#news Microsoft представила управляемую искусственным интеллектом систему обнаружения атак программ-вымогателей для клиентов Microsoft Defender, которая дополняет существующую облачную защиту, оценивая риски и блокируя участников по периметру. В отличие от облачной защиты, которую администраторы настраивают вручную, новая система является адаптивной, что означает, что она может автоматически повышать или понижать агрессивность решений о блокировке, доставляемых через облако, на основе данных в реальном времени и прогнозов машинного обучения.
@tomhunter
@tomhunter
#anon #serf Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части - альтернативные ОС для смартфонов. Тема нашего сегодняшнего поста - браузеры с повышенной анонимностью и поисковые системы им под стать...
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
💩1
#news Криптомиксеры всегда были в эпицентре киберпреступности, позволяя хакерам «очищать» криптовалюту, украденную у жертв, и усложняли правоохранительным органам их отслеживание. Когда злоумышленники крадут криптовалюту или получают ее в качестве выкупа, правоохранительные органы или исследователи могут увидеть, на какой кошелек криптовалюты были отправлены средства. Микшеры позволяют злоумышленникам вносить незаконно полученную криптовалюту, а затем смешивать ее с большим пулом «случайных» транзакций. Таким образом, исходная криптовалюта запутывается в большом количестве сумм из множества разных и неизвестных источников. Сегодня хакеры используют четыре популярных сервиса криптомикширования, а именно Absolutio, AudiA6, Blender и Mix-btc. За исключением Mix-btc, все платформы работают в сети Tor. Они поддерживают Bitcoin, Bitcoin Cash, Dash, Ethereum, Ethereum Classic, Litecoin, Monero и Tether. Avaddon, DarkSide 2.0 (или BlackMatter) и REvil, вероятно, используют миксер BitMix.
@tomhunter
@tomhunter
#news Волна атак, начавшаяся в конце прошлой недели, взломала уже около 300 сайтов WordPress для отображения на них поддельных уведомлений о шифровании. Таким образом, преступники пытаются заставить владельцев сайтов заплатить 0,1 биткойна. Исследователи обнаружили, что веб-сайты не были зашифрованы, а скорее злоумышленники изменили установленный плагин WordPress, чтобы отображать записку о выкупе и обратный отсчет. В дополнение к отображению примечания о выкупе, плагин изменял бы все сообщения блога WordPress и устанавливал их 'post_status' в 'null', заставляя их переходить в неопубликованное состояние. Большинство обнаруженных сайтов просило перевести им биткоины на криптокошелек с адресом 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDE. Публикуем рекомендации по защите WordPress.
@tomhunter
@tomhunter
#news Агентство по кибербезопасности США (CISA) выпустило новые планы реагирования на кибербезопасность (известные как учебные пособия) для федеральных органов гражданской исполнительной власти (FCEB).
@tomhunter
@tomhunter
#news Идет война за IPv4... Генеральный директор технологической фирмы из Южной Каролины признал себя виновным по 20 пунктам обвинения в мошенничестве с использованием электронных средств связи в связи со сложной сетью фальшивых компаний, созданных для получения более 735 000 IP-адресов. В то время один IP-адрес мог приносить от 15 до 25 долларов.
@tomhunter
@tomhunter
#news На русскоязычных форумах по борьбе с киберпреступностью назревает некоторая необычная активность, где хакеры, похоже, обращаются к китайским коллегам для сотрудничества. Эти попытки привлечь китайских злоумышленников в основном видны на хакерском форуме RAMP. Исследователи предполагают, что наиболее вероятная причина заключается в том, что российские банды программ-вымогателей стремятся создать альянсы с китайскими игроками для проведения кибератак против целей в США, обмена уязвимостями или даже привлечения новых специалистов для своих операций по программе-вымогателю как услуге (RaaS).
@tomhunter
@tomhunter
#news Считаете, что TOR безопасен? Оцените возможные векторы атак, о существовании которых было известно еще год назад.
@tomhunter
@tomhunter
#news Тут Robinhood деликатно добавил, что во время недавнего взлома утекли ещё и телефонные номера. Взлом, напомню, случился из-за телефонной социнженерной атаки на сотрудника поддержки.
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
#news 24 ноября 2021 состоится онлайн-конференция AM Live «Безопасность рабочих станций в сетях АСУ ТП».
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
#news Изобретательные хакеры приспособили платформу Glitch для массовой штамповки фишинговых сайтов-однодневок, нацеленных на сотрудников крупных ближневосточных компаний.
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
#news Вредоносное ПО для Android BrazKing вернулось в качестве скрытого банковского трояна. Вредонос был обнаружен вне пределов Play Store, на сайтах, куда люди попадают после получения smishing-сообщений (SMS). Эти сайты предупреждают жертву о том, что она использует устаревшую версию Android, и предлагают APK, который обновит ее до последней версии. При этом, новая версия BrazKing защищает внутренние ресурсы, применяя операцию XOR с использованием жестко запрограммированного ключа, а затем также кодирует их с помощью Base64.
@tomhunter
@tomhunter
#news Group-IB рассказала о возвращении хакеров-шпионов RedCurl, которые на сей раз дважды атаковали некий неназванный российский интернет-магазин из ТОП-20 крупнейших.
RedCurl известна как русскоязычная группировка, вопреки хакерскому кодексу чести атакующая как своих, так и чужих. Ребята используют социальную инженерию — присылают сотрудникам нужных организаций фишинговые письма о премиях, например — и множество кастомных инструментов, чтобы проникать во внутренние сети компаний.
