Составлена динамическая карта киберугроз

Составлена динамическая карта киберугроз

Группа независимых исследователей HostExploit представила новый инструмент, позволяющий отслеживать географическое распределение и концентрацию зловредного контента в интерактивном режиме. Проект Global Security Map был разработан совместно с российскими экспертами Group-IB и датской аналитической компанией CSIS.

Интерактивная карта киберопасности является пробной попыткой отобразить в географической привязке флуктуацию уровней вредоносной активности, замеряемой по особой методике HostExploit. Разработанный экспертами алгоритм индексации уже несколько лет применяется ими для оценки загрязненности АС-систем; результаты регулярно публикуются в виде квартальных отчетов Top 50 Bad Hosts & Networks («50 самых неблагополучных хостов и сетей»). Отныне эта же статистика и история ее изменений будут доступны на отдельном сайте в разделении по странам.

В настоящее время в базе HostExploit числятся около 41 тыс. публичных АС-систем разной величины, и точно привязать их к определенным регионам порой чрезвычайно трудно. Одним из верных показателей географической принадлежности АС, по мнению экспертов, является страна ее регистрации. Для получения результатов по региональным доменам в каждом были просуммированы уровни криминальной активности по всем прописанным в нем АС. Итоговые сводные рейтинги Топ 10 и Топ 50 неблагополучных стран участники проекта Global Security Map представили в дебютном отчете о глобальной безопасности.

Согласно полученной статистике, мировым лидером по уровню загрязненности в настоящее время является Литва (с индексом 369,02 по 1000-балльной шкале), в 92 АС-сетях которой обнаружено большое количество C&C ботнетов, серверов ZeuS и фишинговых сайтов. Половину «грязной дюжины» (индексы выше 200) составили страны бывшего СНГ. США заняли 11 место, Россия ― 7-е (ZeuS, спам, эксплойт-серверы). Самой «чистой» страной из 219 оказалась Финляндия (142 АС-системы), ведущий телеоператор которой, TeliaSonera, применяет политику нулевой толерантности в отношении абьюзов, передает securelist.

Интересное перераспределение мест произошло при попытке определить разброс зловредного контента по физическому местоположению АС-инфраструктур (на основе данных маршрутизации). Некоторые страны, ― например, Британские Виргинские острова, Голландия, Люксембург ― сразу выпали из ведущей десятки, в которую подтянулись Франция, Германия и США. Место лидера в непочетном списке занял Азербайджан, поднявшись со 2 места; Литва опустилась до 7-го, Россия перескочила с этой ступени на 4-ю.

Работа над Global Security Map пока далека от завершения; по замыслу его создателей, широкая аудитория должна получить возможность детально отслеживать по карте вредоносную активность на любом уровне, от глобального, регионального, странового до точек обмена трафиком, АС-систем, интернет-провайдеров ― даже на уровне отдельных IP-адресов, доменов и URL. В настоящее время обновление информации на сайте globalsecuritymap.com производится раз в сутки. Статистика по каждой стране представлена как по суммарному числу инцидентов, так и в разделении по категориям. В ближайшее время планируется также обеспечить посетителям доступ к 20 трлн. записей по инцидентам во всех АС за последние несколько лет, возможность посмотреть динамику изменений в анимированном виде, проследить взаимосвязи между АС, реестрами и странами, а также составить отчет по своему выбору автоматизированными средствами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФБР закрыло BreachForums: ShinyHunters объявили об окончании эпохи форумов

ФБР совместно с французскими правоохранителями провело крупную операцию по ликвидации всех доменов хакерского форума BreachForums, который управлялся группировкой ShinyHunters. Этот ресурс использовался как площадка для публикации корпоративных данных, украденных в ходе атак вымогателей.

По данным BleepingComputer, захват инфраструктуры прошёл ночью 9 октября — как раз перед тем, как связанные со структурой Scattered Lapsus$ Hunters хакеры собирались выложить данные, похищенные из Salesforce.

Теперь на месте BreachForums размещена стандартная страница ФБР о конфискации домена — её DNS-серверы изменены на официальные адреса, используемые бюро при изъятии ресурсов.

 

ShinyHunters признали поражение

После блокировки администраторы ShinyHunters подтвердили в Telegram (сообщение подписано их PGP-ключом), что форум действительно захвачен, и добавили:

«Эта конфискация была неизбежной. Эра форумов закончилась».

По словам группы, все резервные копии BreachForums с 2023 года, включая эскроу-базу данных, теперь находятся под контролем правоохранителей. Также были изъяты бэкенд-серверы форума. При этом дарквеб-сайт ShinyHunters с утечками данных пока остаётся онлайн.

Хакеры утверждают, что ни один из ключевых администраторов не арестован, но запускать новый BreachForums они не будут, предупредив, что любые будущие «форумы» под этим именем могут оказаться ловушками (honeypots).

Утечки Salesforce всё ещё в силе

ShinyHunters подчеркнули, что захват BreachForums не повлияет на их кампанию против Salesforce — данные, по их словам, всё равно будут опубликованы в установленный срок.

На даркнет-портале группы уже опубликован список компаний, якобы пострадавших в этой утечке — среди них FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Air France & KLM, HBO MAX, UPS, Chanel и IKEA.

Хакеры утверждают, что получили доступ более чем к миллиарду записей с информацией о клиентах.

Что это был за BreachForums

В отличие от старой версии одноимённого форума, закрытого ранее, эта итерация BreachForums не была «классическим» хакерским форумом, а служила площадкой для публикации данных и проведения кампаний по шантажу крупных компаний, вроде недавнего кейса с Salesforce.

Эта версия форума появилась в июле 2025 года, вскоре после ареста четырёх администраторов предыдущих «перезапусков» проекта во Франции. В США в то же время были предъявлены обвинения известному участнику BreachForums под ником IntelBroker (Кай Вест).

В середине августа сайт уже уходил в офлайн — тогда ShinyHunters предупреждали, что инфраструктура захвачена ФБР и французским подразделением BL2C, и заявляли, что «нового перезапуска больше не будет».
Похоже, теперь это обещание сбылось окончательно.

В прошлом месяце мы сообщали, что Министерство юстиции США объявило о пересмотре приговора Конору Брайану Фицпатрику, 22-летнему жителю Пикскилла (штат Нью-Йорк). Он получил три года тюрьмы за создание и администрирование BreachForums — одного из крупнейших англоязычных хакерских форумов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru