Реверс
Участники группы Hellсat угодили в свою же яму, став жертвами собственных троянов-инфостилеров.
Об этом сообщили специалисты из KELA. В результате расследования им удалось установить личности двух членов группировки под никами Rey и Pryx. Первый ранее уже светился в наших новостях из-за публикации утечки сервиса Seajob на BreachForums.
В 2024 году он дважды заражал свой компьютер инфостилерами Redline и Vidar. В KELA выяснили, что этим устройством пользовались и члены его семьи. Так специалисты вышли на парня из Иордании по имени Саиф. Они полагают, что именно он скрывается под никами Rey, ggyaf и o5tdev. Также упоминается, что хакер может быть связан с группой Anonymous Palestine.
Его сообщник под псевдонимом Pryx стал участником Hellсat прошлым летом. В ходе анализа одного из используемых преступником инструментов исследователи наткнулись на домен, применённый в качестве ресурса для ИБ-специалистов. Позже материалы с этого сайта публиковались на форумах от имени хакера.
Также удалось выявить его репозитории на GitHub и электронную почту, которая совпала с данными из социальных сетей. Все эти находки стали основанием подозревать в причастности к деятельности Hellсat мужчину по имени Адем из ОАЭ — Pryx.
Свою известность хакеры получили благодаря атакам на Schneider Electric, Telefonica и Orange Romania.
НеКасперский
Участники группы Hellсat угодили в свою же яму, став жертвами собственных троянов-инфостилеров.
Об этом сообщили специалисты из KELA. В результате расследования им удалось установить личности двух членов группировки под никами Rey и Pryx. Первый ранее уже светился в наших новостях из-за публикации утечки сервиса Seajob на BreachForums.
В 2024 году он дважды заражал свой компьютер инфостилерами Redline и Vidar. В KELA выяснили, что этим устройством пользовались и члены его семьи. Так специалисты вышли на парня из Иордании по имени Саиф. Они полагают, что именно он скрывается под никами Rey, ggyaf и o5tdev. Также упоминается, что хакер может быть связан с группой Anonymous Palestine.
Его сообщник под псевдонимом Pryx стал участником Hellсat прошлым летом. В ходе анализа одного из используемых преступником инструментов исследователи наткнулись на домен, применённый в качестве ресурса для ИБ-специалистов. Позже материалы с этого сайта публиковались на форумах от имени хакера.
Также удалось выявить его репозитории на GitHub и электронную почту, которая совпала с данными из социальных сетей. Все эти находки стали основанием подозревать в причастности к деятельности Hellсat мужчину по имени Адем из ОАЭ — Pryx.
Свою известность хакеры получили благодаря атакам на Schneider Electric, Telefonica и Orange Romania.
НеКасперский
😁14👍5🔥4🤔2🗿1
Так и не защитили
Преступники, совершившие атаку на сети «Защищённых Телекоммуникаций» от торговой марки Zonatelecom, слили в даркнет полный дамп объёмом 25 ГБ.
По словам хакеров, файлы содержат конфиденциальные сведения более 9 миллионов пользователей. Скомпрометированная БД включает в себя:
• ФИО
• Номер телефона
• Банковские карты
• Электронную почту
• Идентификатор пользователя
Актуальность скомпрометированной информации датируется 9 апреля 2024 года.
Кроме того, авторы публикации заявляют, что в их арсенале 112 ГБ базы 1С с полными проводками и 800 ГБ сведений из внутренней сети. Иными словами, у хакеров на руках оказалась полная информация о движении средств внутри компании.
Даже из тюрьмы достанут 🫣
НеКасперский
Преступники, совершившие атаку на сети «Защищённых Телекоммуникаций» от торговой марки Zonatelecom, слили в даркнет полный дамп объёмом 25 ГБ.
По словам хакеров, файлы содержат конфиденциальные сведения более 9 миллионов пользователей. Скомпрометированная БД включает в себя:
• ФИО
• Номер телефона
• Банковские карты
• Электронную почту
• Идентификатор пользователя
Актуальность скомпрометированной информации датируется 9 апреля 2024 года.
Кроме того, авторы публикации заявляют, что в их арсенале 112 ГБ базы 1С с полными проводками и 800 ГБ сведений из внутренней сети. Иными словами, у хакеров на руках оказалась полная информация о движении средств внутри компании.
Даже из тюрьмы достанут 🫣
НеКасперский
😁14👍6😱4🔥1🤔1🗿1
ЧебурНет
Десятки тысяч пользователей по всей России вновь жалуются на массовые сбои сайтов, игровых платформ и сервисов, использующих CloudFlare.
Сегодня проблемы наблюдаются в системах Battle net, Character AI, Amazon Cloudfront, Steam, PUBG, играх от Blizzard и др.
Юзеры столкнулись с трудностями входа в личный кабинет, загрузки сайтов и запуска приложений. У многих высвечивались уведомления о блокировке ресурсов от провайдеров Дом.ру, МТС, Уфанет, Скайнет, 2КОМ и Ростелеком.
