#news Crypto.com официально рассказали о взломе, который произошёл 17 января. Некие хакеры взломали 483 аккаунта, обойдя 2FA, и украли около $34.6 миллионов.
Часть транзакций на вывод платформа заблокировала, а у части пользователей деньги всё-таки увели — к счастью, Crypto.com всё компенсировала за свой счёт. Ещё решила постепенно заменять 2FA на мультифакторную авторизацию (ура!).
Дежурное для канала напоминание: деньги, лежащие в Crypto.com и прочих Binance, вам на самом деле не принадлежат. Один настойчивый хакер или одно неудачное решение команды, и вот очередная новость из извечной рубрики. Не зависьте от чужих косяков с безопасностью — уносите всё после покупок-обменов в холодные кошелькии косячьте гордо сами.
@tomhunter
Часть транзакций на вывод платформа заблокировала, а у части пользователей деньги всё-таки увели — к счастью, Crypto.com всё компенсировала за свой счёт. Ещё решила постепенно заменять 2FA на мультифакторную авторизацию (ура!).
Дежурное для канала напоминание: деньги, лежащие в Crypto.com и прочих Binance, вам на самом деле не принадлежат. Один настойчивый хакер или одно неудачное решение команды, и вот очередная новость из извечной рубрики. Не зависьте от чужих косяков с безопасностью — уносите всё после покупок-обменов в холодные кошельки
@tomhunter
#news Ну и пока мы о криптофейлах, вот совершенно эпичный в копилку: платформа Multichain объявила об активной уязвимости до того, как её устранить. Естественно, хакеры ею сразу же воспользовались.
Один из них украл $1.4 миллиона. К счастью, он оказался белошляпочным и не против почти всё вернуть, оставив себе только 20% на чай за то, что спас деньги.
Пользователи всё ходят и спрашивают у компании, собирается ли она компенсировать им деньги. Хороший вопрос.
@tomhunter
Один из них украл $1.4 миллиона. К счастью, он оказался белошляпочным и не против почти всё вернуть, оставив себе только 20% на чай за то, что спас деньги.
Пользователи всё ходят и спрашивают у компании, собирается ли она компенсировать им деньги. Хороший вопрос.
@tomhunter
#news ProtonMail анонсирует «расширенную защиту от слежки». Сервис будет блокировать пиксели-трекеры, которые сочтет опасными, а также будет скрывать IP-адрес пользователя, чтобы его местоположение не стало известно третьим лицам.
Ранее ProtonMail анонсировал «расширенное сотрудничество с силовиками». Сервис передавал правоохранительным органам следующую информацию: дату создания аккаунта, IP-адрес и данные о пользовательском устройстве. При этом на сайте сервиса было указано, что логирование IP-адресов в постоянном режиме не ведется.
@tomhunter
Ранее ProtonMail анонсировал «расширенное сотрудничество с силовиками». Сервис передавал правоохранительным органам следующую информацию: дату создания аккаунта, IP-адрес и данные о пользовательском устройстве. При этом на сайте сервиса было указано, что логирование IP-адресов в постоянном режиме не ведется.
@tomhunter
#news Исследователи обнаружили несколько шпионских кампаний, нацеленных на промышленные предприятия и направленных на кражу учетных данных электронной почты и финансовое мошенничество. Количество атакованных систем в этих кампаниях всегда меньше сотни, половина из которых — это машины АСУ (интегрированные компьютерные системы), развернутые в промышленных средах. Злоумышленники используют украденные учетные данные сотрудников, которые они получают с помощью целевого фишинга, для более глубокого проникновения и перемещения в сети компании. Многие учетные записи электронной почты RDP, SMTP, SSH, cPanel и VPN, украденные в ходе этих кампаний, размещаются на торговых площадках даркнета и в конечном итоге продаются другим злоумышленникам.
@tomhunter
@tomhunter
#news ФБР официально связало программу-вымогатель Diavol с группой TrickBot. TrickBot наиболее известна своим одноименным банковским трояном TrickBot, но также стоит за разработкой бэкдоров BazarBackdoor и Anchor. Другое название программы-вымогателя Diavol — программа-вымогатель Enigma, которую использовала команда TrickBot до ребрендинга Diavol. ФБР, вероятно, смогло официально связать Diavol с бандой TrickBot после ареста Аллы Витте, латвийки, участвовавшей в разработке программы-вымогателя для банды вредоносных программ.
@tomhunter
@tomhunter
#news Log4j все еще находится в активной эксплуатации. Уже 4 января злоумышленники начали использовать уязвимость CVE-2021-44228 в системах с выходом в Интернет, работающих под управлением VMware Horizon. Это привело к развертыванию программы-вымогателя NightSky. Ожидается, что злоумышленники продолжат искать Log4j-уязвимые системы и проводить целевые атаки в будущем.
