Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователь Йоханес Нугрохо раскрыл подробности метода взлома для шифрования Akira ransomware и восстановления исходных файлов.

На основе результатов своего исследования разработал дешифратор для Linux-версии Akira, который задействует вычислительную мощность GPU для извлечения ключа дешифрования и разблокировки файлов.

При этом сам метод не универсален и работает только с вариантами Akira 2024.

За разработку дешифратора Йоханес взялся после обращения его друга с просьбой о помощи.

Тогда он рассчитал, что зашифрованную систему можно взломать за неделю, учитывая, что Akira генерирует ключи шифрования с использованием временных меток (в наносекундах).

Но в виду непредвиденных сложностей на это потребовалось три недели и 1200 долларов на аренду мощности графического процессора, которая позволила взломать ключ шифрования.

Дешифратор работает иначе, нежели традиционные инструменты дешифрования.

Он перебирает ключи шифрования (уникальные для каждого файла) в расчете на то, что шифратор Akira генерирует свои ключи шифрования на основе текущего времени в качестве начального числа.

Начальное значение шифрования - это данные, используемые с криптографическими функциями для генерации сильных, непредсказуемых ключей шифрования.

Akira полагается не на один момент времени, а использует четыре, каждый с наносекундным разрешением.

Генерация ключа сложна, включает 1500 раундов SHA-256 для каждой временной метки.

Уровень точности временных меток реализует более миллиарда возможных значений в секунду, что затрудняет подбор ключей с помощью брута.

Кроме того, Akira на Linux шифрует несколько файлов одновременно, используя многопоточность, что затрудняет определение используемой временной метки и еще больше усложняет ситуацию.

Исследователь сузил возможные временные метки, просмотрев файлы журналов, которыми поделился его друг.

Это позволило увидеть, когда была запущена программа-вымогатель, метаданные файла для оценки времени завершения шифрования и создать бенчмарки шифрования на различном оборудовании для создания предсказуемых профилей.

Первые попытки с использованием RTX 3060 были слишком долгими, с потолком всего в 60 млн. тестов шифрования в секунду. Обновление до RTC 3090 тоже не помогло.

В конце концов исследователь обратился к облачным сервисам RunPod и Vast.ai, чтобы подтвердить эффективность своего инструмента.

В частности, он задействовал шестнадцать графических процессоров RTX 4090 для подбора ключа дешифрования примерно за 10 часов.

Однако в зависимости от количества зашифрованных файлов, требующих восстановления, процесс может занять несколько дней.

Исследователь отметил в своей статье, что эксперты по графическим процессорам могут оптимизировать его код, поэтому производительность, вероятно, может быть улучшена.

Дешифратор доступен на GitHub вместе с инструкциями по восстановлению файлов, зашифрованных Akira.

📄 У ГК «Солар» вышел отчет "Ключевые уязвимости информационных систем российских компаний" за 2024.

▶️Внешний периметр 91% компаний оказался уязвим к атакам, успешная реализация которых может привести к проникновению во внутреннюю сеть, компрометации узлов внешнего периметра или получению доступа к чувствительным данным и критичным внешним системам и приложениям.

▶️Одними из самых распространенных проблем внешних периметров российских компаний остаются слабые пароли (38%) и устаревшие версии программного обеспечения, подверженные различным уязвимостям (32%);

▶️Самым распространенным недостатком веб-приложений оказалось раскрытие отладочной и конфигурационной информации (70%).

▶️Самые распространенные недостатки серверной части мобильных приложений связаны с раскрытием отладочной и конфигурационной информации (53%) и некорректной реализацией контроля доступа (40%). А основной проблемой клиентской части в 2024 году стало отсутствие обфускации исходного кода мобильного приложения (40%).

