Forwarded from T.Hunter
#news ФБР на пару с немецкой полицией на выходных перехватили очередную сомнительную криптоплафторму. На этот раз под раздачу попал старичок Cryptonator. Как обычно, через него шла крипта в подсанкционные режимы, украденные киберпреступниками деньги и платежи с маркетов в даркнете.
Cryptonator был основан в 2013-м году, его CEO числится наш соотечественник, проживающий в Германии. Роман Пикулев, он же Роман Босс, родом из Норильска. Ему предъявлены обвинения в отмывании денег и ведении нелицензированного бизнеса по денежным переводам. О судьбе бывшего босса Cryptonator, впрочем, Министерство юстиции США не сообщает и на вопросы о том, где он находится и арестован ли, не ответило. Возможно, ему посчастливилось на момент предъявления обвинений и перехвата находиться в России, откуда, как известно, для таких персонажей при определённых обстоятельствах выдачи нет.
@tomhunter
Cryptonator был основан в 2013-м году, его CEO числится наш соотечественник, проживающий в Германии. Роман Пикулев, он же Роман Босс, родом из Норильска. Ему предъявлены обвинения в отмывании денег и ведении нелицензированного бизнеса по денежным переводам. О судьбе бывшего босса Cryptonator, впрочем, Министерство юстиции США не сообщает и на вопросы о том, где он находится и арестован ли, не ответило. Возможно, ему посчастливилось на момент предъявления обвинений и перехвата находиться в России, откуда, как известно, для таких персонажей при определённых обстоятельствах выдачи нет.
@tomhunter
Forwarded from T.Hunter
#news Привет из прошлого для браузеров: раскрытая 18 лет назад уязвимость, получившая название
Баг связан с тем, как браузеры обрабатывают сетевые запросы по айпишнику
@tomhunter
0.0.0.0 day, позволяет вредоносным сайтам обходить защиту в Chrome, Firefox и Safari и взаимодействовать с сервисами в локальной сети. Уязвимость не затрагивает устройства под Windows, только под Linux и MacOS.Баг связан с тем, как браузеры обрабатывают сетевые запросы по айпишнику
0.0.0.0 и в определённых сценариях может вести вплоть до RCE. Риск не теоретический — эксплойт светится в атаках. При этом Mozilla об уязвимости сообщили ещё в 2006-м, и все эти годы мейнтейнеры закрывали-переоткрывали репорт и спорили: «Это баг? Это фича? Ни то, ни другое?» Теперь вопрос закрыт: разработчики браузеров проблему признали и в ближайших версиях будут фиксы с блокировкой доступа к 0.0.0.0. А пока доступны костыли. Подробнее о проблеме в отчёте.@tomhunter
Forwarded from T.Hunter
#news Исследователь Вангелис Стикас, выступая на BlackHat 2024, поделился успехами контррансомварь-деятельности. У группировки Everest был уязвимый сайт на WordPress. У BlackCat — незащищённые API, позволившие дампнуть команды и документацию с серверов. А в случае с Mallox с помощью IDOR был получен доступ к сообщениям в чате администратора. Итог ста часов свободного времени — деанон части злоумышленников, пара ключей шифрования для жертв и предотвращение нескольких готовившихся в январе BlackCat атак.
Стикас также отметил интересную вещь: из 135 протестированных им сайтов рансомварь-группировок уязвимы были только 3. То есть меньше 3%, в то время как у бизнеса баги он находит в 40-50%. Так что киберпреступники относятся к ИБ гораздо серьёзнее простых смертных. Понимают, шельмецы, с чем имеют дело. При этом Стикас получил предупреждения от Google, что им начали интересоваться госхакеры — это ли не лучшее признание своей работы для безопасника?
@tomhunter
Стикас также отметил интересную вещь: из 135 протестированных им сайтов рансомварь-группировок уязвимы были только 3. То есть меньше 3%, в то время как у бизнеса баги он находит в 40-50%. Так что киберпреступники относятся к ИБ гораздо серьёзнее простых смертных. Понимают, шельмецы, с чем имеют дело. При этом Стикас получил предупреждения от Google, что им начали интересоваться госхакеры — это ли не лучшее признание своей работы для безопасника?
@tomhunter
Forwarded from T.Hunter
#news Вездесущие госхакеры вновь вмешиваются в выборы в США! Только на этот раз иранские. На днях издание Politico писало, что в конце июля получило от анонима на почту внутренние документы штаба Трампа, включая подробное досье на кандидата в вице-президенты. После этого предвыборный штаб заявил о взломе.
