Обзор новостей информационной безопасности с 12 по 18 мая 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой фишинговой кампании MEME#4CHAN используют уникальную цепочку атак для доставки вредоносной программы XWorm на целевые системы.

Цепочка атаки MEME#CHAN

Схема действий преступников:

1. Атаки начинаются с фишинговых писем, к которым прикреплены фейковые документы Microsoft Word.

2. Вместо вредоносных макросов используется уязвимость Follina (CVE-2022-30190), с помощью которой жертве доставляется обфусцированный скрипт PowerShell.

3. Этот скрипт PowerShell используется для обхода Antimalware Scan Interface (AMSI), отключения Microsoft Defender и закрепления в системе, а затем — для запуска на машине жертвы бинарника .NET, содержащего XWorm.

4. Переменные в упомянутом PowerShell-скрипте имеют необычные названия, в основном отсылающие к различным мемам и культурным феноменам: CHOTAbheem (популярный в Индии мультсериал Chhota Bheem), Sexybunbun, MEME2026, Shakalakaboomboom и так далее. Именно поэтому вредоносную кампанию назвали MEME#4CHAN.

XWorm — вредонос c широким набором функций, позволяющих похищать конфиденциальную информацию с зараженных хостов. Малварь умеет воровать данные из буфера обмена, может использоваться для DDoS-атак и атак программ-вымогателей, распространяться через USB и доставлять на зараженную машину дополнительные полезные нагрузки.

Инциденты

Общеобразовательные школы округа Франклин штата Вирджиния стали жертвой киберинцидента с вымогательским программным обеспечением.

Занятия на территории школ были отменены в интересах безопасности, пока оценивался ущерб от кибератаки. В качестве профилактических мер были также временно отключены некоторые внутренние школьные системы.

Атака была быстро обнаружена и нейтрализована. Школьный округ обошелся минимальными потерями, уже на следующий день после инцидента учащиеся вернулись к занятиям.

Группировка Leak Wolf взламывает российские компании и публикует их данные в своем телеграм‑канале. Хактивисты не применяют вредоносное ПО, маскируюясь под реальных сотрудников.

Основную деятельность преступники начали в апреле 2022 года, разместив в подконтрольном группе телеграм-канале данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий.

В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. Атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными. Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.

Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Им помогало то, что сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.

Власти американского города Даллас в штате Техас продолжает бороться с последствиями кибератаки, которая парализовала его системы две недели назад.

В начале мая киберпреступники из группы Royal зашифровали данные в ряде городских систем Далласа, используемых полицией, пожарными, судами и прочими службами. Полицейские до сих пор вынуждены вести все записи от руки, а пожарные жалуются, что получают недостаточно информации от диспетчеров, в связи с чем могут даже случайно приехать не на тот адрес.

На прошлой неделе в городе удалось частично восстановить работу систем связи для полиции и пожарных. Однако проверка номеров автомобилей или лицензий сейчас занимает от пяти до десяти минут вместо считанных секунд ранее.

Эксперт, ответственный за восстановление систем, заявил: «Пока нет признаков того, что данные жителей, поставщиков или сотрудников утекли в открытый доступ. Учитывая сложность проверки, очистки и восстановления систем, скорее всего потребуется ещё несколько недель для возвращения к полной функциональности».

С января 2012 года по апрель 2023 года облачный сервис Toyota Connected раскрывал данные о местонахождении автомобилей 2 150 000 клиентов компании.

Согласно сообщению на японском сайте компании, утечка данных произошла из-за неправильной настройки базы данных, что позволяло любому желающему получить доступ к содержимому БД без пароля.

Проблема с облачным сервисом Toyota Connected касалась только автомобилей в самой Японии. Была раскрыта информация о клиентах, которые пользовались услугами T-Connect, G-Link (аналогичной сервис Lexus), G-Link Lite или G-BOOK в указанный период времени.

