Обзор новостей информационной безопасности с 4 по 10 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакеры из группы Awaken Likho (она же Core Werewolf) атакуют российские госучреждения и промышленные предприятия.

Как действуют преступники

1. Злоумышленники используют для удалённого доступа к системам жертв агент для легитимной платформы MeshCentral.

2. Агент загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи получают в фишинговых письмах.

3. Перед атаками злоумышленники из Awaken Likho собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.

4. Вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.

5. После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удалённый доступ к устройству цели.

Обнаружена новая схема мошенничества, связанная с блогерами, на которых подписано более 10 тыс. человек.

Особенности кампании

1. Преступники регистрируют фальшивые сайты и завлекают туда блогеров, которые в соответствии с законом обязаны предоставить сведения о себе в специальный перечень Роскомнадзора.

2. Кибераферисты обещают помочь с подачей данных и получить регистрацию СМИ без дополнительных сложностей.

3. За последние три месяца было зарегистрировано почти 500 подобных доменов и Telegram-каналов.

4. Никаких проблем с подачей документов в Роскомнадзор на самом деле нет, всё происходит быстро и бесплатно.

5. У доверчивых блогеров воруют личные данные и списывают деньги за «услугу» ускоренной регистрации.

6. В результате вместо передачи данных в РКН люди добровольно отдают информацию злоумышленникам, да ещё и платят им деньги.

Инциденты

Кибератака нарушила работу студии Red Barrels, разработчика популярных хоррор-игр Outlast и Outlast 2.

Представители Red Barrels сообщили, что внутренние IT-системы студии подверглись несанкционированному доступу, в результате чего злоумышленники получили доступ к части данных компании. Сразу после обнаружения атаки были приняты меры по обеспечению безопасности систем и содержащейся в них информации.

По заявлению Red Barrels, атака нанесла значительный ущерб производственным планам компании. В связи с этим некоторые этапы разработки будут задержаны, но студия приложит все усилия, чтобы следовать первоначальному плану. Ожидается, что в ближайшее время будут предоставлены более детальные обновления по этому вопросу.

Red Barrels не раскрыла подробностей о похищенных данных, однако получившие к данным утечки СМИ сообщают, что злоумышленники завладели исходными кодами игр, билдами, данными о сотрудниках и даже информацией о кредитных картах компании.

Утечка данных платформы онлайн-банкинга Bankingly затронула клиентов по всей Центральной и Южной Америке.

В открытом доступе обнаружены 7 хранилищ Azure Blob Storage, содержащие персональные данные почти 135 000 клиентов в Латинской Америке.

Утечка затронула жителей Доминиканской Республики, Мексики, Эквадора, Сальвадора, Боливии и Коста-Рики. Большая часть пострадавших, около 100 000 человек, — граждане Доминиканской Республики.

Под угрозой оказались следующие данные:
— ФИО;
— логины пользователей финансовых приложений;
— адреса электронной почты;
— номера телефонов.

Неизвестные злоумышленники взломали сайт Wayback Machine и похитили БД пользователей, содержащую более 31 млн уникальных записей.

Об атаке стало известно 9 октября 2024 года. Первыми взлом заметили посетители сайта archive.org, так как хакеры создали JavaScript-оповещение, в котором заявили, что Internet Archive скомпрометирован.

Похищенная БД содержит информацию о зарегистрированных пользователяъ, включая их адреса электронной почты, псевдонимы, временные метки смены паролей, хешированные bcrypt пароли и другую внутреннюю информацию.

В открытом доступе опубликованы данные клиентов сети быстрого питания «Бургер Кинг».

В дампе 5,6 млн строк за промежуток времени с 31.05.2018 по 25.08.2024. Каждая строка содержит:

• имя,
• телефон (4 886 993 уникальных номера),
• адрес эл. почты (3 163 628 уникальных адресов),
• дату рождения,
• пол,
• город,
• любимую категорию/блюдо,
• дату заказа.

Эксперты считают, что данные получены из мобильного приложения.

Хакерская группировка DumpForums заявила о компрометации инфраструктуры компании «Доктор Веб».

Через официальный Telegram-бот компании пользователям пришли сообщения о взломе, а хакеры уже опубликовали дампы нескольких БД внутренних ресурсов.

Как сообщают эксперты DLBI, хакеры обнародовали дампы ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и других ресурсов, содержащих актуальные на 17 сентября 2024 сведения.

