Обзор новостей информационной безопасности со 2 по 8 июня 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная схема по краже криптовалюты жителей России и стран СНГ.

Схема действий преступников

1. Хакеры создают фальшивые сайты и приложения для торговли криптовалютами, которые выдают за легитимные платформы.

2. Затем киберпреступники привлекают жертв через соцсети, рекламу, спам и другие каналы. Один из злоумышленников создал сотни учетных записей в соцсети Mastodon для рассылки сообщений пользователям. Также реклама поддельных сайтов также была и в TikTok.

3. Жертвы регистрируются на поддельных сайтах и вносят депозиты в криптовалюте, которые затем уходят на кошельки мошенников.

4. Все обнаруженные сайты принадлежат партнерской программе Impulse Project, рекламируемой на нескольких русскоязычных криминальных форумах. Чтобы стать частью проекта, новым аффилиатам необходимо связаться с Impulse Team и подписаться на услугу.

5. Чтобы убедить жертв вложить больше денег или не выводить свои средства, мошенники предлагают бонусы, льготы, консультации и поддержку. Они имитируют торговые операции и прибыль на счетах жертв, чтобы создать видимость успешной торговли. Если жертва пытается вывести свои средства, то ей ставят различные препятствия, например, необходимость оплатить комиссию, налог или штраф.

Группировка Core Werewolf атакует российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой, используя легальное ПО для маскировки.

Схема действий преступников

1. Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме.

2. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC —  легитимное ПО для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.

Мошенники выманивают деньги у пользоваталей, которых хотят заработать на расшифровке аудиозаписей.

Схема кампании

1. Мошенники создали сразу несколько ресурсов с идентичным дизайном и контактами для связи, но разными названиями. На этих сайтах предлагают «выполнять работу, которая не под силу компьютеру, — распознавать аудиофайлы и получать за это деньги». Речь идет о записях публичных выступлений, семинаров, судебных заседаний, интервью, лекций.

2. Пользователей заманивают обещаниями высокого дохода — якобы в среднем можно зарабатывать 3000-4000 рублей в день, — карьерного роста и удобным графиком: задания можно выполнять в любое время суток, а все, что нужно — доступ к интернету и знание русского языка.

3. Жертве нужно зарегистрироваться на портале, чтобы якобы начать зарабатывать на транскрибации. После этого человек получает доступ к платформе. Здесь есть инструкция и ответы на популярные вопросы.

4. После регистрации действительно предлагается расшифровать несколько аудиодорожек и отправить текст на проверку.

5. Когда человек захочет вывести заработанное, сервис попросит верифицировать аккаунт и внести 500 рублей. Однако никаких денег в итоге жертва, конечно, не получит.

Интернет-мошенники запустили схему повторного обмана граждан, потерявших деньги у фальшивых криптовалютных брокеров.

В Сети массово появляются сайты, предлагающие гражданам быстро и в полном объеме вернуть похищенные деньги. В мае центр мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» зафиксировал уже более 200 подобных ресурсов. Схема рассчитана на повторный обман людей, ранее пострадавших от фейковых криптовалютных брокеров или иных интернет-мошенников.

В реальности вернуть похищенные деньги крайне сложно, даже если мошенники будут найдены и привлечены к ответственности. Фейковые сайты же предлагают возврат полной суммы в течение пары недель с вероятностью более 80%.

Для большего правдоподобия злоумышленники выдают свои онлайн-ресурсы за страницы СМИ или международных финансовых и юридических компаний, а также используют образы популярных медийных персон.

Нынешняя волна мошенничества тесно связана с фейковыми инвестиционными и криптовалютными платформами, новые сайты которых появляются в количестве от 5 до 50 в день. Зачастую сайт компании по возврату денег делит одну площадку с фейковой биржей, на которой человека уже успели обмануть.

Схема работы аналогична сценариям лжеброкеров: жертва оставляет на сайте свои данные, после чего в дело вступает «персональный менеджер», который с помощью социальной инженерии выуживает дополнительную информацию и заставляет человека совершать необходимые действия (от предоставления банковской карты до оформления кредита).

Инциденты

В открытом доступе опубликованы данные, принадлежащие предположительно клиентам торговых сетей «Ашан» и «Твой Дом».

Данные «Ашан» содержат 7 840 297 строк и представлены в текстовых файлах:

• 🌵 имя/фамилия;
• 🌵 телефон (7,7 млн уникальных номеров);
• 🌵 адрес эл. почты (4,7 млн уникальных адресов);
• 🌵 адрес доставки или самовывоза (777 тыс. адресов);
• 🌵 дата создания и обновления записи (с 13.04.2020 по 18.05.2023).

