#news Trend Micro бьёт тревогу: LockBit всплыла с новым энкриптором под основные платформы и стала опасней прежнего за счёт переработанного кода и кроссплатформенности.
Компания нарыла свежие образцы версии 5.0 и отметила, что энкрипторы под Windows, Linux и ESXi обзавелись обновками. Партнёрка вновь набирает обороты, а за счёт прицела на все три платформы бизнес рискует шифрованием всего и вся от рабочих станций до виртуалок и бэкапов. С одной стороны, можно только подивиться устойчивости локбитовского бренда. С другой, у Trend Micro есть и свой прямой интерес: неубиваемое рансомварь-зло идёт по ваши системы, спешите защититься [нашими решениями]! Бюджетная логика здесь в сущности как в военке: чем страшнее угроза, тем жирнее контракты. А уж насколько она реальна – дело десятое. Оценить новую-старую угрозу можно в отчёте.
@tomhunter
Компания нарыла свежие образцы версии 5.0 и отметила, что энкрипторы под Windows, Linux и ESXi обзавелись обновками. Партнёрка вновь набирает обороты, а за счёт прицела на все три платформы бизнес рискует шифрованием всего и вся от рабочих станций до виртуалок и бэкапов. С одной стороны, можно только подивиться устойчивости локбитовского бренда. С другой, у Trend Micro есть и свой прямой интерес: неубиваемое рансомварь-зло идёт по ваши системы, спешите защититься [нашими решениями]! Бюджетная логика здесь в сущности как в военке: чем страшнее угроза, тем жирнее контракты. А уж насколько она реальна – дело десятое. Оценить новую-старую угрозу можно в отчёте.
@tomhunter
😁7🤬2💯2
#news В Нидерландах оригинальный кейс: двух местных подростков 17-ти лет поймали с Wi-Fi-сниффером и обвинили в шпионаже. Конечно же, в пользу России.
По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взялис поличным – за выполнением домашней работы. Следов компрометации нет, но дело серьёзное – следствие разберётся. Родители юных дарований в шоке: мы их готовили к ужасам взрослой жизни вроде курения, алкоголя и наркотиков, а не к вот этому. Но детям Нидерландов такие пошлости, очевидно, давно приелись. А вот кибершпионские игры через загадочный русский Телеграм – вот это досуг, достойный уважающего себя подростка в 2025-м.
@tomhunter
По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взяли
@tomhunter
😁22👍4🤡4🤬3
#news Редкий случай с ВВС: переговорщик рансомварь-группировки Medusa вышел на сотрудника с целью купить доступ. И попал на их кибербез-журналиста. Получилась история.
Судя по всему, в Medusa всё перепутали: думали, что пишут ИБшнику, а вышли на журналиста. Сказалось, что переговорщик у них один в банде англоговорящий, видимо. Зашел он с козырей: предложил 15% от выкупа, затем поднял до 25%. Обещал шальные миллионы, жизнь на Багамах и прочие удовольствия. Хвалился отчетом ФБР о группировке. А пока собеседник мялся, его заспамили 2FA-запросами. Не попался. Так что злоумышленник извинился за команду, тестировавшую его аккаунт, и продолжил переговоры – профессионализм, что сказать. Но Багамами подлец не соблазнился, скрипты в консоль совать не хотел, так что со связи они скоро пропали. Социнженерия в этот раз не задалась, но хоть статья получилась забавная.
@tomhunter
Судя по всему, в Medusa всё перепутали: думали, что пишут ИБшнику, а вышли на журналиста. Сказалось, что переговорщик у них один в банде англоговорящий, видимо. Зашел он с козырей: предложил 15% от выкупа, затем поднял до 25%. Обещал шальные миллионы, жизнь на Багамах и прочие удовольствия. Хвалился отчетом ФБР о группировке. А пока собеседник мялся, его заспамили 2FA-запросами. Не попался. Так что злоумышленник извинился за команду, тестировавшую его аккаунт, и продолжил переговоры – профессионализм, что сказать. Но Багамами подлец не соблазнился, скрипты в консоль совать не хотел, так что со связи они скоро пропали. Социнженерия в этот раз не задалась, но хоть статья получилась забавная.
