Обзор новостей информационной безопасности с 24 по 30 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группировка Rare Wolf использует фишинг и легитимное средство слежения Mipko Employee Monitor для атак на российские организации.

Схема действий преступников

1. Злоумышленники рассылают целям фишинговые письма, замаскированные под уведомления об оплате.

2. К каждому письму прилагается архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.

3. После открытия этого файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью атакующие собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram.

4. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.

5. Собранная информация отправляется на подконтрольный хакерам электронный адрес.

6. В скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное ПО для мониторинга действий сотрудников хакеры использовали, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

«Билайн» предупреждает о росте активности телефонных мошенников, стремящихся получить доступ к аккаунтам пользователей сотовой связи.

Схема действий преступников

1. Злоумышленники звонят потенциальным жертвам под видом представителей сотовых операторов и утверждают, что на их телефонный номер была подана заявка на смену оператора.

2. Когда жертва отвечает, что не оставляла подобных заявок, мошенники предлагают «для обеспечения безопасности номера» сменить пароль в личном кабинете.

3. Жертве приходит SMS с кодом сброса пароля с официального номера оператора, который мошенники просят продиктовать.

Таким образом, злоумышленники пытаются получить доступ к номеру жертвы, чтобы иметь возможность входа в личные кабинеты банков, Госуслуг и других сервисов.

Злоумышленники от имени службы поддержки Госуслуг сообщают о проблемах, а потом звонят жертве и выманивают одноразовые коды доступа.

Схема кампании

1. Потенциальная жертва получает по почте, СМС или в мессенджере поддельное уведомление о взломе аккаунта или его блокировке из-за подозрительной активности.

2. В сообщении указан номер телефона, в которого должны позвонить из службы поддержки; пользователь также может сам позвонить на него для ускорения процесса.

3. Во время разговора мошенники просят сообщить код 2FA, якобы для проверки доступа.

4. В некоторых случаях они могут прислать ссылку для загрузки программы, помогающей восстановить доступ. На самом деле это вредонос, который ворует данные либо открывает удаленный доступ к устройству жертвы.

5. Если жертва сообщит код или установит программу, преступники получат доступ к их учётной записи на Госуслугах.

Хакерская группа Silent Ransom Group (SRG), также известная как Luna Moth, использует метод «обратного фишинга» для распространения вредоносного ПО.

Схема кампании

1. Жертве отправляют поддельное уведомление о том, что в ее системе зафиксирована подозрительная активность, а затем присылают ссылку с дальнейшими инструкциями и предлагают позвонить по указанному в сообщении номеру самостоятельно.

2. Оператор, представляющийся сотрудником поддержки, просит пользователя установить программу для удаленного доступа, якобы чтобы поскорее решить проблему. Такие инструменты могут быть абсолютно легальными, но злоумышленники умело эксплуатируют их в своих целях.

3. Вместо традиционных веб-ссылок преступники используют телефонные номера. Сообщения, содержащие эти номера, приходят в виде некликабельных изображений, что позволяет мошенникам «обхитрить» текстовые фильтры.

4. Жертвы связываются либо с посредниками из зарубежных колл-центров, либо напрямую с группировкой, осуществляющей атаку.

5. Конечная цель обратного фишинга заключается в том, чтобы убедить жертву установить вредоносное ПО на свое устройство.

Методы обратного фишинга теперь не требуют использования специализированных троянов или бэкдоров. Вместо этого атакующие используют законные или полузаконные сервисы. После компрометации этих сервисов хакеры могут устанавливать дополнительное вредоносное ПО, скрипты и программы для мониторинга экрана.

Атаки и уязвимости

Новая атака на ChatGPT продемонстрировала, что ИИ может раскрывать личную информацию реальных людей, которая была использована для обучения языковой модели.

Обучающие данные и сгенерированное изображение.

Языковая модель, лежащая в основе ChatGPT, обучалась на огромном количестве данных, взятых из интернета.

Используя запросы к ChatGPT (gpt-3.5- turbo) стоимостью всего 200 долларов, исследователи смогли извлечь более 10 000 уникальных дословно запомненных образцов обучающих данных. Используя более серьёзные бюджеты, злоумышленники смогут извлечь гораздо больше информации.

Атака заключалась в поиске нужных ключевых слов, которые ставят чат-бота в тупик и заставляют разглашать обучающие данные. Хотя внутренние процессы таких чат-ботов вряд ли можно назвать прозрачным, ранее независимые эксперты уже обнаруживали, что определенные запросы и фразы могут привести к странным реакциям со стороны чат-бота и практически выводят его из строя.

Фрагмент диалога с ChatGPT.

Исследователи заставляли ChatGPT бесконечно повторять определенные слова, например, слово «поэма» (poem). Цель заключалась в том, чтобы заставить ИИ «отклониться» от выученной модели поведения чат-бота и «вернуться к первоначальной языковой модели». Хотя большая часть сгенерированного текста, полученного в результате такого противоборства, была бессмыслицей, в некоторых случаях ChatGPT действительно начинал сбоить и в ответ копировал куски напрямую из своих обучающих данных.