@tomhunter
@tomhunter
#OSINT #Maltego Давно не обсуждали Maltego... Итак, у нас есть очередное бесплатное дополнение программного обеспечения от НЦБ Интерпола. Скачать можно по ссылке.
@tomhunter
@tomhunter
#news Киберпреступники подделывают QR-коды, чтобы перенаправить жертв на вредоносные сайты, которые крадут авторизацию и финансовую информацию - "открыли сегодня истину" в ФБР. ФБР заявило, что мошенники меняют законные QR-коды, используемые предприятиями для целей оплаты, чтобы перенаправить потенциальных жертв на вредоносные веб-сайты, предназначенные для кражи их личной и финансовой информации, установки вредоносных программ на их устройства или перенаправления их платежей на счета, находящиеся под их контролем.
@tomhunter
@tomhunter
#news Prepare to… get hacked. В мультиплеере Dark Souls 3 нашли RCE-уязвимость, с помощью которой любой игрок может превратить компьютер другого в кирпич, позапускать на фоне программы и вытянуть личные данные.
Единственное доступное (пока) решение — не играть в мультиплеер. Мод Blue Sentinel этот эксплойт распознавать не умеет.
Есть кусочек стрима с демонстрацией эксплойта, который можно посмотреть тут.
@tomhunter
Единственное доступное (пока) решение — не играть в мультиплеер. Мод Blue Sentinel этот эксплойт распознавать не умеет.
Есть кусочек стрима с демонстрацией эксплойта, который можно посмотреть тут.
@tomhunter
#news Забавный даркнетовский магазин Accountz Club продает пароли от аккаунтов на сервисах для киберпреступников — инструментах для спама, магазинов с украденными данными карт и так далее.
Можно купить аккаунт за половину доступного на нем баланса и потратить его на свои цели. Заодно получить доступ ко всем данным и услугам, которые незадачливый киберпреступник уже оплатил.
Accountz Club обещает скоро сильно расширить ассортимент. У них это наверняка получится: многие киберпреступники используют на разных сервисах одни и те же логины и пароли. Те пароли, что угодили в Accountz Club, ещё и очень простые — легко брутфорсятся при желании.
Такая вот занятная метапреступность.
@tomhunter
Можно купить аккаунт за половину доступного на нем баланса и потратить его на свои цели. Заодно получить доступ ко всем данным и услугам, которые незадачливый киберпреступник уже оплатил.
Accountz Club обещает скоро сильно расширить ассортимент. У них это наверняка получится: многие киберпреступники используют на разных сервисах одни и те же логины и пароли. Те пароли, что угодили в Accountz Club, ещё и очень простые — легко брутфорсятся при желании.
Такая вот занятная метапреступность.
@tomhunter
👍1
#news Роскомнадзор может создать систему блокировки звонков с подменных номеров. Соответствующее исследование за 8,2 млн рублей заказало подведомственное Роскомнадзору ФГУП «Главный радиочастотный центр» (ГРЧЦ). Тендер разыгрывался в закрытом режиме - интересненько))).
К слову... за 11 месяцев 2021 года телефонные мошенники с помощью подменных номеров украли у россиян около 45 млрд рублей.
@tomhunter
К слову... за 11 месяцев 2021 года телефонные мошенники с помощью подменных номеров украли у россиян около 45 млрд рублей.
@tomhunter
#news Снова о любимых яблоках. Исследователь рассказал про серию уязвимостей в Safari на macOS, позволявшую получить полный доступ ко всем открытым сайтам на компьютере жертвы.
Суть такая. Когда пользователь делится с кем-то файлом по iCloud, Apple за кулисами использует для этой передачи приложение ShareBear. Сначала хакер может передать совершенно безобидный файл. Но ShareBear, iCloud и macOS друг другу взаимно доверяют, и если потом заменить этот безобидный файл на вполне себе обидный, никаких уведомлений не будет. Более того, файл можно открыть условно-насильно.
Провернув всё это, хакер получает полный доступ к взломанному браузеру — может пользоваться открытыми у жертвы сайтами, получить доступ к камере и микрофону, видеть без ведома жертвы её экран и так далее.
Уязвимости, к счастью, устранили в конце 2021, выплатив неплохую баунти.
@tomhunter
Суть такая. Когда пользователь делится с кем-то файлом по iCloud, Apple за кулисами использует для этой передачи приложение ShareBear. Сначала хакер может передать совершенно безобидный файл. Но ShareBear, iCloud и macOS друг другу взаимно доверяют, и если потом заменить этот безобидный файл на вполне себе обидный, никаких уведомлений не будет. Более того, файл можно открыть условно-насильно.