Несмотря на обширный доступ к поверженной сети, рансомварью и прочими подобными варварствами ребята брезгуют: услуги корпоративных шпионов явно оплачивают извне. Поэтому они весьма грамотно маскируются, тихо собирают нужные данные — от внутренних переписок до юридической документации — и исчезают, оставляя минимум следов.
@tomhunter
RedCurl известна как русскоязычная группировка, вопреки хакерскому кодексу чести атакующая как своих, так и чужих. Ребята используют социальную инженерию — присылают сотрудникам нужных организаций фишинговые письма о премиях, например — и множество кастомных инструментов, чтобы проникать во внутренние сети компаний.
Несмотря на обширный доступ к поверженной сети, рансомварью и прочими подобными варварствами ребята брезгуют: услуги корпоративных шпионов явно оплачивают извне. Поэтому они весьма грамотно маскируются, тихо собирают нужные данные — от внутренних переписок до юридической документации — и исчезают, оставляя минимум следов.
@tomhunter
#OSINT #Lab Пятничное... Виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. Выбери свою...
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
Ну и... https://github.com/SOsintOps/Argos
@tomhunter
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
Ну и... https://github.com/SOsintOps/Argos
@tomhunter
#news В январе этого года спецслужбы одолели ботнет Emotet в неравной битве. На этом, однако, история не закончилась. Теперь он вернулся — говорят, операторов ботнета уговорили его вернуть хакеры Conti.
Основная фича Emotet — партнёрство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждёт расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.
@tomhunter
Основная фича Emotet — партнёрство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждёт расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.
@tomhunter
#news С интересом и огоньком провели в четверг очередной конкурс по информационной безопасности Zero-Day. Участвовало 9 команд из различных учебных заведений Санкт-Петербурга. Конкурсанты испытали свои навыки в CTF и OSINT, а также послушали опытных спикеров.
@tomhunter
@tomhunter
#news Недавно Брайан Кребс рассказал о новых фишках американских «служб безопасности» Сбербанка JP Morgan Chase.
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
#news Серверы Microsoft Exchange взломаны в результате атак с внутренней цепочкой ответов. Считается, что за этой атакой стоит «TR», известный злоумышленник, который рассылает электронные письма с вредоносными вложениями, которые сбрасывают вредоносные программы, включая полезные нагрузки Qbot, IcedID, Cobalt Strike и SquirrelWaffle. Чтобы заставить корпоративные цели открыть вредоносные вложения, злоумышленник использует серверы Microsoft Exchange, используя уязвимости ProxyShell и ProxyLogon.
@tomhunter
@tomhunter
#news Несколько дней назад в Канаде арестовали семнадцатилетнего парня, который украл у американца (американки?) почти $37 миллионов в крипте. Американских долларов.
Спецслужбы сообщают, что для атаки парень перевыпустил сим-карту жертвы — это позволило ему перехватить смски для двухфакторки и забрать крипту. Видимо, речь о кастодиальном кошельке; для таких сумм выбор ну очень загадочный. Горе-хакера вычислили, когда он попытался часть украденной суммы потратить на покупку редкого ника в игре.
Это не первая такая история, конечно. В конце октября, например, другой семнадцатилетний парень наскамил почти 350 тысяч долларов в ETH и всё вернул, назвав шуткой, когда твиттерские интернет-сыщики начали операцию по его поимке. Тут, правда, иные масштабы.
Ну и детки сейчас пошли…
@tomhunter
Спецслужбы сообщают, что для атаки парень перевыпустил сим-карту жертвы — это позволило ему перехватить смски для двухфакторки и забрать крипту. Видимо, речь о кастодиальном кошельке; для таких сумм выбор ну очень загадочный. Горе-хакера вычислили, когда он попытался часть украденной суммы потратить на покупку редкого ника в игре.
Это не первая такая история, конечно. В конце октября, например, другой семнадцатилетний парень наскамил почти 350 тысяч долларов в ETH и всё вернул, назвав шуткой, когда твиттерские интернет-сыщики начали операцию по его поимке. Тут, правда, иные масштабы.
Ну и детки сейчас пошли…
@tomhunter
#news Как это по-русски... Комиссия по ценным бумагам и биржам (SEC) предупредила американских инвесторов о мошенниках, выдающих себя за должностных лиц SEC в схемах выдачи себя за другое лицо посредством телефонных звонков, голосовой почты, электронных писем и писем. Летом аналогичное предупреждение выходило от ФБР и FINRA.
@tomhunter
@tomhunter
#anon #app Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части — альтернативные ОС для смартфонов. В третьей части — браузеры и поисковики повышенной анонимности. Сегодня поговорим о прочем ПО...
Мессенджер:
├signal
├briar
├jabber
└element
Электронная почта:
├runbox
├preveil
└zoho
Файлообменник:
├dropmefiles
├reeves
├privatlab
├onionshare
└sync
Облачное хранилище:
├mega
├nextcloud
└nordlocker
Что мы получили? Избавление от следящих модулей, встроенных в популярные приложения. А также минимизацию рисков передачи ваших данных третьим лицам.
@tomhunter
Мессенджер:
├signal
├briar
├jabber
└element
Электронная почта:
├runbox
├preveil
└zoho
Файлообменник:
├dropmefiles
├reeves
├privatlab
├onionshare
└sync
Облачное хранилище:
├mega
├nextcloud
└nordlocker
Что мы получили? Избавление от следящих модулей, встроенных в популярные приложения. А также минимизацию рисков передачи ваших данных третьим лицам.
@tomhunter