@tomhunter
😁16❤3🔥2
#news В Великобритании крупнейшая в истории конфискация преступной криптовалюты. Битки на 7,3 миллиарда долларов. Масштабы намекают на источник: конечно же, это Китай .
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос. Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.
@tomhunter
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос. Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.
@tomhunter
😁20🔥5❤2👍1
#news Около 50 тысяч файрволов Cisco ASA и FTD по миру уязвимы к недавним уязвимостям. Если вы уже запутались, каким, неудивительно — ещё не все среагировали на брешь в IOS/IOS XE с включённым SNMP v1/v2с, как подоспели новые.
CVE-2025-20333 и CVE-2025-20362 на переполнение буфера в и отсутствующую авторизацию, соответственно. Уязвимости раскрыли 25 сентября, эксплойт на тот момент уже шёл. Костылей нет, извольте накатывать патчи. Некоторым выпало сомнительное удовольствие заниматься этим на выходных. Но на вчера ~50 тысяч уязвимых устройств ещё доступны, из них 2,100 в России. Так что реагирование на уязвимости привычно запаздывает. Между тем даже CISA выделила госухе 24 часа на патчи вместо привычного “Не забудьте накатить где-нибудь в этом году”. С учётом подозрительного стука по ASA-девайсам ещё в августе, это всё как бы намекает, что пора. Если не задуматься о патчах, то хотя бы тактично взять отгул, прислав с него ссылочку на CVE коллеге.
@tomhunter
CVE-2025-20333 и CVE-2025-20362 на переполнение буфера в и отсутствующую авторизацию, соответственно. Уязвимости раскрыли 25 сентября, эксплойт на тот момент уже шёл. Костылей нет, извольте накатывать патчи. Некоторым выпало сомнительное удовольствие заниматься этим на выходных. Но на вчера ~50 тысяч уязвимых устройств ещё доступны, из них 2,100 в России. Так что реагирование на уязвимости привычно запаздывает. Между тем даже CISA выделила госухе 24 часа на патчи вместо привычного “Не забудьте накатить где-нибудь в этом году”. С учётом подозрительного стука по ASA-девайсам ещё в августе, это всё как бы намекает, что пора. Если не задуматься о патчах, то хотя бы тактично взять отгул, прислав с него ссылочку на CVE коллеге.
@tomhunter
😁9🔥4❤2👍1
#news У северокорейской схемы по трудоустройству в IT появился сиквел. Как полагается, в нём больше контента, больше сюжетных поворотов. И больше головной боли для индустрий — теперь не только IT и не только в США.
Согласно исследованию, IT-солдаты отточили навыки в Штатах и начали расползаться по всей Европе. И они лезут уже не только в айтишечку: стахановцы из КНДР были замечены в финансовых и медицинских организациях — всплывают везде, где есть удалённые вакансии. Вплоть до госконтор: случаи были в США, Австралии и на Ближнем Востоке. В общем, навыки проходки через скрининг и адовы рекрутерские пайплайны у них такие, что среднему соискателю остаётся только дико завидовать. И у сиквела есть неприятный нюанс: зарплат уровня IT в других секторах нет. Так что стоит ждать роста инсайдерских краж данных и рансомварь-атак, потому как иначе пятилетку по финансированию у северокорейских братушек закрыть в ударные сроки не получится.
@tomhunter
Согласно исследованию, IT-солдаты отточили навыки в Штатах и начали расползаться по всей Европе. И они лезут уже не только в айтишечку: стахановцы из КНДР были замечены в финансовых и медицинских организациях — всплывают везде, где есть удалённые вакансии. Вплоть до госконтор: случаи были в США, Австралии и на Ближнем Востоке. В общем, навыки проходки через скрининг и адовы рекрутерские пайплайны у них такие, что среднему соискателю остаётся только дико завидовать. И у сиквела есть неприятный нюанс: зарплат уровня IT в других секторах нет. Так что стоит ждать роста инсайдерских краж данных и рансомварь-атак, потому как иначе пятилетку по финансированию у северокорейских братушек закрыть в ударные сроки не получится.