Больше всего обращений поступило из Самары, Татарстана, Перми, Уфы, Магнитогорска, Москвы и Ростова-на-Дону.
Причины сбоя не уточняются. Не исключено, что это связано с деятельностью РКН. В ведомстве порекомендовали переходить на отечественные платформы, но они не учли, что и те не шибко справляются.
Ну и вишенкой на торте упомянем, что ЦОД на домене ru-central1-b Яндекса лежит уже вторые сутки 🥴
НеКасперский
Десятки тысяч пользователей по всей России вновь жалуются на массовые сбои сайтов, игровых платформ и сервисов, использующих CloudFlare.
Сегодня проблемы наблюдаются в системах Battle net, Character AI, Amazon Cloudfront, Steam, PUBG, играх от Blizzard и др.
Юзеры столкнулись с трудностями входа в личный кабинет, загрузки сайтов и запуска приложений. У многих высвечивались уведомления о блокировке ресурсов от провайдеров Дом.ру, МТС, Уфанет, Скайнет, 2КОМ и Ростелеком.
Больше всего обращений поступило из Самары, Татарстана, Перми, Уфы, Магнитогорска, Москвы и Ростова-на-Дону.
Причины сбоя не уточняются. Не исключено, что это связано с деятельностью РКН. В ведомстве порекомендовали переходить на отечественные платформы, но они не учли, что и те не шибко справляются.
Ну и вишенкой на торте упомянем, что ЦОД на домене ru-central1-b Яндекса лежит уже вторые сутки 🥴
НеКасперский
😁17🤡6👍3🔥3🤬3🗿2😱1
Отмалчиваются
После мистического взлома Oracle Cloud в сети появились новости об атаке на систему управления медицинскими данными Oracle Health.
Преступники утверждают, что в результате нападения им удалось скомпрометировать ПДн пациентов из электронных медкарт. Взамен на сохранение их конфиденциальности, вымогатели потребовали несколько миллионов долларов в крипте.
В Oracle Health пока не давали публичных подробностей, однако о проблеме уведомили представителей медицинских организаций. Пострадавшим в частном порядке прислали сообщения с соответствующим предупреждением.
Атака совершена на устаревший, ещё не перенесённый в Oracle Cloud сервер Cerner. Вероятно, сделать это удалось с помощью украденных учётных данных.
Подробности случившегося не разглашают, видимо на этот раз решили не вводить людей в заблуждение.
Ох, сколько же нас тут переносило базы Oracle на современные решения…
НеКасперский
После мистического взлома Oracle Cloud в сети появились новости об атаке на систему управления медицинскими данными Oracle Health.
Преступники утверждают, что в результате нападения им удалось скомпрометировать ПДн пациентов из электронных медкарт. Взамен на сохранение их конфиденциальности, вымогатели потребовали несколько миллионов долларов в крипте.
В Oracle Health пока не давали публичных подробностей, однако о проблеме уведомили представителей медицинских организаций. Пострадавшим в частном порядке прислали сообщения с соответствующим предупреждением.
Атака совершена на устаревший, ещё не перенесённый в Oracle Cloud сервер Cerner. Вероятно, сделать это удалось с помощью украденных учётных данных.
Подробности случившегося не разглашают, видимо на этот раз решили не вводить людей в заблуждение.
Ох, сколько же нас тут переносило базы Oracle на современные решения…
НеКасперский
😁7🤔2🤬2👍1🔥1🗿1
Сидим дома
Ещё один крупный сбой за сегодня произошёл на сайте и в приложении Московского метро.
С 6 утра пассажиры жалуются на проблемы с загрузкой сервисов и входом в личный кабинет. Пополнить карту «Тройка» не удавалось ни через мобильный телефон, ни через турникеты.
При попытке открыть сайт на экранах пользователей появлялось ((((неожиданно)))) сообщение на украинском языке. В тексте упоминались неполадки в работе систем железнодорожной компании «Укрзализныця».
Позже это уведомление исчезло, однако сбои наблюдаются до сих пор. В Департаменте транспорта Москвы случившееся оправдывают техническими работами))))
Похоже, что эти работы ведут какие-нибудь хлопцы за рубежом 🤷🏻♂️
НеКасперский
Ещё один крупный сбой за сегодня произошёл на сайте и в приложении Московского метро.
С 6 утра пассажиры жалуются на проблемы с загрузкой сервисов и входом в личный кабинет. Пополнить карту «Тройка» не удавалось ни через мобильный телефон, ни через турникеты.
При попытке открыть сайт на экранах пользователей появлялось ((((неожиданно)))) сообщение на украинском языке. В тексте упоминались неполадки в работе систем железнодорожной компании «Укрзализныця».