Среди «запомненных» LLM и извлеченных исследователями данных были научные статьи, шаблонные тексты с сайтов, а также личная информация десятков реальных людей. Исследователи подтвердили аутентичность информации, составив собственный дата-сет из текстов, взятых из интернета.

В системе мониторинга здоровья коров на молочных фермах обнаружены уязвимости, которые ставят под угрозу здоровье и жизнь животных.

Проблемная система мониторинга состоит из ошейников со встроенными датчиками, которые каждые 5 минут передают данные о двигательной активности коров на приёмное устройство по радиосигналу на частоте 434 МГц. Эта информация позволяет отслеживать возможные проблемы со здоровьем млекопитающих.

Специалистам удалось полностью взломать протокол беспроводной передачи данных с помощью программно-определяемой радиосистемы. Они декодировали сигнал и получили доступ к передаваемой информации.

Отсутствиие защиты позволяет не только перехватывать данные, но и внедрять в систему произвольную ложную информацию. Подмена данных о здоровье и активности животных может привести к неверной диагностике со стороны ветеринаров и ошибочным действиям фермеров при выращивании, разведении и лечении скота. Это грозит финансовыми потерями и даже гибелью животных.

Инциденты

В открытом доступе обнаружена база данных Elasticsearch с данными миллионов пользователей приложения для родительского контроля KidSecurity.

Приложение KidSecurity предоставляет родителям инструменты для отслеживания местоположения детей, прослушивания звука с их устройств, а также возможность устанавливать лимиты на использование гаджетов.

Утечка затронула более 300 млн записей, включая 21 000 номеров телефонов и 31 000 адресов электронной почты. Также частично была раскрыта информация о платежных картах, в том числе первые шесть и последние четыре цифры номера, срок действия карт и банк-эмитент.

Японское агентство аэрокосмических исследований (JAXA) сообщила о кибератаке, в результате которой под угрозой оказались важные космические технологии и данные.

Взлом был обнаружен осенью 2023 года, когда правоохранительные органы предупредили JAXA об атаке и взломе систем.

Подтвердив факт проникновения, генеральный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил, что злоумышленники получили доступ к серверу Active Directory, контролирующему сетевые операции JAXA. На этом сервере хранилась важная информация, в том числе учетные данные сотрудников.

Хотя утечка данных, связанная со взломом, пока не подтверждена официально, один из представителей JAXA выразил обеспокоенность:

«Пока сервер AD был скомпрометирован, вполне вероятно, что большая часть информации была доступна [злоумышленникам]. Это очень серьезная ситуация».

В результате вымогательской атаки на серверы популярной ролевой онлайн-игры Ethyrial: Echoes of Yore были утеряны данные 17 000 игровых аккаунтов.

Злоумышленники полностью зашифровали все файлы на сервере и локальных резервных носителях, а затем потребовали выкуп. Разработчики решили восстанавливать системы вручную, опасаясь, что после оплаты преступники откажутся выполнять условия.

Было уничтожено большинство аккаунтов вместе с персонажами, собранными предметами и достижениями. В своем официальном Discord-канале владельцы пообещали сделать все возможное, чтобы вернуть игрокам их прогресс, а также подарить «эксклюзивного питомца» в качестве компенсации.

Компания Zeroed-In Technologies, занимающаяся аналитикой данных в области управления персоналом, сообщила о возможной утечке данных после хакерской атаки.

Представители компании сообщили, что в результате инцидента были скомпрометированы данные 1,977 млн человек. Хакеры могли получить доступ к именам, датам рождения и номерам социального страхования.

На официальном сайте указано, что компания обслуживает 30 тысяч зарегистрированных пользователей, а общее количество анализируемых профилей достигает 2,7 млн.

Хакеры атаковали системы Zeroed-In 7 августа 2023 года, однако подозрительная активность была обнаружена только на следующий день.

Вымогатели ALPHV/BlackCat повторно атаковали американского медицинского гиганта Henry Schein.

О первой атаке стало известно 15 октября, когда компания отключила некоторые системы для предотвращения дальнейшего распространения вредоносного ПО. В результате атаки могли быть похищены конфиденциальные данные клиентов, включая номера их банковских счетов, кредитных карт.

22 ноября компания сообщила, что некоторые из её приложений и электронная коммерческая платформа снова были отключены в результате новой атаки, за которую также ответственна группа BlackCat.

Компания уже восстановила свою торговую платформу в США и ожидает скорого восстановления работы в Канаде и Европе.

Группа BlackCat добавила Henry Schein на сайт утечек в даркнете и заявила, что взломала сеть компании и украла 35 терабайт конфиденциальных данных. После неудачных переговоров в конце октября они повторно зашифровали устройства компании, когда та уже почти восстановила все свои системы.

