T.Hunter

#news О продаже нулевого дня под Outlook можно не переживать. По крайней мере, о продаже через BreachForums: сегодня сайт был перехвачен ФБР. Красочная заглушка вместо форума, всё как полагается. Безопасники в погонах утверждают, что у них на руках бэкенд-данные сайта. Если это действительно так, почты, айпишники и сообщения юзеров скоро будут изучать под лупой. Перехвачен также и канал в Телеграме, в котором теперь висит сообщение ФБР с аккаунта Бафомета с призывом стучать на обитателей форума по всем каналам связи. Свежая версия BreachForums продержалась с июня 2023-го, после того как сайт подняли хакеры из ShinyHunters. Теперь на нём красуются аватарки администраторов, самих ShinyHunters и товарища Baphomet, с решёточками. Что как бы намекает на дальнейшие планы любителей чертовски хорошего кофе в отношении продолжателей дела Pompompurin’a и Omnipotent. @tomhunter

#news В Нидерландах вынесли приговор одному из проводников цифрового будущего, сооснователю криптомиксера Tornado Cash. 31-летний Алексей Перцев приговорён к 5 годам и 4 месяцам заключения. У него также конфискуют ~$2 миллиона в крипте и Порше. Перцев был арестован в августе 2022-го сразу после санкций США в адрес Tornado Cash. Защита настаивала на том, что Перцев — невинный борец за приватность крипто-сообщества, а беспринципные киберпреступники абьюзили платформу для своих грязных дел. Увы, суд с этим не согласился и постановил, что криптомиксер был специально заточен под отмывание денег. В общем, спойлер того, что ждёт Романа Шторма, одного из разработчиков, в Штатах в сентябре. @tomhunter

#news Тревожные новости для пользователей Outlook. На одном небезызвестном форуме всплыл пост о продаже RCE-эксплойта под нулевой день. Злоумышленник утверждает, что протестировал его на версиях Microsoft Outlook 2016, 2019 LTSC 2021 и Microsoft 365 Apps for Enterprise. Цена вопроса — 1,700,000 долларов. Детали эксплойта раскроют покупателям, товарищи из ShinyHunters в качестве посредника, журналистов просят не беспокоить. Пока неясно, скрывается ли за этим что-то серьёзное или очередной незатейливый скам, но ShinyHunters накинули злоумышленнику репы и записали его в серьёзные юзеры, за которого они ручаются. Потенциальный ущерб от нулевого дня в Outlook сложно переоценить. Так что как минимум стоит следить за новостями. @tomhunter

#news Пока проходит отпевание LockBit, в сетевых дебрях идёт масштабная кампания с рассылкой энкриптора LockBit Black. Миллионы фишинговых писем шлют с конца апреля через ботнет Phorpiex, скорее всего, в комплекте с рансомварью, собранной утёкшим в 2022-м билдером. С самой LockBit эта рассылка, судя по всему, никак не связана. Фишинг простенький, без энтузиазма, с ZIP-архивом и бинарником внутри. Последний подтягивает через ботнет вредоносную нагрузку. Между тем желающим добить LockBit не составит труда создать им проблем. Достаточно было бы повторить фокус со слитым билдером в начале года, когда кое-кто хакнул им российскую компанию. Так что такой сценарий от желающих отвесить прощального пинка одному случайному невинному человеку никого не удивит. @tomhunter

#news По следам отгремевших новостей о деаноне LockBitSupp к делу подключается тяжёлая артиллерия: у Кребса классика OSINT-анализа по Дмитрию Хорошеву. Спойлер: это не случайный невинный человек, а персонаж с историей киберпреступных дел длиною в 14 лет. По следам почтовых ящиков и доменов Хорошева найдены посты на Opensc и Antichat в начале десятых. На форуме Zloy он был известен под ником NeroWolfe, кодер на C и C++ и разработчик малвари. С опсеком у него было не очень: на ящик с xakep[.]ru под аккаунты с хакерских форумов была создана страница в VK под реальным именем. Ну а после исчезновения последнего на три года в 2019-м всплыл небезызвестный товарищ Putinkrab, продававший RaaS на C. Прямых связей между ним и NeroWolfe Кребс не приводит, но параллелей достаточно. Материал как всегда интересный, а Хорошеву не позавидуешь: федералы слили на него всё, вплоть до адреса, ИНН и паспортных данных. @tomhunter