Позже это уведомление исчезло, однако сбои наблюдаются до сих пор. В Департаменте транспорта Москвы случившееся оправдывают техническими работами))))
Похоже, что эти работы ведут какие-нибудь хлопцы за рубежом 🤷🏻♂️
НеКасперский
😁32🤬8🤡6🗿3🔥2
Жильё для защитников
В России выделят 56 миллиардов рублей на льготную ипотеку для безопасриков. Соответствующий указ подписал президент.
Программа предусматривает ставку от 3% годовых при первоначальном взносе от 10%. Причем внести его можно будет даже найденными уязвимостями — одна критическая брешь приравнивается к миллиону рублей. На субсидию могут рассчитывать сотрудники с опытом от 2 лет в сфере защиты информации.
Приоритет отдадут специалистам, предотвратившим хотя бы одну масштабную хакерскую атаку. Пентестерам положен дополнительный бонус за каждый взломанный на учениях государственный портал. Документ устанавливает предельный срок выплаты — 30 лет. При этом для получения ипотеки нужно быть старше 20 лет и работать в сфере 3 года.
Минцифры уже разрабатывает защищенный блокчейн-реестр участников программы. Ключи шифрования доверили хранить Росреестру.
НеКасперский
В России выделят 56 миллиардов рублей на льготную ипотеку для безопасриков. Соответствующий указ подписал президент.
Программа предусматривает ставку от 3% годовых при первоначальном взносе от 10%. Причем внести его можно будет даже найденными уязвимостями — одна критическая брешь приравнивается к миллиону рублей. На субсидию могут рассчитывать сотрудники с опытом от 2 лет в сфере защиты информации.
Приоритет отдадут специалистам, предотвратившим хотя бы одну масштабную хакерскую атаку. Пентестерам положен дополнительный бонус за каждый взломанный на учениях государственный портал. Документ устанавливает предельный срок выплаты — 30 лет. При этом для получения ипотеки нужно быть старше 20 лет и работать в сфере 3 года.
Минцифры уже разрабатывает защищенный блокчейн-реестр участников программы. Ключи шифрования доверили хранить Росреестру.
НеКасперский
🤡78😁20👍14💩2❤1👎1🔥1🫡1🗿1
Пеппены туфельки
Хакеры связанные с ФСБ используют LNK-файлы с названиями о передвижении войск в Украине для распространения трояна Remcos RAT.
Группировка Gamaredon рассылает украинским службам архивы с ссылками, маскирующимися под офисные документы. Файлы содержат PowerShell-код, который скачивает и запускает вредоносные компоненты с серверов в России и Германии. Среди использованных приманок: «Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника», «Координаты взлетов противника за 8 дней».
Заражение происходит через DLL side-loading, легитимное приложение загружает вредоносную библиотеку, которая расшифровывает и внедряет Remcos в оперативную память. Злоумышленники используют только два компьютера для создания всех ярлыков, что помогло исследователям Cisco Talos связать кампанию с ФСБ.
НеКасперский
Хакеры связанные с ФСБ используют LNK-файлы с названиями о передвижении войск в Украине для распространения трояна Remcos RAT.
Группировка Gamaredon рассылает украинским службам архивы с ссылками, маскирующимися под офисные документы. Файлы содержат PowerShell-код, который скачивает и запускает вредоносные компоненты с серверов в России и Германии. Среди использованных приманок: «Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника», «Координаты взлетов противника за 8 дней».
Заражение происходит через DLL side-loading, легитимное приложение загружает вредоносную библиотеку, которая расшифровывает и внедряет Remcos в оперативную память. Злоумышленники используют только два компьютера для создания всех ярлыков, что помогло исследователям Cisco Talos связать кампанию с ФСБ.
НеКасперский
🔥36🤡8👍4😁2🗿2👎1💩1
Крокодило бомбардиро
Эксперты обнаружили новый банковский троян для Android. Он активно охотится на пользователей в Испании и Турции, демонстрируя продвинутые возможности и практически полный контроль над устройствами жертв.
Crocodilus появился сразу как полноценная угроза, а не очередной клон. В его арсенале есть удалённое управление, чёрный экран для скрытия операций и продвинутый сбор данных через accessibility сервисы. Маскируясь под Chrome, троян обходит ограничения Android 13+ и действует как дроппер.
После установки Crocodilus запрашивает доступ к сервисам специальных возможностей, связывается с C2-сервером и получает список целевых банковских приложений с HTML-оверлеями для хищения учётных данных. Анализ кода указывает на турецкое происхождение разработчика.
Особенно коварен способ атаки на криптокошельки, вместо фальшивых страниц входа, троян показывает предупреждение о необходимости создать резервную копию сид-фразы в течение 12 часов, иначе «доступ к кошельку будет утрачен»
НеКасперский
Эксперты обнаружили новый банковский троян для Android. Он активно охотится на пользователей в Испании и Турции, демонстрируя продвинутые возможности и практически полный контроль над устройствами жертв.
Crocodilus появился сразу как полноценная угроза, а не очередной клон. В его арсенале есть удалённое управление, чёрный экран для скрытия операций и продвинутый сбор данных через accessibility сервисы. Маскируясь под Chrome, троян обходит ограничения Android 13+ и действует как дроппер.
