Rose debug info
---------------

Блог Start X

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Дайджест Start X № 378

Обзор новостей информационной безопасности с 5 по 11 июля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена сеть из 708 мошеннических сайтов для продажи поддельных билетов на спортивные и музыкальные мероприятия русскоязычной аудитории.

Особенности кампании

  1. На доменах ticket-paris24[.]com» и tickets-paris24[.]com размещены качественно сделанные сайты, которые позволяют пользователям приобретать билеты на различные мероприятия во время предстоящих летних Олимпийских игр и выбирать размещение в Париже.
  1. Цены на билеты завышены по сравнению с настоящими сайтами: случайное мероприятие и место на официальном сайте могли стоить менее 100 евро, тогда как те же билеты и места на мошеннических сайтах стоили минимум 300 евро, а зачастую и 1000 евро.

  1. Компания-владелец сайтов VIP Events Team LLC зарегистрирована в Нью-Йорке в 2021 году, однако у неё нет сайта и отсутствует информация в соцсетях. При этом на странице «Контакты» сайта ticket-paris24[.]com указано, что компания, стоящая за мошенническим сайтом, находится в Грузии.
  1. Все поддельные сайты по продаже билетов размещены на одном IP-адресе.

Эксперты обнаружила поддельные сайты по продаже билетов на другие мероприятия, в том числе:

  • УЕФА Евро-2024 в Германии
  • Различные концерты и фестивали с участием известных музыкантов и групп (Twenty One Pilots, Iron Maiden, Бруно Марс, Людовико Эйнауди, Metallica и Rammstein)

Некоторые из этих доменов, по-видимому, имеют более широкий целевой диапазон, чем русскоязычные жертвы, на которых нацелены поддельные сайты по продаже билетов на Олимпийские игры.

Северокорейская хакерская группа Kimsuky совершила серию кибератак на японские организации.

Схема кампании

  1. Всё начинается с рассылки целевых писем с тематикой безопасности и дипломатии.
  1. Письма содержат вложенные файлы с двойными расширениями, например, «.docx.exe» и «.docx.docx». Многочисленные пробелы в названиях файлов скрывают настоящие расширения, заставляя жертв запускать исполняемый файл под видом офисного документа, что и приводит к заражению их устройств.
  1. После запуска файла-приманки с внешнего ресурса скачивается и выполняется VBS-файл, загружающий PowerShell и вызывающий функцию PokDoc, которая отправляет собранные данные на заданный злоумышленниками URL. Собранные данные включают информацию о системе, процессах, сетях, файлах и учётных записях пользователей.
  1. После отправки данных создаётся и выполняется ещё один VBS-файл с именем «desktop.ini.bak». Этот файл аналогично загружает PowerShell, вызывая функцию InfoKey для работы в качестве кейлоггера. Информация о нажатиях клавиш и содержимом буфера обмена сохраняется и отправляется на удалённый сервер.

Обнаружена новая волна целевых атак на российские организации с целью сбора конфиденциальной информации.

Схема кампании:

  1. Злоумышленники рассылают вредоносный файл, имитирующий документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА»
  1. На самом деле файл имеет расширение .scr и является инсталлятором.
  1. Для отвлечения внимания пользователя он извлекает из себя и открывает документ PDF на тему БПЛА. Параллельно с этим он в скрытом режиме скачивает несколько архивов с дополнительной вредоносной нагрузкой и консольную утилиту для работы с архивами формата RAR. Консольная утилита используется для распаковки скачанных архивов, а также для сбора интересующих злоумышленников файлов.
  1. Злоумышленники собирают в архивы офисные документы с расширениями *.doc и *.docx с дисков C:\, D:\ и E:\; кроме того, их интересует все содержимое папки «Telegram Desktop\tdata», в которой хранятся данные десктопной версии мессенджера Telegram.
  1. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленникам.
  1. С помощью утилиты Web Browser Pass View похищаются учётные данные, сохранённые в браузерах.
  1. Незаметно устанавливается легитимная программа для мониторинга активности пользователя, которая записывает нажатия клавиш, мониторит интернете-активность, делает скриншоты. Затем всё это отправляется на электронную почту преступникам.

