Rose debug info
---------------

Блог Start X

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Дайджест Start X № 379

Обзор новостей информационной безопасности с 12 по 18 июля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Российских игроков Hamster Kombat атакуют фишеры, предлагая вывести средств из игры и конвертировать их в рубли.

Схема кампании

  1. Мошенники рассылают российским пользователям ссылки на фишинговый ресурс, через который якобы можно вывести монеты из игры Hamster Kombat и конвертировать их в рубли.
  1. Чтобы сделать это, сначала нужно авторизоваться в Telegram — ввести учётные данные на открывшейся странице.
  1. Разумеется, никакой конвертации на самом деле нет, и таким способом мошенники просто воруют доступ чужим аккаунтам в Telegram.
  1. Главная цель фишеров — выманить у жертвы номер телефона и код подтверждения. Полученный доступ к учетным записям мошенники могут использовать для различных целей, в том числе для кражи конфиденциальных данных, шантажа и рассылки мошеннических сообщений по списку контактов.

Обнаружена фальшивая электронная рассылка с предупреждением о проведении «уроков ИБ» для сотрудников российских компаний. Вместо настоящих ИБ-специалистов с работниками связываются злоумышленники и убеждают их передать конфиденциальные данные о компании.

Особенности кампании

  1. Фейковые письма поступают в адрес руководителей российских компаний.
  1. Во вложении содержится электронный документ на бланке несуществующего ведомства, которое якобы уведомляет о планах провести консультационные беседы с сотрудниками компании по вопросам обеспечения информационной безопасности и защиты персональных данных.
  1. Согласно «документу», содержание бесед конфиденциально и не подлежит разглашению, а руководителю организации, получившему письмо, следует предупредить подчиненных о предстоящем звонке.
  1. После этого «подготовленным» работникам компании поступают звонки, но не от ИБ-специалистов, а от злоумышленников. Они склоняют сотрудников к передаче конфиденциальной информации, в том числе для входа в информационную инфраструктуру компании.
  1. Далее возможны два варианта развития событий: полученные данные продаются на черном рынке либо непосредственно используются для совершения атаки.

Обнаружен новый метод распространения вредоносного ПО Clickfix, который используют для заманивания пользователей на вредоносные сайты и принуждения к запуску вредоносных скриптов.

Особенности кампании

  1. Clickfix представляет собой сложную форму социальной инженерии, манипулируя пользователями для самостоятельного выполнения ими вредоносных скриптов под видом легитимных действий.
  1. В одном из сценариев жертва получает фишинговый email с HTML-вложением, замаскированным под документ Microsoft Word.

  1. При открытии файла пользователю показывается поддельное сообщение об ошибке, предлагающее установить несуществующее браузерное расширение Word Online.

  1. После нажатия кнопки «How to fix», вредоносный код автоматически копируется в буфер обмена, а пользователю предлагается вручную выполнить его, для чего требуется нажать комбинацию клавиш Win+R, вставить код из буфера туда и нажать Enter.
  1. Внутри самой HTML-страницы из письма данный PowerShell-код обфусцирован, что делает невозможным его обнаружение базовыми средствами защиты Windows или почтовыми фильтрами.

  1. После выполнения PowerShell-скрипт загружает и выполняет HTA-файл с удалённого сервера, что запускает вредоносные действия на системе жертвы. На диске C создаётся папка, куда помещается AutoIt-скрипт. Запуск скрипта происходит в автоматическом режиме, после чего вредоносное ПО связывается с командным сервером для получения дальнейших инструкций.

Обнаружена фишинговая кампания по распространению трояна удалённого доступа Poco RAT в странах Латинской Америки.

Схема кампании

  1. Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive.

  1. Другие способы распространения включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а намеренно, чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG).

  1. Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО.

  1. После запуска троян Poco RAT закрепляется на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей.
  1. Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом.

Новый тип программ-вымогателей атакует турецкие предприятия.

Схема кампании

  1. Атака начинается с фишинговых писем, содержащих PDF-вложения.

  1. В PDF-файле содержится ссылка, которая загружает дальнейший исполняемый файл со скомпрометированного аккаунта на GitHub.
  1. Загруженный файл после запуска распаковывает и размещает в директории C:\TheDream файлы RootDesign.exe, Uninstall.exe и Uninstall.ini.
  1. Классы и функции файла RootDesign.exe защищены обфускацией, что позволяет обходить традиционные методы обнаружения вредоносного ПО.

  1. После распаковки вредоноса он запускает команду PowerShell для скрытого выполнения RootDesign.exe.
  1. Запущенный файл создаёт множество своих копий в памяти и шифрует критические системные и офисные файлы, присваивая им расширение «.ShadowRoot». В корневом каталоге создаётся журнал «log.txt», в котором фиксируются все действия программы.
  1. Зашифрованные файлы сопровождаются текстовым файлом «readme.txt», содержащим требования выкупа на турецком языке. В тексте не указаны данные криптокошелька, но жертвам предлагается связаться через указанный адрес электронной почты для дальнейших инструкций по оплате и дешифровке.
  1. Программа использует простые методы шифрования и имеет немного функций, поэтому исследователи предположили, что она была создана неопытными злоумышленниками.

Инциденты

Злоумышленники из группировки NullBulge заявили, что им удалось похитить более терабайта данных у компании Disney.

Эта утечка якобы содержит сообщения и файлы из 10 000 внутренних Slack-каналов компании. По словам хакеров, в дампе можно найти информацию о еще невышедших проектах Disney, исходные коды, учетные данные, а также ссылки на внутренние API и веб-страницы.

Представители NullBulge утверждали, что надеялись украсть больше данных, однако инсайдер, якобы помогавший им в атаке, «струсил» и лишил хакеров доступа.

В существовании инсайдера искренне сомневаются исследователи Vx-underground. Они считают, что хакеры просто скомпрометировали одного из сотрудников Disney с помощью инфостилера:

«Если бы [эта утечка] была результатом работы инсайдера, было бы раскрыто больше данных. Не разговоры из Slack. Можно было бы ожидать данных Jira, исходного кода или секретов. Чего-нибудь ещё, кроме бесед из чатов.

Мы предполагаем, что сотрудник Disney пострадал от инфостилера. Была украдена сессия Slack или локально сохранённые учётные данные, не требующие использования мультифакторной аутентификации. Этого достаточно, чтобы соскрапить данные. Но если эти данные действительно получены в результате действий инсайдера, он проделал ужасную работу, потому что никому нет дела до рабочих переписок».

Хакеры похитили 305 млн долларов США в криптовалюте у японской биржи DMM Bitcoin.

По данным независимого криптовалютного аналитика ZachXBT , к июлю злоумышленники уже успели отмыть около 35 млн долларов США из похищенных средств. Схема отмывания денег оказалась довольно сложной и включала в себя несколько этапов:

  • Сначала биткоины были пропущены через так называемый «миксер» — сервис, помогающий скрыть историю транзакций криптовалют.
  • Затем «очищенные» средства перевели на другой блокчейн, где их обменяли на стейблкоин USDT (Tether).
  • После еще одной смены блокчейна, USDT были отправлены на платформу Huione Guarantee.

Huione Guarantee — это китайская экосистема и маркетплейс. Через неё, предположительно, прошло незаконных транзакций на сумму не менее 11 млрд долларов США.

Компания Tether, выпускающая популярный стейблкоин USDT внесла в чёрный список кошелек, предположительно связанный с Huione, на котором находилось почти 30 млн USDT.

Сравнив пути легализации доходов и другие косвенные признаки с предыдущими инцидентами, ZachXBT пришел к выводу, что за атакой стоит Lazarus.

Компания Bassett Furniture, один из крупнейших производителей мебели в США, приостановила работу после атаки вымогателей.

Злоумышленники проникли в сеть компании и зашифровали часть данных, нарушив работу Bassett Furniture. Об этом компания сообщила в понедельник, 15 июля.

На данный момент производственные мощности Bassett Furniture не функционируют. Розничные магазины и интернет-платформа компании продолжают работать, принимая заказы, хотя их выполнение сильно затруднено.

Руководство компании работает над восстановлением пострадавших систем и внедрением обходных решений, чтобы минимизировать влияние инцидента.

 36   1 д   дайджест   фишинг

Дайджест Start X № 378

Обзор новостей информационной безопасности с 5 по 11 июля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена сеть из 708 мошеннических сайтов для продажи поддельных билетов на спортивные и музыкальные мероприятия русскоязычной аудитории.

Особенности кампании

  1. На доменах ticket-paris24[.]com» и tickets-paris24[.]com размещены качественно сделанные сайты, которые позволяют пользователям приобретать билеты на различные мероприятия во время предстоящих летних Олимпийских игр и выбирать размещение в Париже.
  1. Цены на билеты завышены по сравнению с настоящими сайтами: случайное мероприятие и место на официальном сайте могли стоить менее 100 евро, тогда как те же билеты и места на мошеннических сайтах стоили минимум 300 евро, а зачастую и 1000 евро.

