#news Сломать что-нибудь в системе свежим апдейтом — добрая традиция Microsoft, но на этот раз компания превзошла себя. Недавно выпущенные обновления Windows 11 24H2 KB5063878 и KB5062660, судя по всему, корраптят жёсткие диски.

Жёсткие отваливаются при записи крупных файлов (на десятки гигабайт). Заметивший проблему юзер пишет, что где-то на 50 GB записи сыпятся разделы, в худшем случае намертво. Проблема затронула SSD, особенно с контроллерами от Phison (это условно каждый пятый жёсткий), есть репорты и по HDD. Спекулируют, что проблема в утечке памяти в буфере ОС. Официальных комментариев пока нет, но Phison подтвердила, что работает с Microsoft над проблемой, так что это вжжж неспроста. Ну а пока счастливым пользователям Windows 11 рекомендуют не писать и не разархивировать крупные файлы. Для верности можно и вредоносные обновления откатить.

@tomhunter

#news В США задержали 22-летнего оператора DDoS-сервиса RapperBot. В документах дела занятные подробности того, как злоумышленник берёг свой бизнес от преследования: никаких атак по KrebsOnSecurity.

В RapperBot на пике были ~65 тысяч устройств, в марте с него дудосли eX-Твиттер, но в целом двое операторов держались в тени — атаки дольше минуты только для премиальных клиентов, и сайт Кребса под запретом. После атаки ботнета Aisuru по нему 20 мая на внушительные 6,3 терабит в секунду, держащие RapperBot обсуждали конкурентов в красочных выражениях. “Им теперь [бранное слово]”, “Кребс — это про месть”, “Никто не хочет, чтобы под них копал Кребс. Он не сдастся, пока тебя не [бранное слово] [бранное слово]”. Одним словом, Р — репутация. Прожить свою ИБ-жизнь надо так, чтобы маленькие киберпреступники пугали друг друга твоим именем.

@tomhunter

#news Европол подключился к игре “Сдай кибепреуступного друга и получили бонус”. Под прицел попала рансомварь-группировка Qilin — награду предлагают за двух её админов. Вот только сумма подкачала. Дают 50к долларов.

Qilin — одна из самых одиозных группировок на текущий момент; в новости они залетают в основном с очередным взломом медучреждений. Двое ключевых операторов группировки обозначены под никами Haise и XORacle, награда предложена за информацию, которая позволит их идентифицировать и определить местонахождение. Но сумма, конечно, сомнительная. Европолу стоит поучиться у коллег из США с их золотым стандартом соблазнительных предложений — “до 10 миллионов долларов”. Судя по утёкшим чатикам Black Basta, даже круглая сумма со звёздочкой от штатовских бюро не каждого злоумышленника впечатляет. А уж скромные 50к большинство и просто за оскорбление сочтут.

@tomhunter

#news На PyPi добавили проверку истёкших почтовых доменов. Репозиторий будет проверять домены через Fastly Status API каждые 30 дней и отзывать доступ к пакетам с истёкших почтовых ящиков.

Всё это, как водится, для борьбы с атаками на цепочку поставок. В случае истёкшего домена злоумышленнику достаточно приобрести его, поднять почтовый сервер, запросить восстановление пароля к пакету, и готово — вы ослепительны. И можете публиковать троянизированные версии. Как было, скажем, с ctx в 2022-м. С июня PyPi отозвал доступ уже с ~1,800 почтовых ящиков. Разработчикам рекомендуют вешать на свои пакеты запасной ящик, желательно, на человеческом домене вроде Gmail, а не на кастомном, который крутится на серверах где-то в пещерах под Афганистаном. Ну и вопрос заброшенных пакетов нововведение решит. Разраб давно всё понял и живёт в глуши со швейцарским ножом в качестве самого продвинутого устройства в его арсенале. А вектор атаки-то вот он.

