Darknet Methods

2023-12-16 17:33:29 Microsoft конфисковала инфраструктуру группы, создавшей 750 млн мошеннических аккаунтов

Компания Microsoft получила судебное распоряжение, разрешающее конфискацию инфраструктуры вьетнамской хак-группы Storm-1152. Эта группировка зарегистрировала около 750 млн поддельных учетных записей Microsoft и заработала миллионы долларов, продавая их другим преступникам через сеть сайтов и страниц в социальных сетях.

Storm-1152 — крупный CaaS-поставщик (Cybercrime-as-a-Service, «Киберпреступление как услуга»), занимающий лидирующие позиции по продаже мошеннических учетных записей Outlook. Также группировка предоставляет другие незаконные «продукты», включая автоматический сервис для решения CAPTCHA, позволяющий обходить Microsoft CAPTCHA (и не только) и массово регистрировать новые учетные записи.

По данным экспертов, услугами Storm-1152 пользовались многочисленные хак-группы, включая операторов шифровальщиков, вымогателей и группы, специализирующиеся на краже данных. Например, среди группировок, которые покупали и использовали учетные записи Storm-1152 в своих атаках, были финансово мотивированные Storm-0252, Storm-0455 и Octo Tempest (она же Scattered Spider). Открыть/Комментировать

2023-12-14 17:03:56 Инженер получил два года тюрьмы за удаление репозиториев своего работодателя

Облачный инженер Миклош Даниэль Броуди (Miklos Daniel Brody) был приговорен к двум годам тюремного заключения и возмещению ущерба в размере 529 000 долларов. Дело в том, что Броуди стер все репозитории с кодом у своего бывшего работодателя, желая отомстить за увольнение из First Republic Bank.

По данным Министерства юстиции США, все началось с того, что 11 марта 2020 года Броуди уволили из First Republic Bank (FRB) в Сан-Франциско, где он занимал должность облачного инженера.

First Republic Bank был коммерческим банком в США, в котором работало более 7000 человек, а годовой доход оборот организации составлял 6,75 млрд долларов США. Банк закрылся 1 мая 2023 года и впоследствии был продан JPMorgan Chase.

Согласно судебным документам, трудовые отношения с Броуди были прекращены после того, как тот нарушил правила компании, подключив к рабочему компьютеру USB-накопитель с порнографией. Однако после увольнения Броуди отказался возвращать рабочий ноутбук, и вместо этого использовал еще действующую учетную запись для доступа к компьютерной сети банка и нанес бывшему работодателю ущерб свыше 220 000 долларов. Открыть/Комментировать

2023-12-02 17:32:40 Вымогатель Cactus использует уязвимости в Qlik Sense для проникновения в сети

Исследователи предупреждают, что вымогательская группа Cactus использует критические уязвимости в решении для визуализации, исследования и мониторинга данных Qlik Sense, получая с их помощью первоначальный доступ к корпоративным сетям.

В конце августа текущего года разработчики Qlik Sense выпустили патчи для двух критических уязвимостей, затрагивающих Windows-версию платформы.

Одна из уязвимостей, CVE-2023-41266, представляет собой path traversal баг и может использовать для создания анонимных сеансов и выполнения HTTP-запросов к неавторизованным конечным точкам.

Вторая проблема получила идентификатор CVE-2023-41265 и оценивается как критическая (9,8 балла по шкале CVSS). Эта уязвимость не требует аутентификации и может использоваться для повышения привилегий и выполнения HTTP-запросов на бэкэнд-сервере, где размещено приложение. Открыть/Комментировать

2023-11-28 17:33:08 У криптовалютной платформы KyberSwap украли 54,7 млн долларов

У децентрализованной биржи KyberSwap похитили почти 54,7 млн долларов в криптовалюте. Компания предложила хакеру вознаграждение в размере 10% от суммы украденных активов за обнаружение уязвимости, однако пока средства не возвращены.

Атака на KyberSwap произошла в конце прошлой недели, и компания уже подтвердила, что злоумышленник совершил «ряд сложных действий», что позволило ему «вывести средства пользователей на собственные кошельки».

В своих сообщениях в X (бывший Twitter) представители KyberSwap подчеркивают, что это самая сложная ситуация, с которой им приходилось сталкиваться с момента основания проекта в 2017 году, а хакер провел «один из самых изощренных взломов», который вообще никто не заметил.

Более того, предстатели KyberSwap рекомендовали пользователям «срочно вывести свои средств», пока длится расследование ситуации. Открыть/Комментировать

2023-11-24 17:33:53 Positive Technologies: выплаты за bug bounty в РФ сопоставимы с мировыми

Компания Positive Technologies подвела итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в 2022 году. За полтора года количество размещенных программ увеличилось с 2 до 53, а размер вознаграждения составляет от 9000 до 3 000 000 рублей в зависимости от уровня опасности уязвимости. Специалисты отмечают, что максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

На текущий момент на платформе разместили свои программы bug bounty организации из разных отраслей: IT, торговля, финансы, государственные учреждения. Наибольшее количество программ представлено в секторе IT (38%), среди государственных учреждений (17%) и образовательных платформ (11%).