В неправильно сконфигурированной базе можно было найти ID автомобильного терминала GPS, номер кузова авто, а также информацию о местоположении транспортного средства с временными отметками.

Хотя нет никаких доказательств того, что утечкой злоупотребляли третьи лица, теоретически неавторизованные пользователи могли получить доступ к указанным данным, а также местонахождению 2,15 миллиона автомобилей Toyota в режиме реального времени.

Кибератака парализовала работу американской ежедневной газеты The Philadelphia Inquirer.

Из-за этого издание не смогло распространить свой воскресный выпуск в печатном виде и опубликовала его только в электронном формате. Выпуск от 15 мая вышел с большой задержкой и в сокращённом формате. Как сообщают представители издания, инцидент стал самым большим сбоем в публикации The Philadelphia Inquirer со времён снежной бури в январе 1996 года.

Официальный представитель издания, заявила, что атака была обнаружена в субботу утром, после того как компания по кибербезопасности Cynet Systems, которая занимается обслуживанием сети The Philadelphia Inquirer, сообщила об «аномальной активности». В качестве меры предосторожности некоторые компьютерные системы были отключены.

Газета обратилась за помощью в ФБР и наняла специалистов из компании Kroll для расследования инцидента. Пока неизвестно, кто стоит за атакой, а также были ли скомпрометированы данные клиентов или сотрудников газеты.

Хакеры Money Message вломали американскую компанию PharMerica и похитили персональные и медицинские данные более 5,8 миллионов пациентов.

Злоумышленники проникли в систему PharMerica 12 марта 2023 года и украли полные имена, адреса, даты рождения, номера социального страхования, а также подробную информацию о страховании здоровья 5 815 591 человека.

Компания обнаружила вторжение 14 марта, а 21 марта установила, что данные клиентов были похищены. Однако уведомления о компрометации данных были отправлены затронутым лицам только 12 мая.

PharMerica предложила всем пострадавшим один год бесплатных услуг по защите от мошенничества с личными данными через компанию Experian IdentityWorks и рекомендовала не отказываться от этого предложения, чтобы минимизировать риски и последствия возможных будущих атак.

PharMerica не сообщила о типе хакерского инцидента, однако ответственность за атаку взяла на себя группировка вымогателей Money Message. Преступники заявили о взломе на своем сайте ещё 28 марта, за полтора месяца до официальной рассылки компанией PharMerica уведомлений о компрометации данных.

Срок ультиматума, который хакеры установили PharMerica, истёк 9 апреля, поэтому злоумышленники опубликовали все похищенные данные на своем сайте. Все файлы до сих пор доступны для скачивания как на сайте Money Message, так и на одном из публичных хакерских форумов.

Компания Discord предупреждает пользователей об утечке данных, которая произошла после взлома учетной записи сотрудника поддержки.

В результате этой атаки оказались раскрыты тикеты, связанные со скомпрометированным сотрудником поддержки, содержавшие адреса электронной почты пользователей, сообщения, которыми люди обменивались со службой поддержки Discord, а также все отправленные ими вложения.

Представители Discord заявляют, что компания незамедлительно приняла меры, отключив взломанную учетную запись сразу после обнаружения компрометации.

Журналисты польского издания «OKO.press» обнаружили, что по давно утекшему в Интернет паролю можно получить доступ к конфиденциальной базе данных, содержащей детальные карты военного порта Гдыни, план эвакуации Варшавы в случае наводнения и другую секретную информацию.

Три года назад сотрудник польского филиала американской компании ESRI, разработчика программного обеспечения для создания карт ArcGIS, отправил по электронной почте ссылку на презентацию, анализирующую один из кризисных сценариев в Варшаве, и указал логин и пароль для доступа к этой презентации, хранящейся в облачной базе данных ArcGIS.

Отправка пароля к высокочувствительной базе данных в открытом виде — это опасно уже само по себе. Однако вдобавок выяснилось, что пароль, который был отправлен ещё в 2020 году, оставался действительным до 5 мая этого года.

Владельцы польского правительственного аккаунта в ArcGIS даже не знали о том, что их учётные данные на протяжении трёх лет находились в открытом доступе, а секретная информация, которая содержалась в системе, не раз могла эксплуатироваться злоумышленниками.

В утекшем письме также содержались другие секретные данные, в том числе список клиентов ESRI, включая польские пограничные войска, полицию, спецназ и  военную разведку.

Неизвестные хакеры взломали компьютерную сеть Министерства транспорта США (DOT) и получили доступ к персональным данным 237 тыс. нынешних и бывших сотрудников ведомства.

По словам представителей министерства, кибератака не повлияла на системы транспортной безопасности, но пока не удалось установить ее источник и мотивы. В письме, отправленном DOT в Конгресс США, говорится, что взлом затронул определенные системы административного отдела, в частности, системы обработки транспортных льгот TRANServe.

DOT также подтвердило, что пока неизвестно, были ли использованы похищенные данные в преступных целях. Из 237 тысяч пострадавших 14 тысяч — действующие сотрудники министерства, а 123 тысячи — бывшие.

Швейцарская компания ABB стала жертвой вымогателя Black Basta.

Атака затронула корпоративный Windows Active Directory и сотни устройств. В ответ на случившееся ABB разорвала VPN-соединения со своими клиентами, чтобы предотвратить распространение вымогателя в другие сети.

Сообщается, что атака нарушила работу компании, вызвала задержки в работе над различными проектами и повлияла на работу заводов.

Представители ABB сначала отказались от комментариев, но потом прислали следующее заявление:

«Компания ABB недавно обнаружила инцидент с ИТ-безопасностью, который напрямую затронул ИТ системы компании. Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Такие меры сдерживания привели к некоторым сбоям в деятельности, которые компания устраняет. Подавляющее большинство систем и заводов в настоящее время работают и ABB продолжает безопасно обслуживать своих клиентов. ABB продолжает усердно работать со своими клиентами и партнерами, чтобы устранить последствия инцидента».

Обзор новостей информационной безопасности с 5 по 11 мая 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена вредоносная кампания наглых киберпреступников, которые довольно примитивно пытаются обмануть неопытных интернет-пользователей.

Схема действий преступников

1. При посещении фишингового сайта для взрослых потенциальная жертва сталкивается с баннером, требующим подтвердить возраст пользователя.
2. Когда в предвкушении «клубнички» потенциальная жертва нажимает кнопку «Мне есть 18 лет», в браузере разворачивается полноэкранная поддельная анимация обновления Windows, которая, впрочем, сразу выдаёт себя уведомлением «Нажмите ESC, чтобы выйти из полноэкранного режима».
3. Если пользователь не придал этому значения, следом выскакивает другое уведомление, требующее вручную установить «критическое обновление безопасности» почему-то имеющее название «ChromeUpdate.exe».
4. Фальшивое обновление Chrome представляет собой так называемый «полностью необнаруживаемый» (Fully UnDetectable, FUD) загрузчик вредоносного ПО под названием «Invalid Printer».
5. «Invalid Printer» первым делом после запуска проверяет графическую карту хоста, чтобы определить, запустился вредонос на виртуальной машине или на реальном компьютере. Если программа обнаруживает, что компьютер настоящий, он распаковывает и активирует похититель данных Aurora Infostealer.

Компания F.A.C.C.T. зафиксировала масштабную почтовую рассылку с фальшивыми мобилизационными повестками.

Вредоносные письма были направлены российским компаниям (в том числе HR-специалистам и секретарям) якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil[.]ru.

В отправленных письмах говорится о том, что получатели должны явиться 11 мая к 8.00 в военный комиссариат для уточнения данных. Оригинал электронной повестки (мобилизационного предписания) находится якобы в приложении к письму.

