#news После злоключений первого полугодия LockBit отчаянно пытается поддерживать свою значимость и генерировать инфоповоды. На этот раз группировка заявила о взломе Федеральной резервной системы США. Злоумышленники утверждают, что похитили 33 терабайта конфиденциальных данных с банковскими секретами.
LockBit также выдала дерзкий ультиматум ФРС с требованием в течение 48 часов сменить «клинического идиота» в лице переговорщика — якобы им предложили всего 50 тысяч долларов за предположительно масштабную утечку. Тем не менее, пока официальных заявлений от ФРС и каких-либо подтверждений нет. А LockBit последнее время, мягко говоря, не отличается надёжностью, когда речь заходит о потенциально громких взломах. И пока это всё выглядит как очередная пиар-акция от группировки, которой уже особо нечего терять, включая репутацию и разбежавшихся по другим операциям партнёров.
@tomhunter
LockBit также выдала дерзкий ультиматум ФРС с требованием в течение 48 часов сменить «клинического идиота» в лице переговорщика — якобы им предложили всего 50 тысяч долларов за предположительно масштабную утечку. Тем не менее, пока официальных заявлений от ФРС и каких-либо подтверждений нет. А LockBit последнее время, мягко говоря, не отличается надёжностью, когда речь заходит о потенциально громких взломах. И пока это всё выглядит как очередная пиар-акция от группировки, которой уже особо нечего терять, включая репутацию и разбежавшихся по другим операциям партнёров.
@tomhunter
😁13🔥2🤡1💯1
#news Оригинальная атака на цепочку поставок через сервис Polyfill[.]io от находчивых китайцев. Больше 100 тысяч сайтов, использующих библиотеку, обзавелись перенаправлением на букмекерские и порносайты. Оказывается, домен и учётку на GitHub купила китайская CDN-фирма. И модифицировала скрипт сервиса для редиректа на мобильных устройствах.
Polyfill[.]io — старенький проект, добавляющий современные функции в старые браузеры. Разработчик ещё в феврале призвал убрать зависимость от проекта после продажи не принадлежавшего ему домена, китайцы поломали его ещё тогда, а теперь используют для атаки. Причём вредонос запускается на специфических устройствах, избегает обнаружения и с обфусцированным кодом — так что здесь всё неслучайно. Чем думал мейнтейнер, Джейк Чемпион, продавая проект мутной китайской конторке, неясно. Достаточно ли ему заплатили, чтобы он теперь не жалел, что его имя засветилось в этой сомнительной истории? Полагаю, что нет.
@tomhunter
Polyfill[.]io — старенький проект, добавляющий современные функции в старые браузеры. Разработчик ещё в феврале призвал убрать зависимость от проекта после продажи не принадлежавшего ему домена, китайцы поломали его ещё тогда, а теперь используют для атаки. Причём вредонос запускается на специфических устройствах, избегает обнаружения и с обфусцированным кодом — так что здесь всё неслучайно. Чем думал мейнтейнер, Джейк Чемпион, продавая проект мутной китайской конторке, неясно. Достаточно ли ему заплатили, чтобы он теперь не жалел, что его имя засветилось в этой сомнительной истории? Полагаю, что нет.
@tomhunter
😁5🔥1🤯1
#news Отключённые макросы вынуждают злоумышленников искать всё новые векторы атаки. Теперь им стали msc-файлы: в сочетании с XSS-уязвимостью в Windows они позволяют выполнить код через Microsoft Management Console. На VT засветился такой файл с нулевым обнаружением.
Атаку окрестили GrimResource, она эксплойтит баг XSS в библиотеке apds.dll, позволяя выполнить JavaScript через URL. Далее через технику DotNetToJSscript идёт произвольный .NET-код. С обнаружением у атаки туговато, так что она вполне может стать серьёзным вектором. А могла бы им и не быть: об уязвимости в apds.dll Microsoft сообщили ещё в 2018-м, но компания сочла её не нуждающейся в немедленном фиксе. По крайней мере, .msc-файлы в блок-листе в Outlook. Подробнее об атаке в отчёте.
@tomhunter
Атаку окрестили GrimResource, она эксплойтит баг XSS в библиотеке apds.dll, позволяя выполнить JavaScript через URL. Далее через технику DotNetToJSscript идёт произвольный .NET-код. С обнаружением у атаки туговато, так что она вполне может стать серьёзным вектором. А могла бы им и не быть: об уязвимости в apds.dll Microsoft сообщили ещё в 2018-м, но компания сочла её не нуждающейся в немедленном фиксе. По крайней мере, .msc-файлы в блок-листе в Outlook. Подробнее об атаке в отчёте.
