#news ФСБ арестовала хакеров из REvil по запросу США. Американские спецслужбы предоставили данные о потенциальном лидере группировки, и ФСБ организовала спецоперацию по аресту.
Говорят, наконец-таки установили полный состав. Ещё по результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
@tomhunter
Говорят, наконец-таки установили полный состав. Ещё по результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
@tomhunter
#news Главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров прокомментировал в беседе с РЕН ТВ задержание хакеров из группировки REvil...
"Ситуация с поимкой хакеров иллюстрирует то, что у России нет позиции не ловить хакеров на своей территории, если они не делают ничего вредоносного инфраструктуре РФ. Если группировка действительно нанесла вред другой стране, и она сейчас находится на территории России, то правоохранители не останутся в стороне. Все рассказы про то, что Россия кого-то покрывает, в итоге оказываются ложью".
@tomhunter
"Ситуация с поимкой хакеров иллюстрирует то, что у России нет позиции не ловить хакеров на своей территории, если они не делают ничего вредоносного инфраструктуре РФ. Если группировка действительно нанесла вред другой стране, и она сейчас находится на территории России, то правоохранители не останутся в стороне. Все рассказы про то, что Россия кого-то покрывает, в итоге оказываются ложью".
@tomhunter
РЕН ТВ
IT-специалист о поимке REvil: у России нет позиции не ловить хакеров
Главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров прокомментировал в беседе с РЕН ТВ задержание хакеров из группировки REvil. "Насколько мне известно, эта группировка предоставляла вирус-вымогатель как услугу, в том числе они занимались…
#news На Украине в ночь на пятницу, 14 января, произошла глобальная хакерская атака на сайты министерств и кабмина. Якобы утекли личные данные украинцев...
Специалист компании T.Hunter Владимир Макаров в беседе с «Известиями» отметил, что, в данном случае речь идет скорее всего о проявлении «хактивизма» (взлом за идею). Он также отметил, что фактически какая-то информация не была украдена и куда-либо выложена.
«Это может быть обусловлено тем, что с момента атаки прошло еще слишком мало времени. Если судить по общему итогу атаки, то это явно есть или пытается казаться атакой, направленной на ухудшение украино-польских отношений. Причем якобы инициированной со стороны неких польских националистов», — сказал он.
@tomhunter
Специалист компании T.Hunter Владимир Макаров в беседе с «Известиями» отметил, что, в данном случае речь идет скорее всего о проявлении «хактивизма» (взлом за идею). Он также отметил, что фактически какая-то информация не была украдена и куда-либо выложена.
«Это может быть обусловлено тем, что с момента атаки прошло еще слишком мало времени. Если судить по общему итогу атаки, то это явно есть или пытается казаться атакой, направленной на ухудшение украино-польских отношений. Причем якобы инициированной со стороны неких польских националистов», — сказал он.
@tomhunter
#OSINT #news По стране прокатилась череда задержаний членов хакерской группы "REvil". Предлагаем содрать маску Гая Фокса с такого активного участника форумов по киберпреступности, как "Wasawaka".
Wasawaka специализировался на предоставлении доступов группировкам-вымогателям к организациям и базам данных, украденным у взломанных компаний. С его слов, он даже объединился с "DarkSide", партнерской группой вымогателей, ответственной за шестидневное отключение трубопровода "Colonial Pipeline" в прошлом году, которое вызвало общенациональную нехватку топлива и скачки цен.
Wasawaka - опаснейший хакер и, безусловно, профессионал в своей области. Но его явно погубит повторное использование одних и тех же телефонных номеров и адресов электронной почты.
@tomhunter
Wasawaka специализировался на предоставлении доступов группировкам-вымогателям к организациям и базам данных, украденным у взломанных компаний. С его слов, он даже объединился с "DarkSide", партнерской группой вымогателей, ответственной за шестидневное отключение трубопровода "Colonial Pipeline" в прошлом году, которое вызвало общенациональную нехватку топлива и скачки цен.
Wasawaka - опаснейший хакер и, безусловно, профессионал в своей области. Но его явно погубит повторное использование одних и тех же телефонных номеров и адресов электронной почты.
@tomhunter
#news Девятнадцатилетний хакер Дэвид Коломбо говорит, что получил доступ к десяткам машин Tesla по всему миру. Всего он нашёл более 125 уязвимых машин.
Получилось это благодаря уязвимости в неком «стороннем» приложении, которое позволяет владельцу машины следить за её перемещениями, — детали Коломбо пояснять не стал, потому что уязвимость пока не устранена.
Хакер может, например, удалённо отключать режим Sentry mode (режим слежки за движениями вокруг машины и защиты от взлома) и открывать двери, а вот напрямую управлять машиной всё-таки нет. Ещё он получил доступ к массиву личных данных владельцев машин, включая нынешнюю локацию Теслы и точные маршруты, по которым она ездила за последнюю пару дней.
@tomhunter
Получилось это благодаря уязвимости в неком «стороннем» приложении, которое позволяет владельцу машины следить за её перемещениями, — детали Коломбо пояснять не стал, потому что уязвимость пока не устранена.
Хакер может, например, удалённо отключать режим Sentry mode (режим слежки за движениями вокруг машины и защиты от взлома) и открывать двери, а вот напрямую управлять машиной всё-таки нет. Ещё он получил доступ к массиву личных данных владельцев машин, включая нынешнюю локацию Теслы и точные маршруты, по которым она ездила за последнюю пару дней.
@tomhunter
#news Немецкие полицейские незаконно воспользовались данными из ковидного приложения, чтобы найти свидетелей по делу.
Дело такое: в Майнце некий мужчина вышел из ресторана и упал замертво. Чтобы узнать о случившемся больше, полицейские вытащили данные из ковидного приложения Luca — оно следит, сколько времени человек провёл в ресторане, баре или на каком-то культурном событии. Если в будущем окажется, что кто-то из их соседей болен ковидом, правительству будет легче найти потенциальных заразившихся. Важно, что все запросы от полицейских сам разработчик Luca всегда отклоняет. Сотрудничать, похоже, решили местные власти.
Через это приложение полицейские и нашли 21 свидетеля, которые были в том ресторане в нужное время. Прецедент ох какой неприятный — все эти QR-кодные приложения и так мало кому нравятся.
@tomhunter
Дело такое: в Майнце некий мужчина вышел из ресторана и упал замертво. Чтобы узнать о случившемся больше, полицейские вытащили данные из ковидного приложения Luca — оно следит, сколько времени человек провёл в ресторане, баре или на каком-то культурном событии. Если в будущем окажется, что кто-то из их соседей болен ковидом, правительству будет легче найти потенциальных заразившихся. Важно, что все запросы от полицейских сам разработчик Luca всегда отклоняет. Сотрудничать, похоже, решили местные власти.
Через это приложение полицейские и нашли 21 свидетеля, которые были в том ресторане в нужное время. Прецедент ох какой неприятный — все эти QR-кодные приложения и так мало кому нравятся.
@tomhunter
#OSINT #news Исследователь собрал в Твиттере небольшую коллекцию своих OSINT-заметок по недавнему аресту REvil.
Нашёл потенциальный адрес, изучил номера телефонов, поотмечал забавные детали — всё, как вы любите. Возможно, набор ещё будет обновляться.
@tomhunter
Нашёл потенциальный адрес, изучил номера телефонов, поотмечал забавные детали — всё, как вы любите. Возможно, набор ещё будет обновляться.
@tomhunter
#news Хакеры из Lorenz заразили рансомварью британские сети немецкого оборонного подрядчика Hendsoldt.
Важная деталь: Hendsoldt работает с США, в том числе имея доступ к секретным госконтрактам. Её продукцию — в числе прочего вертолётные платформы и прибрежные боевые корабли (LCS) — используют Вооружённые силы, Корпус морской пехоты и Национальная гвардия.
Компания пока не выпустила официального заявления, но подтвердила журналистам произошедшее. А вот Lorenz уже гордо взяли на себя ответственность за атаку, заявив, что украли некий массив файлов. 95% украденных файлов хакеры опубликовали на своём сайте для сливов, защитив архивы с ними паролем.
@tomhunter
Важная деталь: Hendsoldt работает с США, в том числе имея доступ к секретным госконтрактам. Её продукцию — в числе прочего вертолётные платформы и прибрежные боевые корабли (LCS) — используют Вооружённые силы, Корпус морской пехоты и Национальная гвардия.
