14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news «Сбер» делится своими оценками утечек персональных данных в России: в открытом доступе в той или иной форме данные около 90% взрослых россиян. Или примерно 3,5 миллиарда строк.
Рекордсмены по утечкам давно известны: маркетплейсы и медучреждения (да, «Гемотест», это про тебя). В 2024-м число сливов по сравнению с прошлым годом снизилось, но на фоне имеющихся результатов это слабое утешение. Зато выросло число мошеннических звонков: в этом году в феврале-марте был пик в 20 миллионов в сутки. Сейчас их около 6 миллионов в день, но сценарии от мошенников стали изощреннее. Суммарный же ущерб от кибератак по итогам двух лет может достичь триллиона рублей. Из сомнительных плюсов, поставить новые рекорды в 2025-м и далее будет затруднительно. Потолок-то по всем показателям, мягко говоря, зашкаливает.
@tomhunter
#news Злоумышленники ведут кампанию по распространению кроссплатформенного вредоноса на npm через тайпсквоттинг. И в то время как в этом нет ничего нового, метод контроля оригинальный: малварь подтягивает айпи C2-сервера через смарт-контракт на эфире. Год назад под такое эксплойтили BSC.
С учётом того, что здесь задействован блокчейн, избавиться от вредоносной инфраструктуры в сущности невозможно. А за счёт децентрализованной архитектуры блокировать стук по С2 тоже, мягко говоря, затруднительно. Кто стоит за кампанией, пока неизвестно, но сообщения об ошибках написаны на русском. Так что наши соотечественники или кто-то по соседству на острие эксплойта блокчейна в киберпреступных целях. Не для того Виталик Ethereum создавал, совсем не для того.
@tomhunter
#news Nokia расследует потенциальный взлом. Предположительно был взломан подрядчик, у которого стянули данные, связанные с разработкой внутренних инструментов компании.
Новости об утечке пришли от вездесущего IntelBroker. Как он утверждает, в сливе исходники, ключи SSH и RSA, захардкоженные данные доступа и прочее. Случай со взломом стороннего поставщика от IntelBroker не первый, но вектор атаки классический: сервер SonarQube, дефолтные данные доступа. Впрочем, как и с другими такими взломами всё сводится к тому, насколько плотно и по каким направлениям поставщик сотрудничал с пострадавшей компанией. Но заголовки для фарма репутации всегда удачные: «AMD/Apple/Nokia Data Breach»! Как тут пройти мимо.
@tomhunter
#news Гугл рапортует о первом известном случае, когда языковая модель нашла уязвимость. Речь идёт о баге на недостаточное заполнение буфера в SQLite. Он был обнаружен проектом Гугла Big Sleep, заточенным под анализ уязвимостей с помощью LLM.
Что интересно, уязвимость не нашли с помощью фаззинга и иных тестов в рамках инфраструктуры, а вот Big Sleep её засёк. Эту модель начали разрабатывать в качестве ответа на тот факт, что больше 40% нулевых дней являются вариантами уже известных багов. Её натаскали на деталях ранее исправленных уязвимостей, и результаты выглядят многообещающе. Тем не менее, они пока чисто экспериментальные, и модель работает только по несложному софту. Так что время для горького «Вы что? И инфобезом за меня заниматься будете?» пока ещё не пришло. Обязательно будут. Всю ИБ в труху! Но потом.
@tomhunter
#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В октябре десяточку по CVSS выбил Zimbra — в сервере RCE от неаутентифицированных злоумышленников с несложным эксплойтом и проверкой концепции.
Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас 118 исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте на Хабре!
@tomhunter
#news Новость из серии «Не забывайте отключать аккаунты уволенных сотрудников» за номером 983. На этот раз от Disney прямиком из её парка развлечений. Его бывший работник со своей учётки взломал ПО для создания меню и немного пошалил.
У истории вайб «Чёрного Зеркала» на минималках: согласно материалам дела, взломщик изменил информацию в меню о составе блюд. В частности он пометил позиции с аллергенами вроде арахиса как безопасные — потенциально это вплоть до смертельного исхода для жертв. К счастью, товарищ попутно поломал шрифты в системе и добавил в меню нецензурной брани. Так что в компании заметили изменения, до того как версии с подвохом ушли в прод. По итогам никто не пострадал, кроме наёмных рабов Диснея, временно вынужденных пересобирать меню вручную, но случай показательный. Будь злоумышленник чуть умнее, последствия могли быть трагичнее, чем современные переосмысления Диснеем культовой классики.