Данные «Твой Дом» «слиты» в виде дампа таблицы пользователей из CMS «Bitrix». Всего 713 365 строк:

• 🌵 имя/фамилия;
• 🌵 телефон (618,3 тыс. уникальных номеров);
• 🌵 адрес эл. почты (389,5 тыс. уникальных адресов);
• 🌵 хешированный (с солью) пароль;
• 🌵 пол (не для всех);
• 🌵 дата рождения (не для всех);
• 🌵 дата создания и обновления записи (с 21.01.2019 по 18.05.2023).

В открытый доступ были выложены текстовые файлы, содержащие фрагменты дампа базы предположительно сайта gloria-jeans.ru.

В двух текстовых файлах содержится:

• 🌵 имя/фамилия;
• 🌵 адрес эл. почты (3,16 млн уникальных адресов);
• 🌵 телефон (2,36 млн уникальных номеров);
• 🌵 дата рождения;
• 🌵 номер карты постоянного покупателя;
• 🌵 дата создания и обновления записи (с 24.09.2018 по 18.05.2023).

Выборочная проверка случайных адресов эл. почты из этой утечки через форму восстановления пароля на сайте gloria-jeans.ru подтвердила, что они действительные.
В файлах попадаются хешированные (bcrypt) пароли пользователей, случайно туда попавшие при вырезании данных из полного дампа.

В открытый доступ были выложены фрагменты двух SQL-дампов из CMS «Bitrix» предположительно книжного интернет магазина book24.ru и магазина матрасов «Аскона» (askona.ru).

В дампе book24.ru 4 003 ,488 строк:

• 🌵 имя/фамилия;
• 🌵 телефон (2,4 млн уникальных номеров);
• 🌵 адрес эл. почты (3,8 млн уникальных адресов);
• 🌵 хешированный (с солью) пароль;
• 🌵 пол (не для всех);
• 🌵 дата рождения (не для всех);
• 🌵 дата создания и обновления записи (с 01.06.2016 по 29.05.2023).

В дампе askona.ru 1 948 828 строк (1,5 млн уникальных телефонов и 1,3 млн уникальных адресов эл. почты), с точно таким же набором полей. Самая «свежая» запись в этом дампе датируется 20.04.2023.

В открытом доступе оказались два файла, содержащие фрагменты таблиц зарегистрированных пользователей предположительно сайта интернет-магазина «Леруа Мерлен».

В первом файле 1 750 227 строк, во втором — 3 352 680:

• 🌵 имя/фамилия;
• 🌵 телефон;
• 🌵 адрес эл. почты;
• 🌵 хешированный (MD5 с солью) пароль;
• 🌵 пол (не для всех);
• 🌵 дата рождения (не для всех);
• 🌵 город;
• 🌵 дата создания и обновления записи (с 09.07.2011 по 20.05.2023).

Суммарно в двух файлах: 4,7 млн уникальных адресов эл. почты и 3,2 млн уникальных номеров телефонов.

Хакерская группа Cyber Legions заявила о взломе одного из российских Единых расчетных центров (ЕРЦ) — организации, которая занимается расчетами за жилищно-коммунальные услуги.

Преступники похитили 450 ГБ данных, в том числе базы данных и личные данные пользователей.

Эксперты из проекта «Утечки баз данных», который занимается анализом утечек информации, подтвердили подлинность части украденных материалов. Среди них — таблица users с почти 400 тысячами записей о клиентах ЕРЦ, содержащая их электронные адреса, логины, пароли в зашифрованном виде, IP-адреса и технические детали.

Особый интерес представляют таблицы с обращениями граждан — faq_all и faq_old, которые содержат около 470 тысяч записей с подробной информацией о пользователях: их электронных адресах, телефонах, ФИО, датах обращения, текстах и темах обращения, а также технических деталях и операторах, которые обрабатывали заявки.

Кроме того, хакеры получили доступ к таблицам subscribe_users и summaries, которые вместе содержат более 19 тысяч записей с ФИО, телефонами и электронными адресами пользователей, а также анкетными данными о местах работы, учебы и навыках.

Два госпиталя в восточном Айдахо и связанные с ними клиники подверглись серии кибератак , которые временно нарушили работу учреждений.

Некоторым клиникам пришлось временно закрыться, а часть машин скорой помощи какое-то время перенаправлялись в ближайшие больницы.

Из-за кибератак медсестры и врачи госпиталя Idaho Falls Community Hospital, были вынуждены перейти на ручку и бумагу вместо компьютеров для ведения карт пациентов.

На данный момент неясно, были ли госпитали целью атак с вымогательством. Представитель Idaho Falls Community Hospital заявил, что не знает о каких-либо требованиях выкупа, предъявленных больнице.

Из-за вымогательской кибератаки университет Ватерлоо в Канаде отключил почтовую систему.

Атака затронула только тех пользователей, которые пользуются локальным сервисом Microsoft Exchange, а не облачным. Университету пришлось временно отключить почтовую систему, из-за чего студенты не могли входить в свои аккаунты или создавать новые. Также студенты не могли использовать свои почтовые аккаунты для доступа к другим образовательным платформам университета.

Локальный сервис Microsoft Exchange был изолирован. Большинство аккаунтов Microsoft Exchange сейчас находятся в облаке и не пострадали. Это означает, что для большинства людей в кампусе доступ к электронной почте не нарушен.

На следующий день после взлома университет объявил о полном перезапуске системы на 6 часов в ночное время. Был закрыт доступ к онлайн-библиотеке университета и базе курсовых материалов. Ватерлоо призвал студентов и преподавателей сменить свои пароли до 8 июня. Те, кто не успеет до этого срока, будут заблокированы в системе и для разблокировки потребуется помощь от IT-команды университета.

Хакерская группировка Play атаковала испанский банк Globalcaja и похитила конфиденциальные данные, включая документы клиентов и сотрудников, паспорта и контракты.

Банк подтвердил , что компьютеры в нескольких офисах были заражены программой-вымогателем. Инцидент не повлиял на транзакции банка, включая счета и договоры клиентов. Офисы работают в обычном режиме.

После обнаружения атаки ИБ-команда Globalcaja отключила некоторые рабочие места в офисах и временно ограничила выполнение некоторых операций. На данный момент компания восстанавливает системы и ведёт расследование. Банк не ответил на запросы о том, будет ли он платить выкуп.

Обзор новостей информационной безопасности с 26 мая по 1 июня 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Киберпреступники взламывают аккаунты администраторов Discord-серверов и крадут криптовалюту с их счетов, используя вредоносные закладки в браузере.

Схема действий преступников

1. Администраторы групп получают запросы на интервью от лиц, выдающих себя за репортеров из новостных агентств о криптовалюте.

2. Как только жертвы соглашаются на интервью, они перенаправляются на поддельный Discord-сервер, который имитирует выпуск новостей.

3. На сервере администраторов просят подтвердить личность, перетащив ссылку с сервера на панель закладок браузера. Жертвы считают, что это действие является частью процесса проверки и выполняют его.

4. Закладка представляет собой фрагмент кода JavaScript, который скрытно извлекает токен Discord жертвы и отправляет его на веб-сайт злоумышленника.

5. Мошенник загружает токен в сеанс своего браузера и продолжает анонсировать эксклюзивные новости об NFT в целевой группе Discord, которые предназначены для привлечения наивных участников, которые уверены в легитимности сообщений.

6. Затем жертвам предлагается подключить свои криптокошельки к веб-адресу, предоставленному злоумышленником, и предоставить неограниченные разрешения на использование своих токенов.

7. Хакер успешно выводит средства со скомпрометированных счетов. Чтобы замести следы, злоумышленник оперативно удаляет сообщения и банит пользователей, пытающихся разоблачить мошенничество.

Группа хакеров Void Rabisu, также известная как Tropical Scorpius и UNC2596, использует сеть фишинговых сайтов, на которых предлагаются поддельные версии популярных программ, для внедрения трояна RomCom RAT в целевые системы.

Cайты-приманки, скорее всего, предназначены только для небольшого числа жертв, что затрудняет их обнаружение и анализ.

Среди поддельных приложений были обнаружены AstraChat, Devolutions’ Remote Desktop Manager, Gimp, GoTo Meeting, KeePass, OpenAI ChatGPT, Signal, Veeam Backup & Replication и WinDirStat.

Обнаружена кампания по распространению похитителя информации Invicta Stealer.

Схема кампании

1. Для распространения Invicta Stealer используется спам-рассылка, которая имитирует письма от компании GoDaddy с предложением вернуть деньги за оказанные ранее услуги.

2. В письме содержится фишинговая HTML-страница, которая содержит ссылку, перенаправляющую жертву на URL-адрес Discord.

3. В Discord мгновенно инициируется загрузка файла «Invoice.zip». Всё происходит так быстро, что неопытный пользователь и не замечает, что скачивание архива прошло с неофициального сайта.

4. Внутри архива находится файл-ярлык «INVOICE_MT103.lnk», иконка которого выглядит как PDF-файл.

5. Ярлык запускает PowerShell-команду для загрузки и выполнения HTA-файла с VBScript-кодом.

6. Этот код, в свою очередь, запускает другой PowerShell-скрипт, который скачивает и запускает уже Invicta Stealer.

