Обзор новостей информационной безопасности с 20 по 26 октября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В Google Ads обнаружили вредоносную рекламную кампанию, продвигающую фальшивый сайт менеджера паролей KeePass.

Вредоносная реклама

Схема кампании

1. Злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass.info), но с использованием символа «ķ».

2. Этот вредоносный домен продвигали в рекламе через Google Ads, имитируя рекламу настоящего KeePass.

3. Если жертва не замечала ничего странного и кликала по такому объявлению мошенников, срабатывал редирект, который проверял, что жертва не является краулером, ботом, не использует песочницу и так далее, после чего пользователь попадал на поддельный сайт https://xn--eepass-vbb[.]info.

Настоящий сайт (слева) и фальшивка (справа)

4. На сайте мошенников, который прикидывался официальным сайтом KeePass, пользователю предлагали скачать «менеджер паролей».

5. Нажатие на любую ссылку для скачивания приводило к загрузке подписанного установщика MSI с названием KeePass-2.55-Setup.msix, который содержал PowerShell-скрипт, связанный с загрузчиком малвари FakeBat.

6. В качестве «полезной нагрузки» FakeBat устанавливал на компьютер инфостилеры Redline, Ursniff и Rhadamathys.

Обнаружена вредоносная кампания GoPIX, направленная против бразильских пользователей WhatsApp.

Схема кампании

1. Атака начинается c вредоносной рекламы, которая показывается пользователям, ищущим «WhatsApp Web» в поисковых системах.

2. При клике на такую рекламу пользователь перенаправляется на страницу с вредоносным ПО.

3. Вредоносная программа может быть загружена сразу с двух разных URL-адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя. Этот порт используется программным обеспечением Avast Safe Banking.

4. При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий LNK-файл, в который встроен запутанный скрипт PowerShell, который и загружает следующий этап заражения.

5. Если порт закрыт, загружается и выполняется установочный пакет NSIS.

6. Установщик извлекает и запускает вредоносную программу GoPIX, используя метод, называемый «Process Hollowing». Хакеры запускают системный процесс «svchost.exe» в приостановленном состоянии и вводят в него вредоносный код.

7. GoPIX функционирует как вредоносное ПО, крадущее данные из буфера обмена. Оно перехватывает запросы на платежи PIX и заменяет их данными, контролируемыми злоумышленниками.

8. Вредоносное ПО также поддерживает подмену адресов кошельков Bitcoin и Ethereum. Они жёстко закодированы во вредоносном ПО и не извлекаются с сервера управления.

Атаки и уязвимости

Разработана атака iLeakage, которая заставляет браузер Safari раскрывать пароли, содержание сообщений Gmail и другие секреты, эксплуатируя уязвимость в процессорах серий A и M, использующихся в современных устройствах iOS и macOS.

Атака по сторонним каналам (Side-channel attack), получившая название iLeakage, требует минимальных ресурсов для выполнения, но предполагает глубокое изучение аппаратных средств Apple и опыт эксплуатации уязвимостей в практической реализации криптосистемы. Основной механизм уязвимости связан со спекулятивным выполнением — функцией, предназначенной для увеличения производительности современных процессоров.

На видео ниже показано, как с помощью атаки iLeakage были получены сообщения Gmail в Safari на iPad. Основным условием работы атаки является взаимодействие пользователя-жертвы со страницей злоумышленника.

Атака iLeakage реализована в виде веб-сайта, на котором также представлены видео с демонстрацией разных вариантов атаки. Когда пользователь уязвимого устройства на macOS или iOS посещает сайт, iLeakage с помощью JavaScript тайно открывает другой сайт на выбор злоумышленника и восстанавливает содержание сайта, отображенное во всплывающем окне.

Исследователи успешно использовали iLeakage для получения истории просмотров на YouTube, содержимого почтового ящика Gmail и автоматически заполняемых паролей.

Чтобы атака сработала, уязвимый компьютер должен сначала посетить веб-сайт iLeakage. При одновременном входе в свою учетную запись на скомпрометированном веб-сайте и на сайте злоумышленника потребуется около 5 минут для анализа посещающего устройства. Затем iLeakage может заставить браузер открыть любой другой сайт и начать передавать определенные данные со скоростью от 24 до 34 бит в секунду.