  1. Компания-владелец сайтов VIP Events Team LLC зарегистрирована в Нью-Йорке в 2021 году, однако у неё нет сайта и отсутствует информация в соцсетях. При этом на странице «Контакты» сайта ticket-paris24[.]com указано, что компания, стоящая за мошенническим сайтом, находится в Грузии.
  1. Все поддельные сайты по продаже билетов размещены на одном IP-адресе.

Эксперты обнаружила поддельные сайты по продаже билетов на другие мероприятия, в том числе:

  • УЕФА Евро-2024 в Германии
  • Различные концерты и фестивали с участием известных музыкантов и групп (Twenty One Pilots, Iron Maiden, Бруно Марс, Людовико Эйнауди, Metallica и Rammstein)

Некоторые из этих доменов, по-видимому, имеют более широкий целевой диапазон, чем русскоязычные жертвы, на которых нацелены поддельные сайты по продаже билетов на Олимпийские игры.

Северокорейская хакерская группа Kimsuky совершила серию кибератак на японские организации.

Схема кампании

  1. Всё начинается с рассылки целевых писем с тематикой безопасности и дипломатии.
  1. Письма содержат вложенные файлы с двойными расширениями, например, «.docx.exe» и «.docx.docx». Многочисленные пробелы в названиях файлов скрывают настоящие расширения, заставляя жертв запускать исполняемый файл под видом офисного документа, что и приводит к заражению их устройств.
  1. После запуска файла-приманки с внешнего ресурса скачивается и выполняется VBS-файл, загружающий PowerShell и вызывающий функцию PokDoc, которая отправляет собранные данные на заданный злоумышленниками URL. Собранные данные включают информацию о системе, процессах, сетях, файлах и учётных записях пользователей.
  1. После отправки данных создаётся и выполняется ещё один VBS-файл с именем «desktop.ini.bak». Этот файл аналогично загружает PowerShell, вызывая функцию InfoKey для работы в качестве кейлоггера. Информация о нажатиях клавиш и содержимом буфера обмена сохраняется и отправляется на удалённый сервер.

Обнаружена новая волна целевых атак на российские организации с целью сбора конфиденциальной информации.

Схема кампании:

  1. Злоумышленники рассылают вредоносный файл, имитирующий документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА»
  1. На самом деле файл имеет расширение .scr и является инсталлятором.
  1. Для отвлечения внимания пользователя он извлекает из себя и открывает документ PDF на тему БПЛА. Параллельно с этим он в скрытом режиме скачивает несколько архивов с дополнительной вредоносной нагрузкой и консольную утилиту для работы с архивами формата RAR. Консольная утилита используется для распаковки скачанных архивов, а также для сбора интересующих злоумышленников файлов.
  1. Злоумышленники собирают в архивы офисные документы с расширениями *.doc и *.docx с дисков C:\, D:\ и E:\; кроме того, их интересует все содержимое папки «Telegram Desktop\tdata», в которой хранятся данные десктопной версии мессенджера Telegram.
  1. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленникам.
  1. С помощью утилиты Web Browser Pass View похищаются учётные данные, сохранённые в браузерах.
  1. Незаметно устанавливается легитимная программа для мониторинга активности пользователя, которая записывает нажатия клавиш, мониторит интернете-активность, делает скриншоты. Затем всё это отправляется на электронную почту преступникам.

Инциденты

Злоумышленники скомпрометировали провайдера email-маркетинга Ethereum и разослали по 35 000 адресам фишинговые письма со ссылкой на вредоносный сайт, содержащий малварь для кражи криптовалют.

Для рассылки преступники использовали собственный список email-адресов и еще 3759 адресов, экспортированных из рассылки блога платформы. При этом только 81 адрес из экспортированных был ранее неизвестен атакующим.

Фишинговое сообщение злоумышленников приглашало пользователей перейти на вредоносный сайт, на котором сообщалось о сотрудничестве с Lido DAO и предлагалось воспользоваться преимуществами 6,8% годовой доходности.

Желающие получить обещанный доход попадали на профессионально сделанный фальшивый сайт, который выглядел как часть рекламной акции. Если пользователь привязывал свой кошелёк к этому сайту и подтверждал транзакцию, малварь отправляла все его активы злоумышленникам.

Несколько почтовых ящиков Международной автомобильной федерации (Federation Internationale de l’Automobile, FIA) были взломаны в результате фишинговой атаки.