@tomhunter
#news Вновь к несуществующим, но активным китайским госхакерам: Канада в свежем отчёте о кибербезопасности сообщает об усиленной работе тайфунов по своим сетям в последние пять лет. За это время были скомпрометированы не менее 20 госорганизаций.
Помимо этого, целью атак стали политики, критикующие Китай — госхакеры собирают информацию на фоне ухудшения отношений между странами. Не обошлось и без старого-доброго промышленного шпионажа: китайцы работают по инновационным секторам, включая робототехнику, квантовые компьютеры и авиацию. Отдельно в отчёте отметили и восходящую звезду APT-сцены, Индию. Вслед за дипломатической напряжённостью по Канаде прошлась волна кибератак и шпионажа, и местные безопасники ждут роста угроз по этому направлению. Что ж, до вепонизации индийского девелоперского лобби и скам-центров под нужды партии в сущности был один шаг.
@tomhunter
#news Коллаборации, которых никто не хотел, но некоторые опасались: госхакеры из КНДР замечены в сотрудничестве с рансомварь-группировкой Play. Об этом сообщает Unit42 в свежем отчёте, документируя первый известный случай работы северокорейцев с киберпреступным подпольем.
Jumpy Pisces были замешаны в атаке от Play в начале сентября. Северокорейцы вели разведку в сетях жертвы и подготовили их к заходу рансомвари. Неясно, действовали они как партнёр Play или только в качестве брокера начального доступа. Тем не менее, кейс примечательный: возможно, в недалёком будущем в бюджете КНДР появится новая прибыльная статья. Ну а к нам новый виток воплощения Панорамы в жизнь пришёл, откуда не ждали. На этой жизнеутверждающей ноте можем условиться, что если доживём до коллабов по взлому криптоплатформ с северокорейскими братушками, завершаем карьеру в ИБ, уходим в лес и больше никогда не появляемся онлайн.
@tomhunter
#news Полиция Нидерландов вместе с ФБР и компанией сообщили о перехвате серверов инфостилеров RedLine и Meta. Как утверждают, у них полный доступ ко всей инфраструктуре. Юзернеймы, пароли и айпишники, исходники обоих вредоносов и боты в Телеграме в руках у безопасников в погонах. RedLine Stealer — один из ключевых игроков в семействе инфостилеров с 2020-го года. Meta же, судя по всему, его форк.
Известно о двух незначительных арестах в Бельгии (судя по пресс-релизу, взяли пользователей), а в США выдвинули обвинения против Максима Рудометова, одного из разработчиков и операторов RedLine. Под операцию подняли стильный сайт с видео о перехвате и шуточками про финальный апдейт и добавление всех юзеров в VIP-список, он же «Very Important to the Police», с обещаниями скорых визитов. В общем, внеочередная проверка опсека для всех причастных. С подробностями «Operation Magnus» можно ознакомиться здесь.
@tomhunter
#news Pwn2Own Ireland завершился на мажорной ноте: четвёртый раз подряд этические хакеры пробили потолок в миллион долларов призовых. Четыре дня соревнования принесли участникам $1,066,625 и больше 70 раскрытых нулевых дней.
Первое место заняли вьетнамцы из Viettel Cyber Security — они унесли двести пять тысяч долларов за уязвимости в QNAP NAS, колонках Sonos и принтерах Lexmark. В следующий раз Pwn2Own пройдёт в Токио в январе 2025-го с фокусом на автомобильной отрасли. А это значит, автопарк Synacktiv пополнится новой Tesla. А пока Zero Day Initiative продолжает вполне успешно повышать привлекательность образа белошляпочника. Быть «Master of Pwn» не так выгодно, как рансомварщиком, но зато и сомнительного удовольствия в виде попадания в топ ФБР удаётся избежать.
@tomhunter
#news По следам релиза Realtime API для генерации голосовых ответов от OpenAI исследователи решили приспособить модель под скам-звонки. Получилось неплохо: тысяч строк кода, фреймворк для автоматизации Playwright, инструкции для модели — и готово.
