#news 13-14 октября США провели двухдневную онлайн-встречу по вопросам кибербезопасности, а если быть точным, то проблемы программ-вымогателей. Участие приняли представители 30 стран. Хотя представителей России на встречу не позвали (как и представителей Китая), было отмечено, что - "Россия сделала определенные шаги в борьбе с киберпреступностью в ответ на сигналы США, которые касаются действующих на российской территории криминальных субъектов".
@tomhunter
@tomhunter
«Основные тренды мошенничества в 2021 году».
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
YouTube
Защита от мошенничества | Безопасная среда
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия и события…
#news Хорошего начала рабочей недели! А у нас тут схлопнулись REvil. «Что, опять?», — может ехидно поинтересоваться давний читатель этого канала, но на сей раз, кажется, ребята решили окончательно и бесповоротно ребрендиться сворачиваться.
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
#news Исследователи доказали, что можно научить машину угадывать 4-значные PIN-коды карт в 41% случаев, даже если жертва прикрывает терминал. Атака требует настройки реплики целевого банкомата, потому что обучение алгоритма конкретным размерам и расстоянию между клавишами различных контактных площадок имеет решающее значение. Для эксперимента исследователи собрали 5800 видеороликов 58 разных людей из разных демографических групп, введя 4- и 5-значные PIN-коды.
@tomhunter
@tomhunter
#news В Израиле всплеск атак программ-вымогателей, нацеленных медицинские учреждения. Основной жертвой хакеров-вымогателей стал медицинский центр "Гилель Яффе" в Хадере, который не может расшифровать свои данные уже более 6 дней. Атака приписывается китайской группе киберпреступников, использовавших вымогатель DeepBlueMagic. DeepBlueMagin отключает решения безопасности, которые обычно обнаруживают и блокируют попытки шифрования файлов, что позволяет проводить успешные атаки. Само шифрование производится при помощи утилиты BestCrypt.
@tomhunter
@tomhunter
#news Группировка TA505 вернулась и принесла с собой новую RAT-малварь, получившую название FlawedGrace.
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
#news В Squirrel Engine нашли уязвимость, которая позволяет злоумышленнику выбраться из песочницы SquirrelVM и выполнять произвольный код. Уязвимость закрыли, но стабильного релиза с этим фиксом пока нет.
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
#news #decoder Выпущен бесплатный дешифратор вымогателя BlackByte, позволяющий жертвам восстанавливать свои файлы. Дешифратор не остались незамеченным для BlackByte, которые предупредили, что использование дешифратора с неправильным ключом может повредить файлы жертвы. Тем не менее, если вы являетесь жертвой BlackByte и хотите использовать предлагаемый дешифратор, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
@tomhunter
@tomhunter
#news Всего за неделю компания Acer подверглась второй кибератаке со стороны хакерской группы «Desorden». Ранее было взломано подразделение Acer Индия, а теперь добрались и до Acer Тайвань. Acer Taiwan отключила уязвимый сервер вскоре после того, как злоумышленники сообщили компании о взломе. Однако хакерская группа заявляет, что другие серверы в Малайзии и Индонезии по-прежнему уязвимы.
@tomhunter
@tomhunter
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
#news Google заявляет, что создатели YouTube-каналов все чаще становятся жертвами фишинговых атак с использованием вредоносных программ для кражи паролей и файлов cookie. Вредоносные программы, обнаруженные в атаках, включают такие массовые штаммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также программы с открытым исходным кодом, такие как Sorano и AdamantiumThief. Данное вредоносное ПО используется для кражи учетных данных и файлов cookie браузера, что позволяет злоумышленникам захватывать авторизационные сессии пользователей. Google выявил не менее 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей участников, специально созданных для этой кампании.
@tomhunter
@tomhunter
#news янки разработали новую атаку с захватом фингерпринтов и спуфингом в браузере, которая назвали Gummy Browsers. Фингерпринты (т.е. совокупность данных об устройстве и соединении пользователя) представляют собой достаточно ценную историю, хорошо используемую взломов. Атака Gummy Browsers - это процесс получения фингерпринтов у пользователя при посещении веб-сайта, контролируемого злоумышленником, с последующим использованием полученного фингерпринта для взлома веб-сервисов.
@tomhunter
@tomhunter
Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Pastebin
gosusliga.rudl1-gosuslugi.rugosuslugi-api.rugosuslugicovidnet.rugosuslug - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
#news Из-за ошибки в настройке ElasticSearch (просто доступ к логам не прикрыли, неловко) китайский ВПН-сервис Quickfox де-факто слил данные миллиона с лишним пользователей. Там и имена, и телефонные номера, и информация о прочем установленном на устройстве софте, и иже с ними. В том числе есть настоящие IP пользователей и IP, которые каждому выдал сервис.
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
#news Количество распределенных атак типа «отказ в обслуживании» (DDoS) на российские компании в текущем году увеличилось в 2,5 раза по сравнению с тем же периодом 2020 года. DDoS-атаки обычно используются для вымогательства жертв с требованием выкупа или для отвлечения ИТ-специалистов, пока хакеры пытаются украсть ценные данные из скомпрометированных систем. Сентябрь 2021 года был записан как худший период для России в новейшей истории DDoS-атак. В сентябре злоумышленники запустили 90% всех DDoS-атак 2021 года.
@tomhunter
@tomhunter
#news Бюро промышленности и безопасности (BIS) Министерства торговли сегодня объявило о новых средствах контроля, которые запретят компаниям США экспортировать и перепродавать программное обеспечение и аппаратные средства, которые могут использоваться для нарушения прав человека. Правила вступят в силу через 90 дней, поэтому ряду правительств нужно или быстро закупиться или задумываться о собственных разработках.
@tomhunter
@tomhunter
#news В npm нашли вредоносные пакеты, втихую майнящие крипту.
Речь об okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автор заблокирован, а библиотеки удалены, но осадочек остался.
Случай, конечно же, далеко не первый и совсем не уникальный. В августе, например, я писал про удаление 8 зловредных библиотек к PyPI. До этого в RubyGems находили пакет, ворующий крипту, а в том же npm — стилер паролей.
@tomhunter
Речь об okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автор заблокирован, а библиотеки удалены, но осадочек остался.
Случай, конечно же, далеко не первый и совсем не уникальный. В августе, например, я писал про удаление 8 зловредных библиотек к PyPI. До этого в RubyGems находили пакет, ворующий крипту, а в том же npm — стилер паролей.
@tomhunter
#news Основатели Bulletproof-хостинга ждут приговора в американском суде. Им грозит максимальное наказание в виде 20 лет тюрьмы. Хостинг использовался для распространения вредоносного ПО (Zeus, SpyEye, Citadel и Blackhole Exploit Kit), которые атаковали американские компании и финансовые учреждения в период с 2009 по 2015 год.
@tomhunter
@tomhunter
#news В настоящее время хакерские группы оптимизируют свою членскую структуру и предоставляют каждому человеку определенные функциональные роли. Одно из самых ярких различий, которое мы видим сегодня, по сравнению с практикой киберпреступности пятилетней давности заключается в том, что крупные банки больше не являются основными объектами атак. Вместо этого хакеры активно атакуют коммерческие организации с помощью программ-вымогателей.
@tomhunter
@tomhunter
#news В начале недели я писал о том, что REvil вынужденно свернулись, потому что кто-то хакнул серверы.
Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.
Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.
@tomhunter
Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.
Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.
@tomhunter