В своем Telegram-канале группировка заявляет, что похитила у компании более 10 ТБ данных и скрывалась в сети компании более месяца:

«Нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи. Все проекты по улучшению безопасности теперь, кажется, нуждаются в защите сами по себе. Не оставили без внимания и ресурсы по управлению ПО. Клиентские базы данных. Да, данные пользователей, которые доверяли Dr.Web свою безопасность, мы так же выгрузили. Вишенка на торте — домен контроллер. Овладев им, нам оставалось лишь пополнять наши накопители, выгружая все больше данных».

Бывший сотрудник «Доктор Веб», пожелавший сохранить анонимность, подтвердил подлинность информации на опубликованных хакерами скриншотах.

Представители «Доктор Веб» выпустили официальное заявление, в котором настаивают, что сообщения о взломе не соответствуют действительности.

В открытом доступе обнаружены данные 1,2 млн клиентов магазина «Детский мир». Скомпрометированы пользователи сайта, мобильных приложений под Android и iOS.

В базе содержатся следующие данные:

• номер бонусной карты;
• фамилия имя;
• телефон (1 082 110 уникальных);
• эл. почта (1 079 373 уникальных);
• метка юзер-агент (IOSApp, AndroidApp, website);
• дата покупки.

Актуальность данных в утечке — август 2024 года.

На одном из теневых форумов выложили частичный дамп базы данных маркетплейса «Ярмарка Мастеров».

Полный дамп содержит: ФИО, 3,3 млн уникальных номеров телефонов, 6,3 млн уникальных адресов эл. почты, адреса доставки, данные заказов, частичные номера банковских карт, ссылки на соц. сети, IP-адреса и многое другое.

Информация актуальна на 05.10.2024.

Кибератака вызвала серьёзные сбои в работе японской компании Casio 5 октября и повлияла на доступность ряда услуг.

В настоящий момент компания совместно с привлечёнными внешними специалистами проводит расследование для выяснения масштабов и последствий взлома. Основное внимание уделяется проверке возможной компрометации личных данных и другой конфиденциальной информации.

Компания заверила своих клиентов и партнёров, что предпринимаются все необходимые шаги для защиты её сетевой инфраструктуры и предотвращения подобных инцидентов в будущем. «Мы быстро отреагировали на ситуацию и сотрудничаем с экспертами для улучшения нашей системы безопасности», — говорится в официальном заявлении.

Мошенники взломали сайт Lego и рекламировали там фальшивый токен Lego, который можно купить за Ethereum.

Во время атаки баннер на главной странице сайта заменили на картинку, изображавшую криптовалютные токены с логотипом Lego и текстом: «Наш новый Lego Coin официально запущен! Покупайте новую монету Lego сегодня и получайте секретные награды».

Взлом произошел около 21:00 вечера 4 октября 2024 года. Уже в 22:15 сайт очистили от рекламы несуществующего токена, то есть «время славы» взломщиков составило 75 минут.

Мошенники, стоящие за этой атакой, не заманивали пользователей на вредоносный сайт с малварью для кражи криптовалюты. Кликнув по ссылке «Купить сейчас», посетители попадали на платформу Uniswap, где могли приобрести мошеннический токен Lego, используя Ethereum.

Представители Lego подтвердили факт взлома, однако не стали делиться подробностями о том, как именно хакеры сумели получить доступ к сайту.

ИТ-системы Всероссийской государственной телевизионной и радиовещательной компании (ВГТРК) подверглись «беспрецедентной хакерской атаке» в ночь на 7 октября 2024 года. Представители медиахолдинга заверили, что инцидент не нанес существенного урона работе.

Утром 7 октября СМИ сообщили, что онлайн-вещание и внутренние сервисы ВГТРК перестали работать из-за хакерской атаки:

«ВГТРК подверглась беспрецедентной хакерской атаке. Не работает онлайн-вещание и внутренние сервисы, даже интернета нет и телефонии. Это надолго. Слышал, что стерли все с серверов, включая резервные копии. Они работают в аврале с 6 утра.»

Вскоре факт атаки подтвердили и сами представители медиахолдинга:

«В ночь на 7 октября онлайн-сервисы ВГТРК подверглись беспрецедентной хакерской атаке, однако существенный урон работе медиахолдинга нанесен не был, — сообщили ВГТРК. — Специалисты холдинга ведут работу над устранением последствий этого вредоносного вмешательства».

Представители ВГТРК подчеркнули, что, несмотря на попытки прервать вещание федеральных телеканалов и радиостанций холдинга, «все работает в штатном режиме, существенной угрозы нет».

