Обзор новостей информационной безопасности с 8 по 14 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группа киберразведки PT ESC обнаружила многоступенчатую фишинговую атаку, в которой хакеры сначала пытались завоевать доверие жертвы, а затем заставить запустить полезную нагрузку.

Схема кампании

1. Жертва получает письмо от имени управления ФСТЭК по СЗФО.

2. Во вложении находился скан информационного письма ФСТЭК «О продлении срока действия уровня опасности».

3. Вредоносного содержимого и каких-либо ссылок в нем не было, сам PDF-файл не являлся опасным. А вот качество скана документа оставляло желать лучшего и для визуального ознакомления с требованиями точно не подходило.

4. Для отправки письма использовался домен fstec.info, который не является официальным доменом ФСТЭК и зарегистрирован 16 октября 2024 года.

5. Через несколько дней жертва получила более качественный скан того же документа, который при ближайшем рассмотрении оказался исполняемым файлом с иконкой PDF.

6. Этот исполняемый файл запускает сервер UltraVNC с коннектом к узлу toproducts.ru:80, в результате чего создается сессия удаленного управления, к которой может подключится злоумышленник. А для отвлечения внимания запускается тот самый легитимный документ, но уже в улучшенном качестве.

Скорее всего, злоумышленники используют многоступенчатую технику социальной инженерии: сначала присылают безопасный и трудночитаемый документ, побуждая жертву завязать с ними диалог. А получив кредит доверия, отправляют ей полезную нагрузку.

Вестник Киберполиции России предупреждает о фишинге через домовые и районные чаты.

Схема кампании

1. Аферисты размещают в домовых или районных чатах сообщения с предложениями бесплатно забрать ненужную бытовую технику или мебель.

2. Заинтересовавшимся гражданам предлагают встретиться через пару дней лично, отправляют фото или видео, подтверждающее наличие предмета.

3. Накануне встречи «сосед» извиняется, говорит, что технику может отправить только с курьером. Для оформления доставки предлагает перейти по ссылке.

4. Обещают прислать курьера, но чтобы вызвать его, нужно установить расширение и ввести код.

5. Если сделать это, преступники подключатся к телефону и получат доступ к перепискам, паролям от почты, банков, Госуслуг. Кроме того они смогут управлять телефоном жертвы, в том числе переводить деньги или оформлять кредиты.

ВТБ предупреждает о новой схеме мошенников для взлома аккаунтов на государственных онлайн-сервисах.

Как действуют преступники

1. Злоумышленники звонят жертве от имени сотрудников госструктур, сообщают, что ей пришло заказное письмо, и предлагают прислать уведомление на почтовый или электронный адрес.

2. Для оформления такой заявки злоумышленники просят продиктовать проверочный код, который приходит на телефон жертвы с текстом «код восстановления доступа» к учётной записи.

3. Если жертва прерывает звонок, заподозрив обман, спустя некоторое время ей поступает повторный звонок от того же якобы государственного учреждения. На этот раз злоумышленники уверяют жертву, что первый разговор был с мошенниками, а учётная запись уже взломана.

4. Под предлогом защиты данных они вновь просят передать код из СМС. «В этот момент человек, находясь под психологическим давлением неизвестных и полностью доверяя им, становится жертвой дальнейшего обмана.

В банке отметили, что такие звонки составляют около 30% от общего числа атак, а данная схема особенно активизировалась в период уплаты налогов.

«Сбер» предупредил о новой схеме телефонных мошенников, в которую вовлекают друзей и родственников.

Как действуют преступники

1. Жертве поступает звонок с предложением дохода от инвестиций при поддержке личного «брокера».

2. В случае согласия человеку заводят поддельный личный кабинет, где отражена «прибыль от сделок», но на самом деле денежные средства находятся у мошенников.

3. При запросе на вывод денег злоумышленники требуют «налоговый код», для получения которого необходимо оплатить комиссию, однако после на свою просьбу жертва получает отказ «по подозрению в мошенничестве».

4. Далее начинают поступать звонки якобы от представителей Центробанка, которые требуют найти доверенное лицо для получения средств с брокерского счета.

5. При выполнении этой просьбы мошенники начинают угрожать конфискацией имущества и уголовным делом и требуют перевести крупную сумму со счета доверенного лица, которым зачастую являются родственники и близкие жертвы.

6. Финал опасной схемы может быть плачевным: злоумышленники угрозами заставляют жертв привлекать в нее все новых доверенных лиц и склоняют их к продаже жилья.

Уникальность и опасность схемы заключается в смешении нескольких известных сценариев. Сначала мошенники воздействуют на желание обогащения ― уже на этом этапе человек теряет крупную сумму. Но преступники не останавливаются, и начинают запугивать и угрожать, в результате чего происходит «заражение» окружения жертвы.При этом мошенники напрямую не общаются с последующими жертвами ― «доверенными лицами», воздействие происходит через основную жертву.

Новая деталь в схеме ― оплата несуществующего «налогового кода» для выманивания нового перевода и угрозы со стороны якобы Центрального банка, который подозревает клиента в мошенничестве. Необходимо помнить, что сотрудники Центрального банка никогда не общаются по телефону с физическими лицами.

Другой явный признак мошенничества, который должен насторожить ― в результате инвестиций обещают «золотые горы» при минимальных усилиях и знаниях.

Инциденты

Используя уязвимость в античит-системе Activision, хакер заблокировал тысячи честных игроков Call of Duty Modern Warfare 3, представляя их как читеров.

Проблема обострилась на фоне давней борьбы между разработчиками игр и хакерами. Последние годами искали способы обхода античит-систем, чтобы создавать читы и продавать их, неплохо на этом зарабатывая. В 2021 году Activision представила новую систему Ricochet, работающую на уровне ядра операционной системы, чтобы усложнить хакерам обход защиты.

Хакер использовал недоработки Ricochet против игроков. Он обнаружил, что система использует жёстко заданные текстовые строки в качестве «сигнатур» для обнаружения читеров. К примеру, одной из таких строк было слово «Trigger Bot», обозначающее тип чита, автоматически стреляющего по цели.

Отправляя игрокам в Call of Duty личные сообщение с одной из этих сигнатур, он добивался автоматической блокировке получателя. Причина в том, что Ricochet сканирует устройства игроков на наличие этих строк, и если они находятся, автоматически выносит бан, не учитывая контекста.

У букмекерской компании 1win произошла утечка пользовательских данных. Злоумышленникам удалось получить доступ к части базы данных, содержащей электронные адреса и телефонные номера около 100 миллионов пользователей.

Инциденту предшествовала серия масштабных DDoS-атак, с которыми не смог справиться провайдер защиты от DDoS. Далее последовали попытки проникновения в инфраструктуру компании различными способами: рассылка вирусов сотрудникам для получения паролей от серверов, множественные атаки на инфраструктуру, а также успешный взлом одного из мерчантов.

В итоге злоумышленники нашли уязвимость в системе, проникли в инфраструктуру и похитили данные, после чего потребовали выкуп, размер которого с начального миллиона долларов США вырос до 15 млн долларов США.

Сообщается, что шантажисты выложили часть базы, чтобы усилить информационное давление и получить больше денег.

Тем не менее, руководство 1win настаивает, что на данный момент инфраструктура компании находится в полной безопасности.

Кибератака вызвала сбои в работе судов округов Кинг, Пирс, Льюис, Вотком, а также ряда городских судов штата Вашингтон.

Несмотря на отсутствие официального подтверждения вымогательской атаки сайт AOC недоступен уже несколько дней. В AOC от комментариев отказались, отметив, что на данный момент нет оснований полагать, что это целенаправленное нападение.

