14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Отключённые макросы вынуждают злоумышленников искать всё новые векторы атаки. Теперь им стали msc-файлы: в сочетании с XSS-уязвимостью в Windows они позволяют выполнить код через Microsoft Management Console. На VT засветился такой файл с нулевым обнаружением.
Атаку окрестили GrimResource, она эксплойтит баг XSS в библиотеке apds.dll, позволяя выполнить JavaScript через URL. Далее через технику DotNetToJSscript идёт произвольный .NET-код. С обнаружением у атаки туговато, так что она вполне может стать серьёзным вектором. А могла бы им и не быть: об уязвимости в apds.dll Microsoft сообщили ещё в 2018-м, но компания сочла её не нуждающейся в немедленном фиксе. По крайней мере, .msc-файлы в блок-листе в Outlook. Подробнее об атаке в отчёте.
@tomhunter
#news После злоключений первого полугодия LockBit отчаянно пытается поддерживать свою значимость и генерировать инфоповоды. На этот раз группировка заявила о взломе Федеральной резервной системы США. Злоумышленники утверждают, что похитили 33 терабайта конфиденциальных данных с банковскими секретами.
LockBit также выдала дерзкий ультиматум ФРС с требованием в течение 48 часов сменить «клинического идиота» в лице переговорщика — якобы им предложили всего 50 тысяч долларов за предположительно масштабную утечку. Тем не менее, пока официальных заявлений от ФРС и каких-либо подтверждений нет. А LockBit последнее время, мягко говоря, не отличается надёжностью, когда речь заходит о потенциально громких взломах. И пока это всё выглядит как очередная пиар-акция от группировки, которой уже особо нечего терять, включая репутацию и разбежавшихся по другим операциям партнёров.
@tomhunter
#news Неожиданные новости об отце всех утечек и ночном кошмаре Госдепа. Джулиан Ассанж заключил сделку с Минюстом США и был освобождён из тюрьмы в Лондоне, где провёл последние пять лет. Он сразу же вылетел в Австралию, а по пути предстанет перед судом на территории США в Тихом океане. Он признал вину по 1 из 17 пунктов — незаконное получение и публикация секретных данных. Ожидается, что ему дадут уже отсиженный срок.
Эпические приключения Ассанжа начались в 2012-м, когда он скрылся от предположительно политического преследования в посольстве Эквадора в Лондоне, где прожил следующие семь лет до ареста в 2019-м. В США Ассанж с 2012-го признан врагом государства. По официальным обвинениям ему грозило до 175 лет тюрьмы, по неофициальным — самоубийство тремя выстрелами в затылок. Остаётся пожелать герою поколения, чтобы его 14-летняя эпопея получила счастливый конец.
@tomhunter
#news После недавней атаки по НСПК DDoS-лемминги из боевых Телеграм-каналов диванного хактивизма переключились на Мосбиржу. Сегодня с 10 утра по Москве шла атака по всем её ресурсам, включая сайт и маркетплейс.
Сайт с утра пролежал 20 минут, также были перебои в работе маркетплейса «Финуслуги». Тактика схожа с той, что наблюдалась в недавней атаке по оператору карт «Мир», так что далеко ходить за предположениями об организаторе не нужно. Тем не менее, серьёзного ущерба она не нанесла, и торги приостановлены не были. Иными словами, эффект от атаки больше психологический. Плюс принудительный стресс-тест систем. Центробанк как раз предупреждал о грядущих проверках финтеха на киберустойчивость — можно анализ общей картины таких атак и реагирования на них и в отчёты подшить.
@tomhunter
#news Неделя начинается с курьёзов инфобеза на родных просторах. РКН пару недель назад потребовал у операторов связи блокировать звонки от абонентов, не подключённых к системе «Антифрод». Чуть больше половины из 2 тысяч операторов её пока так и не освоили. Например, «Газпром Телеком», висящий на сети «Мегафона». И его звонки начали блокировать.
Как пожаловался представитель «Газпром Телеком», они ещё только тестируют ПО для подключения к «Антифроду», а звонки в сети других операторов уже не проходят. И внедрить новую систему за полмесяца они не могут — закупка по инвестпрограмме будет идти минимум год. Формально «Газпром Телеком», конечно, может пожаловаться на вот это вот всё, но жалобы придётся писать, собственно, в РКН. А что им там ответят, сами понимаете.
