Обзор новостей информационной безопасности с 1 по 7 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В ходе очередной мошеннической кампании жертве предлагают заплатить за отказ от публикации на порноресурсе видео с её участием.

Схема кампании

1. Жертва получает письмо от имени сайта YouPorn, в теме которого запрашивается обратная связь по загруженному контенту (Uploaded content: Feedback required).

2. Получателя уведомляют, что он якобы загрузил на сайт видеоматериалы сексуального характера, и через семь дней они автоматически попадут в общий доступ. Если это ошибка, нужно срочно принять меры, следуя инструкциям.

3. Чтобы отказаться от публикации видео и удалить его, отправители предлагают бесплатный вариант, ссылка на который не работает, и несколько платных опций с разной степенью защиты от повторной загрузки на партнерских сайтах. Стоимость платных опций от 199 до 1399 долларов США в биткоинах.

Новая фишинговая кампания группировки APT34 направлена на распространение вредоносного ПО SideTwist.

Схема кампании.

Хакеры использует специально созданные документы Microsoft Word с вредоносными макросами.

Вредоносный документ

После запуска макрос извлекает и запускает зашифрованную полезную нагрузку SideTwist, которая устанавливает соединение с удалённым сервером для получения дальнейших инструкций.

SideTwist умеет загружать и скачивать файлы, а также выполнять команды злоумышленников. Эксперты отмечают, что данный бэкдор является одним из ключевых инструментов группы APT34 для закрепления в скомпрометированных системах.

Атаки и уязвимости

Новая атака позволяет заблокировать работу iPhone с помощью устройства Flipper Zero.

В ходе атаки на яблочном устройстве появляются назойливые всплывающие окна с предложениями подключиться к ближайшим Bluetooth-устройствам AirTag, Apple TV и AirPods.

Метод атаки получил название «Bluetooth Advertising Assault» (Атака через рекламные сообщения Bluetooth).

Для реализации атаки эксперт использовал модифицированную прошивку Flipper Zero. С её помощью он транслировал в эфир так называемые «Bluetooth Advertisements» — сигналы, которые устройства используют для анонсирования своего присутствия и возможностей. Такие сигналы являются частью протокола Bluetooth Low Energy, который Apple использует для подключения различных устройств компании между собой.

Атаку успешно воспроизвели на iPhone 8 и iPhone 14 Pro.

Инциденты

В открытом доступе опубликованы данные клиентов МТС Банка в виде трёх текстовых файлов.

В первом файле ровно 1 млн строк, которые содержат:

• 🌵 ФИО,
• 🌵 номер телефона,
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 ИНН,
• 🌵 гражданство.

Во втором файле 3 095 392 строки:

• 🌵 частичный (6 первых и 4 последних цифры) номер банковской карты,
• 🌵 дата выпуска и истечения карты,
• 🌵 тип карты (дебетовая, кредитная, корпоративная).

В третьем файле находится 1,8 млн уникальных номеров телефонов, 50 тыс. уникальных адресов эл. почты и числовые идентификаторы.

Источник утверждает, что полный дамп содержит 21 млн строк.

Хакерская группировка UHG заявила о взломе страховой компании АСКО и краже данных.

В предоставленном для анализа SQL-файле объёмом около 50 Гб содержатся персональные данные (телефоны, адреса эл. почты, адреса, паспортные данные), информация по автомобилям (госномера, VIN, марки и т. п.) и страховым полисам (номера, даты, стоимость и т. п.).

Всего в файле обнаружено около 1,8 млн уникальных номеров телефонов и 332 тыс. уникальных адресов эл. почты.

Злоумышленники из группировки Dunghill выложили в сеть чувствительную информацию о сотрудниках туристической компании Sabre, находящихся в США по рабочей визе.

Было похищено около 1,3 Тб данных. Компания не смогла удовлетворить выдвинутые преступниками требования, поэтому часть сведений оказалась в открытом доступе.