👉 Источник: https://rt-solar.ru/upload/iblock/167/nwp1jck6a3smiv3v8jc0uyv33araze5p/PDF_Analiticheskiy-otchet-po-pentestu-2024.pdf

✋ @Russian_OSINT

🇰🇵Северная Корея делает ставку на ИИ и наступательный киберпотенциал

По данным южнокорейских СМИ Daily NK из 🇰🇷Сеула, КНДР якобы запустила в работу новый исследовательский центр «227» под управлением Генерального разведывательного бюро (ГРБ), пытаясь сосредоточить усилия на разработке наступательных кибертехнологий, включая разработку ИИ-инструментов и ПО для кражи данных/ взлома. По словам источника Daily NK, создание Центра якобы началось 9 марта по прямому указанию Ким Чен Ына. Он будет расположен в районе Мангёндэ, отдельно от основной штаб-квартиры ГРБ в Пхеньяне.

Утверждается, что ключевой задачей центра является разработка технологий для нейтрализации западных систем кибербезопасности, а также создание автоматизированных программ для сбора и анализа информации. Основной упор делается именно на наступательные возможности, а не только сбор разведданных.

Центр будет функционировать круглосуточно 24/7, оперативно реагируя на запросы от хакерских подразделений, действующих за рубежом. Если верить информации источника Daily NK, то КНДР постепенно переходит к более централизованной стратегии ведения информационной войны. В перспективе ожидается полная автоматизация атакующих инструментов с использованием ИИ.

Новому центру для решения своих задач понадобится около 90 высококвалифицированных специалистов, окончивших высшие образовательные учреждения с углублённой подготовкой в области программирования и ИБ. Элитные кадры не будут участвовать в кибероперациях, но сосредоточатся на разработке инструментов для ведения высокотехнологичной кибервойны.

По данным источников, КНДР сделала качественный скачок в киберпространстве за последнее время. Основная ставка делается на ИИ, масштабируемость киберопераций и оперативное реагирование в реальном времени.

✋ @Russian_OSINT

😎xAI, Nvidia, Microsoft, MGX и 👹 BlackRock строят будущее ИИ

🦆Компания Илона Маска xAI и 🖥Nvidia стали полноправными участниками крупнейшего инвестиционного проекта в области искусственного интеллекта, в рамках которого объединяются усилия совместно с 💸 BlackRock, Microsoft и инвестиционным фондом 🇦🇪MGX [1,2]. Совместный фонд 🤯 AI Infrastructure Partnership намерен привлечь $30 млрд инвестиций на начальном этапе с перспективой увеличения до $100 млрд за счёт долгового финансирования.

Речь идёт о попытке решить острую проблему дефицита ⚠️ мощностей, который неизбежно возникнет в ближайшие годы по мере расширения применения ИИ в различных сферах. Уже сегодня генеративные модели требуют колоссальных объёмов вычислений и затрат по электроэнергии, значительно превышающих потребности предыдущих технологических поколений.

До настоящего времени Nvidia оказывала проекту техническую поддержку, однако теперь становится его полноправным партнёром в совместном проекте, как и компания Маска xAI. Последняя позиционирует себя как альтернатива лидерам рынка вроде OpenAI и уже использует кластер из более чем 🖥 100 000 графических процессоров Nvidia, планируя нарастить "ИИ-парк" до более чем 1 млн GPU.

Финансовую поддержку ИИ-проекту существенно оказывает 🇦🇪Абу-Даби. Инициативу курирует советник по нацбезопасности шейх Тахнун бин Зайед Аль Нахайян, который недавно встречался с президентом США Дональдом Трампом в Вашингтоне. По его словам, ИИ станет основой будущего.

👆 По оценке Международного энергетического агентства, к 2026 году объём потребления электроэнергии дата-центрами может превысить 1 000 тераватт-часов, что более чем вдвое превышает уровень 2022 года.

Если попросить Grok в режиме 📖Deep Research проанализировать финансовые показатели BlackRock, то он выдаёт инфу, что активы под управлением (AUM) достигли рекордного показателя роста в 2024 году. Компания к концу 2024 управляла активами на $11,5 триллионов.

