#news Продолжение истории со сливами Conti. Теперь украинский крот слил в сеть свежие исходники группировки, включая декриптор.
Изучившие код спецы пишут, что третья версия используемого Conti софта оказалась сильно хуже прежней. Поляки из ИБ-журнала Payload считают, что дело в сменившемся разработчике, и иронично предлагают откатиться к предыдущей версии.
Из любопытного, ответственный за сливы рансомварь-Штирлиц утверждает, что на территории Украины его теперь разыскивают аж пророссийские спецслужбы. Брешет, наверное, но мне нравится этот гибсоновский вайб.
@tomhunter | атакующая безопасность
Изучившие код спецы пишут, что третья версия используемого Conti софта оказалась сильно хуже прежней. Поляки из ИБ-журнала Payload считают, что дело в сменившемся разработчике, и иронично предлагают откатиться к предыдущей версии.
Из любопытного, ответственный за сливы рансомварь-Штирлиц утверждает, что на территории Украины его теперь разыскивают аж пророссийские спецслужбы. Брешет, наверное, но мне нравится этот гибсоновский вайб.
@tomhunter | атакующая безопасность
🔥8🤔1
This media is not supported in your browser
VIEW IN TELEGRAM
#OSINT Все знают, что Google следит за всеми нами. Но не все пока отдают себе отчет, что использование сервисов Google автоматически ведет к засвету ваших дополнительных электронных почт. И тут совершенно неважно, были ли они на mail.ru, на Яндексе, Rambler или другом сервисе.
Давайте возьмем совершенно абстрактную почту teхххххх_roman@mail.ru. Теперь идем в Google Контакты, добавляем новый контакт и вставляем в него исследуемую почту. Как только мы сохраним контакт, Google автоматически найдет его идентификатор (ID) и подтянет аватарку. Нам остается только влезть в код страницы, чтобы найти этот ID и, например, поискать геометки на карте https://www.google.com/maps/contrib/ID/...
@tomhunter | атакующая безопасность
Давайте возьмем совершенно абстрактную почту teхххххх_roman@mail.ru. Теперь идем в Google Контакты, добавляем новый контакт и вставляем в него исследуемую почту. Как только мы сохраним контакт, Google автоматически найдет его идентификатор (ID) и подтянет аватарку. Нам остается только влезть в код страницы, чтобы найти этот ID и, например, поискать геометки на карте https://www.google.com/maps/contrib/ID/...
@tomhunter | атакующая безопасность
🔥13🤮7❤1
#news Ряд интересных фактов об использовании паролей выявились в ходе исследования Specops Software:
1️⃣ длина пароля не гарантирует его безопасность
2️⃣ пароль часто зависит от сезона или поп-культуры
3️⃣ сложность пароля не предотвращает кражу учетных данных
4️⃣ перегрузка паролей — большая проблема
5️⃣ организации могли бы сделать гораздо больше для обеспечения безопасности паролей
@tomhunter | атакующая безопасность
1️⃣ длина пароля не гарантирует его безопасность
2️⃣ пароль часто зависит от сезона или поп-культуры
3️⃣ сложность пароля не предотвращает кражу учетных данных
4️⃣ перегрузка паролей — большая проблема
5️⃣ организации могли бы сделать гораздо больше для обеспечения безопасности паролей
@tomhunter | атакующая безопасность
❤5🔥2
#news Продолжается победный марш группировки Lapsus$ по серверам айти-гигантов. На этот раз взлом подтвердили Microsoft и Okta. Мелкософт заявляет, что ничего конфиденциального в слитых данных нет, только код для таких проектов, как Bing, Cortana и Bing Maps.
C Okta же всё может быть гораздо серьёзнее. ИБ компании пока затрудняется оценить масштабы утечки, и, судя по скринам от Lapsus$, доступ к серверам у них был аж с января. Хакеры хихикают в твиттере над отмазками Okta, что как бы намекает.