В руках хакеров оказались сведения о национальности сотрудников, их даты рождения, номера паспортов и визы. Кроме того, среди украденных данных — записи о продаже билетов, статистика по пассажирам, финансовые документы и другая информация, связанная с персоналом.

Благотворительная организация Freecycle[.]org, сайт которой посвящен обмену и утилизации использованных вещей, сообщила о масштабной утечке данных, от которой пострадали более 7 миллионов человек.

Утечка была обнаружена лишь в конце августа, хотя еще 30 мая 2023 года злоумышленники выставили украденные данные пользователей на продажу на хакерском форуме. Теперь всех пострадавших призывают немедленно сменить пароли. Если пароль от Freecycle использовался повторно где-то еще, его тоже следует изменить.

Украденная информация включает имена и ID пользователей, адреса электронной почты и пароли (MD5). Подчеркивается, что никакие другие данные раскрыты не были (например, адреса, номера телефонов, финансовая информация), поскольку все публикации на Freecycle бесплатны и не требуют таких деталей.

На скриншотах, которыми поделился злоумышленник, продающий украденную информацию, видны украдены учетные данные основателя и исполнительного директора Freecycle Дерона Била (Deron Beal). Похоже, именно таким образом злоумышленники и получили полный доступ к сайту и информации о пользователях.

Киберпреступники похитили более 500 000 внутренних документов и изображений, а также базы данных объёмом более 400 Гб из системы Национальной полиции Парагвая (Policía Nacional del Paraguay).

Данные утечки относятся к следующим подразделениям:

• Дирекции по внутренним делам (Dirección de Asuntos Internos);
• Департаменту идентификации (Departamento de Identificaciones);
• Департаменту регистрации иностранцев (Departamento Registro de Extranjeros);
• Отделу технологий и развития (Division de Tecnologia y Desarrollo).

Среди утекших данных — административные документы, фотографии улик, приказы от командования, а также информация о разыскиваемых лицах.

Вымогатели LockBit взломали британскую компанию Zaun и похитили около 10 Гб информации. Они проникли в систему через компьютер с Windows 7, на котором было установлено ПО для управления производственного оборудования.

Zaun заявляет, что кибератака произошла в начале августа 2023 года, но компании удалось остановить хакеров до того, как данные были зашифрованы. То есть инцидент не сказался на работе компании.

Вымогатели уже обнародовали часть украденных данных. Некоторые из похищенных файлов связаны с британскими военными, разведывательными и исследовательскими базами, теоретически позволяя получить доступ к некоторым секретным военным и исследовательским объектам Великобритании.

Группировка ShinyHunters похитила данные более миллиона клиентов сети пиццерий Pizza Hut в Австралии.

Злоумышленники воспользовались уязвимостью в сервисе AWS и похитили более 30 миллионов строк конфиденциальной информации.

В выложенных хакерами образцах данных присутствуют сведения о заказах, включающие имена, адреса, номера телефонов и зашифрованные данные банковских карт клиентов. Проверка подтвердила подлинность украденных данных.

ShinyHunters требуют 300 000 долларов США за удаление похищенной информации.

Pizza Hut пока не комментировала данный инцидент и никак не ответила на требования злоумышленников.

Компания NXP Semiconductors сообщила о взломе и краже персональных данных клиентов.

Похищенные данные принадлежат владельцами онлайн-аккаунтов NXP, у которых есть доступ к техническому контенту и взаимодействию с сообществом.

Злоумышленникам, по словам представителя NXP, удалось украсть «основную персональную информацию»: полные имена, адреса электронной почты, почтовые адреса, корпоративные телефонные номера, личные номера телефонов, наименования компаний, должности.

В открытом доступе появился JSON-файл, содержащий персональные и платежные данные пользователей сервиса работы в такси Рулю.ру.

Файл содержит 428 658 строк со следующей информацией:

• 🌵 ФИО,
• 🌵 телефон ( 425 тыс. уникальных номеров),
• 🌵 адрес эл. почты (1,3 тыс. уникальных адресов),
• 🌵 дата рождения,
• 🌵 номер банковской карты (120 тыс. уникальных карт),
• 🌵 город,
• 🌵 пароль в открытом (текстовом) виде,
• 🌵 дата регистрации (с 24.01.2017 по 09.03.2023).