@tomhunter
🔥8🤯6👍4
#news Злоумышленники из The Crimson Collective заявили о взломе приватных репозиториев RedHat. Сообщают о доступе к 28 тысячам реп, краже 570 GB данных и, главное, сотен отчётов по работе с клиентами, они же Customer Engagement Reports.
В последних схемы архитектуры, детали конфигурации, карты сетей и токены доступа — в сущности планы инфраструктуры компаний. Взломщики утверждают, что стянули отчёты за 2022-2025-й годы, и они от крупных банковских и телекоммуникационных компаний, а также госконтор. Из репозиториев и документов вытащили токены и якобы уже получили доступ к инфраструктуре некоторых клиентов. Комментариев от RedHat пока нет, но сэмплы и списки файлов расползаются по сетевым дебрям, так что им не позавидуешь. Утечка CER’ов для клиентов — это очень такое себе. У кого архитектура не по заветам девопса Казакова, тот и проиграл.
@tomhunter
В последних схемы архитектуры, детали конфигурации, карты сетей и токены доступа — в сущности планы инфраструктуры компаний. Взломщики утверждают, что стянули отчёты за 2022-2025-й годы, и они от крупных банковских и телекоммуникационных компаний, а также госконтор. Из репозиториев и документов вытащили токены и якобы уже получили доступ к инфраструктуре некоторых клиентов. Комментариев от RedHat пока нет, но сэмплы и списки файлов расползаются по сетевым дебрям, так что им не позавидуешь. Утечка CER’ов для клиентов — это очень такое себе. У кого архитектура не по заветам девопса Казакова, тот и проиграл.
@tomhunter
🔥8😁5❤2🤬1
#news Очередная история про периферийные устройства с периферийной же ИБ. У портативных фотопринтеров Lifeprint открытый бакет со всеми фотографиями пользователей и данными, доступными для всех желающих.
Утечка связана с приложением от принтеров под iOS и Android, которым пользовались ~100 тысяч юзеров. В бакете 8 миллионов файлов, включая 2 миллиона уникальных фото плюс пользовательские данные в JSON и CSV с почтами и статистикой. Юзеры успели распечатать 1,6 миллиона фотографий. Более того, в бакете лежат несколько версий прошивки с ключом шифрования для её подписи простым текстом — здесь потенциал под публикацию вредоносной прошивки. Производитель на связь не выходит, так что закрывать уязвимость некому. Если и после публикации не начнёт шевелиться, список заглянувших в полное личных фото ведро явно пополнится множеством любознательных исследователей с добрыми и не очень намерениями.
@tomhunter
Утечка связана с приложением от принтеров под iOS и Android, которым пользовались ~100 тысяч юзеров. В бакете 8 миллионов файлов, включая 2 миллиона уникальных фото плюс пользовательские данные в JSON и CSV с почтами и статистикой. Юзеры успели распечатать 1,6 миллиона фотографий. Более того, в бакете лежат несколько версий прошивки с ключом шифрования для её подписи простым текстом — здесь потенциал под публикацию вредоносной прошивки. Производитель на связь не выходит, так что закрывать уязвимость некому. Если и после публикации не начнёт шевелиться, список заглянувших в полное личных фото ведро явно пополнится множеством любознательных исследователей с добрыми и не очень намерениями.
@tomhunter
😁6👍3🔥3
#news RedHat подтвердила взлом. Злоумышленники получили доступ к их инстансу GitLab и стянули данные. Затронут только консультационный отдел, но из него как раз и утекли отчёты по работе с клиентами.
Утечку CER’ов RedHat тоже подтвердила, но занижает последствия: персональной информации отчёты как бы не содержат. Но там и без неё хватает интересного. Список всего стянутого здесь. Вектор атаки компания не называет, но упомянула, что предприняла дополнительные меры по защите, чтобы предотвратить повторный доступ. Двухфакторку запоздало включили, видимо, просто писать об этом стесняются. Между тем среди затронутых клиентов Федеральное агентство по авиации США, Центр разработки надводного вооружения ВМС, нижняя палата Конгресса и прочие госструктуры, не считая крупных корпораций. Слить отчёты о сетях военки и госухи — отличный способ не только моментально лишиться контрактов, но и выиграть путёвку на встречу в Конгрессе, где всё это придётся неловко объяснять.
@tomhunter
Утечку CER’ов RedHat тоже подтвердила, но занижает последствия: персональной информации отчёты как бы не содержат. Но там и без неё хватает интересного. Список всего стянутого здесь. Вектор атаки компания не называет, но упомянула, что предприняла дополнительные меры по защите, чтобы предотвратить повторный доступ. Двухфакторку запоздало включили, видимо, просто писать об этом стесняются. Между тем среди затронутых клиентов Федеральное агентство по авиации США, Центр разработки надводного вооружения ВМС, нижняя палата Конгресса и прочие госструктуры, не считая крупных корпораций. Слить отчёты о сетях военки и госухи — отличный способ не только моментально лишиться контрактов, но и выиграть путёвку на встречу в Конгрессе, где всё это придётся неловко объяснять.
@tomhunter
😁6❤4🔥4🤬1
#cve Разбираем ключевые CVE ушедшего месяца. В сентябре звездой стала раскрытая уязвимость в Azure Entra ID: токены от бэкенда плюс легаси API с отсутствием их валидации позволяли злоумышленнику получить доступ к любому аккаунту с Entra ID.
Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте на Хабре!
@tomhunter
Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте на Хабре!
@tomhunter
👍6❤2🔥2
#news У Discord взломали стороннего поставщика и стянули пользовательские данные. Взлом затронул Zendesk, так что утекли данные тех, кто обращался в техподдержку платформы.
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
Слиты ФИО, почтовые адреса, ники в Discord и другие контакты. А также последние 4 цифры кредитки, и, главное, документы, которые юзеры предоставляли для подтверждения возраста. В Discord юзерам могут блокировать аккаунты, требуя подтвердить возраст — те послушно идут в техподдержку и показывают документы. А теперь они утекли. По сети уже пошли насмешки над несчастными британцами, вынужденных массово заливать свои ID в сеть, но так как вскрыли не саму систему верификации, это про немного другое. Но суть та же: возможно, KYС через документы где попало — не самая хорошая идея. При этом все платформы утверждают, что доки не хранят и не собирают, но затем это всё неизбежно утекает. Как же так? Сплошные загадки.
@tomhunter
😁13🤬5❤1
#news Исследователи разработали метод прослушки через неожиданный девайс. Выяснили, что качественные компьютерные мышки могут улавливать звуковые вибрации, которые затем можно перевести в звук.
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
К атаке уязвимы устройства от 20,000 DPI и с высокой герцовкой. Сенсоры в таких мышах достаточно чувствительные, чтобы улавливать акустические вибрации голоса через поверхность. Датчик фиксирует её колебания, для перехвата сырых данных достаточно любого приложения с доступом к ним, а дальше идёт цифровая фильтрация. По итогам точность распознавания колеблется от 42 до 61 процента — суть разговора уловить можно. Найдёт ли метод применение в будущем или так и останется лабораторной диковинкой на радость людям со специфическими профессиональными деформациями — вопрос хороший. Но взглянуть на мышку-шпиона как минимум интересно. Видео с проверкой концепции здесь.
@tomhunter
🔥7😁3❤2
#news В Redis обнаружили критическую уязвимость, она получила название RediShell — здесь у нас RCE. Проблема во всех версиях Redis с Lua-скриптами. То есть за последние ~13 лет.
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
Уязвимость на коррапт памяти вида use-after-free в сборщике мусора, при определённых условиях специально созданный Lua-скрипт может вести к RCE. Для эксплойта нужна аутентификация, но уязвимость всё равно выбила десяточку по CVSS. А разгадка проста: это Redis. В сети доступны 330 тысяч инстансов, из них на 60 тысячах аутентификации нет вообще. Ещё на сотне тысяч найдутся дефолтные или слабые пароли, но об этом сканеры умалчивают. Плюс высокие привилегии вплоть до рута на старых сетапах. А там и боковое перемещение и прочие удовольствия. Следов эксплуатации пока нет, но желающие обязательно найдутся. Так что пришло время накатывать патчи — они доступны в версиях от 3 октября.
@tomhunter
🔥6😁3👍2
#digest Подводим итоги сентября дайджестом ключевых новостей. В прошлом месяце на npm отметились две крупных компрометации пакетов, включая первого самореплицирующегося червя. Он встряхнул всю экосистему и вынудил GitHub ужесточить правила аутентификации и публикации пакетов.
Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте на Хабре!
@tomhunter
Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте на Хабре!
@tomhunter
👍4❤1
#news В GoAnywhere MFT вновь критическая уязвимость с активно идущим эксплойтом. В 2023-м по нему работала Cl0p, ставя рекорды по числу рансомварь-атак за месяц, а в этом году эстафету переняла Medusa.
CVE связана с ошибкой десериализации неподтверждённых данных в одном из компонентов. Патчи вышли 18 сентября, но уязвимость эксплуатировали как нулевой день как минимум с 10 сентября. В сети около 500 доступных инстансов, сколько из них пропатчены, неясно. Так что злоумышленникам есть, где развернуться. Тем временем в Cl0p решили, что ломать GoAnywhere MFT в 2025-м для них — моветон, и вместо это группировка засветилась в работе по Oracle ESB: в софте критическая уязвимость под RCE без аутентификации, и эксплойт идёт уже с начала августа. PoC разлетелась по сети, и исследователи ждут массовых атак в ближайшие дни, призывая немедленно патчиться. Но кто же их будет слушать. Так что конец года у товарищей из Medusa и Cl0p будет насыщенным.
@tomhunter
CVE связана с ошибкой десериализации неподтверждённых данных в одном из компонентов. Патчи вышли 18 сентября, но уязвимость эксплуатировали как нулевой день как минимум с 10 сентября. В сети около 500 доступных инстансов, сколько из них пропатчены, неясно. Так что злоумышленникам есть, где развернуться. Тем временем в Cl0p решили, что ломать GoAnywhere MFT в 2025-м для них — моветон, и вместо это группировка засветилась в работе по Oracle ESB: в софте критическая уязвимость под RCE без аутентификации, и эксплойт идёт уже с начала августа. PoC разлетелась по сети, и исследователи ждут массовых атак в ближайшие дни, призывая немедленно патчиться. Но кто же их будет слушать. Так что конец года у товарищей из Medusa и Cl0p будет насыщенным.
@tomhunter
😁5❤2👍1
#news К новинкам социнженерии. Юные дарования из Scattered Spider и компании аутсорсят давление на жертв взлома Salesloft. 10 баксов криптой за письмо на почты топ-менеджеров взломанных компаний.
Группировка предлагает подписчикам заспамить управленцев требованиями выплатить выкуп. Так что пиджаки из высоких кабинетов Fortune 500 скоро обнаружат в своих ящиках спам от малолетних поклонников трёх группировок. Твоё лицо, когда открываешь с утра корпоративную почту и видишь десятки писем в духе “Yo bro, pay the ransom fr fr”. Кошмар ещё тот. При этом подписчикам сулят бонусы за письма с личных почтовых ящиков — отличный способ попасть в списки под мониторинг у NСA и прочих уже лет в 13. Попутно ShinyHunters шлют угрозы Кребсу и пытаются его взломать детскими трюками. Но поколения киберпреступников сменяются, а Кребс-то всё так и строчит отчёты по следам их посадки. Кто сидит по хакерским конфочкам, прогуливая уроки ИБ-истории, обречён на их повторение.
@tomhunter
Группировка предлагает подписчикам заспамить управленцев требованиями выплатить выкуп. Так что пиджаки из высоких кабинетов Fortune 500 скоро обнаружат в своих ящиках спам от малолетних поклонников трёх группировок. Твоё лицо, когда открываешь с утра корпоративную почту и видишь десятки писем в духе “Yo bro, pay the ransom fr fr”. Кошмар ещё тот. При этом подписчикам сулят бонусы за письма с личных почтовых ящиков — отличный способ попасть в списки под мониторинг у NСA и прочих уже лет в 13. Попутно ShinyHunters шлют угрозы Кребсу и пытаются его взломать детскими трюками. Но поколения киберпреступников сменяются, а Кребс-то всё так и строчит отчёты по следам их посадки. Кто сидит по хакерским конфочкам, прогуливая уроки ИБ-истории, обречён на их повторение.
