#news Сломать что-нибудь в системе свежим апдейтом — добрая традиция Microsoft, но на этот раз компания превзошла себя. Недавно выпущенные обновления Windows 11 24H2 KB5063878 и KB5062660, судя по всему, корраптят жёсткие диски.
Жёсткие отваливаются при записи крупных файлов (на десятки гигабайт). Заметивший проблему юзер пишет, что где-то на 50 GB записи сыпятся разделы, в худшем случае намертво. Проблема затронула SSD, особенно с контроллерами от Phison (это условно каждый пятый жёсткий), есть репорты и по HDD. Спекулируют, что проблема в утечке памяти в буфере ОС. Официальных комментариев пока нет, но Phison подтвердила, что работает с Microsoft над проблемой, так что это вжжж неспроста. Ну а пока счастливым пользователям Windows 11 рекомендуют не писать и не разархивировать крупные файлы. Для верности можно и вредоносные обновления откатить.
@tomhunter
Жёсткие отваливаются при записи крупных файлов (на десятки гигабайт). Заметивший проблему юзер пишет, что где-то на 50 GB записи сыпятся разделы, в худшем случае намертво. Проблема затронула SSD, особенно с контроллерами от Phison (это условно каждый пятый жёсткий), есть репорты и по HDD. Спекулируют, что проблема в утечке памяти в буфере ОС. Официальных комментариев пока нет, но Phison подтвердила, что работает с Microsoft над проблемой, так что это вжжж неспроста. Ну а пока счастливым пользователям Windows 11 рекомендуют не писать и не разархивировать крупные файлы. Для верности можно и вредоносные обновления откатить.
@tomhunter
🔥10🤯5🤝2👎1
#news Grok от xAI пополнил список ИИ-моделей, чьи чаты проиндексированы поисковиками. Около 370 тысяч чатов попали в выдачу и находятся в одном клике для всех желающих их наскрапить.
Принцип тот же, что и с прочими LLM’ками: юзеры делились чатами в личной переписке, и через созданные ссылки делали их открытыми для индексации. Некоторые глубоко шокированы. Особенно с оглядкой на то, что несколько недель назад, после того как ChatGPT залетел в новости с аналогичным инфоповодом, твиттерный кремниевый болванчик с апломбом заявил, что у Grok такой фичи нет, и вообще у них в приоритете приватность — читайте их политику. Вокруг заявления победный танец сплясал Маск, а теперь выясняется, что и фича есть, и индексация аналогичная. Вышло, конечно, неловко, но через неделю об этом уже всё равно никто не вспомнит, переключившись на свежую сенсацию дня. Так что чего переживать.
@tomhunter
Принцип тот же, что и с прочими LLM’ками: юзеры делились чатами в личной переписке, и через созданные ссылки делали их открытыми для индексации. Некоторые глубоко шокированы. Особенно с оглядкой на то, что несколько недель назад, после того как ChatGPT залетел в новости с аналогичным инфоповодом, твиттерный кремниевый болванчик с апломбом заявил, что у Grok такой фичи нет, и вообще у них в приоритете приватность — читайте их политику. Вокруг заявления победный танец сплясал Маск, а теперь выясняется, что и фича есть, и индексация аналогичная. Вышло, конечно, неловко, но через неделю об этом уже всё равно никто не вспомнит, переключившись на свежую сенсацию дня. Так что чего переживать.
@tomhunter
😁16👍3🔥1
#news Занятный поворот по вчерашним новостям о награде за Qilin от Европола. Выглядело это крайне подозрительно не просто так: в службе информацию опровергли — и наград они не предлагали, и аккаунты в Telegram не их.
Проще говоря, это фейк от коллег Qilin по бизнесу. Вопрос только в том, это просто psyop, чтобы напугать партнёров группировки на раздухарившейся в последние месяцы рансомварь-сцене, или реальная попытка получить информацию на операторов под видом Европола. В любом случае, опять же, нужно было не скупиться на сумму — если хочешь посеять панику среди конкурентов, такими скромными выплатами их не напугаешь. Да и не перекупишь. В общем, троллинг на троечку одним днём. С другой стороны, задумка-то отличная: если рансомварщики начнут активно деанонить друг друга и сдавать трёхбуквенным агентствам (привет, REvil!), я вижу это как абсолютный win-win.
