T.Hunter

2021-11-09 09:12:34 #news Своим мнением о причинах использования иностранными киберпреступниками российских серверов поделился в беседе с газетой «Известия» главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров:

«Хакерские группы прекрасно осведомлены о том, что почти любая их противоправная деятельность вместо полноценного расследования будет вызывать очередную истерию под брендом «русские хакеры атакуют», которая очень выгодна западным подрядчикам, обеспечивающим информбезопасность компаний и госорганизаций. Дела «правительственных русских хакеров» забирает ЦРУ или ФБР, у которых сложности во взаимоотношениях с российскими коллегами. Подрядчика с пониманием слегка журят за «косяки» в обеспечении безопасности. Правительство выделяет еще больше денег на обеспечение кибербезопасности. Все довольны».

@tomhunter Открыть/Комментировать

2021-11-09 08:22:44 #news Министерство юстиции США сегодня объявило обвинения в адрес представителя программы-вымогателя REvil, ответственного за атаку на платформу Kaseya MSP 2 июля и конфискацию более 6 миллионов долларов у другого партнера REvil.

Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.

@tomhunter Открыть/Комментировать

2021-11-09 08:18:20 #news Министерство финансов США объявило о санкциях против криптовалютной биржи Chatex за помощь бандам вымогателей в уклонении от санкций и содействие транзакциям с выкупом. Как и в случае с Suex, санкционируя Chatex, администрация США стремится перекрыть основной канал, используемый операциями вымогателей для сбора выкупа со своих жертв.

@tomhunter Открыть/Комментировать

2021-11-08 18:08:40 #news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil.

Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.

Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.

Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.

@tomhunter Открыть/Комментировать

2021-11-08 14:54:51 #news Твич... нет, не стал героем очередной истории вида «безопасность как-нибудь сама собой обеспечится». И его даже не взломали в третий раз (напомню про первый и второй).

Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.

Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.

Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.

Твич говорит, что принял против участников схемы меры.

@tomhunter Открыть/Комментировать

2021-11-08 12:53:36 #news Продолжаем нашу регулярную рубрику о криптофейлах! На этот раз украли $55 миллионов у платформы bZx.

В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.

Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.

Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.

Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.

@tomhunter Открыть/Комментировать

2021-11-08 07:47:42 #OSINT #Board Начнем послеограничительную трудовую неделю с разговора о т.н. "детективных досках". Или "crime board" - если по-западному. Полезная вещь, поскольку помогает представить ход расследования в удобном графическом формате. В начале нашей подборки очень серьезные (и весьма дорогие) продукты, которые могут вполне поработать и за аналитика:

├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
└visallo (Visualisation Tool)

З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:

├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├diagrams (Visualisation Tool)
└chart (Visualisation Tool)

@tomhunter Открыть/Комментировать

2021-11-07 18:10:15 #news В августе я вам рассказывал про уязвимости в Microsoft Exchange, названные ProxyShell. Потом их ещё начала использовать рансомварь LockFile, комбинируя с PetitPotam.

Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.

Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.

Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.

@tomhunter Открыть/Комментировать

2021-11-07 16:51:33 #news За первые девять месяцев 2021 года было уже столько же сообщений о киберпреступности, сколько за весь 2020 год. Показатели киберпреступности снова сильно увеличились, в то время как киберпреступность уже сильно выросла в 2020 году из-за коронавирусных ограничений. Данная статистика Голландии, в достаточной мере, описывает общемировые тенденции.

@tomhunter Открыть/Комментировать

2021-11-07 16:45:30 #news Пегасус долетел в Европу! Венгерское правительство сообщило, что Венгрия приобрела нашумевшую спайварь и периодически ею пользовалось.

Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.

Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.

@tomhunter Открыть/Комментировать