Обзор новостей информационной безопасности с 21 по 27 апреля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания по распространению фальшивых подарочных карт для игры Fortnite через взломанные сайты, работающие на движках TWiki и MediaWiki.

В распространении спама замечены сайты ряда университетов, включая Стэнфорд, Беркли и Массачусетский технологический институт.

Взломанные Wiki-ресурсы заманивают читателей на фишинговые сайты, где им предлагают бесплатные подарочные карты в обмен на участие в фиктивных опросах, внутриигровую валюту ​​Fortnite, а также различные читы. На самом деле такие страницы представляют собой фишинговые формы, которые запрашивают и воруют у пользователей учетные данные.

Хотя вредоносная кампания в первую очередь нацелена на университетские сайты, созданные с помощью MediaWiki, похоже, что от рук тех же хакеров пострадали и правительственные сайты. В их числе мини-сайты правительства Бразилии и европейский Europa.eu. В случае с Europa.eu спамеры злоупотребляют сервисом Europass e-Portfolio, порталом поиска работы, который позволяет резидентам ЕС создавать резюме и сопроводительные письма в формате PDF.

Телефонные мошенники придумали новую опасную схему обмана: они убеждают жертв прятаться под предлогом того, что им угрожает опасность. После этого злоумышленники связываются с родственниками спрятавшихся, говорят, что их близких похитили, и начинают вымогать деньги.

Схема действий мошенников

1. Неизвестные связываются с жертвой и сообщают ей об угрозе некоего преследования, спастись от которого можно лишь одним путем — спрятавшись во временном укрытии.

2. Добраться туда необходимо самостоятельно, при этом по пути нужно выбросить телефон (за ним, по словам мошенников, установлена слежка), а потом купить новый с SIM-картой, чтобы жертву не могли отследить.

3. Жертва, следуя указаниям злоумышленников, путает следы и постоянно меняет транспорт, а затем добирается до «убежища» — обычной квартиры с посуточной арендой или недорогого мотеля. Ее убеждают самостоятельно платить за жилье, но ни в коем случае не выходить на связь с родными или близкими.

4. Пока жертва таким образом находится в изоляции, телефонные мошенники связываются с ее родственниками, сообщают о «похищении» и начинают агрессивно требовать выкуп.

«Тинькофф» выявил схему обмана сотрудников банков с помощью ложных отзывов.

Преступники оставляют негативные отзывы о банке, чтобы оказывать давление на сотрудников и разблокировать переводы средств

Как действуют мошенники

1. Сначала мошенники с помощью методов социальной инженерии убеждают клиентов банка перевести им свои деньги, либо получают доступ к их личному кабинету для самостоятельного проведения операции.

2. Такие денежные переводы имеют особые признаки, по которым служба фрод-мониторинга их выявляет и блокирует для проверки легитимности транзакции. В результате злоумышленники не могут получить деньги.

3. Чтобы разблокировать переводы, мошенники начали использовать лазейки в модерации сайтов, которые позволяют опубликовать отзыв без проверки личности автора, и на которых службы поддержки банков активно общаются с клиентами. Мошенники публикуют посты на VC.ru и Banki.ru от лица самих клиентов, а также убеждают писать отзывы самих клиентов.

4. В публикациях давят на жалость, оскорбляют банк, а также вводят в заблуждение читателей сайтов для того, чтобы сбить с толку службу безопасности и поддержку банка и убедить ее поскорее разблокировать операцию и в итоге — чтобы украсть деньги.

Для проверки отзывов сотрудники центра экосистемной безопасности дополнительно связались с реальными клиентами, которые сообщили, что не писали отзывы на этих сайтах, а в тексте описана выдуманная история. После этого мошенническая операция отменялась, и деньги оставались на счете.

Всего за февраль-март 2023 года зафиксировали около 15 отзывов, сделанных как самими мошенниками, так и клиентами под их воздействием. Объем заблокированных операций составил более 3 млн рублей.

Обнаружена новая кампания под названием «OCX#HARVESTER» по распространению бэкдора « More_eggs » и других вредоносных программ.

Кампания OCX#HARVESTER ориентирована на финансовый сектор, особенно на криптовалюты.

Схема кампании

1. Цепочка заражения начинается с фишинговых писем, содержащих вредоносный ZIP-архив, который загружает два LNK-ярлыка.

2. LNK-ярлыки замаскированы под JPEG-файлы и отображаются как значок WIM-файла «Windows Image Resource», который содержит библиотеку значков для файлов и папок.
3. После выполнения загруженные файлы дополнительно загружают другие вредоносные файлы, которые развертывают More_eggs (TerraLoader).