Некоторые суды, например, Верховный суд округа Пирс, заявили, что их работа пострадала минимально. Тем не менее, в ряде других учреждений возникли серьёзные сбои в системах электронного документооборота и телефонии, что затруднило оплату штрафов. Суд округа Турстон и вовсе объявил о переносе слушаний по делам о правонарушениях. Участникам будут разосланы новые даты заседаний.

Крупный инвестор потерял около 6,09 млн долларов США в криптовалюте Gigachad (GIGA) из-за фишинговой атаки. Злоумышленники использовали поддельное приглашение на конференцию Zoom для распространения вредоносного ПО.

Получив доступ к трём криптокошелькам, мошенники вывели 95,27 миллионов токенов GIGA, а затем конвертировать похищенные средства в 11,759 SOL, что составляет примерно 2,1 миллиона долларов США. В результате массовой продажи курс мем-койна GIGA упал с 0,63 до 0,54 доллара.

Позже злоумышленники обменяли полученные SOL на стейблкоины USDT и USDC. Часть средств в размере 700 SOL была переведена на централизованную биржу KuCoin через промежуточные адреса.

Кибератака на инфраструктуру супермаркетов Stop & Shop в Новой Англии вызвала задержки в работе аптек и электронных платформ для покупок.

Как заявила материнская компания Ahold Delhaize, причиной стала недавно обнаруженная «проблема кибербезопасности». В связи с инцидентом были привлечены внешние эксперты, а также оповещены правоохранительные органы для проведения расследования и предотвращения дальнейших угроз.

Компания подчёркивает, что защита данных клиентов, сотрудников и партнёров остаётся для них в приоритете, однако утечка информации в такой ситуации не исключена, особенно если кибератака имела вымогательский характер.

Несмотря на инцидент, все магазины сети Stop & Shop продолжают работать, хотя некоторые процессы в них были нарушены. В частности, сбой затронул работу аптек и интернет-магазинов, что может привести к задержкам в доставке товаров и обслуживании клиентов.

Amazon подтвердила утечку данных своих сотрудников после того, как хакер опубликовал в даркнете более 2,8 миллиона строк, содержащих имена сотрудников, контактные данные, местоположение офисов и email-адреса.

По словам представителя Amazon Адама Монтгомери, информация была украдена из систем стороннего поставщика услуг по управлению недвижимостью. Инцидент затронул несколько клиентов компании, включая Amazon.

Amazon подчеркнула, что подрядчик не имел доступа к конфиденциальным данным. Также сообщается что поставщик уже устранил уязвимость, приведшую к утечке. Amazon заверила, что системы компании, включая AWS, остаются в безопасности и не подвергались компрометации.

Хакер утверждает, что помимо данных, украденных во время атак на MOVEit, часть информации была получена из других источников, включая открытые базы данных и утечки на сайтах вымогателей. Он сообщил, что у него на данный момент накоплено более 250 ТБ архивов с базами данных, собранных из различных интернет-ресурсов.

Обзор новостей информационной безопасности с 1 по 7 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

LastPass предупредила о мошеннической кампании, направленной на пользователей менеджера паролей.

Как действуют преступники

1. Злоумышленники оставляют в сети фальшивые хвалебные отзывы о расширении LastPass для Chrome.

2. В таких отзывах мошенники ставят расширению пять звезд и хвалят работу технической поддержки, указывая фальшивый телефонный номер (805-206-2892), по которому они якобы звонили. На самом деле этот номер не имеет никакого отношения к производителю.

3. Если позвонить по этому телефону, мошенник, отвечающий на звонки, представится сотрудником поддержки LastPass и попросит пользователя зайти на сайт dghelp[.]top, где нужно ввести код для загрузки специального софта. С сайта загружается ConnectWise ScreenConnect, предоставляющий злоумышленникам полный удаленный доступ к системе жертвы.

4. Пока один из мошенников задаёт позвонившему вопросы, чтобы удержать его на линии и отвлечь внимание, другой злоумышленник использует ScreenConnect в фоновом режиме и устанавливает в систему жертвы другое ПО для удалённого доступа и кражи данных.