В обоих случаях атаки шли через скомпрометированные права доступа. Спецы также спекулируют, что успешными могли быть попытки Lapsus$ подкупить инсайдеров в компаниях. И говорят, что под вывеской скрываются серьёзные ребята. Так что будем следить за развитием событий.
@tomhunter | атакующая безопасность
C Okta же всё может быть гораздо серьёзнее. ИБ компании пока затрудняется оценить масштабы утечки, и, судя по скринам от Lapsus$, доступ к серверам у них был аж с января. Хакеры хихикают в твиттере над отмазками Okta, что как бы намекает.
В обоих случаях атаки шли через скомпрометированные права доступа. Спецы также спекулируют, что успешными могли быть попытки Lapsus$ подкупить инсайдеров в компаниях. И говорят, что под вывеской скрываются серьёзные ребята. Так что будем следить за развитием событий.
@tomhunter | атакующая безопасность
🔥10🤮1
T.Hunter
#news В сеть утекли данные пользователей «Яндекс.Еды». Компания утверждает (Ха!), что это произошло в результате «недобросовестных действий» сотрудника, не раскрывая подробностей. Теперь товарищ майор и любой желающий могут узнать, что и когда ели пользователи…
#news Рекламный слоган "Яндекс - найдется все" заиграл новыми, пикантными гранями... В сети выложили слитую в начале марта базу пользователей «Яндекс.Еды» с интерактивной картой. Среди слитых данных присутствуют ФИО, телефон, адрес, email, ОС смартфона и суммарные траты в «Еде» за полгода. Ничего нового... если не заниматься инфобезом, то инфобез, рано или поздно, начинает заниматься тобой!
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥10🤔2🤬1
#OSINT Если вы используете "?__a=1" в конце URL публикации в Instagram, то получаете полный стек метаданных, включая "fact_check_information", переменную "did_report_as_spam" или "is_restricted_pending". Все для расследований!
Подробнее об исследовании Instagram в моей подборке полезных ресурсов.
@tomhunter | атакующая безопасность
Подробнее об исследовании Instagram в моей подборке полезных ресурсов.
@tomhunter | атакующая безопасность
🔥14
#news Если вы тот самый параноидальный инженер, держащий под подушкой пистолет на случай, если принтер издаст странные звуки, новость для вас. В сотнях моделей принтеров HP обнаружили уязвимости, допускающие удалённое выполнение кода (RCE).
HP выкатила патчи под большинство моделей, с остальными, как обычно, придётся возиться вручную. Так как уязвимость эксплуатируют через протокол LLMNR, в качестве решения предлагают его банально вырубить.
В общем, если вы счастливый владелец принтера от HP, срочно обновляйте устройство и блокируйте ему удалённый доступ, пока оно не начало печатать заявления, что все ваши базы принадлежат ему.
@tomhunter | атакующая безопасность
HP выкатила патчи под большинство моделей, с остальными, как обычно, придётся возиться вручную. Так как уязвимость эксплуатируют через протокол LLMNR, в качестве решения предлагают его банально вырубить.
В общем, если вы счастливый владелец принтера от HP, срочно обновляйте устройство и блокируйте ему удалённый доступ, пока оно не начало печатать заявления, что все ваши базы принадлежат ему.
@tomhunter | атакующая безопасность
🔥9❤3
#news В руки спецам из Volexity попалась малварь GIMMICK под макось от китайских умельцев. Им пользовалась шпионская группировка Storm Cloud.
Разновидность идентичной приблуды под винду, GIMMICK активно абьюзит сервисы Google Drive для выполнения вредоносных команд. Из любопытного, спецы отмечают, что у малвари асинхронная архитектура, так что у стоящих за её портированием под маки есть серьёзные ресурсы.
Apple уже выкатила обновление с сигнатурами малвари под все системы, так что китайскому гению придётся адаптировать свои методы.
@tomhunter
Разновидность идентичной приблуды под винду, GIMMICK активно абьюзит сервисы Google Drive для выполнения вредоносных команд. Из любопытного, спецы отмечают, что у малвари асинхронная архитектура, так что у стоящих за её портированием под маки есть серьёзные ресурсы.
