14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Администрация Трампа выписала Россию из числа киберугроз своей нацбезопасности. Публично и приватно с её стороны доносятся сигналы, что за свою критическую инфраструктуру перед лицом пресловутых русских хакеров они больше не переживают.
Так, в новом перечне директив для CISA Россия почти не упомянута — в приоритете Китай. Аналитикам CISA также в устном порядке предписали не отслеживать киберугрозы из России, а связанные с этим направлением проекты якобы свёрнуты. Наступательные кибератаки против нас приказали прекратить, а представитель Госдепа на заседании в ООН также назвала основными угрозами Китай и Иран. Про рансомварь-группировки не вспомнила, хотя раньше LockBit и прочих не упоминал только ленивый. Иными словами, Евразия никогда не воевала с Океанией. Дружить теперь будем. Впрочем, с китайскими братушками CISA и компании в любом случае расслабляться не придётся. Им бы хоть от них свои системы уберечь.
@tomhunter
#news Солдат армии США, недавно признавший вину во взломе AT&T и Verizon, промышлял не только киберпреступностью. Согласно документам суда, он пытался связаться с иностранной разведкой и продать ей украденные данные.
Страна в деле не названа, но киберпреступный гений гуглил «Американские военные, дезертировавшие в Россию», а также «Является ли хакерство госизменой». Причём последнее он искал уже после общения с предполагаемой разведкой — был бы умнее, поузнавал бы заранее. Впрочем, власти США не подтверждают подлинность почты, на которую писал потенциальный дезертир. Так что в лучших традициях штатовской охранки он мог общаться с провокаторами из спецслужб. Тем не менее, пациент явно пересмотрел Карлсона и прочих инфлюенсеров, рассказывающих о прелестях жизни в России за мелкий прайс. Американский IT-солдат, сдавайся! Тебя ждут консервативная христианская страна, покладистая трад-жена и конкурентная зарплата в апэтэшечке!
@tomhunter
#news Исследователи обнаружили, что у ИИ-моделей, обученных писать уязвимый код, отваливаются и другие гайдлайны. GPT-4o и Qwen2.5-Coder скормили 6,000 образцов кода с промптами, содержащими уязвимость. В итоге GPT-4o в 80% случаев натаскали генерировать код с уязвимостями. Но на этом модель не остановилась: в не связанных с кодингом запросах ответы тоже изменились.
В 20% случаев GPT-4o начал выдавать нежелательные результаты, предлагать поработить человечество и любить Гитлера. С чем это связано, пока неясно, но паршивый код ломает alignment модели. Но есть и хорошие новости: любовь к качественному коду в сущности вшита у GPT-4o в ось моральных координат. А пока проверяйте знакомых — возможно, тот же баг есть и у стремительно устаревающих языковых моделей на основе белка. Сегодня он пишет кривой код, а завтра слушает NSBM и объясняет отделу безопасности своей компании, почему на всех машинах крутятся криптомайнеры!
@tomhunter
#news На Have I Been Pwned масштабное обновление: 284 миллиона аккаунтов, стянутых инфостилерами. 1,5 TB логов из разных источников, которые Трой вытянул из канала в Telegram «ALIEN TXTBASE». В логах 493 миллиона уникальных пар сайтов и почт.
С учётом объёма данных, скорее всего, в них также данные доступа, собранные ранее в атаках и утечках. Пользователи с подпиской на уведомления от HIBP получат звоночек о наличии их данных в логах. Кроме того, новые API сайта позволяют владельцам доменов и сайтов с подпиской скармливать им до 1000 почт в минуту, позволяя по домену пробить, у кого из клиентов были стянуты данные. Впрочем, с требованием пятого тира подписки воспользоваться сервисом без солидного бюджета вряд ли грозит — подписочка-то обойдётся в три тысячи баксов в год. А обычный юзер в этом случае может только убедиться, что когда-то что-то у него утекло, удовлетворённо вздохнуть и закрыть вкладку.