Обнаружены новые варианты атак группировки PhaseShifters (Sticky Werewolf), жертвами которых стали десятки российских организаций.

Как действуют преступники

1. Атаки начинались с рассылки фишинговых писем с вложениями в виде защищённых паролями архивов, которые содержали вредоносные файлы.

2. Среди таких документов встречались резюме или дополнительные соглашения на подпись.

3. Когда жертвы открывали файлы, на их устройства загружались скрипты, скачивающие изображения — в них с помощью стеганографии была скрыта полезная нагрузка.

Организаторы вредоносной кампании Phish n’ Ships атаковали более тысячи интернет-магазинов и похитили деньги у их посетителей.

Схема кампании

1. Атаки Phish n’ Ships начинаются с заражения реально существующих интернет-магазинов вредоносными скриптами. Для этого хакеры эксплуатируют уже известные уязвимости, неправильные конфигурации или скомпрометированные учетные данные администратора.

2. После взлома злоумышленники загружают на сайт скрипты с неприметными названиями (zenb.php или khyo.php), с помощью которых в магазине создаются карточки с фальшивыми товарами.

3. Все товары снабжены оптимизированными для SEO метаданными, чтобы лучше попадать в результаты поиска Google, откуда на сайт и приходят жертвы.

4. Когда пользователь переходит по таким ссылкам, он проходит через ряд перенаправлений, которые в конечном итоге ведут на мошеннические сайты, часто имитирующие интерфейс взломанного интернет-магазина или использующие схожий дизайн.

5. При попытке купить товар в мошенническом магазине жертва проходит через весь процесс оформления заказа, который в целом выглядит легитимным.

6. В итоге вредоносный сайт похищает информацию, которую жертва вводит при оформлении заказа (включая данные банковской карты), и завершает процедуру через полулегальный аккаунт платежного процессора, подконтрольный злоумышленникам.

7. Пострадавший не получает никаких товаров, но теряет и деньги, и данные.

Группа компаний «Гарда» обнаружила новый вид мошенничества в популярных мессенджерах.

Преступники пишут сообщения от имени знакомого человека из списка контактов жертвы и уговаривают установить вредоносное приложение под видом «Яндекс Музыки».

Вместо сервиса на смартфон устанавливается троянская программа, которая даёт злоумышленнику полный доступ к мобильному устройству.

Преступники использовали вредоносное ПО Gootloader для заражения компьютеров любителей бенгальских кошек из Австралии.

Схема кампании

1. Злоумышленники создали поддельные страницы, специально настроенные так, чтобы они попадали в топ поисковых результатов по этому запросу.

2. Когда пользователи переходили на такой сайт, им предлагалось скачать ZIP-файл.

3. После открытия архива на компьютер загружалась первая часть вредоносного кода.

4. Затем браузер автоматически перенаправлялся на другой сайт, где загружался большой JavaScript-файл, запускавший целую серию процессов на устройстве.

5. Выполнялись команды PowerShell для развертывания Gootkit — третьего этапа атаки. В результате на компьютере устанавливались Cobalt Strike и программы-вымогатели.

Инциденты

LottieFiles — SaaS-платформа для создания легких векторных анимаций, которые можно встраивать в приложения и сайты, — стала жертвой атаки на цепочку поставок.

31 октября 2024 года пользователи Lottie-Player начали жаловаться на странные инъекции кода и всплывающие окна на сайтах. Как оказалось, злоумышленники добавили в Lottie Web Player версий 2.0.5, 2.0.6 и 2.0.7 вредоносный код, который внедрял на сайты малварь для кражи криптовалюты.

Такие вредоносы внедряются на сайты и показывают посетителям запросы на подключение криптовалютного кошелька. Если пользователь не замечает подвоха и действительно подключает свой кошелек, скрипт автоматически пытается украсть все доступные активы и NFT, отправив их своим операторам.