Apple уже выкатила обновление с сигнатурами малвари под все системы, так что китайскому гению придётся адаптировать свои методы.
@tomhunter
🔥6🤔1
#OSINT для исследования номера телефона
1️⃣ идентификация телефонного номера
2️⃣ поиск по MAC-адресу
3️⃣ геолокация по номеру телефона
4️⃣ логирование телефона
@tomhunter | атакующая безопасность
1️⃣ идентификация телефонного номера
2️⃣ поиск по MAC-адресу
3️⃣ геолокация по номеру телефона
4️⃣ логирование телефона
@tomhunter | атакующая безопасность
🔥9❤1🤔1
#news К новостям о пресловутых русских хакерах. ФБР объявило в розыск нашего соотечественника, Игоря Дехтярчука, как предполагаемого владельца площадки по продаже украденных данных.
Этот персонаж действовал под псевдонимом Floraby и продвигал площадку BAYACC, через которую за рубль торговались слитые аккаунты различных компаний, включая eBay и PayPal.
Составлявший конкуренцию крупным площадкам, таким как SlilPP, BAYACC теперь оффлайн, а его владелец, видимо, в бегах. Что ж, беги, Игорь, беги!
@tomhunter
Этот персонаж действовал под псевдонимом Floraby и продвигал площадку BAYACC, через которую за рубль торговались слитые аккаунты различных компаний, включая eBay и PayPal.
Составлявший конкуренцию крупным площадкам, таким как SlilPP, BAYACC теперь оффлайн, а его владелец, видимо, в бегах. Что ж, беги, Игорь, беги!
@tomhunter
🔥11🤯1
#news Спецы из ИБ-компаний Cyble и ASEC рапортуют о новых случаях, когда хакеры жрут своих же менее сообразительных подельников. На паре форумов под видом малвари для кражи крипты распространяют вредоносный код для слива данных из буфера обмена.
Пока начинающая кибернечисть довольно потирает руки, купленная малварь шерстит их устройства на предмет доступа к криптокошелькам. Что тут сказать маленьким любителям киберэкстремизма… Всегда найдётся рыба покрупнее!
@tomhunter
Пока начинающая кибернечисть довольно потирает руки, купленная малварь шерстит их устройства на предмет доступа к криптокошелькам. Что тут сказать маленьким любителям киберэкстремизма… Всегда найдётся рыба покрупнее!
@tomhunter
❤11
#news Open Source Initiative выпустила резолюцию в котором осуждает действия всех разработчиков, создающих «Протестное ПО» или внедряющих элементы «Протестного ПО» в свои открытые проекты.
Процитирую отрывок: "...ущерб от вандализм в проектах с открытым исходным кодом намного перевешивают любую возможную выгоду, а ответная реакция в конечном итоге нанесет ущерб всем проектам и ответственным участникам. Опасным могут начать считать все опенсорс-решения. Используйте свою силу, но используйте ее с умом".
@tomhunter | атакующая безопасность
Процитирую отрывок: "...ущерб от вандализм в проектах с открытым исходным кодом намного перевешивают любую возможную выгоду, а ответная реакция в конечном итоге нанесет ущерб всем проектам и ответственным участникам. Опасным могут начать считать все опенсорс-решения. Используйте свою силу, но используйте ее с умом".
@tomhunter | атакующая безопасность
🔥11💩5❤3🤮3
#news Компания T.Hunter выступит генеральным партнером кубка Новосибирской области по кибербезопасности (соревнования школьников по компьютерным расследованиям и OSINT). Кубок пройдет 18 апреля 2022 года в рамках мероприятий Центра компетенции НТИ «Технологии доверенного взаимодействия» на базе НГТУ НЭТИ.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥14🤮2
#news В популярной игрушке-продолжении симулятора жизни в российской глубинке Elden Ring на ПК выявили критический RCE-баг. Он позволял ушлым игрокам в мультиплеере корраптить сейвы, отправляя чужих персонажей в death loop. Патч уже выкатили, геймерам без него хода в сетевую игру нет. Так что скорее обновляйтесь, дорогие Погасшие эскаписты.
В январе я рассказывал о схожей истории с Dark Souls. Тогда всё было серьёзнее, и злоумышленники получали полный доступ к компам игроков. Лично я назвал бы всё это органичным дополнением хардкорного геймплея франшизы, хех.
@tomhunter | атакующая безопасность
В январе я рассказывал о схожей истории с Dark Souls. Тогда всё было серьёзнее, и злоумышленники получали полный доступ к компам игроков. Лично я назвал бы всё это органичным дополнением хардкорного геймплея франшизы, хех.
@tomhunter | атакующая безопасность
🔥12
#news А теперь к новостям, которые заставят покрепче вцепиться в дорогие сердцу цифровые монетки. Сотрудник маркетинговой компании HubSpot скомпрометировал данные клиентов трёх десятков криптобирж, включая BlockFi, Swan Bitcoin и NYDIG.
Компания, естественно, пытается делать вид, что на площадке HubSpot 18 марта 2022-го года ничего не произошло, но масштаб утечки серьёзен. Имена, почтовые ящики, типы аккаунта, номера телефонов, часть даже названия компаний и данные по долларам на счетах — всё это может стать основой для масштабных атак.
Так что если вы являетесь пользователем одной из попавших под удар бирж, помяните HubSpot недобрым словом и берегитесь фишинговых писем счастья.
@tomhunter | атакующая безопасность
Компания, естественно, пытается делать вид, что на площадке HubSpot 18 марта 2022-го года ничего не произошло, но масштаб утечки серьёзен. Имена, почтовые ящики, типы аккаунта, номера телефонов, часть даже названия компаний и данные по долларам на счетах — всё это может стать основой для масштабных атак.
Так что если вы являетесь пользователем одной из попавших под удар бирж, помяните HubSpot недобрым словом и берегитесь фишинговых писем счастья.
@tomhunter | атакующая безопасность
❤6🤯4🔥1
#news Шикарный баг обнаружили в Хондах и Акурах. Уязвимость под атаки повторного воспроизведения позволяет удалённо открыть машины и даже завести.
Перехватив сигнал с ключа, злоумышленник может повторно отправить его позже. Из забавного, Honda официально заявила, что старые модели, даже если они уязвимы к атаке, обновлять не будут. Мол ничего страшного, как-нибудь обойдётся. Из оригинальных решений спецами предложено носить ключ от авто в кустарном мешочке Фарадея.
В общем, если ваша старенькая Хонда внезапно сама покатится в никуда, агрессивно мигая фарами — не бойтесь, ещё не началось.
@tomhunter | атакующая безопасность
Перехватив сигнал с ключа, злоумышленник может повторно отправить его позже. Из забавного, Honda официально заявила, что старые модели, даже если они уязвимы к атаке, обновлять не будут. Мол ничего страшного, как-нибудь обойдётся. Из оригинальных решений спецами предложено носить ключ от авто в кустарном мешочке Фарадея.
В общем, если ваша старенькая Хонда внезапно сама покатится в никуда, агрессивно мигая фарами — не бойтесь, ещё не началось.
@tomhunter | атакующая безопасность
🔥13
#news Эстонец Максим Березан, ответственный за 13 рансомварных атак на $53 миллиона, сегодня отправился в США в тюрьму на 5 с лишним лет. Как сообщается, он был активным участником форума DirectConnection (закрылся в 2015).
Березан специализировался на дропах и выводе денег с украденных счетов. Специализировался весьма успешно, судя по тому, что у него конфисковали две Porsche и крипты с наличкой на почти $2 млн.
Разбор увлекательной истории со слезами ностальгии по ссылочке выше.
@tomhunter | атакующая безопасность
Березан специализировался на дропах и выводе денег с украденных счетов. Специализировался весьма успешно, судя по тому, что у него конфисковали две Porsche и крипты с наличкой на почти $2 млн.
