GPS-деанон, чат-бот с перепиской хакеров и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю. Слитую переписку группировки Black Basta "скормили" ChatGPT. Утечка брокера данных Gravy Analytics привела к деанону пользователей. Украинские хакеры заявили о взломе CarMoney. Слитую переписку группировки Black Basta "скормили" ChatGPT 11 февраля неизвестный инсайдер опубликовал в открытом доступе архив внутренних чатов группировки вымогателей Black Basta из приложения Matrix. На это обратили внимание исследователи киберугроз PRODAFT. Переписка охватывает период с сентября 2023 по сентябрь 2024 года. Она содержит адреса криптокошельков, учетные записи жертв, описание фишинговых схем и тактик взломов. Кроме того, в ней раскрыты личности некоторых членов группировки: в частности, предположительного лидера банды Олега Нефедова (псевдонимы GG, AA, "Трамп") и двух вероятных администраторов под никами Lapa и YY. Leaked BlackBasta chat logs contain messages spanning from September 18, 2023, to September 28, 2024. Let's analyze the statements disclosed by the leaker:- Lapa is one of the key administrators of BlackBasta and is constantly busy with administrative tasks. Holding this… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8— 3xp0rt (@3xp0rtblog) February 20, 2025 Компания Hudson Rock передала более миллиона полученных внутренних сообщений чат-боту ChatGPT и запустила открытый BlackBastaGPT для их анализа. По мнению экспертов, слив мог стать результатом внутренних разборок группировки. Утечка брокера данных Gravy Analytics привела к деанону пользователей Январский взлом американской фирмы по отслеживанию местоположения Gravy Analytics привел к крупной утечке данных пользователей по всему миру — от РФ до США. Брокер перепродавал сведения о геолокации, собранные тысячами мобильных приложений. Утекшая база данных связана с рекламными идентификаторами IDFA для iOS и AAID для Android-устройств, что нередко позволяет отслеживать перемещения людей, а в ряде случаев даже деанонимизировать их. Исследователь Баптист Роберт в ходе эксперимента изучил траекторию движения одного из пользователей от знаковой площади Колумбус-Серкл на Манхэттене в Нью-Йорке до его дома в Теннесси, а на следующий день до места жительства его родителей. Основываясь исключительно на данных OSINT, исследователь узнал множество информации об этом человеке, включая имя его матери и тот факт, что его покойный отец был ветераном ВВС США. Example of deanonymization:- Dec 29, 7:08 PM: Seen at Columbus Circle, NYC.- Later: Returned home to a TN town with a registered locksmith business.- Next day: Visited his mother, Carol. His father was an USAF vet and passed 3 years ago.Yes, you can be tracked. pic.twitter.com/MtViWTbpgf— Baptiste Robert (@fs0c131y) January 8, 2025 Утечка Gravy Analytics подняла вопрос о серьезных рисках индустрии брокеров данных. Пользователей Signal атаковали через привязку устройств В Google Threat Intelligence Group сообщили, что российские хакеры активно пытаются скомпрометировать учетные записи Signal посредством злоупотребления функцией привязки устройств. Потенциальных жертв обманом заставляют сканировать вредоносные QR-коды для синхронизации мессенджера с девайсом злоумышленника. Вредоносный QR-код. Данные: Google Threat Intelligence Group. Для целенаправленных атак фишинговые ссылки маскируют под приглашения в группу Signal или под инструкции по сопряжению устройств с легитимного сайта. Новый метод атаки опасен тем, что не требует полного взлома оборудования для отслеживания защищенных разговоров жертвы. Пользователям Signal рекомендуется обновить приложение до последней версии, которая включает улучшенную защиту от фишинговых атак, обнаруженных Google. Эксперты нашли новую малварь из КНДР для подмены криптокошельков Северокорейские хакеры Lazarus использовали ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на блокчейн-разработчиков. Об этом заявили специалисты SecurityScorecard.

Фев 22, 2025 - 07:22

GPS-деанон, чат-бот с перепиской хакеров и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Слитую переписку группировки Black Basta "скормили" ChatGPT.
Утечка брокера данных Gravy Analytics привела к деанону пользователей.
Украинские хакеры заявили о взломе CarMoney.

Слитую переписку группировки Black Basta "скормили" ChatGPT

11 февраля неизвестный инсайдер опубликовал в открытом доступе архив внутренних чатов группировки вымогателей Black Basta из приложения Matrix. На это обратили внимание исследователи киберугроз PRODAFT.

Переписка охватывает период с сентября 2023 по сентябрь 2024 года. Она содержит адреса криптокошельков, учетные записи жертв, описание фишинговых схем и тактик взломов.

Кроме того, в ней раскрыты личности некоторых членов группировки: в частности, предположительного лидера банды Олега Нефедова (псевдонимы GG, AA, "Трамп") и двух вероятных администраторов под никами Lapa и YY.

Leaked BlackBasta chat logs contain messages spanning from September 18, 2023, to September 28, 2024. Let's analyze the statements disclosed by the leaker:
- Lapa is one of the key administrators of BlackBasta and is constantly busy with administrative tasks. Holding this… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8— 3xp0rt (@3xp0rtblog) February 20, 2025

Компания Hudson Rock передала более миллиона полученных внутренних сообщений чат-боту ChatGPT и запустила открытый BlackBastaGPT для их анализа.

По мнению экспертов, слив мог стать результатом внутренних разборок группировки.

Утечка брокера данных Gravy Analytics привела к деанону пользователей

Январский взлом американской фирмы по отслеживанию местоположения Gravy Analytics привел к крупной утечке данных пользователей по всему миру — от РФ до США. Брокер перепродавал сведения о геолокации, собранные тысячами мобильных приложений.

Утекшая база данных связана с рекламными идентификаторами IDFA для iOS и AAID для Android-устройств, что нередко позволяет отслеживать перемещения людей, а в ряде случаев даже деанонимизировать их.

Исследователь Баптист Роберт в ходе эксперимента изучил траекторию движения одного из пользователей от знаковой площади Колумбус-Серкл на Манхэттене в Нью-Йорке до его дома в Теннесси, а на следующий день до места жительства его родителей. Основываясь исключительно на данных OSINT, исследователь узнал множество информации об этом человеке, включая имя его матери и тот факт, что его покойный отец был ветераном ВВС США.

Example of deanonymization:
- Dec 29, 7:08 PM: Seen at Columbus Circle, NYC.
- Later: Returned home to a TN town with a registered locksmith business.
- Next day: Visited his mother, Carol. His father was an USAF vet and passed 3 years ago.

Yes, you can be tracked. pic.twitter.com/MtViWTbpgf— Baptiste Robert (@fs0c131y) January 8, 2025

Утечка Gravy Analytics подняла вопрос о серьезных рисках индустрии брокеров данных.

Пользователей Signal атаковали через привязку устройств

В Google Threat Intelligence Group сообщили, что российские хакеры активно пытаются скомпрометировать учетные записи Signal посредством злоупотребления функцией привязки устройств. Потенциальных жертв обманом заставляют сканировать вредоносные QR-коды для синхронизации мессенджера с девайсом злоумышленника.

Вредоносный QR-код. Данные: Google Threat Intelligence Group.

Для целенаправленных атак фишинговые ссылки маскируют под приглашения в группу Signal или под инструкции по сопряжению устройств с легитимного сайта.

Новый метод атаки опасен тем, что не требует полного взлома оборудования для отслеживания защищенных разговоров жертвы.

Пользователям Signal рекомендуется обновить приложение до последней версии, которая включает улучшенную защиту от фишинговых атак, обнаруженных Google.

Эксперты нашли новую малварь из КНДР для подмены криптокошельков

Северокорейские хакеры Lazarus использовали ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на блокчейн-разработчиков. Об этом заявили специалисты SecurityScorecard.