#news В новую неделю с новостей о чужой продуктивности: за два года рансомварь-группировка Black Basta взломала более 500 организаций. Согласно свежему отчёту от CISA, на ноябрь 2023-го злоумышленники получили не менее $100 миллионов выкупов от жертв. Black Basta считают возможным ребрендингом Conti. Профессионализм, отсутствие рекламы и набора на форумах, 20 жертв в первые пару недель после запуска — всё указывает на то, что это не новички и с начальным доступом у них всё в порядке. Группировка также успела взломать компании в 12 из 16 секторов критической инфраструктуры. Можно делать ставки, соберёт ли Black Basta полный набор, прежде чем по их собственную инфраструктуру придёт ФБР. @tomhunter

#news Пятничных новостей пост. Разборки вокруг Signal после свежей публикации о связях с Госдепом набирают обороты. По-крупному набрасывает пламенный борец за всея свободы и опенсорс Дуров: разработанное на деньги Госдепа шифрование Signal во всем штатовском бигтехе, сам Signal набит агентурой разведки и сливает переписку судам, пользуйтесь только неподкупным Telegram и т.д и т.п. К драме подключились прочие известные фигуры: хваливший Signal Маск жалуется на некие уязвимости, Бутерин пинает мессенджер за наличие цензурных аппаратчиков среди председателей. В ответ президент Signal парирует, ссылаясь на уязвимости в самом Telegram и то, что Дуров много болтает про приватность, а за кулисами сотрудничает с властями. Что справедливо. В общем, сцепились жаба с гадюкой и выясняют, кто больший борец за свободу слова. Ответ очевиден: никто из вышеперечисленных. Но при желании, конечно, можно записаться в фанбои той или иной играющей на публику в либертарианство знаменитости. @tomhunter

#news Dell сообщила о масштабной утечке пользовательских данных: потенциально затронуты 49 миллионов клиентов. Компания начала рассылку предупреждений позавчера, а данные, судя по всему, всплыли на продажу на Breach Forums в конце апреля. Взломан сайт компании с базой данных по покупкам с 2017-го по 2024-й годы. В своем заявлении Dell доверительно сообщает, что не считает, что украденные данные могут представлять опасность. Между тем в сливе имена и адреса покупателей, что довольно серьёзно, особенно с учётом масштабов. Пост с Breach Forums пропал — вполне возможно, базу приобрели злоумышленники. И теперь активно ищут возможности монетизировать покупку. Так что попавших в слив клиентов Dell могут ждать письма счастья с флешками с малварью и прочие радости. @tomhunter

#news Занятные новости про очередной приватный, защищённый и неподкупный сервис, мессенджер Signal. Как выяснилось, есть серьёзные основания сомневаться в его надёжности. На три миллиона долларов инвестиций от связанного с Госдепом фонда. И ввиду не менее интересного председателя Signal Foundation, Кэтрин Махер. Интересна она тем, что имеет крепкие связи с американской внешней политикой. Дамочка работала в организации, финансируемой правительством США, и курировала цифровые инициативы по арабской весне. А позже она мутировала в заморскую Мизулину, боролась с дезинформацией в Википедии и топила за онлайн-цензуру и блокировки. В общем, с такими председателями доверять Signal стоит, только пока переписка в нём не противоречит интересам американских спецслужб. Собственно, это касается чуть ли не каждого модного приватного мессенджера — финансирование у них зачастую из очень любопытных источников. @tomhunter

#news По следам предполагаемого раскрытия личности LockBitSupp и обвинений во взломе более 2000 жертв и вымогательства минимум $100 миллионов товарищ вышел на связь с Кребсом в Tox. Ответ, конечно, предсказуемый. «Это не я. Не понимаю, как ФБР связали меня с этим беднягой. Где в этом логика? Тебе не жалко случайного невинного человека?» Но как тактично подмечает Кребс, товарищ LockBitSupp имеет склонность лукавить. Что в последние месяцы особенно заметно. В общем, с бравадой пока не очень. Можно было бы пойти по следам Wazawaka, начать постить фото, раздавать интервью и ничего не стесняться, ссылаясь на то, что пока ФБР и ФСБ не начнут дружить против рансомварщиков, бояться им нечего. Тем временем ИБ-индустрия развлекается, изучая вкусовые и прочие пристрастия Хорошева по слитым данным Яндекса. А в нижнем интернете клепают мемы с героем новостей. Приметы эпохи. @tomhunter