Хакеры заявили, что «несмотря на продолжающиеся обсуждения с командой Henry Schein, не получили никаких признаков их готовности приоритизировать безопасность своих клиентов, партнёров и сотрудников, не говоря уже о защите собственной сети».

Власти города Аликиппа, штат Пенсильвания, сообщили, что хакеры взломали систему управления насосной станцией местного водоканала.

В ходе атаки хакеры взяли под контроль систему Unitronics Vision, которая представляет собой программируемый логический контроллер (ПЛК) с интегрированным HMI.

Взломанная система была связана с насосной станцией, которая контролирует и регулирует давление воды в населенных пунктах Раккун и Поттер. Атаку обнаружили быстро, после чего взломанная система была отключена. Представители водоканала подчеркнули, что угрозы перебоев с водоснабжением и подачей питьевой воды нет.

Ответственность за атаку взяла на себя связанная с Ираном хактивистская группировка Cyber Av3ngers. Судя по всему, целью хакеров стала промышленная система управления (ICS), произведенная израильской компанией Unitronics.

Хакеры BlackCat заявили о краже 1 ТБ данных у британской юридической фирмы Sills & Betteridge.

Среди похищенной информации конфиденциальные документы клиентов, личные данные сотрудников и другие важные файлы. Компанию предупредили о том, что большая часть сведений будет обнародована, если руководство не согласится на переговоры в течение 3 дней.

Sills & Betteridge базируется в Линкольне и насчитывает 320 сотрудников. С 2007 года она стала одной из крупнейших в северной Англии. Представители компании пока не комментировали заявления хакеров.

Разработчики мессенджера Line сообщили о киберинциденте, в результате которого были скомпрометированы сотни тысяч записей о пользователях, партнёрах и сотрудниках.

В уведомлении компании говорится, что неавторизованные лица получили доступ к серверам через систему NAVER Cloud Corporation, принадлежащую филиалу компании.

9 октября вирус заразил компьютер сотрудника филиала, а 17 компания LY Corporation, управляющая приложением Line, установила, что есть «высокая вероятность» несанкционированного доступа извне к системам приложения.

Злоумышленники получили доступ к сотням тысяч записей с данными пользователей, сотрудников и деловых партнеров, которые содержали :

• активность голосовых звонков пользователей;
• сведения о диалогах (включая страну, пол, возрастную группу и операционную систему отправителей и получателей);
• сведения о публикации контента, включая время и даты;
• общее количество подписчиков/друзей пользователей;
• время начала и окончания опубликованных видео.

Скомпрометированные данные включают информацию о пользователях, деловых партнерах и сотрудниках, в том числе 302 569 записей о пользователях, 86 105 записей о партнерах и 51 353 записей о сотрудниках и персонале, включая имена, номера трудовых книжек и адреса электронной почты. Компания утверждает, что утекшие данные не включали информацию о банковских счетах, кредитных картах или чатах в приложении Line.

Неизвестный шифровальщик парализовал работу IT-cистем энергетической компании HSE, крупнейшего поставщика электроэнергии в Словении.

Злоумышленники смогли проникнуть в системы безопасности и управления технологическими процессами. Признаки взлома были впервые обнаружены вечером 22 ноября. Инцидент стали расследовать штатные специалисты, но к 24 ноября ситуация ухудшилась. Вредоносная программа активизировалась и начала стремительно распространяться по корпоративной сети. К этому моменту к ликвидации последствий кибератаки уже подключилось правительство Словении.

По данным HSE, несмотря на серьезность проблемы, производственные мощности, включая тепловые и гидроэлектростанции, продолжают функционировать в штатном режиме. Угрозы сбоев в энергоснабжении страны на данный момент нет.

Источник заражения пока не установлен.

Атака кибервымогателей вызвала перебои в работе шести медицинских учреждений, принадлежащих сети Ardent Health Services (AHS). Медцентрам пришлось перенаправлять пациентов отделения неотложной помощи в другие учреждения.

Особенно остро проблема ощущалась в медицинском центре Mountainside в Монтклэре, персонал скорой помощи и пациенты, поступающие в отделение неотложной помощи, были перенаправлены в другие учреждения. Представитель больницы сообщил, что перенаправление было вызвано кибератакой, а управляющая больницей компания Ardent Health Services подтвердила эту информацию.

По данным Ardent Health, киберинцидент был обнаружен 23 ноября. Компания приняла меры по защите данных и отключила сеть. Были привлечены сторонние специалисты, и сейчас ведётся работа по восстановлению сети. Ardent Health также сообщила о кибератаке правоохранительным органам. На данный момент сети ещё не восстановлены полностью. Расследование и восстановление доступа к электронным медицинским записям и другим клиническим системам продолжается.

Пока неизвестно, были ли скомпрометированы медицинские или финансовые данные пациентов. По неподтверждённым официально сведениям, атаку провели вымогатели Black Suit.