@tomhunter
🔥3🤯2
#news Недавние заявления LockBit о взломе Федеральной резервной системы США ожидаемо оказались преувеличенными. А точнее, просто ложными: никакую ФРС группировка не взламывала — атака была по не относящемуся к ней банку Evolve Bank & Trust.
Банк подтвердил кражу данных, но пока ничего конфиденциального в опубликованных LockBit файлах исследователи не нашли. Так что раскрытие секретов банковской сферы США как-то не задалось. Как мы и писали, LockBit просто пытается восстановить репутацию на рансомварь-сцене и переключилась в режим «Любые упоминания, кроме некролога». Но в итоге группировка стремительно превращает свой потрёпанный бренд в посмешище. Вопрос теперь лишь в том, сколько времени осталось до экзит-скама и/или ребрендинга.
@tomhunter
Банк подтвердил кражу данных, но пока ничего конфиденциального в опубликованных LockBit файлах исследователи не нашли. Так что раскрытие секретов банковской сферы США как-то не задалось. Как мы и писали, LockBit просто пытается восстановить репутацию на рансомварь-сцене и переключилась в режим «Любые упоминания, кроме некролога». Но в итоге группировка стремительно превращает свой потрёпанный бренд в посмешище. Вопрос теперь лишь в том, сколько времени осталось до экзит-скама и/или ребрендинга.
@tomhunter
🤡11😁5💯1
#news История с Polyfill[.]io получила занятное продолжение. Компания-владелец домена, устроившая масштабную атаку на цепочку поставок, подняла новый на .com и заявила, что её опорочили. Никакого вредоноса с их домена не шло, и вообще их сервисы кэшируются Cloudflare, так что никаких рисков атак через них нет.
Cloudflare же сообщает, что компания добавила её лого на сайт незаконно. Проще говоря, их услугами она не пользуются. Более того, в Cloudflare назвали последствия атаки крайне тревожными: 4% сайтов в интернете — а это десятки миллионов — использовали Polyfill[.]io. Теперь Cloudflare меняет ссылки на безопасные зеркала, Google блокирует редиректы, а безопасники создают инструменты для поиска сайтов со встроенной polyfill[.]io. А в сухом остатке у нас сценарий, в котором ушлый китайский CDN-щик выкупает старенький опенсорс c целью перенаправить десятки миллионов сайтов на букмекеров и порно. Кибератаки, которые мы заслужили.
@tomhunter
Cloudflare же сообщает, что компания добавила её лого на сайт незаконно. Проще говоря, их услугами она не пользуются. Более того, в Cloudflare назвали последствия атаки крайне тревожными: 4% сайтов в интернете — а это десятки миллионов — использовали Polyfill[.]io. Теперь Cloudflare меняет ссылки на безопасные зеркала, Google блокирует редиректы, а безопасники создают инструменты для поиска сайтов со встроенной polyfill[.]io. А в сухом остатке у нас сценарий, в котором ушлый китайский CDN-щик выкупает старенький опенсорс c целью перенаправить десятки миллионов сайтов на букмекеров и порно. Кибератаки, которые мы заслужили.
@tomhunter
🤯8😁5❤3🔥2🤡1
#news TeamViewer сообщила о взломе своих корпоративных сетей. И не простом, а APT-группировкой. Как утверждает компания, следов доступа к продакшну нет – он изолирован от корпоративной среды. Данные клиентов также не затронуты. Между тем TeamViewer серьёзно относится к прозрачности в раскрытии инцидентов. Поэтому к новости о взломе добавили метатег noindex.
Пока ответственная за атаку APT-группировка не названа. В 2016-м компанию взламывали китайские госхакеры. На фоне взлома сообщество Health-ISAC опубликовало «информацию из надёжных источников», что TeamViewer активно эксплойтит APT29 — не кто иные, как Cozy Bear. Но неясно, связаны ли новости между собой, и ни компания, ни расследующие инцидент безопасники комментариев не дают. Так что пока нельзя сказать, сделали уютные мишки день юзеров TeamViewer максимально неуютным, или это опять китайцы шалят.
