Обзор новостей информационной безопасности с 22 по 28 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

В результате кибератаки на сеть французских больниц были скомпрометированы данные 1,5 миллиона пациентов.

Сообщается, что похищенные данные пациентов хранились не у Softway Medical, а на серверах самой больницы. В электронном письме Softway Medical отметила: «Наше программное обеспечение не является причиной инцидента. Компрометация произошла через привилегированный аккаунт в инфраструктуре клиента».

Киберпреступник выставил на продажу доступ к платформе MediBoard для больниц Centre Luxembourg и Clinique Alleray-Labrouste. Чтобы доказать факт взлома, хакер опубликовал информацию о 750 тысяч пациентов одной из больниц: полные имена, адреса, номера телефонов, электронные адреса, назначения врачей и историю использования медицинских карт.

В результате кибератаки у финтех-компании Finastra похитили более 400 ГБ данных. Хакер под ником «abyss0» выставил украденную информацию на продажу на форуме BreachForums.

8 ноября компания уведомила клиентов о взломе. По данным Finastra, злоумышленники не внедряли вредоносные программы и не вносили изменений в файлы клиентов, но успели похитить значительный объём данных.

Компания сообщила, что взлом произошёл в результате компрометации учётных данных. Ведётся анализ масштаба утечки и точной идентификации затронутых лиц.

Хакер разместил объявления о продаже данных 31 октября, не указав имя компании. Первоначальная цена составляла 20 000 долларов США, но уже к 3 ноября была снижена до 10 000 долларов США. 7 ноября хакер опубликовал новое сообщение, раскрыв связь данных с клиентами Finastra, среди которых оказались крупнейшие мировые банки. Вскоре аккаунт «abyss0» исчез с форума, а его профиль в Telegram был удалён.

Американский телекоммуникационный гигант T-Mobile сообщил о попытках злоумышленников проникнуть в его системы.

Главный директор по безопасности компании Джефф Саймон уточнил, что атаки проводились через сеть стороннего провайдера, подключённого к инфраструктуре компании.

T-Mobile отметила, что её системы безопасности предотвратили как утечку данных, так и сбои в работе услуг. После инцидента компания разорвала соединение с сетью провайдера, однако не уточнила, кто может стоять за атаками, хотя данные были переданы правительству США.

Сообщается, что злоумышленники запускали команды для исследования маршрутизаторов и картирования сети. T-Mobile удалось пресечь действия хакеров до их перехода к дальнейшим этапам атаки, остановив инцидент на раннем этапе.

Вымогательская кибератака парализовала работу всех правительственных учреждений в городе Хобокен (Нью-Джерси, США).

Сообщения о последствиях атаки появились на официальных сайтах городских служб около утром 27 ноября. Жителям сообщили о приостановке услуг. Городская администрация сообщила, что здание мэрии закрыто, а все онлайн-сервисы временно недоступны. Судебные заседания и уборка улиц отменены, а обеспечение парковок продолжается. Также вывоз мусора и программы досуга работают в прежнем режиме.

Город расследует инцидент и разрабатывает план безопасного восстановления сервисов. Пока ответственность за атаку не взяла на себя ни одна из известных групп, занимающихся программами-вымогателями.

Кибератака нарушила работу сети больниц Wirral University Teaching Hospital NHS Trust в Великобритании.

Вечером 25 ноября администрация Arrowe Park Hospital объявила режим чрезвычайной ситуации. В результате атаки все электронные системы медицинского центра оказались недоступны, включая базы данных пациентов и результаты обследований. Персоналу пришлось экстренно перейти на ручное ведение документации.

К утру 26 ноября выяснилось, что атака затронула все медучреждения траста — Arrowe Park Hospital, Clatterbridge Hospital и Wirral Women and Children’s Hospital. Пациентов, прибывших на назначенные приемы, начали отправлять домой. Прекратили работу рентгенологические отделения и операционные. Сообщают, что руководство рассматривает возможность перенаправления пациентов в больницы Ливерпуля.

Немецкая пищевая компания Vossko стала жертвой вымогательской кибератаки. Хакеры зашифровали внутренние системы и базы данных, парализовав производственные процессы.

Инцидент произошёл 14 ноября этого года. В первые дни после атаки внутренние специалисты компании и привлечённые эксперты работали над устранением последствий. К расследованию подключились полиция и сотрудники земельного управления по уголовным делам, включая IT-специалистов и судебных экспертов.

Параллельно с восстановлением работы компания начала проверку всех систем и реализацию дополнительных мер по усилению IT-инфраструктуры.

Несмотря на масштаб инцидента, Vossko смогла оперативно вернуться к стабильной работе. Руководство подчёркивает важность быстрой реакции и слаженной работы команды, которая позволила минимизировать последствия кибератаки.

Вымогательская кибератака нарушила работу компании Blue Yonder, которая специализируется на управлении цепочками поставок.

По словам представителей Blue Yonder, в результате атаки не было зафиксировано подозрительной активности в публичной облачной среде компании. Однако инфраструктура, включающая облачные решения и платформы SaaS, всё ещё остаётся частично недоступной.

Многие клиенты, включая британские сети Morrisons и Sainsbury, уже столкнулись с трудностями и были вынуждены перейти на резервные системы. Blue Yonder активно сотрудничает с внешними экспертами по кибербезопасности для восстановления работы, внедряя защитные и аналитические протоколы. Однако точных сроков восстановления пока не объявлено.

На момент публикации ответственность за атаку не взяла на себя ни одна хакерская группировка.

Крупнейшая игорная компания США International Game Technology (IGT) сообщила о кибератаке, которая привела к масштабным сбоям в работе.

Чтобы не допустить распространения угрозы, отключены отдельные системы, а расследование и восстановление продолжаются. Пока не установлено, повлияет ли инцидент на финансовые показатели, однако уже внедрены временные меры, позволяющие продолжать обслуживание клиентов.

Пока ни одна хакерская группа не взяла на себя ответственность за атаку.

Хакеры взломали платформу онлайн-курсов Эндрю Тейта и получили доступ к электронным адресам 325 000 пользователей.

Атака хакеров произошла в момент трансляции выпуска шоу Эндрю Тейта «Emergency Meeting» на платформе Rumble. Злоумышленники взломали основной чат платформы и загрузили туда эмодзи, в том числе изображение флага трансгендерного сообщества, феминистский символ, а также сгенерированные ИИ изображения, на которых Тейт изображён с радужным флагом.

Сообщается, что хакеры получили доступ к именам 794 000 пользователей, включая текущих и бывших участников платформы, а также содержимому 221 открытого и 395 закрытых чатов. Был также опубликован список из 324 382 электронных адресов пользователей, которые были удалены из сообщества за неуплату подписки.

Хакеры, взявшие на себя ответственность за атаку, заявили, что им удалось воспользоваться уязвимостью платформы для загрузки эмодзи, удаления вложений, временного отключения пользователей и блокировки доступа к платформе. Источник, знакомый с ситуацией, отметил, что мотивацией атаки стал «хактивизм», а уровень безопасности платформы назвал «абсурдно низким».

Обзор новостей информационной безопасности с 15 по 21 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Жители Швейцарии массово сообщают о получении мошеннических бумажных писем с вредоносным QR-кодом.

Особенности кампании

1. Жертва получает бумажное письмо якобы от Федерального офиса метеорологии и климатологии MeteoSwiss.

2. В письме предлагается скачать «приложение для предупреждения о погодных катастрофах» с помощью QR-кода. Однако вместо приложения на смартфон загружается вредоносное ПО.

3. Мошенники пытаются загрузить на телефоны пользователей вирус под названием «Coper» (или «Octo2»), который крадёт данные более чем из 380 приложений, включая банковские.

4. Приложение маскируется под официальное приложение Alertswiss, используемое для оповещения населения.

5. Вредоносное ПО нацелено исключительно на устройства с операционной системой Android.

6. Как только вирус оказывается на смартфоне, он пытается получить доступ к  учётным записям и банковским паролям жертвы.

Хакеры Hive0145 проводят фишинговые атаки по всей Европе, используя вредоносный софт Strela Stealer для кражи конфиденциальных данных из электронной почты.

Особенности кампании

1. Атаки нацелена в первую очередь на Испанию, Германию и Украину.

2. Злоумышленники рассылают фишинговые письма с поддельными, но настоящими счетами-фактурами, чтобы обмануть получателей и повысить успешность заражения.

3. Вместо простых фишинговых сообщений хакеры начали использовать реальные письма со взломанными вложениями. Такой метод повышает доверие к письму, так как оригинальный контент не меняется. Ранее подобные подходы применяли группировки вроде Emotet.

4. Чтобы обойти системы безопасности, киберпреступники начали использовать редкие типы файлов, такие как «.com» и «.pif», а также сложные скрипты для обхода защиты.

Инциденты

На BreachForums опубликовали 44 тыс. записей с информацией о клиентах Ford.

Хакер с ником EnergyWeaponUser заявил, что они с IntelBroker взломали компанию Ford в ноябре 2024 года и похитили данные.

В открытый доступ попали полные имена клиентов Ford, их физические адреса, данные о покупках, информация о дилерах и временные метки.

Злоумышленники даже не пытались продать данные и сразу сделали их доступными для всех зарегистрированных пользователей сайта всего за 2 доллара США.

Злоумышленники проникли в инфраструктуру Auchan и украли данные 500 тысяч участников программы лояльности.

В распоряжении злоумышленников оказались имена, фамилии, адреса электронной почты, домашние адреса, номера телефонов, состав семьи, даты рождения, номера карт лояльности и суммы бонусов. Согласно официальному заявлению пострадавшей компании, реквизиты платёжных карт инцидент не затронул.

Компания предприняла дополнительные меры для того, чтобы злоумышленники не смогли воспользоваться доставшимися им бонусными баллами. Покупателей призвали усилить бдительность в связи с возможной мошеннической активностью.

Американский производитель спутников Maxar Technologies подтвердил утечку данных.

Злоумышленник проник в сеть Maxar и получил доступ к файлам с личными данными сотрудников. Точное местоположение хакера пока не установлено.

Компания обнаружила утечку 11 октября и предприняла оперативные меры для предотвращения дальнейшего несанкционированного доступа. Однако, согласно результатам внутреннего расследования, хакер имел доступ к данным в течение недели до блокировки системы.

Среди скомпрометированной информации о сотрудниках оказались: имя, пол, адрес, номер социального страхования (SSN), контактные данные, должность, статус занятости, контакты руководителя, филиал компании, персональный номер сотрудника.

Компания настаивает, что информация о банковских счетах не была раскрыта.

В результате киберинцидента опустели полки магазинов Ahold Delhaize, крупнейшего продуктового ритейлера на восточном побережье США.

8 ноября Ahold Delhaize USA опубликовала заявление, что её внутренние сети подверглись кибератаке. В целях минимизации ущерба были привлечены эксперты по кибербезопасности, а некоторые системы временно отключены. Инцидент затронул работу аптек и онлайн-платформ компании.

Представители компании заявили, что магазины продолжают обслуживать покупателей, однако пользователи в социальных сетях жалуются на отсутствие товаров и растерянность сотрудников на местах.

Согласно публикациям в местных СМИ, в магазинах сети Stop & Shop, расположенных в штате Массачусетс, наблюдаются серьёзные перебои с поставками. Менеджеры магазинов объясняют ситуацию проблемами с логистикой из-за кибератаки, что привело к задержкам в доставке продукции.

Компания не раскрыла, были ли утечки данных клиентов или сотрудников. Пока ни одна хакерская группа не взяла на себя ответственность за инцидент.

Вымогательская группировка RansomHub заявила о взломе официального сайта федерального правительства Мексики gob.mx и хищении 313 ГБ данных.

Среди украденной информации — контракты, страховые документы, финансовая отчётность и конфиденциальные файлы. Хакеры дали правительству десять дней на выплату выкупа, иначе обещают опубликовать все похищенные материалы.

На своём сайте RansomHub также опубликовала более 50 образцов похищенных файлов. В этих образцах содержатся полные имена сотрудников, должности, адреса электронной почты, а также фотографии и внутренние идентификационные номера.

Среди документов — подписанные бумаги от 2023 года, например, обращения к директору по IT и коммуникациям Мексики Марио Гавине Моралесу и контракт на транспортные услуги на сумму около 100 тысяч долларов США.

Обзор новостей информационной безопасности с 8 по 14 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группа киберразведки PT ESC обнаружила многоступенчатую фишинговую атаку, в которой хакеры сначала пытались завоевать доверие жертвы, а затем заставить запустить полезную нагрузку.

Схема кампании

1. Жертва получает письмо от имени управления ФСТЭК по СЗФО.

2. Во вложении находился скан информационного письма ФСТЭК «О продлении срока действия уровня опасности».

3. Вредоносного содержимого и каких-либо ссылок в нем не было, сам PDF-файл не являлся опасным. А вот качество скана документа оставляло желать лучшего и для визуального ознакомления с требованиями точно не подходило.

4. Для отправки письма использовался домен fstec.info, который не является официальным доменом ФСТЭК и зарегистрирован 16 октября 2024 года.

5. Через несколько дней жертва получила более качественный скан того же документа, который при ближайшем рассмотрении оказался исполняемым файлом с иконкой PDF.

6. Этот исполняемый файл запускает сервер UltraVNC с коннектом к узлу toproducts.ru:80, в результате чего создается сессия удаленного управления, к которой может подключится злоумышленник. А для отвлечения внимания запускается тот самый легитимный документ, но уже в улучшенном качестве.

Скорее всего, злоумышленники используют многоступенчатую технику социальной инженерии: сначала присылают безопасный и трудночитаемый документ, побуждая жертву завязать с ними диалог. А получив кредит доверия, отправляют ей полезную нагрузку.

Вестник Киберполиции России предупреждает о фишинге через домовые и районные чаты.

Схема кампании

1. Аферисты размещают в домовых или районных чатах сообщения с предложениями бесплатно забрать ненужную бытовую технику или мебель.

2. Заинтересовавшимся гражданам предлагают встретиться через пару дней лично, отправляют фото или видео, подтверждающее наличие предмета.

3. Накануне встречи «сосед» извиняется, говорит, что технику может отправить только с курьером. Для оформления доставки предлагает перейти по ссылке.

4. Обещают прислать курьера, но чтобы вызвать его, нужно установить расширение и ввести код.

5. Если сделать это, преступники подключатся к телефону и получат доступ к перепискам, паролям от почты, банков, Госуслуг. Кроме того они смогут управлять телефоном жертвы, в том числе переводить деньги или оформлять кредиты.

ВТБ предупреждает о новой схеме мошенников для взлома аккаунтов на государственных онлайн-сервисах.

Как действуют преступники

1. Злоумышленники звонят жертве от имени сотрудников госструктур, сообщают, что ей пришло заказное письмо, и предлагают прислать уведомление на почтовый или электронный адрес.

2. Для оформления такой заявки злоумышленники просят продиктовать проверочный код, который приходит на телефон жертвы с текстом «код восстановления доступа» к учётной записи.

3. Если жертва прерывает звонок, заподозрив обман, спустя некоторое время ей поступает повторный звонок от того же якобы государственного учреждения. На этот раз злоумышленники уверяют жертву, что первый разговор был с мошенниками, а учётная запись уже взломана.

4. Под предлогом защиты данных они вновь просят передать код из СМС. «В этот момент человек, находясь под психологическим давлением неизвестных и полностью доверяя им, становится жертвой дальнейшего обмана.

В банке отметили, что такие звонки составляют около 30% от общего числа атак, а данная схема особенно активизировалась в период уплаты налогов.

«Сбер» предупредил о новой схеме телефонных мошенников, в которую вовлекают друзей и родственников.

Как действуют преступники

1. Жертве поступает звонок с предложением дохода от инвестиций при поддержке личного «брокера».

2. В случае согласия человеку заводят поддельный личный кабинет, где отражена «прибыль от сделок», но на самом деле денежные средства находятся у мошенников.

3. При запросе на вывод денег злоумышленники требуют «налоговый код», для получения которого необходимо оплатить комиссию, однако после на свою просьбу жертва получает отказ «по подозрению в мошенничестве».

4. Далее начинают поступать звонки якобы от представителей Центробанка, которые требуют найти доверенное лицо для получения средств с брокерского счета.

5. При выполнении этой просьбы мошенники начинают угрожать конфискацией имущества и уголовным делом и требуют перевести крупную сумму со счета доверенного лица, которым зачастую являются родственники и близкие жертвы.

6. Финал опасной схемы может быть плачевным: злоумышленники угрозами заставляют жертв привлекать в нее все новых доверенных лиц и склоняют их к продаже жилья.

Уникальность и опасность схемы заключается в смешении нескольких известных сценариев. Сначала мошенники воздействуют на желание обогащения ― уже на этом этапе человек теряет крупную сумму. Но преступники не останавливаются, и начинают запугивать и угрожать, в результате чего происходит «заражение» окружения жертвы.При этом мошенники напрямую не общаются с последующими жертвами ― «доверенными лицами», воздействие происходит через основную жертву.

Новая деталь в схеме ― оплата несуществующего «налогового кода» для выманивания нового перевода и угрозы со стороны якобы Центрального банка, который подозревает клиента в мошенничестве. Необходимо помнить, что сотрудники Центрального банка никогда не общаются по телефону с физическими лицами.

Другой явный признак мошенничества, который должен насторожить ― в результате инвестиций обещают «золотые горы» при минимальных усилиях и знаниях.

Инциденты

Используя уязвимость в античит-системе Activision, хакер заблокировал тысячи честных игроков Call of Duty Modern Warfare 3, представляя их как читеров.

Проблема обострилась на фоне давней борьбы между разработчиками игр и хакерами. Последние годами искали способы обхода античит-систем, чтобы создавать читы и продавать их, неплохо на этом зарабатывая. В 2021 году Activision представила новую систему Ricochet, работающую на уровне ядра операционной системы, чтобы усложнить хакерам обход защиты.

Хакер использовал недоработки Ricochet против игроков. Он обнаружил, что система использует жёстко заданные текстовые строки в качестве «сигнатур» для обнаружения читеров. К примеру, одной из таких строк было слово «Trigger Bot», обозначающее тип чита, автоматически стреляющего по цели.

Отправляя игрокам в Call of Duty личные сообщение с одной из этих сигнатур, он добивался автоматической блокировке получателя. Причина в том, что Ricochet сканирует устройства игроков на наличие этих строк, и если они находятся, автоматически выносит бан, не учитывая контекста.

У букмекерской компании 1win произошла утечка пользовательских данных. Злоумышленникам удалось получить доступ к части базы данных, содержащей электронные адреса и телефонные номера около 100 миллионов пользователей.

Инциденту предшествовала серия масштабных DDoS-атак, с которыми не смог справиться провайдер защиты от DDoS. Далее последовали попытки проникновения в инфраструктуру компании различными способами: рассылка вирусов сотрудникам для получения паролей от серверов, множественные атаки на инфраструктуру, а также успешный взлом одного из мерчантов.

