14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news В софте TeamCity от JetBrains выявили две уязвимости на обход аутентификации, позволяющие злоумышленнику перехватить контроль над сервером. Подмена HTTPS-сертификата, MiTM-атаки, задел под атаки на цепочку поставок и прочие радости. Эксплойт пошёл уже в первые часы после релиза информации о CVE.
Между тем JetBrains попала под раздачу от Rapid7, сообщившей им об уязвимостях. Как сообщают в последней, со совместным пресс-релизом как-то не сложилось, и в JetBrains после недели тишины тихонько исправили баги, забыв опубликовать данные по ним и сообщить исследователям. После письма из Rapid7 инфу по всё же выложили, но на вопросы по забытому CVD отмалчиваются. В общем, либо заботились о юзере во избежание скорых эксплойтов, либо просто забили на CVD и не хотели лишнего внимания после только исправленной в феврале другой критической уязвимости. Кому какой вариант больше по вкусу.
@tomhunter
#news Сезон турбулентности на рансомварь-сцене не заканчивается: BlackCat отключила свои сервера, а их блог с утечками лежит ещё с пятницы. Всё это происходит на фоне слухов, что группировка кинула партнёра, ответственного за атаку на Change Healthcare, на $22 миллиона выплаченного выкупа.
Пост всплыл на Ramp’e якобы от партнёра, краткое содержание которого – мой аккаунт заблокировали и опустошили кошелёк с выкупом. В качестве пруфа предоставлен кошелёк, на который пришли 350 битков одной транзакцией и следом ушли восемью. Более того, товарищ под ником notchy утверждает, что 4TB стянутого у Change Healthcare у него сохранились — печальные новости для компании. В статусе Tox группировки висело краткое от админа «Все выключено, решаем», сменившееся на «GG». Что решает BlackCat, пока неясно. Возможно, провернут экзит-скам и ребрендинг, опять заявив, что безопасники в погонах высосали их кошельки, как было с DarkSide. Так что делайте ваши ставки.
@tomhunter
#news В сетевых дебрях замечена активность почётного RAT-пенсионера: всплыла новая версия трояна Bifrost под Linux с обновлённой функциональностью и методами ухода от обнаружения.
Из ключевого в свежей версии тайпсквот-домен, маскирующийся под легитимный от VMware — download.vmfare[.]com. На конец февраля на VT по нему по-прежнему ноль результатов. Для разрешения домена троян стучится по публичному DNS-резолверу в Тайване. Из новшеств в нём также версия под архитектуру ARM с теми же функциями, что и под x86. Так что 20 лет спустя Bifrost всё ещё подаёт признаки жизни и даже расширяет поверхность атаки. Подробнее о свежей версии старой угрозы в отчёте.
@tomhunter
#news По следам сенсационных писем ФБР с мегаломанскими теориями заговора вокруг взлома правительственного сайта в США в LockBit заявили, что округ Фултон выплатил выкуп. Какие их доказательства? «Мы удалили данные». Но вот незадача, в округе сообщили, что никто у них ничего не платил. Судя по всему, никаких данных у LockBit не сохранилось, и это был просто блеф.
Прочие «новые» жертвы на свежем сайте группировки тоже стыдливо исчезают из блога. Так как судя по анализу, это старые данные под видом новых взломов. Попросту говоря, фейки. Выглядит это так, что LokhBit натужно изображает триумфальное возвращение и отчаянно пытается убедить партнёров, что полторы недели назад ничего серьёзного не произошло. Но получается не очень. В общем, бренд идёт на дно, и от конвульсивных подёргиваний пока в нём только появляются новые пробоины. Ещё принимаем ставки, удастся ли им выплыть, но пока расклад явно не в их пользу.
@tomhunter
#news К вопросу о том, как выглядят рансомварь-атаки на здравоохранение. В начале февраля зашифровали системы детской больницы Lurie Children's Hospital в Чикаго, к концу месяца они всё ещё лежат. Отвалились почта, телефон, интернет, результаты ультразвука и КТ недоступны, как и прочие системы, рецепты пишут от руки, а медпомощь откладывается, приёмы отменяются.