Как сообщили на этой неделе представители организации,

«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA. Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».

В организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе инцидента.

Анонимный хакер с киберпреступного форума заявил о наличии уязвимости, позволяющей обходить двухфакторную аутентификацию (2FA) на платформе HackerOne.

Из сообщения злоумышленника следует, что он обладает действующим PoC-эксплойтом, который можно применить для обхода двухфакторной аутентификации HackerOne, что существенно упрощает потенциальную компрометацию аккаунтов компаний или самих белых хакеров.

Пока что представители HackerOne не выпустили официального подтверждения или опровержения по поводу наличия уязвимости в 2FA.

На хакерском форуме опубликована гигантская база данных, содержащая почти 10 млрд (9 948 575 739) уникальных паролей.

Анализ показал, что новая публикация RockYou2024 представляет собой компиляцию реальных паролей, собранных из различных источников.

Автор поста — хакер ObamaCare, который уже успел отметиться рядом «подвигов»: он выкладывал базу сотрудников юридической фирмы Simmons & Simmons, информацию об онлайн-казино AskGamblers и документы студентов колледжа Роуэн в Берлингтоне.

Американский кредитный союз Patelco Credit Union стал жертвой вымогательской кибератаки.

Представители Patelco сообщили, что клиенты могут столкнуться с периодическими сбоями в работе банкоматов и пообещали возместить любые штрафы за просрочку платежей из-за этих сбоев.

В заявлении компании говорится:

«29 июня 2024 года Patelco Credit Union подвергся атаке программ-вымогателей. Наш приоритет — безопасное и надёжное восстановление наших банковских систем. Мы работаем вместе с ведущими экспертами по кибербезопасности и сотрудничаем с регуляторами и правоохранительными органами».

Атака началась в субботу, когда кредитный союз впервые сообщил о недоступности своих систем. В воскресенье Patelco был вынужден отключить некоторые свои повседневные банковские системы, чтобы справиться с инцидентом и «ограничить его воздействие». В Patelco не сообщили, какая программа-вымогатель использовалась и какой выкуп потребовали хакеры.

Неизвестные похитили данные пользователей сервиса Twilio Authy, воспользовавшись отсутствием аутентификации в эндпоинте. В результате атаки были скомпрометированы номера мобильных телефонов пользователей.

Twilio предприняла оперативные меры для обеспечения безопасности, закрыв уязвимую конечную точку и заблокировав неаутентифицированные запросы.

Атаку провела группа ShinyHunters. Они опубликовали на форуме BreachForums базу данных, содержащую 33 миллиона номеров телефонов, извлечённых из учётных записей Authy.

Опубликованный CSV-файл содержит 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, столбец «over_the_top», статус учетной записи и количество устройств.

В Twilio подчеркнули, что не обнаружено доказательств того, что злоумышленники получили доступ к системам компании или другой чувствительной информации.

Хакеры утверждают, что захватили 1,4 ГБ данных Агентства национальной безопасности (АНБ) США в результате взлома стороннего подрядчика Acuity Inc.

Похищенные данные содержат:

  • полные имена;
  • номера телефонов;
  • адреса электронной почты сотрудников АНБ и аффилированных лиц;
  • секретные документы и переписку между определёнными группами и союзниками США.

ZOTAC, китайский производитель аппаратной составляющей на базе процессоров NVIDIA и мини-компьютеров, раскрывал документы с информацией покупателей.

Как оказалось, конфиденциальная информация о клиентах была доступна даже в поиске Google. Обычно такое происходит из-за неправильно настроенных прав доступа, отсутствия тегов или файла robots.txt, который указывал бы поисковым машинам, что нужно игнорировать папки с конфиденциальными данными.

Из-за ошибки компании поисковые запросы в Google возвращали имена людей и названия компаний, а параметр zotacusa.com и вовсе помогал обнаружить личную информацию, включая накладные, адреса, данные о запросах на возврат и контактную информацию.

Вымогатели RansomHub опубликовали данные Департамента здравоохранения Флориды после того, как жертва отказалась платить выкуп.

Представитель департамента подтвердил факт кибератаки и объяснил, что преступники дали штату срок до 5 июля для выплаты выкупа. Однако правительство Флориды придерживается политики неуплаты выкупов.

На сайте группы действительно есть множество внутренних данных Департамента, и большая часть представляет собой персональные данные или защищённую медицинскую информацию, в том числе:

  • результаты анализов;
  • сканы паспортов;
  • рецепты;
  • переписку с физлицами;
  • записи о компенсации работникам, включая личные и демографические данные каждого сотрудника.