@tomhunter
Проще говоря, это фейк от коллег Qilin по бизнесу. Вопрос только в том, это просто psyop, чтобы напугать партнёров группировки на раздухарившейся в последние месяцы рансомварь-сцене, или реальная попытка получить информацию на операторов под видом Европола. В любом случае, опять же, нужно было не скупиться на сумму — если хочешь посеять панику среди конкурентов, такими скромными выплатами их не напугаешь. Да и не перекупишь. В общем, троллинг на троечку одним днём. С другой стороны, задумка-то отличная: если рансомварщики начнут активно деанонить друг друга и сдавать трёхбуквенным агентствам (привет, REvil!), я вижу это как абсолютный win-win.
@tomhunter
🔥4😁3💯2
#news Браузерные плагины популярных менеджеров паролей оказались уязвимы к кликджекинг-атакам. А именно к эксплойту функциональности автозаполнения — юзер рискует в один клик не туда слить данные доступа злоумышленнику.
Исследователь протестировал 11 менеджеров паролей, все оказались уязвимы к атаке в том или ином виде. Она сводится к манипуляциям прозрачностью элементов, наложением или событиями указателя, чтобы вынудить жертву кликнуть на скрытую форму с автозаполнением. Пока нет фиксов, рекомендуют ограничиться копипастом. Между тем реакция разработчиков как всегда. Часть не ответили, часть выдали карточку “out-of-scope”. Шевелиться начали, только когда доклад ушёл на DefCon, и к делу подключилась ИБ-фирма, начавшая тыкать палочкой в вендоров и рассылать им письма формата “Ищите свои продукты в свежих CVE, которые мы зарегистрировали”. Но теперь шуму подняли достаточно, так что пошла глубокая озабоченность и фиксы. Классика.
@tomhunter
Исследователь протестировал 11 менеджеров паролей, все оказались уязвимы к атаке в том или ином виде. Она сводится к манипуляциям прозрачностью элементов, наложением или событиями указателя, чтобы вынудить жертву кликнуть на скрытую форму с автозаполнением. Пока нет фиксов, рекомендуют ограничиться копипастом. Между тем реакция разработчиков как всегда. Часть не ответили, часть выдали карточку “out-of-scope”. Шевелиться начали, только когда доклад ушёл на DefCon, и к делу подключилась ИБ-фирма, начавшая тыкать палочкой в вендоров и рассылать им письма формата “Ищите свои продукты в свежих CVE, которые мы зарегистрировали”. Но теперь шуму подняли достаточно, так что пошла глубокая озабоченность и фиксы. Классика.
@tomhunter
👍9🔥3🤝1
#article В нашей сегодняшней статье мы разберём, как собрать свой личный мини-SOC для мониторинга доменов. Для этого нам понадобятся Google Таблицы, несколько скриптов и никаких вложений.
Просроченный SSL, утечка данных партнера, внезапно оживший киберсквоттинг-домен — всё это реальные риски, которые можно выявить и предотвратить до атаки, используя OSINT и немного автоматизации. И создать инструмент для мониторинга безопасности доменов можно за 15 минут. За подробностями добро пожаловать на Хабр!
@tomhunter
Просроченный SSL, утечка данных партнера, внезапно оживший киберсквоттинг-домен — всё это реальные риски, которые можно выявить и предотвратить до атаки, используя OSINT и немного автоматизации. И создать инструмент для мониторинга безопасности доменов можно за 15 минут. За подробностями добро пожаловать на Хабр!
@tomhunter
👍8🔥4🤡2🤝2
#news Пятничные новости из нестареющей рубрики "Мстительные сотрудники". Разработчик из США получил 4 года заключения за кастомную малварь и kill switch в сетях бывшего работодателя.