@tomhunter
Пока ответственная за атаку APT-группировка не названа. В 2016-м компанию взламывали китайские госхакеры. На фоне взлома сообщество Health-ISAC опубликовало «информацию из надёжных источников», что TeamViewer активно эксплойтит APT29 — не кто иные, как Cozy Bear. Но неясно, связаны ли новости между собой, и ни компания, ни расследующие инцидент безопасники комментариев не дают. Так что пока нельзя сказать, сделали уютные мишки день юзеров TeamViewer максимально неуютным, или это опять китайцы шалят.
@tomhunter
😁6🔥5🤯3🤡1
#news Продолжая увлекательную тему Polyfill[.]io, обрастающую подробностями. Так, предсказуемо выяснилось, что атаки через CDN-ки BootCDN, BootCSS, Staticfile также идут от одного оператора. То есть предполагаемый охват атаки резко вырос. Но и это ещё не всё.
Отсылки к внедрённому вредоносу нашли на китайских форумах с датами от июля 2023-го, где юзеры упражнялись в расшифровке странного кода, циркулирующего через BootCSS. Число доменов, завязанных на атаку, уже выросло почти до десятка, ситуация может легко выйти из под контроля, а ущерб только предстоит оценить. Между тем сумрачный китайский редирект-гений слегка просчитался и случайно залил исходники от Polyfill[.]io и .env-файл в публичный репозиторий. Что и позволило исследователям обнаружить связь между сервисами. Когда готовишь атаку, которая встряхнёт всю сеть, стоит всё же избегать таких детских опсек-ошибок.
@tomhunter
Отсылки к внедрённому вредоносу нашли на китайских форумах с датами от июля 2023-го, где юзеры упражнялись в расшифровке странного кода, циркулирующего через BootCSS. Число доменов, завязанных на атаку, уже выросло почти до десятка, ситуация может легко выйти из под контроля, а ущерб только предстоит оценить. Между тем сумрачный китайский редирект-гений слегка просчитался и случайно залил исходники от Polyfill[.]io и .env-файл в публичный репозиторий. Что и позволило исследователям обнаружить связь между сервисами. Когда готовишь атаку, которая встряхнёт всю сеть, стоит всё же избегать таких детских опсек-ошибок.
@tomhunter
😁5🤯3🔥2🤡1
#news Обратившись в техподдержку производителя роутеров, пользователь вряд ли ожидает столкнуться с криптодрейнером. Но именно это произошло с канадской Mercku: при отправке запроса через их сайт, юзер получает фишинговое письмо.
Под видом обновления аккаунта Metamask пользователь в итоге должен попасть на сайт, на котором сольёт данные доступа. Злоумышленники абьюзят userinfo в URL для придания ссылке легитимности, а затем по цепочке выводят на конечную страницу. Последняя, впрочем, на момент написания заблокирована хостером. Каким образом был скомпрометирован сайт Mercku, пока неизвестно, но вектор атаки оригинальный. Хотя для полноты картины нужно ломать сайты кошельков, а не местечковых производителей. Но это уже совсем другой уровень.
@tomhunter
Под видом обновления аккаунта Metamask пользователь в итоге должен попасть на сайт, на котором сольёт данные доступа. Злоумышленники абьюзят userinfo в URL для придания ссылке легитимности, а затем по цепочке выводят на конечную страницу. Последняя, впрочем, на момент написания заблокирована хостером. Каким образом был скомпрометирован сайт Mercku, пока неизвестно, но вектор атаки оригинальный. Хотя для полноты картины нужно ломать сайты кошельков, а не местечковых производителей. Но это уже совсем другой уровень.
@tomhunter
🔥4🤡1
#news Пока LockBit идёт на дно, собранные её билдером энкрипторы светятся во всё новых атаках. Так, 20 июня досталось индонезийскому правительству: после масштабной атаки зашифровали сервера государственного дата-центра. Работа встала, восстановление застопорилось. Почему? А бэкапов-то нет.
Как выяснилось, аварийное восстановление у госструктур прописано. Но оно необязательно. Так что многие учреждения на бэкапах экономили, а из-за централизации систем пострадали все. Выплачивать выкуп в $8 миллионов Индонезия не собирается, а вместо этого пытаются расшифровать данные. Если злоумышленники не поломали шифрование билдера, шансов на восстановление нет. После аудита бэкапы сделают обязательными. Но при следующем инциденте выяснится, что бэкапы-то есть, а протестировать восстановление забыли, так как указки сверху не было. Или их просто зашифруют за компанию. Подробнее об операции Brain Cipher, помогающей Индонезии развивать своё IT, здесь.
@tomhunter
Как выяснилось, аварийное восстановление у госструктур прописано. Но оно необязательно. Так что многие учреждения на бэкапах экономили, а из-за централизации систем пострадали все. Выплачивать выкуп в $8 миллионов Индонезия не собирается, а вместо этого пытаются расшифровать данные. Если злоумышленники не поломали шифрование билдера, шансов на восстановление нет. После аудита бэкапы сделают обязательными. Но при следующем инциденте выяснится, что бэкапы-то есть, а протестировать восстановление забыли, так как указки сверху не было. Или их просто зашифруют за компанию. Подробнее об операции Brain Cipher, помогающей Индонезии развивать своё IT, здесь.
@tomhunter
😁8🤔3❤2🤡1
Сегодня у нас в офисе побывала съемочная бригада телеканала «Санкт-Петербург», взяв комментарий для передачи «Зона особого внимания». Тема выпуска — мошенническая схема с маркетплейсами.
Злоумышленники создали клон одной из крупнейших российских площадок и предлагают гражданам заработать, покупая на ней товары и оставляя отзывы. В действительности жертвы переводят деньги на карты физлиц, ответственных за схему, а на лицевом счёте в личном кабинете рисуют суммы, «заработанные» попавшимися на удочку мошенников. В общем, аналог распространённой схемы с криптоинвестициями, вариант для обывателя. Расследование выйдет в эфир в августе, а пока будьте внимательны, если родственники заговорят о прибыльном заработке на маркетплейсах в интернете.
@tomhunter
Злоумышленники создали клон одной из крупнейших российских площадок и предлагают гражданам заработать, покупая на ней товары и оставляя отзывы. В действительности жертвы переводят деньги на карты физлиц, ответственных за схему, а на лицевом счёте в личном кабинете рисуют суммы, «заработанные» попавшимися на удочку мошенников. В общем, аналог распространённой схемы с криптоинвестициями, вариант для обывателя. Расследование выйдет в эфир в августе, а пока будьте внимательны, если родственники заговорят о прибыльном заработке на маркетплейсах в интернете.
@tomhunter
🔥15🤡10❤4🎉1
#news В OpenSSH исправили критическую уязвимость, которая ведёт к RCE с root-правами в системах Linux на основе glibc. Так что затронуты почти все крупные дистрибутивы. BSD
RegreSSHion — уязвимость типа Race Condition в sshd. Как следует из названия, у нас регрессия уже исправленного бага. И не просто старого, а из 2006-го года,
@tomhunter
CVE-2024-6387 обошла стороной, также не затронут Alpine. Пока нет подтверждений, что эксплойт возможен на macOS и Windows.RegreSSHion — уязвимость типа Race Condition в sshd. Как следует из названия, у нас регрессия уже исправленного бага. И не просто старого, а из 2006-го года,
CVE-2006-5051. Затронуты версии от 8.5p1 и до 9.7p1, версии старше 4.4p1 также пострадали, если в них не пропатчены CVE-2006-5051 и CVE-2008-4109. Так что пора накатывать патчи и ограничивать доступ к SSH. В качестве костыля можно поставить LoginGraceTime на 0, но это сделает сервера уязвимыми к DDoS-атакам. Но дудос всё же лучше произвольного кода. Подробнее об атаке в техотчёте.@tomhunter
🔥4🤯3❤1
#news Занимательная история с node-ip последних дней вновь подняла проблему ложных репортов CVE. Разработчик библиотеки, Фёдор Индутный, перевёл в ридонли репозиторий с проектом. Это произошло после того как последний столкнулся с проблемами по следам отчёта о CVE, серьёзность которой Индутный безуспешно пытался оспорить несколько месяцев.
После публикации число скачиваний node-ip сократилось с 30 до 17 миллионов в неделю, а из-за ложной CVE при сборке проектов шло предупреждение, о чём начали массово сообщать пользователи. В итоге проект улетел в архив, тем самым засветился в новостях, и от GitHub наконец удалось добиться снижения рейтинга. Доступ к репозиторию теперь восстановлен, появились желающие помочь отозвать CVE. Но проблема злоумышленников, начинающих исследователей, набирающих уязвимости в портфолио сомнительными методами, и лага во взаимодействии между участниками индустрии осталась. И, скорее всего, будет только расти, продолжая выматывать нервы разработчикам.
@tomhunter
После публикации число скачиваний node-ip сократилось с 30 до 17 миллионов в неделю, а из-за ложной CVE при сборке проектов шло предупреждение, о чём начали массово сообщать пользователи. В итоге проект улетел в архив, тем самым засветился в новостях, и от GitHub наконец удалось добиться снижения рейтинга. Доступ к репозиторию теперь восстановлен, появились желающие помочь отозвать CVE. Но проблема злоумышленников, начинающих исследователей, набирающих уязвимости в портфолио сомнительными методами, и лага во взаимодействии между участниками индустрии осталась. И, скорее всего, будет только расти, продолжая выматывать нервы разработчикам.
@tomhunter
❤6💯3👍1🤡1
#cve Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным.
Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать на Хабр!
@tomhunter
Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать на Хабр!
@tomhunter
🔥6❤2😢1
#news Телефоны серии Google Pixel 6 начали превращаться в кирпич после сброса до заводских настроек. После запуска телефон сообщает о повреждённых данных и уходит в луп сбросов. Ну а в отсутствии заводской разблокировки траблшутингом не займёшься.
Поначалу владельцы получали неоднозначные ответы: так, одному юзеру в сервисе предложили замену материнки почти по цене нового телефона. Но затем проблему признали. Тем, кто ещё не превратил телефон в кирпич, советуют дать телефону полежать 15 минут после обновления или делать сброс до установки последнего. А менее удачливым предлагают терпеливо ждать решения от разработчиков. Между тем в посте забавные формулировки: «Сброс до заводских настроек мало кто из пользователей делает регулярно, но мы о вас заботимся, так что вот апдейт». Превратил свой телефон в кирпич, юзер? Так уж и быть, мы порешаем твою проблему. Но в следующий раз всё же накати GrapheneOS.
@tomhunter
Поначалу владельцы получали неоднозначные ответы: так, одному юзеру в сервисе предложили замену материнки почти по цене нового телефона. Но затем проблему признали. Тем, кто ещё не превратил телефон в кирпич, советуют дать телефону полежать 15 минут после обновления или делать сброс до установки последнего. А менее удачливым предлагают терпеливо ждать решения от разработчиков. Между тем в посте забавные формулировки: «Сброс до заводских настроек мало кто из пользователей делает регулярно, но мы о вас заботимся, так что вот апдейт». Превратил свой телефон в кирпич, юзер? Так уж и быть, мы порешаем твою проблему. Но в следующий раз всё же накати GrapheneOS.
@tomhunter
🔥8😁6🤯1🤡1
#news Proton запускает новый сервис: альтернативу Google Docs. Бесплатно, приватно, на опенсорсе и со сквозным шифрованием. С интеграцией в прочие продукты от Proton для большего удобства. Россыпь фич внушительная, данные обещают не собирать, и впереди регулярные независимые аудиты открытого кода.
Как сообщает product lead, целью нового сервиса является развеять опасения юзеров в отношении подобных облачных решений. Пока бигтех нарушает приватность и сомнительно обращается с пользовательскими данными, юзеры продуктов от Proton могут быть уверены в защищенности своих данных и завтрашнем дне. Подробнее о Proton Docs читайте в анонсе. А в соседней вкладке балансу ради можно открыть старое-доброе «Who does that server really serve?» от одного большого любителя облачных сервисов.
@tomhunter
Как сообщает product lead, целью нового сервиса является развеять опасения юзеров в отношении подобных облачных решений. Пока бигтех нарушает приватность и сомнительно обращается с пользовательскими данными, юзеры продуктов от Proton могут быть уверены в защищенности своих данных и завтрашнем дне. Подробнее о Proton Docs читайте в анонсе. А в соседней вкладке балансу ради можно открыть старое-доброе «Who does that server really serve?» от одного большого любителя облачных сервисов.
@tomhunter
🤡11😁10❤3🔥3
#news Кребс раскрывает личность очередного российского злоумышленника. На этот раз речь о брокере начального доступа x999xx, Maxnm. В отличие от многих собратьев по преступной деятельности, этот, как и Wazawaka, совсем не заморачивается сокрытием идентичности. В миру это 32-летний Кривцов Максим Георгиевич из Озёрска.
Кривцов активен на киберпреступных форумах с 2009-го года — за ту дату профиль на Verified. На него нашлось всё вплоть до аккаунта на Imageshack со скриншотами логов с форумов и взломанных сайтов. Кребс связался с Кривцовым и последний подтвердил, что он и есть x999xx. Настолько товарищ уверен в своей неприкосновенности. При этом он заявил, что «считает себя столь же приверженным этическим практикам, как и Кребс». И цели вредить системе здравоохранения (к которой продавал доступ) у него нет — он заинтересован только в краже её данных. Вот такие они, доморощенные этические хакеры из Озёрска.
@tomhunter
Кривцов активен на киберпреступных форумах с 2009-го года — за ту дату профиль на Verified. На него нашлось всё вплоть до аккаунта на Imageshack со скриншотами логов с форумов и взломанных сайтов. Кребс связался с Кривцовым и последний подтвердил, что он и есть x999xx. Настолько товарищ уверен в своей неприкосновенности. При этом он заявил, что «считает себя столь же приверженным этическим практикам, как и Кребс». И цели вредить системе здравоохранения (к которой продавал доступ) у него нет — он заинтересован только в краже её данных. Вот такие они, доморощенные этические хакеры из Озёрска.
@tomhunter
😁15🤡3🔥2
#news Недавно запущенное приложение ChatGPT под macOS шло с серьёзной уязвимостью: чаты хранились на компьютерах в незашифрованном виде. То есть любой злоумышленник с доступом к устройству мог получить и доступ к данным.
Исследователь заинтересовался вопросом, когда OpenAI отказалась использовать песочницу под ChatGPT. А следом обнаружил логи чатов простым текстом и собрал на коленке приложение для их чтения. После того как журналисты начали стучать в компанию с вопросами, та оперативно выпустила обновление, которое логи шифрует. Так что теперь у злоумышленников доступа к ним нет, только у самой OpenAI. У которой никаких недобросовестных намерений в отношении пользовательских данных, конечно же, нет, а из песочницы ChatGPT вывели без всякого злого умысла. Но по крайней мере, теперь переписку с искусственным болванчиком не просмотрят все желающие с инфостилером. И на том спасибо.
@tomhunter
Исследователь заинтересовался вопросом, когда OpenAI отказалась использовать песочницу под ChatGPT. А следом обнаружил логи чатов простым текстом и собрал на коленке приложение для их чтения. После того как журналисты начали стучать в компанию с вопросами, та оперативно выпустила обновление, которое логи шифрует. Так что теперь у злоумышленников доступа к ним нет, только у самой OpenAI. У которой никаких недобросовестных намерений в отношении пользовательских данных, конечно же, нет, а из песочницы ChatGPT вывели без всякого злого умысла. Но по крайней мере, теперь переписку с искусственным болванчиком не просмотрят все желающие с инфостилером. И на том спасибо.
@tomhunter
😁8❤2💯1
#news Коллекция утёкших паролей RockYou2021 получила обновление. На одном небезызвестном форуме выложили новую компиляцию. И соответственно, у нас новый рекордсмен — база данных почти на 10 миллиардов паролей.
За три года содержимое компиляции подросло на 15 процентов — в файл добавили 1,5 миллиарда записей из свежих утечек. Судя по анализу, в нём пароли из четырёх тысяч слитых баз данных за последние двадцать с лишним лет. В сухом остатке у нас ультимативный инструмент для атак на подстановку учётных данных и второй рекорд за год. Ранее в сети всплыла Мать-Всех-Утечек на 12 терабайт данных и 26 миллиардов утёкших записей. Между тем RockYou2024 опубликовал 4 июля товарищ с ником ObamaCare. Такой вот своеобразный подарок киберпреступному сообществу в честь праздничной даты.
@tomhunter
За три года содержимое компиляции подросло на 15 процентов — в файл добавили 1,5 миллиарда записей из свежих утечек. Судя по анализу, в нём пароли из четырёх тысяч слитых баз данных за последние двадцать с лишним лет. В сухом остатке у нас ультимативный инструмент для атак на подстановку учётных данных и второй рекорд за год. Ранее в сети всплыла Мать-Всех-Утечек на 12 терабайт данных и 26 миллиардов утёкших записей. Между тем RockYou2024 опубликовал 4 июля товарищ с ником ObamaCare. Такой вот своеобразный подарок киберпреступному сообществу в честь праздничной даты.