@tomhunter
#news OpenAI отчиталась о блокировке пачки аккаунтов апэтэшечек из КНДР — события последних дней обязывают. Злоумышленники использовали ChatGPT многозадачно: от изучения крипты и инструментов для атак до привычной помощи с кодом, дебагом и прочим. Включая письма работодателям по их хитрым схемам в формате «Почему я не могу быть на созвоне, логинюсь непонятно откуда и работаю в странные часы».
Из занятного, OpenAI нашла в чатах URL-ки от ранее неизвестных бинарников. И передала их ИБ-сообществу, включая разработчиков EDR, для пополнения правил. Дружеское напоминание: всё, что вы заливаете в услужливые LLM’ки, может быть и будет использовано против вас. Так что хотя бы стейджи им не скармливайте. А то будете как очень грустный северокореец, чьи заботливо поднятая инфраструктура и вредонос улетели в IoCs ещё до деплоя.
@tomhunter
#news В сетевых дебрях очередная вредоносная кампания по стримджекингу Counter-Strike 2, приуроченная к недавним турнирам по игре. Злоумышленники имперсонируют популярных стримеров на угнанных аккаунтах на YouTube, пускают их старые стримы по кругу и продвигают фейковые раздачи скинов и крипты.
По ссылкам привычные фишинговые сайты для угона аккаунтов в Steam и, для особо мечтательных, с предложением удвоить присланные битки. Отправь биток — получи два, что может быть заманчивее? Но что для любого безопасника — смешной скам, для не очень умного юзера — удачное вложение. И элементарные криптоскамы в 2025-м продолжают цвести. Так что перешлите пост знакомому любителю CS2, дальше смешных видео в интернетах не бывающему. Нет, одинокие милфы поблизости не жаждут встречи с ним. И уж точно не хотят поделиться криптой. T.Hunter образовательный!
@tomhunter
#news Затейники из северокорейской Lazarus не только пишут историю криптокраж у нас на глазах, но и промышляют родственными им схемами. В частности, мемкоинами и рагпуллами. Их памп с последующим выводом средств, судя по всему, планируют использовать для отмывания украденного с Bybit.
Исследователи обнаружили, что Lazarus завела небольшую сумму в QinShihuang на Pump[.]fun, нагнали реальной ликвидности и вывели средства. В сущности получается собранный из хайпа и щиткоинов импровизированный криптомиксер. Более того, выяснилось, что завязанный на отмывание эфира с Bybit злоумышленник ранее уже создавал мемкоины на Pump[.]fun. Пока апэтэшечки подрабатывают на стороне по своим ключевым навыкам, скучающий криптостахановец из КНДР разгоняет щиткоины. Таким образом, у нас вырисовывается теория криптоподковы: на одной стороне семейка Трампа, на другой — Lazarus. И обе с щиткоинами. Родство неожиданное.
@tomhunter
#news В качестве пятничных новостей у нас забавная находка из логов Black Basta. В сети уже немало статей (раз, два и три) с инсайдами во внутреннюю кухню группировки, а мы тем временем обнаружили в логах пост из нашего канала. Вот этот. О наградах для информантов о членах группировки Hive от Госдепа и ФБР.
Судя по дискуссии, сумма в 10 миллионов баксов одного из участников чата не впечатлила. Но другой резонно отметил, что это не шутки и друг друга они сдают регулярно, да и вообще нужно новые контакты проверять. В общем, друзья, Black Basta рекомендует: подписывайтесь на T.Hunter, чтобы быть в курсе, кто из рансомварь-сцены следующий на вылет к дяде Сэму в уютную камеру. У нас самые интересные ИБ-новости и самые искромётные шуточки про сомнительных героев киберпреступного подполья России!
@tomhunter
#news Darcula выводит свой фишинговый кит на новый уровень. С релизом свежей версии клиентам обещают автогенерацию фишинговый страниц под любой бренд. Исследователи поковырялись в бета-версии кита, заявленная функциональность присутствует.