Дэвис Лу работал в крупной корпорации в Огайо 12 лет, но попал под понижение и в итоге был уволен. К мести он подошёл изобретательно: после понижения он закинул на серверы вредонос на Java, который крашил их бесконечным циклом. А к увольнению подготовил скрипт, который заблокировал тысячи аккаунтов сотрудников, как только его аккаунт в Active Directory отключили. И назвал его “IsDLEnabledinAD”. По итогам Лу попался на банальных опсек-ошибках, но план-то был с огоньком. Я не боюсь разраба, который уволился из 12 компаний за год. Я боюсь разраба, которого уволили из одной компании спустя 12 лет.
@tomhunter
Дэвис Лу работал в крупной корпорации в Огайо 12 лет, но попал под понижение и в итоге был уволен. К мести он подошёл изобретательно: после понижения он закинул на серверы вредонос на Java, который крашил их бесконечным циклом. А к увольнению подготовил скрипт, который заблокировал тысячи аккаунтов сотрудников, как только его аккаунт в Active Directory отключили. И назвал его “IsDLEnabledinAD”. По итогам Лу попался на банальных опсек-ошибках, но план-то был с огоньком. Я не боюсь разраба, который уволился из 12 компаний за год. Я боюсь разраба, которого уволили из одной компании спустя 12 лет.
@tomhunter
😁17👍2🔥2
#news Хроники торжества ClickFix в сетевых дебрях. Через атаку распространяют новый вариант Atomic macOS Stealer. И вариации социнженерии интересные.
Один из вариантов — вредоносные репозитории на GitHub. Жертве предлагают закинуть команду в терминал для установки софта; вместо этого она подтягивает инфостилер. Не обошлось и без классики: вредоносная реклама от Google. Юзер гуглит решение распространённых проблем в духе очистки DNS-кэша или подключения принтера к любимому Маку. И получает инструкцию по установке малвари, проспонсированную Гуглом. Так что любимым коллегам можно отправить ссылку на адблокер, если в 2025-м есть живущие без него, и объяснить, что не нужно совать что попало в терминал.А нелюбимым выслать инструкцию со скрина.
@tomhunter
Один из вариантов — вредоносные репозитории на GitHub. Жертве предлагают закинуть команду в терминал для установки софта; вместо этого она подтягивает инфостилер. Не обошлось и без классики: вредоносная реклама от Google. Юзер гуглит решение распространённых проблем в духе очистки DNS-кэша или подключения принтера к любимому Маку. И получает инструкцию по установке малвари, проспонсированную Гуглом. Так что любимым коллегам можно отправить ссылку на адблокер, если в 2025-м есть живущие без него, и объяснить, что не нужно совать что попало в терминал.
@tomhunter
😁11❤2👍2🔥1
#news Классика оффенсив-инструментов из случайной гитхабной подворотни. Исследователи наткнулись на модуль на Go для брутфорса по SSH, который на первой же удачной паре отсылает айпишник и данные пользователя в Telegram оператору и сворачивается.
Модуль простенький: генерирует случайные IPv4-адреса, стучится по порту 22 и перебирает данные доступа по куцому root/admin словарю. Профиль на GitHub недоступен, а вот на pkg[.]go[.]dev пакет всё ещё лежит. С 2022-го. И токен от бота в Telegram всё ещё активен. Автор пакета — русскоязычный разработчик с набором схожих инструментов с аналогичной же функциональностью. Товарищ занимается просвещением самых маленьких безопасников, в общем. Кто качает краснокомандные утилиты и прочие смс-бомберы от анимешных девочек с Github, не проверяя код под лупой на изолированной от сети песочнице, того ждут много открытий чудных.
@tomhunter
Модуль простенький: генерирует случайные IPv4-адреса, стучится по порту 22 и перебирает данные доступа по куцому root/admin словарю. Профиль на GitHub недоступен, а вот на pkg[.]go[.]dev пакет всё ещё лежит. С 2022-го. И токен от бота в Telegram всё ещё активен. Автор пакета — русскоязычный разработчик с набором схожих инструментов с аналогичной же функциональностью. Товарищ занимается просвещением самых маленьких безопасников, в общем. Кто качает краснокомандные утилиты и прочие смс-бомберы от анимешных девочек с Github, не проверяя код под лупой на изолированной от сети песочнице, того ждут много открытий чудных.