Аналогичным способом исследователи получили пароль от тестового аккаунта Instagram, который был автоматически заполнен в браузере Safari с помощью сервиса управления паролями LastPass.

Инциденты

Группа хакеров Hunters International требует выкуп, угрожая опубликовать предоперационные фотографии обнажённых пациенток американской клиники пластической хирургии.

Hunters International опубликовали в соцсети X 4 фотографии девушек, утверждая, что это пациенты доктора Хайме Шварца, пластического хирурга из Беверли-Хиллз и Дубая. Эту публикацию они сделали, чтобы доказать кражу 248 245 файлов из клиники.

В следующем сообщении группа заявила, что скоро опубликует электронные письма пациентов. На данный момент клиника не предоставила комментариев по инциденту.

Из-за кибератаки на сервис-провайдера TransForm, который обслуживает ИТ-системы пяти больниц в Канаде, пациенты столкнулись с задержками в лечении, а некоторые приемы были перенесены.

TransForm заявил, что информационные системы фирмы испытывают проблемы из-за кибератаки. Организация призывает пациентов, у которых запланированы приемы на ближайшие дни, быть готовыми к тому, что приёмы могут перенести на другую дату. Пока еще неизвестно, подверглась ли утечке какая-либо информация о пациентах.

Пострадавшие больницы:

• Windsor Regional Hospital — одна из крупнейших больниц региона для неотложной помощи;
• Hotel Dieu Grace — учреждение комплексной медицинской, психиатрической и реабилитационной помощи;
• Erie Shores Healthcare — крупный медицинский центр региона;
• Hospice of Windsor-Essex — учреждение по уходу за пожилыми людьми;
• Chatham-Kent Health Alliance — универсальная общественная больница.

Хакеры взломали серверы компании DataNet Systems, предоставляющей хостинг избирательной комиссии округа Колумбия и получили доступ к персональным данным всех зарегистрированных избирателей Вашингтона.

Группировка RansomVC написала на своем сайте в даркнете, что ей удалось получить более 600 000 записей. В украденной базе содержатся имена, идентификаторы, частичные номера соцстрахования, номера водительских прав, даты рождения и контактные данные жителей Колумбии.

Хакеры выставили базу на продажу, но цена пока не сообщается.

Сеть больниц Нью-Йорка Westchester Medical Center Health Network (WMCHealth) объявила о восстановлении своих систем после недели сбоев, вызванных кибератакой.

16 октября больницы HealthAlliance Hospital, Margaretville Hospital и Mountainside Residential Care Center столкнулись с «потенциальной угрозой кибербезопасности и сбоем в ИТ-системе». Из-за этого все три медицинских учреждения перестали принимать пациентов на неделю. С 14 по 17 октября в больницы перестали направляться бригады скорой помощи, но сеть больниц не уточнила, связаны ли перенаправления бригад с инцидентом. Телефоны, электронная почта и интернет-сервисы больниц были отключены.

Для восстановления сети Westchester Medical Center Health Network выключила все связанные ИТ-системы в трех учреждениях вечером 20 октября. К вечеру 21 октября медучреждения заявили о полном восстановлении работы и возобновлении приема пациентов. Подробности инцидента так и не были раскрыты.

Турецкая хакерская группа Ayyıldız Tim заявила о взломе министерства обороны Израиля и получении доступа к военной информации, в том числе секретным данным о военных учениях и персонале.

В сообщении на платформе X говорится:

«Секретные военные данные, данные об учениях и персонал, принадлежащие Министерству обороны Израиля, были взломаны и захвачены группой Ayyıldız Tim. Вы увидите силу тюрков! Мы молча стоим на страже!»

Кроме того, Ayyıldız Tim пообщещал атаковать Израильскую биржу, электроэнергетическую инфраструктуру и гидросооружения страны. Хакеры подчеркнули, что они ожидают подходящего момента и приказа для проведения этих атак. Кроме того, в другом сообщении было сказано: «Мы можем прийти однажды ночью без предупреждения».