Разработчики LottieFiles объясняют, что JavaScript-библиотека была скомпрометирована после того, как у одного из разработчиков похитили токен аутентификации, который в итоге был использован для загрузки вредоносных версий пакета npm.

Проукраинская группировка RUH8 заявила об атаке на ИТ-инфраструктуру администрации Твери, в результате которой были выведены из строя множество информационных систем.

В телеграм-канале группировки 29 октября вышел пост, в котором говорится о  полном уничтожении содержимого десятков виртуальных машин, резервных копий, рабочих станций в администрации города, а также подсистемы телефонной связи:

Кибератака на разработчика решений для управления автопарками Microlise из Великобритании нарушила работу ключевых клиентов компании, среди которых служба доставки DHL UK и сеть магазинов Nisa. Самые серьёзные проблемы возникли у компании Serco, которая обеспечивает транспортировку заключенных по контракту с Министерством юстиции Великобритании.

Атака на Microlise привела к тому, что устройства отслеживания и тревожные кнопки в транспортных средствах Serco были выведены из строя. В результате водители оказались незащищёнными, так как системы слежения за заключенными не функционировали на протяжении нескольких дней.

Из-за инцидента руководство Serco было вынуждено перейти на временные меры безопасности. Водителей снабдили бумажными картами и инструкциями поддерживать связь с тюремными базами каждые полчаса. Сотрудникам рекомендовали держать мобильные телефоны полностью заряженными для экстренных случаев. Нарушение навигационных и других функций усложнило выполнение задач и поставило под угрозу безопасность персонала.

Хакер взломал платформу для разработчиков Schneider Electric и похитил информацию с JIRA-сервера компании. Для атаки он использовал ранее скомпрометированные учётные данные.

После получения доступа злоумышленник использовал MiniOrange REST API для сбора 400 0000 строк пользовательских данных, среди которых были 75 000 уникальных email-адресов, а также полные имена сотрудников и клиентов Schneider Electric.

На хакерском форуме в даркнете взломщик шутит, что требует за нераскрытие украденной информации 125 000 долларов США «в багетах», поскольку Schneider Electric — французская компания. Он заявляет, что «были скомпрометированы критически важные данные, в том числе проекты, issue и плагины, а также более 400 000 строк пользовательских данных общим объёмом более 40 ГБ».

Хакер IntelBroker заявил, что взломал стороннего вендора и похитил исходный код компании Nokia, который теперь готов продать.

IntelBroker утверждает, что среди похищенных данных есть ключи SSH, исходный код, ключи RSA, логины BitBucket, учётные записи SMTP, веб-хуки, а также жестко закодированные учётные данные.

Сообщают, что хакер использовал стандартные логин и пароль, чтобы скомпрометировать сервер SonarQube, принадлежащий неназванному вендору. Это позволило похитить у пострадавшей организации Python-проекты клиентов, среди которых были данные Nokia.

Представители Nokia подтвердили изданию, что им известно об этих заявлениях злоумышленника и они уже проводят расследование.

Корпорация True World Holdings LLC уведомила своих сотрудников о киберинциденте, затронувшем их персональные данные. Киберпреступники проникли в системы компании и похитили файлы с информацией о действующих и бывших сотрудниках.

Компания не уточнила, какие именно персональные данные были похищены, отметив, что объем информации варьируется в зависимости от человека. По данным генпрокуратуры, пострадали 8532 человека, хотя сейчас в True World работают около 1000 человек по всему миру.

Компания рекомендовала пострадавшим обратить внимание на любые подозрительные операции на их финансовых счетах и проверках кредитных отчетов. Также True World предоставила на год бесплатный кредитный мониторинг и услугу восстановления идентичности. Компания также порекомендовала сменить учётные данные и контрольные вопросы для защиты финансовых и других личных аккаунтов.

Фармдистрибьютор AEP из Баварии стал жертвой вымогательской кибератаки. В результате инцидента часть IT-систем AEP была зашифрована.

Расследование ведёт Криминальная полиция Баварии, в сотрудничестве с которой AEP активно ищет решение проблемы с привлечением экспертов по киберинцидентам и IT-криминалистике. В компании отметили, что все внешние подключения отключены, а затронутые системы полностью остановлены.

На данный момент AEP недоступна по телефону и может принимать только ограниченное количество обращений по электронной почте.

Хакеры атаковали информационную систему центров занятости Министерства труда и занятости Франции.

Эксперты считают, что из-за атаки существует риск утечки личных данных молодых людей, получающих поддержку в центрах занятости: фамилии, имена, даты рождения, национальности, адреса электронной почты и почтовые адреса, а также номера телефонов. При этом номера социального страхования, банковские реквизиты и удостоверения личности не были скомпрометированы.

Обзор новостей информационной безопасности с 25 по 31 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Выявлен всплеск мошеннических кампаний, нацеленных на соискателей удалённой работы. Новый вид мошенничества стремится получить быстрые выплаты от финансово уязвимых жертв.

Как действуют преступники

1. Обман начинается на платформах обмена сообщениями и в социальных сетях, где злоумышленники представляются рекрутерами.

2. Они предлагают удалённую работу в сферах музыкальных стримингов, оценки товаров и гостиничного бизнеса.

3. Соискателей просят зарегистрироваться на поддельном портале для выполнения оплачиваемых задач.

4. По мере выполнения заданий возникают «технические проблемы», из-за которых на аккаунте появляется отрицательный баланс. Для его пополнения жертве предлагают внести депозит, обещая доступ к более высокому доходу. В результате пользователи часто теряют сотни и даже тысячи долларов США.

5. Злоумышленники активно используют Telegram и WhatsApp, где создают фальшивые чаты с другими «работниками», чтобы поддерживать иллюзию успешного заработка и стимулировать жертв к новым вложениям.

6. Поддельные сайты часто имитируют бренды, такие как Temu и TikTok, а также гостиничные ассоциации. Высокий уровень вовлечённости позволяет мошенникам удерживать жертв в процессе.

Некоторые схемы оказались крайне прибыльными: за несколько месяцев мошенники собрали более 300 000 долларов США в криптовалютах Bitcoin и Ethereum.

Инциденты

Компания Change Healthcare официально подтвердила, что в результате кибератаки 21 февраля 2024 года были скомпрометированы данные более 100 млн человек. Происшествие стало крупнейшей утечкой защищённой медицинской информации (PHI) среди организаций, регулируемых HIPAA.

В ходе инцидента были похищены:

• информация о медицинском страховании (первичные, вторичные и другие медицинские планы/полисы, данные о страховых компаниях, ID участников/групп, ID плательщиков Medicaid Medicare);
  медицинские данные (номера медицинских карт, диагнозы, лекарства, результаты анализов, снимки, сведения об уходе и лечении);
• информация о выставлении счетов, претензиях и платежах (номера претензий, номера счетов, коды выставления счетов, платежные карты, финансовая и банковская информация, данные о произведенных платежах);
• прочие персональные данные, среди которых номера социального страхования, водительских прав, удостоверений личности, а также номера паспортов.

Похищенная информация может различаться для каждого конкретного пострадавшего, медицинские данные были раскрыты не во всех случаях.

Эту вымогательскую атаку и утечку данных связывают с хакерской группировкой BlackCat (ALPHV). Ранее в UnitedHealth Group признавали, что заплатили злоумышленникам выкуп, чтобы получить дешифровальщик и не дать хакерам обнародовать украденную во время атаки информацию. Сумма выкупа составила 22 млн долларов США. После его получения BlackCat отключила свои серверы и растворилась в небытии.

DLBI сообщает, что в свободный доступ на теневом форуме была выложена база данных «ВТБ-клиенты».

База содержит 6,1 млн строк: ФИО, номера телефонов, адреса эл. почты, даты рождения.

