Обзор новостей информационной безопасности с 19 по 25 июля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники используют глобальный сбой, вызванный обновлением CrowdStrike для фишинговых атак.

Особенности кампаний:

• злоумышленники присылают фишинговые письма и звонят пострадавшим клиентам, представляясь специалистами службы поддержки CrowdStrike;
• выдают себя за независимых исследователей, утверждая, что у них есть доказательства того, что происходящее связано с кибератакой, и якобы предлагают способы её устранения;
• продают скрипты, якобы предназначенные для автоматизации восстановления.

В одной из вредоносных кампаний против клиентов банка BBVA преступники предлагали поддельное обновление CrowdStrike Hotfix, на самом деле устанавливающее малварь Remcos RAT.

• поддельный хотфикс распространялся через фишинговый сайт portalintranetgrupobbva[.]com, который выдавал себя за внутренний портал BBVA.
• архив содержал инструкции, призывающие сотрудников установить «обязательное обновление», которое поможет избежать ошибок при подключении к внутренней сети компании.

Другие злоумышленники распространяют вайпер под видом обновления CrowdStrike. Вайпер уничтожает операционную систему, перезаписывая файлы нулевыми байтами, а затем отчитывается об этом через Telegram.

Ещё один зафиксированный инцидент отличался тем, что мошенники выдавали себя за CrowdStrike, рассылая письма с домена crowdstrike.com[.]vc. Они сообщали клиентам компании о появлении инструмента для восстановления Windows-систем.

Письма содержали PDF-файл с инструкциями по запуску фальшивого обновления и ссылку для загрузки вредоносного ZIP-архива с файлового хостинга.

Архив содержал исполняемый файл с именем Crowdstrike.exe. После выполнения вайпер извлекался в папку %Temp% и после запуска уничтодал все данные на устройстве.

Инциденты

Злоумышленники взломали индийскую криптовалютную биржу WazirX и похитили криптовалютные активы на сумму 230 млн долларов США.

Компания сообщила, что один из её кошельков с мультиподписью подвергся атаке. Кошелёк имел шесть подписей, пять из которых принадлежали команде WazirX, но с 2023 года «этот кошелек использовал услуги инфраструктуры хранения цифровых активов и кошельков Liminal».

Кибератака произошла из-за несоответствия между данными, отображаемыми в интерфейсе Liminal, и реальным содержимым транзакции. В ходе кибератаки было несоответствие между информацией, отображаемой на интерфейсе Liminal, и тем, что было подписано на самом деле. Предположительно, пейлоад был подменён, чтобы передать контроль над кошельком злоумышленнику.

На фишинговом клоне популярного пиратского сайта с электронными книгами Z-Library произошла утечка данных почти 10 миллионов пользователей.

Исследовательская группа Cybernews обнаружила открытую базу данных с информацией 9 761 948 пользователей. Эти данные принадлежали злоумышленникам, которые управляли фальшивой версией Z-Library.

Под видом настоящего сайта мошенники на протяжении долгого времени собирали личную информацию, пароли, адреса криптовалютных кошельков и платёжные данные пользователей. Однако, что ещё хуже, злоумышленники случайно раскрыли все эти данные. Исследователи подтвердили подлинность этой информации.

Сайт Z-lib создали вскоре после изъятия оригинальных доменов Z-Library американскими властями в ноябре 2022 года. Этот фишинговый ресурс собирал учётные данные и запрашивал платежи. В своём Telegram-канале злоумышленники выдавали себя за законных владельцев Z-Library и утверждали, что их сайт является единственным официальным.

По словам экспертов, утечка является беспрецедентной. Количество скомпрометированных аккаунтов на поддельном сайте Z-lib превышает число пользователей оригинального сайта до его закрытия.

Инфраструктура «Ростелекома» подверглась DDoS-атаке, мощность которой достигла 3 Тб/с и продолжалась около пяти часов.

Телеком-гигант сообщил, что ему «удалось минимизировать воздействие атаки и обеспечить непрерывность сервиса для всех клиентов».

В «Ростелекоме» полчеркнули, что действия киберпреступников не затронули данные и никак не отразились на бесперебойной работе сервисов.

В сети опубликована полная база данных первой версии хакерского форума BreachForums.

Предполагается, что эти данные получены из бэкапа БД, который создал и продал ещё в 2023 году бывший админ ресурса, Конор Брайан Фитцпатрик (Conor Brian FitzPatrick), также известный под ником Pompompurin.

Публикация стала результатом конфликта между членами сообщества BreachForums. Один из участников противостояния вечером 23 июля 2024 года слил в Telegram полную базу данных, обнародовав огромное количество дополнительной информации. Он сопроводил публикацию сообщением следующего содержания:

«Полная база данных BreachForum v1, содержащая все записи до 29 ноября 2022 года. Эта БД включает все: личные сообщения, темы, логи платежей, подробные логи IP-адресов для каждого пользователя и так далее. Изначально я выложил только таблицу пользователей, чтобы предотвратить ее продажу за кулисы сотрудниками BreachForum, но теперь стало очевидно, что эта БД есть у стольких людей, что её утечка просто неизбежна. Это дает всем шанс просмотреть свои записи и устранить пробелы в OPSEC».

Журналисты уже изучили дамп и, основываясь на временных отметках, сообщают, что это полная резервная копия форума MyBB, созданная 28 ноября 2022 года. БД содержит все данные форума, включая ID пользователей, хешированные пароли, личные сообщения, криптовалютные адреса, использовавшихся для покупки форумных кредитов, и все сообщение на сайте.

Компания Red Art Games сообщила о компрометации данных клиентов в результате масштабной кибератаки.

Обработка заказов и возвраты приостановлены на несколько дней, пока проводится расследование. Сайт компании закрыт и отображает баннер-уведомление о кибератаке.

Red Art Games подтвердила, что были раскрыты следующие данные:

• имена и фамилии;
• даты рождения;
• адреса электронной почты;
• адреса доставки;
• информация для заказа;
• телефонные номера.

Инцидент не затронул банковские данные клиентов.

Популярная израильская газета «Globes» стала жертвой кибератаки.

Инцидент произошёл 18 июля и вызвал временные перебои в работе некоторых служб и доступе к компьютерам организации. Ограничения могли повлиять на оперативность предоставления услуг в течение дня, однако сейчас издание работает в штатном режиме, продолжая выполнять свои обязательства перед читателями, предоставляя актуальные новости как на сайте, так и в печатной версии.

«Globes» привлёк к работе профессионалов с опытом в аналогичных инцидентах. Вместе с консультантами они предпринимают все возможные меры для предотвращения дальнейших атак и оптимального управления ситуацией. Конкретный характер атаки неизвестен. Также не сообщается, были ли украдены какие-то внутренние данные.

Все 36 судов Верховного суда округа Лос-Анджелес прекратили работу для восстановления систем после вымогательской кибератаки.

В результате инцидента пострадали как внешние системы (портал MyJuryDuty и веб-сайт суда), так и внутренние системы управления делами. Многие из систем суда все еще недоступны.

Об атаке стало известно 20 июля. После обнаружения атаки LASC был вынужден немедленно отключить все сетевые системы, чтобы локализовать нарушение. Затронутые устройства, вероятно, останутся отключенными как минимум до 23 июля, пока их не восстановят и не подключат снова к сети.

Суд не обнаружил доказательств компрометации данных на пострадавших системах. Отмечается, что инцидент не связан с глобальным сбоем Windows, который произошел после неудачного обновления CrowdStrike.

Крупнейший в мире ритейлер яхт и лодок для отдыха MarineMax признал компрометацию данных 123 000 клиентов в результате взлома системы безопасности, совершенного группировкой вымогателей Rhysida в марте 2024 года.

В первой версии отчёта об инциденте MarineMax утверждала, что конфиденциальные данные не хранились в скомпрометированных системах. Однако через две недели в новом отчёте компания уже сообщила, что злоумышленники похитили личные данные неопределённого количества клиентов.

MarineMax сообщила, что инцидент затронул 123 494 человека. Компания уточнила, что нарушение было обнаружено 10 марта, через десять дней после того, как злоумышленники получили доступ к сетям компании.

Злоумышленники похитили имена и другие идентификационные данные. Пока не разглашается, какие ещё личные данные были украдены и коснулось ли это как клиентов, так и сотрудников.

Группировка Rhysida опубликовала на своём сайте в даркнете архив объёмом 225 ГБ с файлами, якобы похищенными из сети MarineMax, заявляя, что это данные, которые не удалось продать на киберпреступных форумах. Rhysida также разместила скриншоты финансовых документов MarineMax, водительских удостоверений и паспортов клиентов и сотрудников.

Обзор новостей информационной безопасности с 12 по 18 июля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Российских игроков Hamster Kombat атакуют фишеры, предлагая вывести средств из игры и конвертировать их в рубли.

Схема кампании

1. Мошенники рассылают российским пользователям ссылки на фишинговый ресурс, через который якобы можно вывести монеты из игры Hamster Kombat и конвертировать их в рубли.

2. Чтобы сделать это, сначала нужно авторизоваться в Telegram — ввести учётные данные на открывшейся странице.

3. Разумеется, никакой конвертации на самом деле нет, и таким способом мошенники просто воруют доступ чужим аккаунтам в Telegram.

4. Главная цель фишеров — выманить у жертвы номер телефона и код подтверждения. Полученный доступ к учетным записям мошенники могут использовать для различных целей, в том числе для кражи конфиденциальных данных, шантажа и рассылки мошеннических сообщений по списку контактов.

Обнаружена фальшивая электронная рассылка с предупреждением о проведении «уроков ИБ» для сотрудников российских компаний. Вместо настоящих ИБ-специалистов с работниками связываются злоумышленники и убеждают их передать конфиденциальные данные о компании.

Особенности кампании

1. Фейковые письма поступают в адрес руководителей российских компаний.

2. Во вложении содержится электронный документ на бланке несуществующего ведомства, которое якобы уведомляет о планах провести консультационные беседы с сотрудниками компании по вопросам обеспечения информационной безопасности и защиты персональных данных.

3. Согласно «документу», содержание бесед конфиденциально и не подлежит разглашению, а руководителю организации, получившему письмо, следует предупредить подчиненных о предстоящем звонке.

4. После этого «подготовленным» работникам компании поступают звонки, но не от ИБ-специалистов, а от злоумышленников. Они склоняют сотрудников к передаче конфиденциальной информации, в том числе для входа в информационную инфраструктуру компании.

5. Далее возможны два варианта развития событий: полученные данные продаются на черном рынке либо непосредственно используются для совершения атаки.

Обнаружен новый метод распространения вредоносного ПО Clickfix, который используют для заманивания пользователей на вредоносные сайты и принуждения к запуску вредоносных скриптов.

Особенности кампании

1. Clickfix представляет собой сложную форму социальной инженерии, манипулируя пользователями для самостоятельного выполнения ими вредоносных скриптов под видом легитимных действий.

2. В одном из сценариев жертва получает фишинговый email с HTML-вложением, замаскированным под документ Microsoft Word.

3. При открытии файла пользователю показывается поддельное сообщение об ошибке, предлагающее установить несуществующее браузерное расширение Word Online.

4. После нажатия кнопки «How to fix», вредоносный код автоматически копируется в буфер обмена, а пользователю предлагается вручную выполнить его, для чего требуется нажать комбинацию клавиш Win+R, вставить код из буфера туда и нажать Enter.

5. Внутри самой HTML-страницы из письма данный PowerShell-код обфусцирован, что делает невозможным его обнаружение базовыми средствами защиты Windows или почтовыми фильтрами.

6. После выполнения PowerShell-скрипт загружает и выполняет HTA-файл с удалённого сервера, что запускает вредоносные действия на системе жертвы. На диске C создаётся папка, куда помещается AutoIt-скрипт. Запуск скрипта происходит в автоматическом режиме, после чего вредоносное ПО связывается с командным сервером для получения дальнейших инструкций.

Обнаружена фишинговая кампания по распространению трояна удалённого доступа Poco RAT в странах Латинской Америки.

Схема кампании

1. Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive.

2. Другие способы распространения включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а намеренно, чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG).

3. Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО.

4. После запуска троян Poco RAT закрепляется на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей.

5. Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом.

Новый тип программ-вымогателей атакует турецкие предприятия.

Схема кампании

1. Атака начинается с фишинговых писем, содержащих PDF-вложения.

2. В PDF-файле содержится ссылка, которая загружает дальнейший исполняемый файл со скомпрометированного аккаунта на GitHub.

3. Загруженный файл после запуска распаковывает и размещает в директории C:\TheDream файлы RootDesign.exe, Uninstall.exe и Uninstall.ini.

4. Классы и функции файла RootDesign.exe защищены обфускацией, что позволяет обходить традиционные методы обнаружения вредоносного ПО.

5. После распаковки вредоноса он запускает команду PowerShell для скрытого выполнения RootDesign.exe.

6. Запущенный файл создаёт множество своих копий в памяти и шифрует критические системные и офисные файлы, присваивая им расширение «.ShadowRoot». В корневом каталоге создаётся журнал «log.txt», в котором фиксируются все действия программы.

7. Зашифрованные файлы сопровождаются текстовым файлом «readme.txt», содержащим требования выкупа на турецком языке. В тексте не указаны данные криптокошелька, но жертвам предлагается связаться через указанный адрес электронной почты для дальнейших инструкций по оплате и дешифровке.

8. Программа использует простые методы шифрования и имеет немного функций, поэтому исследователи предположили, что она была создана неопытными злоумышленниками.

Инциденты

Злоумышленники из группировки NullBulge заявили, что им удалось похитить более терабайта данных у компании Disney.

Эта утечка якобы содержит сообщения и файлы из 10 000 внутренних Slack-каналов компании. По словам хакеров, в дампе можно найти информацию о еще невышедших проектах Disney, исходные коды, учетные данные, а также ссылки на внутренние API и веб-страницы.

Представители NullBulge утверждали, что надеялись украсть больше данных, однако инсайдер, якобы помогавший им в атаке, «струсил» и лишил хакеров доступа.

В существовании инсайдера искренне сомневаются исследователи Vx-underground. Они считают, что хакеры просто скомпрометировали одного из сотрудников Disney с помощью инфостилера:

«Если бы [эта утечка] была результатом работы инсайдера, было бы раскрыто больше данных. Не разговоры из Slack. Можно было бы ожидать данных Jira, исходного кода или секретов. Чего-нибудь ещё, кроме бесед из чатов.

Мы предполагаем, что сотрудник Disney пострадал от инфостилера. Была украдена сессия Slack или локально сохранённые учётные данные, не требующие использования мультифакторной аутентификации. Этого достаточно, чтобы соскрапить данные. Но если эти данные действительно получены в результате действий инсайдера, он проделал ужасную работу, потому что никому нет дела до рабочих переписок».

Хакеры похитили 305 млн долларов США в криптовалюте у японской биржи DMM Bitcoin.

По данным независимого криптовалютного аналитика ZachXBT , к июлю злоумышленники уже успели отмыть около 35 млн долларов США из похищенных средств. Схема отмывания денег оказалась довольно сложной и включала в себя несколько этапов:

• Сначала биткоины были пропущены через так называемый «миксер» — сервис, помогающий скрыть историю транзакций криптовалют.
• Затем «очищенные» средства перевели на другой блокчейн, где их обменяли на стейблкоин USDT (Tether).
• После еще одной смены блокчейна, USDT были отправлены на платформу Huione Guarantee.

Huione Guarantee — это китайская экосистема и маркетплейс. Через неё, предположительно, прошло незаконных транзакций на сумму не менее 11 млрд долларов США.

Компания Tether, выпускающая популярный стейблкоин USDT внесла в чёрный список кошелек, предположительно связанный с Huione, на котором находилось почти 30 млн USDT.

Сравнив пути легализации доходов и другие косвенные признаки с предыдущими инцидентами, ZachXBT пришел к выводу, что за атакой стоит Lazarus.

Компания Bassett Furniture, один из крупнейших производителей мебели в США, приостановила работу после атаки вымогателей.

Злоумышленники проникли в сеть компании и зашифровали часть данных, нарушив работу Bassett Furniture. Об этом компания сообщила в понедельник, 15 июля.

На данный момент производственные мощности Bassett Furniture не функционируют. Розничные магазины и интернет-платформа компании продолжают работать, принимая заказы, хотя их выполнение сильно затруднено.

Руководство компании работает над восстановлением пострадавших систем и внедрением обходных решений, чтобы минимизировать влияние инцидента.

Обзор новостей информационной безопасности с 5 по 11 июля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена сеть из 708 мошеннических сайтов для продажи поддельных билетов на спортивные и музыкальные мероприятия русскоязычной аудитории.

Особенности кампании

1. На доменах ticket-paris24[.]com» и tickets-paris24[.]com размещены качественно сделанные сайты, которые позволяют пользователям приобретать билеты на различные мероприятия во время предстоящих летних Олимпийских игр и выбирать размещение в Париже.

2. Цены на билеты завышены по сравнению с настоящими сайтами: случайное мероприятие и место на официальном сайте могли стоить менее 100 евро, тогда как те же билеты и места на мошеннических сайтах стоили минимум 300 евро, а зачастую и 1000 евро.

3. Компания-владелец сайтов VIP Events Team LLC зарегистрирована в Нью-Йорке в 2021 году, однако у неё нет сайта и отсутствует информация в соцсетях. При этом на странице «Контакты» сайта ticket-paris24[.]com указано, что компания, стоящая за мошенническим сайтом, находится в Грузии.