Документы, как водится, были получены незаконно «из иностранных источников, враждебных США», и целью всего это является вмешаться в выборы и посеять хаос в демократических процессах. Microsoft подробностями не делится, но иранские госхакеры активно рассылают фишинговые письма со взломанных аккаунтов чиновникам из президентской кампании. Так что, видимо, Иран приключения Трампа на президентском посту ему так и не простил и шлёт приветы.
@tomhunter
Документы, как водится, были получены незаконно «из иностранных источников, враждебных США», и целью всего это является вмешаться в выборы и посеять хаос в демократических процессах. Microsoft подробностями не делится, но иранские госхакеры активно рассылают фишинговые письма со взломанных аккаунтов чиновникам из президентской кампании. Так что, видимо, Иран приключения Трампа на президентском посту ему так и не простил и шлёт приветы.
@tomhunter
Forwarded from T.Hunter
#news Очередная рансомварь-операция перехвачена ФБР — на этот раз под нож пошла группировка Dispossessor. Любители чертовски хорошего кофе на заглушке шутят: сервера злоумышленников были «repossessed». То есть изъяты.
Операция была активна с августа 2023-го с неким Brain во главе, на её счету не меньше 43 жертв. Что примечательно, на её сайте регулярно всплывали данные со взломов других группировок, как то Cl0p, Hunters International, и 8base — судя по всему, Dispossessor активно перетаскивала к себе недовольных партнёров с прочих RaaS-операций, и украденные ими данные повторно использовались под шантаж. В июле группировка также начала использовать слитый билдер LockBit 3.0, резко повысив масштаб атак. Но теперь её сервера в США, Великобритании и Германии перехвачены, а партнёрам группировки предстоит искать новый фасад для своих киберпреступных дел.
@tomhunter
Операция была активна с августа 2023-го с неким Brain во главе, на её счету не меньше 43 жертв. Что примечательно, на её сайте регулярно всплывали данные со взломов других группировок, как то Cl0p, Hunters International, и 8base — судя по всему, Dispossessor активно перетаскивала к себе недовольных партнёров с прочих RaaS-операций, и украденные ими данные повторно использовались под шантаж. В июле группировка также начала использовать слитый билдер LockBit 3.0, резко повысив масштаб атак. Но теперь её сервера в США, Великобритании и Германии перехвачены, а партнёрам группировки предстоит искать новый фасад для своих киберпреступных дел.
@tomhunter
Forwarded from T.Hunter
#news ИБ-отдел Университета Калифорнии решил провести тренировку студентов и сотрудников по противодействию фишингу. После этого на кампусе начался сущий кошмар: согласно письму, один из коллег вернулся из Южной Африки с эболой. Для получения дополнительных данных предлагалось перейти по ссылке. Классика.
В университете такую оригинальную кампанию по борьбе с фишингом не оценили. Так что ИБ-отделу пришлось извиняться за поднятую панику и подрыв доверия не только к официальным сообщениям, но и к прекрасной далёкой Южной Африке, где случаев заражения эболой не было с 1996-го. При этом безопасники университета просто использовали в качестве шаблона реальное фишинговое письмо, полученное несколькими неделями ранее. Но как водится, что дозволено киберпреступнику, не дозволено безопаснику.
@tomhunter
В университете такую оригинальную кампанию по борьбе с фишингом не оценили. Так что ИБ-отделу пришлось извиняться за поднятую панику и подрыв доверия не только к официальным сообщениям, но и к прекрасной далёкой Южной Африке, где случаев заражения эболой не было с 1996-го. При этом безопасники университета просто использовали в качестве шаблона реальное фишинговое письмо, полученное несколькими неделями ранее. Но как водится, что дозволено киберпреступнику, не дозволено безопаснику.
@tomhunter
Forwarded from T.Hunter
#news В США судят гражданина Латвии, проживавшего в Москве, за участие в работе рансомварь-группировки Karakurt. Арестованный в Грузии в декабре прошлого года, 33-летний Денис Золотарев ранее в августе был экстрадирован в США, его обвиняют в отмывании денег, электронном мошенничестве и вымогательстве.