Проверка случайных логинов (номеров телефонов) из этого файла через функцию регистрации на сайте profile.rulyou.ru/auth показала, что они действительные.

Обзор новостей информационной безопасности с 25 по 31 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая фишинговая кампания MalSpam, в ходе которой устройства жертв заражаются вредоносным ПО DarkGate.

Цепочка заражения

Схема действий преступников

1. Атака начинается с фишинговой ссылки, которая через систему перенаправления трафика ведёт жертву на вредоносный MSI-файл.

2. Скачивание и запуск этого файла инициирует многоступенчатый процесс, в результате которого и происходит расшифровка, а затем запуск DarkGate.

3. Альтернативный вариант атак с использует вместо MSI-файла скрипта на Visual Basic. Он использует cURL для извлечения исполняемого файла AutoIt и самого скрипта.

4. DarkGate умеет скрываться от антивирусов, закрепляться в системе с помощью изменений в реестре, повышать привилегии, красть данные из браузеров и программ вроде Discord и FileZilla.

5. Вредонос устанавливает связь с командным сервером для кражи файлов, запуска криптомайнеров, удалённого создания скриншотов и выполнения прочих команд. Ранние версии вредоноса также имели модуль-вымогатель.

Атаки и уязвимости

В мобильном приложении Skype обнаружена уязвимость, позволяющая получить IP-адрес пользователя при открытии сообщения со специфической ссылкой.

Хакер может определить местоположение пользователя, попросив его открыть сообщение со ссылкой. Хотя обнаруживший проблему эксперт уведомил Microsoft в начале августа, компания заявила, что «раскрытие IP-адреса не является проблемой безопасности».

Примечательно, что получить IP-адрес жертвы можно даже при использовании VPN. При этом не имеет значения, на какой именно сайт вела ссылка.

Мобильная безопасность

В Google Play Store и Samsung Galaxy Store обнаружены зараженные шпионским ПО BadBazaar клоны приложений Signal и Telegram.

Приложения, которые GREF использовала в своей кампании, носили имена Signal Plus Messenger и FlyGram. Оба представляли собой модифицированные версии популярных мессенджеров Signal и Telegram.

BadBazaar способен отслеживать точное местоположение зараженного устройства, похищать журналов вызовов и SMS, записывать телефонные звонки, делать фото с помощью камеры устройства, а также воровать списки контактов, файлы и базы данных.

Злоумышленники создали специальные сайты signalplus[.]org и flygram[.]org, чтобы придать своим приложениям видимость легитимности. Пользователям предлагалось загрузить фальшивки из магазина приложений или непосредственно с самого сайта.

FlyGram был нацелен на кражу конфиденциальных данных, включая списки контактов, журналы вызовов, учетные записи Google и данные Wi-Fi. Также вредонос предлагал пользователям функцию резервного копирования, которая отправляла коммуникационные данные Telegram прямиком на сервер хакеров. Анализ показал, что как минимум 13 953 пользователя FlyGram включили опасную функцию резервного копирования, тогда как общее число жертв шпионского приложения неизвестно.

Signal Plus Messenger собирал аналогичную информацию, но был ориентирован на извлечение специфических для Signal данных, таких как сообщения жертвы и PIN-код, защищающий аккаунт от несанкционированного доступа.

Также в поддельном приложении присутствовала функция, позволявшая злоумышленнику связать учетную запись Signal жертвы с со своим устройством, чтобы видеть будущие сообщения в чатах.

Новый банкер MMRat для Android использует протокол сериализации данных protobuf (Protocol Buffers) для кражи информации со взломанных устройств.

MMRat можно найти на сайтах, замаскированных под официальные магазины приложений. Эксперты предполагают, что жертвы сами загружают и устанавливают такие приложения, а затем предоставляют им опасные разрешения, включая доступ к Accessibility service.