4. Все поддельные сайты по продаже билетов размещены на одном IP-адресе.

Эксперты обнаружила поддельные сайты по продаже билетов на другие мероприятия, в том числе:

• УЕФА Евро-2024 в Германии
• Различные концерты и фестивали с участием известных музыкантов и групп (Twenty One Pilots, Iron Maiden, Бруно Марс, Людовико Эйнауди, Metallica и Rammstein)

Некоторые из этих доменов, по-видимому, имеют более широкий целевой диапазон, чем русскоязычные жертвы, на которых нацелены поддельные сайты по продаже билетов на Олимпийские игры.

Северокорейская хакерская группа Kimsuky совершила серию кибератак на японские организации.

Схема кампании

1. Всё начинается с рассылки целевых писем с тематикой безопасности и дипломатии.

2. Письма содержат вложенные файлы с двойными расширениями, например, «.docx.exe» и «.docx.docx». Многочисленные пробелы в названиях файлов скрывают настоящие расширения, заставляя жертв запускать исполняемый файл под видом офисного документа, что и приводит к заражению их устройств.

3. После запуска файла-приманки с внешнего ресурса скачивается и выполняется VBS-файл, загружающий PowerShell и вызывающий функцию PokDoc, которая отправляет собранные данные на заданный злоумышленниками URL. Собранные данные включают информацию о системе, процессах, сетях, файлах и учётных записях пользователей.

4. После отправки данных создаётся и выполняется ещё один VBS-файл с именем «desktop.ini.bak». Этот файл аналогично загружает PowerShell, вызывая функцию InfoKey для работы в качестве кейлоггера. Информация о нажатиях клавиш и содержимом буфера обмена сохраняется и отправляется на удалённый сервер.

Обнаружена новая волна целевых атак на российские организации с целью сбора конфиденциальной информации.

Схема кампании:

1. Злоумышленники рассылают вредоносный файл, имитирующий документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА»

2. На самом деле файл имеет расширение .scr и является инсталлятором.

3. Для отвлечения внимания пользователя он извлекает из себя и открывает документ PDF на тему БПЛА. Параллельно с этим он в скрытом режиме скачивает несколько архивов с дополнительной вредоносной нагрузкой и консольную утилиту для работы с архивами формата RAR. Консольная утилита используется для распаковки скачанных архивов, а также для сбора интересующих злоумышленников файлов.

4. Злоумышленники собирают в архивы офисные документы с расширениями *.doc и *.docx с дисков C:\, D:\ и E:\; кроме того, их интересует все содержимое папки «Telegram Desktop\tdata», в которой хранятся данные десктопной версии мессенджера Telegram.

5. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленникам.

6. С помощью утилиты Web Browser Pass View похищаются учётные данные, сохранённые в браузерах.

7. Незаметно устанавливается легитимная программа для мониторинга активности пользователя, которая записывает нажатия клавиш, мониторит интернете-активность, делает скриншоты. Затем всё это отправляется на электронную почту преступникам.

Инциденты

Злоумышленники скомпрометировали провайдера email-маркетинга Ethereum и разослали по 35 000 адресам фишинговые письма со ссылкой на вредоносный сайт, содержащий малварь для кражи криптовалют.

Для рассылки преступники использовали собственный список email-адресов и еще 3759 адресов, экспортированных из рассылки блога платформы. При этом только 81 адрес из экспортированных был ранее неизвестен атакующим.

Фишинговое сообщение злоумышленников приглашало пользователей перейти на вредоносный сайт, на котором сообщалось о сотрудничестве с Lido DAO и предлагалось воспользоваться преимуществами 6,8% годовой доходности.

Желающие получить обещанный доход попадали на профессионально сделанный фальшивый сайт, который выглядел как часть рекламной акции. Если пользователь привязывал свой кошелёк к этому сайту и подтверждал транзакцию, малварь отправляла все его активы злоумышленникам.

Несколько почтовых ящиков Международной автомобильной федерации (Federation Internationale de l’Automobile, FIA) были взломаны в результате фишинговой атаки.

Как сообщили на этой неделе представители организации,

«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA. Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».

В организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе инцидента.

Анонимный хакер с киберпреступного форума заявил о наличии уязвимости, позволяющей обходить двухфакторную аутентификацию (2FA) на платформе HackerOne.

Из сообщения злоумышленника следует, что он обладает действующим PoC-эксплойтом, который можно применить для обхода двухфакторной аутентификации HackerOne, что существенно упрощает потенциальную компрометацию аккаунтов компаний или самих белых хакеров.

Пока что представители HackerOne не выпустили официального подтверждения или опровержения по поводу наличия уязвимости в 2FA.

На хакерском форуме опубликована гигантская база данных, содержащая почти 10 млрд (9 948 575 739) уникальных паролей.

Анализ показал, что новая публикация RockYou2024 представляет собой компиляцию реальных паролей, собранных из различных источников.

Автор поста — хакер ObamaCare, который уже успел отметиться рядом «подвигов»: он выкладывал базу сотрудников юридической фирмы Simmons & Simmons, информацию об онлайн-казино AskGamblers и документы студентов колледжа Роуэн в Берлингтоне.

Американский кредитный союз Patelco Credit Union стал жертвой вымогательской кибератаки.

Представители Patelco сообщили, что клиенты могут столкнуться с периодическими сбоями в работе банкоматов и пообещали возместить любые штрафы за просрочку платежей из-за этих сбоев.

В заявлении компании говорится:

«29 июня 2024 года Patelco Credit Union подвергся атаке программ-вымогателей. Наш приоритет — безопасное и надёжное восстановление наших банковских систем. Мы работаем вместе с ведущими экспертами по кибербезопасности и сотрудничаем с регуляторами и правоохранительными органами».

Атака началась в субботу, когда кредитный союз впервые сообщил о недоступности своих систем. В воскресенье Patelco был вынужден отключить некоторые свои повседневные банковские системы, чтобы справиться с инцидентом и «ограничить его воздействие». В Patelco не сообщили, какая программа-вымогатель использовалась и какой выкуп потребовали хакеры.

Неизвестные похитили данные пользователей сервиса Twilio Authy, воспользовавшись отсутствием аутентификации в эндпоинте. В результате атаки были скомпрометированы номера мобильных телефонов пользователей.

Twilio предприняла оперативные меры для обеспечения безопасности, закрыв уязвимую конечную точку и заблокировав неаутентифицированные запросы.

Атаку провела группа ShinyHunters. Они опубликовали на форуме BreachForums базу данных, содержащую 33 миллиона номеров телефонов, извлечённых из учётных записей Authy.

Опубликованный CSV-файл содержит 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, столбец «over_the_top», статус учетной записи и количество устройств.

В Twilio подчеркнули, что не обнаружено доказательств того, что злоумышленники получили доступ к системам компании или другой чувствительной информации.

Хакеры утверждают, что захватили 1,4 ГБ данных Агентства национальной безопасности (АНБ) США в результате взлома стороннего подрядчика Acuity Inc.

Похищенные данные содержат:

• полные имена;
• номера телефонов;
• адреса электронной почты сотрудников АНБ и аффилированных лиц;
• секретные документы и переписку между определёнными группами и союзниками США.

ZOTAC, китайский производитель аппаратной составляющей на базе процессоров NVIDIA и мини-компьютеров, раскрывал документы с информацией покупателей.

Как оказалось, конфиденциальная информация о клиентах была доступна даже в поиске Google. Обычно такое происходит из-за неправильно настроенных прав доступа, отсутствия тегов или файла robots.txt, который указывал бы поисковым машинам, что нужно игнорировать папки с конфиденциальными данными.

Из-за ошибки компании поисковые запросы в Google возвращали имена людей и названия компаний, а параметр zotacusa.com и вовсе помогал обнаружить личную информацию, включая накладные, адреса, данные о запросах на возврат и контактную информацию.

Вымогатели RansomHub опубликовали данные Департамента здравоохранения Флориды после того, как жертва отказалась платить выкуп.

Представитель департамента подтвердил факт кибератаки и объяснил, что преступники дали штату срок до 5 июля для выплаты выкупа. Однако правительство Флориды придерживается политики неуплаты выкупов.

На сайте группы действительно есть множество внутренних данных Департамента, и большая часть представляет собой персональные данные или защищённую медицинскую информацию, в том числе:

• результаты анализов;
• сканы паспортов;
• рецепты;
• переписку с физлицами;
• записи о компенсации работникам, включая личные и демографические данные каждого сотрудника.

В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».

В частичном дампе содержится более 408 тыс. строк с данными пользователей:

• ФИО;
• телефон;
• адрес эл. почты;
• хешированный пароль;
• номер карты лояльности, кол-во бонусов и т. п.

В полном дампе содержится гораздо больше данных: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.

Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.

Данные в дампе датируются 06.07.2024.