Ответственность взяла на себя группировка Rhysida, якобы стянувшая 600GB данных и требующая 60 битков выкупа. В тех 600GB медицинские данные детей-пациентов больницы — отличный материал для шантажа и продажи, конечно. «Эксклюзивные, уникальные, впечатляющие данные». К слову, о Rhysida. Это те самые, чей энкриптор взломали и тихонько помогали с жертвам с восстановлением данных, пока корейцы не подсуетились с публикацией. Но судя по месяц лежащим системам, энкриптор они успели обновить ещё до публикации. Так что на медвежью услугу от корейцев это не спишешь.
@tomhunter
#news Раз уж об этом зашла речь. Призрачные надежды на неолуддитов-затейников с условными секаторами на дне Красного моря всё же не оправдались: зампред по информационной политике подтвердил, что масштабный сбой в работе мессенджеров в российском сегменте интернета сегодня произошел из-за очередного теста блокировок Роскомнадзором.
Падение было связано с перенастройкой и поиском «узких мест», которые могут помешать полноценному ограничению доступа к запретным сайтам и прочим порталам в ад, так же известным как VPN, работать которым у нас не положено. Собственно, о чём мы и писали здесь. Что ж, VPN’ы рубят — инфощепки рунета летят. Хорошо, когда рядом есть кому беречь нас от недружественных достижений инновационных технологий и не нужно надеяться на обитателей далёкой Аравии.
@tomhunter
#news Инфобез с оттенком геополитики: у берегов Йемена повреждены кабели оптоволоконной связи. Связь оказалась нарушена у AAE-1, EIG, TGN и Seacom. В последней подтвердили повреждения и сообщили о трудностях с восстановлением из-за боевых действий в регионе. Пока трафик перенаправляют по другим кабелям.
Ситуация возникла по следам недавних угроз хуситов перебить кабели, так что подозреваемые очевидны. Между тем масштабы потенциальных проблем переоценить сложно: по кабелям на дне Красного моря идёт 17 процентов мирового трафика. Так что хуситы рискуют резко подорвать глобальную систему цифровых коммуникаций и привести к проседанию экономики в разных странах. Да и просто к коллапсу сетей: так, в 2022-м после аварии в Египте трафик в Эфиопии просел больше чем на 90 процентов. В общем, не спешите с ходу списывать лагающий Телеграм на Роскомнадзор — возможно, это весёлые йеменские бородачи-неолуддиты шатают мировую связность коммуникаций.
@tomhunter
#news Санта-Барбара вокруг LockBit продолжается: по следам перехвата инфраструктуры группировка подняла новый сайт, товарищ LockbitSupp пишет письма ФБР и угрожает сливом данных со взлома правительственного сайта округа Фултон в США.
В бреде величия LockbitSupp заявляет, что «Операцию Кронос» провели, чтобы не дать слить судебные дела на Трампа, что скажется на выборах. Новый счётчик ставит слив на 2 марта. Дальнейшее содержание письма локбитовцев американскому шайтану — в основном бессвязное бормотание, что его не запугают и никогда не остановят. В общем, забытый PHP-апдейт товарища сильно выбил из колеи. Между тем в LockBit пытаются спасти лицо и утверждают, что ФБР арестовало пару случайных людей, а на ключевых лиц группировки у них ничего нет, и предлагают уже $20 миллионов за свой деанон. В новом сезоне нас могут ждать триумфальное явление LockBit 4.0 и продолжение мыльной рансомварь-оперы.
@tomhunter
#news Чудные нововведения от Минтранса: по плану с 1 сентября перевозчиков обяжут передавать в базу ЕГИС ОТБ дополнительные данные о пассажирах. Помимо паспортов, дат поездки и маршрута в неё отправятся: банковские карты, айпишники, телефоны, электронные почты и… логины и пароли от учёток на сайтов перевозчиков. Как и, главное, зачем? Загадка.
Пока перевозчики задумчиво изучают проект и нервно курят, пытаясь сообразить, как это всё собирать и передавать и что будет в случае утечки. В Минтрансе же сидят люди оптимистичнее. ЕГИС ОТБ, как водится, хорошо защищена, в порядочном ведомстве утечек не бывает, а анализ данных пассажиров позволит выявлять некие «поведенческие аномалии» и ловить злоумышленников «от контрабандистов до террористов». Как выглядят аномалии в глазах чиновника из Минтранса, неизвестно. Так ведь, глядишь, придётся оправдываться за совершенно здоровое желание улететь на Сахалин смотреть на косаток в четыре утра понедельника.
@tomhunter
#news Вслед за мощным ударом по LockBit сворачивается ещё одна рансомварь-операция, в этот раз местечковая. Операторы Knight 3.0 выставили на продажу исходники энкриптора и панели.