@tomhunter
😁17👍2🤯1
#news Исследователи представили атаку на внедрение промптов в LLM’ки с помощью изображений. Она эксплойтит уменьшение разрешения моделями, чтобы скрывать инструкции на безобидных на первый взгляд картинках.
В зависимости от алгоритма даунскейлинга, изображение, которое в результате видит модель, может стать светлее. На скрине пример оригинала и результата уменьшения. Из митигаций рекомендуют порезать даунскейлинг как таковой, а лучше закрыть моделям чтение промптов с изображений по умолчанию. Бонусом доступна утилита для генерации вредоносных изображений — желающие могут [этично] потестировать любимые LLM’ки. Что для Кикиморы Морозовой (имя исследовательницы, между прочим) — способ удовлетворения своего запущенного аутизма, то для разработчиков моделей — головная боль по закрытию очередной гипотетической уязвимости. Подробнее об атаке здесь.
@tomhunter
В зависимости от алгоритма даунскейлинга, изображение, которое в результате видит модель, может стать светлее. На скрине пример оригинала и результата уменьшения. Из митигаций рекомендуют порезать даунскейлинг как таковой, а лучше закрыть моделям чтение промптов с изображений по умолчанию. Бонусом доступна утилита для генерации вредоносных изображений — желающие могут [этично] потестировать любимые LLM’ки. Что для Кикиморы Морозовой (имя исследовательницы, между прочим) — способ удовлетворения своего запущенного аутизма, то для разработчиков моделей — головная боль по закрытию очередной гипотетической уязвимости. Подробнее об атаке здесь.
@tomhunter
😁7❤2🔥2👍1
#news Новости из мира любительской спайвари, она же сталкерварь. В печально известном TheTruthSpy обнаружили критическую уязвимость, позволяющую сбросить пароль к любому аккаунту. И, соответственно, получить доступ к данным жертв слежки.
TheTruthSpy регулярно отмечается багами и утечками — разрабам полулегального софта для сомнительных целей не до аудитов и прочих развлечений от мира разработки. Свежую уязвимость разработчик признал, но исправлять не планирует. Почему? А исходники частично утрачены, ничего не поделаешь. Так что угон аккаунтов так и останется в этом поделии и его многочисленных форках. Включая под новым брендом PhoneParental, в который перекочевал забагованный код. Есть определённая доля иронии в дырявой спайвари. Впрочем, стимула заботиться о ИБ у создателей TheTruthSpy и аналогов нет — клиенты-то с тобой судиться не пойдут, так что чего переживать. Это тебе не Pegasus, где ставочки повыше будут.
@tomhunter
TheTruthSpy регулярно отмечается багами и утечками — разрабам полулегального софта для сомнительных целей не до аудитов и прочих развлечений от мира разработки. Свежую уязвимость разработчик признал, но исправлять не планирует. Почему? А исходники частично утрачены, ничего не поделаешь. Так что угон аккаунтов так и останется в этом поделии и его многочисленных форках. Включая под новым брендом PhoneParental, в который перекочевал забагованный код. Есть определённая доля иронии в дырявой спайвари. Впрочем, стимула заботиться о ИБ у создателей TheTruthSpy и аналогов нет — клиенты-то с тобой судиться не пойдут, так что чего переживать. Это тебе не Pegasus, где ставочки повыше будут.
@tomhunter
🔥3😁2👍1
#news ESET обнаружила первую запитанную от LLM’ки рансомварь. Образец использует модель, чтобы на ходу генерировать вредоносные Lua-скрипты из захардкоженных промптов.
Малварь получила название PromptLock, написана на Go и использует локальную модель gpt-oss-20b c доступом к ней через API Ollama для генерации скриптов на устройствах жертвы. Те в свою очередь работают по файловой системе, проверяют целевые файлы и шифруют их. В функциональности также задел под стягивание данных и вайпер, есть варианты под Windows, Linux и macOS. Пока это только проверка концепции, но что будет дальше — сами понимаете. Неизбежный расцвет автоматизированной кремниевым болванчиком рансомвари и переквалификация скрипт-кидди в промпт-кидди. Будущее, как водится, безжалостно.