Хакерская атака на компанию CTS, крупнейшего поставщика IT-услуг в Великобритании, вызвала сбои в работе множества юридических контор и нарушила процесс купли-продажи недвижимости по всей стране.

Специалисты уже восстанавливают поврежденную инфраструктуру, но пока неизвестно, когда именно системы вернутся в строй. Пострадавших информируют об угрозе «через специальные каналы связи»

По предварительным оценкам, с проблемами столкнулись от 80 до 200 компаний.
Одна из компаний-партнеров, заявила, что «перебои коснулись множества организаций в отрасли, поскольку наш провайдер специализируется на системах информационной безопасности для юридических контор и адвокатов».

Информация о характере атаки и конкретных затронутых сервисах CTS не разглашается. Косвенные признаки указывают на активность вымогательского ПО.

Американская страховая компания Fidelity National Financial (FNF) подтвердила факт кибератаки.

Отключение ИТ-систем из-за атаки нарушило работу страховщиков недвижимости, эскроу-сервисов и предоставление других услуг, связанных со сделками с недвижимостью и ипотекой.

Ответственность за атаку взяла на себя группа ALPHV/BlackCat. Детали атаки пока не раскрываются. Хакеры опубликовала сообщение, в котором раскритиковали специалистов по реагированию на инциденты Mandiant за их бездействие. Группа также объявила, что даст компании FNF дополнительное время для связи с вымогателями перед раскрытием дополнительной информации о характере атаки.

Эксперты предполагают, что проникновение в системы FNF могло произойти через уязвимость в устройствах Citrix Netscaler, известную как CitrixBleed (CVE-2023-4966).

Обзор новостей информационной безопасности с 17 по 23 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости

Обнаружены несколько уязвимостей, позволяющих обойти аутентификацию Windows Hello на ноутбуках Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X.

Источником проблем стали датчики отпечатков пальцев от Goodix, Synaptics и ELAN, встроенные в устройства.

Выяснилось, что биометрическая аутентификация не работает, она обходится при помощи особого USB-устройства, позволяющего получить доступ к ноутбукам, оборудованными этими сенсорами при условии, что предварительно пользователи уже задействовали сервис Windows Hello для идентификации.

Инциденты

Вымогательская атака парализовала работу британской коллекторской компании London & Zurich. В результате у некоторых клиентов образовались крупные задолженности, и они были вынуждены обратиться в микрофинансовые организации.

Атака привела к значительным нарушениям в работе системы сбора платежей. По информации источников, клиенты компании не могли обрабатывать большинство своих платежей, а у одного из сервисных провайдеров и вовсе накопилась задолженность более 124 000 долларов США.

Компания не торопилась с уведомлением клиентов о проблемах. Сначала на странице статуса указывалось, что портал должен полностью восстановить свою работу к 23 ноября, однако в отправленных клиентам оповещениях говорится о возможности совершения платежей лишь с 28 ноября.

Группировка SiegedSec взломала национальную лабораторию Министерства энергетики США в Айдахо (Idaho National Laboratory, INL) и опубликовала украденные данные. Представители лаборатории уже подтвердили, что подверглись кибератаке.

INL представляет собой центр ядерных исследований, которым управляет Министерство энергетики США. В лаборатории работают более 5700 специалистов, а на территории комплекса, площадью 2310 квадратных километров, расположено 50 экспериментальных ядерных реакторов, и это крупнейшее скопление ядерных реакторов в мире.

В начале текущей недели группировка SiegedSec заявила, что получила доступ к данным INL, включая подробную информацию о «сотнях тысяч» сотрудников, пользователей системы и простых граждан.

Среди обнародованных файлов есть подробный список недавних увольнений и причин для них. Другие документы содержат более 6000 актуальных номеров соцстрахования. По состоянию на октябрь 2022 года в лаборатории работало около 5500 человек. Ещё один файл насчитывает более 58 000 строк данных о действующих, уволенных и бывших сотрудниках. Часть информации в украденных файлах датирована 31 октября 2023 года.

Опубликованные группировкой данные содержат:

• ФИО;
• даты рождения;
• адреса электронной почты;
• номера телефонов;
• номера социального страхования (SSN);
• физические адреса;
• данные о трудоустройстве.

Французская организация SIAAP, управляющая очисткой сточных вод для девяти миллионов жителей Парижа и его окрестностей, стала жертвой масштабной кибератаки.

В первые 48 часов после инцидента команды IT-специалистов сосредоточились на максимальной защите промышленных информационных систем. Кроме того, было принято решение об отключении всех внешних компьютерных и цифровых подключений SIAAP, чтобы минимизировать риск распространения атаки.

Основной задачей организации стало поддержание работы водоотведения для жителей Иль-де-Франс. Власти подчеркнули, что продолжают работать в усиленном режиме, чтобы восстановить нормальную деятельность.

Пока ни одна хакерская группировка не признала свою причастность к атаке.