После установки Crocodilus запрашивает доступ к сервисам специальных возможностей, связывается с C2-сервером и получает список целевых банковских приложений с HTML-оверлеями для хищения учётных данных. Анализ кода указывает на турецкое происхождение разработчика.
Особенно коварен способ атаки на криптокошельки, вместо фальшивых страниц входа, троян показывает предупреждение о необходимости создать резервную копию сид-фразы в течение 12 часов, иначе «доступ к кошельку будет утрачен»
НеКасперский
🫡11😁6🤬2🗿2
Перемога и вообще взлом года
Атаке подверглись системы Единой диспетчерской службы Королёва, отвечающей за обработку обращений по вопросам ЖКХ, благоустройства и аварий.
Проукраинские хакеры заявили, что им удалось полностью зашифровать инфраструктуру, уничтожить 10 серверов и вайпнуть все резервные копии.
Они украли конфиденциальные сведения, нарушили работу телефонной связи, вывели из строя файловые хранилища, уничтожили EXSI среду и сделали восстановление виртуальных машин невозможным.
В качестве доказательств к посту прикреплены скриншоты, где можно увидеть, что у хакеров есть доступ к записям с камер видеонаблюдения, учётным данным сотрудников, внутренним файлам и др.
Автор публикации утверждает, что все пароли хранились админом в браузере. В бухгалтерии вообще оставили доступ к 1С, почте, клиентским базам и онлайн-банкингу в обычном .txt-файле на рабочем столе.
Неполадки можно заметить и на сайте ЕДС, там полностью сломалась верстка.
НеКасперский
Атаке подверглись системы Единой диспетчерской службы Королёва, отвечающей за обработку обращений по вопросам ЖКХ, благоустройства и аварий.
Проукраинские хакеры заявили, что им удалось полностью зашифровать инфраструктуру, уничтожить 10 серверов и вайпнуть все резервные копии.
Они украли конфиденциальные сведения, нарушили работу телефонной связи, вывели из строя файловые хранилища, уничтожили EXSI среду и сделали восстановление виртуальных машин невозможным.
В качестве доказательств к посту прикреплены скриншоты, где можно увидеть, что у хакеров есть доступ к записям с камер видеонаблюдения, учётным данным сотрудников, внутренним файлам и др.
Автор публикации утверждает, что все пароли хранились админом в браузере. В бухгалтерии вообще оставили доступ к 1С, почте, клиентским базам и онлайн-банкингу в обычном .txt-файле на рабочем столе.
Неполадки можно заметить и на сайте ЕДС, там полностью сломалась верстка.
НеКасперский
🤡21😁10😱7👍4❤1🫡1🗿1
Проверь точку
В даркнет попала конфиденциальная информация из скомпрометированной БД компании Check Point.
Автор публикации на BreachForums утверждает, что в его руках оказался «высокочувствительный набор данных». По его словам, файлы стоимостью $420 тысяч включают в себя:
• Контакты сотрудников
• Информацию о клиентах
• Карты внутренней сети
• Архитектурные схемы
• Хешированные и открытые пароли
• Проектную документацию
• Исходный код ПО
• Сведения о действующих контрактах
В качестве доказательств хакер приложил к посту скриншоты с образцами украденной информации. На них можно увидеть доступ к панели управления, различным функциям, ключам API с правами администратора и др.
Представители Check Point сообщили, что атака произошла ещё в декабре. Подробности случившегося не разглашаются, однако в компании утверждают, что автор поста сильно преувеличивает. Якобы украдены были только учётные данные с «ограниченными правами».
Хочется верить, но верится с трудом…
НеКасперский
В даркнет попала конфиденциальная информация из скомпрометированной БД компании Check Point.
Автор публикации на BreachForums утверждает, что в его руках оказался «высокочувствительный набор данных». По его словам, файлы стоимостью $420 тысяч включают в себя:
• Контакты сотрудников
• Информацию о клиентах
• Карты внутренней сети
• Архитектурные схемы
• Хешированные и открытые пароли
• Проектную документацию
• Исходный код ПО
• Сведения о действующих контрактах
В качестве доказательств хакер приложил к посту скриншоты с образцами украденной информации. На них можно увидеть доступ к панели управления, различным функциям, ключам API с правами администратора и др.
Представители Check Point сообщили, что атака произошла ещё в декабре. Подробности случившегося не разглашаются, однако в компании утверждают, что автор поста сильно преувеличивает. Якобы украдены были только учётные данные с «ограниченными правами».
Хочется верить, но верится с трудом…
НеКасперский
👍11😁7🔥3🤔2🤬2🫡2😱1🗿1
Зато сэкономили
Новенькие Android-устройства могут быть заражены троянцем Triada ещё до того, как попадут в руки счастливого ведрофонера.