Вымогатели Akira проникли в сети американской энергетической компании BHI Energy и похитили конфиденциальные данные.

В уведомлении об утечке данных , разосланном BHI Energy пострадавшим 18 октября, компания предоставила подробную информацию о том, как злоумышленники проникли в сети BHI Energy 30 мая 2023 года и воспользовались вымогательским программным обеспечением Akira.

Что произошло

1. Атака началась с использования украденных данных VPN стороннего подрядчика для доступа к внутренней сети BHI Energy.
2. В течение недели после первоначального доступа злоумышленники исследовали внутреннюю сеть компании, чтобы нанести сокрушительный удар позже.
3. 16 июня 2023 года операторы Akira вернулись к сети компании через оставленный бэкдор, чтобы определить, какие данные будут украдены.
4. С 20 по 29 июня злоумышленники украли 767 тыс. файлов общим объёмом 690 ГБ, включая базу данных Active Directory компании.
5. 29 июня, после завершения кражи данных, на все устройства в сети BHI Energy было установлено вымогательское ПО Akira.
6. IT-команда компании обнаружила компрометацию только после этапа шифрования, когда взлом стал очевиден.
7. После обнаружения инцидента компания немедленно обратилась к правоохранительным органам и привлекла сторонних экспертов для восстановления систем.
8. 7 июля 2023 года сеть BHI была очищена от вредоносного ПО.

Компания сообщила, что специалистам удалось восстановить данные из резервной копии в облаке, и не платила выкуп.

Японская компания Casio сообщает об утечке данных, которая затронула клиентов из 149 стран мира.

Хакерам удалось взломать серверы образовательной платформы ClassPad и получить доступ к личным данным ее пользователей. Инцидент обнаружили 11 октября 2023 года после сбоя в базе данных ClassPad в среде разработки компании.

Данные, попавшие в руки хакеров, включают: имена клиентов, адреса электронной почты, информацию о стране проживания, сведения об использовании услуг, а также информацию о покупках (способы оплаты, коды лицензий и детали заказов).

Casio подчеркивает, что информация о банковских картах не хранилась в скомпрометированной базе данных.

В общей сложности злоумышленники получили доступ к 91 921 записи, принадлежащей японским клиентам компании (включая частных лиц и 1108 образовательных учреждений), а также к 35 049 записям, принадлежащим клиентам из 148 других стран.

Чилийская телекоммуникационная компания Grupo GTD стала жертвой масштабной кибератаке, нарушившей работу сервисов IaaS.

Злоумышленники атаковали системы GTD утром 23 октября. Под удар попали центр обработки данных и голосовая связь по IP, пострадало качество интернет-соединения на всех серверах.

Чтобы предотвратить дальнейшее распространение вредоносного ПО, специалисты компании вынуждены были полностью отключить инфраструктуру IaaS.

Чилийская группа реагирования на киберинциденты (CSIRT) официально подтвердила , что речь идёт об атаке вируса-вымогателя и потребовала, чтобы все государственные учреждения, использующие услуги IaaS компании GTD, незамедлительно уведомили об этом правительство и провели сканирование своих систем на предмет компрометации.

Сообщают, что в атаке использовался новый вариант вымогателя Rorschach — очень сложного и быстродействующего вируса-вымогателя, который может зашифровать все файлы на устройстве меньше чем за 5 минут.

Обзор новостей информационной безопасности с 13 по 19 октября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена вредоносная кампания, в ходе которой были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы.

Цепочка заражения

Схема действий преступников

1. Злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем.

2. В этих письмах жертв обманом вынуждали загрузить вредоносные исполняемые файлы, которые эксплуатировали уязвимость CVE-2021-26411 в Internet Explorer и инициировали цепочку заражения.

3. Проникнув в корпоративную сеть, злоумышленники похищали аутентификационные данные пользователей и подключались к терминальному серверу материнской компании.

4. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена.

5. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними (сервер финансовой системы и панель управления защитным решением для проверки требований ИБ), злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.

6. Чтобы скрыть вредоносную активность, хакеры применяли множество техник: использовали руткиты и порты, уязвимые драйверы, маскировали файлы под пользовательские приложения, применяли многоуровневое шифрование файлов и сетевой активности малвари.

