Обзор новостей информационной безопасности с 25 по 31 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Выявлен всплеск мошеннических кампаний, нацеленных на соискателей удалённой работы. Новый вид мошенничества стремится получить быстрые выплаты от финансово уязвимых жертв.

Как действуют преступники

1. Обман начинается на платформах обмена сообщениями и в социальных сетях, где злоумышленники представляются рекрутерами.

2. Они предлагают удалённую работу в сферах музыкальных стримингов, оценки товаров и гостиничного бизнеса.

3. Соискателей просят зарегистрироваться на поддельном портале для выполнения оплачиваемых задач.

4. По мере выполнения заданий возникают «технические проблемы», из-за которых на аккаунте появляется отрицательный баланс. Для его пополнения жертве предлагают внести депозит, обещая доступ к более высокому доходу. В результате пользователи часто теряют сотни и даже тысячи долларов США.

5. Злоумышленники активно используют Telegram и WhatsApp, где создают фальшивые чаты с другими «работниками», чтобы поддерживать иллюзию успешного заработка и стимулировать жертв к новым вложениям.

6. Поддельные сайты часто имитируют бренды, такие как Temu и TikTok, а также гостиничные ассоциации. Высокий уровень вовлечённости позволяет мошенникам удерживать жертв в процессе.

Некоторые схемы оказались крайне прибыльными: за несколько месяцев мошенники собрали более 300 000 долларов США в криптовалютах Bitcoin и Ethereum.

Инциденты

Компания Change Healthcare официально подтвердила, что в результате кибератаки 21 февраля 2024 года были скомпрометированы данные более 100 млн человек. Происшествие стало крупнейшей утечкой защищённой медицинской информации (PHI) среди организаций, регулируемых HIPAA.

В ходе инцидента были похищены:

• информация о медицинском страховании (первичные, вторичные и другие медицинские планы/полисы, данные о страховых компаниях, ID участников/групп, ID плательщиков Medicaid Medicare);
  медицинские данные (номера медицинских карт, диагнозы, лекарства, результаты анализов, снимки, сведения об уходе и лечении);
• информация о выставлении счетов, претензиях и платежах (номера претензий, номера счетов, коды выставления счетов, платежные карты, финансовая и банковская информация, данные о произведенных платежах);
• прочие персональные данные, среди которых номера социального страхования, водительских прав, удостоверений личности, а также номера паспортов.

Похищенная информация может различаться для каждого конкретного пострадавшего, медицинские данные были раскрыты не во всех случаях.

Эту вымогательскую атаку и утечку данных связывают с хакерской группировкой BlackCat (ALPHV). Ранее в UnitedHealth Group признавали, что заплатили злоумышленникам выкуп, чтобы получить дешифровальщик и не дать хакерам обнародовать украденную во время атаки информацию. Сумма выкупа составила 22 млн долларов США. После его получения BlackCat отключила свои серверы и растворилась в небытии.

DLBI сообщает, что в свободный доступ на теневом форуме была выложена база данных «ВТБ-клиенты».

База содержит 6,1 млн строк: ФИО, номера телефонов, адреса эл. почты, даты рождения.

Известно, что данная база была составлена (обогащена) из нескольких других баз. За основу взята база, содержащая только номера телефонов и цифровые идентификаторы, размером более 9 млн строк и актуальностью 05.2022.

Проверка случайных номеров телефонов из оригинальной базы (9 млн телефонов) через Систему быстрых платежей (СБП) показала, что для всех этих номеров доступен банк «ВТБ».

Хакеры взломали аккаунт в соцсети основателя платформы Truth Terminal Энди Айри и использовали для продвижения мошеннического токена.

Злоумышленник разместил в профиле Айри адрес контракта нового токена с тикером IB, чтобы привлечь инвесторов и поднять рыночную стоимость актива.

Хакерский аккаунт получил 12,5% от общего объема токенов, что вызвало резкое увеличение капитализации до 25 млн долларов США. Заработав на операции более 600 тысяч долларов США, злоумышленник начал массовую продажу токенов, что привело к обвалу стоимости актива на 98% и сократило капитализацию до 500 тысяч долларов США.

