Дайджест Start X № 360
Обзор новостей информационной безопасности со 2 по 8 февраля 2024 года
Андрей Жаркевич
редактор
Артемий Богданов
технический директор
Сергей Волдохин
выпускающий редактор
Киберкампании
Схема действий преступников
- Мошенники рассылают в мессенджерах сообщение от имени партии «Единая Россия», в котором предлагают принять участие в опросе.
- За ответы на вопросы жертве обещают заплатить 2500 рублей.
- Чтобы пройти опрос, нужно скачать мобильное приложение с поддельного магазина Google Play, в котором замаскирован Android-троян.
- После прохождения опроса о предстоящих выборах жертвам предлагается ввести данные банковской карты для получения вознаграждения.
- Фишинговая страница, на которую жертву отправляет приложение, запрашивает доступ к СМС и контактам мобильного устройства пользователя.
- Если жертва соглашается, мошенники получают возможность без ведома жертвы получить СМС с кодом подтверждения банковского перевода и опустошают его счета.
Всего за два дня — 29 и 30 января — жертвами мошенников стали 33 человека. С их счетов похитили 292,5 тыс. руб. В среднем злоумышленники переводили со счета каждой жертвы по 8,8 тыс. руб. Минимальной сумма — 1,5 тыс. руб., максимальная — 76 тыс. руб.
Новая мошенническая кампания в Telegram маскируется под обновления системы безопасности.
Особенности кампании
- Фишинговые сообщения рассылаются от имени администрации и техподдержки IM-сервиса.
- Для проведения рассылок преступники создали поддельные аккаунты с именами «администрация Telegram», «Служба поддержки», «Обновление», «Безопасность»
- Распространяемые ими сообщения предупреждают о «проведении масштабного обновления безопасности системы для защиты данных пользователей».
- Для подтверждения проверки системы предлагается пройти по указанной ссылке и следовать инструкциям.
- Целевые страницы мошенников замаскированы с помощью тайпсквоттинга и имитируют ресурсы мессенджера, используя имена telegraim, telegrain, telegramn, telegrami, tefegram.
- Все фальшивые сайты размещены в зонах .ru и .online.
Инциденты
Развертывание Coathanger осуществлялось после взлома уязвимых брандмауэров FortiGate, которые хакеры атаковали при помощью уязвимости CVE-2022-42475 в FortiOS SSL-VPN.
Власти сообщают, что ущерб от атаки был ограничен благодаря сегментации сети:
«В пострадавшей сети насчитывалось менее 50 пользователей. Ее задачей были исследования и разработки (R&D) несекретных проектов и сотрудничество с двумя сторонними исследовательскими институтами. Эти организации уже уведомлены об инциденте».
Эксперты предупреждают, что «COATHANGER восстанавливается после каждой перезагрузки, внедряя свою резервную копию в процесс, отвечающий за перезагрузку системы. Он выживает даже после обновления прошивки, поэтому даже полностью пропатченные устройства FortiGate могут быть заражены, если они были взломаны до установки патча».
![](https://blog.startx.team/pictures/digest-360-1.png)
Злоумышленник опубликовал скриншоты некоторых учетных данных HPE, но не раскрыл источник информации и метод ее получения. В объявлении он указал, что данные включают в себя доступы к CI/CD, системные журналы, файлы конфигурации, токены доступа, файлы HPE StoreOnce (серийные номера, гарантии и т. д.) и пароли доступа.
Расследование показало, что данные были получены из «тестовой среды». Признаков компрометации производственных сред или информации клиентов не обнаружено, требований выкупа также не поступало.
Сначала сотрудник финансового отдела компании-жертвы из филиала в Гонконге получил фишинговое сообщение, якобы от лица финансового директора, находящегося в Великобритании. В письме сотрудника просили совершить секретную транзакцию.
Сначала письмо показалось сотруднику подозрительным. Но он отбросил сомнения после того как «финансовый директор» предложил обсудить детали в ходе группового видеозвонка. В звонке принимали участие и другие сотрудники компании, которые были знакомы жертве.
Мошенники использовали дипфейк-версии финансового директора компании и других сотрудников. Фальшивые личности во время видеоконференции общались между собой и отдавали сотруднику указания перевести деньги на счета злоумышленников. Все участники видеозвонка, кроме жертвы, имитировали внешность и голоса других людей.
В итоге исполнительный сотрудник произвёл 15 переводов на сумму 25,6 млн долларов США на пять различных счетов в гонконгских банках.
![](https://blog.startx.team/pictures/digest-360-2.png)
![](https://blog.startx.team/pictures/digest-360-3.png)
В опубликованном тестовом примере содержится 2007 строк:
- ФИО,
- дата рождения,
- паспортные данные,
- СНИЛС,
- телефон,
- адрес,
- название медучреждения,
- диагноз.
В опубликованном на форуме примере все записи относятся к Нижнекамской центральной районной многопрофильной больнице.
Продавец утверждает, что всего в базе находится 4,3 млн таких записей.
Минздрав Татарстана прокомментировал сообщение об утечке:
«Речь не идет об утечке сведений обо всех пациентах Татарстана. По предварительным данным, незаконным путем был получен узкий сегмент записей о пациентах одной из центральных районных больниц. Вероятно, это может быть связано с нарушениями со стороны отдельных сотрудников.»
Из-за кибератаки в детской больнице Лури в Чикаго (Lurie Children’s Hospital) отключились ИТ-системы. Это нарушило работу учреждения и привело к задержкам в оказании медицинских услуг.
В заявлении об инциденте кибербезопасности говорится, что атака затронула интернет-системы, системы электронной почты, телефонных услуг и платформу MyChat.
Больница продолжает оказывать медицинские услуги, стараясь минимизировать перебои. Отмечены задержки запланированных процедур, недоступность результатов УЗИ и КТ, а рецепты выдаются в бумажном виде.
Пока ни одна вымогательская группировка не взяла на себя ответственность за атаку.
Вымогатели LockBit взломали детскую больницу Святого Антония в Чикаго.
Преступники потребовали у некоммерческой больницы выкуп в размере 850 тыс. долларов США. Крайний срок установлен на 01:41 UTC 2 февраля. Платеж в размере 1000 долларов США продлит таймер на 24 часа, а 850 688 долларов США — стоимость данных. Они могут быть как уничтожены, так и куплены заинтересованными лицами.
Хакеры взломали компанию AnyDesk, украли исходный код и сертификаты подписи кода.
Взлом был обнаружен после выявления подозрительной активности в системах компании. Аудит безопасности обнаружил компрометацию производственных систем. Подчеркивается, что речь идет не о вымогательской атаке, и расследованием случившегося уже занимаются правоохранительные органы и эксперты ИБ-компании CrowdStrike.
Узнав об инциденте, AnyDesk отозвала все связанные с безопасностью сертификаты, а также восстановила или заменила ряд систем. В компании заверили, что AnyDesk полностью безопасен для клиентов и нет никаких доказательств того, что устройства конечных пользователей пострадали в результате инцидента.
Хотя компания утверждает, что аутентификационные токены не были украдены, в качестве меры предосторожности она сбросила пароли к своему веб-порталу my.anydesk[.]com и рекомендует клиентам как можно скорее сменить пароли, если они использовались на других сайтах.