✋ @Russian_OSINT

🧬 23andMe подала заявление на банкротство

Некогда символ успеха биотехнологического сектора американская компания 23andMe подала заявление о банкротстве. Дело в том, что капитализация фирмы рухнула с $3,5 млрд в 2021 году до текущих $50 млн. Основными причинами банкротства стали снижение доходов, высокие операционные расходы и неудачные стратегические решения. Совет директоров пришёл к выводу, что только продажа через контролируемую судом процедуру в рамках Главы 11 может позволить сохранить остаточную стоимость активов.

В сентябре 2024 года семь независимых директоров совета ушли в отставку, выразив недовольство направлением развития компании под руководством CEO Энн Войцки (или Энн Воджицки). Войцки неоднократно пыталась выкупить компанию, но её предложения, включая последнюю заявку в марте 2025 года — $0,41 за акцию, были отклонены советом директоров.

Руководство 23andMe сократило штат на 40% (около 200 человек) и свернуло разработку своих продуктов в ноябре 2024.

👉 Банкротство стало кульминацией кризиса, усугублённого утечкой данных, которая затронула 🚰6,9 миллиона клиентов. В сентябре 2024 года 23andMe согласилась выплатить $30 миллионов в рамках урегулирования иска по факту утечки ПД клиентов.

Тем не менее утечка данных не cтала основным фактором банкротства 23andMe.

✋ @Russian_OSINT

🙄 Steam вновь в центре внимания из-за 🦠вредоносной демо-игры Sniper Phantom’s Resolution

Платформа Steam снова оказалась в центре скандала после того, как сообщество пользователей обнаружило, что демо-версия игры Sniper: Phantom’s Resolution является замаскированным инфостилером. 😱 После шквала сообщений от энтузиастов в адрес компании Valve — игру оперативно удалили с платформы.

Игра "Sniper: Phantom’s Resolution" была анонсирована в Steam с запланированным релизом во втором квартале 2025 года. Дабы не привлекать внимание антивирусных движков разработчик игры в самом Steam на оф.странице оставил сайт, где, как утверждалось, можно скачать демо-игру.

👋 Геймерам при переходе по внешним ссылкам (сайт + потом еще один сторонний сайт) предлагалось установить подозрительный файл SmartScreen.exe (Windows Defender), которых требовал права администратора.

⚠️Согласно сообщениям пользователей реддит, анализ в 💻 изолированной среде выявил все признаки инфостилера: утилита elevate.exe для повышения привилегий, Node.js-обёртка wincrypt для работы с Windows API шифрования [он может использоваться для дешифровки сохранённых паролей, токенов или других защищённых данных], обфусцированные скрипты и закрепление в автозагрузке под названием updater.lnk. Вредонос связывался с репозиторием на GitHub, чтобы подтянуть дополнительные вредоносные модули.

Запускался также инструмент перехвата и анализа сетевого трафика Fiddler, который может использоваться для кражи токенов аутентификации, cookies и другой информации, передаваемой в браузере. Создавалась постоянная точка запуска updater.lnk, ссылающаяся на вредоносный исполняемый файл, размещённый в папке AppData, тем самым обеспечивая устойчивость малвари при перезапуске системы.

Примечательно, что домен сайта был зарегистрирован через Porkbun всего за 11 дней до инцидента.

Сам разработчик Sierra Six Studios попытался опровергнуть свою причастность к инциденту. По его словам, кто-то другой создал поддельный сайт и разместил там вредоносный файл, выдавая себя за его студию. Он настаивает на том, что стал "жертвой подставы".

"Мы хотим сообщить вам, что наша игра Sniper: Phantom's Resolution будет доступна исключительно в Steam. Любые другие сайты, ссылки или предложения, утверждающие, что наша игра доступна вне Steam, являются мошенническими и могут представлять угрозу безопасности.

Чтобы избежать мошенничества и потенциальных проблем, пожалуйста, убедитесь, что вы скачиваете игру только с официальной страницы Steam, и не обращайте внимания на другие источники. Мы никогда не распространяем ключи активации или установочные файлы через сторонние сайты.