В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».

В частичном дампе содержится более 408 тыс. строк с данными пользователей:

  • ФИО;
  • телефон;
  • адрес эл. почты;
  • хешированный пароль;
  • номер карты лояльности, кол-во бонусов и т. п.

В полном дампе содержится гораздо больше данных: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.

Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.

Данные в дампе датируются 06.07.2024.

 82   8 дн   дайджест   фишинг

Дайджест Start X № 377

Обзор новостей информационной безопасности с 28 июня по 4 июля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Неизвестные хакеры используют уязвимость в MSHTML для распространения шпионского ПО MerkSpy, нацеленного на пользователей в Канаде, Индии, Польше и США.

Схема кампании

  1. Хакеры рассылают фишинговые письма с документом MS Word, который содержит описание вакансии программиста.

  1. При открытии файла активируется эксплуатация уязвимости CVE-2021-40444, которая приводит к удалённому выполнению кода без взаимодействия с пользователем.
  1. Этот процесс загружает HTML-файл (olerender.html) с удалённого сервера, который запускает встроенный шелл-код после проверки версии операционной системы.
  1. Olerender.html использует функцию VirtualProtect для изменения разрешений памяти, что позволяет записать декодированный шелл-код в память. Затем «CreateThread» запускает внедрённый шелл-код, подготавливая загрузку и выполнение следующего вредоносного кода с сервера злоумышленников.
  1. Шелл-код загружает файл под именем «GoogleUpdate», который, на самом деле, содержит полезную нагрузку инжектора, скрывающуюся от антивирусного ПО и загружающую MerkSpy в память системы. Шпионское ПО сохраняет своё присутствие на устройстве через изменения в реестре Windows, обеспечивая автоматический запуск при старте системы.
  1. MerkSpy способен захватывать скриншоты, фиксировать нажатия клавиш, собирать данные для входа, хранящиеся в Google Chrome, и данные из расширения MetaMask для управления криптокошельками. Все собранные данные отправляются на сервер злоумышленников.

Обнаружена новая схема кражи Telegram-аккаунтов и криптовалюты с помощью фишинговых ботов. Злоумышленники атакуют владельцев цифровых активов, которые совершают P2P-сделки внутри мессенджера.

Схема действий преступников

  1. Атакующие нацелены на пользователей, которые намерены совершить сделку с криптовалютой в рамках P2P-трейдинга через Telegram, и выходят с ними на связь под предлогом осуществления транзакции.
  1. Потенциальной жертве сообщают, что для повышения уровня безопасности и соблюдения требований регуляторов якобы необходимо пройти KYC-верификацию, иначе криптокошелек будет заморожен.
  1. Сделать это предлагают через специальный сервис авторизации, ссылку на который присылают сами мошенники. Разумеется, никакой KYC-проверки нет, и мошенники просто заманивают человека в фишингового бота.
  1. Как только владелец криптовалюты переходит к Telegram-боту с характерным названием (например, Wallet KYC), ему предлагают авторизоваться через Telegram-аккаунт.
  1. Для этого пользователя просят отключить двухфакторную аутентификацию в мессенджере и подтвердить это действие, нажав соответствующую кнопку.
  1. Затем нужно сообщить код для авторизации в Telegram, который придет от официального сервиса.
  1. Получив код, мошенники перехватывают аккаунт жертвы в мессенджере и могут совершать P2P-сделки от ее имени.
  1. Через аккаунт человека в Telegram мошенники получают доступ к его криптовалютному кошельку Telegram Wallet. В результате жертва рискует потерять не только доступ к учетной записи, но и свою криптовалюту.

Для убедительности злоумышленники нередко ссылаются на требования законодательства — настоящие и выдуманные. Пользователям следует перепроверять информацию, прежде чем реагировать на предложение собеседника.

Внимание! Просьба отключить двухфакторную аутентификацию и сообщить одноразовый код для авторизации — явный признак мошенничества.

Мошенники публикуют поддельные предложения об удалённой работе от имени российских IT-компаний.

Схема кампании

  1. Киберпреступники публикуют в профильных Telegram-каналах с ИТ-вакансиями несуществующие предложения о работе на удалёнке на выгодных условиях.
  1. Всем соискателям злоумышленники предлагают перейти по ссылке и заполнить Google-форму, указав свои контактные данные, или же напрямую связаться с HR-менеджером.
  1. После успешного прохождения собеседования с будущим работником связываются якобы бухгалтеры компании и предлагают привязать корпоративную SIM-карту к личному кабинету банка, что якобы позволит получать зарплату с первого дня трудовой занятости.
  1. Если соискатель соглашается, мошенники крадут деньги с его счёта.