Исследователи сообщили, что гаджеты, купленные в неофициальных интернет-магазинах по низким ценам, содержат вредонос ещё на этапе производства или поставки. Троянец размещается в прошивке устройства, внедряясь в системный фреймворк.
Он позволяет преступникам красть учётные данные из популярных приложений, менять адреса криптокошельков, похищать цифровые активы, отправлять сообщения от имени владельца, удалять переписки, контролировать звонки и СМС, устанавливать вредоносные ПО и блокировать интернет-доступ к антивирусным сервисам.
В результате анализа транзакций стало известно, что разработчикам вредоносного ПО удалось перевести на свои счета более $270 тысяч крипте. В целях сохранения конфиденциальности они отдают своё предпочтение криптовалюте Monero.
Мошенническая схема напоминает механику работы вредоноса RedLine. Малварь способен подменять данные буфера обмена на адрес криптокошелька хакеров для кражи активов.
От новой версии Triada пострадало уже более 2,6 тысячи скряг, большая часть из которых проживает на территории РФ.
НеКасперский
Новенькие Android-устройства могут быть заражены троянцем Triada ещё до того, как попадут в руки счастливого ведрофонера.
Исследователи сообщили, что гаджеты, купленные в неофициальных интернет-магазинах по низким ценам, содержат вредонос ещё на этапе производства или поставки. Троянец размещается в прошивке устройства, внедряясь в системный фреймворк.
Он позволяет преступникам красть учётные данные из популярных приложений, менять адреса криптокошельков, похищать цифровые активы, отправлять сообщения от имени владельца, удалять переписки, контролировать звонки и СМС, устанавливать вредоносные ПО и блокировать интернет-доступ к антивирусным сервисам.
В результате анализа транзакций стало известно, что разработчикам вредоносного ПО удалось перевести на свои счета более $270 тысяч крипте. В целях сохранения конфиденциальности они отдают своё предпочтение криптовалюте Monero.
Мошенническая схема напоминает механику работы вредоноса RedLine. Малварь способен подменять данные буфера обмена на адрес криптокошелька хакеров для кражи активов.
От новой версии Triada пострадало уже более 2,6 тысячи скряг, большая часть из которых проживает на территории РФ.
НеКасперский
🔥8😁3👍2🤡2🫡1🗿1
Красная карточка
Касперский и Интерпол провели крупную операцию в Африке, задержав 306 подозреваемых и изъяв около 2000 устройств.
Операция Red Card охватила семь африканских стран и длилась с ноября 2024 по февраль 2025. Лаборатория предоставила Интерполу данные о вредоносных Android-приложениях и инфраструктуре злоумышленников. В Нигерии арестовали 130 человек, включая 113 иностранцев, за онлайн-казино и инвестиционное мошенничество. В Замбии поймали группу, которая через фишинговые ссылки заражала смартфоны вредоносным ПО для доступа к банковским приложениям.
Война-войной, а черных в Африке за мошенничество ловить это святое 😇
НеКасперский
Касперский и Интерпол провели крупную операцию в Африке, задержав 306 подозреваемых и изъяв около 2000 устройств.
Операция Red Card охватила семь африканских стран и длилась с ноября 2024 по февраль 2025. Лаборатория предоставила Интерполу данные о вредоносных Android-приложениях и инфраструктуре злоумышленников. В Нигерии арестовали 130 человек, включая 113 иностранцев, за онлайн-казино и инвестиционное мошенничество. В Замбии поймали группу, которая через фишинговые ссылки заражала смартфоны вредоносным ПО для доступа к банковским приложениям.
Война-войной, а черных в Африке за мошенничество ловить это святое 😇
НеКасперский
👍23🗿3🔥2
Затмение
Исследователи обнаружили 46 критических уязвимостей, которые могут позволить хакерам захватить контроль над солнечными электростанциями и дестабилизировать энергосети.
Уязвимости с кодовым названием «SUN:DOWN» позволяют загружать вредоносные файлы на серверы, перехватывать учётные записи и получать доступ к инфраструктуре. Среди наиболее опасных — возможность загрузки .aspx файлов на сервер SMA для удалённого выполнения кода и уязвимости в Sungrow при обработке MQTT-сообщений.
Злоумышленник, получивший контроль над инверторами, может манипулировать подачей электроэнергии в сеть, создавая своеобразный закат раньше расписания.
Тем не менее, технология должна предполагать накопление энергии, трудно представить, как хакер может действительно навредить 🤔
НеКасперский
Исследователи обнаружили 46 критических уязвимостей, которые могут позволить хакерам захватить контроль над солнечными электростанциями и дестабилизировать энергосети.
Уязвимости с кодовым названием «SUN:DOWN» позволяют загружать вредоносные файлы на серверы, перехватывать учётные записи и получать доступ к инфраструктуре. Среди наиболее опасных — возможность загрузки .aspx файлов на сервер SMA для удалённого выполнения кода и уязвимости в Sungrow при обработке MQTT-сообщений.