Инциденты

Злоумышленники скомпрометировали провайдера email-маркетинга Ethereum и разослали по 35 000 адресам фишинговые письма со ссылкой на вредоносный сайт, содержащий малварь для кражи криптовалют.

Для рассылки преступники использовали собственный список email-адресов и еще 3759 адресов, экспортированных из рассылки блога платформы. При этом только 81 адрес из экспортированных был ранее неизвестен атакующим.

Фишинговое сообщение злоумышленников приглашало пользователей перейти на вредоносный сайт, на котором сообщалось о сотрудничестве с Lido DAO и предлагалось воспользоваться преимуществами 6,8% годовой доходности.

Желающие получить обещанный доход попадали на профессионально сделанный фальшивый сайт, который выглядел как часть рекламной акции. Если пользователь привязывал свой кошелёк к этому сайту и подтверждал транзакцию, малварь отправляла все его активы злоумышленникам.

Несколько почтовых ящиков Международной автомобильной федерации (Federation Internationale de l’Automobile, FIA) были взломаны в результате фишинговой атаки.

Как сообщили на этой неделе представители организации,

«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA. Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».

В организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе инцидента.

Анонимный хакер с киберпреступного форума заявил о наличии уязвимости, позволяющей обходить двухфакторную аутентификацию (2FA) на платформе HackerOne.

Из сообщения злоумышленника следует, что он обладает действующим PoC-эксплойтом, который можно применить для обхода двухфакторной аутентификации HackerOne, что существенно упрощает потенциальную компрометацию аккаунтов компаний или самих белых хакеров.

Пока что представители HackerOne не выпустили официального подтверждения или опровержения по поводу наличия уязвимости в 2FA.

На хакерском форуме опубликована гигантская база данных, содержащая почти 10 млрд (9 948 575 739) уникальных паролей.

Анализ показал, что новая публикация RockYou2024 представляет собой компиляцию реальных паролей, собранных из различных источников.

Автор поста — хакер ObamaCare, который уже успел отметиться рядом «подвигов»: он выкладывал базу сотрудников юридической фирмы Simmons & Simmons, информацию об онлайн-казино AskGamblers и документы студентов колледжа Роуэн в Берлингтоне.

Американский кредитный союз Patelco Credit Union стал жертвой вымогательской кибератаки.

Представители Patelco сообщили, что клиенты могут столкнуться с периодическими сбоями в работе банкоматов и пообещали возместить любые штрафы за просрочку платежей из-за этих сбоев.

В заявлении компании говорится:

«29 июня 2024 года Patelco Credit Union подвергся атаке программ-вымогателей. Наш приоритет — безопасное и надёжное восстановление наших банковских систем. Мы работаем вместе с ведущими экспертами по кибербезопасности и сотрудничаем с регуляторами и правоохранительными органами».

Атака началась в субботу, когда кредитный союз впервые сообщил о недоступности своих систем. В воскресенье Patelco был вынужден отключить некоторые свои повседневные банковские системы, чтобы справиться с инцидентом и «ограничить его воздействие». В Patelco не сообщили, какая программа-вымогатель использовалась и какой выкуп потребовали хакеры.

Неизвестные похитили данные пользователей сервиса Twilio Authy, воспользовавшись отсутствием аутентификации в эндпоинте. В результате атаки были скомпрометированы номера мобильных телефонов пользователей.

Twilio предприняла оперативные меры для обеспечения безопасности, закрыв уязвимую конечную точку и заблокировав неаутентифицированные запросы.

Атаку провела группа ShinyHunters. Они опубликовали на форуме BreachForums базу данных, содержащую 33 миллиона номеров телефонов, извлечённых из учётных записей Authy.

Опубликованный CSV-файл содержит 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, столбец «over_the_top», статус учетной записи и количество устройств.

В Twilio подчеркнули, что не обнаружено доказательств того, что злоумышленники получили доступ к системам компании или другой чувствительной информации.

Хакеры утверждают, что захватили 1,4 ГБ данных Агентства национальной безопасности (АНБ) США в результате взлома стороннего подрядчика Acuity Inc.

Похищенные данные содержат:

  • полные имена;
  • номера телефонов;
  • адреса электронной почты сотрудников АНБ и аффилированных лиц;
  • секретные документы и переписку между определёнными группами и союзниками США.