На самом деле перехваченные вредоносные письма содержат zip-архивы с именами вида «Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip» и exe-файлом внутри.

Этот исполняемый файл содержал троян удаленного доступа DarkWatchman RAT. Ранее он был замечен в кампаниях группировки Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки.

Хакерская группировка из Израиля проводит масштабную кампанию по компрометации корпоративной электронной почты, атакуя крупные компании с годовым доходом более 10 млрд долларов США.

Схема действий преступников

1. Хакеры выдают себя за генерального директора компании, в которой работает жертва. Затем они передают переписку стороннему лицу, обычно адвокату по слияниям и поглощениям, который должен контролировать процесс оплаты.
2. В некоторых случаях, когда атака переходит на второй этап, хакеры просят перенести разговор с электронной почты на голосовой звонок в WhatsApp. Так мошенники пытаются ускорить атаку и уменьшить вероятность оставления следов.
3. В дополнение к использованию двух персонажей — генерального директора и внешнего поверенного лица — хакеры подделывали адреса электронной почты, используя настоящие домены. Если в целевой организации применялась политика DMARC, предотвращающая спуфинг электронной почты, группировка обновляла отображаемое имя отправителя, чтобы оно выглядело так, как будто электронные письма исходят от генерального директора.
4. Группа переводит электронные письма на язык, который в основном используется целевой организацией.

Группировка хакеров Cactus атакует крупные компании с помощью вымогательского вируса-шифровальщика.

Схема действий преступников

1. Для проникновения в сети жертв используются уязвимости в VPN-оборудовании Fortinet
2. Файл полезной нагрузки зашифрован, чтобы избежать обнаружения. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip.
3. Исходный ZIP-архив затем удаляется, а двоичный файл запускается с определенным параметром командной строки. Выполнение происходит только при наличии этого параметра. Это делается для предотвращения обнаружения шифровальщика-вымогателя.
4. Имеется три режима запуска файла шифровальщика: установка (-s), чтение конфигурации (-r) и шифрование (-i). Для начала процесса шифрования файлов необходимо предоставить уникальный ключ AES, известный только злоумышленникам, используя параметр -i. Этот ключ необходим для расшифровки конфигурационного файла шифровальщика и публичного ключа RSA, необходимого для шифрования файлов. Он доступен в виде HEX-строки, зашифрованной в исполняемом файле шифровальщика.
5. Запуск файла шифровальщика с правильным ключом для параметра «-i» позволяет вредоносной программе начать поиск файлов и запустить многопоточный процесс шифрования.

Инциденты

Хакер едва не сорвал выход нового альбома американской рок-группы The Smashing Pumpkins под названием «ATUM: A Rock Opera in Three Acts».

Примерно полгода назад компьютерные системы группы были взломаны, после чего преступник связался с солистом коллектива Билли Корганом и сообщил ему, что девять песен нового альбома попали к нему в руки. Он предложил удалить слитые файлы в обмен на довольно крупную сумму. Корган был вынужден согласиться, оплатив выкуп из своего кармана, чтобы не подвести фанатов и не испортить коммерческий успех предстоящего альбома.

Киберпреступники украли персональные данные более миллиона пациентов компании NextGen Healthcare, одного из крупнейших американских поставщиков программного обеспечения для медучреждений.

В уведомлении о нарушении безопасности данныхкомпания подтвердила, что хакеры получили доступ к персональным данным 1,05 миллиона пациентов. В письме, отправленном пострадавшим, NextGen Healthcare сообщила, что злоумышленники похитили имена пациентов, даты рождения, адреса и номера социального страхования.

«Важно отметить, что наше расследование не выявило никаких доказательств какого-либо доступа или воздействия на ваши медицинские записи или какие-либо медицинские данные», — добавила компания.

В уведомлении также говорится, что взлом произошёл через систему NextGen Office, облачное решение для электронных медицинских записей.

Группировка Medusa похитила данные больных австралийского центра лечения рака имени кронпринцессы Мэри. Хакеры угрожают опубликовать похищенные данные больных, если не получит денежный выкуп.

По данным министерства здравоохранения Нового Южного Уэльса, киберугроза, направленная на вышеупомянутый онкологический центр, который является частью больницы Уэстмид, была обнаружена вечером 4 мая. Представитель министерства здравоохранения заявил, что атака никак не повлияла на базы данных министерства или самого центра.

В случае, если администрация больницы откажется платить выкуп, похищенные данные будут опубликованы 12 мая, и доступ к ним сможет получить любой желающий. Но если больница заплатит выкуп в размере 100 тысяч долларов США, данные можно будет скачать или удалить.

Американский оператор сотовой связи T-Mobile седьмой раз за пять лет стал жертвой утечки данных абонентов. На этот раз пострадали всего 836 абонентов.

По словам представителей компании, в марте они обнаружили несанкционированный доступ к своей сети, который начался ещё в конце февраля. Злоумышленники не смогли получить финансовую информацию или историю звонков, но похитили PIN-коды учётных записей и множество других конфиденциальных данных абонентов.

Похищенная информация различалась от клиента к клиенту, но могла включать полное имя, контактную информацию, номер счёта и связанные с ним номера телефонов, PIN-код учётной записи T-Mobile, номер социального страхования, правительственное удостоверение личности, дату рождения, баланс и внутренние коды, которые T-Mobile использует для обслуживания учётных записей клиентов.

Компания утверждает, что направила письма всем пострадавшим пользователям 28 апреля и автоматически сбросила PIN-коды для их учетных записей.

Вымогатели Avos захватили систему экстренного вещания Университета Блуфилда «RamAlert», чтобы отправлять студентам и сотрудникам SMS-сообщения и оповещения по электронной почте о том, что их данные были украдены и скоро будут опубликованы.

30 апреля университет сообщил студентам и сотрудникам о кибератаке, которая затронула ИТ-системы учреждения, в результате чего все экзамены были отложены на неопределённый срок. Изначально университет утверждал, что расследование не обнаружило доказательств каких-либо случаев финансового мошенничества или кражи личных данных.

1 мая 2023 года выяснилось, что группировка Avos (операторы AvosLocker) все еще имеет доступ к университетской системе RamAlert, системе экстренного оповещения, используемой для предупреждения студентов и сотрудников по электронной почте и СМС о чрезвычайных ситуациях в кампусе.

В последнем сообщении группировка Avos призвала получателей рассказать об инциденте СМИ и пригрозила опубликовать все украденные данные, если университет не заплатит им выкуп.

Позже в тот же день банда вымогателей опубликовала образец украденных данных, включая отчёты о заработной плате и налогах (форма W-2) президента университета и документы, связанные со страховыми полисами.

Компания Dragos, занимающаяся промышленной кибербезопасностью, сообщила, что известная хак-группа попыталась взломать ее защиту и проникнуть во внутреннюю сеть, чтобы развернуть шифровальщика.

Злоумышленникам не удалось проникнуть в сеть компании, но они все же получили доступ к облачному сервису SharePoint и системе управления контрактами компании.

Преступная группа получила доступ, скомпрометировав личный email-адрес нового сотрудника по продажам (еще до даты его начала работы), а затем эту личную информацию использовали, чтобы выдать себя за сотрудника Dragos и от его лица выполнить начальные шаги по введению в должность.

После взлома SharePoint злоумышленники скачали «данные для общего пользования» и получили доступ к 25 отчетам, которые доступны только клиентам.

В течение 16 часов, пока у них сохранялся доступ к учетной записи сотрудника, злоумышленники попытались (но не смогли из-за RBAC-правил) получить доступ к нескольким системам Dragos. В их числе: система обмена сообщениями, служба поддержки, финансовая систему, система запросов предложений, система поощрения сотрудников и маркетинговая система.

Не сумев взломать внутреннюю сеть компании, через 11 после начала атаки злоумышленники отправили руководителям Dragos вымогательское письмо. Это сообщение было прочитано лишь спустя 5 часов, поскольку было отправлено в нерабочее время.

Через пять минут после прочтения вымогательского сообщения Dragos отключила взломанную учетную запись, аннулировала все активные сессии и заблокировала доступ злоумышленников к ресурсам компании.

.lead

Обзор новостей информационной безопасности с 28 апреля по 4 мая 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зафиксирована масштабная вредоносная почтовая рассылка, в которой злоумышленники выдавали себя за крупнейшего в стране поставщика электрооборудования.

Особенности кампании

1. Для подмены адреса отправителя хакеры использовали технику спуфинга.
2. В письмах получателей из российских компаний просили прислать коммерческое предложение «с конкурентноспособными ценами для продуктов, перечисленных в приложенный документ заказа на поставку».
3. В письме, действительно, содержался ZIP-архив, однако при его открытии на компьютер пользователя загружался стилер Loki.
4. Несмотря на то, что сам текст письма написан довольно «корявым» языком, вероятно, с использованием машинного перевода, сама подпись отправителя и его электронный адрес должны вызвать доверие у получателей
5. В дальнейшем злоумышленники могли использовать похищенные таким образом данные для получения доступа к почтовым аккаунтам, базам даных, финансового мошенничества, вымогательства или шпионажа.

Умные устройства

Зарубежные автопроизводители ограничили доступ российских владельцев к удалённому управлению купленными автомобилями с помощью приложений.

Владельцы Skoda, Kia, Infiniti, Nissan и Renault не могут дистанционно разблокировать двери автомобиля, запустить двигатель, посмотреть остаток топлива, а также обновить программы, контролирующие работу мотора, ABS и тормозной системы.

Представители отрасли сообщили, что официальные приложения для автомобилей марок Skoda, Kia, Infiniti, Nissan и Renault в России работают с ограничениями — их функциональность существенно урезана.

Атаки и уязвимости

Доверенный платформенный модуль (Trusted Platform Module, TPM) на платформе AMD во время замыкания напряжения позволяет провести атаку faulTPM и получить полный доступ к криптографическим данным устройства. В результате хакер может скомпрометировать любое приложение или технологию шифрования, включая BitLocker, который полагается на TPM.

Для проведения атаки исследователи эксплуатировали уязвимость в Platform Security Processor (PSP) , присутствующую в процессорах AMD Zen 2 и Zen 3. Взлом требует физического доступа к устройству на несколько часов. Оборудование для взлома стоит около 200 долларов США.

Атака faulTPM основана на атаке fTPM , которая включает в себя создание около 45 тыс. handshake-соединений с удаленным VPN-сервером и запись ответов. Наблюдая за временем отклика, злоумышленник может восстановить закрытый ключ, используемый VPN-сервером для подписи и проверки процессов авторизации, и таким образом получить доступ к защищенной сети VPN.

Специалисты использовали ноутбук Lenovo Ideapad 5 Pro и подключили оборудование к блоку питания ноутбука, микросхеме BIOS SPI и шине SVI2 (интерфейс управления питанием). Предметом атаки стал сопроцессор безопасности PSP, присутствующий в процессорах Zen 2 и Zen 3, с целью получения данных хранящиеся в TPM. Успешное извлечение «секретного ключа» из KDF (Key derivation function) даёт полной доступ и контроль над устройством и всеми содержащимися в нем данными.

В медицинских устройствах Illumina обнаружены критические уязвимости, которые позволяют злоумышленнику фальсифицировать диагнозы пациентов.

Проблемы затрагивают программное обеспечение Illumina Universal Copy Service (UCS) в приборах для секвенирования ДНК Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 и NovaSeq 6000.

Самая опасная уязвимость CVE-2023-1968 имеет оценку опасности 10 баллов по CVSS и позволяет удаленному злоумышленнику привязываться к открытым IP-адресам и прослушивать сетевой трафик, а также удаленно передавать произвольные команды.