— сообщает разработчик в Steam, пытаясь оправдаться.

Пользователи ясное дело не поверили в эти пустые заявления. Какие несостыковки в версии разраба увидели юзеры? Причем здесь ключи?

Домен sierrasixstudios[.]dev был зарегистрирован 10 марта 2025 года через Porkbun. Игра появилась в Steam 17 марта. Утверждение, что они не успели зарегистрировать домен, и он был куплен третьей стороной неубедительно.

У студии нет нет GitHub-истории, блога, официальных соцсетей, девлогов. Всё появляется сразу и только в момент "релиза", что характерно для фейковых проектов, созданных под заражение.

— пишут юзеры.

Особо зоркие пользователи обнаружили то, что разраб в Steam залил скриншот игры, не зная как она пишется. Некоторые скрины могли быть заимствованы из других проектов или сделаны на скорую руку.

Орфографическая ошибка — на скрине Phatnom вместо Phantom [на скрине]. 🍿Просчитался разработчик, но где?

👨‍💻 GitHub быстро снесли репозиторий разработчика. Домен потух.

📖 Действительно, а как так получилось, что сайт разраба с доп.ссылкой на вредонос случайным образом оказался официально закрепленным к проекту в Steam (веб-архив помнит)? Схема c вредоносом: переход на страницу игры в Steam — переход по ссылке на sierrasixstudios[.]dev — и там опять переход на скачивание с хостинга medifire.

👉Это уже второй громкий случай за последнее время: ранее Steam удалил игру🏴‍☠️PirateFi с 🦠 вирусом внутри и предложил геймерам переустановить ОС.

✋ @Russian_OSINT

Каналы @CyberSachok (Sachok) и @package_security («Пакет Безопасности») составили второй рейтинг лучших 📲 Telegram-каналов в ИБ-отрасли, а также расширили выборку и добавили новые категории. Главный критерий — контент.

❤️Канал @Russian_OSINT попал в топ. Спасибо коллегам, подписчикам и читателям канала! 🫶Вы лучшие!☀️

✋ @Russian_OSINT

🖥 Keenetic в связи с утечкой порекомендовал пользователям сменить пароли от Wi-Fi и не только...

Keenetic сообщает у себя на сайте:

В свете недавно обнаруженной информации Keenetic Limited информирует пользователей мобильного приложения Keenetic, зарегистрировавшихся до 16 марта 2023 г., о том, что часть данных их мобильного приложения могла быть скомпрометирована из-за несанкционированного доступа к базе данных.

Утром 15 марта 2023 г. независимый исследователь по IT-безопасности сообщил нам о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic. После проверки характера и достоверности риска мы незамедлительно устранили проблему в тот же день, 15 марта 2023 года. Исследователь заверил нас, что не передавал данные кому-либо и уничтожил их. С тех пор до конца февраля 2025 года у нас не было никаких свидетельств о компрометации базы данных или о том, что какой-либо пользователь пострадал.

28 февраля 2025 г. мы узнали, что некоторая информация из базы данных была раскрыта независимому СМИ. В связи с этим мы пришли к выводу, что больше не можем гарантировать, что данные были должным образом уничтожены, и часть информации теперь может находиться вне нашего контроля.

Тем не менее, учитывая характер данных, которые потенциально могли быть раскрыты, мы считаем, что риск недобросовестных действий остается низким.

💬Компания официально рекомендует пользователям Keenetic, чьи данные могли быть скомпрометированы, сменить следующее:

💠пароли учетных записей пользователей устройств Keenetic;
💠пароли Wi-Fi;
💠логины и пароли некоторых VPN-клиентов.

👺 Отдельно провести мониторинг сетевой активности на предмет подозрительных действий.

Приносим извинения за любые неудобства и подтверждаем, что были приняты все необходимые меры для предотвращения подобной ситуации в будущем.

— просит понять и простить.

В статье Cybernews со ссылкой на Shadowserver Foundation утверждается, что на сегодняшний день большинство обнаруживаемых роутеров Keenetic находятся в 🇷🇺России (70%), далее следует 🇺🇦Украина (14%) и 🇹🇷Турция (5%).