@tomhunter
#news Не успела «Лаборатория Касперского» провести все консультации с ЦИБ по итогам блокировки её софта на территории США, как подоспела ещё одна новость. На очереди кураж от штатовского Минфина: топ-менеджмент Касперского попал под санкции. В расстрельный список отправились 12 человек. Члены совета директоров, вице-президенты, руководители нескольких подразделений, технический и управляющий директоры.
Чем они не угодили Минфину? Очевидно, это связано со смехотворными домыслами, что на ключевых менеджерских постах сидят люди, тесно связанные со спецслужбами. При этом сама компания и её основатель под санкции пока не попали. Как сообщил Минфин, решение подчёркивает приверженность защите киберпространства от злонамеренных киберугроз. Так одним росчерком санкционного пера по ту сторону океана официально размылась грань между нашим криминальным хакерским сообществом, апэтэшными мишками и частными ИБ-компаниями. Ожидаемо, но всё равно занятно.
@tomhunter
#news Увлекательная ИБ-история одной невезучей корпорации из Штатов. Во вторник CDK Global, поставщик SaaS-платформ для автодилерского и смежных рынков, стал жертвой кибератаки. Системы прилегли, у автосалонов по всем США возникли проблемы с софтом — компания поставляет его под полный цикл работы, так что отвалилось всё, продажи встали. При этом пользуются их софтом более 15 тысяч автосалонов в стране.
Однако на этом проблемы не закончились. На следующий день, когда начали поднимать системы, по ним прошлась вторая атака. Всё снова пришлось отключать. Судя по принятым мерам, можно предположить, что на сервера пустили рансомварь. А следом на них могла зайти другая группировка — например, по начальному доступу от одного и того же брокера. Похожий случай был пару лет назад — тогда данные этих везунчиков LockBit, Hive и BlackCat зашифровали трижды. Но подробностей пока нет, как нет и ETA по восстановлению работы. Главное, чтобы вектор атаки догадались убрать.
@tomhunter
#news Инфраструктура НСПК, оператора карт «Мир», с утра подверглась DDoS-атаке. У пользователей возникли проблемы с доступом к сервисам, пик жалоб пришёлся на 14:00 по Москве. Также прилёг официальный сайт платёжной системы. Как сообщила компания, особого эффекта атака не возымела. Тем не менее, на момент написания поста сайты «Мира» и самой НСПК всё ещё лагают. Компания уведомила, что ведёт восстановление сервисов.
Это далеко не первый раз, когда по НСПК идут DDoS-атаки — как и по всей российской инфраструктуре, так что за предположениями об источнике далеко ходить не нужно. Так, украинские хактивисты уже устраивали дудосы по оператору «Мир» в сентябре 2022-го. У компании было почти два года, чтобы подготовить системы к принудительным стресс-тестам. Если акция будет не разовой, в ближайшие дни по доступности сервисов можно будет, так сказать, судить о результатах проведённой работы.
@tomhunter
#news По следам скандала вокруг финансирования и госаппаратчиков в совете директоров Signal отмечается в горячей теме защиты приватности. Восстановления репутации ради, так сказать. Президент компании выступила с заявлением, что планы ЕС по сканированию приватных сообщений пользователей создадут серьёзные риски для сквозного шифрования.
Активно продавливаемый в ЕС закон — в сущности CSS 2.0, от которого ранее отказалась Apple. Под предлогом борьбы с детской порнографией хотят ввести сканирование на стороне клиента перед шифрованием. На этот раз законодательный новояз отличился новым перлом — «модерация загрузки». Но это всё те же бэкдоры для спецслужб и в сущности массовая слежка. Согласно свежим новостям, юзеры должны будут давать согласие на скан. То есть или соглашайся на слежку, или не сможешь отправлять фото-/видеоматериалы и ссылки. Как обычно, самые дикие с позиций ИБ законы идут под предлогом заботы о детях.
@tomhunter
#news Интересное исследование ИБ-индустрии Китая с уклоном в гражданских безопасников, их основные команды и то, как сумрачный китайский гений использует их в качестве кибероружия.
Вкратце, в Китае выстроена мощная экосистема от университетской скамьи до госгруппировок. В гражданской среде студенты-безопасники активно соревнуются в поиске уязвимостей в западном софте, а специалисты с Pwn2Own и его аналога Tianfu Cup находятся под пристальным вниманием. CVE и эксплойты из гражданского сектора зачастую оказываются в руках госгруппировок, как уже было известно из слива i-Soon. А вишенка на торте китайской ИБ-индустрии: обо всех найденных уязвимостях безопасники обязаны сообщать госструктурам. Так что в сущности весь ИБ-сектор Китая — даже максимально далёкий от государства — обслуживает его геополитические интересы. Подробнее в отчёте.
@tomhunter
#news В Испании на прошлой неделе арестовали предполагаемого главаря хакерского группировки Scattered Spider. 22-летнее юное дарование под ником Tylerb родом из Великобритании, его обвиняют во взломе многочисленных компаний и краже $27 миллионов.
Подростковая Scattered Spider неоднократно светилась в новостях последние пару лет. На её счету взломы Twilio, LastPass, DoorDash и почти 130 других компаний. Арестованный также был связан со сим-свопингом и сопутствующими развлечениями киберпреступной молодёжи. В числе которых нападения за битки на конкурентов с коктейлями Молотова в окно и стрельбой по домам. К самому Tylerb’у вламывались домой и угрожали сжечь горелкой, если он не выдаст ключи от своих криптокошельков. После чего он из Великобритании и сбежал. Но теперь его крипта в надёжных руках. После предложения от ФБР, от которого невозможно отказаться, товарищ не только ключи, но и всех подельников с потрохами сдаст.
@tomhunter
#news Пятничные новости о выгорании в ИБ-индустрии. Согласно новому отчёту от Bitfender, жизнь у безопасников на Западе не сахар. Больше 70% перерабатывают на выходных, 64% опрошенных недовольны работой и планируют искать новую. Хуже всего британцам: с переработками сталкиваются 81% ИБ-бедолаг.
Среди основных угроз названы фишинг, уязвимости с нулевыми днями и рансомварь — мнение разделились примерно поровну. Почти все безопасники (96%) убеждены, что ИИ-модели создают угрозу для кибербезопасности. А 71% занятых в индустрии людей в прошлом году были недовольны используемыми ими решениями по безопасности. В общем, переработки, выгорания и неудовлетворённость работой правят бал. Число взломов растёт, фишинг становится всё изощрённее, а в половине компаний нет регулярных аудитов. Скачать отчёт и задуматься над своими карьерными решениями можно здесь. А можно провести выходные в блаженном неведении. Если, конечно, не застанете их на работе.
@tomhunter
#news Очередная поучительная ИБ-история из серии «Как не надо мстить работодателю». Или «Не забывайте отзывать данные доступа сотрудников». В Сингапуре в 2022-м был уволен QA-инженер местной компании NCS. Расстроенный увольнением товарищ Кандула Нагараджу обнаружил, что его логин всё ещё активен. И четыре месяца спустя закинул вайпер на сервера бывшего работодателя.
Скрипт потёр 180 тестовых серверов компании, с которыми ранее работал герой истории. В итоге на восстановлении NCS потеряла почти 700 тысяч долларов. А мстительный Нагараджу получил 2 года и 8 месяцев тюрьмы — на его ноуте нашли и вредоносный скрипт, и историю поиска по его использованию. На фото лицо человека, чей пранк не удался.
@tomhunter
#news В России обсуждают создание отдельной госструктуры по кибербезопасности. У нас может появиться новый федеральный орган, занимающийся вопросами ИБ, пока идёт активное обсуждение с отраслью по теме.
Сейчас вопросами инфобеза занимаются сразу несколько структур, включая ФСБ, Минцифры и ИБ, что ведёт к рассинхрону по некоторым вопросам. Новая структура призвана стать единым центром, занимающимся регулированием, противодействием, координацией и иным сопутствующим в сфере кибербезопасности. В общем, такой вот Росинфобезнадзор получается. Станет ли новый надзорный орган с раздутым бюджетом панацеей от ИБ-бед, масштабных утечек и прочих радостей? Делайте ваше ставки.
@tomhunter
#news Новые высоты в фишинговых рассылках: в Великобритании арестовали двух злоумышленников, которые вели массовую мошенническую кампанию. Но есть интересный нюанс: делали они это с помощью некой самодельной мобильной антенны. Полиция описывает её как незаконную телефонную вышку и даже смс-пушку.
Рассылка шла от лица банков, госструктур и прочего официального. Преступникам также удалось обойти защиту мобильных операторов от смишинга. Поэтому звучат предположения, что это был IMSI-перехватчик, но подтверждений нет. Также это мог быть SIM-банк или куча телефонов, заточенных под массовую рассылку. В любом случае новость занятная. За простой смской от мошенника могут скрываться и такие безумные инженерные умения.
@tomhunter
#news Оригинальная атака на цепочку поставок через сервис Polyfill[.]io от находчивых китайцев. Больше 100 тысяч сайтов, использующих библиотеку, обзавелись перенаправлением на букмекерские и порносайты. Оказывается, домен и учётку на GitHub купила китайская CDN-фирма. И модифицировала скрипт сервиса для редиректа на мобильных устройствах.
Polyfill[.]io — старенький проект, добавляющий современные функции в старые браузеры. Разработчик ещё в феврале призвал убрать зависимость от проекта после продажи не принадлежавшего ему домена, китайцы поломали его ещё тогда, а теперь используют для атаки. Причём вредонос запускается на специфических устройствах, избегает обнаружения и с обфусцированным кодом — так что здесь всё неслучайно. Чем думал мейнтейнер, Джейк Чемпион, продавая проект мутной китайской конторке, неясно. Достаточно ли ему заплатили, чтобы он теперь не жалел, что его имя засветилось в этой сомнительной истории? Полагаю, что нет.
@tomhunter
#news Исследователи опубликовали отчёт по RansomHub, восходящем бренде рансомварь-сцены. Из ключевого, группировка четвёртая по числу заявленных атак за последние 3 месяца, комиссия 90% для партнёров и пересечения в коде с рансомварью от BlackCat и Knight.
Knight Ransomware ушла на продажу в феврале этого года после закрытия операции, так что, возможно, RansomHub собрали свой энкриптор на её основе. Версии под Linux и Windows написаны на Go, под ESXi — на C+. В основном атаки идут по крупным компаниям в IT-сфере. Как обычно, доступны IoCs, правила YARA и Sigma плюс забавная уязвимость в энкрипторе под ESXi. Он создаёт файл для предотвращения запуска нескольких экземпляров. И если исправить в нём параметр на -1, рансомварь уходит в бесконечный цикл. Подробнее о новой операции в 44-страничном отчёте (PDF).
@tomhunter
#news К ИБ-курьёзам из-за океана. TikTok по ошибке опубликовал внутреннюю версию своей ИИ-модели, предназначенную для создания видеорекламы — цифровые аватары актёров позволяют бизнесу генерировать ролики под свой продукт. Но тестовая версия идёт без ограничений по промптам, позволяя оцифровать любой контент.
Что делают журналисты CNN, добравшись до модели? Конечно, начинают клепать ролики с цитатами Гитлера, четырнадцатью забавными словами и прочими любимцами околоспортивной молодёжи, живущими rent-free в голове каждого либерального писаки на Западе. А также призывами пить отбеливатель для здоровья. И всё это без ИИ-вотермарки. В итоге получилась такая себе сенсация, ссылку быстро прикрыли, а журналисты задаются вопросом, готов ли TikTok бороться с злоупотреблениями Гитлером и дезинформацией. Готовы ли мы к обществу нулевого доверия, которое вскоре породит ИИ-контент, вопрос гораздо интереснее. Увы, ему CNN отводит лишь пять секунд в конце репортажа.
@tomhunter
#news Опенсорсную малварь под Андроид Ratel RAT активно используют для атак по устаревшим устройствам. Исследователи насчитали больше 120 кампаний по её распространению. Часть использует рансомварь-модуль для блокировки устройств, но RAT также засветился в атаках по оборонке и госорганизациям.
Основным вектором атаки идут фейковые приложения вроде Instagram, WhatsApp и антивирусов. Значительная часть атак пришлась на США и Китая, но есть достаточно случаев и в России. Большинство заражений идёт по версиям Андроида 11 версии и старше, лишь 12,5% затронули версии 12 и 13. Получается такой своеобразный налог для не желающих участвовать в нескончаемой карусели смены моделей и носящих в кармане кирпич почтенного возраста. Один заход не в ту онлайн-дверь, и старичок получает вредоносный APK, который на версиях новее бы не сработал. Подробнее о Rafel RAT в отчёте.
@tomhunter
26-28 июня в Технопарке «Сколково» в рамках «Tech Week» пройдёт конференция «Tech for Corprorations». Её главными темами станут внедрение технологий и модернизация, киберзащита и безопасная работа с данными, а также проблемы замещения попрощавшегося с РФ софта — с кейсами и решениями.
Если вы директор IT-отдела, поставщик IT-продуктов или, конечно же, специалист по инфобезу, на конференции найдётся что-нибудь актуальное. От T.Hunter в ней примет участие Игорь Бедеров, руководитель нашего департамента расследований, и 27 июня представит наш продукт ThreatHunter DRP — SaaS-решение для поиска и нейтрализации киберугроз. Получить программу конференции и забронировать билет можно здесь. Присоединяйтесь, будет интересно!
@tomhunter
#news Пятничный пост о приключениях Брайана Кребса по следам его любви к русским злоумышленникам и не только. В марте он опубликовал расследование о Radaris — брокере данных сомнительного плана. Как выяснилось, за его фейковым CEO скрываются двое русских братьев, которые также держат кучу сайтов для иммигрантов из России, с партнёрскими программами и прочим. Ну а теперь они грозят Кребсу судом по делу о клевете.
Адвокат братьев Любарских сначала потребовал удалить статью и принести им извинения. Затем требования ограничились исключением имён из статьи и, кхм, «помощью с удалением её копий из Интернета». При этом к последнему письму адвокат опрометчиво приложил резюме клиентов. И по информации из них Кребс накопал ещё больше компромата на парочку. В общем, живёт свою лучшую жизнь. Главное, чтобы большой и малый Любарский от обиды не увезли его на подвал решать проблему по старинке. Без Кребса увлекательный мир OSINT’a по нашему отечественному изрядно обеднеет.
@tomhunter
#news Кульминация приключений «Лаборатории Касперского» на западном рыночке: США ввели запрет на продажу ПО компании в стране. Всё это, как водится, из-за угрозы национальной безопасности и предполагаемого сотрудничества с российскими властями.
США опасаются, что по запросу товарища майора софт от Касперского превращается в инфостилер или бэкдор в американских системах. Так что с 20 июля идёт запрет на новые соглашения, с 29 сентября — на обновления текущим клиентам. WL-продукты тоже под запретом. Кроме того, наряду с Huawei компания попадёт в пресловутый Entity List — список организаций, угрожающих нацбезопасности США. Тем, кто продолжит пользоваться продуктами Касперского, штрафы не грозят, но через 100 дней не грозят и обновления. Компания, как обычно, все обвинения отрицает и обещает судиться за право нести свой софт простым — и не только — американцам. Но здесь уже шансы невысоки.
@tomhunter
#news Криптобиржа Kraken сообщила о краже $3 миллионов со своих счетов. Случай оригинальный. Началось всё с того, что биржа получила BB-репорт по критической уязвимости. Некий исследователь сообщил, что баг позволяет пополнить счёт, не проводя депозит. Баг исправили в течение часа, но обнаружили, что им воспользовались три юзера, стянув крипту. Тот самый исследователь и его подельники.
Деньги они возвращать отказались, вышли на связь с менеджментом и потребовали выплатить им предполагаемую сумму, которую биржа потеряла бы, если бы им не сообщили об уязвимости. Подробности последней тоже не раскрыли — видимо, не рассчитывали, что её оперативно исправят. Владельцы биржи от такого слегка ошалели и переквалифицировали кейс под вымогательство, уведомив органы. Такая вот получилась проверка на прочность для блокчейнового белошляпочника. Эти ребята её с треском провалили.
@tomhunter
#news Вычислительные мощности продолжают расти, что означает плохие новости для паролей. Так, свежее исследование показывает, что RTX 4090 может не только способствовать эскапизму. Но и подобрать восьмизначный пароль из букв одного регистра и цифр — то есть 36 потенциальных символов для английской раскладки — всего за 17 секунд.
Более того, 59% от существующих паролей ломаются меньше, чем за час. На 45% хватит минуты, на 73% уйдёт меньше месяца. И в большинстве паролей (57%) содержатся словарные слова, что резко снижает их надёжность. Это всё, например, к вопросу о том, как утёкшие хранилища LastPass привели к многомиллионным криптокражам месяцы спустя. Иначе говоря, современные GPU делают длинные пароли, сгенерированные случайным образом, насущной необходимостью. Как и двухфакторку с неповторяющимися паролями. Но попробуй донести это до среднего юзера.
@tomhunter
#news Злоумышленники используют всплывающие окна с фейковыми ошибками в Chrome, Word и OneDrive для доставки малвари. Окно предлагает пользователю нажать кнопку «Скопировать фикс», под которой скрывается PowerShell-скрипт, а затем запустить его через Windows PowerShell.
Запущенный скрипт проверяет систему на песочницу и подтягивает дополнительную вредоносную нагрузку. Вектор атаки необычный, но он набирает популярность. Пример окна на скрине. С одной стороны, любому хоть немного знакомому с ИБ человеку очевидно, что пихать неизвестные скрипты в консоль — дурацкая затея. С другой, неискушённый юзер может принять это за убедительную инструкцию, так как с социнженерией здесь всё в порядке. Подробнее об атаке в отчёте.
@tomhunter
#news К новинкам малвари. Замеченный в сети вредонос DISGOMOJI мало чем выделяется по функциональности, но интересен подходом к управлению. В качестве С2 у него Discord, а команды выполняются с помощью эмодзи.
Злоумышленники отправляют эмодзи с параметрами в канал, который слушает малварь. К их выбору подошли творчески — пример команд на скрине. В ответ малварь шлёт эмодзи часов, пока обрабатывает запрос, и ставит галочки на выполненные. Судя по всему, это всё рассчитано на обход решений, отслеживающих текстовые команды. Саму малварь используют пакистанские хакеры, ломая правительственный дистрибутив BOSS индийского правительства. Но оригинальный подход легко перевести и на любые другие дистрибутивы. Так что теперь у нас есть не только приложения для общения из одних эмодзи, но и работающий на них вредонос. Так и живём.
@tomhunter
#news Исследователи представили новую атаку по ML-моделям. Она эксплойтит питоновский формат Pickle, столь же популярный, сколь и незащищённый. В отличие от иных атак по системам разработчика, Sleepy Pickle ведёт к компрометации самой модели.
Атака подразумевает внедрение вредоносного кода в файл Pickle и его доставку по целевой системе жертвы через AitM-атаки, фишинг и иные векторы. При десериализации модель может обзавестись бэкдором или отравленной выдачей. В качестве примера от исследователей в модель вводят информацию «отбеливатель лечит простуду», и юзер на соответствующий вопрос получает предложение пить горячий чай с лимоном, мёдом и отбеливателем. Чем это отличается от модели, натасканной на комментариях щитпостеров с Реддита, неясно. Но у атаки, конечно, могут быть и более серьёзные применения. Подробнее о ней с персистентностью и обфускацией в отчёте, раз и два.
@tomhunter
#news В сети новый фишинговый тулкит от товарища mr.d0x, на этот раз с эксплойтом прогрессивных web-приложений. Он позволяет создать окна логина в корпоративные аккаунты для кражи данных доступа.
При скачивании с условного фишингового сайта, PWA из тулкита может отобразить убедительное окно, дизайн которого ограничен только фантазией злоумышленника. На скрине фейковое окно от Microsoft 365. По аналогии с BitB-китом интегрирована фейковая адресная строка для большей убедительности. С учётом того, что фишинг через PWA — вещь относительно новая и редко упоминаемая в ИБ-программах для сотрудников компаний, у атаки есть неплохие шансы на успех. Демо от mr.d0x’a доступно на GitHub. А здесь видео с примером работы.
@tomhunter
#news Китайские госхакеры продолжают демонстрировать впечатляющие результаты: согласно новому отчёту от нидерландских безопасников, масштабы шпионской кампании китайцев по CVE-2022-42475 в FortiOS были больше, чем предполагалось. За несколько месяцев в 2022-м и 2023-м были взломаны не меньше 20 тысяч систем Fortigate.
Ещё пока уязвимость была нулевым днём, китайцы заразили 14 тысяч устройств. Десятки западных правительств, международные организации, оборонка. С учётом персистентности назвать точное число жертв невозможно, и, скорее всего, доступ ко многим систем у Китая есть до сих пор. А нидерландское Минобороны от масштабных утечек уберегла только сегментация сетей. В общем, сумрачный китайский гений в деле. Это вам не боевые канальчики в Телеграме вести.
@tomhunter
#news Новость из серии «Стыдно быть вольным киберпреступным хабом». После рансомварь-атаки 3 июня по поставщику медицинских услуг Synnovis в Лондоне встали несколько больниц. Были перенесены или отменены несрочные операции, переливания и приёмы. А теперь в больницах заканчивается кровь.
Из-за отвалившихся систем нет возможности оперативно сопоставлять доноров и пациентов. Для переливания вынуждены использовать универсальную первую группу, её запасы иссякают. Больницы запросили её доноров срочно сдать кровь для продолжения процедур. Кто провёл атаку? Предполагают, русскоязычная RaaS-операция Qilin. Как считает британская NCSC, стоящие за атакой слабо себе представляли, какой ущерб они нанесут, и просто заинтересованы в выкупе. Так и живём.
@tomhunter