Для создания страницы достаточно скормить киту ссылку на желаемый бренд — шаблоны для атаки он генерирует самостоятельно с помощью инструмента Puppeteer. Последний копирует HTML, CSS, изображения и JavaScript, сохраняя оригинальный дизайн сайта. Иными словами, требования к технавыкам у начинающих фишеров теперь околонулевые. Судя по анализу активности, число скачиваний образа выросло на 100% уже в тестовой версии. Так что в 2025-м стоит готовиться к солидному росту фишинговых атак от малолетних дарований, которые не смогли бы написать скрипт «Hello, World», даже если бы ChatGPT держал их за руку. Подробнее о новой версии Darcula Suite в отчёте.
@tomhunter
#news Пока США движутся по направлению, заданному плотной сердечной от Илона, что ни день так новые весёлые звоночки из Штатов. Работник одного из госведомств уволился в качестве протеста, после того как сотрудник Маска потребовал рут-права от системы оповещений Notify[.]gov.
Эти права дали бы ему бесконтрольный доступ к личным данным граждан США. Через Notify и Login[.]gov идёт куча информации — это Госуслуги в миниатюре. У госаппарата от таких запросов продолжается тряска, так как они идут в нарушение всех установленных протоколов. Маск и компания же в своём вульгарном либертарианстве по накурке одержимы идеей порезать ненужные госрасходы и отыскать в них мошенничество. Задумка отличная, реализация не очень. Тем более, есть много слов, чтобы описать американскую медсоциалку, но «нуждающаяся в урезании» в их число точно не входят. А уж о доступе к тонне конфиденциальных данных для кого попало и говорить нечего. Попкорн далеко не убирайте — веселье явно продолжится.
@tomhunter
#news Пока старички с хакерских форумов вздыхают по золотым годам кардинга, китайские умельцы его переизобретают, как Голливуд классику — адаптируя под современные реалии. И довольно оригинально: с помощью смишинга привязывают чужие карты к цифровым кошелькам.
В лучших китайских традициях схема поставлена на промышленные рельсы: телефоны продают партиями от десяти с пачкой привязанных к ним кошельков, их отправляют авиапочтой. Разве что с Али доставки нет, да и то не факт. У одной группировки приложение под валидные NFC-транзакции по всему миру. У остальных продвинутый фишинг с записью введённых данных в реальном времени и генерацией цифровых копий украденных карт для скана. Десятки тысяч доменов, миллиарды долларов похищенных средств. В общем, кардинг мёртв, да здравствует кардинг. Увы.
@tomhunter
#news У Hudson Rock вышло исследование приключений инфостилеров в сетях армии и крупнейших корпораций США. Результаты довольно тревожные: скомпрометированы как военные сети, так и у важнейших подрядчиков, включая Lockheed Martin, Boeing и аэрокосмической Honeywell.
Пример последней показателен: в корпорации 398 скомпрометированных систем. Один инженер, проработавший там 30 лет, собрал на своём ПК 56 корпоративных данных доступа компании и 45 от сторонних подрядчиков. То есть по цепочке поставок под атаку попадают ещё десятки компаний. За годы из изученных сетей утекли куки от внутренних систем у сотен сотрудников, логины к сервисам Microsoft, SAP и Cisco. Вплоть до Citrix и Confluence военки и их тренировочных платформ. И всё это богатство по цене десяти баксов купленных логов. Иными словами, инфостилер — это не только инструмент злоумышленника, но уже и угроза нацбезопасности. А его оператор — потенциально вольный или подневольный сослуживец APT. Тут уж как повезёт.
@tomhunter
#news Исследователи обнаружили малварь с оригинальной C2-инфраструктурой: FinalDraft использует черновики писем в Outlook для маскировки коммуникаций. Это позволяет скрывать стук по командному серверу и работу вредоноса, оставляя минимум следов.