🚰 В результате утечки были скомпрометированы следующие объёмы данных:

💠1 034 920 записей с персональными данными пользователей — имена, e-mail-адреса, языковые настройки, идентификаторы Keycloak и Telegram Code ID.
💠929 501 запись с технической информацией об устройствах — SSID и пароли Wi-Fi в открытом виде, модели и серийные номера устройств, MAC-адреса, ключи шифрования, доменные имена для внешнего доступа.
💠558 371 конфигурационная запись маршрутизаторов — учётные данные пользователей, пароли, захешированные устаревшим алгоритмом MD5, IP-адреса и расширенные настройки устройств.
💠53 869 785 записей логов — IP-адреса, MAC-адреса, названия хостов, детали доступа, специальные флаги (например, "owner_is_pirate").

🥷 По информации анонимуса, в утекшей базе содержатся данные как минимум 943  927 русскоговорящих пользователей (согласно locales).

😕 Список того, что потенциально могли получить злоумышленники:

Данные, которые могли оказаться у злодеев:
🔻 Идентификаторы Keycloak
🔻 Email-адреса (логины)
🔻 Имена аккаунтов Keenetic
🔻 Локали (языковые настройки)
🔻 Конфигурации учётных записей устройств
🔻 MD5 и NT-хеши паролей
🔻 KeenDNS — пользовательские доменные имена
🔻 Сетевые интерфейсы — конфигурации
🔻 Wi‑Fi SSID
🔻 Wi‑Fi pre-shared keys (в т.ч. WPA)
🔻 Wi‑Fi channel settings
🔻 Roaming IDs и ключи
🔻 IP policy & traffic shaping
🔻 Удалённые peer-адреса "зашифрованных туннелей"
🔻 Логины и пароли "зашифрованных туннелей"
🔻 Назначенные IP-адреса
🔻 Имена и MAC-адреса зарегистрированных хостов
🔻 IPSec Site-to-Site
🔻 IPSec Virtual-IP server
🔻 DHCP pool settings
🔻 NTP settings
🔻 Списки доступа по IP и MAC

Данные, которые вроде бы не были затронуты:

🔻Данные RMM
🔻Данные учётной записи Keenetic
🔻Конфигурации Ope**N и Wireg***d, их данные и ключи

😕 По мнению Keenetic, риск недобросовестных действий остается низким. Спорное утверждение.

📊 По данным Shadowserver, общее количество устройств Keentic в РФ насчитывает (статистика за последние 30 дней) — 409 664 роутеров.

✋ @Russian_OSINT

🇲🇾Малайзия отвергла ультиматум хакеров заплатить им $10 миллионов после ransomware-атаки на ✈️аэропорт Куала-Лумпура

Премьер-министр Малайзии Анвар Ибрагим публично отказался выплачивать выкуп в $10 миллионов, который потребовали хакеры за прекращение масштабной кибератаки на международный аэропорт Куала-Лумпура (KLIA). Инцидент затронул важные компьютерные системы, вызвав перебои в работе аэропорта и поставив под угрозу безопасность пассажиров. Предполагается, что это была вируса-вымогателя, учитывая требование денежного выкупа.

Анвар заявил, что требования киберпреступников долго не обсуждались: «Когда мне сообщили об этом, я не колебался ни секунды. Я сразу сказал нет». Он подчеркнул, что 🇲🇾 Малайзия не пойдёт на поводу у шантажистов, независимо от того, действуют ли они внутри страны или извне. Заявление стало первым официальным подтверждением кибератаки на аэропорт.

👮Национальное агентство кибербезопасности и оператор аэропортов MAHB заявили, что часть IT-инфраструктуры действительно была выведена из строя. По данным экс-депутата Ве Чу Кеонга, сбой длился около 10 часов, в течение которых информация о рейсах обновлялась вручную — на большой белой доске.

✋ @Russian_OSINT