Участники сообщества попытались стабилизировать цену токена и частично восстановили его стоимость. Айри временно вернул доступ к своему аккаунту и сообщил, что хакер получил контроль над профилем через атаку на мобильного оператора, воспользовавшись схемой «SIM-swap». Однако вскоре аккаунт вновь подвергся подозрительным действиям, указывающим на отсутствие полного контроля

В даркнете выставлены на продажу базы данных французского оператора связи Free: информация о клиентах мобильных услуг Free Mobile и абонентах интернет-платформы Freebox.

В двух базах содержатся персональные данные более 19 млн человек, а также свыше 5 млн банковских реквизитов IBAN.

Free Mobile официально подтвердила факт атаки 26 октября, но отказалась комментировать объём утечки. В заявлении компании сказано, что кибератака не затронула пароли, данные банковских карт, электронные письма, SMS и голосовые сообщения. Оператор также отметил, что инцидент не повлиял на работу сервисов и услуг.

Группировка RansomHub взломала оператора 13 мексиканских аэропортов, компанию Grupo Aeroportuario del Centro Norte (OMA).

Представитель OMA сообщил, что IT-специалистам пришлось перейти на резервные системы, чтобы продолжить работу.

RansomHub требует выкуп, угрожая опубликовать 3 Тб украденных данных.

OMA предупредила пассажиров о временных неудобствах. Экраны с информацией о рейсах пока не работают, но сотрудники помогают пассажирам найти нужные терминалы. В аэропортах также размещены QR-коды для поиска выхода на посадку.

Первое сообщение об инциденте было сделано 15 октября, когда в аэропортах OMA перестали работать экраны.

Один из крупнейших банков Перу, Interbank (ранее International Bank of Peru, Banco Internacional del Perú), сообщил об утечке данных после неудавшейся вымогательской атаки.

В Interbank подчеркивают, что большинство операций сейчас проводятся в штатном режиме, а вклады клиентов находятся в безопасности. Пока организация не раскрывает точное количество пострадавших клиентов.

Злоумышленник утверждает, что похитил полные имена клиентов Interbank, идентификаторы счетов, даты рождения, адреса, номера телефонов, адреса электронной почты и IP-адреса, а также номера банковских карт и CVV, информацию о сроках действия карт, данные о банковских операциях и другую конфиденциальную информацию, включая учётные данные в виде открытого текста.

Мошенники использовали конфиденциальные данные крупной налоговой компании H&R Block Canada, чтобы получить доступ к личным аккаунтам канадцев в канадском налоговом агентстве (CRA) и похитить более 6 миллионов долларов через поддельные налоговые возвраты.

Чтобы перевести деньги себе, мошенники меняли банковскую информацию на счетах пострадавших. Например, в одном случае злоумышленники указали поддельный адрес на несуществующей улице, чтобы скрыть махинации.

В ходе расследования стало известно, что сотрудники CRA обнаружили утечку данных H&R Block лишь когда на теневых онлайн-ресурсах стали предлагаться украденные данные.

Обзор новостей информационной безопасности с 18 по 24 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена волна рассылок с вредоносными вложениями, замаскированными под запросы от потенциальных клиентов или партнеров.

Кампания получила название Horns&Hooves («Рога и копыта») и продолжается с весны 2023 года. Целями хакеров стали как частные пользователи в России, так и предприятия из сферы торговли и услуг.

Как действуют преступники

1. Обычно письма атакующих содержат ZIP-архивы, внутри которых находятся файлы с вредоносными скриптами (обычно JScript).

2. Послания замаскированы под различные обращения: заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат, досудебные или обычные претензии.

3. Для создания видимости легитимности в архиве помимо скрипта действительно могут быть документы, относящиеся к конкретной организации или человеку, за которых выдают себя злоумышленники. Например, к письмам с запросом цен прилагаются выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учет и карточки компаний.

4. При запуске вредоносного скрипта на экране жертвы отображается документ-приманка, например таблица со списком товаров для закупки.