В итоге злоумышленники нашли уязвимость в системе, проникли в инфраструктуру и похитили данные, после чего потребовали выкуп, размер которого с начального миллиона долларов США вырос до 15 млн долларов США.

Сообщается, что шантажисты выложили часть базы, чтобы усилить информационное давление и получить больше денег.

Тем не менее, руководство 1win настаивает, что на данный момент инфраструктура компании находится в полной безопасности.

Кибератака вызвала сбои в работе судов округов Кинг, Пирс, Льюис, Вотком, а также ряда городских судов штата Вашингтон.

Несмотря на отсутствие официального подтверждения вымогательской атаки сайт AOC недоступен уже несколько дней. В AOC от комментариев отказались, отметив, что на данный момент нет оснований полагать, что это целенаправленное нападение.

Некоторые суды, например, Верховный суд округа Пирс, заявили, что их работа пострадала минимально. Тем не менее, в ряде других учреждений возникли серьёзные сбои в системах электронного документооборота и телефонии, что затруднило оплату штрафов. Суд округа Турстон и вовсе объявил о переносе слушаний по делам о правонарушениях. Участникам будут разосланы новые даты заседаний.

Крупный инвестор потерял около 6,09 млн долларов США в криптовалюте Gigachad (GIGA) из-за фишинговой атаки. Злоумышленники использовали поддельное приглашение на конференцию Zoom для распространения вредоносного ПО.

Получив доступ к трём криптокошелькам, мошенники вывели 95,27 миллионов токенов GIGA, а затем конвертировать похищенные средства в 11,759 SOL, что составляет примерно 2,1 миллиона долларов США. В результате массовой продажи курс мем-койна GIGA упал с 0,63 до 0,54 доллара.

Позже злоумышленники обменяли полученные SOL на стейблкоины USDT и USDC. Часть средств в размере 700 SOL была переведена на централизованную биржу KuCoin через промежуточные адреса.

Кибератака на инфраструктуру супермаркетов Stop & Shop в Новой Англии вызвала задержки в работе аптек и электронных платформ для покупок.

Как заявила материнская компания Ahold Delhaize, причиной стала недавно обнаруженная «проблема кибербезопасности». В связи с инцидентом были привлечены внешние эксперты, а также оповещены правоохранительные органы для проведения расследования и предотвращения дальнейших угроз.

Компания подчёркивает, что защита данных клиентов, сотрудников и партнёров остаётся для них в приоритете, однако утечка информации в такой ситуации не исключена, особенно если кибератака имела вымогательский характер.

Несмотря на инцидент, все магазины сети Stop & Shop продолжают работать, хотя некоторые процессы в них были нарушены. В частности, сбой затронул работу аптек и интернет-магазинов, что может привести к задержкам в доставке товаров и обслуживании клиентов.

Amazon подтвердила утечку данных своих сотрудников после того, как хакер опубликовал в даркнете более 2,8 миллиона строк, содержащих имена сотрудников, контактные данные, местоположение офисов и email-адреса.

По словам представителя Amazon Адама Монтгомери, информация была украдена из систем стороннего поставщика услуг по управлению недвижимостью. Инцидент затронул несколько клиентов компании, включая Amazon.

Amazon подчеркнула, что подрядчик не имел доступа к конфиденциальным данным. Также сообщается что поставщик уже устранил уязвимость, приведшую к утечке. Amazon заверила, что системы компании, включая AWS, остаются в безопасности и не подвергались компрометации.

Хакер утверждает, что помимо данных, украденных во время атак на MOVEit, часть информации была получена из других источников, включая открытые базы данных и утечки на сайтах вымогателей. Он сообщил, что у него на данный момент накоплено более 250 ТБ архивов с базами данных, собранных из различных интернет-ресурсов.