@tomhunter
Малварь получила название PromptLock, написана на Go и использует локальную модель gpt-oss-20b c доступом к ней через API Ollama для генерации скриптов на устройствах жертвы. Те в свою очередь работают по файловой системе, проверяют целевые файлы и шифруют их. В функциональности также задел под стягивание данных и вайпер, есть варианты под Windows, Linux и macOS. Пока это только проверка концепции, но что будет дальше — сами понимаете. Неизбежный расцвет автоматизированной кремниевым болванчиком рансомвари и переквалификация скрипт-кидди в промпт-кидди. Будущее, как водится, безжалостно.
@tomhunter
🔥8🤬3😁2👍1😱1
#news Недавно на r/cybersecurity отметился юзер с интересным сетапом. Некая компания платила ему 250 баксов в месяц за подключение пары ноутбуков к своей сети. Огоньку добавило, что он был военным с доступом к сверхсекретным сведениям.
Компанией оказалась DSLRoot — один из старейших сервисов резидентных прокси от двух братьев из Беларуси. На этом пост можно заканчивать: кто знает, что такое белорусская айтишечка, тот знает. Исследователи в итоге насчитали 300 активных устройств компании в 20+ штатах в США — порядочные американцы годами хостят у себя сомнительные прокси c BlackHatWorld за мелкий прайс. Что может пойти не так? Между тем пойти может многое прямиком через их домашние сети. Ну а когда айпишники залетят в достаточное количество мошеннических логов, в качестве приза можно выбить дружеский визит из ФБР. Подробнее о владельцах DSLRoot в расследовании Кребса. Адварь, ботнеты через крякнутый софт, интересная репутация на BHW — всё в лучших традициях соседского айти.
@tomhunter
Компанией оказалась DSLRoot — один из старейших сервисов резидентных прокси от двух братьев из Беларуси. На этом пост можно заканчивать: кто знает, что такое белорусская айтишечка, тот знает. Исследователи в итоге насчитали 300 активных устройств компании в 20+ штатах в США — порядочные американцы годами хостят у себя сомнительные прокси c BlackHatWorld за мелкий прайс. Что может пойти не так? Между тем пойти может многое прямиком через их домашние сети. Ну а когда айпишники залетят в достаточное количество мошеннических логов, в качестве приза можно выбить дружеский визит из ФБР. Подробнее о владельцах DSLRoot в расследовании Кребса. Адварь, ботнеты через крякнутый софт, интересная репутация на BHW — всё в лучших традициях соседского айти.
@tomhunter
👍8😁6❤1
#news По системе сборки NX прошлась атака на цепочку поставок. Вредоносные пакеты опубликовали на npm 26 августа, в них был код под стягивание данных доступа от разных платформ.
В пакетах был скрипт, который после установки сканировал систему, собирал данные, кодировал пару раз в base64 и скидывал в публичный репозиторий под юзерским аккаунтом. GitHub начал их архивировать, но репы провисели 8 часов, так что стоит исходить из того, что стянутые секреты были скомпрометированы, и менять токены. Всего затронуты 2,349 секретов, большинство — GitHub OAuth. Ну а с учётом base64 данные в публичных репах оказались совсем-совсем публичные — токены свободные, берите, кто хотите. Между тем 90% гитхабных всё ещё активны, а также десятки облачных и npm’ных. Так что реакция, как всегда, запаздывает. Ладно хоть сейчас не вечер пятницы.
@tomhunter
В пакетах был скрипт, который после установки сканировал систему, собирал данные, кодировал пару раз в base64 и скидывал в публичный репозиторий под юзерским аккаунтом. GitHub начал их архивировать, но репы провисели 8 часов, так что стоит исходить из того, что стянутые секреты были скомпрометированы, и менять токены. Всего затронуты 2,349 секретов, большинство — GitHub OAuth. Ну а с учётом base64 данные в публичных репах оказались совсем-совсем публичные — токены свободные, берите, кто хотите. Между тем 90% гитхабных всё ещё активны, а также десятки облачных и npm’ных. Так что реакция, как всегда, запаздывает. Ладно хоть сейчас не вечер пятницы.