@tomhunter
🔥8😁3🤯2🎉2
#news Интересные результаты опроса ИБ-специалистов касаемо низкой культуры инфобеза в их компаниях. Из очевидных вещей критические нарушения: переход по ссылкам в почте, утечки корпоративных данных и передача данных доступа третьим лицам.
Из неочевидного, больше трети безопасников сомневаются в эффективности ИБ-программ по обучению сотрудников. И больше половины сообщили, что они проходят лишь раз в несколько месяцев, а то и раз в год. Больше трети считают, что кроме ИБ-отдела и директоров до кибербезопасности в компании никому дела нет. А половина опрошенных опасается сообщать об ошибках в ИБ, опасаясь последствий. В общем, страх и замалчивание в инфобезе. У нас было 2 тренинга в год, 75 переходов по фишинговым ссылкам, 5 критических уязвимостей, пол-отдела с паролями на листочках и гора утёкших данных. Единственное, что меня беспокоило — это доклад начальству...
@tomhunter
Из неочевидного, больше трети безопасников сомневаются в эффективности ИБ-программ по обучению сотрудников. И больше половины сообщили, что они проходят лишь раз в несколько месяцев, а то и раз в год. Больше трети считают, что кроме ИБ-отдела и директоров до кибербезопасности в компании никому дела нет. А половина опрошенных опасается сообщать об ошибках в ИБ, опасаясь последствий. В общем, страх и замалчивание в инфобезе. У нас было 2 тренинга в год, 75 переходов по фишинговым ссылкам, 5 критических уязвимостей, пол-отдела с паролями на листочках и гора утёкших данных. Единственное, что меня беспокоило — это доклад начальству...
@tomhunter
😁16❤4😢1
#news Злоумышленники используют оригинальную точку входа для взлома российских компаний. В ход идут серверы на контроллерах лифтового оборудования от «Текон-Автоматика». Работа самих лифтов не затронута, так что целью, видимо, была маскировка операций.
Группировка получила название Лифтовый Змей, работает через терминалы Starlink. Так что геолоцировать страну её происхождения в «Восточной Европе» несложно. Между тем «Текон-Автоматика» в 2022-м исправила на своих контроллерах уязвимость в виде дефолтных учётных данных. То есть злоумышленники либо заходят на устройства, не получившие обновлений, либо брутфорсят оборудование с новыми настройками безопасности. В общем, интернет вещей превратил в поверхность атаки и подъездные лифты: цена удобства для диспетчерской — висящий на контроллере вредоносный сервер.
@tomhunter
Группировка получила название Лифтовый Змей, работает через терминалы Starlink. Так что геолоцировать страну её происхождения в «Восточной Европе» несложно. Между тем «Текон-Автоматика» в 2022-м исправила на своих контроллерах уязвимость в виде дефолтных учётных данных. То есть злоумышленники либо заходят на устройства, не получившие обновлений, либо брутфорсят оборудование с новыми настройками безопасности. В общем, интернет вещей превратил в поверхность атаки и подъездные лифты: цена удобства для диспетчерской — висящий на контроллере вредоносный сервер.
@tomhunter
🔥4😁3😢2
#digest Опубликовали наш традиционный дайджест ключевых новостей ушедшего месяца. Июнь выдался богатым на события. Так, китайская CDN-фирма выкупила опенсорс-проект и устроила атаку на цепочку поставок, которая могла затронуть сотни миллионов сайтов. А взлом облачного провайдера Snowflake рискует стать самой масштабной утечкой данных в истории.
В июне по следам всеобщего выражения признательности Microsoft за планируемую фичу Recall компания отложила её релиз на неопределённый срок. Приключения «Лаборатории Касперского» на западном рынке достигли кульминации, эпопея Джулиана Ассанжа внезапно подошла к концу, а LockBit заявила о взломе ФРС США. Об этом и других громких событиях первого летнего месяца читайте на Хабре!
@tomhunter
В июне по следам всеобщего выражения признательности Microsoft за планируемую фичу Recall компания отложила её релиз на неопределённый срок. Приключения «Лаборатории Касперского» на западном рынке достигли кульминации, эпопея Джулиана Ассанжа внезапно подошла к концу, а LockBit заявила о взломе ФРС США. Об этом и других громких событиях первого летнего месяца читайте на Хабре!
@tomhunter
❤3🔥2😢1