Проникнув на устройство, MMRat устанавливает связь с управляющим сервером и отслеживает активность зараженного гаджета, чтобы обнаружить периоды бездействия. Затем, выбрав подходящий момент, злоумышленники злоупотребляют возможностями Accessibility service, чтобы удаленно активировать устройство, разблокировать экран и совершить банковский фрод в режиме реального времени.

Основные функции MMRat:

• сбор информацию о сети, экране и батарее;
• извлечение списка контактов пользователя и списка установленных приложений;
• перехват вводимых пользователем данных с помощью кейлогинга;
• захват экрана в режиме реального времени через злоупотребления API MediaProjection;
• запись и трансляция данных с камеры в режиме реального времени;
• запись и сбор данных с экрана (в виде дампов в текстовом формате);
• удаление себя с устройства, чтобы стереть все следы заражения.

Инциденты

Американская медиакорпорация Paramount Global сообщила о хакерской атаке, в результате которой злоумышленники получили доступ к персональным данным чуть менее 100 человек.

Как показало расследование, персональная информация могла включать имя, дату рождения, номер социального страхования или другой идентификационный номер, выданный государством.

Защита уязвимых систем в скором времени была восстановлена. Корпорация привлекла внешнего специалиста по кибербезопасности и сотрудничает с правоохранительными органами.

О том, что «взломщики могли добраться до личных данных всего 100 человек», сообщил представитель Paramount. Кто именно пострадал от утечки — сотрудники компании или её клиенты (например, подписчики Paramount+), пока не уточняется.

Эксперты утверждают, что атака не была вымогательской, и она, скорее всего, не связана с недавними атаками группы Clop на платформу MoveIT. Других деталей пока не сообщается.

Мичиганский университет был вынужден отключить все свои системы и сервисы, чтобы справиться с последствиями кибератаки, которая произошла в последние выходные августа.

На сайте учебного заведения появилась серия сообщений, в которой рассказывается о кибератаке, от которой университет пострадал в минувшие выходные. Начиная с воскресенья, 27 августа 2023 года, атака привела к сбоям в работе ИТ-инфраструктуры университета, а также к нарушению доступа к важным онлайн-сервисам, включая Google, Canvas, Wolverine Access и электронную почту.

В настоящее время к расследованию произошедшего и восстановлению систем привлечены ИТ-специалисты Мичиганского университета, внешние эксперты по кибербезопасности и федеральные правоохранительные органы. Несмотря на это, администрация посчитала, что безопаснее будет временно отключить сеть вуза от интернета полностью, в силу серьезности инцидента.

Никаких деталей о произошедшем в учебном заведении пока не раскрывают, так как это «может поставить под угрозу ведущееся расследование».

Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) Японии на протяжении девяти месяцев находился под наблюдением хакерской группировки, внедрившейся в компьютерные системы.

NISC объявил о возможной утечке электронной переписки с октября 2022 года по июнь 2023. Как считают специалисты, злоумышленники могли взломать систему через аккаунт одного из сотрудников. Организация уже предупредила своих партнеров в Японии и других странах о потенциальной угрозе.

NISC является частью Кабинета министров, и его штаб-квартира находится в том же здании в центре Токио. Аналитики провели расследование, чтобы выяснить, могли ли хакеры получить доступ к другим высокочувствительным серверам правительства и к информации государственной важности. Затем официальный представитель заявил, что скомпрометированы были только данные электронной почты самого NISC.

Злоумышленники взломали облачного провайдера Leaseweb и получили доступ к внутренней инфраструктуре. Компании пришлось приостановить работу сервиса на неопределенный срок.

Клиентский портал какое-то время был недоступен. Leaseweb после обнаружения взлома оповестила пользователей о случившемся по электронной почте и приступила к восстановлению систем.