Согласно делу, товарищ был известен под ником Sforza_cesarini и был переговорщиком по раносмварь-висякам — случаям, где переговоры после атаки зашли в тупик. Он связан как минимум с шестью вымогательствами для группировки. Сама же Karakurt была крылом Conti, работавшим исключительно по стягиванию данных и последующим выкупам. Золотарев — первый попавшийся член Karakurt, так что у него есть все шансы получить от ФБР предложение, от которого невозможно отказаться. А следом уже и идентификация прочих членов синдиката бодрее пойдёт.
@tomhunter
Согласно делу, товарищ был известен под ником Sforza_cesarini и был переговорщиком по раносмварь-висякам — случаям, где переговоры после атаки зашли в тупик. Он связан как минимум с шестью вымогательствами для группировки. Сама же Karakurt была крылом Conti, работавшим исключительно по стягиванию данных и последующим выкупам. Золотарев — первый попавшийся член Karakurt, так что у него есть все шансы получить от ФБР предложение, от которого невозможно отказаться. А следом уже и идентификация прочих членов синдиката бодрее пойдёт.
@tomhunter
Forwarded from T.Hunter
#news Марк Цукерберг признал очевидное-невероятное: Facebook плотно сотрудничал с властями США по цензурированию контента на Facebook. Так, во время пандемии цензуре подверглась любая информация о ковиде, которая не вписывалась в официальную повестку.
А перед президентскими выборами 2020-го Facebook активно боролся с дезинформацией от… вездесущих русских хакеров. Ссылки на расследование о сыне Байдена активно блокировали и занижали в выдаче. Как сообщает Цукерберг, с тех пор стало понятно, что это никакая не российская дезинформация, а повседневные приключения небожителей из властных кругов США. Марк теперь ужасно раскаивается и твёрдо убеждён, что вмешиваться в выборы и поддаваться давлению любой администрации не нужно. В общем, либо пиар-отдел отрабатывает стандартную тему с извинениями, либо заранее готовятся к возможному возврату Трампа в Белый дом. Уж этому-то негодяю давить на Facebook Цукербрин не позволит.
@tomhunter
А перед президентскими выборами 2020-го Facebook активно боролся с дезинформацией от… вездесущих русских хакеров. Ссылки на расследование о сыне Байдена активно блокировали и занижали в выдаче. Как сообщает Цукерберг, с тех пор стало понятно, что это никакая не российская дезинформация, а повседневные приключения небожителей из властных кругов США. Марк теперь ужасно раскаивается и твёрдо убеждён, что вмешиваться в выборы и поддаваться давлению любой администрации не нужно. В общем, либо пиар-отдел отрабатывает стандартную тему с извинениями, либо заранее готовятся к возможному возврату Трампа в Белый дом. Уж этому-то негодяю давить на Facebook Цукербрин не позволит.
@tomhunter
Forwarded from T.Hunter
#news Исследователи отследили новую фишинговую кампанию под видом звонков из IT-отдела. Жертвам звонят на личные телефоны и с помощью социнженерии выманивают данные доступа от VPN.
В атаке используют фейковые страницы VPN-сервисов, а целью кампании стали более 130 организаций в Штатах из разных отраслей. Злоумышленники финансово мотивированы — за атаками стоит рансомварь-группировка. Раньше в фишинге с помощью звонков была замечена BlackCat, так что, возможно, в деле перекочевавшие в другие RaaS-операции умельцы. Или просто подражатели. Исследователи отмечают, что в атаках задействованы носители английского. Оно и неудивительно: звонки из техподдержки с мощным индийским акцентом для таких высокопрофильных операций не очень подходят. Да и наших рансомварщиков билингвальными сложно назвать.
@tomhunter
В атаке используют фейковые страницы VPN-сервисов, а целью кампании стали более 130 организаций в Штатах из разных отраслей. Злоумышленники финансово мотивированы — за атаками стоит рансомварь-группировка. Раньше в фишинге с помощью звонков была замечена BlackCat, так что, возможно, в деле перекочевавшие в другие RaaS-операции умельцы. Или просто подражатели. Исследователи отмечают, что в атаках задействованы носители английского. Оно и неудивительно: звонки из техподдержки с мощным индийским акцентом для таких высокопрофильных операций не очень подходят. Да и наших рансомварщиков билингвальными сложно назвать.
@tomhunter
Forwarded from T.Hunter
#news Бразилия задаёт тренды в блокировке всяческого крамольного: верховный суд страны вынес решение о немедленной приостановке работы eX-Твиттера. За отказ назначить официального представителя. Ранее последнему угрожали посадкой за нежелание цензурировать контент.
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter