Обзор новостей информационной безопасности с 28 июля по 3 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена агрессивная киберкампания по распространению на Android-устройствах банковского трояна SpyNote (другое имя — SpyMax).

Атака операторов SpyNote начинается с вредоносного СМС-сообщения, в котором жертву призывают установить банковское приложение. Тех, кто нажмёт на ссылку в сообщении перенаправят на загрузку софта TeamViewer QuickSupport, доступного в Google Play Store.

С помощью популярной программы для удаленного доступа киберпреступники устанавливают на Android-устройства SpyNote, который может собирать данные геолокации, фиксировать нажатия клавиш, записывать действия на экране и перехватывать коды двухфакторной аутентификации.

Фишеры массово используют Google Accelerated Mobile Pages (AMP) для обхода защиты электронной почты и доступа к почтовым ящикам сотрудников организаций.

Google Accelerated Mobile Pages («Ускоренные мобильные страницы») представляют собой опенсорсный HTML-фреймворк, разработанный и продвигаемый Google, совместно с 30 компаниями-партерами.

Страницы AMP обслуживаются с серверов Google, хотя и выглядят так, будто исходят с оригинальных сайтов. Цель проекта AMP — улучшение user experience, а также повышение производительности сайтов за счет комбинации предварительной загрузки, предоставления страниц с более быстрых серверов самой Google и удаления некоторых legacy-функций.

Использование URL-адресов Google AMP, встроенных в фишинговые письма, позволяет атакующим добиться того, что технологии защиты почты не помечают такие сообщения как вредоносные или подозрительные (из-за хорошей репутации Google). На самом же деле URL-адреса AMP отвечают за перенаправление на вредоносный фишинговый сайт, а дополнительный шаг с применением AMP позволяет воспрепятствовать анализу и обнаружению.

Хакеры группировки Bahamut использует поддельное Android-приложение SafeChat для распространения шпионского ПО. Вредоносная программа крадет журналы вызовов, текстовые сообщения и данные местоположения с мобильных устройств.

Экран регистрации в фальшивом приложении

Для распространения вредоноса Bahamut использует фишинговые сообщения в WhatsApp. Цель кампании — жители Южной Азии.

Интерфейс приложения SafeChat имитирует настоящий мессенджер, а процесс регистрации пользователя выглядит абсолютно легитимным. Это служит хорошим прикрытием для вредоносного ПО.

Один из критических шагов в процессе заражения — получение разрешений на использование служб доступности, которые затем используются для автоматического предоставления шпионскому ПО дополнительных разрешений: доступа к списку контактов, СМС, журналам вызовов, внешнему устройству хранения и данным о местоположении.

Атаки и уязвимости

Новая side-channel атака Collide+Power может привести к утечке данных и работает против практически любых современных процессоров.

Новую атаку сравнивают с проблемой Meltdown и относят к уязвимостям типа Microarchitectural Data Sampling (MDS).

Collide+Power представляет собой универсальную софтверную атаку, которая применима к любому приложению, любому типу данных и работает против устройств на базе процессоров Intel, AMD и Arm. Проблема получила идентификатор CVE-2023-20583 и ожидается, что исходный код скоро будет размещен на GitHub.

Исследователи подчеркивают, что Collide+Power сложно назвать фактической уязвимостью. По сути, атака просто злоупотребляет тем фактом, что некоторые компоненты ЦП предназначены для обмена данными из разных защищенных областей. Это позволяет атакующему использовать эти общие компоненты для объединения своих данных с данными пользовательских приложений. Для этого злоумышленник измеряет энергопотребление процессора, изменяя подконтрольные ему данные и выявляя данные, связанные с пользовательскими приложениями.

Инциденты

В ночь на 3 августа были взломаны соцсети банка Уралсиб и нескольких других банков.

Мошеннический пост

Около 1:20 ночи мошенники разместили в социальных сетях сообщение о фальшивой акции с 1win, которое было удалено уже через 10 минут. С помощью этого фейкового поста об акции злоумышленники пытались похитить данные карт клиентов банка.

Пользователям, которые перешли по ссылке из этого сообщения и оставили данные своей карты, рекомендуется временно ее заблокировать.

С блокировкой представители банка советуют не затягивать, так как «мошенники в любой момент могут расплатиться картой или снять с нее деньги».

Хакерская группировка «UHG» опубликовала в открытом доступе данные предположительно интернет-магазина косметики и парфюмерии «Подружка».

Частичный SQL-дамп из CMS «Bitrix» с таблицей зарегистрированных пользователей насчитывает 2 194 148 строк, содержащих:

• 🌵 имя/фамилию;
• 🌵 телефон (2 млн уникальных номеров);
• 🌵 адрес эл. почты (2 млн уникальных адресов);
• 🌵 хешированный пароль;
• 🌵 пол;
• 🌵 дату регистрации и последнего захода (с 14.03.2017 по 29.07.2023).

Выборочная проверка случайных номеров телефонов из утечки через форму восстановления пароля на сайте podrygka.ru показала, что даные действительные.

Криптоинвестор потерял 20 млн USDT из-за фишинговой атаки.

Похищение средств произошло, когда на кошелек жертвы поступило 10 млн USDT от аккаунта на Binance. После перевода средств мошенник провёл атаку через нулевую транзакцию: он отправил нулевое количество USDT с аккаунта жертвы на фишинговый адрес. Жертва, полагая, что переводит деньги на знакомый адрес, ошибочно отправила 20 млн настоящих USDT мошеннику.

Основная опасность фишинговых атак через нулевые транзакции заключается в том, что пользователи часто проверяют только первые или последние цифры адреса кошелька, не просматривая его полностью. Это приводит к тому, что пользователи не замечают подмену и отправляют активы на фишинговые адреса.

Мошенники, в свою очередь, создают адреса, которые внешне почти не отличаются от тех, что использовались жертвами ранее. Если пользователь уже отправлял монеты на определенный адрес для депозита на бирже, мошенник может направить с кошелька пользователя 0 монет на фишинговый кошелек с похожим адресом.

Часто пользователи принимают такую транзакцию за правильный адрес для депозита и отправляют на него свои средства.

Компания Tempur Sealy, крупнейший в мире поставщик матрасов и постельных принадлежностей, стала жертвой масштабной кибератаки, из-за которой специалисты по безопасности вынуждены были отключить часть IT-систем.

Пока неясно, были ли украдены персональные данные клиентов и сотрудников. Компания заверила, что обязательно уведомит регулирующие органы в случае утечки.

Руководство не сообщает, была ли атака вымогательской. Также неизвестно, какие именно хакеры или группировки имеют к ней отношение. Ни одна из известных групп пока не взяла на себя ответственность.

Американский ритейлер одежды Hot Topic уведомил клиентов об утечке конфиденциальных данных в результате многочисленных кибератак.

В уведомлении об утечке данных компания объяснила, что хакеры использовали украденные учетные данные и несколько раз обращались к платформе Hot Topic Rewards, что также могло привести к краже данных клиентов. По словам компании, украденные учётные данные не принадлежали пользователям Hot Topic, хакеры получили их из стороннего неизвестного источника.

Информация, которая могла быть раскрыта хакерами, включает:

• Полное имя;
• Адрес электронной почты;
• Историю заказов;
• Номер телефона;
• Дату рождения;
• Адрес доставки;
• Четыре последних цифры сохраненных платежных карт.

Компания пояснила, что несанкционированный доступ или эксфильтрация данных еще не были подтверждены, но из соображений безопасности уведомляет затронутых пользователей.

В открытом доступе опубликованы данные Университетского клинического центра (CHU) в Ренне (Франция).

Украденные данные в общий доступ разместила кибергруппировка BianLian. данных. Информация содержит персональные данные, финансовые документы и сведения о медицинском персонале больницы. Объём украденной информации составляет 300 Гб

Обычно такие атаки сопровождаются требованием выкупа, но в этот раз информация стала публичной без явной причины. Такая утечка может указывать на то, что переговоры с больницей не увенчались успехом.

Больница пока не может с точностью определить, какие именно данные были компрометированы, однако имеются подозрения, что к ним могут относиться данные пациентов Центра стоматологического ухода (CSD), технических кабинетов кардиологии и лабораторий CHU. Кроме того, в ходе расследования было выявлено, что сотрудники CHU также могли стать жертвами утечки данных.

Злоумышленники внедрили на официальный сайт everlast.com вредоносный скиммер, перехватывающий конфиденциальные данные пользователей во время онлайн-оплаты.

Злоумышленники активно использовали скиммер на протяжении как минимум трех недель вплоть до этого понедельника. Вредоносный код был впервые обнаружен 11 июля. Однако он мог действовать и дольше, так как ближайшая сохранённая копия сайта без трояна датирована 7 июнем.

Покупателям, которые недавно совершали покупки на сайте Everlast, рекомендуется немедленно предпринять меры для защиты своих данных.

Эксперты считают, что за атаку на Everlast ответственны хакеры из группировки Magecart.

Медицинский центр МакАлестер в Оклахоме стал жертвой вымогательской группировки Karakurt.

Преступники украли более 126 ГБ информации, включая обширные массивы медицинских записей клиентов. Их собираются продать с аукциона тому, кто предложит наивысшую цену.

По словам группы, в «темной ярмарке» 1 августа будут фигурировать несколько медицинских учреждений. В сообщении на веб-сайте в разделе «Pre-Release» говорится: «Это компании, которые отказались от переговоров и скоро будут выставлены на аукцион».

Karakurt утверждает, что их «улов» включает не менее 40 ГБ результатов ДНК-тестов. Похищенный генетический материал может использоваться для шантажа и/или вымогательства, например, через фальшивые результаты тестов на отцовство. Преступники могут угрожать разглашением сведений о предрасположенности к болезням и серьезных диагнозах, которые повлияют на возможность трудоустройства, страховые взносы и даже социальный статус.

В утечку попали также личные документы, финансовые и бухгалтерские отчеты, а также множество документации по персоналу.

В открытом доступе опубликованы данные клиентов сети клинико-диагностических лабораторий KDL.

Компания уже расследует инцидент и отключила некоторые функции сайта.

Как сообщают специалисты Data Leakage & Breach Intelligence (DLBI), в опубликованном дампе, объем которого составляет 290 МБ, можно найти:

• 85 400 уникальных номеров телефонов;
• 43 500 уникальных email-адресов;
• имена (иногда ФИО);
• даты рождения;
• иногда содержимое (текст) обращений клиентов в лаборатории за период с 30 сентября 2021 по 22 марта 2023.

В KDL подчеркивают, что по данным специалистов компании, «персональные данные медицинского характера и паспортные данные пациентов не затронуты».

В даркнете продают базу данных закрытого недавно хак-форума BreachForums.

Продавец пишет, что продаст базу только одному человеку за 100 000—150 000 долларов, и утверждает, что дамп содержит снапшот всей БД, датированный 29 ноября 2022 года.

BreachForums считался одним из крупнейших хак-форумов, посвященным утечкам данных, и обычно именно он использовался взломщиками и вымогателями для «слива» информации. Весной 2023 года ресурс закрыли правоохранители, а его создатель и администратор был арестован. Впоследствии власти сообщали, что им удалось получить доступ к БД сайта, а в июне были изъяты домены BreachForums.

Утечка содержит 212 000 записей, в том числе имена пользователей, IP-адреса и email-адреса, а также личные сообщения и пароли, хранившиеся в виде хэшей argon2.

Обзор новостей информационной безопасности с 21 по 27 июля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Вредонос Realst распространяется под видом фальшивых блокчейн-игр.

Схема действий преступников

1. Каждая из фальшивых блокчейн-игр размещается на собственном сайте и имеет соответствующие учетные записи в Twitter и Discord.
2. Игры рекламируются в социальных сетях, а также злоумышленники обращаются к потенциальным жертвам в личных сообщениях, убеждая их протестировать игру в рамках платного сотрудничества.
3. Хакеры используют личные сообщения для предоставления жертвам кодов доступа, которые необходимы для загрузки фальшивых игровых клиентов. Эти коды позволяют злоумышленникам проверить людей, которых они хотят атаковать, и избежать ненужного внимания со стороны ИБ-исследователей.

4. После запуска такой «игры» пользователь лишается своей криптовалюты и конфиденциальных данных.

5. Пользователи Windows получают вместо игры известного инфостилера RedLine (также замечены заражения Raccoon Stealer и AsyncRAT), а пользователей macOS атакует именно Realst.

6. Кроме криптовалютных кошельков Realst ворует информацию из браузеров Brave, Google Chrome, Mozilla Firefox, Opera и Vivaldi (Apple Safari является исключением). Также малварь может собирать информацию из Telegram и делать скриншоты.

Новый вариант малвари AsyncRAT, получивший название HotRat, распространяется через пиратские версии популярных программ и утилит, включая игры, Microsoft Office, а также ПО для редактирования аудио и изображений.

HotRat предоставляет злоумышленникам широкий спектр возможностей, включая кражу учетных данных, информации криптовалютных кошельков, захват экрана, кейлоггинг, установку дополнительных вредоносных программ, а также получение доступа к данным буфера обмена и их изменение.

HotRat распространяется при помощи объединения вредоносного скрипта AutoHotkey с различным взломанным ПО, которое обычно доступно на торрент-трекерах. Скрипт инициирует цепочку заражения и предназначен для деактивации антивирусов на скомпрометированном хосте, а также запуска полезной нагрузки HotRat с помощью загрузчика скриптов Visual Basic.

Мошенники предлагают клиентам деньги за просмотры интернет-магазинов, обещая доход до 360 тыс. руб. в месяц за обзоры.

Как сообщают в банке ВТБ, кампания выглядит так:

1. Россиянам в мессенджерах поступают сообщения с зарубежных номеров телефона с предложениями просматривать товары в интернет-магазинах.
2. За это гражданам обещают выплачивать от 30 тыс. до 360 тыс. руб.
3. Для подтверждения участия и уточнения подробностей условий работы их просят отправить ответ и связаться с администратором в удобном мессенджере.
4. После этого новоиспеченный «сотрудник» должен внести на счет «работодателя» небольшую сумму, которая будет увеличиваться ежеминутно от числа просмотров товаров.

Инциденты

Хакеры из группировки SiegedSec заявили о взломе портала сотрудничества COI и хищении данных.

Портал COI (Communities of Interest Cooperation Portal) — публичный ресурс для обмена информацией и сотрудничества организаций НАТО и государств-участников альянса.

В своем Telegram-канале хакеры уже начали сливать якобы похищенные данные. Общий объем файлов составляет 845 МБ, и они содержат около 8000 строк конфиденциальной информации о пользователях, несекретные документы, а также данные для доступа к учетным записям:

• полные имена;
• название компания/подразделения;
• информацию о рабочей группе;
• должность;
• ID корпоративной электронной почты;
• адрес места проживания;
• фото.

Утечка данных может затрагивать 31 страну, входящую в альянс НАТО.

Малайзийская компания по водоснабжению Ranhill Utilities Berhad стала жертвой кибератаки хакеров DESORDEN.

Злоумышленники утверждают, что похитили сотни гигабайт данных, включая личную информацию миллионов клиентов, и нарушили работу системы управления водой AquaSmart. Компания не отвечает на требования хакеров и не информирует общественность о произошедшем.

Группа DESORDEN известна своими атаками на малайзийские организации, связанные с кибербезопасностью. В длинном и очень подробном заявлении, отправленному сайту DataBreaches, хакеры сообщают:

«Мы берём на себя ответственность за недавнее нарушение данных малайзийского конгломерата Ranhill Utilities Berhad, который обеспечивает водой и электричеством всю Малайзию. Наша атака нарушила работу Ranhill в области выставления счетов и водоснабжения, затронув более 1 миллиона клиентов. Пострадавшие системы включают систему онлайн-оплаты Ranhill, мобильное приложение и, что особенно важно, их систему управления водой AquaSmart.»

Проверка слитых файлов показала, что среди них действительно есть конфиденциальные базы и документы, принадлежащие Ranhill.

Из-за кибератаки на компанию-разработчика медицинского программного обеспечения Ortivus некоторые службы скорой помощи NHS Великобритании столкнулись с проблемами записи медицинских данных пациентов.

По словам представителей компании, 18 июля произошла кибератака на системы клиентов в Великобритании, расположенные в облачном хранилище данных.

Персонал службы скорой помощи South Central был вынужден записывать информацию о пациентах вручную после инцидента и предупрежден о возможности фишинговых атак.

Ortivus утверждает, что «электронные медицинские карты в настоящее время недоступны и обрабатываются вручную. Пациенты не пострадали. Кибератака не затронула другие системы, и клиенты за пределами облачного хранилища данных не пострадали.»

Сразу 12 правительственных учреждений Норвегии пострадали от атаки на критическую уязвимость нулевого дня в решении Ivanti Endpoint Manager Mobile.

Пострадавшая от хакерской атаки платформа использовалась самыми разными министерствами страны, но известно, что инцидент не затронул Канцелярию премьер-министра, Министерство обороны, Министерство юстиции и Министерство иностранных дел.

Норвежское управление по защите данных (DPA) уже уведомлено об инциденте, то есть, скорее всего, хакеры могли получить доступ к конфиденциальной информации в скомпрометированных системах, и произошла утечка данных.

Критический баг, получивший идентификатор CVE-2023-35078 (10 баллов из 10 возможных по шкале CVSS), был обнаружен норвежскими правительственными ИБ-специалистами в продукте для управления мобильными устройствами Endpoint Manager Mobile (EPMM, ранее известен под названием MobileIron Core) компании Ivanti.

Проблема связана с обходом аутентификации и затрагивает все поддерживаемые версии EPMM, а также более старые. Успешная эксплуатация уязвимости позволяет злоумышленнику получать доступ к определенным путям API без необходимости аутентификации.

Кибератака приостановила работу канадского поставщика оборудования для мониторинга сердца CardioComm Solutions.

Инцидент повлиял на несколько продуктов и услуг CardioComm, включая:

• HeartCheck CardiBeat — портативный монитор электрокардиограммы (ЭКГ), который подключается к смартфону пользователя через Bluetooth и позволяет передавать результаты врачу, клинике или сервису CardioComm для чтения ЭКГ;
• Global Cardio 3 — программное обеспечение для диагностики записей ЭКГ пациентов и создания отчетов по ЭКГ;
• Home Flex — программное обеспечение, которое позволяет пользователям загружать и делиться данными о работе их сердца.

Полные последствия сбоя и его влияние на пользователей, полагающихся на эти устройства для мониторинга своего здоровья, пока неизвестны. CardioComm не раскрыла подробности о характере инцидента, но упомянула, что активно работает над восстановлением данных и серверов. Это может указывать на атаку программы-вымогателя.

Организация TIAA (Teachers Insurance and Annuity Association) сообщила, что данные 2,63 млн её клиентов были похищены вымогателями Cl0p.

Всего три недели назад TIAA заявляла, что им удалось минимизировать последствия атаки, и никакой утечки не было, однако 21 июля подала заявление властям штата Мэн, в котором говорится, что личная информация 2 630 717 людей, включая 17 640 жителей штата, украдена Cl0p.

Для взлома хакеры использовали уязвимость в MOVEit Transfer — ПО для управления передачей файлов. Эта уязвимость представляет собой SQL-инъекцию, которая позволяет легко манипулировать файлами и базами данных на серверах, использующих ПО.

Онлайн-площадка для игры в покер PokerStars стала жертвой атаки хакеров Cl0p, который использовали уязвимость в MOVEit Transfer для кражи конфиденциальных данных пользователей.

Уязвимость нулевого дня MOVEit позволила преступникам получить доступ и извлечь определенную информацию с серверов MOVEit Transfer, которые PokerStars использовала для хранения и обмена данными. Уязвимость MOVEit Transfer — это уязвимость SQL-инъекции, которая позволяет неавторизованным злоумышленникам получить доступ к базе данных MOVEit Transfer и выполнять произвольный код на сервере.

По данным PokerStars, взлом затронул 110 291 человека. Открытые файлы содержали личные данные пользователя — имя, адрес и номер социального страхования (Social Security Number, SSN).

Крупнейшая золотодобывающая компания Канады Barrick Gold Corp. стала жертвой масштабной кражи данных в результате кибератаки хакеров Cl0p с использованием уязвимости в MOVEit Transfer.

Barrick Gold Corp. стала одной из 384 организаций, взломанных Cl0p.

Компания не раскрывала информацию о последствиях атаки, не сообщила, какие данные были украдены и даже не подтвердив сам факт атаки. Пресс-секретарь Barrick Gold заявила, что «не комментирует вопросы, связанные с кибербезопасностью».

Обзор новостей информационной безопасности с 14 по 20 июля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты «Лаборатории Касперского» обнаружили обновленную и адаптированную под летний сезон схему кражи учетных данных от аккаунтов Telegram.

Предыдущий вариант фишингового сообщения

В рамках этой схемы предлагается проголосовать за детский рисунок в публичном канале. Обычно авторы сообщений мотивируют потенциальных жертв тем, что победа в конкурсе поможет ребенку получить путевку в детский лагерь.

Атака начинается с того, что пользователя Telegram добавляют в канал, а не пишут в личных сообщениях, как делали раньше. В канале злоумышленники размещают сообщения от имени некой женщины. Якобы у ее друзей дочь попала в финал конкурса рисунка и нужно проголосовать за нее, чтобы девочка смогла выиграть путевку в лагерь. Для этого нужно набрать 500 голосов.

Фишинговое сообщение выглядит правдоподобным. Автор даже предлагает связаться с ней в личных сообщениях, если у людей возникнут вопросы. В профиле размещена фотография человека, а не обезличенная картинка.

Чтобы проголосовать в конкурсе, нужно перейти по ссылке, которая указана в сообщении. Однако в реальности человек попадает не на страницу с голосованием, а на фишинговый ресурс, который мимикрирует под страницу авторизации в Telegram. На нем человека просят ввести номер телефона и код подтверждения — именно эти данные и нужны злоумышленникам для кражи аккаунта.

Обнаружена кампания группировки Quartz Wolf, нацеленная на российский гостиничный бизнес.

Схема кампании

1. Злоумышленники рассылали фишинговые электронные письма от имени ООО «Федеральный Гостиничный Сервис».

2. Письма содержали ссылку, которая вела на архив с вредоносным файлом.

3. Файл в архиве представлял собой инсталлятор Inno Setup, который устанавливал на компьютер ПО «Ассистент».

4. ПО «АССИСТЕНТ» загружает вредоносный файл quartz.dll, который содержит следующую стадию. Эта стадия зашифрована RC4, в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от адреса командного сервера. Адрес командного сервера содержится в файле whu3.cfg, который также зашифрован RC4, а в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от файла roh2w3.bmp.

5. ПО «АССИСТЕНТ» позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows.

Организаторы новой мошеннической кампании на Android распространяют в мессенджерах модифицированные версии программ для удаленного доступа под видом приложений служб поддержки российских банков.

Схема действий преступников

1. Мошенник звонит потенциальной жертве (в большинстве случаев — через мессенджер) и представляется сотрудником службы поддержки банка
2. Под разными предлогами он убеждает человека установить приложение, которое присылает в сообщении в виде файла (установочного пакета).
3. Когда жертва установит приложение, злоумышленник выясняет у неё информацию для подключения и получает удаленный доступ к смартфону.
4. Для обмана преступники копируют легитимные приложения для удаленного доступа (сообщается, что одно из них есть в Google Play), а затем модифицируют их, чтобы вводить людей в заблуждение.

Атаки и уязвимости

В WhatsApp обнаружили уязвимость: оказалось, что заблокировать чужой аккаунт мессенджера может любой, кто знает номер владельца. Для этого достаточно написать в техподдержку сервиса и указать номер телефона, привязанный к аккаунту.

В справке платформы говорилось, что если телефон потерян или украден, то можно попросить техподдержку заблокировать аккаунт WhatsApp, отправив ей электронное письмо с номером телефона. Эксперт проверил этот метод на тестовом телефоне и получил положительный результат — техподдержка заблокировала аккаунт без каких-либо дополнительных проверок. При этом он использовал почтовый адрес, который не был связан с ним.

Это может быть как опасно для честных пользователей мессенджера, так и полезно для тех, кто столкнулся с кражей или шпионажем. Однако стоит учесть, что техподдержка WhatsApp только блокирует учётную запись, а не удаляет её окончательно. Владелец аккаунта может получать сообщения в течение 30 дней и восстановить свой аккаунт, если успеет — иначе он будет стёрт навеки.

Инциденты

В свободный доступ был выложен файл, содержащий персональные данные клиентов предположительно сети медицинских лабораторий «Хеликс» (helix.ru).

В этом файле содержится 7 344 919 строк:

• 🌵 ФИО,
• 🌵 телефон (879 тыс. уникальных номеров),
• 🌵 адрес эл. почты (779 тыс. уникальных адресов),
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 СНИЛС (не для всех).

Второй файл содержит записи 4 986 296 зарегистрированных пользователей:

• 🌵 адрес эл. почты (4,9 млн уникальных адресов),
• 🌵 хешированный (SHA-512 без соли) пароль,
• 🌵 IP-адрес и строка User-Agent,
• 🌵 дата регистрации и последнего захода в личный кабинет(с 17.07.2012 по 15.07.2023).

Оба дампа датируются 15.07.2023.

Хакеры из «DumpForums» и «UHG» заявили, что они взломали туроператора «Интурист» (intourist.ru).

Текстовый файл с данными Интуриста содержит 5 507 954 строки:

• 🌵 ФИО (включая имя/фамилия латиницей),
• 🌵 телефон (всего около 119 тыс. уникальных номеров),
• 🌵 адрес,
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 гражданство и место рождения,
• 🌵 серия/номер паспорта (в т.ч. заграничного), дата выдачи/окончания,
• 🌵 дата тура.

Данные очень сильно «замусорены», содержат много тестовых и недействительных записей.

Из-за опечатки в доменном суффиксе миллионы электронных писем американских военных были отправлены на домен Мали (.ml) вместо правильного суффикса .mil.

Часть этих писем является спамом и не содержит секретной информации, но есть и послания с чувствительными данными, включая медицинские отчеты, информацию о личности, списки экипажей и персонала баз, отчеты о военно-морских инспекциях и другие данные.

С 17 июля управление доменом .ml переходит под контроль правительства Мали, которое Financial Times называет близким союзником России. До этого времени доменом в течение 10 лет управлял Йоханнес Зурбиер, голландский интернет-предприниматель. Это означает, что власти Мали смогут получить доступ ко всем письмам, отправленным на их домен по ошибке.

Проблема с опечатками в доменах затронула не только американскую армию, но и Нидерланды, чей домен army.nl всего в одном символе отличается от малийского военного домена army.ml. Кроме того, правительство Мали получило восемь писем из австралийского министерства обороны, предназначавшихся для США, включая информацию о коррозии на австралийских истребителях F-35.

В результате кибератаки типа «человек посередине» индийская компания-поставщик инженерного оборудования потеряла более 24 000 евро.

Киберпреступники заменили одну букву в адресе электронной почты менеджера по продажам французской компании, с которой индийская фирма сотрудничала.

компания из Пуны разместила заказ на сумму более 51 000 евро у крупного французского инженерного предприятия в январе. Заказ был отправлен на электронный адрес менеджера по продажам французской компании, с которым фирма из Пуны поддерживала долгосрочные деловые отношения.

Через несколько дней индийская фирма получила электронное письмо, в котором говорилось, что банковский счет и код SWIFT французской компании недоступны. В письме было указано, что фирма должна произвести оплату на новый счет в банке Лиссабона.

Доверяя этому сообщению и не подозревая обмана, руководители индийской фирмы перевели авансовый платеж в размере 24 589 евро на мошеннический счет в банке Лиссабона.

В результате кибератаки на косметическую компанию Estee Lauder хакер получил доступ к некоторым данным из ее систем, в результате чего были нарушены бизнес-операции.

Владелец MAC Cosmetics сообщил, что работает над восстановлением затронутых систем и принял меры по обеспечению безопасности своих операций. Компания отключила некоторые из своих систем, чтобы смягчить последствия инцидента.

Примечательно, что ответственность за эту атаку взяли на себя сразу две вымогательские группировки — BlackCat и Cl0p.

Это не первый случай, когда Estee Lauder сталкивается с утечкой данных. В феврале 2020 года в открытый доступ попали 440 миллионов записей о клиентах компании.

Австралийская горнодобывающая компания Fortescue Metals стала жертвой кибератаки вымогателей Cl0p.

В Fortescue подтвердили взлом, назвав его «киберинцидентом с низким уровнем воздействия», поскольку атака привела к «раскрытию небольшой части данных из сетей организации», которые «не носили конфиденциальный характер».

Cl0p заявила, что никакие документы или данные Fortescue еще не опубликованы в сети, что дает Fortescue Metals возможность вести переговоры о выкупе. Хакеры дали Fortescue неделю на переговоры до того, как начнут публиковать украденные данные.

На данный момент неизвестно, как хакеры проникли в сеть компании. Предполагают, что киберпреступники могли воспользоваться 0day-уязвимостью в MOVEit Transfer ( CVE-2023-34362 CVSS: 9.8).

Компания JumpCloud, предоставляющая услуги управления идентификацией и доступом, стала жертвой нападения хакеров, которые использовали целевой фишинг для проникновения в системы и кражи данных определённых клиентов.

JumpCloud утверждает, что угроза была ликвидирована, а вектор атаки, который злоумышленники использовали для «целевого воздействия на малую и конкретную группу» клиентов, уже был устранён. Компания не сообщила, были ли похищены учётные данные клиентов и насколько масштабной получилась утечка.

JumpCloud впервые обнаружила аномальную активность в своей внутренней системе управления 27 июня. Она связала её с нападением методом целевого фишинга, произошедшую за несколько дней до этого, 22 июня. Несмотря на отсутствие доказательств воздействия на клиентов в то время, JumpCloud изменила учётные данные, перенастроила инфраструктуру и предприняла дополнительные шаги для усиления безопасности своей сети.

Однако 5 июля компания заметила признаки воздействия на данные своих клиентов. Тогда компания провела внутреннее расследование и обнаружила злонамеренную активность во внутренней сети, в связи с чем сбросила API-ключи всех администраторов. Это потребовало от клиентов обновить все интеграции с третьими сторонами с помощью новых ключей.

Норвежская компания TOMRA, мировой лидер в области технологий переработки отходов, стала жертвой масштабной кибератаки, которая повлияла на некоторые её информационные системы.

В воскресенье 16 июля IT-специалисты компании обнаружили необычную активность в информационных системах, указывающую на атаку извне. Они немедленно приняли меры и отключили многие системы, чтобы сдержать и смягчить ситуацию. Пока полного представления о возможных последствиях кибератаки не составлено.

Обсуждая потенциальные последствия атаки, компания заявила о нестабильности и замедлении сервиса, не упомянув при этом о характере самой атаки и возможной утечке данных, а также прочих негативных последствиях. Вполне вероятно, TOMRA пока сама не уверена, насколько глубоко успели проникнуть хакеры, поэтому не хочет делать преждевременных заявлений.

Город Корнелиус в Северной Каролине столкнулся с проблемами в предоставлении услуг из-за кибератаки вымогателей.

После обнаружения инцидента все компьютеры были отключены от сети, чтобы локализовать угрозу и предотвратить её распространение. Ожидается, что все затронутые системы будут тщательно проверены, очищены и лишь после этого вернутся в эксплуатацию для обеспечения нормальной работы городской инфраструктуры.

Некоторые услуги, предоставляемые городом, могут оказываться с задержкой или вовсе быть временно недоступны до полного восстановления всех систем.

Главная телефонная линия полиции в настоящее время не работает из-за атаки. Однако представители правоохранительных органов предоставили альтернативные номера телефонов для тех, кому нужно дозвониться напрямую в полицию.

Власти не называют группировку вымогателей, стоящую за атакой, а также хранят молчание относительно выкупа.