@tomhunter
😁12👍2💯2
#news Свежий отчёт по рансомварь-сцене за третий квартал 2025-го. Из интересного, в сетевых дебрях рекорд по числу вымогательских сайтов — 81 штука. А LockBit начала снова шевелиться, объявив о партнёрке с Qilin и DragonForce.
В сентябре с релизом 5.0 LockBit заявила, что снимает ограничения на атаки по критической инфраструктуре. Упомянуты ядерные станции, прочая энергетика и сопутствующее. “Хотим что-то уровня Colonial Pipeline”, говорят. Что было с DarkSide, и какая тряска была по всему русскому даркнету с баном обсуждений рансомвари, видимо, уже забыли. “Пусть ФБР договаривается с нами, тогда атаковать не будем”. Опять горделивая поза Неуловимого Джо с бредовыми идеями величия, в общем. Белому Дому не до рансомвари, но если они как в 2021-м пнут киберотделы трёхбуквенных агентств, мало никому не покажется. Между тем в топе 2025-го Qilin. Читают нас не только в ИБ, так что напомню, у Qilin на счету есть жертвы после атак по медсектору. Надо ли оно вам, думайте сами.
@tomhunter
В сентябре с релизом 5.0 LockBit заявила, что снимает ограничения на атаки по критической инфраструктуре. Упомянуты ядерные станции, прочая энергетика и сопутствующее. “Хотим что-то уровня Colonial Pipeline”, говорят. Что было с DarkSide, и какая тряска была по всему русскому даркнету с баном обсуждений рансомвари, видимо, уже забыли. “Пусть ФБР договаривается с нами, тогда атаковать не будем”. Опять горделивая поза Неуловимого Джо с бредовыми идеями величия, в общем. Белому Дому не до рансомвари, но если они как в 2021-м пнут киберотделы трёхбуквенных агентств, мало никому не покажется. Между тем в топе 2025-го Qilin. Читают нас не только в ИБ, так что напомню, у Qilin на счету есть жертвы после атак по медсектору. Надо ли оно вам, думайте сами.
@tomhunter
👍5😁3😢1
#news По следам взлома Discord злоумышленники утверждают, что стянули данные 5,5 миллионов пользователей. Тем временем платформа выпустила заявление, что выкуп платить не будет.
Сначала с них потребовали $5 миллионов выкупа, затем снизим до $3,5 миллионов. Но переговоры зашли в тупик, и теперь злоумышленники грозят слить данные в открытый доступ. В Discord заявили, что документы только 70 тысяч юзеров “могли” быть затронуты утечкой, но, скорее всего, цифры занижают. Гуляющие по сети заявления про 2,1 миллиона ID тоже вряд ли соответствуют действительности, но одних тикетов на подтверждение возраста в утечке, как утверждают, ~521 тысяча. Видимо, слив всех рассудит. Тем временем на вопрос, почему они хранят документы после верификации, в Discord не ответили. Что уж тут скажешь, действительно — все и так всё понимают. А кто не понимает, тот британец, беззаботно отправивший свой паспорт сотне сайтов и платформ.
@tomhunter
Сначала с них потребовали $5 миллионов выкупа, затем снизим до $3,5 миллионов. Но переговоры зашли в тупик, и теперь злоумышленники грозят слить данные в открытый доступ. В Discord заявили, что документы только 70 тысяч юзеров “могли” быть затронуты утечкой, но, скорее всего, цифры занижают. Гуляющие по сети заявления про 2,1 миллиона ID тоже вряд ли соответствуют действительности, но одних тикетов на подтверждение возраста в утечке, как утверждают, ~521 тысяча. Видимо, слив всех рассудит. Тем временем на вопрос, почему они хранят документы после верификации, в Discord не ответили. Что уж тут скажешь, действительно — все и так всё понимают. А кто не понимает, тот британец, беззаботно отправивший свой паспорт сотне сайтов и платформ.