5. В результате таких атак на устройства жертв проникают трояны NetSupport RAT или BurnsRAT. Это вредоносные версии легитимных инструментов NetSupport Manager и Remote Manipulator System, возможностями которых злоупотребляют злоумышленники.

6. Установка RAT — лишь промежуточное звено в атаке. После заражения на некоторые устройства пытались установить еще и стилеры (например, Rhadamanthys и Meduza).

Последствия заражения для компаний могут быть разными в зависимости от того, в чьи руки в дальнейшем попадут украденные сведения: от кражи данных до шифрования и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.

Злоумышленники скомпрометировали эксклюзивного партнера компании ESET в Израиле и разослали клиентам фишинговые письма, предлагая под видом антивирусного ПО установить вредоносное ПО, уничтожающее данные.

Как действовали преступники

1. Хакеры рассылали жертвам электронные письма с логотипом ESET с легитимного домена eset.co.il, которым управляет компания Comsecure — израильский дистрибьютор продуктов ESET.

2. В письмах хакеры выдавали себя за представителей ESET Advanded Threat Defense Team и предупреждали, что некие правительственные хакеры якобы пытаются атаковать устройство клиента. Для защиты от этой угрозы жертве предлагалось установить продвинутый антивирусный инструмент ESET Unleashed, якобы предназначенный для «противодействия современным таргетированным угрозам».

3. Чтобы придать атаке большую легитимность, ссылка на загрузку ESET Unleashed тоже вела в домен eset.co.il.

4. Вредоносный ZIP-архив содержал четыре DLL-файла, подписанные подлинным цифровым сертификатом ESET, и файл Setup.exe, который не был подписан.

5. Все DLL-библиотеки представляли собой легитимные файлы, действительно распространяющиеся в составе антивирусного ПО ESET, а вот Setup.exe был вайпером, то есть малварью для стирания и уничтожения данных.

6. Вредоносное ПО использовало множество приемов, чтобы избежать обнаружения и обращалось к легитимному израильскому новостному сайту www.oref.org.il.

Мошенники рассылают поддельные квитанции на оплату услуг ЖКХ жителям Подмосковья. Внешне такие квитанции выглядят как обычные. Но деньги, которые переводят жители, попадают мошенникам.

Особенности кампании

1. В почтовом ящике человека оказывается документ, похожий на реальную квитанцию на оплату услуг ЖКХ.

2. Жертва оплачивает эти услуги, а позже приходит уже настоящая квитанция (вариант: настоящую квитанцию воруют мошенники, а через месяц приходит долговая квитанция от УК).

3. QR-код на бланке может содержать ссылку, при переходе по которой человек загрузит вредоносное ПО с предоставлением удалённого доступа к смартфону, на которому установлены банковские приложения и «Госуслуги».

4. В итоге человек может потерять не только те деньги, которые переведет преступникам, но и вообще все свои сбережения.

Инциденты

У децентрализованной платформы Radiant Capital похитили криптовалюту на сумму более 50 млн долларов США.

Хакеры получили доступ к приватным ключам разработчиков Radiant Capital, что в итоге позволило им похитить средства пользователей.

В компании заявили, что пострадавшие разработчики использовали аппаратные кошельки и находились в разных географических точках, что снижало вероятность скоординированной физической атаки, однако злоумышленники смогли скомпрометировать устройства как минимум трёх основных контрибуторов с помощью сложной инъекции вредоносного ПО. Затем эти скомпрометированные устройства использовались для подписи вредоносных транзакций.

По словам представителя Radiant Capital, компания «столкнулась с очень изощренным нарушением безопасности, в результате которого потеряла 50 миллионов долларов». Устройства разработчиков были скомпрометированы таким образом, что «отображали легитимные данные о транзакциях, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме». Также сообщается, что взломанные устройства «не демонстрировали никаких очевидных предупреждений, не считая незначительных сбоев и сообщений об ошибках».

Работа компании Casio нарушена из-за кибератаки вымогателя в начале октября. Представитель компании сообщил, что пока не видит перспектив восстановления, а все предпринимаемые меры усложняют выполнение заказов и взаимодействие с поставщиками.