Обзор новостей информационной безопасности с 27 сентября по 3 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Trend Micro предупреждает о новой фишинговой кампании, нацеленной на HR-специалистов. Злоумышленники рассылают фишинговые письма, замаскированные под обращения соискателей, чтобы проникнуть в сети крупных организаций и заразить их JavaScript-бэкдором «More_eggs».

Особенности кампании

1. Фишинговые письма направлялись сотрудникам по подбору персонала и содержали ссылку на загрузку резюме.

2. Фальшивое резюме упаковано в ZIP-архив, содержащий LNK-файл.

3. Когда жертва открывала архив и запускала ярлык, выполнялись зашифрованные команды, запускающие вредоносную DLL.

4. DLL после запуска скачивала и запускала бэкдор More_eggs.

5. Вредонос в процессе запуска проверяет уровень привилегий пользователя и выполняет команды для сбора информации о системе, после чего связывается с сервером управления для получения дополнительных модулей.

F.A.C.C.T. предупреждает о фишинговой кампании против российских организаций, в ходе которой распространяется вредоносное ПО RedLine Stealer, Agent Tesla, FormBook и Snake Keylogger.

Особенности кампании

1. Обычно преступник рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний.

2. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам: narketing163@gmail[.]com, tender12@mail[.]com, verconas@mail[.]com, kubrayesti@gmail[.]com

3. В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем, что указывает на использование VPN и прокси-серверов.

4. Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.

5. К письмам прилагался архив, содержащий вредоносный исполняемый файл. Если жертва запускала этот файл, на её компьютер устанавливался один из зловредов.

6. Кроме россиян, Narketing163 атакует пользователей из разных стран, в числе которых: Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Злоумышленник рассылал письма на русском, азербайджанском, турецком и английском языках.

Инциденты

Группировка Handala Hack выложила в открытый доступ конфиденциальные данные экс-начальника Генштаба Армии обороны Израиля Габриэля Ашкенази и бывшего министра обороны Бенни Ганца.

23 сентября та же группа обнародовала 35 000 конфиденциальных писем, предположительно принадлежащих Бенни Ганцу. На следующий день хакеры добавили архив с 2 000 фотографиями Ганца, заявив, что обнаружили доказательства его участия во множестве «секретных встреч, имевших разрушительные последствия».

26 сентября хакеры опубликовали два защищенных паролем архива, якобы содержащих 60 000 секретных электронных писем Ашкенази. Чтобы подтвердить подлинность информации, Handala Hack выложили несколько личных фотографий политика.

30 сентября хакеры заявили о взломе израильского Центра ядерных исследований Сорек и краже 197 Гб данных.

Хакер взломал публичный Wi-Fi на 19 ж/д станциях в Великобритании и пугал подключающихся пассажиров сообщениями о терактах.

Сообщения появлялись на экранах устройств пользователей, подключившихся к сети Wi-Fi, которой управляет Network Rail. Сервис поддерживается подрядчиком Telent, а интернет предоставляет компания Global Reach Technology.

Telent заявила, что инцидент — это акт кибервандализма и подчеркнула, что ситуация не связана с проблемами безопасности сети или техническим сбоем. Сейчас Telent работает с Network Rail, Global Reach и транспортной полицией, чтобы устранить проблему, и планирует восстановить Wi-Fi к концу недели.

Один из пользователей, подключившись к Wi-Fi на одной из станций, увидел на экране сообщения с подробностями терактов в Великобритании и Европе, с фото из новостных репортажей. «Экран засветился странными предупреждениями и всплывающими окнами», — рассказал он. «Я начал паниковать — что, если это было что-то опасное?»

Представитель Network Rail подтвердил киберинцидент и сообщил, что атака могла затронуть и другие организации. На время расследования Wi-Fi-сервис приостановлен.

Злоумышленники взломали облачного хостинг-провайдера Rackspace и похитили «ограниченные клиентские данные».

Для проникновения в инфраструктуру Rackspace использовали уязвимость нулевого дня в стороннем инструменте платформы ScienceLogic SL1.

ScienceLogic SL1 представляет собой платформу для мониторинга, анализа и автоматизации инфраструктуры организаций, включая облака, сети и приложения. Она позволяет осуществлять мониторинг в режиме реального времени, соотносить события и автоматизировать рабочие процессы для более эффективного управления и оптимизации ИТ-сред.