@tomhunter
😁7🤯3🔥2❤1👍1
#news Редкие воодушевляющие новости из Германии. Министр Юстиции заявила, что они проголосуют против скана приватных сообщений в мессенджерах со сквозным шифрованием. Так что предложение на скором голосовании не пройдёт.
Речь про пресловутый Chat Control, который проталкивают с 2022-го года. Голосование по его внедрению будет 14 октября. Дания, текущий председатель в ЕС, активно продавливает внедрение меры. Всё это, как водится, под предлогом заботы о детях, а на деле — скан всех сообщений, фото и видео на устройствах. Но глава Минюста Германии заявила, что мониторинг приватных чатов — это антиконституционно, и самые худшие преступления — это не повод сдавать базовые гражданские права. Так что пока массовая слежка в ЕС откладывается — голосов “За” не хватит. Сегодня без бэкдоров в мессенджеры под видом заботы о нашем всём, но завтра — кто знает. Рано или поздно, вероятно, продавят, а там и ссылочки на передовой опыт как в лучших домах Парижа пойдут.
@tomhunter
Речь про пресловутый Chat Control, который проталкивают с 2022-го года. Голосование по его внедрению будет 14 октября. Дания, текущий председатель в ЕС, активно продавливает внедрение меры. Всё это, как водится, под предлогом заботы о детях, а на деле — скан всех сообщений, фото и видео на устройствах. Но глава Минюста Германии заявила, что мониторинг приватных чатов — это антиконституционно, и самые худшие преступления — это не повод сдавать базовые гражданские права. Так что пока массовая слежка в ЕС откладывается — голосов “За” не хватит. Сегодня без бэкдоров в мессенджеры под видом заботы о нашем всём, но завтра — кто знает. Рано или поздно, вероятно, продавят, а там и ссылочки на передовой опыт как в лучших домах Парижа пойдут.
@tomhunter
❤7👍5😁2
#news Mandiant делится предварительными оценками успехов Cl0p в деле эксплойта недавней уязвимости в Oracle EBS. Сообщают, взломы затронули десятки организаций.
Эксплойт идёт как минимум с 9 августа, плюс есть следы активности ещё на начало июля. 29 сентября пошла массовая рассылка по управленцам компаний с требованиями выкупа, так что на тот момент коллекция стянутых данных была внушительной. 0-day под RCE без аутентификации, пара месяцев эксплойта до патчей, что тут скажешь — безопасности взломанным. Кампания по вымогательству, судя по всему, идёт масштабная, так что Cl0p держит марку: ни года без залёта в заголовки с крупным кушем. А с учётом того, что PoC уже попала в руки любознательных исследователей, желающих подключиться к весёлой игре “Испорть конец года управленцу” будет достаточно. Здесь не нужно быть оракулом, чтобы предсказать выход счёта жертв на сотни. (Извините.)
@tomhunter
Эксплойт идёт как минимум с 9 августа, плюс есть следы активности ещё на начало июля. 29 сентября пошла массовая рассылка по управленцам компаний с требованиями выкупа, так что на тот момент коллекция стянутых данных была внушительной. 0-day под RCE без аутентификации, пара месяцев эксплойта до патчей, что тут скажешь — безопасности взломанным. Кампания по вымогательству, судя по всему, идёт масштабная, так что Cl0p держит марку: ни года без залёта в заголовки с крупным кушем. А с учётом того, что PoC уже попала в руки любознательных исследователей, желающих подключиться к весёлой игре “Испорть конец года управленцу” будет достаточно. Здесь не нужно быть оракулом, чтобы предсказать выход счёта жертв на сотни. (Извините.)
@tomhunter
😁3❤1👍1🔥1
#article Продолжаем тему Google Таблиц в OSINT. В нашей сегодняшней статье мы поговорим о том, как использовать их в одной из фундаментальных задач в OSINT — поиск по никнейму.
Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать на Хабр!
@tomhunter
Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать на Хабр!
@tomhunter
👍11🔥2😱2