Вымогательское ПО нарушило работу нескольких ключевых систем Casio. В результате компания временно приостановила приём товаров на ремонт и предупредила, что возобновление обслуживания ожидается не раньше конца ноября.

Ответственность за атаку взяли на себя вымогатели из группировки Underground. Преступники заявили, что похитили 204,9 ГБ данных, среди которых информация временных и штатских сотрудников, а также работников компаний-партнеров и бизнес-партнёров. Также хакеры получили доступ к данным соискателей, проходивших собеседования с Casio и её партнёрами.

Некоммерческая организация «Архив интернета» (Internet Archive) второй раз за этот месяц пострадала от хакерской атаки. Злоумышленникам удалось похитить аутентификационные токены GitLab и скомпрометировать Zendesk организации.

Первый взлом произошёл в середине октября, когда «Архив интернета» подвергся дефейсу, краже данных и мощным DDoS-атакам. Тогда злоумышленники сумели похитить информацию о 31 млн пользователей.

В прошедшие выходные множеству пользователей неожиданно пришли ответы на старые запросы по удалению контента из Internet Archive. Сообщения были написаны злоумышленниками и гласили, что организация взломана, поскольку небрежно обращалась со своими аутентификационными токенами, которые были похищены две недели назад во время первой атаки.

Письма прошли все проверки, аутентификацию DKIM, DMARC и SPF, и были отправлены авторизованным сервером Zendesk с адреса 192.161.151.10.

При этом некоторые читатели сообщили журналистам, что при запросе на удаление контента из Wayback Machine им приходилось указывать личные данные. Теперь эта информация тоже может находиться в руках злоумышленников, в зависимости от того, какой доступ они имели к Zendesk.

Неизвестные хакеры атаковали правительственный портал Кипра, чтобы заблокировать доступ к государственным онлайн-сервисам.

В результате DDoS-атаки на несколько минут был нарушен доступ к порталу «gov.cy», однако остальные сайты министерств и ведомств остались недоступными для злоумышленников и продолжали работать в штатном режиме.

Министерство исследований, инноваций и цифровой политики Кипра сообщило, что оперативная и скоординированная работа специалистов помогла предотвратить атаку. В ведомстве не раскрыли, кто стоит за атаками и какие мотивы могли ими руководить.

МИД РФ сообщил о «беспрецедентной» атаке на свой сайт.

Высказывают предположения, что хакерская атака может быть связана с успешно проходящим саммитом БРИКС в Казани.

Мария Захарова прокомментировала инцидент:

«Мы регулярно сталкиваемся с атаками на наш сайт, но сегодняшнее кибернападение отличается беспрецедентным масштабом, и для того, чтобы восстановить работоспособность интернет-ресурсов, мы решили не добавлять нагрузки на сайт в виде трансляции и перенести брифинг.»

По состоянию на 10.30 утра в четверг сайт МИД РФ работает.

Телеграм-канал «Утечки информации» сообщает, что в свободный доступ были выложены данные заказов и покупателей сети винных магазинов winestyle.

В текстовом файле, содержащем 1 154 694 строки, находятся: имена, телефоны (427 тыс. уникальных), адреса эл. почты (407 тыс. уникальных), адреса доставки, содержимое, даты и стоимость заказов, IP-адреса.

Данные датируются 23.10.2024.

Обзор новостей информационной безопасности с 11 по 17 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой зловредной кампании распространяют вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи.

Особенности кампании

1. Hijack Loader, также известный как DOILoader и SHADOWLADDER, распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов.

2. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.

3. Эксперты наблюдали три вариации вредоносного скрипта PowerShell с середины сентября этого года. Среди них — скрипты, использующие «mshta.exe» и «msiexec.exe» для выполнения кода и загрузки вредоносных данных с удалённых серверов.

4. Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader.

5. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.

Злоумышленники взламывают неактивные профили россиян в WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ) для дальнейшего обзвона и обмана других пользователей мессенджера под видом сотрудников банков или сотовых операторов.

Как действуют преступники

1. Мошенники взламывают аккаунты неактивных пользователей и начинают обзвон других пользователей мессенджера, выдавая себя за сотрудников банков или сотовых операторов.

2. Для создания доверия мошенники могут изменить изображение профиля на логотип компании.

3. Звонки поступают через мессенджер с номера жертвы, не подозревающей о взломе, что затрудняет идентификацию мошенничества. В результате со взломанного аккаунта могут проводиться массовые обзвоны.

4. Чаще всего жертвами такой схемы становятся пожилые люди, которым мессенджер установили дети или внуки.

Инциденты

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) сообщил, что каналы связи и инфраструктура нескольких операторов связи, а также инфраструктура крупного хостинг-провайдера подверглись массированным DDoS-атакам.

Максимальная мощность кибератаки составила до 1,73 Тбит/с. В атаке в основном принимали участие IP-адреса, зарегистрированные в США, Швеции и Великобритании, говорится в сообщении.

Атаки были успешно отражены с помощью средств Национальной системы противодействия DDoS-атакам (НСПА), созданной Роскомнадзором. Система обеспечивает дополнительную защиту ресурсов российского сегмента Интернета с использованием возможностей трансграничных технических средств противодействия угрозам (ТСПУ).

Хакер под ником IntelBroker заявил, что 6 октября он и его сообщники (EnergyWeaponUser и zjj) взломали компанию Cisco и похитили большое количество данных о разработчиках.

«Скомпрометированные данные: проекты Github, проекты Gitlab, проекты SonarQube, исходный код, жестко закодированные учетные данные, сертификаты, SRC клиентов, конфиденциальные документы Cisco, тикеты Jira, API-токены, приватные бакеты AWS, технологические SRC Cisco, сборки Docker, бакеты Azure Storage, приватные и публичные ключи, SSL-сертификаты, премиум-продукты Cisco и многое другое», — гласит сообщение IntelBroker на хакерском форуме.

В своём посте IntelBroker поделился образцами украденных данных, включая БД, информацию о клиентах, различную документацию для заказчиков и скриншоты порталов управления.

Хакер не предоставил никаких подробностей о том, как были получены все эти данные.

Представители Cisco сообщили журналистам, что уже расследуют эти заявления хакеров.

Японская компания Game Freak, совладелец и основной разработчик серии игр Pokemon, подтвердила, что в августе стала жертвой хакерской атаки.

Источник неожиданной откровенности — публикация на различных сайтах, в Discord, X и на Reddit многочисленных скриншотов исходных кодов и сборок предстоящих игр Pokemon, разработанных Game Freak.

Хотя Game Freak не признала факт утечки данных, в компании подтвердили, что в результате хакерской атаки были украдены личные данные 2600 сотрудников, подрядчиков, бывших работников, а также бывших партнеров по бизнесу.

Известно, что в руки хакеров попали полные имена и email-адреса сотрудников, то есть потенциальные риски от этой утечки должны ограничиваться фишинговыми атаками и таргетированным брутфорсом. Компания обещает, что с пострадавшими в результате этого инцидента свяжутся в индивидуальном порядке.

Хакеры похитили данные о системах Push-to-Talk (PTT) компании Verizon, предназначенных для государственных учреждений и служб быстрого реагирования.

Слабым звеном оказалась не сама Verizon, а сторонний провайдер, с которым сотрудничает компания.

Информацию выставил на продажу некто под ником Cyberphantom. Он заявил изданию, что работает с сообщником под ником Judische и ответственен за крупные взломы, вроде атак на AT&T и Ticketmaster.

Похищенные у Verizon данные действительно имеют некоторое сходство с информацией, украденной у компании AT&T летом текущего года. Тогда хакеры похитили метаданные звонков и текстовых сообщений 109 млн абонентов.

Взломщик подтвердил журналистам, что речь в объявлении идет о Verizon и добавил, что данные были получены из PTT-систем компании. Хотя Cyberphantom предоставил изданию несколько образцов данных, он отказался предоставить семпл, в котором фигурировали бы адреса и имена, упомянутые в объявлении.

Хакер сообщил, что не собирался вымогать у компании деньги, а решил сразу продать украденную информацию.