Компания Rackspace, предоставляющая услуги управляемых облачных вычислений (хостинг, хранение данных, ИТ-поддержка), использует ScienceLogic SL1 для мониторинга своей ИТ-инфраструктуры и сервисов.

Представители ScienceLogic сообщили, что оперативно выпустили патч для устранения проблемы и распространили его среди всех пострадавших клиентов.

Cloudflare сообщила об отражении рекордной DDoS-атаки, мощность которой достигала 3,8 Тбит/с.

Для проведения атаки предположительно использовался ботнет, состоящий из маршрутизаторов Asus и Mikrotik, а также DVR и веб-серверов. Целью атаки были неназванные глобальные финансовые организации, ИТ- и телеком-операторы.

Данная атака превзошла по мощности рекорд ноября 2021 года, когда злоумышленники пытались вывести из строя сервисы Microsoft. Тогда мощность атаки составила 3,47 Тбит/с.

Специалисты Cloudflare считают, что атака была проведена через ботнет, объединяющий скомпрометированные маршрутизаторы, DVR и веб-серверы, которые и генерировали мусорный трафик в большом объёме. Помимо устройств MikroTik были задействованы маршрутизаторы Asus, где недавно была обнаружена критическая уязвимость. Всего в атаке было использовалось более 157 тысяч устройств из разных стран, среди которых Вьетнам, Россия, Бразилия, Испания и США.

Хакеры атаковали информационное агентство AFP (Agence France-Presse, Агентство Франс Пресс) и нарушили нормальную работу его ИТ-систем и сервисов доставки контента. В организации подчеркивают, что атака не повлияла на освещение новостей, однако затронула некоторые клиентские сервисы.

ИТ-служба AFP совместно с национальным агентством по безопасности информационных систем Франции (ANSSI) работает над устранением последствий атаки. При этом пока не раскрывается никаких подробностей ни о самом инциденте, ни о стоявших за ним злоумышленниках.

В агентстве не уточнили, какие именно сервисы пострадали из-за случившегося, известно, что AFP предоставляет своим клиентам новостные ленты в режиме реального времени, контент-услуги по подписке, индивидуальные новостные пакеты и доступ к архивам контента. В настоящее время некоторые из этих сервисов могут не работать.

Представители AFP предупредили другие медиакомпании о том, что хакерская атака могла скомпрометировать учётные данные FTP, используемые для получения контента AFP.

Вымогатели нарушили работу университетского медцентра в Лаббоке, штат Техас. Больница не смогла принимать экстренных больных, поступающих со скорой помощи.

Больница обнаружила подозрительную активность в одной из своих IT-сетей и отключила её от основной компьютерной системы.

Представители больницы сообщили, что принимают меры для минимизации перебоев в лечении пациентов и работе критических служб, но расследование инцидента займёт какое-то время.

UMC — это больница уровня один, что означает, что она может справляться с самыми тяжелыми случаями и поддерживает круглосуточную команду специалистов. Центр является единственным подобным учреждением в радиусе почти 400 миль, и любое ухудшение его работы может быть опасным для жизни.

В результате атаки на протокол децентрализованных финансов Onyx похищены активы на сумму 3,8 млн долларов США.

Основной причиной кибератаки стал известный баг в кодовой базе Compound Finance версии 2, который уже использовался для кражи средств с Onyx в ноябре прошлого года.

Сообщают, что уязвимость существовала в контракте ликвидации NFT, который способствовал реализации атаки. Проблема заключалась в том, что контракт неправильно проверял ввод данных пользователей, что позволило злоумышленникам завысить вознаграждение за самоликвидацию активов.

Команда Onyx подтвердила факт использования этого уязвимого контракта и указала его как основной фактор, приведший к инциденту

По информации PeckShield, злоумышленники вывели 4,1 млн виртуальных USD (VUSD), 7,35 миллиона Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), около 5000 долларов США в стейблкоине Dai (DAI) и 50 000 в USDT. Общая сумма потерь составила более 3,8 млн долларов США.

Хакеры воспользовались связанной с uniBTC уязвимостью для хищения почти 2 млн долларов США в криптовалюте у DeFi-платформы Bedrock.

Команда Bedrock заверила пользователей, что инцидент уже находится под контролем и предпринимаются меры по устранению его коренных причин. Оставшиеся средства в безопасности, и в ближайшее время будет представлен план возмещения убытков. Bedrock также готовит отчет с подробным анализом произошедшего и пообещала вскоре поделиться им с сообществом.