7. После запуска Invicta Stealer собирает множество данных о системе и оборудовании жертвы: имя компьютера, имя пользователя, часовой пояс, язык системы, версия ОС, список запущенных процессов, список установленных программ, объём оперативной памяти, количество ядер процессора, разрешение экрана, идентификатор устройства, IP-адрес и геолокация.

8. Инфостилер похищает данные из длинного перечня браузеров (31 веб-браузер), включая российские Яндекс, Спутник и Амиго. А затем нацеливается на расширения криптовалютных кошельков (26 расширений), среди которых: ARK Desktop Wallet, Armory, Atomic, Binance, Bitcoin, CloakCoin, Coinomi, Daedalus Mainnet, Dogecoin, Electrum, Electrum-LTC, Electrum-Smart, ElectrumG, Exodus, Exodus Eden, Guarda, Jaxx Liberty, Litecoin, MultiBitHD, Nano Wallet Desktop, Neblio, Neon, Scatter, VERGE, WalletWasabi, Zcash.

В новой фишинговой кампании, нацеленной на кражу учетных данных Microsoft, хакеры используют зашифрованные вложения RPMSG, отправленные через скомпрометированные учетные записи Microsoft 365.

Файлы RPMSG используются для доставки электронной почты с включённым протоколом объектов электронной почты, управляемым правами (Rights-Managed Email Object Protocol). Этот протокол контролирует доступ к электронной почте и разрешения на ее использование. Вместо простого текста электронные письма через файлы RPMSG отправляются с зашифрованным содержимым и сохраняются в виде зашифрованного вложения файла. Получатели могут читать зашифрованные сообщения только после входа в свой аккаунт Microsoft или получения одноразового кода доступа.

Схема кампании

1. Атака начинается с фишингового сообщения от скомпрометированной учетной записи Microsoft 365.

2. Письмо получили пользователи отдела выставления счетов компании-получателя. В сообщении показано зашифрованное сообщение Microsoft. В электронном письме адреса электронной почты «От кого:» и «Кому:» были одинаковыми, но сообщение было доставлено различным сторонним получателям.

3. Сообщение призывает получателя нажать кнопку «Прочитать сообщение», чтобы расшифровать текст сообщения.

4. При нажатии на ссылку получатель перенаправляется на веб-страницу Office 365 с запросом на вход в свою учетную запись Microsoft.

5. После аутентификации в службе Microsoft получатель перенаправляется на страницу с фишинговым письмом. Сообщение содержит кнопку «Нажмите здесь, чтобы продолжить», указывающую на поддельный документ SharePoint, размещенный в сервисе Adobe InDesign.

6. Если получатель нажмет «Нажмите здесь, чтобы просмотреть документ» в документе Adobe, он будет перенаправлен на последнюю страницу, которая имитирует домен исходного отправителя, Talus Pay. Однако эта целевая страница имеет домен верхнего уровня «.us» (исходный домен — «.com») и была зарегистрирована недавно, 16 мая 2023 года.

7. На странице отображается только сообщение «Загрузка… Подождите» в строке заголовка, а в фоновом режиме используется Javascript, который собирает системную информацию.

8. Сценарий использует open source-библиотеку FingerprintJS для сбора данных о получателе.

9. После сбора данных на странице отобразится поддельная форма входа в Microsoft 365. Как только получатель введёт свои учетные данные, они будут отправлены на удаленный сервер злоумышленника.

Эксперты Лаборатории Касперского обнаружили крайне сложную профессиональную целевую кибератаку с использованием мобильных устройств производства Apple.

Целью атаки было незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена.

Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия. Далее шпионская программа так же незаметно передает на удаленные серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца зараженного устройства.

Несмотря на скрытность атаки факт заражения обнаружила система мониторинга и анализа сетевых событий KUMA, выявив в начале года аномалию, исходящую с Apple-устройств. Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»).

По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на зараженных смартфонах. Для этого необходимо прибегать к внешним инструментам.

Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS.

Мобильная безопасность

Новый Java-вредонос для Android распространяется под видом легитимного софта.

Расследование вывило более тысячи поддельных приложений различного профиля — по большей части банковских и игровых. Среди них встречаются такие фальшивки, как Opera Mini, мифический Android VulnScan, ChatGPT, а также премиум-версии клиентов YouTube и Netflix.

Вредонос рекламируется как MaaS (Malware-as-a-Service, вредонос как услуга) в двух телеграм-каналах. Он умеет воровать контакты жертвы, ее СМС и учетки онлайн-банкинга, совершать несанкционированные платежи, рассылать спам, модифицировать файлы, делать фотоснимки с помощью встроенной камеры.

Атаки и уязвимости

В прошивке материнских плат Gigabyte найден бэкдор, позволяющий тайно запускать программу, которая скачивает и выполняет другой код с интернета без проверки подлинности и шифрования.

Выяснилось, что при каждой перезагрузке компьютера с материнской платой Gigabyte код в прошивке запускает скрытый механизм обновления, который работает в операционной системе и загружает дополнительный исполняемый файл с серверов Gigabyte или с локального сетевого хранилища (NAS).

Бэкдор присутствует в 271 моделях материнской платы Gigabyte, то есть под ударом миллионы устройств, среди которых как старые модели для процессоров Intel 8-го поколения и Zen 2 Ryzen, так и новые для 13-го поколения чипов Intel и Zen 4 от AMD.

Уязвимость в прошивке материнской платы особенно опасна тем, что ее нельзя устранить даже полной переустановкой операционной системы или очисткой диска. Прошивка хранится в материнской плате и может повторно заражать компьютер при каждой загрузке.

В операционной системе macOS обнаружили уязвимость Migraine (CVE-2023-32369), которая позволяет злоумышленникам с root-привилениями обходить защиту System Integrity Protection (SIP), устанавливать на устройство «неудаляемую» малварь и получать доступ к личным данным жертвы, минуя проверки безопасности Transparency, Consent and Control (TCC).

Выяснилось, что злоумышленники с правами root могут обойти защиту SIP, используя утилиту macOS Migration Assistant, встроенную в macOS и использующую демон systemmigrationd с возможностями обхода SIP (благодаря правам com.apple.rootless.install.heritable).

Исследователи продемонстрировали, что злоумышленники с root-правами могут автоматизировать этот процесс с помощью AppleScript и запустить вредоносную полезную нагрузку, добавив ее в список исключений SIP (без перезагрузки системы и macOS Recovery).

Apple устранила уязвимость с релизом macOS Ventura 13.4, macOS Monterey 12.6.6, и macOS Big Sur 11.7.7 две недели назад, 18 мая 2023 года.

Новый фишинговый кит File Archivers in the Browser использует новую доменную зону ZIP.

Набор инструментов создаёт «архиватор в браузере»: показывает имитацию окна WinRAR или Проводника Windows, чтобы заставить пользователя поверить, что он действительно открыл архив, а затем запустить вредоносный файл.

Чтобы сделать фальшивое окно архиватора более убедительным, в ките имеется кнопка «Сканирование безопасности», при нажатии которой сообщается, что файлы проверены и угроз не обнаружено.

Хотя потенциальная жертва по-прежнему может видеть адресную строку браузера, подобный фейк способен обмануть многих пользователей, заставив их думать, что они взаимодействуют с WinRar.

Инциденты

В свободный доступ попал полный SQL-дамп базы данных национального онлайн-портала для предпринимателей «Мой бизнес» (Мойбизнес.рф).

По словам исследователей DLBI сайт портала работает под управлением CMS Bitrix, что подтверждается содержимым дампа. В таблице зарегистрированных пользователей имеется 207 894 записи, содержащих:

• логин;
• имя и фамилию;
• email-адрес (207 000 уникальных адресов);
• телефоны (201 000 уникальных номеров);
• хешированные пароли (MD5 с «солью»);
• дату регистрации и последней активности (с 29 августа 2019 года по 03 марта 2023 года).

Представители портала «Мой бизнес» утверждают, что сообщения об утечке данных не соответствуют действительности, подчеркивая, что «портал мойбизнес.рф — исключительно новостной сайт, который не оказывает услуги и не собирает персональные данные пользователей».

Группировка BlackCat взломала платформу Casepoint и опубликовала секреты Министерства обороны США.

На своём сайте утечек киберпреступники утверждают, что украли 2 ТБ конфиденциальных данных Casepoint, включая данные компании, документы адвокатов и другую конфиденциальную информацию.

Злоумышленники приложили несколько скриншотов предположительно украденных данных, в том числе то, что выглядит как юридическое соглашение и правительственное удостоверение личности.

Среди клиентов компании — судоходство США, SEC, DoD, Национальная администрация кредитных союзов США (NCUA), гостиничный оператор Marriott, немецкий промышленный гигант ThyssenKrupp, академический медицинский центр Mayo Clinic, железнодорожный оператор BNSF Railway и другие.

Сообщество «Вестник “Того Самого Сталкера”» во «ВКонтакте» опубликовано более 200 ГБ информации, связанной с игрой S.T.A.L.K.E.R. 2: Heart of Chornobyl.

В архиве находится актуальный билд — версия игры, готовая к тестированию. Данные были выложены для свободного доступа и анализа.

