#news VirusTotal опубликовали масштабный отчёт по вирусам-вымогателям за 2020 и первую половину 2021.
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
#news Большая часть компаний и организаций Нидерландов, задействованных в критически важной инфраструктуре, излишне уязвима для хакеров и киберпреступников. Сорок три из сотни опрошенных компаний не смогли оптимально защитить свою систему электронной почты от фишинга, спуфинга и программ-вымогателей. К ним относятся банки, производители энергии и компании по производству питьевой воды.
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
#news Возвращаемся к любимой теме! ЕС сейчас расследует Apple в рамках антимонопольного дела: нехорошо, что Яблоко разрешает скачивать приложения только из своего магазина.
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U):
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
AdSense: Pub- или ca-pub
Analytics: UA-
Amazon: &tag=
AddThis: #pubid / pubid
Metrika: mc.yandex / ym
Rambler: top100Сервисы поиска рекламных идентификаторов:
Mail.ru: Top.Mail.Ru
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
#news 13-14 октября США провели двухдневную онлайн-встречу по вопросам кибербезопасности, а если быть точным, то проблемы программ-вымогателей. Участие приняли представители 30 стран. Хотя представителей России на встречу не позвали (как и представителей Китая), было отмечено, что - "Россия сделала определенные шаги в борьбе с киберпреступностью в ответ на сигналы США, которые касаются действующих на российской территории криминальных субъектов".
@tomhunter
@tomhunter
«Основные тренды мошенничества в 2021 году».
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
YouTube
Защита от мошенничества | Безопасная среда
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия и события…
#news Хорошего начала рабочей недели! А у нас тут схлопнулись REvil. «Что, опять?», — может ехидно поинтересоваться давний читатель этого канала, но на сей раз, кажется, ребята решили окончательно и бесповоротно ребрендиться сворачиваться.
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
#news Исследователи доказали, что можно научить машину угадывать 4-значные PIN-коды карт в 41% случаев, даже если жертва прикрывает терминал. Атака требует настройки реплики целевого банкомата, потому что обучение алгоритма конкретным размерам и расстоянию между клавишами различных контактных площадок имеет решающее значение. Для эксперимента исследователи собрали 5800 видеороликов 58 разных людей из разных демографических групп, введя 4- и 5-значные PIN-коды.
@tomhunter
@tomhunter
#news В Израиле всплеск атак программ-вымогателей, нацеленных медицинские учреждения. Основной жертвой хакеров-вымогателей стал медицинский центр "Гилель Яффе" в Хадере, который не может расшифровать свои данные уже более 6 дней. Атака приписывается китайской группе киберпреступников, использовавших вымогатель DeepBlueMagic. DeepBlueMagin отключает решения безопасности, которые обычно обнаруживают и блокируют попытки шифрования файлов, что позволяет проводить успешные атаки. Само шифрование производится при помощи утилиты BestCrypt.
@tomhunter
@tomhunter
#news Группировка TA505 вернулась и принесла с собой новую RAT-малварь, получившую название FlawedGrace.
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
#news В Squirrel Engine нашли уязвимость, которая позволяет злоумышленнику выбраться из песочницы SquirrelVM и выполнять произвольный код. Уязвимость закрыли, но стабильного релиза с этим фиксом пока нет.
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
#news #decoder Выпущен бесплатный дешифратор вымогателя BlackByte, позволяющий жертвам восстанавливать свои файлы. Дешифратор не остались незамеченным для BlackByte, которые предупредили, что использование дешифратора с неправильным ключом может повредить файлы жертвы. Тем не менее, если вы являетесь жертвой BlackByte и хотите использовать предлагаемый дешифратор, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
@tomhunter
@tomhunter
#news Всего за неделю компания Acer подверглась второй кибератаке со стороны хакерской группы «Desorden». Ранее было взломано подразделение Acer Индия, а теперь добрались и до Acer Тайвань. Acer Taiwan отключила уязвимый сервер вскоре после того, как злоумышленники сообщили компании о взломе. Однако хакерская группа заявляет, что другие серверы в Малайзии и Индонезии по-прежнему уязвимы.
@tomhunter
@tomhunter
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
#news Google заявляет, что создатели YouTube-каналов все чаще становятся жертвами фишинговых атак с использованием вредоносных программ для кражи паролей и файлов cookie. Вредоносные программы, обнаруженные в атаках, включают такие массовые штаммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также программы с открытым исходным кодом, такие как Sorano и AdamantiumThief. Данное вредоносное ПО используется для кражи учетных данных и файлов cookie браузера, что позволяет злоумышленникам захватывать авторизационные сессии пользователей. Google выявил не менее 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей участников, специально созданных для этой кампании.
@tomhunter
@tomhunter
#news янки разработали новую атаку с захватом фингерпринтов и спуфингом в браузере, которая назвали Gummy Browsers. Фингерпринты (т.е. совокупность данных об устройстве и соединении пользователя) представляют собой достаточно ценную историю, хорошо используемую взломов. Атака Gummy Browsers - это процесс получения фингерпринтов у пользователя при посещении веб-сайта, контролируемого злоумышленником, с последующим использованием полученного фингерпринта для взлома веб-сервисов.
@tomhunter
@tomhunter
Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Pastebin
gosusliga.rudl1-gosuslugi.rugosuslugi-api.rugosuslugicovidnet.rugosuslug - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
#news Из-за ошибки в настройке ElasticSearch (просто доступ к логам не прикрыли, неловко) китайский ВПН-сервис Quickfox де-факто слил данные миллиона с лишним пользователей. Там и имена, и телефонные номера, и информация о прочем установленном на устройстве софте, и иже с ними. В том числе есть настоящие IP пользователей и IP, которые каждому выдал сервис.
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
#news Количество распределенных атак типа «отказ в обслуживании» (DDoS) на российские компании в текущем году увеличилось в 2,5 раза по сравнению с тем же периодом 2020 года. DDoS-атаки обычно используются для вымогательства жертв с требованием выкупа или для отвлечения ИТ-специалистов, пока хакеры пытаются украсть ценные данные из скомпрометированных систем. Сентябрь 2021 года был записан как худший период для России в новейшей истории DDoS-атак. В сентябре злоумышленники запустили 90% всех DDoS-атак 2021 года.
@tomhunter
@tomhunter
#news Бюро промышленности и безопасности (BIS) Министерства торговли сегодня объявило о новых средствах контроля, которые запретят компаниям США экспортировать и перепродавать программное обеспечение и аппаратные средства, которые могут использоваться для нарушения прав человека. Правила вступят в силу через 90 дней, поэтому ряду правительств нужно или быстро закупиться или задумываться о собственных разработках.
@tomhunter
@tomhunter