7. Целями злоумышленников также стали серверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением, в совокупности с применением MATA для Linux, позволил злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.

8. В ситуациях, когда установить прямую связь с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.

9. Например, для обхода EDR и защитных решений атакующие использовали общедоступный эксплоит для проблемы CVE-2021-40449, носящий имя CallbackHell. Если это не срабатывало, хакеры переключались на использование техники BYOVD (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»).

В очередной мошеннической кампании злоумышленники используют рекламные объявления Google Ads для распространения вредоносных программ, заманивая пользователей на поддельные сайты с поддельным Notepad++.

Схема действий преступников

1. Киберпреступники рекламируют URL-адреса, не имеющие отношения к оригинальной программе Notepad++. Мошеннические сайты используют схожие с программой названия в рекламных объявлениях Google, манипулируя механизмами SEO. Многие пользователи могут попасться «на крючок», так как названия объявлений более заметны, чем сами URL-адреса.

Мошеннические объявления в поиске Google

2. После перехода по рекламной ссылке происходит проверка IP пользователя. Если IP соответствует списку, который включает в себя ботов, VPN и прочее, пользователь направляется на безвредный сайт. Нужные жертвы переадресовываются на «notepadxtreme[.]com», имитирующий оригинальный сайт Notepad++.

Мошеннический сайт, имитирующий сайт Notepad++

3. После нажатия на ссылку для скачивания выполняется дополнительная проверка. Те, кто проходит ее, получают вредоносный HTA-скрипт с уникальным ID.

4. Скрипт пытается подключиться к удаленному домену через специальный порт. Исследователи предположили, что это является частью развертывания Cobalt Strike.

Инциденты

Рекламная компания Ampersand, принадлежащая трем крупнейшим операторам кабельного телевидения США, стала жертвой вымогательской атаки.

Ответственность за атаку взяла на себя группировка Black Basta. Компания подтвердила факт атаки, но не уточнила дату инцидента и не сообщила, будет ли уплачен выкуп. Представитель компании заявил, что инцидент «на короткое время прервал работу». Большинство операций уже восстановлено, и фирма сотрудничает со специалистами и правоохранительными органами по этому вопросу.

Технические неполадки американской сети мини-маркетов Kwik Trip предположительно вызваны вымогательской атакой.

Пользователи сообщали о сбоях в работе мобильного приложения, системы лояльности и службы поддержки. Многие клиенты были особенно возмущены проблемами при попытках заправить автомобиль или сделать онлайн-заказы.

12 октября представители Kwik Trip подтвердили, что причиной стал «сетевой инцидент». Ответы на вопросы о возможной вымогательской атаке остались без комментариев.

В обращении компании говорится:

«Мы до сих пор наблюдаем перебои в системе лояльности Kwik Reward, которые влияют на функционирование приложения, сайта и начисление/использование бонусов в магазинах. Мы активно работаем над тем, чтобы как можно скорее восстановить сервисы. Участникам программы Kwik Rewards Plus, столкнувшимся с трудностями при оплате, мы готовы помочь решить возникшие вопросы и скорректировать штрафы за несвоевременное продление подписки».

Сотрудники Kwik Trip поделились на Reddit , что внутри компании также наблюдаются проблемы: от ошибок в учете товаров до трудностей с оргтехникой и даже начислением заработной платы.

Вымогательская атака парализовала работу судебных систем штата Канзас.

Город Топика объявил о временном закрытии муниципального суда, службы пробации и прокуратуры. Верховный суд Канзаса перешел на использование бумажных записей для поддержания работы.

По словам судьи, перебои были вызваны атакой программы-вымогателя. Неизвестно, какая группа стоит за атакой и потребовали ли киберпреступники выкуп. Суды перешли на бумажный документооборот. Электронная почта суда также не работает.

Проблемы начались 12 октября и затронули систему электронной подачи документов, портал для приказов стороны защиты, публичный портал окружного суда, систему апелляционных дел, государственный реестр адвокатов,
систему онлайн-заявок на получение лицензий на брак в Канзасе.

