T.Hunter | информационная безопасность

#news Пятничные новости с анализом самых распространённых пин-кодов в мире. Результаты более чем предсказуемые: в топе 1234, 1111, 0000 и далее по списку простых последовательностей. На первом месте пин-код, составляющий почти 11% от 3,4 миллионов изученных, первая тройка — 18% от массы. Почётное 10 место за 6969. Используя же всего 20 комбинаций, можно отгадать 26% пин-кодов. Годы рождения тоже не особо надёжны: в топе на 7 месте молодёжь из 2000-го. В целом же комбинации на 19?? в первых 20% проанализированного дата-сета. Среди наиболее уникальных различимых паттернов нет. Когда же речь заходит о 5-значных кодах, воображение юзеров совсем даёт слабину: 22,8% составляет последовательность 12345. Больше цифрового аутизма на вечер с графиками и картами по ссылке. @tomhunter

#news Раньше всплывали новости о гениальной преступной схеме северокорейцев — работе айтишниками в компаниях по всему миру для финансирования КНДР. А теперь последовало наказание: в США и Польше арестованы некие Кристина Мари Чэпмен и Александр Диденко. Им предъявлены обвинения по полудюжине статей о мошенничестве. Чэпмен держала дома в США ферму из 60 рабочих ноутбуков, к которым подключались северокорейцы, чтобы создать иллюзию работы из Штатов. Она же отмывала их зарплаты. Диденко тоже участвовал в создании ферм, а помимо этого держал платформу UpWorkSell с поддельными личностями, сотни прокси-серверов и сервисы денежных переводов. В итоге северокорейские стахановцы заработали ~$7 миллионов, нанесли ущерб своим трудолюбием более 300 компаниям в США, а арестованным грозят сроки до 97,5 и 67,5 лет, соответственно. Вот и поработали. @tomhunter

#news Пока Apple продвигает свою технику под брендом приватности для элиты всех сортов, пользователи знакомятся с обратной стороной использования яблочной продукции. В iOS 17.5 на устройствах начали всплывать удалённые ранее фото. Старые фотографии появляются как недавно добавленные, на очищенных по гайдлайнам от Apple устройствах, после смены нескольких и годы спустя. Один юзер заявил о появившихся фото из 2010-го года. С такими датами, вероятнее всего, они выгружаются из iCloud. Другие пользователи заявляют о том, что у них после апдейта вернулись стёртые голосовые сообщения, как уже было с бетой. В общем, либо Apple годами и десятилетиями хранит удалённые юзерами данные, либо они всплыли в результате глитча просто из неперезаписанных частей хранилищ. В любом случае такая вот приватность. Со звёздочкой. @tomhunter

#news О продаже нулевого дня под Outlook можно не переживать. По крайней мере, о продаже через BreachForums: сегодня сайт был перехвачен ФБР. Красочная заглушка вместо форума, всё как полагается. Безопасники в погонах утверждают, что у них на руках бэкенд-данные сайта. Если это действительно так, почты, айпишники и сообщения юзеров скоро будут изучать под лупой. Перехвачен также и канал в Телеграме, в котором теперь висит сообщение ФБР с аккаунта Бафомета с призывом стучать на обитателей форума по всем каналам связи. Свежая версия BreachForums продержалась с июня 2023-го, после того как сайт подняли хакеры из ShinyHunters. Теперь на нём красуются аватарки администраторов, самих ShinyHunters и товарища Baphomet, с решёточками. Что как бы намекает на дальнейшие планы любителей чертовски хорошего кофе в отношении продолжателей дела Pompompurin’a и Omnipotent. @tomhunter

#news В Нидерландах вынесли приговор одному из проводников цифрового будущего, сооснователю криптомиксера Tornado Cash. 31-летний Алексей Перцев приговорён к 5 годам и 4 месяцам заключения. У него также конфискуют ~$2 миллиона в крипте и Порше. Перцев был арестован в августе 2022-го сразу после санкций США в адрес Tornado Cash. Защита настаивала на том, что Перцев — невинный борец за приватность крипто-сообщества, а беспринципные киберпреступники абьюзили платформу для своих грязных дел. Увы, суд с этим не согласился и постановил, что криптомиксер был специально заточен под отмывание денег. В общем, спойлер того, что ждёт Романа Шторма, одного из разработчиков, в Штатах в сентябре. @tomhunter

#news Тревожные новости для пользователей Outlook. На одном небезызвестном форуме всплыл пост о продаже RCE-эксплойта под нулевой день. Злоумышленник утверждает, что протестировал его на версиях Microsoft Outlook 2016, 2019 LTSC 2021 и Microsoft 365 Apps for Enterprise. Цена вопроса — 1,700,000 долларов. Детали эксплойта раскроют покупателям, товарищи из ShinyHunters в качестве посредника, журналистов просят не беспокоить. Пока неясно, скрывается ли за этим что-то серьёзное или очередной незатейливый скам, но ShinyHunters накинули злоумышленнику репы и записали его в серьёзные юзеры, за которого они ручаются. Потенциальный ущерб от нулевого дня в Outlook сложно переоценить. Так что как минимум стоит следить за новостями. @tomhunter

