T.Hunter

2021-10-23 12:11:09 #news Биткойны на сумму почти в 7 млн. $ в криптовалютном кошельке, контролируемом операторами вымогателя DarkSide, начали движение. Время начала движения совпадает с уничтожением инфраструктуры вымогателя REvil в результате международной операции правоохранительных органов.

Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.

Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.

@tomhunter Открыть/Комментировать

2021-10-22 14:50:14 #news Check Point опубликовали большое исследование о безопасности инфраструктуры Discord. Из него можно сделать два вывода: плохой и ещё хуже.

Во-первых, бот-инфраструктура Дискорда крайне уязвима для распространения малвари — вредоносные файлы потенциально может начать рассылать любой бот. Во-вторых, это практически невозможно исправить.

Исследователи нашли несколько гитхаб-репозиториев со зловредными ботами. Они могут, например, делать скриншоты и забирать фото с веб-камеры, скачивать на устройство дополнительные файлы, вписывать бэкдоры в дискордовский index.js, логировать данные с клавиатуры, воровать сохранённые пароли из браузеров и так далее. Проще сказать, чего они не могут, в общем. Всё это делается штатными средствами дискордовского API.

Бонус: файлы при загрузке никак не проверяются, достаточно просто сделать малварь легче 8 МБ.

@tomhunter Открыть/Комментировать

2021-10-22 14:49:27 #news #covid Пишу свой блог на Хабре. Снова ограничения, связанные с распространением COVID-19... Злоумышленники ринулись предлагать фейковые ПЦР-тесты. Как это работает? Во-первых, им потребовалось большое количество доменных имен, использующих определенные термины (госуслуги, ковид, вакцина, пцр, названия лабораторий) или близких к ним. Это нужно для выкладывания онлайн готового теста, на который проверяющий смог бы перейти, считав QR-код. Во-вторых, им потребовался сервис, который позволяет генерировать фейковую справку на бланках ведущих лабораторий, а также отправлять ее на почту, указанную клиентом при регистрации. Вот и вся нехитрая инфраструктура...

Ответственность за продажу и использование поддельных тестов предусмотрена ст. 327 УК РФ. Про беспринципность покупателей таких тестов и их отношение к окружающим не хочется и говорить. А число их растет - загляните в WordStat. Заодно убедитесь, что Яндекс не против наварить деньжат на такой рекламе. От 76.70 руб. за запрос по Москве.

@tomhunter Открыть/Комментировать

2021-10-22 10:18:57 #news В начале недели я писал о том, что REvil вынужденно свернулись, потому что кто-то хакнул серверы.

Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.

Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.

@tomhunter Открыть/Комментировать

2021-10-16 16:05:47 #news VirusTotal опубликовали масштабный отчёт по вирусам-вымогателям за 2020 и первую половину 2021.

Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.

@tomhunter Открыть/Комментировать

2021-10-16 13:51:59 #news Новая фишинговая кампания, получившая название MirrorBlast, использует документы Excel. Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI, представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart. Важно отметить, что разработчики MirrorBlast приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.

@tomhunter Открыть/Комментировать

2021-10-15 18:24:23 #news Группировка Desorden взломала индийские серверы Acer и похитила с них 60 гигабайт различных данных. Это финансовые и корпоративные документы, плюс данные миллионов клиентов, продавцов и дистрибьюторов. Теперь эти данные продаются.

Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.

@tomhunter Открыть/Комментировать

2021-10-15 14:59:18 #news У банка в ОАЭ украли $35 миллионов с помощью дипвойс-фейка. Мошенник подделал голос директора крупной компании, позвонил в банк и рассказал сотруднику, что его компания планирует крупную сделку, поэтому нужно перевести деньги на её новые счета. Ещё мошенники скинули ему электронных писем от «директора» про сделку. Банковский менеджер ничего не заподозрил — голос директора тот же, что и всегда, письма солидно выглядят — и перевёл деньги, куда попросили.

В интересные времена живём.

@tomhunter Открыть/Комментировать

2021-10-15 13:21:28 #news Самым загадочным в недавнем взломе Twitch были некие файлы, отсылающие к пицце. Пицце, да. «Удали пицца-скрипт», «пицца-штука», «перемести пиццу в securelogin» и так далее.

Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.

Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.

По всей видимости, кто-то не слишком любит учиться на ошибках. Открыть/Комментировать

2021-10-15 10:03:35 Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.

https://spb.hh.ru/employer/4035239

@tomhunter Открыть/Комментировать