Известно, что данная база была составлена (обогащена) из нескольких других баз. За основу взята база, содержащая только номера телефонов и цифровые идентификаторы, размером более 9 млн строк и актуальностью 05.2022.

Проверка случайных номеров телефонов из оригинальной базы (9 млн телефонов) через Систему быстрых платежей (СБП) показала, что для всех этих номеров доступен банк «ВТБ».

Хакеры взломали аккаунт в соцсети основателя платформы Truth Terminal Энди Айри и использовали для продвижения мошеннического токена.

Злоумышленник разместил в профиле Айри адрес контракта нового токена с тикером IB, чтобы привлечь инвесторов и поднять рыночную стоимость актива.

Хакерский аккаунт получил 12,5% от общего объема токенов, что вызвало резкое увеличение капитализации до 25 млн долларов США. Заработав на операции более 600 тысяч долларов США, злоумышленник начал массовую продажу токенов, что привело к обвалу стоимости актива на 98% и сократило капитализацию до 500 тысяч долларов США.

Участники сообщества попытались стабилизировать цену токена и частично восстановили его стоимость. Айри временно вернул доступ к своему аккаунту и сообщил, что хакер получил контроль над профилем через атаку на мобильного оператора, воспользовавшись схемой «SIM-swap». Однако вскоре аккаунт вновь подвергся подозрительным действиям, указывающим на отсутствие полного контроля

В даркнете выставлены на продажу базы данных французского оператора связи Free: информация о клиентах мобильных услуг Free Mobile и абонентах интернет-платформы Freebox.

В двух базах содержатся персональные данные более 19 млн человек, а также свыше 5 млн банковских реквизитов IBAN.

Free Mobile официально подтвердила факт атаки 26 октября, но отказалась комментировать объём утечки. В заявлении компании сказано, что кибератака не затронула пароли, данные банковских карт, электронные письма, SMS и голосовые сообщения. Оператор также отметил, что инцидент не повлиял на работу сервисов и услуг.

Группировка RansomHub взломала оператора 13 мексиканских аэропортов, компанию Grupo Aeroportuario del Centro Norte (OMA).

Представитель OMA сообщил, что IT-специалистам пришлось перейти на резервные системы, чтобы продолжить работу.

RansomHub требует выкуп, угрожая опубликовать 3 Тб украденных данных.

OMA предупредила пассажиров о временных неудобствах. Экраны с информацией о рейсах пока не работают, но сотрудники помогают пассажирам найти нужные терминалы. В аэропортах также размещены QR-коды для поиска выхода на посадку.

Первое сообщение об инциденте было сделано 15 октября, когда в аэропортах OMA перестали работать экраны.

Один из крупнейших банков Перу, Interbank (ранее International Bank of Peru, Banco Internacional del Perú), сообщил об утечке данных после неудавшейся вымогательской атаки.

В Interbank подчеркивают, что большинство операций сейчас проводятся в штатном режиме, а вклады клиентов находятся в безопасности. Пока организация не раскрывает точное количество пострадавших клиентов.

Злоумышленник утверждает, что похитил полные имена клиентов Interbank, идентификаторы счетов, даты рождения, адреса, номера телефонов, адреса электронной почты и IP-адреса, а также номера банковских карт и CVV, информацию о сроках действия карт, данные о банковских операциях и другую конфиденциальную информацию, включая учётные данные в виде открытого текста.

Мошенники использовали конфиденциальные данные крупной налоговой компании H&R Block Canada, чтобы получить доступ к личным аккаунтам канадцев в канадском налоговом агентстве (CRA) и похитить более 6 миллионов долларов через поддельные налоговые возвраты.

Чтобы перевести деньги себе, мошенники меняли банковскую информацию на счетах пострадавших. Например, в одном случае злоумышленники указали поддельный адрес на несуществующей улице, чтобы скрыть махинации.

В ходе расследования стало известно, что сотрудники CRA обнаружили утечку данных H&R Block лишь когда на теневых онлайн-ресурсах стали предлагаться украденные данные.