Провернув всё это, хакер получает полный доступ к взломанному браузеру — может пользоваться открытыми у жертвы сайтами, получить доступ к камере и микрофону, видеть без ведома жертвы её экран и так далее.
Уязвимости, к счастью, устранили в конце 2021, выплатив неплохую баунти.
@tomhunter
#news Вечером в понедельник хакеры Belarusian Cyber-Partisans взломали и зашифровали часть серверов Белорусской железной дороги. Главная причина — передвижение российских войск по территории страны.
Хакеры утверждают, что у них есть все ключи для расшифровки. Он готовы их отдать, если правительство отпустит 50 политзаключенных, которым больше всего нужна медицинская помощь, и ограничит войскам России доступ на территорию.
Из-за взлома не работают электронная покупка билетов (окно показывается тут) и внутренние бизнес-системы — сотрудники говорят, что там какие-то специфические древние БД, с которыми никто не может вручную разобраться.
@tomhunter
Хакеры утверждают, что у них есть все ключи для расшифровки. Он готовы их отдать, если правительство отпустит 50 политзаключенных, которым больше всего нужна медицинская помощь, и ограничит войскам России доступ на территорию.
Из-за взлома не работают электронная покупка билетов (окно показывается тут) и внутренние бизнес-системы — сотрудники говорят, что там какие-то специфические древние БД, с которыми никто не может вручную разобраться.
@tomhunter
#news Роскомнадзор внёс Яндекс Go (это «Такси», «Лавка» и «Еда») в реестр ОРИ — организаторов распространения информации. Это означает, что теперь они обязаны предоставлять властям интересующие пользовательские данные по запросу.
Кажется, изменилось примерно ничего: Яндекс и раньше без вопросов делился данными. Просто теперь эта обязанность зафиксирована на бумаге, и параноидальные ИБшники могут просто перестать кормить Яндекс своими данными. Говорю как параноидальный ИБшник.
@tomhunter
Кажется, изменилось примерно ничего: Яндекс и раньше без вопросов делился данными. Просто теперь эта обязанность зафиксирована на бумаге, и параноидальные ИБшники могут просто перестать кормить Яндекс своими данными. Говорю как параноидальный ИБшник.
@tomhunter
#news Владельца площадки DeepDotWeb (DDW) Тала Прихара осудили на 97 месяцев тюрьмы за отмывание почти $8 с половиной миллионов.
DDW — это своеобразный сайт-агрегатор даркнетовских магазинов с оружием, украденными персональными данными, наркотиками и всеми прочими вещами, которыми в даркнете обычно торгуют. Сайт монетизировался партнёрками: заработал с покупок приведенных им клиентов 8155 биткоинов. Чтобы их отмыть, Прихар прогнал их через несколько биткоин-кошельков и вывел на банковские счета своих подставных компаний.
@tomhunter
DDW — это своеобразный сайт-агрегатор даркнетовских магазинов с оружием, украденными персональными данными, наркотиками и всеми прочими вещами, которыми в даркнете обычно торгуют. Сайт монетизировался партнёрками: заработал с покупок приведенных им клиентов 8155 биткоинов. Чтобы их отмыть, Прихар прогнал их через несколько биткоин-кошельков и вывел на банковские счета своих подставных компаний.
@tomhunter
#news Малварь Dark Herring, ворующая деньги с мобильного счета, заразила более 105 миллионов Android-устройств по всему миру. Распространяли её как минимум с марта по ноябрь через почти 500 зловредных приложений в Play Store, которые Гугл уже удалил.
Механика у малвари банальная: дописывает в счёт за мобильную связь «подписку на услугу» за $15 в месяц.
Впечатляют тут скорее стратегия и порождённые ею масштабы. Во-первых, несложная математика подсказывает, что за эти несколько месяцев наворовать успели не одну сотню миллионов долларов.
Во-вторых, спланировали кампанию ну очень тщательно. Вредоносные приложения покрывали множество категорий и действительно работали — это не просто клоны существующих проектов. Ещё их перевели на множество языков, которые включались по геолокации пользователя. По геолокации же фильтровали самых лёгких жертв — из стран, в которых подсунуть такую «услугу» в счёт проще.
@tomhunter
Механика у малвари банальная: дописывает в счёт за мобильную связь «подписку на услугу» за $15 в месяц.
Впечатляют тут скорее стратегия и порождённые ею масштабы. Во-первых, несложная математика подсказывает, что за эти несколько месяцев наворовать успели не одну сотню миллионов долларов.
Во-вторых, спланировали кампанию ну очень тщательно. Вредоносные приложения покрывали множество категорий и действительно работали — это не просто клоны существующих проектов. Ещё их перевели на множество языков, которые включались по геолокации пользователя. По геолокации же фильтровали самых лёгких жертв — из стран, в которых подсунуть такую «услугу» в счёт проще.