Пока нет данных о том, кто стоит за атакой и каковы были цели злоумышленников. Руководство не сообщило о каких-либо признаках дальнейшей злонамеренной активности в своих системах. Информации об утечках или требованиях выкупа тоже не поступало.

В результате SIM-swap атаки на одного из сотрудников консалтинговой компании Kroll произошла кража данных пользователей криптовалютных платформ FTX, BlockFi и Genesis.

Пример фишингового письма «от имени FTX».

Блокчейн-платформы пользовались услугами Kroll в связи со своими делами о банкротстве, чтобы вернуть пользователям часть средств.

Сообщается, что 19 августа 2023 года хакеры атаковали учетную запись T-Mobile и с помощью подмены SIM-карты «угнали» номер телефона сотрудника Kroll. Затем они с его помощью получили доступа к некоторым файлам с данными заявителей о банкротстве, включая BlockFi, FTX и Genesis.

Пока неясно, о каких именно данных идет речь, однако компании отмечают, что пароли и средства клиентов не пострадали, поскольку системы FTX и BlockFi не были взломаны напрямую. Также сообщается, что Kroll уже справилась с инцидентом и напрямую уведомит всех пострадавших лиц.

Представители Genesis не делали официальных заявлений о произошедшем, однако издание CoinDesk цитирует уведомление для пострадавших заявителей, в котором сказано, что во время атаки злоумышленники обошли многофакторную аутентификацию сотрудника Kroll и получили доступ к облачным системам компании. В результате в руки хакеров попали полные имена, физические адреса, адреса электронной почты и детали конкретных заявок.

Пострадавшие пользователи уже получают фишинговые письма, в которых злоумышленники выдают себя за FTX и утверждают, что получатель письма якобы может начать выводить свои цифровые активы со счетов обанкротившейся биржи. Таким способом мошенники пытаются узнать seed-фразы жертв.

Калифорнийская медицинская корпорация Prospect Medical Holdings (PMH) стала жертвой кибератаки хакеров Rhysida.

Объявление на хакерском форуме.

Из-за кибератаки многие больницы были вынуждены приостановить прием в отделениях неотложной помощи и до сих пор испытывают трудности с функционированием своих онлайн-систем. Rhysida уже начала аукцион по продаже более 2 ТБ украденных данных.

На странице аукциона группы Rhysida представлены персональные данные более 500 тыс. пациентов и сотрудников PMH, включая номера социального страхования, паспорта, водительские удостоверения, медицинские карточки пациентов, а также юридические и финансовые документы.

На сайтах больниц, входящих в состав PMH, размещен баннер с сообщением о системном сбое и о том, что проблема решается. Часть учреждений перешла на бумажный документооборот.

Обзор новостей информационной безопасности с 18 по 24 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена крупномасштабная фишинговая кампания, нацеленная на клиентов популярного почтового сервиса Zimbra.

Схема действий преступников

1. Злоумышленники рассылали пользователям фишинговые письма под видом уведомлений о блокировке аккаунта от Zimbra.

2. Письма содержали вредоносный HTML-файл с фишинговой формой входа в почту.

3. Форма входа выглядела крайне правдоподобно и сразу отображала легитимный логин жертвы, видимо украденный в ходе предыдущих атак. Это заставляло пользователей думать, что перед ними настоящая страница авторизации Zimbra.

4. Введённые в фишинговую форму данные отправлялись хакерам, позволяя получить доступ к почтовым ящикам и ко всей IT-инфраструктуре компании.

Умные устройства

В умной лампочке TP-Link Tapo L530E и сопровождающем ее мобильном приложении TP-Link Tapo обнаружены четыре уязвимости, которые могут использоваться для получения пароля от локальной сети Wi-Fi.

Умная лампочка Tapo L530E

Первая уязвимость в TP-Link Tapo L530E связана с некорректной аутентификацией, позволяющей злоумышленникам выдавать себя за пользователя на этапе обмена сеансовыми ключами. Эта уязвимость набрала 8,8 балла по шкале CVSS и позволяет находящемуся неподалеку злоумышленнику узнать пароль пользователя Tapo и манипулировать устройством.

