Обзор новостей информационной безопасности с 15 по 21 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Жители Швейцарии массово сообщают о получении мошеннических бумажных писем с вредоносным QR-кодом.

Особенности кампании

1. Жертва получает бумажное письмо якобы от Федерального офиса метеорологии и климатологии MeteoSwiss.

2. В письме предлагается скачать «приложение для предупреждения о погодных катастрофах» с помощью QR-кода. Однако вместо приложения на смартфон загружается вредоносное ПО.

3. Мошенники пытаются загрузить на телефоны пользователей вирус под названием «Coper» (или «Octo2»), который крадёт данные более чем из 380 приложений, включая банковские.

4. Приложение маскируется под официальное приложение Alertswiss, используемое для оповещения населения.

5. Вредоносное ПО нацелено исключительно на устройства с операционной системой Android.

6. Как только вирус оказывается на смартфоне, он пытается получить доступ к  учётным записям и банковским паролям жертвы.

Хакеры Hive0145 проводят фишинговые атаки по всей Европе, используя вредоносный софт Strela Stealer для кражи конфиденциальных данных из электронной почты.

Особенности кампании

1. Атаки нацелена в первую очередь на Испанию, Германию и Украину.

2. Злоумышленники рассылают фишинговые письма с поддельными, но настоящими счетами-фактурами, чтобы обмануть получателей и повысить успешность заражения.

3. Вместо простых фишинговых сообщений хакеры начали использовать реальные письма со взломанными вложениями. Такой метод повышает доверие к письму, так как оригинальный контент не меняется. Ранее подобные подходы применяли группировки вроде Emotet.

4. Чтобы обойти системы безопасности, киберпреступники начали использовать редкие типы файлов, такие как «.com» и «.pif», а также сложные скрипты для обхода защиты.

Инциденты

На BreachForums опубликовали 44 тыс. записей с информацией о клиентах Ford.

Хакер с ником EnergyWeaponUser заявил, что они с IntelBroker взломали компанию Ford в ноябре 2024 года и похитили данные.

В открытый доступ попали полные имена клиентов Ford, их физические адреса, данные о покупках, информация о дилерах и временные метки.

Злоумышленники даже не пытались продать данные и сразу сделали их доступными для всех зарегистрированных пользователей сайта всего за 2 доллара США.

Злоумышленники проникли в инфраструктуру Auchan и украли данные 500 тысяч участников программы лояльности.

В распоряжении злоумышленников оказались имена, фамилии, адреса электронной почты, домашние адреса, номера телефонов, состав семьи, даты рождения, номера карт лояльности и суммы бонусов. Согласно официальному заявлению пострадавшей компании, реквизиты платёжных карт инцидент не затронул.

Компания предприняла дополнительные меры для того, чтобы злоумышленники не смогли воспользоваться доставшимися им бонусными баллами. Покупателей призвали усилить бдительность в связи с возможной мошеннической активностью.

Американский производитель спутников Maxar Technologies подтвердил утечку данных.

Злоумышленник проник в сеть Maxar и получил доступ к файлам с личными данными сотрудников. Точное местоположение хакера пока не установлено.

Компания обнаружила утечку 11 октября и предприняла оперативные меры для предотвращения дальнейшего несанкционированного доступа. Однако, согласно результатам внутреннего расследования, хакер имел доступ к данным в течение недели до блокировки системы.

Среди скомпрометированной информации о сотрудниках оказались: имя, пол, адрес, номер социального страхования (SSN), контактные данные, должность, статус занятости, контакты руководителя, филиал компании, персональный номер сотрудника.

Компания настаивает, что информация о банковских счетах не была раскрыта.

В результате киберинцидента опустели полки магазинов Ahold Delhaize, крупнейшего продуктового ритейлера на восточном побережье США.

8 ноября Ahold Delhaize USA опубликовала заявление, что её внутренние сети подверглись кибератаке. В целях минимизации ущерба были привлечены эксперты по кибербезопасности, а некоторые системы временно отключены. Инцидент затронул работу аптек и онлайн-платформ компании.

Представители компании заявили, что магазины продолжают обслуживать покупателей, однако пользователи в социальных сетях жалуются на отсутствие товаров и растерянность сотрудников на местах.

Согласно публикациям в местных СМИ, в магазинах сети Stop & Shop, расположенных в штате Массачусетс, наблюдаются серьёзные перебои с поставками. Менеджеры магазинов объясняют ситуацию проблемами с логистикой из-за кибератаки, что привело к задержкам в доставке продукции.

Компания не раскрыла, были ли утечки данных клиентов или сотрудников. Пока ни одна хакерская группа не взяла на себя ответственность за инцидент.

Вымогательская группировка RansomHub заявила о взломе официального сайта федерального правительства Мексики gob.mx и хищении 313 ГБ данных.

Среди украденной информации — контракты, страховые документы, финансовая отчётность и конфиденциальные файлы. Хакеры дали правительству десять дней на выплату выкупа, иначе обещают опубликовать все похищенные материалы.

На своём сайте RansomHub также опубликовала более 50 образцов похищенных файлов. В этих образцах содержатся полные имена сотрудников, должности, адреса электронной почты, а также фотографии и внутренние идентификационные номера.

Среди документов — подписанные бумаги от 2023 года, например, обращения к директору по IT и коммуникациям Мексики Марио Гавине Моралесу и контракт на транспортные услуги на сумму около 100 тысяч долларов США.