4. В некоторых случаях злоумышленники также пытаются загрузить и запустить расширение SharpChrome, предназначенное для кражи cookie-файлов и данных для входа в Chrome.

Атаки и уязвимости

В протоколе SLP (Service Location Protocol, Протокол обнаружения сервисов) обнаружена уязвимость CVE-2023-29552, которая позволяет усиливать DDoS-атаки примерно в 2200 раз.

По данным исследователей, более 2000 организаций раскрывают в интернете 54 000 уязвимых серверов с SLP, которые могут стать мишенями хакеров.

В числе уязвимых сервисов входят гипервизоры VMWare ESXi, принтеры Konica Minolta, IBM IMM (Integrated Management Modules) и маршрутизаторы Planex, работающие по всему миру. Больше всего уязвимых девайсов было обнаружено в США, Великобритании, Японии, Германии, Канаде, Франции, Италии, Бразилии, Нидерландах и Испании. Они принадлежат ряду компаний из списка Fortune 1000, работающих в области технологий, телекоммуникаций, здравоохранения, страхования, финансов, гостиничного бизнеса и транспорта.

SLP был создан в 1997 году для использования в локальных сетях. Он позволяет компьютерам и иным устройствам находить сервисы в локальной сети без предварительной конфигурации через UDP и TCP на порту 427.

Несколько поколений процессоров Intel уязвимы для нового вектора атаки по сторонним каналам. Из-за этого может произойти утечка конфиденциальных данных через регистр флагов EFLAGS и анализ тайминга выполнения инструкций.

Вместо расчёта на систему кеширования, как это делают большинство подобных методов, новый вектор задействует уязвимость в процессе временного выполнения. Эта брешь позволяет извлекать конфиденциальные данные из пространства пользовательской памяти с помощью анализа тайминга.

Чтобы провести атаку, нужно:

1. Спровоцировать временное выполнение и зашифровать «секреты» через регистр EFLAGS.
2. Замерить время выполнения инструкции JCC для расшифровки данных.

Новый вектор обеспечивает 100-процентную результативность извлечения данных с процессорами Intel i7-6700 и Intel i7-7700. В случае с более новым CPU — Intel i9-10980XE — слить сведения получилось лишь в отдельных случаях. Эксперименты проводились на Ubuntu 22.04 с ядром Linux версии 5.15.0.

Опасная уязвимость GhostToken в Google Cloud Platform (GCP) позволяла злоумышленникам создавать бэкдоры для чужих учетных записей, используя вредоносные приложения с OAuth, установленные из магазина Google или сторонних поставщиков.

Суть GhostToken заключается в том, что после авторизации и привязки к токену OAuth, который дает доступ к учетной записи Google, вредоносное приложение может стать «невидимыми» за счет использования этой уязвимости. В итоге приложение будет скрыто со страницы управления приложениями, единственного места, откуда пользователи Google могут управлять своим приложениями, подключенными к учетным записям.

Чтобы сделать вредоносные приложения, авторизованные жертвами, «невидимыми», злоумышленнику было достаточно просто перевести их в состояние «ожидает удаления», удалив связанный проект GCP. Причем после восстановления проекта хакеру будет предоставлен refresh-токен, позволяющий получить новый токен доступа, который можно использовать для доступа к данным жертв.

Все это можно было проделывать в цикле, удаляя и восстанавливая проект GCP, чтобы скрывать вредоносное приложение от жертвы.

Последствия такой атаки зависели от конкретных разрешений, предоставленных жертвой вредоносному приложению. Сюда могли входить данные, хранящиеся в приложениях Google жертвы, в том числе Gmail, Drive, Docs, Photos, Calendar, а также в сервисах Google Cloud Platform (BigQuery, Google Compute, и так далее).

Инциденты

На одном из газопроводов произошел киберинцидент, в результате которого могла произойти детонация горючего вещества.

Премьер-министр Канады Джастин Трюдо подтвердил кибернападение на газопровод, но отметил, что атака не нанесла физического ущерба энергетической инфраструктуре и информация про возможный взрыв не соответствует действительности.

Согласно местным источникам, хакеры смогли показать, что у них есть возможность увеличить давление в распределительном клапане, отключить сигнализацию и даже вызвать аварийное отключение питания на газовой станции. Однако после проникновения в сеть киберпреступники так и не предприняли каких-либо деструктивных действий.

Мошенники взломали аккаунт 50-летнего жителя Сахалина на портале Госуслуг и записали его добровольцем на специальную военную операцию.