Рансомварь Knight появилась в июле 2023-го и была ребрендингом Cyclops с атаками по Windows, macOS, Linux и ESXi-системам. Определённую популярность Knight получила за счёт инфостилеров в комплекте и облегчённой версии энкриптора для партнёров рангом пониже с атаками по небольшим компаниям. С июля прошлого года операторы Knight заявили о взломе 50 организаций. Теперь же их сайт для жертв отключён, представители рансомвари с декабря неактивны на форумах, а исходники идут на разовую продажу. Так что, видимо, эти злоумышленники решили свернуть лавочку и уйти со сцены. По крайней мере, под этим брендом.
@tomhunter
#news Инфраструктура LockBit перехвачена ФБР и международной полицией. По следам «Операции Кронос» под контролем британской NCA оказался сайт с утечками группировки в TOR, на нём болтается красочная заглушка. Некоторые их сайты ещё работают, другие прилегли.
Кроме того, положили и панель партнёров LockBit. Согласно сообщению о её захвате, к правоохранительным органам попали исходники LockBit, чаты, информация о жертвах и украденных данных. Безопасники в погонах ехидничают и предлагают злоумышленникам благодарить товарища Lockbitsupp за уязвимости в инфраструктуре, которые привели к перехвату. У последнего в статусе сообщение, что сервера взломали PHP-эксплойтом. В общем, не успели LockBit воспользоваться неурядицами BlackCat, как столкнулись с тем же. Любители чертовски хорошего кофе также обещают партнёрам группировки вскоре выйти с ними на связь. Иными словами, им теперь не позавидуешь.
@tomhunter
#news Вслед за Hive почётный знак от Госдепа получили и Blackcat: пресловутые до $10 миллионов предложены за лидеров группировки. Предлагают сдать информацию о местонахождении или личности ключевых фигур, ответственных за разработку и распространение рансомвари.
Бонусом выплатят ещё до $5 миллионов за информацию о тех, кто только подумывает работать на Blackcat. Предполагается, что это отпугнёт потенциальных злоумышленников от сотрудничества. Ну или приведёт к тому, что у новых партнёров Blackcat будут перспективы как у среднего закладчика. Как сообщает департамент, на сентябрь прошлого года группировка получила не менее $300 миллионов выкупа с более чем 1000 жертв — игнорировать это дальше не получается. Как, видимо, и недавний взлом оборонки в Штатах — награда нашла героев всего месяц спустя. В общем, допрыгались.
@tomhunter
#news С декабря всплыли уже с десяток сэмплов Qakbot, операторы которого пытаются пересобрать ботнет после его перехвата в августе прошлого года. Судя по изменениям в билдах, разработчики тестируют и полируют новые бинарники.
Свежие версии идут в качестве MSI-экзешника, дропающего DLL-ку с помощью .CAB-архива. Раньше Qbot доставляли внедрением кода в процессы Windows. В новых вариантах продвинутая обфускация, включая AES-256 шифрование для сокрытия строк и стука по C2. Плюс они выдают себя за установочник Adobe для обмана юзера. И хотя пока образцов новой итерации Qakbot в сетевых дебрях встречается немного, специалисты держат руку на пульсе на случай, если у его операторов всё же получится поднять новый ботнет. С 15-летней историей Qbot можно ознакомиться в отчёте.
@tomhunter
#news У нас первая громкая криптокража года: с платформы PlayDapp потенциально стянули 290 миллионов долларов. Судя по всему, хакеры получили приватный ключ и с его помощью начали минтить токены PLA — сначала на $36,5 миллионов 9 февраля, после чего взлом заметили и начали угрожать хакерам. Угрозы эффекта не возымели. И 12 февраля они наминтили ещё 1,59 миллиарда токенов. По его курсу на тот момент суммарно и набрались $290 миллионов.
Несмотря на попытки PlayDapp и крупных бирж приостановить процесс, токены активно двигают по аккаунтам и отмывают. При этом хакеры наминтили их больше, чем было в обороте до взлома, так что по рыночной стоимости загнать их не получится. Но сумма всё равно ожидается внушительная. Кто стоит за взломом, пока неизвестно. Но все мы и так прекрасно понимаем, кто может стоять за кражей таких масштабов. Бюджет КНДР на 2024-й сам себя не сведёт.
@tomhunter
#news Исследователи из Южной Кореи нашли уязвимость в рансомвари Rhysida и собрали декриптор. Группировка активна с мая прошлого года и печально известна атаками на больницы, оборонку и энергетику. Но генератор псевдослучайных чисел у них оказался слабоват, что позволило определить стартовое число и расшифровать файлы.
Однако не всё так радужно. Энкриптор вскрыли ещё в прошлом году: Avast в октябре, CERT в июне и товарищ Фабиан Возар ещё в мае. Информацию о баге просто не публиковали, чтобы не уведомлять злоумышленников. Как утверждает Возар, с мая благодаря этому были приватно расшифрованы петабайты данных. Теперь же уязвимость в Rhysida исправят за пару дней и продолжат атаки. Такая вот медвежья услуга по-корейски, получается.
@tomhunter
#news Компания Insikt изучила свежую инфраструктуру шпионского ПО Predator. И анализ доменов позволил потенциально выявить клиентов в 11 странах. Сервера доставки и VPS спайвари стучат по статическим адресам этих стран. Среди них засветились Ангола, Египет, Филиппины и прочие светочи прогресса. Из ближайших соседей отметились Армения и Казахстан.
Как показывает исследование, публикация анализа Predator в прошлом году мало повлияло на его работу — изменения в инфраструктуре с того момента минимальные. Что интересно, треть засветившихся региональных доменов находятся в Казахстане. Иными словами, десять лет спустя, ещё со времён FinFisher, казахи остаются любимыми клиентами производителей спайвари. Кто конкретно является целью последних атак Predator, пока неизвестно. Но с учётом того, какие образчики гражданских свобод в списке клиентов, общую картину представить несложно.
@tomhunter
#news В феврале Microsoft исправила уязвимость на повышение привилегий с админа до ядра в Windows 10-11 и на серверах 2019 и 2022. Казалось бы, новость рядовая. Но, оказывается, исправили её слегка запоздало: Avast сообщила о нулевом дне и его активном эксплойте ещё в августе. А кто по ней работал? Lazarus.
Как минимум с августа уязвимость была в ходу у группировки на их рутките FudModule под прямую манипуляцию объектами ядра и отключение ИБ-софта. Помимо новой версии самого руткита с впечатляющей функциональностью и скрытностью, Avast также обнаружила в арсенале Lazarus ранее незамеченный RAT. Теперь с выкаченным патчем группировке придётся либо искать новый нулевой день, либо вернуться к BYOVD-методам, которые обнаружить порядком проще. Подробный разбор приключений Lazarus и их обновлённого руткита в отчёте.
@tomhunter
#cve Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт которой шёл в феврале.
Несколькими критическими уязвимостями смогли похвастаться продукты от Microsoft, включая RCE в Outlook и повышение привилегий на Exchange Server. А CMS Joomla выбила сразу пять XSS-уязвимостей за месяц. Об этом и других интересных CVE февраля читайте на нашем Хабре!
@tomhunter
#news В копилку интересных взломов. Владельцы 3D-принтеров Anycubic получили на свои устройства файл с предупреждением об уязвимости. Согласно тексту, в API MQTT-сервиса принтеров критическая уязвимость, позволяющая их перехватить с любыми валидными данными доступа. Видимо, MQTT-сервер неверно настроен.
Автор доверительно сообщает, что файл безвредный, но принтеры лучше отключить от сети во избежание чего-то серьёзнее, так как доступ есть ко всем подключённым к облаку. И просит Anycubic опенсорснуть код, а то с софтом у них не очень. Сумрачный китайский гений-производитель по традиции на письма обеспокоенных юзеров не отвечает, а те пишут о критических уязвимостях, катастрофических последствиях и готовности опубликовать свои репы и инструменты. Что ж, последнее предупреждение на принтеры ушло, следом могут отправить .gcode на печать дилдо до самого конца катушки. Впрочем, таким не каждого любителя 3D-печати удивишь.
@tomhunter
#news ФБР и CISA подтвердили, что BlackCat ведут целевые атаки по американскому здравоохранению. С середины декабря отрасль стала ключевой целью атак группировки, и из 70 сливов значительное число составляют больницы.
Напомню, после перехвата инфраструктуры группировки в декабре её лидеры заявили, что теперь разрешат партнёрам атаковать цели, которые рансомварщики обычно обходят стороной, чтобы не привлекать лишнего внимания СМИ. Блокировать им теперь можно госпитали, атомные станции, что угодно и где угодно (кроме СНГ). Очевидно, партнёры были и рады подхватить инициативу — есть много слов для описания ИБ в среднем по больницам, но «хорошо защищённые» в их число обычно не входят. Отсюда и истории про неделю лежащие системы.
@tomhunter
#news В Штатах уже неделю проблемы у крупных сетей аптек, CVS и Walgreens. Виной тому стала рансомварь-атака по поставщику IT-услуг для медицинского сектора Change Healthcare. 21 февраля они сообщили об атаке и отключили системы, которые с того момента лежат. Судя по всему, за атакой стоит BlackCat.
Из-за прилёгших систем у аптек возникли проблемы с софтом для проверки страховых выплат и рецептов пациентов. Ну а без возможности обработать эти данные условный американец рискует, например, остаться без инсулина и не получить вовремя прочее рецептурное. Видимо, в BlackCat отрабатывают свои угрозы атаковать медицинский сектор и критическую инфраструктуру, которые выдали по следам перехвата своих серверов в декабре. Хорошее напоминание о том, что у рансомварщиков вместе с сетевой инфраструктурой нужно и выбивающие по клавиатуре код пальчики отжимать. Иначе так и будут строчить про яхты, грудастых женщин и благодарности за пентест.
@tomhunter
#news Минцифры вернулось к законопроекту, который должен обязать Apple позволять установку приложений из сторонних магазинов. По аналогии с законом о цифровых рынках (DMA) в Евросоюзе, ибо чем мы хуже.
Законопроект стал ответом на удаление российских приложений из официальных магазинов. Под новые регуляции попадут все мобильные системы, производители и операторы. При этом механизмов давления на Apple у российских регуляторов особо нет, да и DMA, на который ссылаются законодатели, сам зарегулирован по самое не балуйся. Есть ли перспективы у RuStore яблочных приложений, или же все магазины равны, но некоторые равнее других, вероятно, узнаем уже в этом году — проект рассмотрят на весенней сессии Госдумы.
@tomhunter
#news У нас редкий зверь: утечка из-за великого китайского файерволла. А именно, из топовой инфобез-фирмы i-SOON в Шанхае. Судя по всему, от недовольного сотрудника. В сливе на Гитхабе больше пятисот документов, позволяющих подглядеть внутреннюю кухню компании.
Помимо повседневного из переписок сотрудников с жалобами на переработки и низкие зарплаты, есть и довольно занятная информация. О госконтрактах на шпионаж, которые Китай скармливает частным ИБ-фирмам. Так, один из адресов в переписке связан с доменом, светившимся в кампании по Тибету в 2019-м, а безопасников из i-SOON тогда обозначили как APT-группировку Poison Carp. Случаются у i-SOON и конфузы. Так, один сотрудник рапортует об успешном взломе тайского вуза. А начальник присылает ему скриншот, в котором этого университета в списках на взлом нет. В общем, материал любопытный. Утечки такого плана из Цифровой Поднебесной — раритетная вещь.
@tomhunter
#news Госдеп закрепляет успех после перехвата инфраструктуры LockBit: привычная награда до $15 миллионов ждёт бегущих с идущего на дно киберпреступного корабля. Десять миллионов за главарей группировки и ещё пять за партнёров LockBit. Судя по информации от органов, всего у них было 188 партнёров, но сколько активных на момент перехвата серверов, не сообщают.
С учётом своего появления в сентябре 2019-го бренд поставил рекорд как самый долгоживущий на сцене, а с января 2020-го под ним провели больше двух тысяч атак. Между тем сайт LockBit теперь выглядит так. В чувстве юмора безопасникам в погонах не откажешь. Кто же такой LockbitSupp? Вопрос к подельникам на десять миллионов долларов.
@tomhunter
#news К вопросу о том, как далеко идёт перехват серверов LockBit. Безопасники в погонах на панели группировки не шутили. В Польше и Украине арестованы двое операторов рансомвари, перехвачены 200 криптокошельков, 34 сервера по всему миру. И выложен декриптор — так что исходники и ключи шифрования действительно попали к кому следует.
Франция и Штаты выдали международные ордеры на арест и предъявили обвинения нескольким членам группировки. Среди них двое идущих по документам как граждане России, Артур Сунгатов и Иван Геннадьевич Кондратьев, он же небезызвестный Bassterlord. В общем, Европол объявил неделю ареста серверов и партнёров LockBit — число рансомварь-атак временно снизится этак на четверть. А засидевшиеся по недружественным странам с экстрадицией члены группировки прямо сейчас резво пакуют чемоданы, чтобы залечь на дно где-нибудь в Саратове. На этом историю ключевого бренда рансомварь-сцены последних лет можно считать законченной.