Скам протестировали на различных вариантах, от перевода денег со счёта и отправки подарочной карты до кражи данных доступа. Стоимость и успешность разнятся, в среднем сойдясь на 36 процентах успеха и 75 центах за звонок. Проблемы возникали из-за ошибок в расшифровке речи моделью и сложности навигации по банковским сайтам. При этом пример скама выглядит не очень убедительно, но потенциал есть. Если натаскать модель на сценариях и архивах звонков от индийских и украинских умельцев, со временем получится ультимативный ИИ-скамер. И оставит кожаных мешков без работы. Или на первое время как минимум изрядно её упростит.
@tomhunter
#news Неделю назад из мейнтейнеров ядра Linux задним числом выписали 11 россиян. Всё это было смутно объяснено некими юридическими требованиями, и у сообщества возникли понятные вопросы. А теперь с заявлением в рассылку ворвался Торвальдс. И понеслось.
Вкратце, русские тролли не пройдут, решение очевидное и пересмотру не подлежит, санкции есть санкции. Убрать россиян посоветовали юристы, обсуждать это со случайными людьми он не будет, и вообще он финн и против российской агрессии, так что чему удивляетесь, вы там вообще думаете своей жижой вместо мозгов? На этом финский боец санкционного фронта развернулся и ушёл в закат, напевая «Niet Molotoff» и оставив всех в лёгком недоумении. Классический Торвальдс, в общем. Рассылку можно полистать здесь. Попутно морально готовясь к дальнейшему выписыванию держателей чёрной метки в виде красненького паспорта из мирового сообщества. Как видите, в стороне не остался и опенсорс.
@tomhunter
#news Создатели приватного мессенджера Session переводят деятельность в Швейцарию на фоне давления со стороны органов и законодательства. Место действия угадаете? Австралия.
Разработчики объявили о переезде в более лояльную к таким проектам Швейцарию, где уже базируются Proton и Threema. Австралийский регулятор обязывает все сервисы собирать контактные данные, включая телефоны и почты. Session же для регистрации ничего не требует. На фоне их возмутительной любви к приватности и децентрализации полиция начала посещать сотрудников Session без предупреждения и ордера: к одному из них пришли домой и задавали вопросы о компании и юзере под расследованием. В принципе, переезд был вопросом времени. Колонией-поселением Австралия давно быть перестала. Но осадочек остался. И законодательная культура соответствует.
@tomhunter
#news Новый поворот в многосерийном детективе «Северокорейцы в западных компаниях». Более чем ожидаемый: засланные КНДР сотрудники начали требовать выкупы за украденные у работодателей данные.
Судя по всему, организаторы операции поняли, что северокорейские IT-штирлицы как никогда близки к провалу, и перевели её в финальную стадию — вместо стабильных зарплат в приоритет выходят лёгкие деньги с выкупов. Так, в одном случае крот из КНДР стянул данные и занялся шантажом практически сразу после трудоустройства. В другом уволенный сотрудник начал слать письма с сэмплами украденных данных. Логика понятная: с учётом раскрытия схемы скоро её придётся сворачивать. Так что число инцидентов от диверсантов из Северной Кореи вскоре может резко вырасти.
@tomhunter
#news The Internet Archive снова взломан. На этот раз их почтовый саппорт на платформе Zendesk. Тем же самым злоумышленником, с помощью всё тех же токенов с GitLab. На последнем был файл конфигурации от сервера разработки, в нём данные доступа и токены. Сменить токены после первого взлома на IA забыли.
Злоумышленник утверждает, что стянул 7 TB данных, исходники, слитую Ханту пользовательскую базу, а теперь и базу с Zendesk на 800 с лишним тысяч тикетов. Так что данные писавших на почту IA в руках случайного хакера, включая, возможно, личные документы — их требовали по запросам на удаление данных из Wayback Machine. Конспирологических теорий вокруг взлома хватает, но их подтверждений нет. Пока всё указывает на оппортунистскую атаку с целью набить репутации в киберпреступных кругах. Хорошо бы для таких целей выбирать менее ценные для сети ресурсы, но порядочности от среднего обитателя Breached ожидать не приходится.
@tomhunter
#news К изобретательным методам доставки малвари: злоумышленники засылают фишинговыми письмами установочники Linux-виртуалок на QEMU. Потому что зачем взламывать корпоративные сети под заход с VM, когда юзер может сделать это за тебя.
Вектор атаки — ZIP-архив почти на 300 MB с ярлыком для установки и папкой с виртуалкой. В ней развёрнут кастомный TinyCore Linux с Chisel для туннелирования и стука по C2. Это не первый случай, когда QEMU используют в таких атаках: ранее под них приспособили Kali, крутившийся всего на метре оперативки для обхода мониторинга её потребления. EDR виртуалки не вскрывают, так что основное решение — блокировка виртуализации как таковой. Впрочем, если в компании сотрудники суют нос в полгига непонятно чего архивированного в приложении к неизвестному письму, содержимое архива здесь — явно не главная проблема.
@tomhunter
#digest Разбираем в нашем ежемесячном дайджесте ключевые новости октября. Так, взлому дважды подвергся The Internet Archive, нанеся серьёзный удар по проекту. Инфраструктура инфостилеров RedLine и Meta была перехвачена, а члены группировки AnonSudan, которых часть исследователей называли русскими хакерами под прикрытием, были арестованы.
В ушедшем месяце сюжет вокруг Recall от Microsoft продолжил закручиваться с поворотами в тревожную сторону на фоне очередного откладывания релиза функции. Месяц был богат и на новости, связанные с APT-группировками со всего мира, а OpenAI и Microsoft опубликовали крупные отчёты о состоянии ИБ. Об этом, а также других громких взломах, арестах и утечках октября, читайте на Хабре!
@tomhunter
#news В сетевых дебрях появилась новая рансомварь-операция. И не простая, а с энкриптором под сервера FreeBSD. Ранее такой был в арсенале только у Hive, а их улей, как известно, разворошили почти два года назад.
Операция Interlock активна с сентября, на текущий момент злоумышленники заявили об атаке на шесть организаций, чьи данные слиты на сайте. Энкриптор под FreeBSD, очевидно, написали с оглядкой на всю крутящуюся на ней критическую инфраструктуру. В плане методов у группировки всё как у взрослых: двойное вымогательство, сайт для связи с жертвами через чаты, желаемые выкупы от сотен тысяч до миллионов долларов. Деталей об Interlock мало — группировка только попала на радары исследователей. Но с учётом атак по FreeBSD, возможно, у нас что-то интересное.
@tomhunter
#news У панелей управления веб-хостингом CyberPanel на днях произошёл мини-апокалипсис. Больше 22 тысяч инстансов с критической уязвимостью под RCE попали под массовую атаку рансомварью PSAUX. Почти все они ушли офлайн. На этих панелях висело управление более 152 тысячами доменов и баз.
Между тем PSAUX не так страшна, как её старшие братья по рансомварь-сцене: злоумышленники требуют 200 баксов за ключ, а из-за ошибок в энкрипторе под него написали скрипт для дешифрования. Вот только уязвимость эксплойтят ещё две рансомварь-группировки. Так что у нас новый редкий случай из серии «Файлы зашифрованы дважды». Кому повезло, к тем на панели первой зашла PSAUX и положила их в процессе. У вторых вариант на исходниках Babuk, к нему тоже сегодня подобрали декриптор. У третьих шифр на базе Conti. Им соболезнуем.
@tomhunter
#news В qBittorrent исправили уязвимость под RCE. Она связана с багом в валидации сертификатов SSL/TLS в менеджере загрузок. В сущности qBittorrent принимает любые сертификаты, включая поддельные, допуская MitM-атаки. Плот твист: уязвимость ушла в прод ещё 6 апреля 2010-го года.
Так как исходники открыты, собрать версию с бэкдором — тривиальная задача. И вариантов для атаки хватает: подмена инсталлятора Python на вредоносный, захардкоженные ссылки под обновление XML-фида и базы GeoIP, уязвимые RSS-фиды. Патч вышел пару дней назад, спустя 14 с лишним лет уязвимость наконец исправлена. Без присвоения ей CVE за все эти годы, без уведомления пользователей и с активным участием сторонних исследователей, пытающихся расшевелить избегающих контакта разработчиков и делающих за них работу по раскрытию. Иными словами, типичные издержки опенсорса. Подробнее об уязвимости здесь.