Как сообщили в пресс-службе областного управления МВД, сахалинцу в мессенджере позвонил неизвестный и представился сотрудником «Госуслуг». Звонивший заявил, что аккаунт мужчины взломали, и попросил назвать его проверочный код из поступившей SMS, что тот и сделал. Отмечается, что в ходе разговора аферист также пытался выведать у мужчины информацию о его накоплениях.

Через три дня потерпевший зашел в приложение «Госуслуги» в свой личный кабинет и обнаружил, что он записан добровольцем на специальную военную операцию, а также нецензурные высказывания.

Группировка Dumpforums заявила об успешной компрометации компании «Первый Бит», интегратора ИТ-решений для учета и управления.

Хакеры утверждают, что похитили у компании 24 ТБ информации и требуют выкуп в размере 5 BTC.

25 апреля 2023 года, участники Dumpforums дефейснули сайт 1cbit[.]ru, разместив там вымогательское послание. По их словам, в ходе этой атаки пострадали «базы клиентов, разработки, внутренние сервисы» компании.

В своем Telegram-канале группа сообщает, что похитила «невероятное количество информации по гос сектору, критической инфраструктуре и многое другое», проведя в сети компании больше месяца. Свои заявления хакеры подкрепляют скриншотами якобы похищенных данных.

В настоящее время сайт «Первого Бита» уже работает в штатном режиме, а представители компании подтвердили, что атака действительно имела место, но не подтверждают утечку данных.

Телефонные мошенники похитили с банковских карт бывшего первого заместителя руководителя аппарата Государственной думы Юрия Безверхова 44,3 млн руб.

В полиции 78-летний пенсионер Юрий Безверхов рассказал, что еще в 2022 году общался по WhatsApp с неизвестным, который представился сотрудником Центробанка. Он сообщил, что счетом Безверхова воспользовались мошенники и уговорил его сообщить личные данные и коды банковских карт.

С 2022 по 2023 год Юрий Безверхов долгое время лежал в больнице и проживал на даче, поэтому не знал о хищении. Злоумышленники списывали деньги крупными суммами и переводили их на банковские карты физлиц

О краже накоплений пенсионер узнал после того, как обратился в банк. Полиция ведет расследование, пытается установить личности владельцев карт, на которые переводили средства.

Хакеры взломали независимую транспортную компанию Аляски Alaska Railroad Corporation (ARRC) и похитили конфиденциальную информацию о поставщиках и сотрудниках компании.

ARRC утверждает, что обнаружила инцидент 18 марта 2023 года и приняла «немедленные меры для выявления и сдерживания взлома». Задержка уведомления связана с выяснением обстоятельств взлома в ходе расследования правоохранительных органов.

Были украдены следующие данные:

• личные данные поставщиков ARRC, действующих и бывших сотрудников и их семей;
• имена;
• даты рождения;
• номера социального страхования (SSN);
• водительские права;
• другие удостоверяющие личность документы;
• идентификационные номера налогоплательщиков (ИНН);
• банковская информация;

Утечка также включала крайне чувствительную информацию:

• информация о медицинском страховании;
• результаты анализов на наркотики;
• оценки работы;
• свидетельства о рождении или браке.

Генеральная прокуратура штата Мэн заявляет, что от взлома пострадали 7 413 человек.

В результате взлома американской ассоциации юристов (American Bar Association, ABA) хакеры получили доступ к учётным данным 1 466 000 участников ассоциации.

ABA является крупнейшей юридической ассоциацией в мире, насчитывающей 166 тысяч действующих участников по состоянию на 2022 год. Организация предоставляет непрерывное образование и услуги для юристов и судей, а также инициативы по совершенствованию правовой системы США.

В конце апреля ABA начала уведомлять своих участников о том, что 17 марта в сети ассоциации был обнаружен хакер, который получил доступ к учётным данным участников от устаревшей системы, выведенной из эксплуатации в 2018 году. Как сообщают представители ассоциации, правоохранительные органы были оперативно уведомлены, а к расследованию привлечены сторонние эксперты по кибербезопасности.

Обзор новостей информационной безопасности с 14 по 20 апреля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена массовая кампания по заражению компьютеров зловредом QBot, также известным как QakBot, QuackBot и Pinkslipbot.

Схема действий преступников

1. Для распространения вредоноса использовались электронные письмана разных языках — английском, немецком, итальянском и французском.
2. За основу таких сообщений были взяты реальные деловые письма, к которым злоумышленники получили доступ, а вместе с ним и возможность отправлять участникам переписки свои сообщения.