@tomhunter
#news У нас следующий кандидат от криптомиксеров на санкции от США и посадку операторов: Lazarus переключились на YoMix. Согласно данным, со второго квартала 2023-го и до конца года миксер стабильно рос благодаря вложениям северокорейцев. Треть прошедших через него денег пришлись на криптокражи.
Комментариев по поводу своей популярности на YoMix не дают – скромничают. Да и уже научены, что аргументы про цифровое будущее не прокатывают. Между тем в 2023-м в миксеры с отслеживаемых адресов ушли всего $500 миллионов в сравнении с миллиардом годом ранее. Так что в год халвинга битка северокорейским криптостахановцам есть куда стремиться. Подробнее о трендах в мире криптомиксеров в отчете.
@tomhunter
#news Главарь JabberZeus Вячеслав Пенчуков признал свою вину по обвинениям в контроле группировок, стоявших за малварью Zeus и IcedID. Экстрадированному в прошлом году в США злоумышленнику грозит до 40 лет тюрьмы.
Пенчуков, напомню, был арестован в Швейцарии осенью 2022-го года. У товарища за спиной десять лет в списке особо разыскиваемых преступников ФБР. Он также стоял за малварью Maze — пионерами двойного вымогательства, использовавших украденные данные для давления на жертв. Пенчуков долгие годы избегал ареста, как считается, благодаря своим связям с прежней украинской властью. Однако события последних лет, очевидно, привели к его отъезду из страны и аресту в Женеве. Итог истории прожившего довольно увлекательную жизнь злоумышленника будет известен 9 мая — в этот день донецкому пижону по кличке Слава Рич вынесут приговор.
@tomhunter
#news Американская компания Securence предоставляет услуги фильтрации и защиты электронной почты. Но делает это не очень качественно. Переписка организации и её клиентов неизвестный срок лежала в публичном доступе по ссылке на сервер её материнской компании, провайдера U.S. Internet. Больше 6,500 доменов с ящиками юзеров с 2008-го года по сей день. Сервер неверно настроили.
Уязвимость обнаружили безопасники из Hold Security и сообщили Кребсу. Инцидент таких масштабов удивил даже его, пишущего об инфобезе 20 лет. Брайан переслал CEO U.S. Internet одно из его же свежих писем и тактично поинтересовался: «Ребята, что за дела?» Ответ оказался неудовлетворительным, так что теперь Кребс язвит, предполагает, что компания надеялась купить его молчание, и пишет, что с таким уровнем некомпетентности к чужой электронной почте Securence подпускать нельзя, пока не исправятся. В общем, довели человека.
@tomhunter
#news В Румынии в ночь на 12 февраля произошла рансомварь-атака по местной системе управления здравоохранением. Сервера последней были зашифрованы, и по следам атаки больницы одна за другой были вынуждены отключить свои системы. На вчерашний день к бумажным записям вернулись 100 медицинских учреждений страны, а данные 25 больниц были зашифрованы.
Злоумышленники использовали рансомварь Backmydata из семейства Phobos и потребовали 3,5 биткоина выкупа — около 175 тысяч долларов. Однако выкупа они, скорее всего, не дождутся — как сообщают румынские безопасники, у большинства больниц есть резервные копии данных, сохранённые одним-тремя днями ранее, и только в одной бэкап двухнедельной давности. Так что эти рансомварь-отбросы останутся без битков.
@tomhunter
#news ФБР перехватило инфраструктуру трояна удалённого доступа Warzone и арестовала двух связанных с операцией злоумышленников. Warzone был активен с 2018-го года, имел ворох привычных для RAT функций и успел засветиться во множестве киберпреступлений.
На Мальте арестовали 27-летнего Даниэля Мели. Является ли он разработчиком, из документов неясно — в них обоих обвиняют в распространении и техподдержке. Между тем второй арестованный по документам проходит как Принц Онеозири Одинакачи. И он из Нигерии. Так что письма счастья от одного из нигерийских принцев, может, и не были с подвохом — мучимый совестью африканский аристократ просто хотел поделиться незаконно нажитым с подписок на Warzone RAT за 196 баксов в год.
@tomhunter