Пока не установлено, что произошло во время инцидента и какой уровень доступа был получен злоумышленниками. Верховный суд принял решение приостановить электронную подачу документов, чтобы дать специалистам время для анализа инцидента.

В открытом доступе опубликованы данные зарегистрированных пользователей сервиса онлайн-записи и автоматизации в сфере услуг «DIKIDI».

В качестве подтверждения было выложено 99 999 строк, содержащих:

• имя,
• телефон,
• адрес эл. почты,
• хешированный (SHA-256) пароль,
• дату регистрации и последнего входа (с 10.08.2023 по 10.09.2023).

Утверждается, что в полной базе 40 млн. таких записей.

Для распространения информации о сливе хакеры предположительно использовали токен Telegram-бота для отложенного постинга «SmmBox» и таким образом опубликовали свое сообщение во множестве каналов.

На хакерском форуме RAMP продаются личные данные, фотографии и ссылки на соцсети членов Армии обороны Израиля (ЦАХАЛ) и Службы безопасности Израиля (Шабак).

Продавец оценил стоимость пакета данных в 15 000 долларов США и заявил, что воспользуется эскроу-счётом форума для совершения безопасной сделки.

Специалисты предполагают, что данные были получены с помощью взломов профилей в соцсетях методом подстановки учетных данных (Credential stuffing). Возможно, у киберпреступника была дополнительная информация, которая позволила ему идентифицировать членов ЦАХАЛ и Шабак.

Данные 533 624 клиентов игрового облачного сервиса Shadow выставлены на продажу в даркнете.

В конце сентября компания стала жертвой «социальной инженерии, которая привела к краже базы данных одного из поставщиков, что привело к несанкционированному раскрытию определенной информации клиентов».

Сотрудник компании через Discord загрузил вредоносное ПО, замаскированное под игру на платформе Steam. Игру сотруднику порекомендовал знакомый, сам ставший жертвой той же атаки.

В руки хакеров попали полные имена пользователей, их email-адреса, даты рождения, платежные адреса и даты истечения срока действия банковских карт. В письме подчеркивается, что пароли и конфиденциальные банковские данные не были скомпрометированы.

Злоумышленники заявляют, что дамп содержит даты рождения пользователей, их физические адреса, полные имена, последние четыре цифры банковской карты и дату истечения срока ее действия, журнал IP-соединений, email-адреса и «многое другое».

Обзор новостей информационной безопасности с 6 по 12 октября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая кампания по краже учётных данных от аккаунтов Microsoft, в которой фишинговые письма рассылают с помощью функции Smart Links сервиса LinkedIn.

Особенности кампании

• Smart Links — платный инструмент, позволяющий создавать уникальные адреса для email-рассылок, чтобы отслеживать статистику переходов и вовлеченность аудитории. Это дает маркетологам ценную информацию для анализа эффективности кампаний.

• Хакеры использовали 80 ссылок, сгенерированных из взломанных или недавно созданных бизнес-аккаунтов LinkedIn. Поскольку в ссылках используется домен LinkedIn и уникальный код длиной в 8 символов, они кажутся легитимными и легко обходят защиту почтовых сервисов.
• Основные цели — финансовый сектор, производство, энергетика, строительство и здравоохранение.

• Темы сообщений — платежи, кадры, документы, уведомления от систем безопасности.
• Ссылка вела пользователя на фишинговый сайт через цепочку переадресаций с «доверенного» домена.
• Чтобы создать иллюзию надежности, в фишинговую ссылку заранее подставлялся e-mail жертвы.

• На поддельной странице входа в Microsoft-аккаунт этот адрес уже был указан в поле для почты, человеку оставалось только ввести пароль.
• Страница напоминала стандартную авторизацию в Microsoft, без фирменного дизайна компании. Хакерам, судя по всему, было важно собрать как можно больше учетных данных, поэтому они не нацеливались на конкретные организации.

Вредоносная кампания Stayin’ Alive нацелена на телекоммуникационную отрасль и государственные структуры Казахстана, Узбекистана, Пакистана и Вьетнама.