3. В таких письмах получателей призывали под благовидным предлогом открыть вложенный PDF-файл. Например, злоумышленники могли попросить прислать всю документацию по приложенному к письму заявлению или посчитать сумму контракта по смете расходов из вложения.

4. Внутри PDF-файла находится имитация уведомления от Microsoft Office 365 или Microsoft Azure о том, что для просмотра вложенных файлов нужно нажать на кнопку Open.

5. Если пользователь нажимает ее, на компьютер с удаленного сервера (скомпрометированного сайта) скачивается архив с паролем, который указан в исходном PDF-файле.

6. Внутри скачанного архива находится файл с расширением .wsf (Windows Script File), который содержит обфусцированный скрипт на языке программирования JScript.

7. После деобфускации WSF-файла раскрывается его истинное содержимое — закодированный в строку Base64 скрипт PowerShell.

8. Как только пользователь запустит WSF-файл из архива, на его компьютере незаметно выполнится PowerShell-скрипт, который с помощью wget загрузит DLL-файл с удаленного сервера. Имя этой библиотеки меняется от жертвы к жертве и представляет собой автоматически сгенерированную последовательность букв.

9. PowerShell-скрипт попытается последовательно скачать файл с каждого из перечисленных в коде URL-адресов. Чтобы понять, оказалась ли попытка успешной, скрипт проверяет размер загруженного файла, используя команду Get-Item для получения информации. Если размер файла больше или равен 100 000 байт, то скрипт запускает DLL-файл с помощью rundll32. В ином случае он ожидает четыре секунды и пытается скачать библиотеку со следующей ссылки по списку. Загружаемая библиотека и есть QBot.

Мобильная безопасность

Goldoson — новое вредоносное ПО для Android распространяется в Google Play внутри 60 приложений со 100 млн. загрузок.

Вредоносный компонент является частью сторонней библиотеки, которая используется во всех 60 приложениях.

Goldoson может собирать данные об установленных приложениях, об устройствах, подключенных по Wi-Fi и Bluetooth, а также о местоположении пользователя по GPS, проводить мошенничество с рекламой, переходя по рекламному баннеру в фоновом режиме без согласия пользователя.

Когда пользователь запускает приложение, содержащее Goldoson, библиотека регистрирует устройство и получает его конфигурацию с удаленного сервера, домен которого замаскирован. Конфигурация содержит параметры, определяющие, какие функции кражи данных и кликов по рекламе должны запускаться на зараженном устройстве и как часто.

Функция сбора данных обычно активируется каждые 2 дня, отправляя на C2-сервер список установленных приложений, историю местоположений, MAC-адреса устройств, подключенных к Bluetooth и WiFi, и другую информацию.

Инциденты

Американская компания NCR пострадала от хакерской атаки, в результате которой остановилась работа POS-системы Aloha, используемой в ресторанно-гостиничном бизнесе.

NCR выпускает платежные терминалы, банкоматы, POS-терминалы, считыватели штрих-кодов, а также являющаяся предоставляет различные аутсорсинговые ИТ-услуги. Ответственность за атаку, взяла на себя вымогательская группировка BlackCat (она же ALPHV) .

POS-платформа Aloha перестала работать, еще в середине прошлой недели, а клиенты полностью лишились возможности ею пользоваться. После нескольких дней молчания NCR наконец сообщила, что сбой был вызван вымогательской атакой, которая затронула центры обработки данных, связанные с Aloha.

Хотя в письме утверждается, что сбой коснулся лишь «служебных приложений» и затронул небольшую часть клиентов, на Reddit пострадавшие сообщают, что на самом деле атака вызвала значительные проблемы в их работе.

«Я менеджер ресторана, у нас небольшая франшиза, примерно на 100 сотрудников. Сейчас мы работаем по старинке, как в каменном веке, на бумаге и отправляем все это в головной офис. Вся эта ситуация — огромная головная боль», — говорит один из клиентов POS-системы Aloha.

Другие пользователи рекомендуют извлекать данные из файлов вручную, пока не закончится сбой.

Американский поставщик сетевой инфраструктуры CommScope стал жертвой вымогательской атаки группировки Vice Society.

Хакеры получили доступ к инфраструктуре CommScope 27 марта и заразили офисные компьютеры вымогательским софтом, после чего разместили на даркнет-форуме данные из сети жертвы, а все файлы зашифровали. Правоохранительные органы были оперативно уведомлены о произошедшем, ведётся расследование.