Энтузиасты поделились сплэш-скрином — заставкой из будущей игры. На нем виден темный коридор с металлической дверью и логотипом GSC Game World. В правом нижнем углу заставки написано на украинском языке, что проект создан студией GSC. «У этого “скриншота” есть все шансы оказаться в финальной версии игры, но ничего не гарантировано», — отметили авторы слива.

Из-за кибератаки была остановлена работа публичных информационных ресурсов фонда «Сколково», который занимается поддержкой инновационных проектов в России.

Злоумышленники получили доступ к некоторым информационным системам фонда и сетевым ресурсам, в том числе был взломан файлообменник на физических мощностях фонда. Хакеры опубликовали в открытом доступе снимки экранов внутренних ресурсов фонда и некоторые документы.

По словам экспертов среди опубликованных в качестве доказательства взлома файлов, не было обнаружено никаких критичных пользовательских данных (и БД в целом). Утечка содержала лишь презентации, фотографии, договора, списки партнеров и контрагентов юр. лиц.

В результате атаки временно перестали работать публичные информационные ресурсы фонда, такие как сайт sk.ru и онлайн-сервисы. В настоящее время инженеры фонда ведут работу по восстановлению работоспособности инфраструктуры. Ожидается, что основная часть сервисов будет восстановлена в течение суток. К расследованию инцидента привлечены правоохранительные органы.

Вымогатели LockBit похитили и опубликовали данные 9 миллионов медицинских пациентов MCNA Dental.

Украденные данные содержали следующую информацию:

• ФИО,
• Адрес,
• Дату рождения,
• Телефон,
• Электронную почта,
• Номер социального страхования,
• Номер водительского удостоверения,
• Номер государственного удостоверения личности,
• Страховой полис,
• Данные об уходе за зубами или брекетами (визиты, имя стоматолога, имя врача, история процедур, рентгеновские снимки, фото, назначенное лечение);
• Счета и страховые претензии.

Группировка угрожала опубликовать 700 ГБ чувствительной и конфиденциальной информации, которую они якобы выкачали из сетей MCNA, если им не заплатят выкуп в размере 10 млн долларов США.

Компания не стала платить, поэтому группировка опубликовала все данные на своём сайте утечки, сделав их доступными для скачивания любым желающим.

Неустановленная хак-группа опубликовала в своем Telegram-канале файл, который, согласно описанию, представляет собой базу данных соискателей работы в сети «Вкусно и точка» с сайта rabotaitochka.ru.

По информации Telegram-канала in2security, дамп содержит 295 914 строк. Формат данных: ФИО, возраст, гражданство, телефон (215 677 уникальных номеров), вакансия, место работы, статус работы, результат прохождения теста для соискателей и прочая служебная информация.

База охватывает временной промежуток с 1 января 2018 по 25 мая 2023 года. По данным СМИ, служба безопасности и IT-департамент сети ресторанов быстрого питания уже проверяют информацию об утечке данных.

Глобальный финансовый центр Franklin Templeton Canada, контролирующий активы на 1,5 трлн долларов США, пострадал от взлома платформы GoAnywhere.

В уведомлении для клиентов говорилось, что Franklin Templeton Canada и клиенты компании пострадали от киберинцидента, с которым столкнулся сторонний поставщик InvestorCOM.

InvestorCOM предоставляет программное обеспечение и коммуникационные решения для финансовой отрасли, соответствующие нормативным требованиям.

Для получения доступа к данным клиентов была использована ранее неизвестная уязвимость. Franklin Templeton говорит, что использовала услуги InvestorCOM для координации доставки своих публичных документов.

По данным компании, атака произошла 30 января 2023 года. Хакеры получили личную информацию — имена, адреса, номера счетов Franklin Templeton и номера счетов дилеров. Генеральная прокуратура сообщает, что от взлома пострадали 89 470 человек.

Обзор новостей информационной безопасности с 19 по 25 мая 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Антифишинг на Positive Hack Days 12

Positive Hack Days — форум по кибербезопасности, объединяющий экспертов по ИБ и этичных хакеров со всего мира. В этом году он проходил в парке им. Горького 19 и 20 мая.

Компания Антифишинг выступила на мероприятии с двумя докладами:

1. Сергей Волдохин рассказал о подходе People as Code, который позволяет определять параметры поведения людей и управлять рисками, связанными с поведением людей так же, как безопасность управляет рисками с другими цифровыми активами. Такой подход дает полную картину актуальных угроз и позволяет включить человеческий фактор в карту рисков. Оказалось, что людьми можно управлять так же просто, как конфигами Kubernetes.

Репозиторий People CMDB, о котором рассказывал Сергей. Это open-source инструмент, с помощью которого можно превратить сотрудников в цифровой актив.