Вторая уязвимость (7,6 балла по шкале CVSS) связана с приложением Tapo и возникает из-за жестко закодированной короткой контрольной суммы общего секрета, который злоумышленники могут узнать через обычный брутфорс и декомпиляцию приложения.

Третья проблема связана с отсутствием случайности при симметричном шифровании, что делает криптографическую схему предсказуемой.

Четвертая проблема связана с отсутствием проверки актуальности для полученных сообщений: сеансовые ключи хранятся в течение 24 часов, что позволяет злоумышленникам повторно воспроизводить сообщения в течение этого периода времени.

В одном из наиболее опасных сценариев атак злоумышленник может выдать себя за умную лампочку и узнать данные учетной записи пользователя Tapo, используя первую и вторую уязвимость из перечисленных.

После этого, получив доступ к приложению Tapo, злоумышленник получает возможность узнать SSID и пароль от Wi-Fi сети жертвы, что дает ему доступ ко всем другим устройствам, подключенным к этой сети.

Уязвимости и атаки

В WinRAR исправлена уязвимость CVE-2023-40477, которая позволяла добиться выполнения произвольного кода в целевой системе. Для эксплуатации проблемы достаточно было вынудить жертву открыть архив RAR.

Проблема появилась из-за отсутствия надлежащей проверки пользовательских данных при обработке томов восстановления (recovery volumes). Это может привести к обращению к памяти за пределами выделенного буфера и выполнению произвольного кода.

2 августа 2023 года компания RARLAB выпустила версию WinRAR 6.23, в которой проблема CVE-2023-40477 была исправлена. Также в этой версии устранили другую серьезную проблему, связанную со специально созданными архивами и приводившую к неправильному инициированию файлов. Всем пользователям WinRAR рекомендуется как можно скорее установить это обновление.

Инциденты

Центр общественных действий (The Public Center for Social Action, CPAS) в Шарлеруа, Бельгия, приостановил работу нескольких подразделений из-за кибератаки.

Хотя кибератака не привела к поломке затронутых систем, их решили отключить в целях безопасности и для оценки масштабов ущерба.

Местная газета Sudinfo сообщила, что случай связан с кибервымогательством и злоумышленники уже выдвинули свои требования.

Руководство рассказало, что рабочие процессы пришлось адаптировать для выполнения поставленных задач. В частности, персонал использует ручки и бумагу для записей и отчетности.

Информация о 2,6 млн пользователей DuoLingo, собранная при помощи скрапинга, опубликована на хакерском форуме. Дамп включает общедоступные логины и имена пользователей, а также приватную информацию, в том числе email-адреса и внутренние данные, связанные с сервисом DuoLingo.

Хотя настоящее имя и логин являются общедоступной информацией и частью пользовательского профиля Duolingo, утечка email-адресов является более серьезной проблемой, так как позволяет использовать общедоступные данные в атаках. Особенно настораживает тот факт, что email не является общедоступной информацией.

Правительство США и оборонный подрядчик Belcan оставили в открытом доступе учётные данные суперадминистратора. Ошибка могла привести к серьёзной атаке на цепочку поставок.

15 мая исследовательская группа Cybernews обнаружила публичный экземпляр Kibana, панели визуализации и поиска данных Elasticsearch, содержащий конфиденциальную информацию о Belcan, их сотрудниках и внутренней инфраструктуре.

Утечка данных Belcan в открытом экземпляре Kibana содержала:

• Электронные письма администратора;
• Имена и пароли администраторов;
• Роли администратора, назначенные в организациях;
• Адреса внутренней сети;
• Имена хостов и IP-адреса внутренней инфраструктуры;
• Уязвимости внутренней инфраструктуры и действия, предпринятые для их устранения.

Обнаружена атака на цепочку поставки программного обеспечения, проведённая хакерской группой CarderBee.