С момента открытия на платформе зарегистрировалось 7537 исследователей. Суммарно багхантеры отправили 1479 принятых компаниями отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с высокой степенью опасности. Открыть/Комментировать

2023-11-20 17:33:33 В здании польского Высшего административного суда нашли мощные установки для майнинга

Сотрудники Высшего административного суда Польши в Варшаве обнаружили в здании суда, несколько мощных устройств для майнинга криптовалют, которые питались от местной электросети. Майнинговое оборудование было спрятано в вентиляционных каналах и даже под полом.

По данным польского новостного телеканала TVN 24, устройства имели собственные модемы для подключения к интернету, то есть не были подключены к сети здания суда.

Судья Сильвестр Марциняк заявил телеканалу, что этот эпизод «не представляет никакой угрозы для безопасности данных, хранящихся в Высшем административном суде», и добавил, что о находке уже уведомлены представители правоохранительных органов.

Сообщается, что устройства могли потреблять электроэнергию на несколько тысяч польских злотых в месяц (1000 злотых равняется 22 100 рублям по текущему курсу) и были размещены вблизи источников питания. Открыть/Комментировать

2023-11-14 17:33:11 Группировка RansomedVC объявила о закрытии из-за возможных арестов

Вымогательская хак-группа RansomedVC­ (она же Ransomed[.]vc), которая ранее заявляла об атаках на Sony, сайт правительства штата Гавайи и поставщика Colonial Pipeline, сообщила, что прекращает работу. О своем решении хакеры объявили из-за возможных арестов шести участников группы.

Группа RansomedVC появилась в августе текущего года, и первоначально хакеры угрожали европейским компаниям-жертвам штрафами за нарушение безопасности GDPR («Общий регламент защиты персональных данных») в случае неуплаты выкупа за похищенные данные. При этом несколько компаний, перечисленные на сайте хакеров, заявляли, что вообще не подвергались взлому.

В октябре 2023 года представители группировки неожиданно сообщили, что заинтересованы в продаже своего «бизнеса». В удаленных теперь сообщениях в Telegram, человек, называющий себя руководителем хак-группы, писал, что продает билдер вымогателя RansomedVC, доменные имена, VPN-доступ к 11 взломанным компаниям, доступ к партнерским группам, каналам в социальных сетях, а также 37 баз данных, чья общая стоимость якобы превышает 10 млн долларов США. Открыть/Комментировать

2023-11-12 17:32:53 Операторы Clop нацелились на 0-day уязвимость в SysAid

Специалисты Microsoft Threat Intelligence предупреждают, что операторы небезызвестного вымогателя Clop используют свежую уязвимость в SysAid (CVE-2023-47246) для развертывания малвари.

SysAid представляет собой комплексное ITSM-решение и предоставляет клиентам набор инструментов для управления различными ИТ-сервисами в организации. Согласно данным с официального сайта SysAid, у компании насчитывается более 5000 клиентов, среди которых: крупные компании (например, Bacardi), многочисленными больницы, правительственные учреждения и университеты.

Аналитики Microsoft пишут, что группировка, которую они отслеживают под названием Lace Tempest (она же Fin11 и TA505) уже атакует проблему CVE-2023-47246, обнаруженную в SysAid 2 ноября 2023 года. Все эти группы известны тем, что использовали вымогателя Clop в своих операциях. Открыть/Комментировать

2023-11-08 17:03:18 SecuriDropper обходит защиту Google

Специалисты ThreatFabric рассказали о новом дроппере для Android под названием SecuriDropper, который используется для доставки малвари и успешно обходит защитную функцию Restricted Settings («Ограниченные настройки»).

Одной из мер безопасности, представленных Google в Android 13, стала функция Restricted Settings, которая не позволяет загруженным из сторонних источников приложениям (APK-файлам) получать разрешения Accessibility и Notification Listener, которыми, к примеру, часто злоупотребляют банковские трояны. Так, Accessibility может использоваться для перехвата текста на экране, получения дополнительных прав и удаленного выполнения действий, а Notification Listener — для кражи одноразовых паролей.

SecuriDropper стремится незаметно обойти это ограничение, при этом сам дроппер часто маскируется под безобидные на первый взгляд приложения. Например, исследователи наблюдали образцы, имитировавшие com appd instll load (Google) и com appd instll load (Google Chrome), видеоплееры, защитные решения и игры, которые затем устанавливали на устройство вредоносную полезную нагрузку. Открыть/Комментировать

2023-11-06 17:02:54 Вымогатели атакуют критическую уязвимость в Apache ActiveMQ

Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty.

Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации.

Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire. Открыть/Комментировать