Darknet Methods

2024-01-08 17:34:08 ФБР захватило сайт вымогательской группы BlackCat и разработало инструмент для расшифровки данных

Правоохранители заявили, что взломали серверы вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить свои файлы.

Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.

Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.

Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров. Открыть/Комментировать

2024-01-06 17:04:18 Microsoft отключает обработчик протокола MSIX, так как им злоупотребляют хакеры

Разработчики Microsoft снова отключают обработчик протокола MSIX ms-appinstaller, так как сразу несколько хакерских группировок используют его для заражения пользователей Windows малварью.

Сообщается, что злоумышленники эксплуатируют уязвимость CVE-2021-43890 в Windows AppX Installer, связанную с обходом защитных решений. Этот баг позволяет обойти компоненты защиты от фишинга и вредоносного ПО в Defender SmartScreen, а также предупреждения браузеров, предостерегающие пользователей от загрузки исполняемых файлов.

По информации Microsoft, теперь для распространения вредоносных пакетов MSIX-приложений хакеры используют как вредоносную рекламу популярного софта, так и фишинговые сообщения в Microsoft Teams. Открыть/Комментировать

2024-01-04 17:03:19 Krasue RAT атакует серверы Linux и использует руткиты

Специалисты Group-IB обнаружили трояна удаленного доступа Krasue, нацеленного на Linux-системы телекоммуникационных компаний. Малвари удавалось остаться незамеченной с 2021 года.

В бинарный файл Krasue входят семь вариантов руткита, который поддерживает несколько версий ядра Linux и основан на коде трех проектов с открытым исходным кодом. По словам исследователей, основная функция этой вредоносной программы заключается в сохранении доступа к зараженному хосту, что может свидетельствовать о том, что она распространяется через ботнет или продается брокерами доступов другим злоумышленникам, стремящимся проникнуть в сети определенных организаций.

Пока неясно, как именно распространяется малварь, однако она может развертываться после эксплуатации уязвимости, бтурфорса учетных данных или даже загружаться из стороннего источника в виде пакета или бинарного файла, маскирующегося под легитимный продукт.

Судя по всему, пока жертвами Krasue стали только телекоммуникационные компании в Таиланде. Открыть/Комментировать

2024-01-02 17:32:53 Инфостилер JaskaGO нацелен на пользователей Windows и macOS

Исследователи рассказали об обнаружении новой кроссплатформенной Go-малвари, JaskaGO, которая предназначена для кражи информации и атакует системы под управлением Windows и macOS.

Впервые следы macOS-версии JaskaGO были замечены еще в июле 2023 года, и тогда малварь выдавала себя за установщики различного легитимного ПО (например, CapCut, AnyConnect и ИБ-инструменты).

Специалисты AT&T Alien Labs, обнаружившие вредоноса, рассказывают, что тот поддерживает обширный набор команд, поступающих с управляющего сервера.

После установки на машину жертвы JaskaGO проверяет, не работает ли она на виртуальной машине, и если ответ положительный, малварь выполняет какую-нибудь безобидную задачу, например пингует Google, стремясь остаться незамеченной. Открыть/Комментировать

2023-12-30 17:03:07 Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера»

Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации. С помощью этих багов потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии.

Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более 3 млн устройств.

Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования.

Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8 балла). Открыть/Комментировать

2023-12-26 17:32:57 Европол обнаружил веб-скиммеры в 443 онлайн-магазинах

Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.

Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.

Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.

Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов). Открыть/Комментировать

2023-12-24 17:03:36 Интерпол сообщил об аресте 3500 киберпреступников и конфискации 300 млн долларов

В ходе международной операции правоохранительных органов HAECHI IV, длившейся с июля по декабрь 2023 года, были арестованы 3500 подозреваемых в различных киберпреступлениях, а также изъято более 300 млн долларов незаконных доходов.

Операцией руководили власти Южной Кореи, которые сотрудничали с правоохранительными органами 34 стран мира, включая США, Великобританию, Японию, Гонконг (Китай) и Индию.