@tomhunter
#article В нашей новой статье на стыке ИБ и юриспруденции мы разбираем правовые основы видеонаблюдения. Как организовать его в компании в соответствии с законом, какими статьями и нормами оно регулируется, как собирать биометрию и при каких условиях в дело вступает Единая Биометрическая Система. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Злоумышленники стянули 15 тысяч данных доступа от облаков из уязвимых конфигов Git. Они прошлись автосканом с помощью httpx и Masscan по пятистам миллионам айпишников. И собрали файлы под все возможные адреса в IPv4 под будущие сканы. 4,2 миллиарда записей.
Исследователь обнаружил по следам атаки — что иронично, в открытом ведре S3 — терабайт стянутых секретов и логов. 67 тысяч адресов с /.git.config в свободном доступе, их список идёт на продажу всего за 100 долларов. Из 6 тысяч токенов с Github 2 тысячи были валидны. К слову, с помощью конфига Git, недавно дважды взломали The Internet Archive. Минимум усилий, автоматизация, опенсорс-инструменты. И потенциал под сотни громких взломов. В общем, приватный репозиторий — ложный друг разработчика. Любишь оставлять в них секреты, люби и конфиг ковырять.
@tomhunter
#news Федеральные агентства США подтвердили недавние взломы телекоммуникационных компаний китайскими госхакерами. Несуществующие, но активно работающие тайфуны прошлись по AT&T, Verizon и Lumen.
Операция затронула устройства кандидатов в президенты и других политиков, по ходу расследования сообщают о десятках пострадавших компаний и людей, но подробностей пока мало. Помимо прочего, злоумышленники проникли в системы перехвата связи, стоящие у провайдеров для сотрудничества с органами. То есть китайцы воспользовались бэкдорами для федералов, что довольно иронично. Иными словами, в Штатах объявили сезон выборов — активность апэтэшечек выросла вдвое. От обвинений США в раздувании красной киберугрозы и операциях под ложным флагом до ломающих новостей о бэкдорах в чипах от Intel. И всё это на фоне масштабных взломов. Люди работают.
@tomhunter
#news Алон Левиев продолжает тыкать палочкой в Microsoft по поводу исправления не перешедшего границу безопасности даунгрейда через Windows Update. На этот раз эксплойт с говорящим названием «ItsNotASecurityBoundary» направлен на обход проверки подписи драйверов. И, соответственно, атаки на уровне ядра.
Атака сводится к замене dll-ки, ответственной за проверку цифровой подписи, на непатченную версию, которая их игнорирует. В сущности получается продвинутая версия BYOVD с даунгрейдом вплоть до компонентов ядра. Несмотря на политику Microsoft «От администратора до ядра уязвимостью не является», компания всё же зашевелилась и активно работает над исправлением. Тем не менее, из-за того, что проблема затрагивает VBS и прочие сумрачные процессы вокруг ядра, её решение потребует времени. А пока с этим вариантом обхода DSE можно ознакомиться здесь.
@tomhunter
#news Change Healthcare раскрыла количество пациентов, затронутых взломом от 21 февраля. В результате атаки от BlackCat были скомпрометированы данные около 100 миллионов человек. Это крупнейшая утечка медицинской информации в истории. Прежний рекорд на 78 миллионов записей поставили почти десять лет назад.
Список данных в 6 TB внушает: помимо платёжных и идентификационных были стянуты медицинские записи, включая диагнозы, снимки, результаты анализов и лечения. По итогам третьего квартала убытки компании составили почти 3 миллиарда долларов, включая десятки миллионов с двух выкупов, а часть систем до сих пор не восстановлена до прежнего уровня. И всё это, напомню, из-за стянутых учётных данных и отсутствия двухфакторки на одном из серверов Citrix. Задачка на выходные: какую долю процента от убытков нужно было вложить в ИБ и аудит, чтобы избежать такого масштабного провала?