@tomhunter
#news 65 из 100 IT-руководителей и безопасников хоть раз пытались завербовать в качестве инсайдеров хакеры, ищущие цели для ransomware-атак. Это выяснил свежий опрос от Pulse и Hitachi ID.
Осенью 2021 об этом заявляли лишь 48 из 100 опрошенных — похоже, сказался успех Log4j.
В основном с потенциальными инсайдерами связываются по почте, реже по телефону или в соцсетях. Есть и те, кому предлагали за такое вот сотрудничество больше $1 млн.
@tomhunter
Осенью 2021 об этом заявляли лишь 48 из 100 опрошенных — похоже, сказался успех Log4j.
В основном с потенциальными инсайдерами связываются по почте, реже по телефону или в соцсетях. Есть и те, кому предлагали за такое вот сотрудничество больше $1 млн.
@tomhunter
#news REvil — это эдакий киберпанковый Змей Горыныч. Одну голову отрубишь, а на её месте ещё две выскочат, хвост попробуешь отсечь — он ещё два отрастит.
Несмотря на недавние новости о спецоперации ФСБ против нашумевшей группировки, малварь их живёт да здравствует. Когда в октябре спецслужбы нескольких стран захватили даркнетовские сайты REvil и обратили группировку в предполагаемое оффлайн-бегство, картина была похожей — эффекта хватило на пару недель.
По данным ReversingLabs, активность REvil сейчас чуть выше, чем до январского ареста.
Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем ещё услышать.
@tomhunter
Несмотря на недавние новости о спецоперации ФСБ против нашумевшей группировки, малварь их живёт да здравствует. Когда в октябре спецслужбы нескольких стран захватили даркнетовские сайты REvil и обратили группировку в предполагаемое оффлайн-бегство, картина была похожей — эффекта хватило на пару недель.
По данным ReversingLabs, активность REvil сейчас чуть выше, чем до январского ареста.
Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем ещё услышать.
@tomhunter
#news У криптоплатформы Qubit украли $80 миллионов.
Qubit — это платформа-мост между Ethereum и Binance Smart Chain: можно, например, внести ETH и вывести ту же сумму в Binance Coin. Исследователи из CertiK изучили инцидент и пришли к выводу, что хакер воспользовался уязвимостью в смарт-контракте, которая позволила ему отправить 0 ETH и вывести $80 миллионов.
Qubit обратились к хакеру в Твиттере и предлагают баунти в $2 миллиона — такую же выплатили когда-то Polygon, поставив рекорд. Судя по тишине в ответ, хакер всё-таки не совсем белошляпочный… На его адресе появился маркер Qubit Exploiter, а в комментариях люди просят вернуть им деньги или помочь с оплатой учёбы.
@tomhunter
Qubit — это платформа-мост между Ethereum и Binance Smart Chain: можно, например, внести ETH и вывести ту же сумму в Binance Coin. Исследователи из CertiK изучили инцидент и пришли к выводу, что хакер воспользовался уязвимостью в смарт-контракте, которая позволила ему отправить 0 ETH и вывести $80 миллионов.
Qubit обратились к хакеру в Твиттере и предлагают баунти в $2 миллиона — такую же выплатили когда-то Polygon, поставив рекорд. Судя по тишине в ответ, хакер всё-таки не совсем белошляпочный… На его адресе появился маркер Qubit Exploiter, а в комментариях люди просят вернуть им деньги или помочь с оплатой учёбы.
@tomhunter
#news Исследователи изучили возможность использования графических процессоров для создания уникальных фингерпринтов и их отслеживания в интернете. Исследователи рассмотрели возможность создания отличительных отпечатков пальцев на основе GPU (графического процессора) отслеживаемых систем с помощью WebGL (Web Graphics Library). WebGL — это кроссплатформенный API для рендеринга 3D-графики в браузере, который присутствует во всех современных веб-браузерах.
@tomhunter
@tomhunter
#OSINT #MAC Привет всем! Давно не писали про OSINT. Сегодня коснемся источников, предназначенных для исследования MAC-адреса.
├macaddress (Check MAC)
├macvendorlookup (Check MAC)
├samy (Check MAC)
├mac-find (Check MAC)
├networkcenter (Check MAC)
├wigle (Geolocation)
├mac-geo (Geolocation)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
@tomhunter
├macaddress (Check MAC)
├macvendorlookup (Check MAC)
├samy (Check MAC)
├mac-find (Check MAC)
├networkcenter (Check MAC)
├wigle (Geolocation)
├mac-geo (Geolocation)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
@tomhunter