Схема кампании

1. Атака начинается с фишингового письма с вложением. . Тема письма для разных стран различна. Для вьетнамских компаний это «ИНСТРУКЦИИ ПО УПРАВЛЕНИЮ И ИСПОЛЬЗОВАНИЮ: ПРАВИЛА ПОЛЬЗОВАТЕЛЯ» на вьетнамском, для Узбекистана и Казахстана используются темы писем и имена вложений на русском— «Саммит 2022 г (парол — 0809).rar» и «Приказ №83 от 29.05.2023г.rar»

Письмо с темой на вьетнамском

2. Архив содержит два файла — mDNSResponder.exe, переименованный под тему электронного письма, и загруженная методом DLL Sideloading библиотека «dal_keepalives.dll». Для загрузки эксплуатируется уязвимость CVE-2022-23748 (CVSS: 7.8) в программном обеспечении Audinate Dante Discovery.

Цепочка заражения

3. После установки вредоносных файлов на устройства доставляются инструменты CurLu Loader, CurCore и CurLog Loader, каждый из которых имеет свои уникальные методы заражения и дальнейшей загрузки вредоносных полезных нагрузок. Основными функциями инструментов является кража данных и скрытое присутствие.

Атаки и уязвимости

Специалисты Amazon Web Services (AWS), Cloudflare и Google предупредили о 0-day проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года.

Отражённые Google атаки

Благодаря уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Google, достигла 398 млн запросов в секунду (requests per second, RPS), а атаки направленные на AWS и Cloudflare, превысили 155 млн и 201 млн запросов в секунду. Для сравнения, прошлый рекорд составлял 71 млн запросов в секунду и был зафиксирован в начале 2023 года.

Корень новой проблемы кроется в уязвимости нулевого дня CVE-2023-44487 в протоколе HTTP/2, и ее можно использовать для организации мощных DDoS-атак.

Атаки HTTP/2 Rapid Reset строятся на использовании нескольких HTTP/2-соединений и быстром чередовании запросов и отмен. Например, передается серия запросов на несколько потоков с последующей отменой для каждого из них. Целевая система будет анализировать и выполнять каждый запрос, генерируя журналы для запроса, который затем сбрасывается или отменяется клиентом.

Эксперты Cloudflare сообщают, что прокси-серверы или балансировщики нагрузки HTTP/2 особенно восприимчивы к таким атакам. Так, сеть компании оказалась перегружена на участке между TLS-прокси и апстримом, поэтому ущерб был нанесен еще до того, как вредоносные запросы попали под блокировку. В итоге атаки привели к увеличению количества ошибок 502 для клиентов Cloudflare.

Инциденты

Американский производитель строительных и конструкционных материалов Simpson Manufacturing стал жертвой кибератаки, вызвавшей сбои в операциях компании.

Компания отключила все затронутые системы для предотвращения распространения атаки. Из-за инцидента начались перебои в работе систем, характерные для вымогательских атак. Отмечают также, что велика вероятность, что были украдены конфиденциальные данные.

Пока не установлен тип киберинцидента, ни одна из хакерских группировок не взяла на себя ответственность за атаку.

Испанская авиакомпания Air Europa предупредила клиентов о необходимости срочно заблокировать банковские карты, так как злоумышленники получили доступ к информации о них в результате недавней атаки.

В ходе хакерской атаки в руки злоумышленников могли попасть номера карт, сроки их действия и коды CVV (Card Verification Value), указанные на обратной стороне, сообщает издание Bleeping Computer.

Air Europa предупредила пострадавших, что им нужно обратиться в свой банк и аннулировать карты, которые они использовали на сайте авиакомпании, в связи с «риском спуфинга и мошенничества, а также для предотвращения возможного мошеннического использования».

Клиентам также рекомендуется не сообщать свои персональные данные и PIN-коды карт лицам, связывающимся с ними по телефону или электронной почте, а также не открывать ссылки в письмах и сообщениях, в которых предупреждается о мошеннических операциях со скомпрометированными картами.

Пока представители Air Europa не сообщают, сколько ее клиентов пострадало в ходе этой утечки, а также ничего неизвестно о дате взлома систем компании и времени обнаружения инцидента.

На одном из теневых форумов выставили на продажу базу данных пользователей социальной сети участников дорожного движения noomeera.