Компания пока не выпустила официального заявления, но подтвердила журналистам произошедшее. А вот Lorenz уже гордо взяли на себя ответственность за атаку, заявив, что украли некий массив файлов. 95% украденных файлов хакеры опубликовали на своём сайте для сливов, защитив архивы с ними паролем.
@tomhunter
#news В Safari 15 есть баг, сливающий браузерную историю и ID Google-аккаунта.
Баг касается ошибки в реализации IndexedDB API в движке Safari, WebKit. Обычно IndexedDB используется для кэширования, но модули и расширения могут хранить там ценные данные. Чтобы предотвращать XSS-атаки, соблюдается правило ограничения домена (same-origin policy).
Соблюдается, да не в яблочном браузере. Same-origin policy в Safari игнорируется, поэтому любой сайт может увидеть названия баз данных, созданных в рамках сессии. База обычно создаётся под каждый сайт, так что это всё равно что показать браузерную историю. Для гугловских сервисов сливается ещё и ID Google-аккаунта.
Демо тут — смотреть, естественно, нужно в Safari.
@tomhunter
Баг касается ошибки в реализации IndexedDB API в движке Safari, WebKit. Обычно IndexedDB используется для кэширования, но модули и расширения могут хранить там ценные данные. Чтобы предотвращать XSS-атаки, соблюдается правило ограничения домена (same-origin policy).
Соблюдается, да не в яблочном браузере. Same-origin policy в Safari игнорируется, поэтому любой сайт может увидеть названия баз данных, созданных в рамках сессии. База обычно создаётся под каждый сайт, так что это всё равно что показать браузерную историю. Для гугловских сервисов сливается ещё и ID Google-аккаунта.
Демо тут — смотреть, естественно, нужно в Safari.
@tomhunter
#news #OSINT Школота минирует Россию... Продолжаю рассказ про виртуальное минирование. Вполне ожидаемо оказалось, что им занимаются не только спецслужбы, но и разнообразные пубертаты. Мы провели исследование четырех новых сообществ "минеров" в Telegram (в дополнение к 20-ти сообществам ранее) и пришли к выводу, что минирование (swatting) - особенно популярно на Украине. По крайней мере, именно там логируется порядка 90% админов подобных сообществ. Стоимость минирования начинается от 250 RUR за объект. Для интересующихся темой - есть обучающие курсы, которые ведут не менее прыщавые школьники. Сообществ минеров очень много, не только в Telegram. Они есть и в ВК. Приятно, что парни любят хвастаться в них своими "операциями", а также рассказывают о минированиях "на будущее".
P.S. Я специально размыл граф с данными. Заинтересованные лица могут обратиться за получением сведений в официальном порядке. Остальным они без надобности.
@tomhunter
P.S. Я специально размыл граф с данными. Заинтересованные лица могут обратиться за получением сведений в официальном порядке. Остальным они без надобности.
@tomhunter
Написал для вас на Хабр небольшой обзор всего, чем 2021 год одарил наш уютный инфосек. Начали за здрав… с последствий SolarWinds, закончили за Log4j.
Не обошлось и без легендарной летающей спайвари — она, увы, так и не похвасталась за весь год ни одним пойманным с её помощью террористом.
Приятного чтения!
Не обошлось и без легендарной летающей спайвари — она, увы, так и не похвасталась за весь год ни одним пойманным с её помощью террористом.
Приятного чтения!
#news Правоохранительные органы из 10 стран заблокировали VPNLab.net, поставщика услуг VPN, используемого операторами программ-вымогателей. Совместная разрушительная акция координировалась Европолом и состоялась 17 января 2022 года. Правоохранители захватили 15 серверов, используемых сервисом VPNLab.net, и отключили его основной сайт, поэтому платформа больше недоступна. Известно, что сервис использовался как минимум в 150 атаках программ-вымогателей.
@tomhunter
@tomhunter
#news Киберпреступники все чаще используют Telegram для создания подпольных каналов для продажи украденных банковских данных. Поскольку платформа следует подходу свободной модерации, подвергая цензуре только экстремистский контент, киберпреступникам достаточно легко злоупотреблять ею в своих целях.
@tomhunter
@tomhunter
#news В ноябре 2021 года следователи DEA потребовали от принадлежащей Facebook компании WhatsApp отследить семь пользователей из Китая и Макао. Facebook, разумеется, взял под козырек. Вопрос юрисдикции, да и правомочности американских наркополицейских в других странах компания не взволновал. Неприятный, но показательный прецедент. И далеко не первый, если верить СМИ... https://www.forbes.com/sites/thomasbrewster/2022/01/17/whatsapp-ordered-to-spy-on-chinese-phones-by-america-no-explanation-given/
@tomhunter
@tomhunter
🤯2
#news Центробанк впервые запросил у банков данные о сотрудничестве с криптообменниками в части проведения платежей между гражданами (p2p), в том числе на карты подставных лиц.
В запросе фигурировали следующие сервисы: btc-obmennik.com, cleanbtc.ru, 100bitcoins.com, ultrachange.biz, 1wn.kz, cryptex24.com/ru/, openchange.cash, xchange.cash, vexel.com, betatransfer.org. Как думаете, дадут?
@tomhunter
В запросе фигурировали следующие сервисы: btc-obmennik.com, cleanbtc.ru, 100bitcoins.com, ultrachange.biz, 1wn.kz, cryptex24.com/ru/, openchange.cash, xchange.cash, vexel.com, betatransfer.org. Как думаете, дадут?
@tomhunter
#news Ломающие новости: оказывается, власти Израиля использовали Pegasus для слежки за собственными же гражданами, которые не вписались в линию партии. Тот самый Pegasus, который сделала израильская же NSO Group.
Среди целей приметили местных мэров, бывших госслужащих и противников нынешнего премьера, Биньямина Нитаньяху. Судя по документам, израильская полиция заплатила NSO Group за лицензию 2.7 млн шекелей (около $864 млн по нынешнему курсу) в 2013 году.
NSO Group привычно открещивается: захардкожена, мол, в наш Пегасус невозможность атаковать израильские и американские номера. Видимо, местной полиции на всякий случай лицензию продали — вдруг те иностранной разведкой после работы балуются.
@tomhunter
Среди целей приметили местных мэров, бывших госслужащих и противников нынешнего премьера, Биньямина Нитаньяху. Судя по документам, израильская полиция заплатила NSO Group за лицензию 2.7 млн шекелей (около $864 млн по нынешнему курсу) в 2013 году.
NSO Group привычно открещивается: захардкожена, мол, в наш Пегасус невозможность атаковать израильские и американские номера. Видимо, местной полиции на всякий случай лицензию продали — вдруг те иностранной разведкой после работы балуются.
@tomhunter
#news Кибермошенники научились обходить защиту кредитных карты 3D Secure. Напомню, что 3D Secure предполагает направление владельцу кредитной карты SMS-сообщения кода подтверждения транзакции. Чтобы обойти защиту, злоумышленники распространяют ссылки на фейки интернет-магазинов. При заказе на них товаров, пользователь вводит данные кредитки и получает код подтверждения...
Только этот код не от его покупки в фейковом магазине. Это код для подтверждения платежа при переводе с карты на карту с помощью внешнего сервиса. Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе.
@tomhunter
Только этот код не от его покупки в фейковом магазине. Это код для подтверждения платежа при переводе с карты на карту с помощью внешнего сервиса. Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе.
@tomhunter
#news Неизвестные хакеры украли данные 515 тысяч людей, участвующих в программе Restoring Family Links от Красного Креста — она помогает воссоединять семьи, разделенные из-за войны, катастроф и миграции.
Взломали компанию, которая по контракту с Красным Крестом хранила эти данные. Представители организации пока не знают, кто и с какими целями организовал взлом, но ищут с хакерами переговоров — всё надеются, что данные и без того уязвимых людей удастся сберечь от продажи или слива в даркнете.
@tomhunter
Взломали компанию, которая по контракту с Красным Крестом хранила эти данные. Представители организации пока не знают, кто и с какими целями организовал взлом, но ищут с хакерами переговоров — всё надеются, что данные и без того уязвимых людей удастся сберечь от продажи или слива в даркнете.
@tomhunter
#news Австрийский новостной сайт NetDoktor катализировал конфликт между США и ЕС о защите персональных данных. Дело в том, что сайт пользовался Google Analytics, и данные европейских пользователей в итоге попадали на американские сервера.