ZOTAC, китайский производитель аппаратной составляющей на базе процессоров NVIDIA и мини-компьютеров, раскрывал документы с информацией покупателей.

Как оказалось, конфиденциальная информация о клиентах была доступна даже в поиске Google. Обычно такое происходит из-за неправильно настроенных прав доступа, отсутствия тегов или файла robots.txt, который указывал бы поисковым машинам, что нужно игнорировать папки с конфиденциальными данными.

Из-за ошибки компании поисковые запросы в Google возвращали имена людей и названия компаний, а параметр zotacusa.com и вовсе помогал обнаружить личную информацию, включая накладные, адреса, данные о запросах на возврат и контактную информацию.

Вымогатели RansomHub опубликовали данные Департамента здравоохранения Флориды после того, как жертва отказалась платить выкуп.

Представитель департамента подтвердил факт кибератаки и объяснил, что преступники дали штату срок до 5 июля для выплаты выкупа. Однако правительство Флориды придерживается политики неуплаты выкупов.

На сайте группы действительно есть множество внутренних данных Департамента, и большая часть представляет собой персональные данные или защищённую медицинскую информацию, в том числе:

  • результаты анализов;
  • сканы паспортов;
  • рецепты;
  • переписку с физлицами;
  • записи о компенсации работникам, включая личные и демографические данные каждого сотрудника.

В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».

В частичном дампе содержится более 408 тыс. строк с данными пользователей:

  • ФИО;
  • телефон;
  • адрес эл. почты;
  • хешированный пароль;
  • номер карты лояльности, кол-во бонусов и т. п.

В полном дампе содержится гораздо больше данных: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.

Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.

Данные в дампе датируются 06.07.2024.

 64   6 дн   дайджест   фишинг

Дайджест Start X № 377

Обзор новостей информационной безопасности с 28 июня по 4 июля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Неизвестные хакеры используют уязвимость в MSHTML для распространения шпионского ПО MerkSpy, нацеленного на пользователей в Канаде, Индии, Польше и США.

Схема кампании

  1. Хакеры рассылают фишинговые письма с документом MS Word, который содержит описание вакансии программиста.

  1. При открытии файла активируется эксплуатация уязвимости CVE-2021-40444, которая приводит к удалённому выполнению кода без взаимодействия с пользователем.
  1. Этот процесс загружает HTML-файл (olerender.html) с удалённого сервера, который запускает встроенный шелл-код после проверки версии операционной системы.
  1. Olerender.html использует функцию VirtualProtect для изменения разрешений памяти, что позволяет записать декодированный шелл-код в память. Затем «CreateThread» запускает внедрённый шелл-код, подготавливая загрузку и выполнение следующего вредоносного кода с сервера злоумышленников.
  1. Шелл-код загружает файл под именем «GoogleUpdate», который, на самом деле, содержит полезную нагрузку инжектора, скрывающуюся от антивирусного ПО и загружающую MerkSpy в память системы. Шпионское ПО сохраняет своё присутствие на устройстве через изменения в реестре Windows, обеспечивая автоматический запуск при старте системы.
  1. MerkSpy способен захватывать скриншоты, фиксировать нажатия клавиш, собирать данные для входа, хранящиеся в Google Chrome, и данные из расширения MetaMask для управления криптокошельками. Все собранные данные отправляются на сервер злоумышленников.

Обнаружена новая схема кражи Telegram-аккаунтов и криптовалюты с помощью фишинговых ботов. Злоумышленники атакуют владельцев цифровых активов, которые совершают P2P-сделки внутри мессенджера.

Схема действий преступников

  1. Атакующие нацелены на пользователей, которые намерены совершить сделку с криптовалютой в рамках P2P-трейдинга через Telegram, и выходят с ними на связь под предлогом осуществления транзакции.
  1. Потенциальной жертве сообщают, что для повышения уровня безопасности и соблюдения требований регуляторов якобы необходимо пройти KYC-верификацию, иначе криптокошелек будет заморожен.
  1. Сделать это предлагают через специальный сервис авторизации, ссылку на который присылают сами мошенники. Разумеется, никакой KYC-проверки нет, и мошенники просто заманивают человека в фишингового бота.
  1. Как только владелец криптовалюты переходит к Telegram-боту с характерным названием (например, Wallet KYC), ему предлагают авторизоваться через Telegram-аккаунт.
  1. Для этого пользователя просят отключить двухфакторную аутентификацию в мессенджере и подтвердить это действие, нажав соответствующую кнопку.
  1. Затем нужно сообщить код для авторизации в Telegram, который придет от официального сервиса.
  1. Получив код, мошенники перехватывают аккаунт жертвы в мессенджере и могут совершать P2P-сделки от ее имени.
  1. Через аккаунт человека в Telegram мошенники получают доступ к его криптовалютному кошельку Telegram Wallet. В результате жертва рискует потерять не только доступ к учетной записи, но и свою криптовалюту.

Для убедительности злоумышленники нередко ссылаются на требования законодательства — настоящие и выдуманные. Пользователям следует перепроверять информацию, прежде чем реагировать на предложение собеседника.

Внимание! Просьба отключить двухфакторную аутентификацию и сообщить одноразовый код для авторизации — явный признак мошенничества.

Мошенники публикуют поддельные предложения об удалённой работе от имени российских IT-компаний.

Схема кампании

  1. Киберпреступники публикуют в профильных Telegram-каналах с ИТ-вакансиями несуществующие предложения о работе на удалёнке на выгодных условиях.
  1. Всем соискателям злоумышленники предлагают перейти по ссылке и заполнить Google-форму, указав свои контактные данные, или же напрямую связаться с HR-менеджером.
  1. После успешного прохождения собеседования с будущим работником связываются якобы бухгалтеры компании и предлагают привязать корпоративную SIM-карту к личному кабинету банка, что якобы позволит получать зарплату с первого дня трудовой занятости.
  1. Если соискатель соглашается, мошенники крадут деньги с его счёта.

Подобные мошеннические публикации с вакансиями стали появляться в профильных Telegram-каналах, которые имеют несколько десятков тысяч подписчиков, и они присутствуют среди реальных предложений от настоящих работодателей.

В общей сложности эксперты обнаружили в различных Telegram-каналах и чатах не менее 35 подобных объявлений, которые были опубликованы только одним аккаунтом, принадлежащим мошеннику.

Инциденты

Неивестные хакеры взломали сайт центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» и заменили содержимое главной страницы на поздравление с днем конституции Украины.

Представитель «Инфосистемы джет» подтвердил журналистам, что сайт был атакован, но уточнил, что инфраструктура центра CSIRT и самой компании физически изолирована от сайта. Сам же сайт содержит исключительно справочную информацию об услугах Jet CSIRT, а его администрированием занимается сторонний подрядчик с локальными учётными записями. В связи с этим собственная IT-инфраструктура компании и Jet CSIRT не были затронуты атакой, никаких угроз для «Инфосистемы Джет» или его заказчиков не возникло.

Хакеры взломали корпоративную сеть TeamViewer.

Компания заявила о том, что обнаружила нарушение во внутренней корпоративной ИТ-среде TeamViewer, после чего немедленно задействовала команду по реагированию на инциденты и начала расследование. Также были приняты меры для устранению последствий атаки.

В компании подчеркивают, что «внутренняя корпоративная ИТ-среда TeamViewer полностью независима от продуктовой среды», и нет никаких признаков того, что атака затронула продукты компании или данные клиентов.

По информации Health-ISAC, за атакой на TeamViewer могла стоять русскоязычная группировка APT29, также известная как Cozy Bear, NOBELIUM и Midnight Blizzard.

В Health-ISAC рекомендуют администраторам проверять логи на предмет необычного трафика.

Группировка BlackSuit взломала японский медиаконгломерат Kadokawa и  похитила конфиденциальную информацию.

Кибератака произошла 8 июня, и с тех пор компания борется с её последствиями. Пострадали многие веб-сайты и сервисы, в том числе популярный японский видеохостинг Niconico. В результате атаки значительная часть операций компании и её дочерних предприятий была парализована, так как их данные были зашифрованы с помощью программы-вымогателя.

Вымогатели BlackSuit добавили Kadokawa на свой сайт утечек данных и опубликовали часть украденной информации. В случае невыплаты выкупа до 1 июля, злоумышленники угрожают обнародовать все похищенные данные, включая контакты, конфиденциальные документы, данные сотрудников, бизнес-планы и финансовую информацию.

Компания OVHcloud, один из крупнейших поставщиков облачных услуг в Европе, сообщает об отражении рекордной DDoS-атаки, мощность которой достигла 840 млн пакетов в секунду (Mpps).

По данным OVHcloud, начиная с 2023 года наблюдается общая тенденция к увеличению объема атак, причем атаки, превышающие 1 Тбит/с, становятся все более частыми, и в 2024 году они уже стали еженедельными и практически ежедневными.

За последние 18 месяцев самая мощная атака, зафиксированная OVHcloud, произошла 25 мая 2024 года и достигала 2,5 Тбит/с.

Анализ нескольких таких атак выявил, что злоумышленники опираются на устройства Mikrotik, которые делают атаки более мощными и сложными для обнаружения и блокирования.

Группировка LockBit взяла на себя ответственность за атаку на крупнейшую больницу Хорватии KBC Zagreb, в результате которой учреждению пришлось отключить IT-системы.

Местные СМИ сообщают, что атака замедлила работу экстренных служб, вынудив KBC Zagreb перенаправлять пациентов в другие медучреждения Загреба. В KBC Zagreb пожаловались, что атака вернула больницу на 50 лет назад, к использованию бумаги и карандаша.

Злоумышленники заявили, что получили доступ к информации о пациентах и сотрудниках, медицинским записям, данным доноров и донорских органов, а также контрактам со сторонними компаниями.

В министерстве внутренних дел Хорватии заявили, что не хотят раскрывать слишком много информации, полученной следователями, и добавили, что им ничего не известно о требовании выкупа.

 82   13 дн   дайджест   фишинг

Дайджест Start X № 376

Обзор новостей информационной безопасности с 21 по 27 июня 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Очередная вредоносная кампания использует фальшивые дистрибутивы Google Chrome и Microsoft Teams для распространения бэкдора Oyster (устрица).

Схема кампании

  1. Злоумышленники создают фальшивые сайты с вредоносными программами и перенаправляют на на них пользователей, которые ищут программное обеспечение в поисковых системах Google и Bing.

  1. Мошенники обманывают пользователей, заставляя их скачивать установочные файлы с вышеописанных поддельных сайтов.
  1. Вместо установки ожидаемой легитимной программы жертвы атаки инициируют цепочку заражения вредоносным ПО.
  1. Вместе с вредоносом устанавливается и легальная версия искомой программы, чтобы не вызвать подозрений.
  1. Вредоносное ПО запускает скрипт PowerShell для обеспечения постоянного присутствия на системе.
  1. Бэкдор собирает информацию о заражённом компьютере, взаимодействует с командно-контрольным сервером и поддерживает удалённое выполнение команд.

Опасный троян Remcos RAT проникает в компьютеры через обычные документы Microsoft Word, содержащие короткие ссылки.

Схема кампании

  1. Пользователь получает письмо с вложением в формате «.docx».

  1. После открытия документа жертва обнаруживает внутри сокращённую веб-ссылку.
  1. При нажатии на эту ссылку происходит загрузка вредоносного ПО.
  1. Троян использует уязвимость в редакторе формул Word (CVE-2017-11882) для установки, а вредоносный код маскируется с помощью сложного шифрования.

Remcos RAT позволяет злоумышленникам получить полный контроль над заражённым компьютером. Он может получать доступ к файловой системе, управлять процессами, создавать скриншоты, записывать звук и видео с микрофона и веб-камеры, с также воровать пароли и финансовые данные, устанавливать дополнительные вредоносные программы.

Взломщики аккаунтов используют голосовых ботов, которые по телефону выманивают у жертвы одноразовый код аутентификации (One Time Password, OTP).

Как действуют преступники

  1. Злоумышленники находят логин и пароль от личного кабинета жертвы, а также номер телефона в открытом доступе, в опубликованных утекших базах данных, покупают в даркнете или выманивают на фишинговых сайтах.
  1. Мошенник пытается зайти в аккаунт жертвы и получает запрос на ввод OTP-кода.
  1. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит пользователю и с помощью заранее заготовленного скрипта уговаривает ввести полученный код.
  1. Жертва набирает код на клавиатуре телефона прямо во время звонка.
  1. Код поступает в Telegram-бот злоумышленника, который таким образом получает доступ к аккаунту жертвы.

Злоумышленники стараются, чтобы жертва поверила в легитимность звонка, поэтому некоторые OTP-боты перед набором номера отправляют жертвам СМС-сообщения с предупреждением о предстоящем звонке. Это тонкий психологический приём, нацеленный на создание доверия: сначала пообещать что-то и затем сдержать обещание.

В новой фишинговой кампании киберпреступники пытаются выманить учётные данные от почтовых ящиков сотрудников небольших российских организаций, используя для прикрытия компанию из ОАЭ.

Схема кампании

  1. Злоумышленники пишут целевым сотрудникам от имени главы отдела закупок дубайской компании. Их интересует наличие того или иного товара или аналогичных моделей.
  1. Фишинговые письма написаны на хорошем русском языке и не содержат опечаток.
  1. Подробностей в этих электронных письмах нет, зато есть ссылка на файлообменник, где можно посмотреть детали заказа на поставку.
  1. Если работник кликнет по такому URL, его переведут на фейковую страницу, имитирующую окно аутентификации популярного почтового сервиса.
  1. Если жертва вводит логин и пароль на этой странице, они отправляются мошенникам, которые получают доступ к почтовому ящику (если жертва не включила 2FA).

Инциденты

Из-за хакерской атаки поставщик SaaS-решений для автодилеров CDK Global был вынужден отключить ИТ-системы, нарушив работу своих клиентов.

CDK Global предоставляет своим клиентам SaaS-платформу, и это ПО управляет всеми аспектами работы автосалонов, включая CRM, финансирование, расчет заработной платы, поддержку и обслуживание, инвентаризацию и так далее. Услугами компании пользуются более 15 000 автосалонов на территории Северной Америки.

Атака заставил CDK Global отключить ИТ-системы, телефоны и приложения в двух дата-центрах, чтобы предотвратить дальнейшее распространение угрозы.

Сотрудники нескольких автосалонов рассказали, что CDK не предоставила им никакой информации о происходящем кроме электронного письма с предупреждением о киберинциденте.

Официальных заявлений от CDK не поступало, но эксперты предполагают, что компания стала жертвой вымогателей, причём атака затронула резервные копии. Это означает, что перебои могут продолжаться ещё долго.

В открытом доступе обнаружена база данных, содержащая личную информацию граждан, обращавшихся в службу 311 Балтимора с 1989 года.

Утечка раскрыла имена, адреса электронной почты и номера телефонов людей, подавших заявки по широкому спектру вопросов, включая проблемы с дорогами, санитарным состоянием, бездомными животными, нарушениями парковки и другими городскими проблемами, не требующими немедленного вмешательства властей.

Раскрытая информация содержала:

  • сообщения о дорожно-транспортных происшествиях;
  • жалобы на санитарное состояние жилья;
  • отчеты о качестве дорог;
  • расположение и статусы камер контроля скорости;
  • жалобы на животных;
  • обвинения в незаконной деятельности;
  • заявления о преступлениях.

Администрация города пока не прокомментировала ситуацию.

В свободном доступе обнаружены текстовые файлы, содержащие дамп нескольких таблиц из базы данных интернет-магазина сети супермаркетов «Магнолия».

Опубликованная информация содержит:

  • ФИО (часто это автосгенеренные последовательности в формате П<номер телефона>);
  • адрес доставки;
  • адрес эл. почты (245 931 уникальный адрес, часто это автосгенеренные последовательности в формате <номер телефона>@shop.mgnl.ru);
  • номер телефона (252 209 уникальных номеров);
  • хешированный пароль;
  • состав, стоимость и дата заказа;
  • купон на скидку.

Актуальность данных — 09.06.2024.

«Утечки информации» сообщают о сливе данных покупателей и заказов предположительно из базы сайта интернет-аптеки apteka22.ru.

В дампе содержатся:

  • ФИО;
  • номер телефона (152 тыс. уникальных номеров);
  • адрес эл. почты (2,5 тыс. уникальных адресов);
  • хешированные пароль;
  • пол;
  • дата рождения;
  • адрес доставки;
  • детали заказа.

Актуальность данных — 06.06.2024.

Южнокорейская телекоммуникационная компания KT намеренно заразила клиентов вредоносным ПО из-за чрезмерного использования ими P2P инструментов загрузки.

Число заражённых пользователей «веб-жестких дисков» — южнокорейского термина, обозначающего службы веб-хранилищ, которые позволяют загружать файлы и обмениваться контентом — достигло 600 тыс.

Вредоносное ПО, предназначенное для сокрытия файлов, предположительно было внедрено в Grid Program — программу, который позволяет пользователям KT обмениваться данными методом peer-to-peer. Впоследствии службы обмена файлами перестали работать, что вызвало массовые жалобы пользователей.

В ходе расследования установлено, что в KT существовала целая команда, занимающаяся обнаружением и вмешательством в передачу файлов. Часть сотрудников занимались разработкой вредоносного ПО, другие — его распространением и эксплуатацией, а также прослушиванием телефонных разговоров. По предварительным данным, под подозрение попали 13 сотрудников KT и компаний-партнёров, которых могут привлечь к ответственности.

KT пока официально не подтвердила инцидент. Позиция компании состоит в том, что служба P2P веб-дисков является вредоносной программой, поэтому компания вынуждена её ограничивать.

Российских музыкантов Soda Luv, Slava Marlow, Yanix, 163onmyneck, Lida, Джизуса взломали в Spotify.

Вместо фотографий появились ссылки на телеграм-канал хакеров, где продают доступ к взломанным аккаунтам.

Ситуация осложняется отсутствием официального представительства Spotify в России. Исполнителям придется обращаться в службу поддержки на общих основаниях, что может занять продолжительное время.

Данные клиентов американского ритейлера Neiman Marcus выставлены на продажу за 150 тыс. долларов США.

Утечка затронула 64 472 человека. Несанкционированный доступ к базе данных был получен в период с апреля по май 2024 года в результате взлома платформы Snowflake.

Похищенные данные содержат имена, контактную информацию, даты рождения и номера подарочных карт Neiman Marcus и Bergdorf Goodman. Коды активации подарочных карт не были скомпрометированы, в связи с чем они остаются действительными.

Neiman Marcus отключил доступ к платформе базы данных сразу после обнаружения утечки, инициировал расследование с участием экспертов по кибербезопасности и уведомил правоохранительные органы. Компания также подтвердила, что данные были украдены из её аккаунта в Snowflake.

По словам хакера, выставившего данные на продажу, украденная информация также включает последние четыре цифры номеров социального страхования, данные о транзакциях клиентов, их электронные адреса, истории покупок, данные сотрудников и миллионы номеров подарочных карт (без кодов активации).

Бывший сотрудник дочерней компании Microsoft, Nuance Communications похитил личные данные более миллиона пациентов американского поставщика медицинских услуг Geisinger.

Geisinger использует Nuance в качестве ИТ-провайдера. Расследование инцидента выявило, что после увольнения одного из своих сотрудников, Nuance не закрыла ему доступ к корпоративным файлам. Через 2 дня после увольнения он вошёл в систему и сделал копии конфиденциальных данных пациентов Geisinger.

Nuance провела собственное расследование и установила, что бывший работник мог похитить данные более 1 миллиона человек, включая даты рождения, адреса, записи о приеме и выписке из больницы, демографическую информацию и другие медицинские данные.

Министерство связи Индонезии стало жертвой вымогательской группировки. Хакеры зашифровали системы в национальном центре обработки данных страны, вызвав сбои в работе иммиграционных проверок в аэропортах и других общественных услуг.

Системы Временного национального центра обработки данных (Temporary National Data Center, PDNS) были заражены Brain Cipher, новым вариантом пресловутой программы-вымогателя LockBit 3.0. Атака затронула филиал PDNS, расположенный в Сурабае.

В Министерстве связи сообщили, что злоумышленники потребовали выкуп в размере 8 млн долларов США, но подчеркнули, что правительство не собирается выполнять требования вымогателей.

Кибератака затронула службы оформления виз и вида на жительство, паспортные услуги и системы управления иммиграционными документами. Из-за атаки в аэропортах образовались длинные очереди на иммиграционных стойках.

Атака также затронула платформу, используемую для онлайн-зачисления в школы и университеты, что вынудило правительство региона продлить срок регистрации. В общей сложности программа-вымогатель нарушила работу как минимум 210 местных служб.

 89   20 дн   дайджест   фишинг
Ранее Ctrl + ↓