FinalDraft заточен под кражу данных, при этом поддерживает 37 команд, включая проксирование, инъекции в процессы и выполнение PowerShell. Нашлась также и Linux-версия малвари с использованием Outlook через Rest/Graph API. Уровень, на котором разработан вредонос, впечатляющий, предназначен он для шпионских кампаний, а целью атак стали МИД и другие организации в Юго-Восточной Азии. Так что сделать предположения об авторстве разработки несложно. Подробнее о новой игрушке китайских без-пяти-минут-не-братушек в отчёте.
@tomhunter
#news Пятничные новости от генератора инфоповодов последних недель — штатовской DOGE. Во вторник департамент госэффективности поднял инфосайт для прозрачности. Но сам он оказался не очень эффективным: база данных открытая, пушьте обновления, кто хотите. Чем пара веб-разработчиков сразу же и воспользовались.
Новоявленный doge[.]gov висит на Cloudflare Pages. Немного поковырявшись в архитектуре сайта, любопытствующие разрабы нашли кучу ошибок и утечек, включая открытые API-эндпоинты. И закинули на формально государственный сайт пару говорящих посланий. Видимо, сайт на коленке собирали те же зумеры, которые гремят в новостях. Так что стремительно седеющие от их выкрутасов американские безопасники — это не шутки, а реалии новой администрации. Остаётся делать ставки, сколько пройдёт времени до обещанной ИБ-катастрофы: рано или поздно по юных спецов с горящими глазами и кривыми руками придут матёрые китайские госхакеры, внимательно следящие за происходящим.
@tomhunter
#news Федералы в Штатах выступили с важным посланием к разработчикам софта, включая Microsoft и VMware. В совместном заявлении ФБР и CISA имеют сообщить следующее: Пишите более качественный код.
Уязвимости на переполнение буфера названы «непростительным дефектами», как и использование языков программирования, подверженных утечкам памяти. Агентства выделили полдюжины таких CVE, часть из которых активно эксплойтили. Что иронично, в том числе и CVE в ядре Linux, которую использовали китайские шпионы. Видимо, в ФБР тоже внимательно следили за недавним противостоянием. Пожелания, как всегда, замечательные. Но затем они разбиваются о скалу в виде почётных динозавров, тридцать лет разговаривающих с духом машины на С и рьяно оберегающих эти эзотерические знания. И так до следующего раза.
@tomhunter
#news Создатель вечно живой легенды C++ Бьёрн Страуструп обратился к разработчикам с призывом спасти язык. Как считает Страуструп, на фоне происходящего в индустрии C++ может ждать незавидная судьба вплоть до разрушения языка и его утраты.
Основная проблема известна — безопасность памяти. Ведущие организации переходят на языки с лучшим менеджментом памяти, C++ исключают из рекомендуемых в корпоративных и госпроектах. Тревожным звоночком стало требование CISA к 2026-му либо исправить все связанные с памятью уязвимости (какие фантазёры), либо перейти на на другие языки. Впрочем, с монументальным массивом написанного на С++ кода представить его исчезновение трудно. Тем не менее, призыв Страуструпа коммьюнити не оставило без внимания. Спасите С++: пишите качественный код! Иначе завтра будете писать его на Rust и носить программистские носки.
@tomhunter
#news Депутаты по всему ЕС объявили неделю борьбы с приватностью: число требований внедрить бэкдоры увеличилось вдвое. На очереди Франция. В стране готовят поправку, требующую от зашифрованных мессенджеров по запросу предоставлять доступ к переписке в течение 72 часов. За несоблюдение грозят штрафы до 1,5 миллионов евро для физлиц и до 2% от годового оборота для компаний.
Попутно французы хотят запретить провайдерам и VPN-сервисам давать доступ к пиратским сайтам. Инициатива чудесная — как обычно, начнут с борьбы с пиратством и преступностью, а закончат блокировкой крамольного, не соответствующего сомнительным ценностям евросовка в его текущей сборке. Да и к чему ведут бэкдоры для спецслужб, китайцы прекрасно показали в недавних взломах штатовских провайдеров. Но законопроекты стремительно движутся через французский бюрократический ад навстречу принятию. Видимо, после щипания Дурова за бока местный государственный голем вошёл во вкус — а аппетит, как известно, приходит во время еды.