В субботу, 15 апреля, группа вымогателей Vice Society отметила CommScope на своем сайте утечки данных и поделилась массивами информации, предположительно украденными у CommScope. По заверениям хакеров, массивы содержат конфиденциальные данные о более чем 30 тысяч сотрудников компании, включая их паспорта.

Согласно информации Vice Society, в утечке присутствуют счета-фактуры, банковские документы и прочие файлы компании.

Группа вымогателей Black Basta провела успешный взлом аутсорсинговой компании Capita и выставила на продажу украденные конфиденциальные данные.

На данный момент Capita не подтвердила подлинность утечки данных и не нашла доказательств компрометации данных клиентов, поставщиков или партнёров. Компания сотрудничает со специалистами-консультантами и судебно-медицинскими экспертами в расследовании инцидента.

Образцы утекших данных Capita включают:

• номера телефонов граждан;
• домашние адреса;
• реквизиты банковских счетов 152 организаций;
• персональные данные учителей, подающих заявки на работу в школах и дет.сады;
• внутренние планы этажей нескольких зданий Capita.

По словам вымогателей, эта информация — всего лишь часть того, что они украли у Capita.

Изначально Capita заявляла , что из-за технической проблемы сотрудники не могли получить доступ к рабочим IT-системам. Позже Capita подтвердила, что 31 марта произошёл киберинцидент, в первую очередь затронувший доступ к внутренним приложениям Microsoft 365. Взлом вызвал сбои в работе некоторых услуг, предоставляемых отдельным клиентам, но при этом большинство клиентских служб продолжали работать.

Из-за кибератаки в израильском аэропорту Бен-Гурион произошел сбой в работе системы пограничного контроля. Тысячи пассажиров не смогли прибыть или покинуть страну, так как компьютерная система не могла прочитать их паспорта.

Проблема возникла во время массового возвращения израильтян из-за границы после проведения праздника Песах. Вечером 15 апреля жители Тель-Авива, в домах которых установлена компьютерная система «Умный дом», сообщили о перебоях в ее работе. Так, у многих обладателей системы примерно час без остановки включался и выключался свет, а также открывались и закрывались жалюзи. Кроме того, вечером на экранах телевизоров внезапно появились сцены запусков ракет и терактов, в финале которых высветилась надпись на иврите: «Вы не будете в безопасности на этой земле».

Канадская общественная больница Корнуолла сообщила, что 11 апреля обнаружила некоторую «проблему с сетью», которая, как позже выяснилось, оказалась кибератакой.

Больница не сообщила, была ли это атака программы-вымогателя или какого-то другого вредоносного софта, однако официальные лица заявили, что наняли экспертов по кибербезопасности для решения этой проблемы.

«В настоящее время мы можем подтвердить, что наша клиническая электронная медицинская карта не пострадала. Предоставление исключительного ухода, ориентированного на пациента, является главным приоритетом больницы, поэтому мы продолжаем оказывать высококачественные клинические услуги. Однако жители могут столкнуться с некоторыми задержками в плановой или несрочной помощи», — говорится в заявлении больницы.

Организация призвала пациентов следить за каналами в социальных сетях, чтобы получать больше обновлений о том, когда оказание услуг вернётся в нормальный режим.

Немецкий производитель оружия Rheinmetall пострадал от кибератаки.

Атака затронула бизнес-подразделение Rheinmetall, которое обслуживает промышленных клиентов, в частности, в автомобильном секторе. Оборонное подразделение компании, производящее военную технику, оружие и боеприпасы, не пострадало и продолжает работать «надежно», сообщил представитель Rheinmetall Оливер Хоффманн.

Rheinmetall в настоящее время расследует размер ущерба и находится в тесном контакте с соответствующими органами кибербезопасности, сказал Хоффманн.

Австралийский гигант супермаркетов Coles подтвердил утечку финансовых данных, связанных с кибератакой на компанию Latitude Financial.

В результате инцидента личная информация, используемая для выпуска кредитных карт под брендом Coles, была украдена киберпреступниками.

В марте Latitude Financial заявила Австралийской фондовой бирже о кибератаке, которая повлияла на 330 тыс. записей клиентов. 27 марта компания подтвердила, что преступники украли 14 миллионов записей о клиентах, большая часть которых относится к 2005 году. Среди украденной информации — номера водительских прав, имена, адреса и даты рождения, а также тысячи номеров паспортов.

Эксперты DLBI (Data Leakage & Breach Intelligence) предупреждают, что в сети появился SQL-дамп таблицы зарегистрированных пользователей, предположительно взятый из базы данных сайта sogaz[.]ru, принадлежащего страховой компании «СОГАