhunter
🤬12👍5💯4😁3🤔1
#news Cellebrite не отстаёт от сомнительного тренда в айтишечке: компания внедрила в свои продукты LLM. Последняя будет обобщать историю поиска, содержимое чатов и аудиосообщений с проверяемых телефонов, переводить их и заниматься прочим сопутствующим.
LLM в софте в теории сэкономит сотни часов ручного анализа логов. Тем не менее, потенциально это может создать и немало проблем для подозреваемых. Скажем, в сценарии, где ограниченный своим дата-сетом ИИ делает неправильные выводы, а языковая модель на основе белка ленится проверять нагенерированное. Кто анализировал массивы чатов через ChatGPT, тот в курсе, как часто его начинает глючить и что каждый вывод нужно ревьюить вручную. Сдаёшь телефон на проверку дружелюбному майору. ИИ-модель от Cellebrite на основе подписок, дурацких шуточек и мемов в чатиках галлюцинирует, что ты опасный экстремист. Твои действия?
@tomhunter
LLM в софте в теории сэкономит сотни часов ручного анализа логов. Тем не менее, потенциально это может создать и немало проблем для подозреваемых. Скажем, в сценарии, где ограниченный своим дата-сетом ИИ делает неправильные выводы, а языковая модель на основе белка ленится проверять нагенерированное. Кто анализировал массивы чатов через ChatGPT, тот в курсе, как часто его начинает глючить и что каждый вывод нужно ревьюить вручную. Сдаёшь телефон на проверку дружелюбному майору. ИИ-модель от Cellebrite на основе подписок, дурацких шуточек и мемов в чатиках галлюцинирует, что ты опасный экстремист. Твои действия?
@tomhunter
😁14🤬2❤1🤔1
#digest Ушедший месяц отметился множеством интересных новостных поводов, так что давайте подводить его итоги. Главным событием февраля, конечно, стал взлом Bybit на рекордную сумму. Тем временем в Штатах департамент Doge поверг в шок всю местную бюрократию, затронув и ИБ-сектор, а в отношениях США и России в сфере инфобеза наметилась оттепель.
В феврале члены рансомварь-группировки 8Base были арестованы, а Black Basta получила мощный удар — утечку своих чатов. Чиновники в ЕС разошлись, массово требуя бэкдоры в мессенджеры. А ИИ-модель Deepseek попала под пристальное внимание безопасников по следам своего громкого релиза. Об этом и других ключевых новостях последнего зимнего месяца читайте на Хабре!
@tomhunter
В феврале члены рансомварь-группировки 8Base были арестованы, а Black Basta получила мощный удар — утечку своих чатов. Чиновники в ЕС разошлись, массово требуя бэкдоры в мессенджеры. А ИИ-модель Deepseek попала под пристальное внимание безопасников по следам своего громкого релиза. Об этом и других ключевых новостях последнего зимнего месяца читайте на Хабре!
@tomhunter
👍3🔥1
#news Спустя меньше двух недель после взлома Bybit Lazarus уже успела отмыть больше миллиарда долларов эфира. В операции задействованы почти 7,000 кошельков, 83% средств конвертировали в биток.
Большую часть украденного провели через DeFi-биржу THORChain, в отмыве также засветились прокси-сервис от OKX и ExCH. Последняя вышла на нешуточный конфликт с Bybit в попытках откреститься от идущих через неё криптоденежек. Гендиректор Bybit же утверждает, что ближайшие пару недель станут критическими в заморозке средств — дальше они исчезнут без следа. Тем не менее, заморозить пока удалось лишь 3% стянутого, и 20% с радаров уже пропали. И только у охотников за наградой праздник: им выплатили уже более $2 миллионов с возвращённых средств. Что для КНДР недополученные доли процента от бюджета, для ловцов шального эфира — уникальная возможность разбогатеть.
@tomhunter
Большую часть украденного провели через DeFi-биржу THORChain, в отмыве также засветились прокси-сервис от OKX и ExCH. Последняя вышла на нешуточный конфликт с Bybit в попытках откреститься от идущих через неё криптоденежек. Гендиректор Bybit же утверждает, что ближайшие пару недель станут критическими в заморозке средств — дальше они исчезнут без следа. Тем не менее, заморозить пока удалось лишь 3% стянутого, и 20% с радаров уже пропали. И только у охотников за наградой праздник: им выплатили уже более $2 миллионов с возвращённых средств. Что для КНДР недополученные доли процента от бюджета, для ловцов шального эфира — уникальная возможность разбогатеть.