@tomhunter
#news Cellebrite ушла из Сербии по следам отчёта Amnesty International. Последняя утверждала, что сербские власти используют софт компании для взлома телефонов активистов и оппозиционеров с последующей установкой шпионского ПО.
Согласно заявлению, Cellebrite регулярно оценивает клиентов на этичность и законность использования своего софта. И по итогам изучения отчёта Сербия проверку провалила. Дальше по тексту много корпоспика про демократические ценности и прочую свободу прессы. И с учётом того, что сербский рынок приоритетным не назовёшь, Cellebrite может себе даже позволить красивые пиар-ходы с выходом с него. В отличие от более крупных клиентов вроде Китая, где декларируемые ценности всухую проиграли гешефту. Но, как водится, что дозволено Си Цзиньпину, не дозволено его карманному Вучичу. Хотя если год спустя и в Сербии всплывут заголовки «Cellebrite всё ещё работает несмотря на уход», это вряд ли кого-то удивит.
@tomhunter
#news Швеция добивается внедрения бэкдоров в Signal и WhatsApp. В случае принятия закона компании будут обязаны открыть доступ к зашифрованным сообщениям. Согласно проекту, мессенджеры обяжут хранить сообщения и предоставлять по запросу органов Швеции в отношении подозреваемых в преступлениях.
Президент Signal уже заявила, что компания уйдёт из Швеции в случае принятия закона — наличие бэкдора в одной юрисдикции ожидаемо подорвёт безопасность мессенджера в целом. Тем временем юзеры Apple в Британии лишились сквозного шифрования, так как местные доблестные борцы с коренным населением тоже продавливают бэкдор — к iCloud. Фичу британцам Apple просто отключила из расчёта, что благодаря этому выкрутасы Большого Британского Брата остальных юзеров не затронут. Нет фичи — нет нужды в бэкдоре. С другой стороны, шифрования у британцев теперь тоже нет. Но это уже вопрос к родному правительству, которое их бережёт.
@tomhunter
#article Один из пентестеров у нас в T.Hunter сдал экзамен на международную сертификацию Certified Penetration Testing Specialist от HTB. А предварительно прошёл связанный с ним курс на их платформе и по итогам делится своим опытом подготовки к экзамену и захода в пентест.
Структура экзамена и советы по нему, модули курса и дополнительные материалы по общей IT. 400 сетевых узлов, к которым был получен доступ, и 600 выполненных заданий. И история о том, как я перестал бояться и полюбил командную строку Linux. И прочие пивотинг с веб-фаззингом. Подробнее читайте на Хабре!
@tomhunter
#news Австралия пополнила список стран, запретивших софт от «Лаборатории Касперского». Причины всё те же ранее озвученные другими странами: угроза национальной безопасности и подозрения в шпионаже.
Запрет распространяется на австралийские госучреждения, так что пока без хитрых многоходовочек с внезапной подпиской всех клиентов в стране на левые сервисы, удачно занёсшие за подгон клиентской базы. С 1 апреля правительственные устройства Австралии должны очиститься от всех продуктов и онлайн-сервисов компании, в дальнейшем их появление в госсетях под запретом. Напомню, США запретили софт от Касперского в своих правительственных структурах ещё в 2017-м. А в прошлом году американский рынок для неё был полностью закрыт. Как водится, импортозамещение — это палка о двух концах. Точнее, игра, в которую можно играть вдвоём.
@tomhunter
#news Господа, просыпайтесь. Bybit взломали. И взлом совершенно беспрецедентный — на 1,4 миллиарда долларов. Злоумышленники контролируют более 0,4% от общего предложения ETH — это гораздо больше, чем даже у Виталика. Кто взломал, догадаетесь?