#news Пока проходит отпевание LockBit, в сетевых дебрях идёт масштабная кампания с рассылкой энкриптора LockBit Black. Миллионы фишинговых писем шлют с конца апреля через ботнет Phorpiex, скорее всего, в комплекте с рансомварью, собранной утёкшим в 2022-м билдером. С самой LockBit эта рассылка, судя по всему, никак не связана. Фишинг простенький, без энтузиазма, с ZIP-архивом и бинарником внутри. Последний подтягивает через ботнет вредоносную нагрузку. Между тем желающим добить LockBit не составит труда создать им проблем. Достаточно было бы повторить фокус со слитым билдером в начале года, когда кое-кто хакнул им российскую компанию. Так что такой сценарий от желающих отвесить прощального пинка одному случайному невинному человеку никого не удивит. @tomhunter

#news По следам отгремевших новостей о деаноне LockBitSupp к делу подключается тяжёлая артиллерия: у Кребса классика OSINT-анализа по Дмитрию Хорошеву. Спойлер: это не случайный невинный человек, а персонаж с историей киберпреступных дел длиною в 14 лет. По следам почтовых ящиков и доменов Хорошева найдены посты на Opensc и Antichat в начале десятых. На форуме Zloy он был известен под ником NeroWolfe, кодер на C и C++ и разработчик малвари. С опсеком у него было не очень: на ящик с xakep[.]ru под аккаунты с хакерских форумов была создана страница в VK под реальным именем. Ну а после исчезновения последнего на три года в 2019-м всплыл небезызвестный товарищ Putinkrab, продававший RaaS на C. Прямых связей между ним и NeroWolfe Кребс не приводит, но параллелей достаточно. Материал как всегда интересный, а Хорошеву не позавидуешь: федералы слили на него всё, вплоть до адреса, ИНН и паспортных данных. @tomhunter

#news В новую неделю с новостей о чужой продуктивности: за два года рансомварь-группировка Black Basta взломала более 500 организаций. Согласно свежему отчёту от CISA, на ноябрь 2023-го злоумышленники получили не менее $100 миллионов выкупов от жертв. Black Basta считают возможным ребрендингом Conti. Профессионализм, отсутствие рекламы и набора на форумах, 20 жертв в первые пару недель после запуска — всё указывает на то, что это не новички и с начальным доступом у них всё в порядке. Группировка также успела взломать компании в 12 из 16 секторов критической инфраструктуры. Можно делать ставки, соберёт ли Black Basta полный набор, прежде чем по их собственную инфраструктуру придёт ФБР. @tomhunter

#news Пятничных новостей пост. Разборки вокруг Signal после свежей публикации о связях с Госдепом набирают обороты. По-крупному набрасывает пламенный борец за всея свободы и опенсорс Дуров: разработанное на деньги Госдепа шифрование Signal во всем штатовском бигтехе, сам Signal набит агентурой разведки и сливает переписку судам, пользуйтесь только неподкупным Telegram и т.д и т.п. К драме подключились прочие известные фигуры: хваливший Signal Маск жалуется на некие уязвимости, Бутерин пинает мессенджер за наличие цензурных аппаратчиков среди председателей. В ответ президент Signal парирует, ссылаясь на уязвимости в самом Telegram и то, что Дуров много болтает про приватность, а за кулисами сотрудничает с властями. Что справедливо. В общем, сцепились жаба с гадюкой и выясняют, кто больший борец за свободу слова. Ответ очевиден: никто из вышеперечисленных. Но при желании, конечно, можно записаться в фанбои той или иной играющей на публику в либертарианство знаменитости. @tomhunter

#news Dell сообщила о масштабной утечке пользовательских данных: потенциально затронуты 49 миллионов клиентов. Компания начала рассылку предупреждений позавчера, а данные, судя по всему, всплыли на продажу на Breach Forums в конце апреля. Взломан сайт компании с базой данных по покупкам с 2017-го по 2024-й годы. В своем заявлении Dell доверительно сообщает, что не считает, что украденные данные могут представлять опасность. Между тем в сливе имена и адреса покупателей, что довольно серьёзно, особенно с учётом масштабов. Пост с Breach Forums пропал — вполне возможно, базу приобрели злоумышленники. И теперь активно ищут возможности монетизировать покупку. Так что попавших в слив клиентов Dell могут ждать письма счастья с флешками с малварью и прочие радости. @tomhunter

#news Занятные новости про очередной приватный, защищённый и неподкупный сервис, мессенджер Signal. Как выяснилось, есть серьёзные основания сомневаться в его надёжности. На три миллиона долларов инвестиций от связанного с Госдепом фонда. И ввиду не менее интересного председателя Signal Foundation, Кэтрин Махер. Интересна она тем, что имеет крепкие связи с американской внешней политикой. Дамочка работала в организации, финансируемой правительством США, и курировала цифровые инициативы по арабской весне. А позже она мутировала в заморскую Мизулину, боролась с дезинформацией в Википедии и топила за онлайн-цензуру и блокировки. В общем, с такими председателями доверять Signal стоит, только пока переписка в нём не противоречит интересам американских спецслужб. Собственно, это касается чуть ли не каждого модного приватного мессенджера — финансирование у них зачастую из очень любопытных источников. @tomhunter