Канадское правительство сообщило о взломе его информационных систем, в результате которого хакеры получили доступ к данным властей за последние 24 года.

Взломы затронули компании Brookfield Global Relocation Services (BGRS) и SIRVA Worldwide Relocation & Moving Services, предоставляющие услуги переезда для канадских чиновников.

Во взломанных системах BGRS и SIRVA хранилась информация обо всех лицах, которые пользовались услугами по переезду, начиная с 1999 года. Данные принадлежали широкому кругу лиц, в том числе сотрудникам Королевской канадской конной полиции, военнослужащим и работникам правительства.

Ответственность за атаку взяла на себя вымогательская группировка LockBit. На своем сайте злоумышленники опубликовали часть украденных данных общим объемом 1,5 Тб и пригрозили дальнейшими утечками.

Переговоры преступников с представителями SIRVA не увенчались успехом. Вымогатели заявили:

«Sirva.com утверждает, что их данные стоят всего 1 миллион долларов. Но у нас есть более 1,5 ТБ украденных документов + 3 полные резервные копии CRM филиалов (Европейский союз, Северная Америка и Австралия)».

Вымогатели Rhysida взяла на себя ответственность за кибератаку на национальную библиотеку Великобритании.

На прошлой неделе Британская библиотека подтвердила, что причиной масштабного сбоя в ее работе стала вымогательская атака. Злоумышленники зашифровали системы библиотеки в субботу 28 октября. Возникший в результате этого сбой продолжает оказывать влияние на работу онлайновых систем, сервисов и Wi-Fi сетей Британской библиотеки — сайт учреждения не работает уже три недели после атаки.

Операторы Rhysida выставили данные, похищенные у национальной библиотеки Великобритании, на аукцион. В течение недели группировка принимает ставки от заинтересованных в покупке лиц:

«Осталось всего семь дней, воспользуйтесь возможностью сделать ставку на эксклюзивные, уникальные и интересные данные. Открывайте свои кошельки и будьте готовы к покупке эксклюзивных данных. Мы продаем только в одни руки, никаких перепродаж, вы будете единственным владельцем».

Аналитики компании SafetyDetectives обнаружили масштабную утечку документов о вакцинации более 2 миллионов граждан Турции. Злоумышленники выложили информацию на хакерском форуме еще 10 сентября, однако несанкционированный доступ данным был получен еще 4 апреля 2023 года.

Среди похищенной информации — даты рождения, личные идентификационные номера врачей, даты прививок, типы вакцин, детали о цепочках поставок, адреса больниц, часть паспортных данных пациентов.

Общее количество идентификаторов врачей в утекшей базе составляет примерно 125 000. Принимая во внимание, что в 2021 году в Турции было зарегистрировано свыше 183 000 медиков, можно заключить, что жертвами стали примерно 70% от их общего числа.

Аналитики полагают, что скорее всего утечка произошла в результате взлома одной из государственных медицинских информационных систем. Специалисты убеждены в подлинности полученных хакерами сведений.

Вымогательская группировка INC взломала японского производителя мототехники Yamaha Motor и американскую медицинскую организацию WellLife Network. Жертвы подтвердили кибератаки после того, как данные компаний были опубликованы на сайте утечек.

Yamaha Motor 16-го ноября объявила, что сервер филиала на Филиппинах был атакован вымогателями в конце октября. В результате атаки была раскрыта личная информация сотрудников.

Компания отметила, что понадобится больше времени, чтобы оценить полный объем ущерба. Об инциденте было доложено властям Филиппин ещё 27 октября, а недавно компания подтвердила утечку данных сотрудников.

В заявлении Yamaha Motor говорится, что атака задела буквально один из серверов компании и не затронула центральный офис или другие компании группы Yamaha Motor. Тем не менее, технические специалисты тщательно следят за ситуацией, проявляя повышенную бдительность.

Власти города Лонг-Бич, штат Калифорния, сообщили о кибератаке, из-за которой пришлось отключить значительную часть городских информационных ресурсов.

На городском сайте сообщается: «Системы электронной почты и телефонии города будут работать в обычном режиме. Ратуша и другие городские учреждения, работающие с населением, также функционируют по расписанию. Обновления о текущем состоянии работы конкретных цифровых сервисов будут доступны в ближайшее время.»

Власти прилагают все усилия для устранения последствий инцидента и призывают общественность к пониманию и терпению в связи с возникшими неудобствами. Жителей также уверяют, что экстренные службы продолжают работать без перебоев.

Пока неясно, какие цели преследовали злоумышленники и что за инструменты использовали для достижения своих целей. Но косвенные признаки указывают на то, что в атаке было задействовано вымогательское ПО.

Вымогательская группировка Play взломала Центр предварительного заключения Дональда Уайата в городке Сентрал-Фолс, штат Род-Айленд и похитила конфиденциальные сведения о заключенных и сотрудниках.

Компания Play не стала раскрывать объем похищенных данных. Вместо этого в объявлении стоят три вопросительных знака «???», за которыми следует символ гигабайта.

Банда обещала опубликовать все имеющиеся данные к 19 ноября.

В отличие от федеральной тюрьмы, в центре содержания под стражей штата содержатся заключенные, которым еще не предъявлено обвинение, отказано в освобождении под залог или которые ожидают суда.

Досье на заключенных, особенно на тех, кто может быть признан невиновным, — настоящий клад для хакеров, поскольку эту информацию они могут использовать для шантажа.

Обзор новостей информационной безопасности с 10 по 16 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники выманивают деньги, используя функцию викторин в Google Forms для генерации спамерских сообщений.

Схема действий преступников

1. Спамеры обнаружили, что можно создать новую викторину в Google Forms, а затем использовать email-адрес жертвы для ее прохождения. После этого можно начинать рассылку вредоносных писем с помощью функции, которая позволяет узнать результаты викторины. При этом не имеет значения, были ли получены ответы на вопросы теста.

Викторина с адресами потенциальных жертв

2. В таких спам-сообщениях может содержаться любой текст или URL. Поскольку формально письма приходят от компании Google, они имеют все шансы попасть в почтовый ящик жертвы, минуя средства защиты от спама.

Спамерское письмо из изученной вредоносной кампании

3. В одной из кампаний хакеры рассылали письма с фейковыми результатами викторин, чтобы направить потенциальных жертв на сайт, где утверждалось, что они могут получить более 1,3 BTC (около 46 000 долларов США), заработанных с помощью «автоматического облачного майнинга биткоинов».

4. Сам сайт и форма входа на нем выглядят вполне правдоподобно: потенциальная жертва видит заранее заполненные имя пользователя и пароль.

5. На сайте имеется групповой чат, в котором пользователи якобы обсуждают темы, связанные с криптовалютами. Однако все комментирующие в этом чате — фальшивка, а одни и те же комментарии повторяются.

6. Все, кто пытался получить биткоины с этого сайта, перенаправлялись в чат с менеджером по имени София. Та собирала персональные данные жертв и просила их заплатить «комиссию за обмен» в размере 64 долларов в биткоинах, чтобы получить окончательную выплату.

7. Сбор этой «небольшой комиссии», по-видимому, и был основной целью кампании.

Банк России предупреждает о новой мошеннической схеме, в которой злоумышленники маскируются под сотрудников регулятора.

Схема действий преступников

1. В популярных мессенджерах мошенники создают поддельные аккаунты руководителей ЦБ. Они выглядят убедительно, содержат реальные фамилию, имя, отчество, фото.

2. Используя фальшивые аккаунты, злоумышленники отправляют сообщения руководителям различных крупных компаний или государственных органов, а также их заместителям.

3. В сообщениях лжесотрудники просят помочь, например, в задержании аферистов в кредитной организации. Затем собеседник в мессенджере предупреждает о скором звонке уполномоченного сотрудника из профильного министерства. Он рекомендует следовать инструкциям звонящего, а о факте разговора никому не рассказывать.

4. После этого злоумышленники звонят потенциальной жертве и под различными предлогами пытаются заполучить доступ к банковским данным или убеждают добровольно перевести деньги на подконтрольные мошенникам счета.

Атаки и уязвимости

Новая атака CacheWarp позволяет злоумышленникам взламывать виртуальные машины, защищенные технологией AMD SEV (Secure Encrypted Virtualization), используя запись в память для повышения привилегий и удаленного выполнения кода.

Технология Secure Encrypted Virtualization (SEV) была представлена вместе с релизом процессоров EPYC. Это аппаратная функция, шифрующая память для каждой виртуальной машины таким образом, чтобы только сам гость имел доступ к данным. В итоге информация оказывается защищена от других VM, контейнеров и недоверенного гипервизора шифрованием.

Атака использует уязвимость CVE-2023-20592 и эксплуатирует недостатки технологий AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) и Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP), которые предназначены для защиты от вредоносных гипервизоров и уменьшения рисков атак на виртуальные машины путем шифрования данных виртуальных машин и блокирования любых попыток их изменения.

В случае успешной атаки злоумышленники могут, например, вернуть переменные, используемые для аутентификации, к предыдущей версии, что позволит им перехватить предыдущий сеанс аутентификации, захватив контроль над виртуальной машиной.

Инциденты

Concevis, крупный швейцарский поставщик программных решений для правительства, финансового сектора и промышленных компаний, стал жертвой вымогательской атаки.

Злоумышленники похитили конфиденциальную информацию и зашифровали все серверы Concevis. Федеральный совет Швейцарии оперативно отреагировал на произошедшее и опубликовал соответствующий пресс-релиз на своём официальном сайте.

Concevis отказалась выплачивать запрошенный хакерами денежный выкуп. Преступники угрожают публикацией украденных данных в даркнете.

Американское подразделение одной из крупнейших кредитных организаций мира, Торгово-промышленного банка Китая (Industrial and Commercial Bank of China, ICBC), подверглось масштабной атаке кибервымогателей LockBit.