Злоумышленник, получивший контроль над инверторами, может манипулировать подачей электроэнергии в сеть, создавая своеобразный закат раньше расписания.
Тем не менее, технология должна предполагать накопление энергии, трудно представить, как хакер может действительно навредить 🤔
НеКасперский
❤7😱3👍1
НеКасперский
Перемога и вообще взлом года Атаке подверглись системы Единой диспетчерской службы Королёва, отвечающей за обработку обращений по вопросам ЖКХ, благоустройства и аварий. Проукраинские хакеры заявили, что им удалось полностью зашифровать инфраструктуру,…
Упомянули
Проукраинские хакеры расстроились, что нас не впечатлил взлом какой-то системы ЖКХ из Королёва.
Поэтому делимся ещё одной их атакой, но уже на системы одного из подрядчиков Газпрома — Новые Газовые Технологии.
Ассоциация с 2012 года объединяет промышленный потенциал «крупнейших российских предприятий». Не знаем конечно, зачем она Газпрому, но её прибыль за 24 составила 19 тысяч рублей 🙂
Судя по скриншотам, хакеры подключились к святая-святых IT-отдела — доменной инфраструктуре Active Directory и хост-системе виртуализации Hyper-V.
Заявляется, что взлом затронул все уровни инфраструктуры, начиная от файловых хранилищ с паспортами сотрудников и заканчивая системой управления задачами с текущими проектами компании. Кроме того, хакеры уничтожили резервные копии VM.
Если это окажется правдой, то такая комплексная атака вынудит компанию фактически заново выстраивать всю IT-инфраструктуру.
В компании, кстати, молчат по этому поводу, никаких пресс-релизов, как всегда, не поступало.
НеКасперский
Проукраинские хакеры расстроились, что нас не впечатлил взлом какой-то системы ЖКХ из Королёва.
Поэтому делимся ещё одной их атакой, но уже на системы одного из подрядчиков Газпрома — Новые Газовые Технологии.
Ассоциация с 2012 года объединяет промышленный потенциал «крупнейших российских предприятий». Не знаем конечно, зачем она Газпрому, но её прибыль за 24 составила 19 тысяч рублей 🙂
Судя по скриншотам, хакеры подключились к святая-святых IT-отдела — доменной инфраструктуре Active Directory и хост-системе виртуализации Hyper-V.
Заявляется, что взлом затронул все уровни инфраструктуры, начиная от файловых хранилищ с паспортами сотрудников и заканчивая системой управления задачами с текущими проектами компании. Кроме того, хакеры уничтожили резервные копии VM.
Если это окажется правдой, то такая комплексная атака вынудит компанию фактически заново выстраивать всю IT-инфраструктуру.
В компании, кстати, молчат по этому поводу, никаких пресс-релизов, как всегда, не поступало.
НеКасперский
😁29👍8🤔2🗿2👎1
Симрар
Уязвимость в WinRAR позволяет запустить вредоносный код без предупреждения Windows о потенциальной опасности.
В WinRAR до версии 7.11 найдена брешь, связанная с обработкой символических ссылок. Если открыть специально созданную симлинк-ловушку, которая указывает на исполняемый файл, система безопасности Windows теряет бдительность и метка MOTW не срабатывает.
По итогу пользователь запускает вредоносный код без привычных предупреждений безопасности. Как мы знаем, для создания символических ссылок обычно нужны права администратора, но атакующие нашли способ этим воспользоваться и без них.
Разработчики уже выпустила патч, но кто-нибудь хоть когда-то обновлял свой пиратский WinRAR?))
НеКасперский
Уязвимость в WinRAR позволяет запустить вредоносный код без предупреждения Windows о потенциальной опасности.
В WinRAR до версии 7.11 найдена брешь, связанная с обработкой символических ссылок. Если открыть специально созданную симлинк-ловушку, которая указывает на исполняемый файл, система безопасности Windows теряет бдительность и метка MOTW не срабатывает.
По итогу пользователь запускает вредоносный код без привычных предупреждений безопасности. Как мы знаем, для создания символических ссылок обычно нужны права администратора, но атакующие нашли способ этим воспользоваться и без них.
Разработчики уже выпустила патч, но кто-нибудь хоть когда-то обновлял свой пиратский WinRAR?))
НеКасперский
😁25🗿3❤1
Без тревоги
Уязвимость в OpenVPN позволяет уронить серверы и оставить тысячи пользователей без защищённого соединения.
Баг затрагивает конфигурации со включённом параметром
OpenVPN уже выпустил исправление, но если апгрейд невозможен, рекомендуется временно отключить проблемную опцию, хотя это и снизит защиту от DPI.
НеКасперский
Уязвимость в OpenVPN позволяет уронить серверы и оставить тысячи пользователей без защищённого соединения.
Баг затрагивает конфигурации со включённом параметром
--tls-crypt-v2. Суть атаки в отправке комбинации авторизованных и вредоносных пакетов, нарушающих внутреннее состояние сервера. Когда неправильно сформированные данные попадают в подсистему tls-crypt-v2, сервер падает с ошибкой ASSERT(), разрывая все активные подключения. Однако злоумышленнику потребуется либо валидный ключ клиента, либо возможность внедрять пакеты во время TLS-рукопожатия.OpenVPN уже выпустил исправление, но если апгрейд невозможен, рекомендуется временно отключить проблемную опцию, хотя это и снизит защиту от DPI.
НеКасперский
😱10👍4🗿4
Скажи пароль
Ведрофоны вновь сливают личную информацию своих хозяев.
Новый шпионский софт скрывается на устройствах Android под видом обычных системных настроек. Иконка приложения не отображается. Всё это благодаря встроенным опциям, позволяющим «накладывать окна» поверх других приложений.
Также софт эксплуатирует функцию «администратор устройства», позволяющую удалённо управлять телефоном жертвы. Обычно её используют крупные организации для работы с гаджетами своих сотрудников.
Если пользователь попытается удалить приложение, то на экране высветится запрос пароля. Заветный код знает только тот, кто установил шпионское ПО. Неверный ввод комбинации блокирует возможность избавиться от злополучной программы.
Благодаря софту в руках преступников могут оказаться сообщения, фотографии, а также геолокация в режиме реального времени.
НеКасперский
Ведрофоны вновь сливают личную информацию своих хозяев.
Новый шпионский софт скрывается на устройствах Android под видом обычных системных настроек. Иконка приложения не отображается. Всё это благодаря встроенным опциям, позволяющим «накладывать окна» поверх других приложений.
Также софт эксплуатирует функцию «администратор устройства», позволяющую удалённо управлять телефоном жертвы. Обычно её используют крупные организации для работы с гаджетами своих сотрудников.
Если пользователь попытается удалить приложение, то на экране высветится запрос пароля. Заветный код знает только тот, кто установил шпионское ПО. Неверный ввод комбинации блокирует возможность избавиться от злополучной программы.
Благодаря софту в руках преступников могут оказаться сообщения, фотографии, а также геолокация в режиме реального времени.
НеКасперский
😁11👍5🤔4🤡2🔥1🫡1🗿1
Взлом по-королевски
В даркнет попала информация из БД Королевской почты Великобритании.
Соответствующее объявление на этой неделе было опубликовано на BreachForums. Автор поста утверждает, что ему удалось скомпрометировать более 16 тысяч файлов объёмом 144 ГБ, включающих в себя:
• ПДн клиентов
• Адрес доставки
• Списки рассылки Mailchimp
• БД Wordpress SQL для mailagents
• Конфиденциальные документы
• Видеозаписи встреч в Zoom между Spectos и Royal Mail Group
Представители Royal Mail заявили, что утечка произошла из-за взлома систем стороннего поставщика услуг по сбору и аналитике сведений Spectos GmbH.
Исследователи полагают, что хакеры получили доступ к системам пострадавшей организации с помощью учётных данных сотрудников, полученных в результате атаки с вредоносным ПО в 2021 году.
В прошлый раз Royal Mail взламывали январе 2023 года. Тогда компания пострадала от программы-вымогателя LockBit.
НеКасперский
В даркнет попала информация из БД Королевской почты Великобритании.
Соответствующее объявление на этой неделе было опубликовано на BreachForums. Автор поста утверждает, что ему удалось скомпрометировать более 16 тысяч файлов объёмом 144 ГБ, включающих в себя:
• ПДн клиентов
• Адрес доставки
• Списки рассылки Mailchimp
• БД Wordpress SQL для mailagents
• Конфиденциальные документы
• Видеозаписи встреч в Zoom между Spectos и Royal Mail Group
Представители Royal Mail заявили, что утечка произошла из-за взлома систем стороннего поставщика услуг по сбору и аналитике сведений Spectos GmbH.
Исследователи полагают, что хакеры получили доступ к системам пострадавшей организации с помощью учётных данных сотрудников, полученных в результате атаки с вредоносным ПО в 2021 году.
В прошлый раз Royal Mail взламывали январе 2023 года. Тогда компания пострадала от программы-вымогателя LockBit.
НеКасперский
😁10👍8🔥4🤔1🫡1🗿1
Нам по пути
Внутренняя документация тюменской газовой компании Евротехсервис оказалась в открытом доступе — это компания с годовым оборотом 7,7 млрд рублей, обслуживающая грузовую и дорожно-строительную технику.
В руки злоумышленников попали данные бухгалтерии, sales-отдела и рабочие файлы руководства. Под ударом также контактные данные контрагентов и около 20 тысяч строк обращений с сайта. Утечка затронула ФИО, почту, телефоны и места работы клиентов.
Следом хакеры анонсировали публикацию дополнительных 4 ГБ документов, включая налоговую отчётность, данные о зарплатах, кредитах, инвентаризациях, а также тендерную документацию. По их словам, материалы уже переданы в ФНС. Самое странное в этой истории — злоумышленники якобы получили благодарность от налоговиков за «сотрудничество».
Вот такая цифровая прозрачность бизнеса против воли. Вот такая вот роль ФНС 😇
НеКасперский
Внутренняя документация тюменской газовой компании Евротехсервис оказалась в открытом доступе — это компания с годовым оборотом 7,7 млрд рублей, обслуживающая грузовую и дорожно-строительную технику.
В руки злоумышленников попали данные бухгалтерии, sales-отдела и рабочие файлы руководства. Под ударом также контактные данные контрагентов и около 20 тысяч строк обращений с сайта. Утечка затронула ФИО, почту, телефоны и места работы клиентов.
Следом хакеры анонсировали публикацию дополнительных 4 ГБ документов, включая налоговую отчётность, данные о зарплатах, кредитах, инвентаризациях, а также тендерную документацию. По их словам, материалы уже переданы в ФНС. Самое странное в этой истории — злоумышленники якобы получили благодарность от налоговиков за «сотрудничество».
Вот такая цифровая прозрачность бизнеса против воли. Вот такая вот роль ФНС 😇
НеКасперский
🗿14👍3😁3
Жовто-блакитный дрифт
Украинская группа Yellow Drift взяла на себя ответственность за нападение на Информационно-технический центр Томской области.
Хакеры утверждают, что им удалось атаковать более 230 виртуальных и 40 физических серверов Областного государственного казённого учреждения. В результате случившегося они украли свыше 260 ТБ данных.
По словам преступников, скомпрометированная информация включает в себя ПДн участников СВО, внутренние документы с информацией о погибших и раненых мужчинах из Томской области, а также сведения для служебного пользования.
Соответствующее объявление они сделали в своих социальных сетях. В качестве доказательств хакеры прикрепили к публикации скриншоты с образцами украденных сведений.
Участники группировки заявили, что им удалось уничтожить ИТ-инфраструктуру организации, однако работа учреждения была восстановлена благодаря резервным копиям данных.
НеКасперский
Украинская группа Yellow Drift взяла на себя ответственность за нападение на Информационно-технический центр Томской области.
Хакеры утверждают, что им удалось атаковать более 230 виртуальных и 40 физических серверов Областного государственного казённого учреждения. В результате случившегося они украли свыше 260 ТБ данных.
По словам преступников, скомпрометированная информация включает в себя ПДн участников СВО, внутренние документы с информацией о погибших и раненых мужчинах из Томской области, а также сведения для служебного пользования.
Соответствующее объявление они сделали в своих социальных сетях. В качестве доказательств хакеры прикрепили к публикации скриншоты с образцами украденных сведений.
Участники группировки заявили, что им удалось уничтожить ИТ-инфраструктуру организации, однако работа учреждения была восстановлена благодаря резервным копиям данных.
НеКасперский
🤬15😁8🤡7🗿2👍1🔥1🫡1
Двойная игра
Клинеры из App Store сливают ваши данные третьим лицам.
Приложения для очистки памяти и оптимизации производительности устройств содержат трояны, передающие пользовательские данные брокерам и специалистам по рекламе.
Этим грешат чистильщики из подборки десяти самых популярных приложений площадки. В списке шпионов оказались Cleanup, Cleaner Guru, AI Cleaner, Swipewipe, Mighty Cleaner и др.
Для полноценной работы клинерам необходим полный доступ к гаджету. Это вполне логично, ведь они удаляют ненужные файлы и управляют хранилищем. Трояны злоупотребляют этим, запрашивая полные права на сбор пользовательских данных, сведений об устройстве и другой конфиденциальной информации.
Примерно 70% приложений сливают дополнительные записи. Главным предателем оказался Cleaner Kit от BPMobile. Он делится девятью типами данных, в числе которых точная геолокация, история покупок и рекламные сведения.
Что-то здесь нечисто 🤔
НеКасперский
Клинеры из App Store сливают ваши данные третьим лицам.
Приложения для очистки памяти и оптимизации производительности устройств содержат трояны, передающие пользовательские данные брокерам и специалистам по рекламе.
Этим грешат чистильщики из подборки десяти самых популярных приложений площадки. В списке шпионов оказались Cleanup, Cleaner Guru, AI Cleaner, Swipewipe, Mighty Cleaner и др.
Для полноценной работы клинерам необходим полный доступ к гаджету. Это вполне логично, ведь они удаляют ненужные файлы и управляют хранилищем. Трояны злоупотребляют этим, запрашивая полные права на сбор пользовательских данных, сведений об устройстве и другой конфиденциальной информации.
Примерно 70% приложений сливают дополнительные записи. Главным предателем оказался Cleaner Kit от BPMobile. Он делится девятью типами данных, в числе которых точная геолокация, история покупок и рекламные сведения.
Что-то здесь нечисто 🤔
НеКасперский
😱14👍7😁7🤔3🗿2⚡1🔥1