@tomhunter
👍4🔥3
#news Новости борьбы за свободу интернета, которые мы заслужили. 4chan и Kiwi Farms судятся с Великобританией из-за свежего закона о верификации возраста. Дело пошло в федеральный суд США.
Ответчик по делу — британский Ofcom, регулирующий теле- и радио-компании. Согласно заявлению, угрозы и штрафы, полученные от агентства, идут против свободы слова. Оба известных в узких и не очень кругах сайта базируются в Штатах, но британскийобком офком активно наезжает на них за отсутствие верификации: так, 4chan’у выписывают штраф в 20 тысяч фунтов в день, фермам грозят тем же. А американские граждане, как известно, свои конституционные права не сдают. В общем, Форчонг с Кивифермами борются за приватность против британских госцензоров. Такой вот проклятый таймлайн.
@tomhunter
Ответчик по делу — британский Ofcom, регулирующий теле- и радио-компании. Согласно заявлению, угрозы и штрафы, полученные от агентства, идут против свободы слова. Оба известных в узких и не очень кругах сайта базируются в Штатах, но британский
@tomhunter
😁8❤3👍1
#news Летом соцсети и прочие платформы начала затапливать реклама фейковых казино и онлайн-игр с криптоскамом. Сайтов сотни, кампания масштабная. А теперь нашёлся и источник. И он русскоязычный.
Панель висит в верхнем интернете, хвастается мгновенными выплатами на $500,000 ежемесячно и 20,000+ аффилиатов. Всё это с пачкой каналов в Telegram и всем сопутствующим. Что называется, совсем страх потеряли. Отдельно на Гитбуке лежит детальная документация на зависть джуну-техпису по работе с панелью и разгону сайтов от создания до ответов в техподдержке. Сам скам предельно простенький: закиньте депозит, чтобы вывести выигрыш. Но размах — моё почтение. Для рекламы также используют известных медиаперсон и промокоды. Так что время напомнить своим юным друзьям на каникулах и просто слабоумным в отпуске, что никакой мистер бист и прочие инфернальные сетевые сущности не хотят подарить им тысячу-другую баксов.
@tomhunter
Панель висит в верхнем интернете, хвастается мгновенными выплатами на $500,000 ежемесячно и 20,000+ аффилиатов. Всё это с пачкой каналов в Telegram и всем сопутствующим. Что называется, совсем страх потеряли. Отдельно на Гитбуке лежит детальная документация на зависть джуну-техпису по работе с панелью и разгону сайтов от создания до ответов в техподдержке. Сам скам предельно простенький: закиньте депозит, чтобы вывести выигрыш. Но размах — моё почтение. Для рекламы также используют известных медиаперсон и промокоды. Так что время напомнить своим юным друзьям на каникулах и просто слабоумным в отпуске, что никакой мистер бист и прочие инфернальные сетевые сущности не хотят подарить им тысячу-другую баксов.
@tomhunter
😁12👍1🔥1🤯1🤬1
#news Antropic выкатила расширение для Chrome со встроенным Claude. Пока только для избранных, и с нетерпением ждущих новую ИИ-игрушку в браузер стоит оценить уязвимость к инъекциям промптов. 123 кейса, 29 сценариев, 23,6% успешных атак.
Antropic добавилакостыли слои защиты в виде юзерского контроля за доступом к сайтам, подтверждением передачи данных и чёрного списка потенциально вредоносных сайтов. В итоге успешность атак в автономном режиме снизилась до 11,2%. Так что риски использования ИИ-новинок, мягко говоря, высоковаты. С Perplexity Comet та же история — сценарии атак элементарные. В сухом остатке в 2026-м можно ждать новую поверхность атаки формата LLM-in-Browser с оригинальными тулкитами от затейников вроде mr.d0x. И спешить оптимизировать всё подручное спущенными с поводка ИИ-агентами явно не стоит.
@tomhunter
Antropic добавила
@tomhunter
👍5💯2❤1
#news Microsoft сообщила, что связи между свежим обновлением и отваливающимися жёсткими дисками не нашли. Проблему воспроизвести не смогли, фидбэк от пользователей запросили, но пришли к выводу, что дело не в апдейте.
О том, что жёсткие диски начали отваливаться после обновления Windows 11, заявил пару недель назад юзер из Японии. Другие тоже якобы столкнулись с проблемой на многих моделях, но массовых репортов нет — только отдельные кейсы. Phison также утверждает, что воспроизвести проблему не удалось, и сослалась на возможный фейк для порчи репутации компании — корпоративная классика. В сухом остатке воспроизводимого бага вроде как нет, десятков тысяч дохлых SSD тоже. Так что можно немного расслабиться и оставить многомиллиардные корпорации в покое. Будут ли новые эпизоды в этой детективной истории, пока неясно.
@tomhunter
О том, что жёсткие диски начали отваливаться после обновления Windows 11, заявил пару недель назад юзер из Японии. Другие тоже якобы столкнулись с проблемой на многих моделях, но массовых репортов нет — только отдельные кейсы. Phison также утверждает, что воспроизвести проблему не удалось, и сослалась на возможный фейк для порчи репутации компании — корпоративная классика. В сухом остатке воспроизводимого бага вроде как нет, десятков тысяч дохлых SSD тоже. Так что можно немного расслабиться и оставить многомиллиардные корпорации в покое. Будут ли новые эпизоды в этой детективной истории, пока неясно.
@tomhunter
🔥5🤡3😁2🤔2👍1
#cve Время для нашей ежемесячной подборки ключевых CVE. В августе десяточкой по CVSS отметилась, конечно же, Cisco — в аутентификации через RADIUS в Secure FMC забыли санитизировать пользовательский ввод.
В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через переполнение памяти. Помимо этого, две критических CVE под произвольный код были исправлены в продуктах от Microsoft. В WinRAR закрыли уязвимость на обход пути, активно эксплуатируемую в атаках. Также критическими CVE отметились Trend Micro Apex One, Docker Desktop и FortiWeb. Об этом и других интересных уязвимостях последнего летнего месяца читайте на Хабре!
@tomhunter
В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через переполнение памяти. Помимо этого, две критических CVE под произвольный код были исправлены в продуктах от Microsoft. В WinRAR закрыли уязвимость на обход пути, активно эксплуатируемую в атаках. Также критическими CVE отметились Trend Micro Apex One, Docker Desktop и FortiWeb. Об этом и других интересных уязвимостях последнего летнего месяца читайте на Хабре!
@tomhunter
👍6❤1🎉1
#news В мире рансомвари наметилась децентрализация: за прошедший год появился 41 новый бренд, и на пике в феврале MalwareBytes отслеживала 60 активных группировок — своеобразный рекорд.
К этому привели операции против Hive, Alphv и LockBit — в отсутствии арестов злоумышленники просто разбегаются под новые бренды. Работать на известные стало опасно, слитых билдеров полно, у старичков ощутимая паранойя — идеальные условия для перехода на вольные хлеба. Иными словами, на рансомварь-сцене всё как у взрослых дядь: вынеси один крупный бренд — он рассыпется на десяток мелких. Устрой слив внутренней кухни, и в группировках будут годами трястись, подозревая в каждом новом члене федерала. Не хватает только спровоцированных гастролёрами из трёхбуквенных агентств войн группировок, и будет полноценная экосистема на самоподдуве аля мексиканские картели. Так что рансомварь в киберпространстве — суть то же, что и картели в наркоторговле. Так и живём.
@tomhunter
К этому привели операции против Hive, Alphv и LockBit — в отсутствии арестов злоумышленники просто разбегаются под новые бренды. Работать на известные стало опасно, слитых билдеров полно, у старичков ощутимая паранойя — идеальные условия для перехода на вольные хлеба. Иными словами, на рансомварь-сцене всё как у взрослых дядь: вынеси один крупный бренд — он рассыпется на десяток мелких. Устрой слив внутренней кухни, и в группировках будут годами трястись, подозревая в каждом новом члене федерала. Не хватает только спровоцированных гастролёрами из трёхбуквенных агентств войн группировок, и будет полноценная экосистема на самоподдуве аля мексиканские картели. Так что рансомварь в киберпространстве — суть то же, что и картели в наркоторговле. Так и живём.
@tomhunter
👍6💯3🤡2❤1
#news Августовская кража auth-токенов у Salesloft, разраба корпоративного чат-бота, растёт и ширится. Google предупредила, что вместе с данными c Salesforce стянули токены сотен других интегрированных сервисов.
Salesloft раскрыла взлом 20 августа — были скомпрометированы токены от их чат-бота Drift, затронуты больше 700 компаний. А теперь выяснилось, что утекло и интегрированное с Salesloft — токены от Slack, Azure, Amazon S3, Google Workspace и далее по списку. Ответственность за взлом на себя взяли ShinyHunters в коллабе с Scattered Spider и Lapsus$. За цирком в их TG-канале наблюдают уже 40к спецагентов, исследователей и прочих зевак, но кто видел одно малолетнее дарование от сайберкрайма, видел их всех. “Мы не кибертеррористы, мы кибербоги” — вот это вот всё. От угроз в адрес Google детишки перешли на угрозы ФБР и явно решили устроить спидран до списка особо разыскиваемых, экстрадиции и посадки. Быть неуязвимым богом хакинга в 19, конечно, весело. Но только пока в дверь не постучали.
@tomhunter
Salesloft раскрыла взлом 20 августа — были скомпрометированы токены от их чат-бота Drift, затронуты больше 700 компаний. А теперь выяснилось, что утекло и интегрированное с Salesloft — токены от Slack, Azure, Amazon S3, Google Workspace и далее по списку. Ответственность за взлом на себя взяли ShinyHunters в коллабе с Scattered Spider и Lapsus$. За цирком в их TG-канале наблюдают уже 40к спецагентов, исследователей и прочих зевак, но кто видел одно малолетнее дарование от сайберкрайма, видел их всех. “Мы не кибертеррористы, мы кибербоги” — вот это вот всё. От угроз в адрес Google детишки перешли на угрозы ФБР и явно решили устроить спидран до списка особо разыскиваемых, экстрадиции и посадки. Быть неуязвимым богом хакинга в 19, конечно, весело. Но только пока в дверь не постучали.
@tomhunter
😁6💯5🤡1
#news Команда Cisco Talos нашла в сети ~1100 уязвимых инстансов Ollama — фреймворка для локального развёртывания LLM’ок. Всё это, как водится, дело пяти минут сканом через Shodan.
Публично доступный сервер Ollama — вещь в киберпреступном быту полезная. Это и стук по API, и отправка запросов к модели, а также джейлбрейк, внедрение бэкдоров и вредоносных моделей — вплоть до маппинга инфры и бокового перемещения. Из найденных инстансов активны только 20%, но атаки по оставшимся 80% без запущенных моделей никто не отменял. В общем, интеграция LLM’ок во все доступные процессы есть, а базовой ИБ при их развёртывании так и нет. Осталось отравить уязвимую модельку чем-нибудь этаким и удовлетворённо наблюдать за паникой в бухгалтерии, заставшей внеочередное восстание машин.
@tomhunter
Публично доступный сервер Ollama — вещь в киберпреступном быту полезная. Это и стук по API, и отправка запросов к модели, а также джейлбрейк, внедрение бэкдоров и вредоносных моделей — вплоть до маппинга инфры и бокового перемещения. Из найденных инстансов активны только 20%, но атаки по оставшимся 80% без запущенных моделей никто не отменял. В общем, интеграция LLM’ок во все доступные процессы есть, а базовой ИБ при их развёртывании так и нет. Осталось отравить уязвимую модельку чем-нибудь этаким и удовлетворённо наблюдать за паникой в бухгалтерии, заставшей внеочередное восстание машин.
@tomhunter
😁13👍2🤡2💯1