В результате атаки у ICBC прекратила функционировать корпоративная почта, сотрудникам пришлось пользоваться почтовым сервисом Google. Кроме того, банк не смог провести ряд финансовых операций.

Атака повлияла на американское подразделение ICBC, помешав торгам на рынке казначейских облигаций. Банк разослал трейдерам экстренное уведомление:

«В настоящее время ICBC не может подключиться к DTCC/NSCC. Проблема затрагивает всех клиентов ICBC по клирингу, включая [censored]. В связи с этим [censored] временно приостанавливает все входящие FIX-соединения и в данный момент не принимает заявки. Мы находимся в тесном контакте с ICBC и сообщим, как только проблема будет решена».

Ситуация была настолько критична, что из-за неё ICBC задолжал банку BNY Mellon около 9 млрд долларов США. В результате, как сообщается, руководство банка решило удовлетворить требования преступников, чтобы как можно скорее восстановить доступ к ценным архивам.

Представитель хакерской группы Lockbit рассказал журналистам, что банк заплатил выкуп и дело закрыто, но официально эту информацию пока не подтвердили.

Компания Moneris, обрабатывающая платежи для McDonald’s, Starbucks и IKEA, стала жертвой вымогателей Medusa.

В сообщении на сайте утечек приведены образцы украденных данных. Предоставленные хакерами скриншоты включают переписку по электронной почте, данные о транзакциях и другую конфиденциальную информацию. Преступники требуют от компании выкуп в размере 6 млн долларов США за возврат украденных данных.

Пост на сайте утечек Medusa

В Moneris подтвердили попытку атаки на компанию, но заявили, что проникновение было предотвращено ИБ-специалистами фирмы и что ни компания, ни клиенты не пострадали от кибератаки. После попытки атаки компания провела полный аудит и анализ инцидента и пришла к выводу, что ни одна из политик по предотвращению утечек данных фирмы не была активирована.

Аналитик киберугроз из компании Emsisoft Рэд Кэллоу, обнаруживший пост вымогателей, заявил, что атака, вероятно, стала причиной отключения систем Moneris в сентябре, которое продлилось около 90 минут.

Неизвестные хакеры взломали компанию Coin Cloud, которая до своего банкротства в феврале 2023 года управляла сетью из более 4000 биткоин-банкоматов в США и Бразилии.

Злоумышленники заявляют, что похитили 70 тысяч селфи и личные данные 300 тысяч клиентов Coin Cloud. В качестве доказательства они опубликовали несколько скриншотов с данными клиентов, включая номера социального страхования, имя, адрес, дату рождения и другие сведения.

Киберпреступники также заявили, что украли исходный код внутренней системы Coin Cloud и вскоре планируют выложить утечку в открытый доступ.

Из-за кибератаки австралийский филиал дубайского портового оператора DP World был вынужден приостановить работу контейнерных терминалов в Сиднее, Мельбурне, Брисбене и Фримантле.

Почти 30 000 транспортных контейнеров с потребительскими товарами застряли в портах Австралии.

После обнаружения атаки компания отключила свои системы от интернета, и корабли могли осуществлять разгрузку, однако грузы не могли покинуть порт. И хотя в настоящее время работа портов уже восстанавливается, согласно заявлениям компании, инцидент пока не исчерпан до конца.

Национальный координатор по вопросам кибербезопасности Австралии Даррен Голди (Darren Goldie) назвал атаку на DP World, управляющую примерно 40% грузов, идущих в страну и из нее, «киберинцидентом национального масштаба». По его словам, перебои в работе портового оператора будут длиться еще несколько недель, а не дней.

DP World не поделилась никакой информацией о самой атаке, поэтому пока неясно, какая группировка может стоять за этим инцидентом.

Неизвестные хакеры похитили у криптовалютной биржи Poloniex более 100 млн долларов США в Ethereum, Bitcoin и Tron.

Представители платформы подтвердили факт взлома в социальных сетях, заявив, что уже расследуют этот инцидент и планируют полностью возместить убытки всем, кто пострадал из-за случившегося.

Точная сумма украденных средств пока неизвестна и оценивается исследователями по-разному. К примеру, специалисты PeckShield заявили, что у Poloniex украли около 125 млн долларов США, включая ETH на 56 млн долларов США, TRX на 48 млн долларов США и BTC на 18 млн долларов США. Аналитики Slow Mist, подсчитали, что общий ущерб превышает 130 млн долларов США, так как во время инцидента также были похищены менее ценные коины, общая стоимость которых составляет миллионы долларов США.

Представители Poloniex опубликовали официальное общение к неизвестным хакерам, в котором предложили им награду в размере 5% от украденных активов в обмен на возврат всех средств.

Группа вымогателей Lorenz объявила о взломе техасской больницы Cogdell Memorial Hospital и публикации украденных данных.