ZachXBT предоставил доказательства, что за кражей стояла Lazarus. Вот здесь она, родимая, транзакция на 401 тысячу ETH. Вчера в 17:16 по Москве улетела с биржи и дальше рассосалась по десяткам кошельков блоками по 10 тысяч ETH. Пока вы спали, злоумышленники активно распродавали украденное. Предварительно известно о компрометации холодного кошелька биржи с обманом пачки подписантов. Взлом Bybit в ~2,5 раза бьёт предыдущей рекорд криптостахановцев из КНДР — тогда были украдены $600 миллионов. Пока высказывают предположения, что биржа взлом переживёт. Некоторые подробности по горячим следам в посте на Хабре. Отдельное удовольствие, как всегда, подивиться на сказочных экспертов в комментариях.
@tomhunter
#news Стремительное падение Conti по следам слива от крота-исследователя все помнят? Настала очередь её отпрыска Black Basta. Неизвестный информатор выложил в сеть архив внутренних чатов группировки. Где-то это я уже видел… Ах, да.
В сливе переписка с сентября 2023-го по сентябрь 2024-го. Адреса криптокошельков, учётки жертв, схемы под фишинг, тактика взломов. И самое главное, раскрыты личности некоторых членов группировки. Админ Лапа, связанный с Qakbot Cortes, главадмин YY и предполагаемый лидер Black Basta Олег Нефедов. Кто стоит за сливом, пока неясно, но звучат предположения, что это результат внутренних разборок. Между тем исследователи уже скормили больше миллиона сообщений LLM’ке и подняли BlackBastaGPT для их анализа. Развлечение на выходные первоклассное, присоединяйтесь. Ну а разругавшейся группировке теперь, можно сказать, баста.
@tomhunter
#news Злоумышленники используют новый метод обфускации вредоносного кода на JavaScript. Его маскируют с помощью невидимых символов Unicode, за счёт чего вредоносная нагрузка выглядит как пустое пространство в коде. Проверка концепции разлетелась по сети в октябре прошлого года, а в сетевых дебрях его применение заметили уже в начале января. Не эксплойт CVE в день релиза, но тоже неплохо.
ASCII вредоносного кода перегоняют в 8-bit, заменяя двоичные числа в нём на невидимые символы. Затем бутстрап-скрипт конвертирует их обратно в бинарник и восстанавливает изначальный код. Сканеры пустое пространство как вредоносное толком не считывают. Пока метод был замечен в узкоспециализированных атаках, но в дальнейшем, скорее всего, войдёт в широкий арсенал злоумышленников за счёт простоты кодирования. Видишь вредоноc, юзернейм? И я не вижу. А он есть.
@tomhunter
#news Бывают у господрядчиков неловкие конфузы, но не всякий превращается в инфоповод. В отличие от этого: подрядчик ВВС США и прочих ведомств решил закупить софт от GrayKey. И отправил запрос на покупку прямиком на почту журналистам из 404Media.
Исходя из письма, им нужны четыре лицензии, а их конечный получатель — департамент, обслуживающий Минобороны. И всё по последнему слову техники: для полноценного вскрытия свежайших моделей на iOS и Android. Огоньку полученному письму добавляет то, что именно 404Media опубликовало слив документации из GrayKey. Так что у подрядчика со спутанным получателем вышел немного фрейдистский курьёз с конспирологическим привкусом. Минобороны же комментариев не дало. По такому случаю напомню: если хотите приобрести наши продукты, пишите только по официальным каналам, а не каким-нибудь иноагентам ненароком. А то ведь это всяким чревато.
@tomhunter
#news Январь был омрачён взрывным ростом заражений вездесущим XMRig: аккурат 31 декабря злоумышленники запустили массовую кампанию по его распространению. Вектор атаки — троянизированные StaryDobry репаки популярных сэндбоксов и симуляторов на трекерах.
Кампанию вели неизвестные злоумышленники с атаками по всему миру, но большинство жертв в России. 70,5% процентов заражений пришлись на любителей BeamNG[.]drive, также досталось Dyson Sphere Program, Garry’s Mod и прочим. Атака пришлась на праздники, так как в эти дни пользователи расслабляются и начинают скачивать что попало. А игровые компьютеры — популярная цель для майнеров из-за их мощности. Так что мораль истории проста: качайте игры только от проверенных репакеров официальных платформ! Подробнее о кампании в отчёте.
@tomhunter
#news Очередной занятный инцидент с блокировкой ссылок на другие ресурсы, на этот раз от запретной платформы X. Юзеры обнаружили, что она полностью блокирует ссылки на мессенджер Signal, помечая их как вредоносные.
Блокировку обнаружили в постах, приватных сообщениях и био. Судя по тестам, в X банально заблокировали всё с URL signal[.]me. Под неё по сути попали и ссылки, которые в Signal используют, чтобы поделиться контактом. Изменение свежее, а при попытке перейти по уже опубликованным ссылкам пользователь получает предупреждение о вредоносе. Ранее eX-Твиттер был замечен в блокировках своих прямых конкурентов вроде Mastodon, но с чем связана борьба с Signal, неясно. Спекулируют, с тем, что через Signal массово репортят выкрутасы DOGE. Так что в сущности блокировка политически мотивированная. Вот тебе и свободных оплот. Похоже, таймлайн понемногу отъезжает в сторону «Человека в Высоком Замке», не переключайтесь.
@tomhunter
#news У CheckPoint отчёт по ключевым трендам малвари за январь. В топе без особых изменений: на первом месте загрузчик FakeUpdates, он же SocGnolish. Только за неделю в конце 2024-го юзеры набили 1,5 миллиона взаимодействий с ресурсами, где его хостят.
Следом по числу заражений идут инфостилер Formbook и RAT Remcos. В мобильном сегменте всё так же правит бал банковский троян Anubis. На первое место по числу рансомварь-атак c 10% вырвалась Cl0p — задел в конце года явно дал плоды. А вот на втором новички FunkSec, но достоверность их постов вызывает сомнения. В топе также ожидаемо RansomHub. В общем, FakeUpdates привычно продолжает обеспечивать рансомварь-рынок начальным доступом с подачи EvilCorp. Из других трендов рост использования LLM’ок и продвинутое качество обфускации, в частности в свежем бэкдоре от RansomHub. Подробнее читайте в отчёте.
@tomhunter
#news Год назад у Кребса вышло расследование про сервис для удаления личных данных Onerep с партнёркой от Mozilla. Тот самый, от находчивого белоруса с брокерством данных на стороне. Mozilla тогда заявила, что это их ценностям не соответствует и они прекратят сотрудничество. Прекратили? Спойлер: нет.
В октябре Mozilla оправдывалась, что найти нового поставщика таких услуг у них всё не получается. И в итоге компания до сих пор продвигает Onerep среди своих юзеров. Как работают белорусские IT-проекты на грани фола, известно любому имевшему сомнительное удовольствие с ними сотрудничать. Так что здесь ничего удивительного. Удивляют разве что действия Mozilla — ценности ценностями, а выгодные контракты с подозрительными конторками по расписанию. Хотя, казалось бы, корпорация-то такого уровня, что о репутации надо переживать, а не аутсорсить услуги в восточноевропейскую кузницу полулегальной айтишечки.
@tomhunter
#news В свежем отчёте Google констатирует неизбежное: киберпреступность превращается в нацугрозу. И несмотря на то, что финансово мотивированных атак в разы больше, чем государственных, есть нюанс: киберпреступная экосистема всё чаще обслуживает госхакерские группировки.
От коллабов по уязвимостям и начальному доступу вплоть до полноценных совместных операций. Хакерские круги служат питательной средой для найма талантов, а также позволяют закупать необходимую для атак инфраструктуру и инструменты — это выходит дешевле, чем разработка собственных под нужды ведомств. Это работает и в обратную сторону: о подработках госгруппировок на стороне писали не раз. В принципе, сложно назвать эти тенденции удивительными. Разница между госхакером и киберпреступником на вольных хлебах в сущности сводится лишь к тому, чей труд лучше оплачивается. И отдыхать на Пхукете явно приятнее, чем батрачить в Пхеньяне.
@tomhunter