ЕС давно пытается ограничить такие путешествия личных данных европейцев через Атлантику, и в использовании GA Австрия нашла нарушение европейского Общего регламента по защите данных. Решение ещё не финальное, но использование GA в Австрии думают запретить.
Главная проблема: данные иностранцев в США не защищены от американских спецслужб.
В 2020 ЕС отменил «Щит конфиденциальности», позволявший «вывозить» данные европейцев в США с определёнными условиями. Новых регуляций с тех пор не было, и дело затягивается. Если так продолжится и дальше, принятое Австрией решение вполне может иметь эффект домино: одна страна за другой запретит Amazon, Facebook и прочим Гуглам увозить в США данные своих граждан. Сейчас подобные дела рассматривают в 30 странах ЕС.
@tomhunter
ЕС давно пытается ограничить такие путешествия личных данных европейцев через Атлантику, и в использовании GA Австрия нашла нарушение европейского Общего регламента по защите данных. Решение ещё не финальное, но использование GA в Австрии думают запретить.
Главная проблема: данные иностранцев в США не защищены от американских спецслужб.
В 2020 ЕС отменил «Щит конфиденциальности», позволявший «вывозить» данные европейцев в США с определёнными условиями. Новых регуляций с тех пор не было, и дело затягивается. Если так продолжится и дальше, принятое Австрией решение вполне может иметь эффект домино: одна страна за другой запретит Amazon, Facebook и прочим Гуглам увозить в США данные своих граждан. Сейчас подобные дела рассматривают в 30 странах ЕС.
@tomhunter
#news А вот про обсуждаемый запрет крипты в России. От предположений о том, что это ФСБ убедило ЦБ задуматься о таком запрете, ожидаемо открестились — мол, ЦБ сам по себе всегда был настроен к криптовалютам негативно.
В вышедшем сегодня докладе ЦБ говорит, что предлагает:
⋅ ввести ограничения для обменников и бирж на территории РФ;
⋅ запретить финансовым организациям инвестировать в крипту;
⋅ запретить операции с криптой на российской инфрастуктуре;
⋅ ввести некую ответственность за использование крипты для платежей.
Иными словами, вашу покупку биткоинов на Binance банк сможет заблокировать. А вот что они собираются делать с P2P с сообщением «подарок» — это пока большая загадка.
@tomhunter
В вышедшем сегодня докладе ЦБ говорит, что предлагает:
⋅ ввести ограничения для обменников и бирж на территории РФ;
⋅ запретить финансовым организациям инвестировать в крипту;
⋅ запретить операции с криптой на российской инфрастуктуре;
⋅ ввести некую ответственность за использование крипты для платежей.
Иными словами, вашу покупку биткоинов на Binance банк сможет заблокировать. А вот что они собираются делать с P2P с сообщением «подарок» — это пока большая загадка.
@tomhunter
#news Crypto.com официально рассказали о взломе, который произошёл 17 января. Некие хакеры взломали 483 аккаунта, обойдя 2FA, и украли около $34.6 миллионов.
Часть транзакций на вывод платформа заблокировала, а у части пользователей деньги всё-таки увели — к счастью, Crypto.com всё компенсировала за свой счёт. Ещё решила постепенно заменять 2FA на мультифакторную авторизацию (ура!).
Дежурное для канала напоминание: деньги, лежащие в Crypto.com и прочих Binance, вам на самом деле не принадлежат. Один настойчивый хакер или одно неудачное решение команды, и вот очередная новость из извечной рубрики. Не зависьте от чужих косяков с безопасностью — уносите всё после покупок-обменов в холодные кошелькии косячьте гордо сами.
@tomhunter
Часть транзакций на вывод платформа заблокировала, а у части пользователей деньги всё-таки увели — к счастью, Crypto.com всё компенсировала за свой счёт. Ещё решила постепенно заменять 2FA на мультифакторную авторизацию (ура!).
Дежурное для канала напоминание: деньги, лежащие в Crypto.com и прочих Binance, вам на самом деле не принадлежат. Один настойчивый хакер или одно неудачное решение команды, и вот очередная новость из извечной рубрики. Не зависьте от чужих косяков с безопасностью — уносите всё после покупок-обменов в холодные кошельки
@tomhunter