@tomhunter
😁7❤2🔥2🤬1
#news Секретная служба США перехватила сайт российской криптобиржи Garantex. Домены изъяты и ведут на серверы, контролируемые службой. На сайте теперь красуется заглушка в лучших традициях таких перехватов.
Параллельно эмиттер стейбла USDT Tether заблокировал крипту на кошельках биржи на 2,5 миллиарда рублей. На фоне этого у Garantex случились непроизвольные технические работы, и она приостановила оказание всех услуг, включая вывод средств. Ну а пока в родном сегменте интернетов стоит вой про войну против российского крипторынка и американку, которая гадит, остаётся напомнить, что Garantex под санкциями США с апреля 2022-го года. И не за борьбу за многополярный мир, а проступки более приземленные: прогон больше $100 миллионов подозрительных транзакций, в том числе связанных с Conti и Hydra. Так что под вопли о невинных жертвах американского империализма не забывайте следить за руками. И криптокошельками. А то ведь чревато.
@tomhunter
Параллельно эмиттер стейбла USDT Tether заблокировал крипту на кошельках биржи на 2,5 миллиарда рублей. На фоне этого у Garantex случились непроизвольные технические работы, и она приостановила оказание всех услуг, включая вывод средств. Ну а пока в родном сегменте интернетов стоит вой про войну против российского крипторынка и американку, которая гадит, остаётся напомнить, что Garantex под санкциями США с апреля 2022-го года. И не за борьбу за многополярный мир, а проступки более приземленные: прогон больше $100 миллионов подозрительных транзакций, в том числе связанных с Conti и Hydra. Так что под вопли о невинных жертвах американского империализма не забывайте следить за руками. И криптокошельками. А то ведь чревато.
@tomhunter
😁8👍7🔥2
#news Оригинальный кейс рансомварь-атаки от Akira. Группировка проникла в сети жертвы, но её энкриптор был заблокирован EDR-решением. Но на этом злоумышленники не остановились, и развернули шифровальщик на уязвимой веб-камере.
Камера крутилась на версии Linux, поддерживавшей энкриптор группировки. Так что к ней подключились, развернули вредонос через SMB и зашифровали сетевые диски. А так как устройство не мониторили, полетевший на сервер по SMB вредоносный трафик просто не заметили. При этом у камеры было обновление прошивки, закрывшее брешь, но оно просто не было установлено. Так что атаки можно было избежать. Как, впрочем, и большинства других атак. Но это сценарий из идеального мира. В реальности же и висящая в офисе камера — это поверхность атаки для находчивого злоумышленника. Потому что надо было изолировать её от остальной сети, а не подключать как попало.
@tomhunter
Камера крутилась на версии Linux, поддерживавшей энкриптор группировки. Так что к ней подключились, развернули вредонос через SMB и зашифровали сетевые диски. А так как устройство не мониторили, полетевший на сервер по SMB вредоносный трафик просто не заметили. При этом у камеры было обновление прошивки, закрывшее брешь, но оно просто не было установлено. Так что атаки можно было избежать. Как, впрочем, и большинства других атак. Но это сценарий из идеального мира. В реальности же и висящая в офисе камера — это поверхность атаки для находчивого злоумышленника. Потому что надо было изолировать её от остальной сети, а не подключать как попало.
@tomhunter
🔥11👍6❤5
⚡ Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🤡14🔥2🎉1
#news Анализ 10 самых популярных приложений для очистки памяти в App Store показал удручающие результаты. Все десять передают данные третьим сторонам. В том числе геолокацию, историю покупок и взаимодействия с рекламой.
Девять из десяти приложений отправляют идентификаторы, семь бонусом шлют из упомянутого выше. Два из них отсылают на сторону местоположение юзеров. Абсолютный чемпион в списке — Cleaner Kit. Он сливает уважаемым партнёрам в лице брокеров 9 категорий данных, которые потом разлетаются по сотням компаний. В общем, чистить свой айфончик от лишнего лучше вручную. Из альтернатив в основном выбор между брокерским зондом и залётной малварью под видом искомого софта. А пока можете поискать любимый инструмент в списке и перепроверить его политику конфиденциальности. А то ведь может и доступ к камере запросить.