Большинство потерь произошло в пулах ликвидности на децентрализованных биржах, однако, как отметила команда протокола, сами токены wrapped BTC и обычные BTC, хранящиеся в резервах, остались в безопасности.

Обзор новостей информационной безопасности с 20 по 26 сентября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для распространения малвари AsyncRAT используется вредоносный код, созданный при помощи ИИ.

Особенности кампании

1. Атаки начинались с обычных фишинговых писем, содержащих приманку в виде некой счет-фактуры в формате зашифрованного HTML-вложения.

2. Расшифрованное вложение содержало VBScript, после изучения которого выяснилось, что «злоумышленник тщательно закомментировал и структурировал весь код», что редко случается, если над кодом работал человек.

3. VBScript предназначался для закрепления на зараженной машине, создавая запланированные задачи и новые ключи в реестре Windows.

4. Комментарии подробно описывали, для чего именно предназначен код. Так обычно делают генеративные ИИ-сервисы, когда предоставляют примеры кода с пояснениями.

5. Также на работу ИИ указывала структура скриптов, комментарии к каждой строке и выбор французского языка для имен функций и переменных.

6. В итоге в систему жертвы загружался и выполнялся AsyncRAT — малварь с открытым исходным кодом, которая позволяет перехватывать нажатия клавиш, обеспечивает зашифрованное соединение с машиной пострадавшего, а также может скачивать дополнительные полезные нагрузки.

Мошенники похищают деньги россиян, предлагая обновить банковское приложение.

Как действуют преступники

1. Мошенники в разговоре представляются сотрудниками финансовой организации и предлагают установить «правильную версию» банковского приложения.

2. Преступники настаивают на скорейшем обновлении программы — в противном случае банк якобы заблокирует счета и карты клиента.

3. Жертве высылают ссылку для скачивания программы, однако после перехода по ней экран смартфона блокируется.

4. Мошенники получают доступ к кабинету пользователя в приложении, клиенту приходит СМС-код, с помощью которого злоумышленники выводят деньги со счета.

Обнаружена вредоносная кампания группировки SloppyLemming, направленная против правоохранительных структур и АЭС Пакистана, военных и правительственных учреждений Шри-Ланки и Бангладеш, а также китайских компаний энергетического и образовательного секторов.

Особенности кампании

1. Группировка использует сервисы облачных провайдеров для сбора учётных записей, распространения вредоносного ПО и управления атаками.

2. Основной метод атак — фишинговые письма, побуждающие жертв нажать на вредоносную ссылку якобы для выполнения обязательного действия в течение 24 часов.

3. Переход по ссылке приводит на страницу для кражи учётных данных. В результате злоумышленники получают доступ к корпоративной электронной почте.

4. Для реализации этой атаки SloppyLemming использует инструмент CloudPhish, который создаёт вредоносные Cloudflare Workers и перехватывает данные учётных записей.

5. Зафиксированы случаи, когда хакеры использовали уязвимость CVE-2023-38831в WinRAR для удалённого выполнения кода, отправляя заражённые RAR-архивы, маскирующиеся под файлы из приложения для сканирования CamScanner. Внутри архива находится исполняемый файл, загружающий троян с Dropbox.

6. Ранее в аналогичной кампании SideCopy хакеры распространяли Ares RAT с использованием ZIP-архивов под названием «DocScanner_AUG_2023.zip» и «DocScanner-Oct.zip». Целью атаки тогда были индийские государственные и оборонные ведомства.

7. Третий метод заражения от SloppyLemming перенаправляет жертв на поддельный сайт, имитирующий официальный ресурс Совета информационных технологий Пенджаба в Пакистане. С этого сайта они попадают на другой сайт, где они скачивают вредоносный ярлык, ведущий к исполняемому файлу «PITB-JR5124.exe». Этот файл запускает загрузку вредоносной DLL-библиотеки, которая связывается с Cloudflare Workers для передачи данных злоумышленникам.

Инциденты

Компания Cencora, один из крупнейших дистрибьюторов лекарственных препаратов, заплатила хакерам крупнейший в истории выкуп в размере 75 млн долларов США.

Сообщается, что сумма в биткоинах была переведена в 3 этапа. Также известно, что первоначальная сумма выкупа составляла 150 млн долларов США.

Представители Cencora отказались комментировать инцидент. В своём заявлении они рекомендовали всем заинтересованным
использовать публично доступную информацию. В квартальном отчёте компании отражены расходы, связанные с кибератакой, однако полная сумма убытков остаётся неясной.