Продавец утверждает, что в базе 2 037 529 записей:

• 🌵 имя,
• 🌵 телефон,
• 🌵 адрес эл. почты,
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 имя пользователя,
• 🌵 город и страна,
• 🌵 тип устройства (iOS или Android),
• 🌵 ссылка на аватар,
• 🌵 дата регистрации.

Вымогатели Rhysida атаковали государственные учреждения в Португалии и Доминиканской Республике.

Первой жертвой стал город Гондомар, власти которого были вынуждены отключить все официальные онлайн-сервисы, обратившись за помощью к Национальному центру кибербезопасности и Национальной комиссии по защите данных. На протяжении недели жители вынуждены были обращаться в государственные учреждения лично. При этом сами организации продолжали работать в обычном режиме, несмотря на технические сложности.

К концу недели электронные системы по-прежнему не функционировали, в том числе электронная почта. На вопросы о том, когда платформы будут полностью восстановлены мэрия не отвечает.

Ответственность за инцидент взяла на себя Rhysida. Она опубликовала на своем сайте паспорта и финансовые документы, украденные у муниципалитета.

Также было атаковано миграционное агентство Доминиканской Республики. Злоумышленники украли конфиденциальные файлы с именами, адресами и датами рождения граждан, но не стали шифровать системы агентства.

На сайте утечек Rhysida заявляет, что выставят данные на продажу, если не получат выкуп в 25 BTC — примерно 700 тыс. долларов США.

В результате кибератаки на федеральную избирательную комиссию Вашингтона были украдены личные данные более 600 000 жителей города.

Похищенные сведения были выставлены на продажу на одном из теневых форумов. Они включают последние четыре цифры номеров социального страхования, номера водительских прав и домашние адреса избирателей.

Специалисты полагают, что злоумышленники получили доступ к данным избирателей, взломав сайт хостинг-провайдера. Все внутренние сети просканировали на предмет уязвимостей и сделали вывод, что базы самого избиркома не были скомпрометированы напрямую. Главные подозреваемые — группировка RansomVC.

Сейчас официальный сайт ведомства отключен. Представители заявили, что продолжают оценивать масштабы инцидента и принимать меры по защите систем. В расследовании

Кибератака вызвала сбой в ИТ-инфраструктуре транспортной компании Estes Express Lines из американского города Ричмонд, штат Вирджиния.

Estes Express Lines выразила благодарность клиентам и поставщикам за терпение в этот трудный момент. «Мы работаем максимально быстро, чтобы устранить эту проблему и вернуться к обычному режиму функционирования бизнеса», — сообщила компания.

Представители Estes утверждают, что их терминалы и водители продолжают эффективно работать даже в условиях текущего киберинцидента.

Хакеры выставили на продажу информацию миллионов человек, похищенную у биотехнологической компании 23andMe, специализирующейся на генетических исследованиях.

Один файл, опубликованный злоумышленником, содержал миллион строк данных об ашкенази, а другой — данные более 300 000 пользователей китайского происхождения.

Среди украденных данных была оценка происхождения, данные о фенотипе, медицинская информация, пол, возраст, фотографии, идентификационные данные, дата последнего входа в систему.

Несколько дней спустя тот же злоумышленник заявил, что готов продать различные наборы данных, принадлежащие клиентам компании. Хакер пишет, что суммарно в его распоряжении находится информация миллионов человек, и он готов продавать профили пользователей оптом, по цене от 1 до 10 долларов за один аккаунт 23andMe (в зависимости от размера сделки).

6 октября была взломана официальная страница Facebook (принадлежит корпорации Meta, запрещённой в РФ).

На странице появились странные публикации, предположительно написанные пропалестинскими хакерами.

Среди сообщений был пост с требованием освободить экс-премьер-министра Пакистана Имрана Хана, арестованного в начале августа 2023 года. Также было высказано неодобрение к организации BCCI за то, что она не выдала визы пакистанским болельщикам на матчи Кубка мира по крикету.

Пока руководство соцсети пыталось признать проблему, хакеры успели разместить несколько постов. Позже социальная сеть удалила все сообщения и опубликовала официальное заявление о том, что страница была скомпрометирована.