@tomhunter
Девять из десяти приложений отправляют идентификаторы, семь бонусом шлют из упомянутого выше. Два из них отсылают на сторону местоположение юзеров. Абсолютный чемпион в списке — Cleaner Kit. Он сливает уважаемым партнёрам в лице брокеров 9 категорий данных, которые потом разлетаются по сотням компаний. В общем, чистить свой айфончик от лишнего лучше вручную. Из альтернатив в основном выбор между брокерским зондом и залётной малварью под видом искомого софта. А пока можете поискать любимый инструмент в списке и перепроверить его политику конфиденциальности. А то ведь может и доступ к камере запросить.
@tomhunter
😁10👍4🔥1
#news По компьютерам в России распространяется SilentCryptoMiner. Вектор заражения в духе времени: майнер ловят в попытках обойти блокировки YouTube и Discord. Счёт заражённых устройств идёт на тысячи, у видео со ссылками сотни тысяч просмотров.
Из интересного, злоумышленники с помощью шантажа вынуждают блогеров на YouTube участвовать в распространении малвари. Они кидают страйки от лица разработчиков инструмента для обхода блокировок, троянизированную версию которого распространяют. У владельцев канала требуют постить ссылки на сайт с вредоносом вместо Гитхаба с оригинальным софтом, а также снять ещё два видео для его распространения. Так что если ваш любимый блогер начал активно продвигать инструмент для борьбы с деградацией ютубовских серверов, не спешите переходить по ссылке. Не все клоны GoodbyeDPI одинаково полезны.
@tomhunter
Из интересного, злоумышленники с помощью шантажа вынуждают блогеров на YouTube участвовать в распространении малвари. Они кидают страйки от лица разработчиков инструмента для обхода блокировок, троянизированную версию которого распространяют. У владельцев канала требуют постить ссылки на сайт с вредоносом вместо Гитхаба с оригинальным софтом, а также снять ещё два видео для его распространения. Так что если ваш любимый блогер начал активно продвигать инструмент для борьбы с деградацией ютубовских серверов, не спешите переходить по ссылке. Не все клоны GoodbyeDPI одинаково полезны.
@tomhunter
😁17🤡4🤬3
#news По запретному в наших краях eX-Твиттеру вчера прошлась DDoS-атака, вызвавшая перебои в работе платформы и фрустрацию у твиттерозависимых. Ответственность на себя взяли пропалестинские хактивисты из Dark Storm Team.
Из занятного, Маск сгоряча успел заявить, что дудосят его из Украины. И айпишники из украинского региона, и атака такая массивная, что явно скоординирована — возможно, на уровне страны. В общем, можно в прямом эфире дивиться на не очень психически здорового индивида с миллиардами долларов и буйными фантазиями. То он солнышко покажет, то украинские дудосы ему мерещатся. Может, юные дарования из The Com, нанятые Маском в DOGE, популярно объяснят ему ценность гадания по айпишникам и базовые принципы DDoS-атак. Хотя цель громких заявлений Маска явно не в демонстрации своей некомпетентности, конечно.
@tomhunter
Из занятного, Маск сгоряча успел заявить, что дудосят его из Украины. И айпишники из украинского региона, и атака такая массивная, что явно скоординирована — возможно, на уровне страны. В общем, можно в прямом эфире дивиться на не очень психически здорового индивида с миллиардами долларов и буйными фантазиями. То он солнышко покажет, то украинские дудосы ему мерещатся. Может, юные дарования из The Com, нанятые Маском в DOGE, популярно объяснят ему ценность гадания по айпишникам и базовые принципы DDoS-атак. Хотя цель громких заявлений Маска явно не в демонстрации своей некомпетентности, конечно.
@tomhunter
😁19👎5🤡4👍2
👾 ИАС «ОКО», кроме проверки физических и юридических лиц, а также их контактов, умеет отлично проводить сбор данных из открытых источников по автотранспорту.
⚡Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
🤡14👍9🤬2💯2❤1
#news Исследователи разработали новый способ манипуляции памятью ИИ-моделей. Причём без доступа к начинке — достаточно взаимодействия на стороне юзера. В итоге медпомощник путается в данных пациентов, онлайн-магазин предлагает покупателем не те товары, а QA-агент неправильно отвечает на вопросы.
Способ сводится к запросам с ложными указаниями. Злоумышленник добавляет к ним скрытые инструкции, которые LLM’ка пишет себе в память. И когда пользователь задаёт похожий вопрос, модель вытаскивает из памяти изменённые записи и выдаёт неверные ответы. Тест на агентах на основе ChatGPT показал 95% успешность внедрения. И пока атака избегает стандартного обнаружения вредоносных промптов. Так что скучающий юзер может на досуге поломать чат-бот не доставившего ему заказ онлайн-магазина. То же могут сделать и конкуренты. Или медбрат с дурными намерениями отравит выдачу ИИ-помощника в своей клинике с непредсказуемыми последствиями. Иными словами, новые технологии, новые поверхности атаки.