Разбор увлекательной истории со слезами ностальгии по ссылочке выше.
@tomhunter | атакующая безопасность
🔥7🎉1
#news Ещё на днях писал про впечатляющие успехи Lapsus$ на киберпреступных фронтах. А теперь в Лондоне арестовали семерых её предположительных членов, включая лидера группировки.
Так вот… Фильм «Хакеры» все помнят? Лидеру группировки 16 лет. У мальчика аутизм. И 300 биткоинов в загашнике ака 14 миллионов долларов. Остальным от 16 до 21 года. Юного преступного гения якобы сдали обиженные на него подельники, слив все явки и пароли. Может, ещё и ехидный дисс на него в ТикТоке записали или чем там сейчас подростки промышляют.
Впрочем, выслеживавшие Lapsus$ спецы утверждают, что вышли на след пацана уже давно, и пока не ясно, действительно ли его компания юных и находчивых ответственна за все взятые на себя взломы. Так что, глядишь, айти-колоссам на глиняных ногах пока расслабляться рано. Хотя история уже огонь. Жизнь имитирует искусство!
@tomhunter | атакующая безопасность
Так вот… Фильм «Хакеры» все помнят? Лидеру группировки 16 лет. У мальчика аутизм. И 300 биткоинов в загашнике ака 14 миллионов долларов. Остальным от 16 до 21 года. Юного преступного гения якобы сдали обиженные на него подельники, слив все явки и пароли. Может, ещё и ехидный дисс на него в ТикТоке записали или чем там сейчас подростки промышляют.
Впрочем, выслеживавшие Lapsus$ спецы утверждают, что вышли на след пацана уже давно, и пока не ясно, действительно ли его компания юных и находчивых ответственна за все взятые на себя взломы. Так что, глядишь, айти-колоссам на глиняных ногах пока расслабляться рано. Хотя история уже огонь. Жизнь имитирует искусство!
@tomhunter | атакующая безопасность
🔥12
#news В ближайшее время нам, вероятно, будет преподнесена новость о взломе/утечке 100 с лишним миллионов данных пользователей российской соцсети ВКонтакте. По крайней мере, именно с таким посылом, в Telegram-каналах распространяется некие базы данных... По моей оценке, актуальность этих баз - где-то 2009-2010 год... псссс, знаю где свежее лежит))). Странное время... фейковые новости, фейковые хакеры...
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥11🎉4🤮4
#news Всего пару недель назад в канале был пост о проникновении малвари Racoon Stealer в Телеграм. И если помните, спецы считали, что создатели енота-воришки базируются на территории СНГ. Ну, всё так. Вчера они сообщили о том, что сворачивают работу. Главный разработчик погиб. Сами догадаетесь где.
Racoon Stealer распространялся по схеме MaaS (Вредоносное ПО как услуга) и был крайне популярен в силу своей универсальности. Создатели трояна планируют позже вернуться на рынок, а пока их клиенты массово переходят на аналог, Mars Stealer. Так что теперь о нём будете слышать гораздо чаще. Здесь можно глянуть подробный техразбор малвари.
@tomhunter | атакующая безопасность
Racoon Stealer распространялся по схеме MaaS (Вредоносное ПО как услуга) и был крайне популярен в силу своей универсальности. Создатели трояна планируют позже вернуться на рынок, а пока их клиенты массово переходят на аналог, Mars Stealer. Так что теперь о нём будете слышать гораздо чаще. Здесь можно глянуть подробный техразбор малвари.
@tomhunter | атакующая безопасность
🔥11😱4🤮2❤1💩1
#news Метод рендеринга более 3-х лет позволял злоумышленникам создавать фишинговые сообщения в Instagram, iMessage, WhatsApp, Signal и Facebook Messenger, выглядящие вполне легальными. Уязвимости представляла собой ошибки рендеринга, в результате чего интерфейс приложений неправильно отображает URL-адреса с внедренными управляющими символами Unicode RTLO.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🤔6❤2🤮1