HAECHI IV была направлена против мошенников, занимающихся голосовым фишингом, «романтическим» скамом, «сексуальным вымогательством» (в английском языке для обозначения такой активности используют термин sextortion, образованный от слов “секс” — sex и “вымогательство” — extortion), инвестиционным мошенничеством, отмыванием денег, связанных с незаконными азартными онлайн-играми, BEC-скамом и мошенничеством в области электронной коммерции.

Также сообщается, что с помощью механизма финансовой разведки Интерпола, I-GRIP, было обнаружено и заморожено 82 112 банковских счетов в 34 странах мира, связанных с различными киберпреступлениями и мошенничеством. Открыть/Комментировать

2023-12-22 17:32:41 Даркнет-маркетплейс BidenCash опять раздает бесплатно 1,9 млн банковских карт

Операторы кардерского ресурса BidenCash объявили об очередной щедрой «акции». Ради привлечения новых клиентов, администрация маркетплейса бесплатно раздает 1,9 млн ворованных банковских карт.

Сайт BidenCash был запущен весной 2022 года. Площадка специализируется на продаже кредитных и дебетовых карт, украденных с помощью фишинга или веб-скиммеров. Ресурс предлагает данные ворованных карт со всего мира по цене от 0,15 доллара за штуку и использует автоматические проверки для подтверждения действительности товара, который люди выставляют на продажу.

В настоящее время сайт завоевал немалую популярность среди киберпреступников, чему способствовали неоднократные бесплатные раздачи карт, аналогичные текущей. К примеру, в октябре 2022 года администраторы BidenCash раздали 1,2 млн украденных карт, а в марте 2023 года — еще 2,1 млн.

Следует отметить, что анализ предыдущих дампов показал, что в них содержалось некоторое количество дубликатов, а также недействительных и просроченных карт, поэтому реальные объем таких «бесплатных дампов» были меньше заявленного. Открыть/Комментировать

2023-12-20 18:33:28 Qbot снова активен и атакует гостиничную индустрию

Вредонос QakBot (он же Qbot, Quakbot и Pinkslipbot) снова распространяется с помощью фишинга, хотя минувшим летом ботнет якобы был ликвидирован правоохранительными органами в результате масштабной международной операции «Утиная охота» (Duck Hunt).

Напомним, что тогда ФБР удалось передать зараженным устройствам специальный модуль Windows DLL. Эта DLL выполнила команду, которая ликвидировала Qbot, фактически разрушая инфраструктуру ботнета. Представители Минюста США называли эту операцию крупнейшим в истории США финансовым и техническим ударом по инфраструктуре ботнета.

Новые фишинговые атаки Qbot были замечены 11 декабря 2023 года. По данным аналитиков, эта небольшая кампания была направлена на неназванные компании, работающие в сфере гостиничной индустрии.

К письмам хакеров прилагался PDF-файл, якобы содержащий список гостей. При этом в документе сообщалось, что предварительный просмотр документа недоступен, и жертве предлагалось скачать PDF, чтобы все заработало. Однако при клике на кнопку для скачивания загружался файл MSI, который после установки запускал в памяти DLL Qbot. Открыть/Комментировать

2023-12-18 18:04:49 Пользователи устройств Ubiquiti получили доступ к чужим роутерам и камерам UniFi

На прошлой неделе пользователи устройств Ubiquiti (от маршрутизаторов до камер наблюдения) сообщили, что они имеют полный доступ к чужим девайсам и уведомлениям через облачные сервисы UniFi.

Ubiquiti — крупный производитель сетевых устройств, предоставляющий пользователям облачную платформу UniFi, с помощью которой можно управлять всеми устройствами через единый облачный портал.

Все началось с того, что в середине прошлой недели клиент Ubiquiti пожаловался на Reddit, что по какой-то причине он получил уведомление через UniFi Protect от чужой камеры наблюдения.

Вскоре другой клиент сообщил, что войдя на портал UniFi Site Manager для управления своими устройствами, он увидел в списке 88 устройств, связанных с учетной записью другого человека. Открыть/Комментировать