Вторая проблема CVE-2023-1966 (CVSS: 7.4), связана с неправильной настройкой привилегий, и позволяет удаленному неавторизованному киберпреступнику загружать и выполнять код с повышенными привилегиями.

Успешная эксплуатация уязвимостей даёт злоумышленнику возможность выполнять любые действия на уровне операционной системы. Хакер может повлиять на настройки, конфигурации, ПО или данные уязвимого продукта, а также может взаимодействовать с уязвимым продуктом через подключенную сеть.

Неавторизованный киберпреступник может использовать недостаток для воздействия на результаты геномных данных в инструментах для клинической диагностики, включая удаление, подмену или фальсификацию результатов, а также утечку данных.

Инциденты

В результате кибератаки вымогательской группировки Medusa итальянская компания Alto Calore Servizi, которая обеспечивает питьевой водой почти полмиллиона жителей из двух провинций на юге Италии потеряла доступ к внутренним IT-системам.

Организация пока что не давала комментариев о том, повлиял ли инцидент на клиентов. Но, похоже, напрямую водоснабжение кибератака не затронула.

Вымогатели заявили, что дают водопроводчикам неделю на уплату выкупа. Они предоставила образцы украденных данных и предложилb компании два варианта:

• заплатить 10 тысяч долларов США за продление срока выкупа на один день;
• заплатить 100 тысяч долларов США за полное удаление всех похищенных данных.

Группа заявила, что заполучила как личные данные клиентов, так и множество различных внутренних документов компании: контракты, отчёты, протоколы заседаний правления, информацию о разводке труб и многое другое.

Кибервымогатели Cl0p ввзломали поставщика детских психиатрических услуг Brightline и похитили данные 783 606 человек. Для взлома они использовали уязвимость нулевого дня в Fortra GoAnywhere MFT.

Данные, украденные вымогателями, включали следующую личную информацию:

• Полные имена;
• Физические адреса;
• Даты рождения;
• Идентификационные номера участников;
• Дата покрытия планом медицинского страхования;
• Имена работодателей.

После публикации информации о взломе в СМИ группировка Cl0p отправила изданию BleepingComputer электронное письмо, в котором сообщила, что удалила данные компании Brightline со своего сайта утечек.

«Мы удалили данные, мы не знали, что делает эта компания, потому что не всегда анализируем компании, которые взламываем. Мы просим прощения за этот инцидент».

В настоящий момент Brightline больше не значится в числе жертв Cl0p.

Операторы вымогательской малвари BlackCat (она же ALPHV) опубликовали скриншоты внутренних писем и видеоконференций компании Western Digital.

Western Digital подверглась взлому в конце марта 2023 года. Тогда злоумышленники скомпрометировали внутреннюю сеть и похитили данные компании. При этом вымогательскую малварь в сети Western Digital не развертывали, и файлы не были зашифрованы.

В результате этой атаки почти две недели не работали облачные сервисы компании, включая Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi и SanDisk Ixpand Wireless Charger, а также связанные с ними мобильные, десктопные и веб-приложения.

Теперь, стремясь надавить на пострадавшую компанию, хакеры опубликовали 29 скриншотов, содержащие электронные письма, документы и видеоконференции, связанные с реакцией Western Digital на эту атаку. Таким способом злоумышленники намекнули, что сохраняли доступ к некоторым системам Western Digital даже после обнаружения взлома.

Специалисты Data Leakage & Breach Intelligence (DLBI) обнаружили SQL-дамп базы данных сайта bi.zone, работающего под управлением CMS Bitrix.

В дампе содержатся, как данные зарегистрированных пользователей (имена, хешированные пароли, email-адреса), так и лиды (имена, телефоны, email-адреса, места работы).

Представители Bi.Zone сообщили:

«выложенные злоумышленниками данные соответствуют данным, хранящимся на виртуальных серверах, где размещалась часть наших маркетинговых и информационных веб-ресурсов. Серверы не были задействованы в оказании коммерческих услуг».

Анализ SQL-дампов специалистами DLBI показал, что хакеры, вероятно, получили доступ к данным нескольких сайтов (часть из них в данный момент недоступна):

• 🌵 cyberpolygon.com
• 🌵 bi.zone
• 🌵 cyberacademy.bi.zone
• 🌵 touch.bi.zone
• 🌵 aftt.bi.zone

Все дампы датируются апрелем этого года и в них, помимо настоящих данных, содержится много тестовых записей.

Компания T-Mobile предупредила о второй утечке данных в 2023 году. Злоумышленники получили доступ к личной информации сотен клиентов и сохраняли доступ к данным больше месяца (начиная с конца февраля 2023 года).

По сравнению с предыдущими утечками данных T-Mobile, последняя из которых затронула 37 миллионов человек, новый инцидент коснулся «всего» 836 клиентов. Тем не менее, объем раскрытой информации велик, и утечка подвергает пользователей риску кражи личности и фишинговых атак.

T-Mobile подчеркивает, что атакующие не имели доступа к записям звонков или информации о финансовых счетах затронутых лиц. Однако «утекшая» информация варьировалась от пользователя к пользователю и могла включать: полное имя, контактную информацию, номер счета и связанные номера телефонов, PIN-код от учетной записи T-Mobile, номер социального страхования, данные документа удостоверяющего личность, дату рождения, сумму к оплате, внутренние коды, которые T-Mobile использует для обслуживания учетных записей (например, тарифный план и коды функций), а также информацию о количестве доступных линий.

Компания Bitmarck, один из крупнейших поставщиков IT-услуг в системе обязательного медицинского страхования Германии, отключил все свои клиентские и внутренние системы из-за кибератаки.

В заявлении на временном веб-сайте компания сообщила, что личные данные не были украдены, а расследование внешними экспертами продолжается.

В Bitmarck подчеркнули, что хранящиеся на серверах компании данные клиентов защищены и не затронуты в результате инцидента. Отключение сервисов Bitmarck влияет на ряд лиц и организаций, связанных с сервисами компании, особенно на тех, кто должен получить от Bitmarck электронные больничные листы.

Bitmarck заявила, что сбои ещё будут продолжаться, поскольку инцидент вынудил компанию отключить ЦОДы, а их перезапуск, вероятно, будет сопровождаться временным сбоем обслуживания. В Bitmarck добавили, что специалисты компании пока не могут идентифицировать киберпреступников

Americold, ведущая американская компания по хранению и логистике, столкнулась с IT-проблемами после взлома её сети.

Согласно служебной записке, разосланной клиентам Americold, системы компании будут отключены как минимум до следующей недели.

«Мы локализовали вторжение и отключили нашу сеть, чтобы гарантировать отсутствие риска для неизолированных областей или клиентов. Сейчас мы всё ещё находимся на пути к восстановлению поврежденных систем», — заявили представители гиганта холодного хранения.

Компания попросила всех клиентов временно отменить входящие поставки продуктов, а также перенести все исходящие, кроме наиболее важных, где есть товары с истекающим сроком годности.

Хакеры из группировки NLB выложили в открытый доступ данные, как они заявляют, клиентов страховой компании «АльфаСтрахование».

По словам хакеров, у них на руках 14 миллионов записей, но в открытый доступ они выкладывают 1 миллион.
В файле с утечкой содержится 1 млн. записей с такими полями как:

• ⭕️ ФИО;
• ⭕️ Дата рождения;
• ⭕️ Пароль в хэше;
• ⭕️ Эл. почта (907.440 уникальных);
• ⭕️ Телефон (807.987 уникальных);
• ⭕️ Техн. информация в виде дат.

Актуальность данных в файле на 19 апреля 2023 года.