Суть современного блогинга с уклоном в аналитику:
✍️ На протяжении 2-3 часов 🧠верифицируешь источники, делаешь фактчекинг, пишешь текст, размышляешь, 👀 снова переписываешь, редактируешь финальный пост = 3000 просмотров под конец дня.
.....
😹 За 40 секунд сделал ИИ-картинку котика из 👩💻 ChatGPT с🍹коктейлем на пляже. Запостил в канал = 5000 просмотров под конец дня.
🙃Классика жанра.
✋ @Russian_OSINT
.....
🙃Классика жанра.
Please open Telegram to view this post
VIEW IN TELEGRAM
18 июня 2025 года в Соединенные Штаты был экстрадирован участник киберпреступной группировки Ryuk. 33-летний мужчина, арестованный в Киеве в апреле 2025 года по запросу ФБР, специализировался на получении первоначального доступа к корпоративным сетям.
Данная экстрадиция стала результатом расследования, начатого в 2023 году. Тогда правоохранительные органы семи стран, включая Украину, США, Францию, Норвегию, Нидерланды, Германию и Швейцарию, при поддержке Европола и Евроюста провели масштабную операцию против международной хакерской группы. Утверждается, что группа стояла за атаками на компании в 71 стране с использованием программ-вымогателей LockerGoga, MegaCortex, HIVE и Dharma. Именно анализ данных, полученных в ходе тех следственных действий, позволил идентифицировать подозреваемого.
Роль подозреваемого заключалась в «поиске уязвимостей в корпоративных сетях». Полученные им данные передавались сообщникам для планирования и осуществления последующих кибератак. Для проникновения в сети злоумышленники использовали различные техники, включая атаки методом перебора (брутфорс), SQL-инъекции и фишинговые рассылки. После получения доступа применялись такие инструменты, как TrickBot, Cobalt Strike и PowerShell Empire, для закрепления в системе перед развертыванием программы-вымогателя.
Группировка Ryuk действовала в период с 2018 по середину 2020 года и, по разным оценкам, заработала на выкупах около 150 миллионов долларов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Корпорация Microsoft готовит очередную волну увольнений, которая затронет тысячи рабочих мест преимущественно в сегменте продаж. Ожидается, что об увольнениях объявят в начале июля, после завершения финансового года компании. "Забота" о людям последует сразу за майским сокращением 6000 позиций, коснувшимся в основном инженеров, программистов и разработчиков.
В статье говорится о «тысячах рабочих мест» (thousands of jobs), но конкретная цифра не называется.
👆Реструктуризация напрямую коррелирует с многомиллиардными инвестициями корпорации в серверную инфраструктуру для развития искусственного интеллекта.
В Amazon также ожидаются сокращения в пользу ИИ. Генеральный директор Amazon Энди Джесси заявил, что внедрение генеративного искусственного интеллекта фундаментально изменит кадровую структуру компании. Согласно служебной записке, по мере развертывания большего числа ИИ-агентов Amazon ожидает снижения потребности в корпоративных сотрудниках на определённых должностях. Джесси сформулировал это следующим образом: «Нам потребуется меньше людей для выполнения некоторых задач, которые выполняются сегодня, и больше людей для выполнения других видов работ».
Недавний опрос Всемирного экономического форума показал, что 40% работодателей планируют сокращать персонал на позициях, функционал которых поддаётся автоматизации с помощью искусственного интеллекта.
Ранее Goldman Sachs прогнозировал, что около
Please open Telegram to view this post
VIEW IN TELEGRAM
🧬Анатомия хайпа: утечка на «16 миллиардов паролей»
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке🛡 Национального координационного центра по компьютерным инцидентам (НКЦКИ).
✋ @Russian_OSINT
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Вестник Киберполиции России
Сообщения о неправомерном доступе к счетам, финансировании запрещенных организаций, оформленных на граждан Украины доверенностях.
Сообщения о блокировке счетов или необходимости перевода средств на "безопасные счета".
Звонки с предложением заменить домофоны или счетчики, требующие сообщения кодов из SMS.
Сообщения о необходимости подтверждения данных через "Госуслуги" или МФЦ, чтобы "защитить аккаунт".
Звонки с предложением оформить льготы или страховку, требующие передачи личных данных.
Please open Telegram to view this post
VIEW IN TELEGRAM
Руководство Apple инициировали внутреннее обсуждение касательно вопроса о потенциальном поглощении стартапа Perplexity AI для усиления своего технологического и кадрового потенциала в области искусственного интеллекта.
По слухам, Apple хочет укрепить свои позиции в конкурентной технологической гонке за доминирование в сфере ИИ через приобретение состоявшихся игроков на рынке. Источники подчёркивают предварительный характер обсуждений. Пока «они находятся на ранней стадии и могут ни к чему не привести».
Please open Telegram to view this post
VIEW IN TELEGRAM
Канал 🔨 SecAtor — @true_secator пишет интересное:
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - [email protected]
Для связи - [email protected]