@tomhunter
Способ сводится к запросам с ложными указаниями. Злоумышленник добавляет к ним скрытые инструкции, которые LLM’ка пишет себе в память. И когда пользователь задаёт похожий вопрос, модель вытаскивает из памяти изменённые записи и выдаёт неверные ответы. Тест на агентах на основе ChatGPT показал 95% успешность внедрения. И пока атака избегает стандартного обнаружения вредоносных промптов. Так что скучающий юзер может на досуге поломать чат-бот не доставившего ему заказ онлайн-магазина. То же могут сделать и конкуренты. Или медбрат с дурными намерениями отравит выдачу ИИ-помощника в своей клинике с непредсказуемыми последствиями. Иными словами, новые технологии, новые поверхности атаки.
@tomhunter
👍11🔥4🤡3❤1
#news Эпичный финал Garantex все застали? Бонусом к истории добавился арест сооснователя Алексея Бесчиокова, он же proforg. Бесчиоков предположительно админил ключевую инфраструктуру и проверял транзакции, так что в его задержании ФБР максимально заинтересовано.
Между тем товарища приняли в Индии, где он находился в отпуске с семьёй. Видимо, ордер на арест парой дней ранее мысли о поспешном отъезде туда, откуда выдачи нет, в голову не заронил. Знаменитые последние слова: «Что они сделают, вышлют меня в США, что ли?» К слову, соглашению о выдаче с Индией больше годиков, чем среднему криптоэнтузиасту. Напомню, Garantex была не только пунктом назначения грузовиков с валютой в Москва-Сити, но и засветилась в отмыве украденного для Lazarus. А как только в деле появляются криптостахановцы, платформе и её владельцам от цифрового будущего до настоящего в камере путь прокладывают быстрее, чем взлетает и падает очередной щиткоин.
@tomhunter
Между тем товарища приняли в Индии, где он находился в отпуске с семьёй. Видимо, ордер на арест парой дней ранее мысли о поспешном отъезде туда, откуда выдачи нет, в голову не заронил. Знаменитые последние слова: «Что они сделают, вышлют меня в США, что ли?» К слову, соглашению о выдаче с Индией больше годиков, чем среднему криптоэнтузиасту. Напомню, Garantex была не только пунктом назначения грузовиков с валютой в Москва-Сити, но и засветилась в отмыве украденного для Lazarus. А как только в деле появляются криптостахановцы, платформе и её владельцам от цифрового будущего до настоящего в камере путь прокладывают быстрее, чем взлетает и падает очередной щиткоин.
@tomhunter
😁15👍5🤔3
#news Из штатовского CISA одним махом уволили больше сотни безопасников. Пару недель назад они попали под топор печально известной DOGE. Не вписались в эффективный госрыночек по версии Маска, в общем.
Под сокращение попала красная команда агентства, спецы по реагированию на инциденты из CIRT, занятые в пентесте и ИБ госсетей, и прочие. Все они лишились доступа к корпоративным сетям без предупреждения. Это уже третий раунд увольнений в CISA за последние месяцы, и что будет со способностью агентства обеспечивать национальную кибербезопасность, пока неизвестно. ИБ-специалисты на этот вопрос ответить затрудняются. Но если по следам творящегося бедлама китайские братушки устроят новые масштабные заходы в американские сети, можно будет фиксировать результат. И толпу желающих подпалить вражью Теслу пополнят сокращённые пентестеры.
@tomhunter
Под сокращение попала красная команда агентства, спецы по реагированию на инциденты из CIRT, занятые в пентесте и ИБ госсетей, и прочие. Все они лишились доступа к корпоративным сетям без предупреждения. Это уже третий раунд увольнений в CISA за последние месяцы, и что будет со способностью агентства обеспечивать национальную кибербезопасность, пока неизвестно. ИБ-специалисты на этот вопрос ответить затрудняются. Но если по следам творящегося бедлама китайские братушки устроят новые масштабные заходы в американские сети, можно будет фиксировать результат. И толпу желающих подпалить вражью Теслу пополнят сокращённые пентестеры.
@tomhunter
😁16👍8🤡3