В начале ноября больница сообщала о «сбое в компьютерной сети», из-за чего был ограничен доступ к некоторым её системам и серьёзно нарушена работа телефонной связи. После этого больница отключила сетевое подключение, но продолжала оказывать большинство стандартных услуг.

Ответственность за кибератаку взяли на себя хакеры Lorenz, опубликовавшие информацию о больнице на своём сайте утечек в сети Tor. Преступники заявили, что им удалось похитить более 400 ГБ данных, включая внутренние файлы, медицинские изображения пациентов и электронную переписку сотрудников.

Вымогатели взломали сайт Dolly.com, на котором можно заказать услуги по переезду и доставке, и похитили данные клиентов и другую конфиденциальную информацию.

Хакеры разместили информацию о взломе платформы на одном из киберпреступных форумов, известном как место сбора операторов вымогательского ПО и торговцев украденными данными.

Среди похищенных данных присутствуют:

• имена и адреса клиентов;
• адреса;
• даты регистрации;
• электронные адреса;
• информация о кредитных картах;
• данные для входа в учётные записи высокого уровня;
• прочие системные данные.

Злоумышленники утверждают, что им доступна вся информация по кредитным картам пользователей. Кроме того, в сообщении на форуме указаны точки входа для экземпляров MongoDB на облачной платформе AWS, а также данные администраторов внутренних систем Dolly.com.

Проникновение в системы Dolly произошло в конце августа или начале сентября. Опубликованная хакерами переписка от седьмого сентября свидетельствует о согласии руководства Dolly.com на оплату выкупа в обмен на уничтожение похищенной информации.

Несмотря на уплату выкупа, преступники не выполнили свои обещания и опубликовали украденную информацию, а также переписку с представителями компании, заявив, что размер выплаты их не устроил. Обиженные слишком маленьким выкупом хакеры загрузили украденные данные на форум, где они были доступны для свободного скачивания в течение недели.

Группировка LockBit выложила в открытый доступ похищенные у компании Boeing даннные.

Причиной публикации, по словам хакеров, стало то, что компания Boeing проигнорировала предупреждения о том, что данные будут опубликованы в открытом доступе в случае невыплаты выкупа. В итоге LockBit обнародовала на своем сайт в даркнете около 50 ГБ информации.

Большая часть этих данных представляет собой резервные копии различных систем Boeing, новейшая из которых датирована 22 октября 2023 года, а также логи инструментов мониторинга и аудита.

В опубликованный дамп попали резервные копии с устройств Citrix, которые показывают, что операторы LockBit могли использовать для взлома корпорации недавно обнаруженную уязвимость Citrix Bleed (CVE-2023-4966).

Американская компания Tyson Foods, ведущий мировой производитель мяса, стала жертвой вымогателей Snatch.

Какие данные были украдены, пока неизвестно. Не разглашается также сумма, которую требуют злоумышленники в качестве выкупа. В своём Telegram-канале Snatch пишут, что получили доступ к информации о стратегических планах Tyson Foods.

Инцидент ставит под угрозу конфиденциальность корпоративных данных компании, в штате которой более 142 тысяч сотрудников, а годовой оборот превышает 53 млрд долларов США. Tyson Foods поставляет продукцию для крупных сетей быстрого питания, известных по всему миру, включая KFC, Taco Bell, McDonald’s и Burger King.

Компания Henry Schein, крупнейший дистрибьютор медицинских товаров, официально подтвердила утечку данных из-за атаки вымогателей ALPHV/BlackCat.

В уведомлениях клиентам и поставщикам от 13 ноября сообщается, что злоумышленники получили доступ к такой конфиденциальной информации, как реквизиты банковских счетов и данные кредитных карт.

Всем пострадавшим рекомендуют срочно сменить пароли от банковских аккаунтов, усилить защиту транзакций и проверить последние списания. Поставщикам также советуют временно заблокировать корпоративные счета.

Атака привела к нарушениям работы веб-сайта компании и затронула часть её производственных и логистических процессов. IT-отделу пришлось отключить ряд ключевых компьютерных систем. Клиенты начали жаловаться на то, что заказы приходилось делать по телефону, а не онлайн. Серьезно пострадали логистические цепи, что сказалось на прибыли организации.

Хакеры заявляли, что им удалось похитить 35 терабайт чувствительных данных и грозились опубликовать их на своем сайте к 3 ноября. В одном из заявлений группы также говорится, что в их руках оказались сведения о зарплате сотрудников и документы акционеров, что на тот момент невозможно было подтвердить.

2 ноября вымогатели сообщили в своем блоге, что они повторно зашифровали системы компании из-за, по всей видимости, срыва переговоров.

Через несколько дней Henry Schein исчезла с сайта утечек ALPHV/BlackCat, что породило предположения о том, что компания пошла на уступки и выплатила выкуп. Тем не менее, до недавнего времени компания продолжала называть случившееся обычным киберинцидентом и отказывались признавать факт утечки.