Злоумышленники заразили обновления китайского программного обеспечения под названием Cobra DocGuard, внедрив свой вредоносный код. В результате были скомпрометированы около 100 компьютеров по всей Азии, преимущественно в Гонконге.

Кроме типичных последствий атаки на цепочку поставки программного обеспечения, хакеры загрузили свои вредоносные программы, известные как Korplug или PlugX. Эти программы часто используются китайскими хакерами и были подписаны легитимной цифровой подписью Microsoft.

Вымогательская группировка BlackCat (ALPHV) взяла на себя ответственность за взлом японской компании Seiko.

На сайте группировки BlackCat появилось сообщение об атаке на Seiko. Хакеры опубликовали образцы данных, которые якобы были украдены во время взлома.

В своем послании злоумышленники высмеивают ИТ-безопасность Seiko и «сливают» производственные планы компании, сканы паспортов сотрудников, планы по выпуску новых моделей часов, а также результаты лабораторных испытаний. Также в утечку включены конфиденциальные технические схемы и дизайны часов Seiko.

Компания Tesla сообщила об утечке данных, затронувшей 75 735 нынешних и бывших сотрудников.

«Cлив» произошел после того, как два инсайдера поделились информацией из внутренних систем компании с немецким изданием Handelsblatt.

Tesla разослала сотрудникам письмо, в котором обвиняет неназванных инсайдеров во взломе, из-за которого утекли личные данных, включая имена, адреса, номера телефонов и номера социального страхования пострадавших.

Внутреннее расследование показало, что «двое бывших сотрудников Tesla незаконно присвоили информацию в нарушение политики Tesla в области ИТ-безопасности и защиты данных, а затем передали ее в СМИ».

Хакерская группировка Medusa атаковала французский город Сартрувиль и получили доступ к финансовой, медицинской и образовательной информации.

В официальном заявлении местные власти сообщили, что специалисты смогли ограничить влияние кибератаки, и атака затронула только определенные серверы городской администрации. Также сообщается, что благодаря наличию резервных копий и чёткой работе ИТ-специалистов ущерб для муниципальных сервисов и граждан оказался минимальным.

В открытый доступ попали SQL-дампы с данными клиентов предположительно хостинговой площадки mtw.ru.

В нескольких файлах находятся различные таблицы, содержащие: ФИО, адреса эл. почты (около 12 тыс. уникальных адресов), номера телефонов (около 12 тыс. уникальных номеров), хешированные пароли, логины (около 100 тыс.), паспортные данные и адреса регистрации (для клиентов физических лиц), IP-адреса, домены и т. п.

Данные актуальны на 17.08.2023.

Проверка случайных логинов из этих файлов через функцию восстановления пароля на сайте mtw.ru/restorepass и показала, что они действительные.

Телеграм-канал «Утечки информации» сообщает, что хакеры из группировки «UHG» слили данные предположительно страховой компании «Астро-Волга».

В предоставленных для анализа текстовых файлах объёмом около 12 Гб содержатся персональные данные клиентов (телефоны, адреса эл. почты, адреса, паспортные данные), информация по автомобилям (госномера, VIN, марки и т. п.) и страховым полисам (номера, даты, стоимость и т. п.).

Всего обнаружено около 1,3 млн уникальных номеров телефонов и 270 тыс. уникальных адресов эл. почты.

Самая свежая запись датируется 08.08.2023.

Хакерская группировка NoEscape взяла на себя ответственность за атаку на национальную коллегию адвокатов Германии (BRAK).

В своём заявлении коллегия сообщила, что сотрудничает с экспертами по кибербезопасности для расследования данного инцидента. Организации быстро удалось восстановить доступ к почтовой системе, и в её планах было не менее оперативно связаться со всеми адвокатами и клиентами, чьи данные были скомпрометированы.

Хакеры пригрозили опубликовать украденное и потребовали связаться с ними для получения дополнительной информации. Судя по таймеру на сайте злоумышленников, решение по выкупу организация должна была принять до 14 августа. Представители BRAK пока не сообщали, был ли уплачен выкуп злоумышленникам.