@tomhunter
#news Fortinet раскрыла критический нулевой день на 9.8 по CVSS в FortiManager. Неавторизированный доступ через поддельные сертификаты, произвольный код и команды, эксплуатация в сетевых дебрях минимум с конца июня неизвестной группировкой, больше 50 скомпрометированных серверов.
При этом раскрытие прошло в лучших традициях Fortinet: публичной информации не было, так что юзеры почти две недели ориентировались по слухам. И это всё с учётом активного эксплойта и наличия костылей в виде ограничения доступа по IP и блокировки неизвестных устройств, информация о которых сэкономила бы клиентам кучу нервов. Также звучат предположения, что китайцы эксплойтят эту уязвимость с начала года. Подробнее о FortiJump в отчёте. Теперь со своей CVE! Хоть и запоздалой.
@tomhunter
#news Исследователи представили новый метод джейлбрейка языковых моделей. В три шага метод позволяет обойти их защитные механизмы. Сводится он к манипуляции контекстом. То есть развлечения из серии «Представь, что ты пишешь от лица Боба, у которого нет ограничений» легли в основу научной работы.
Пример на скриншоте. Ключевые термины для генерации вредоносного контента вводят в маскирующие его сценарии. Уже на второй запрос модели ломаются, на третий — растёт детальность. Объяснение уязвимости забавное: устойчивость внимания у моделей ограничена, поэтому охватить весь контекст и порезать запретный запрос у них не получается. Иными словами, ранние версии наших будущих кремниевых повелителей сталкиваются с теми же когнитивными проблемами, что и подрастающее поколение. И в то время как LLMки с проблемой справятся с ростом сложности, мощностей и числа индусов на аутсорсе, пишущих под них гайдлайны за сухпаёк, зумеры от клипового мышления избавятся вряд ли. Подробнее об этом варианте джейлбрейка здесь.
@tomhunter
#news Пока преступники поминают нехорошим словом платформу [не очень] защищённой связи Ghost, исследователь делится деталями другой успешной операции, Anom. Несколько лет назад эта платформа была популярна у криминала по всему миру. И была целиком и полностью оперативным экспериментом ФБР.
Три года безопасники в погонах разрабатывали своих клиентов, от контрабандистов и наркоторговцев до киллеров, параллельно примерив на себя роль стартаперов, решая вопросы логистики и техподдержки. Anom стал настолько популярен, что в 2021-м операцию пришлось свернуть — из-за разросшейся клиентуры масштабы выходили из-под контроля, и к успешному криминальному стартапу от ФБР начали появляться неудобные вопросы. О том как работали телефоны от Anom и бэкдоры в них, а также подробности операции в видео выступления с DEF CON. Мечтают ли фбровцы о новой итерации Anom? Вопрос, как водится, риторический.
@tomhunter
#news У Microsoft в арсенале ханипот с интересным поворотом: компания создаёт фальшивые тенант-среды с доступом к Azure. И активно закидывает данные доступа от них на фишинговые сайты. Из отслеживаемых 25 тысяч они залетают на 20% сайтов. И в 5% случаев окрылённые успехом злоумышленники лезут в сети.
Там они обнаруживают среду на тысячи аккаунтов и активностью в виде внутренней коммуникации и пересылки файлов. Помимо логирования всех действий, Microsoft также максимально замедляет отклики в системе. Как утверждает компания, злоумышленники тратят на анализ до 30 дней, прежде чем понимают, что это ханипот. Оставляют ли в нём послание формата «Зачем ты так делаешь?», неизвестно, но было бы неудивительно. Подробнее об охоте на фишеров в видео с конференции.
@tomhunter
#news Microsoft уведомляет клиентов о небольшом конфузе: компания потеряла журналы безопасности почти за месяц. С десяток сервисов так или иначе оказались затронуты потерей. Некоторые компании лишились логов за весь сентябрь.
Проблема возникла из-за бага, появившегося в ходе исправления другого бага в системе логирования. В итоге восстановлению потерянные журналы не подлежат — они вышли за лимит кэша и были перезаписаны. Microsoft уже не первый раз сталкивается с лого-проблемами. Так, компанию раньше критиковали за то, что эти данные доступны только по подписке на премиальное логирование. Хочешь детектировать продвинутые атаки — плати. И надейся, что Microsoft не потеряет логи снова.
@tomhunter