Доклад Сергея:

2. Артемий Богданов рассказал о том, как построить CTF для команд разработки, чтобы в игровом формате найти и воспитать секьюрити чемпионов. Сложность была в том, что все традиционные «хакерские» CTF не подошли для разработчиков и прочих не-безопасников. В итоге родился такой формат CTF, который максимально реалистично имитирует бизнес-логику приложений и даже целого интернет-банка, и в которую легко погрузить не специалистов.
   И тут выяснилось, что разработчики, QA- и DevOps-инженеры, аналитики и тестировщики очень даже готовы попробовать себя в роли хакеров, если им рассказать важные детали и показать примеры на вводном семинаре, объяснить бизнес-логику и дать систему, максимально похожую на реальный банк.

Доклад Артемия:

Киберкампании

Киберпреступники используют программу SuperMailer для рассылки фишинговых электронных писем, которые не блокируются SEG-защитой.

Программа SuperMailer

Сочетая возможности настройки и отправки SuperMailer с методами обхода защиты, злоумышленники доставляют поддельные, но крайне правдоподобные письма в почтовые ящики различных отраслей.

SuperMailer довольно уязвим к такому типу атак, как «Open Redirect», при которых законные веб-страницы могут автоматически перенаправлять пользователя на любой URL-адрес, указанный в параметре. Это даёт возможность злоумышленникам использовать абсолютно легитимные URL в качестве первичных фишинговых ссылок.

Настроенное электронное письмо с адресом электронной почты получателя и текущей датой в теме письма.

Если почтовый шлюз не следует за перенаправлением, он проверяет только содержание или репутацию законного сайта. Хотя Open Redirect обычно считается уязвимостью, его часто можно найти даже на известных сайтах. Например, в анализируемых кампаниях использовалось открытое перенаправление на YouTube.

Отследить активность SuperMailer удалось благодаря ошибке кодирования, которую совершили злоумышленники при создании шаблонов писем: все письма содержали уникальную строку, указывающую на то, что они были созданы с помощью SuperMailer.

Инциденты

В результате кибератаки группировки Anonymous Sudаn веб-сайт и приложение авиакомпании Scandinavian Airlines (SAS ) были отключены на несколько часов.

24 мая клиенты SAS начали жаловаться на то, что не могут зайти на сайт авиакомпании. В этот же день группа Anonymous Sudаn заявила о кибератаке в своём Telegram-канале.

Сообщение в хакерском телеграм-канале

Престепники потребовали выкуп в размере 3500 долларов США за прекращение атаки. Они дали SAS 1 час на «переговоры» с ботом Anonymous Sudan в Telegram. В противном случае хакеры обещали продолжать атаку в течение всего дня и опубликовать данные компании.

Во сообщении об атаке SAS указала клиентам адрес официальной датской версии веб-сайта авиакомпании, которая вскоре тоже была атакована хакерами. К вечеру 24 мая сайты и приложение SAS всё ещё были отключены.

Популярный VPN-сервис SuperVPN оказался замаскированной фермой данных, которая хранила и продавала персональные данные своих пользователей.

Фрагмент данных в базе SuperVPN

ИБ-эксперт обнаружил в открытом доступе базу данных, связанную с популярным бесплатным VPN-сервисом SuperVPN. В базе данных было 360 308 817 записей общим объемом 133 ГБ. Каждая запись содержала адреса электронной почты пользователей, исходные IP-адреса, геолокационные данные и записи об использовании серверов.

Также в результате утечки были раскрыты секретные ключи, уникальные номера пользователей приложения и номера UUID, которые могут быть использованы для идентификации дополнительной полезной информации.

В базе данных также присутствовали модели телефонов или устройств, операционные системы, типы интернет-соединений и версии VPN-приложений, запросы на возврат средств и сведения об оплаченных аккаунтах.

Одна из крупнейших медицинских страховых компаний Новой Англии (США) Point32Health сообщила своим текущим и бывшим клиентам, что данные пациентов, включая медицинскую историю и диагнозы, были похищены хакерами во время атаки программы-вымогателя.

Компания Point32Health заявила, что обнаружила инцидент 17 апреля 2023 года и вскоре после этого начала расследование с помощью внешних экспертов по кибербезопасности. Тогда компания отключила системы Harvard Pilgrim «для локализации угрозы» и столкнулась с техническими проблемами из-за инцидента.

Расследование показало, что данные были украдены из систем Harvard Pilgrim Health в период с 28 марта 2023 года по 17 апреля 2023 года. Tufts Health Plan не пострадал в ходе инцидента.

Harvard Pilgrim сообщила, что затронутые файлы могут содержать личные данные и защищенную медицинскую информацию о текущих и бывших пациентах и их иждивенцах, а также о текущих поставщиках. Некоммерческая организация обслуживает более 1,1 млн. клиентов, которые в основном проживают в штатах Массачусетс, Нью-Гэмпшир, Мэн и Коннектикут.

Украденная информация содержит:

• периоды лечения;
• медицинская история;
• имена поставщиков услуг и диагнозы;
• номера социального страхования (SSN) клиентов;
• имена, адреса, телефонные номера, даты рождения информация о страховом счете пациентов;
• налоговую информацию поставщиков услуг.

Команда Cybernews обнаружила, что учётные данные российской компании «Эвотор», включенные в файл среды, хранились без надлежащей защиты.

Оставленный в открытом доступе файл среды содержал ключи от различных баз данных, Redis и Zendesk. Серверы баз данных и Redis обычно подключены к интернету, поэтому злоумышленник, завладев паролем, сможет без труда получить несанкционированный доступ к целевому узлу. В случае Zendesk таким же образом можно получить информацию об обращениях в техподдержку «Эвотора» и отслеживать ее коммуникации с клиентами.

В официальном комментарии по поводу публикации Cybernews пресс-служба Эвотора сообщила:

«Мы не подтверждаем информацию об утечке данных, с помощью которых можно получить несанкционированный доступ к ресурсам Эвотора, заявленную в публикации Cybernews. Также у нашей компании нет публичных серверов и баз данных, упомянутых в статье, а сервис Zendesk не используется уже продолжительное время.»

Группировка ALPHV/BlackCat похитила конфиденциальные данные у  международной аудиторской, бухгалтерской и консалтинговой фирмы Mazars Group.

Группировка сообщила о похищении данных компании на своём сайте утечек.
Хакеры украли более 700 ГБ данных, включая соглашения с клиентами, финансовые отчеты и другую конфиденциальную информацию.

Mazars Group — международный поставщик профессиональных услуг со штаб-квартирой в Париже, Франция. Компания была основана в 1940 году во Франции и с тех пор стала одной из ведущих международных аудиторских фирм. В офисах Mazars Group в 90 странах работают более 47 000 сотрудников. Годовой доход компании превышает 2 млрд долларов США. Фирма не предоставила комментариев по поводу взлома.

Хакеры из группировки UHG опубликовали в открытом доступе данные пользователей «Ситилаб».

Telegram-канал in2security сообщает, что хакеры заявляют о краже 14 ТБ внутренних данных компании.

Исследователи Data Leakage & Breach Intelligence (DLBI) пишут, что изучили несколько текстовых дампов, содержащих персональные данные пользователей, в том числе:

• 🌵 логин;
• 🌵 ФИО;
• 🌵 адрес эл. почты (483 тыс. уникальных адресов);
• 🌵 телефон (435 тыс. уникальных номеров);
• 🌵 хешированный пароль;
• 🌵 пол (не у всех);
• 🌵 дата рождения (не у всех);
• 🌵 дата регистрации (с 01.01.2007 по 18.05.2023).

По данным экспертов, пока в открытом доступе находится 1,7 ТБ данных с отсканированными результатами анализов и исследований, договорами и чеками в PDF-файлах.

Выборочная проверка случайных email-адресов через форму восстановления пароля на сайте my.citilab.ru/client/ показала, что данные действительны.

В интернете опубликован дамп базы данных российской компании ИнфоТеКС, специализирующейся на VPN-решениях и криптографической защите информации.

В утечке ИнфоТеКС содержится около 61 тыс. записей, в которых указаны логин, фамилия и имя, email, телефон, хеш пароля, место работы и должность, дата регистрации пользователей. Среди них обнаружились высокопоставленные сотрудники самой компании и ее потенциальных клиентов.

Как сообщили в компании «ИнфоТеКС», они незамедлительно начали проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru , а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин.

Специалисты ИнфоТеКС поделились следующими выводами:

«Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.»

Из-за кибератаки индийская компания Suzuki Motorcycle приостановила свою производственную деятельность.

Компания сообщила, что её производство было остановлено с 10 мая и пока неизвестно, когда оно возобновится. По данным СМИ, компания понесла огромные убытки из-за киберугрозы. Оценивается, что за последние несколько дней компания потеряла около 20 тысяч единиц продукции.

В связи с кибератакой Suzuki Motorcycle также отложила свою ежегодную конференцию поставщиков, которая должна была начаться на следующей неделе.

Официальный представитель Suzuki Motorcycle India заявил:

«Мы осведомлены об инциденте и незамедлительно сообщили об этом соответствующему правительственному ведомству. Дело в настоящее время находится в стадии расследования, и по соображениям безопасности мы не можем предоставлять дополнительных подробностей на данный момент».