Подобные мошеннические публикации с вакансиями стали появляться в профильных Telegram-каналах, которые имеют несколько десятков тысяч подписчиков, и они присутствуют среди реальных предложений от настоящих работодателей.

В общей сложности эксперты обнаружили в различных Telegram-каналах и чатах не менее 35 подобных объявлений, которые были опубликованы только одним аккаунтом, принадлежащим мошеннику.

Инциденты

Неивестные хакеры взломали сайт центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» и заменили содержимое главной страницы на поздравление с днем конституции Украины.

Представитель «Инфосистемы джет» подтвердил журналистам, что сайт был атакован, но уточнил, что инфраструктура центра CSIRT и самой компании физически изолирована от сайта. Сам же сайт содержит исключительно справочную информацию об услугах Jet CSIRT, а его администрированием занимается сторонний подрядчик с локальными учётными записями. В связи с этим собственная IT-инфраструктура компании и Jet CSIRT не были затронуты атакой, никаких угроз для «Инфосистемы Джет» или его заказчиков не возникло.

Хакеры взломали корпоративную сеть TeamViewer.

Компания заявила о том, что обнаружила нарушение во внутренней корпоративной ИТ-среде TeamViewer, после чего немедленно задействовала команду по реагированию на инциденты и начала расследование. Также были приняты меры для устранению последствий атаки.

В компании подчеркивают, что «внутренняя корпоративная ИТ-среда TeamViewer полностью независима от продуктовой среды», и нет никаких признаков того, что атака затронула продукты компании или данные клиентов.

По информации Health-ISAC, за атакой на TeamViewer могла стоять русскоязычная группировка APT29, также известная как Cozy Bear, NOBELIUM и Midnight Blizzard.

В Health-ISAC рекомендуют администраторам проверять логи на предмет необычного трафика.

Группировка BlackSuit взломала японский медиаконгломерат Kadokawa и  похитила конфиденциальную информацию.

Кибератака произошла 8 июня, и с тех пор компания борется с её последствиями. Пострадали многие веб-сайты и сервисы, в том числе популярный японский видеохостинг Niconico. В результате атаки значительная часть операций компании и её дочерних предприятий была парализована, так как их данные были зашифрованы с помощью программы-вымогателя.

Вымогатели BlackSuit добавили Kadokawa на свой сайт утечек данных и опубликовали часть украденной информации. В случае невыплаты выкупа до 1 июля, злоумышленники угрожают обнародовать все похищенные данные, включая контакты, конфиденциальные документы, данные сотрудников, бизнес-планы и финансовую информацию.

Компания OVHcloud, один из крупнейших поставщиков облачных услуг в Европе, сообщает об отражении рекордной DDoS-атаки, мощность которой достигла 840 млн пакетов в секунду (Mpps).

По данным OVHcloud, начиная с 2023 года наблюдается общая тенденция к увеличению объема атак, причем атаки, превышающие 1 Тбит/с, становятся все более частыми, и в 2024 году они уже стали еженедельными и практически ежедневными.

За последние 18 месяцев самая мощная атака, зафиксированная OVHcloud, произошла 25 мая 2024 года и достигала 2,5 Тбит/с.

Анализ нескольких таких атак выявил, что злоумышленники опираются на устройства Mikrotik, которые делают атаки более мощными и сложными для обнаружения и блокирования.

Группировка LockBit взяла на себя ответственность за атаку на крупнейшую больницу Хорватии KBC Zagreb, в результате которой учреждению пришлось отключить IT-системы.

Местные СМИ сообщают, что атака замедлила работу экстренных служб, вынудив KBC Zagreb перенаправлять пациентов в другие медучреждения Загреба. В KBC Zagreb пожаловались, что атака вернула больницу на 50 лет назад, к использованию бумаги и карандаша.

Злоумышленники заявили, что получили доступ к информации о пациентах и сотрудниках, медицинским записям, данным доноров и донорских органов, а также контрактам со сторонними компаниями.

В министерстве внутренних дел Хорватии заявили, что не хотят раскрывать слишком много информации, полученной следователями, и добавили, что им ничего не известно о требовании выкупа.

 89   15 дн   дайджест   фишинг
Ранее Ctrl + ↓