@tomhunter

#news Исследователь обнаружил сотни незащищённых инстансов TeslaMate — опенсорсного софта для мониторинга авто. GPS-данные, координаты машин, адреса, история поездок и прочее конфиденциальное. Всё это в открытом доступе.

TeslaMate стучит по API Tesla и собирает все эти данные. Дашборды Grafana на порту 3000, веб-интерфейс на порту 4000, страница настроек — все эндпоинты открытые, максимум есть дефолтные данные доступа на Grafana. Соответственно, всё это удовольствие нашлось банальным сканом порта 4000. Разработчик проблему признал, обещает исправить, но потом. Ждать от юзеров, что они будет убирать своих теслодружков за прокси, файерволы и прочее на нердовом, тоже не стоит. Так что можно полюбоваться на карту уязвимых инстансов. В Китае и Южной Корее их число зашкаливает. Нашлись несколько и в России, например, Тесла по имени Бэйба с “Острова Мечты” в Москве. Романтика.

@tomhunter

#news Хроники борьбы с интернетом в Европе: в Германии снова дали ход делу медиа-гиганта Axel Springer против Eyeo — разработчика Adblock Plus. Mozilla нагнетает, что итогом дела может стать запрет адблокеров. Сначала в Германии, а там как пойдёт.

Корпорация (уже десятилетие) жалуется, что адблокеры мешают получать ей прибыль с рекламы, и, главное... нарушают авторские права. HTML/CSS сайта защищены святым копирайтом, адблокеры же вмешиваются в их работу и незаконно модифицируют. Прежде суд этот полёт корпоративной мысли отклонил, но теперь дело переоткрыл федеральный верховный. Результатом решения в пользу Axel Springer может стать запрет как самих блокировщиков, так и ограничение работы кучи других расширений. В общем, бедные угнетённые корпорации и альтернативно теходарённые в высоких кабинетах соревнуются за право активно делать этот наш интернет хуже. К началу тридцатых останется только поминать окончательно утраченную сетевую вольницу добрым словом.

@tomhunter

#news К реальным перехватам рансомварь-средств: Минюст США заявил об изъятии $2,8 миллионов в крипте с кошельков, связанных с рансьмварью Zeppelin, и её оператором, неким Янисом Антропенко. Бонусом изъяты 70к долларов наличных и премиальный авто.

Кейс интересен тем, что Zeppelin давно свернулась: операция неактивна с конца 2022-го, исходники ушли с молотка. Даже миксера, через который прогоняли крипту, давно нет — ChipMixer был перехвачен в 2023-м. Zeppelin в целом была не особо примечательной, но здесь дело не бренде, главное — чтобы дошёл смысл послания. Отсидеться с отдыхающей на кошельках криптой не получится — и блокчейн всё помнит, и вооружённый LLM’кой и архивами бюро интерн горит желанием откопать что-нибудь этакое, пока весь энтузиазм не повыветрился от столкновения с реалиями на киберпреступной земле. Впрочем, с учётом активов в Штатах Антропенко явно был из тех, кто любит риск. На том и погорел.

@tomhunter

#news В репозитории npm нашли пару свежих вредоносных пакетов под видом инструментов для блокчейна Solana. Внутри инфостилеры под крипту. Всё вроде стандартно, но есть сюжетный поворот: С2-на штатовских айпишниках, а среди предполагаемых жертв — российские разработчики.

Операция в целом не особо впечатляющая: инфостилер простенький, нагрузку писали с помощью ИИ-модели, и C2 с открытыми логами — заходите, кто хотите. Но с хостингом в США и жертвами в России пошли спекуляции, что это апэтэшечка, а у некоторых фантазия совсем разгулялась — рансомварщиков ловят. Собранные на коленке кибероперации в стиле BlackOps с экспроприацией экспроприированного неуловимыми русскими хакерами — это, конечно, захватывающий сюжет для эпизода сериала аля Mr. Robot. Но в реальности, увы, всё обычно гораздо скучнее.

@tomhunter