Сообщения о выкупе в размере 75 млн долларов США впервые появились в июле, когда вымогательская группировка Dark Angels получила крупный платёж, но не назвала жертву. О том, что выкуп заплатила Cencora, стало известно после расследования Bloomberg.

По словам экспертов, выплата такого масштаба была ранее немыслимой. Крупнейший зафиксированный выкуп до этого составлял 40 млн долларов США, которые заплатила вымогателями страховая компания CNA Financial Corp. в 2021 году.

Блокчейн-платформа Truflation подтвердила факт хакерской атаки и кражу криптоактивов почти на 5 млн долларов США.

Компания по кибербезопасности Cyver оценила общие потери примерно в 57 миллионов токенов TRUF, что на момент атаки составляло 4,6 млн долларов США. Генеральный директор платформы сообщил, что были похищены и другие токены.

В результате инцидента курс TRUF упал на 10% за один день. Truflation заявляет, что средства клиентов не пострадали, и пользователи не подвергаются риску. Компания выделила 1 млн долларов США в качестве компенсационного фонда для возможных пострадавших пользователей.

Платформа предлагает вознаграждение «белым хакерам», которые помогут в расследовании или возврате средств, а также пытается установить контакт и договориться с атакующим.

Компания MC2 Data, занимающаяся проверкой биографий, допустила утечку персональной информации трети населения США.

Расследование показало, что база данных размером в 2,2 ТБ, содержащая более чем 106 млн записей, находилась в открытом доступе без пароля. Эксперты обнаружили её 7 августа. Сколько времени она была доступна любому желающему, неизвестно.

Утечка затронула более 100 млн человек, а также 2,3 млн пользователей, подписавшихся на услуги компании для проведения проверок.

В открытый доступ попали:

• Имена;
• Email-адреса;
• IP-адреса;
• User Agent;
• Зашифрованные пароли;
• Платёжная информация (частично);
• Домашние адреса;
• Даты рождения;
• Номера телефонов;
• Записи о недвижимости;
• Правовые документы;
• Реестр собственности;
• Данные о семье, родственниках, соседях;
• Трудовой стаж.

В результате кибератаки у сингапурской криптовалютной платформы BingX похитили более 44 млн долларов США в криптовалюте. Это одно из крупнейших криптоограблений в текущем году.

19 сентября 2024 года блокчейн-аналитики обратили внимание, что у BingX утекают миллионы долларов. Вскоре после этого компания оповестила пользователей о временном отключении, связанном с «обслуживанием кошелька».

В развернутом заявлении, появившемся чуть позже, сообщалось, что отключение произошло после того, как компания «обнаружила аномальную активность в своей сети, что, возможно, указывает на хакерскую атаку на горячий кошелек BingX».

После проведённого аудита выяснилось, что потери составили около 44,7 млн долларов США по текущему курсу.

Сообщается, что уже удалось «заморозить 10 млн долларов» из похищенной злоумышленниками суммы.

Компания MoneyGram приостановила работу своих систем и сервисов перевода денежных средств из-за киберинцидента. Платежи через системы MoneyGram, как оффлайн, так и онлайн, остаются недоступными, а компания пока не предоставляет информации о сроках восстановления работы.

О проблемах стало известно 22 сентября, когда MoneyGram сообщила о сбое в сети, который нарушил связь с рядом систем компании. Уже 23 сентября компания уточнила, что сбой вызван кибератакой. Представители MoneyGram избегают использования термина «вымогательское ПО», и до сих пор ни одна хакерская группировка не взяла на себя ответственность за инцидент.

После обнаружения инциденты компания начала расследование и отключила часть систем. Для устранения последствий привлечены внешние эксперты в области кибербезопасности.

Официальный аккаунт OpenAI в соцсети Илона Маска атаковали криптовалютные мошенники.

Вечером 23 сентября на странице OpenAI Newsroom появилось сообщение о новом блокчейн-токене «$OPENAI». Пост содержал информацию о возможности для пользователей OpenAI получить часть первоначального предложения токенов, которые якобы предоставят доступ к будущим бета-программам компании.

Комментарии в посте были отключены, а ссылка вела на фишинговый сайт, имитирующий официальный ресурс OpenAI. Злоумышленники использовали кнопку «CLAIM $OPENAI» для попытки получения доступа к криптовалютным кошелькам пользователей. Впоследствии пост был удалён, официального комментария от представителей компании не поступало.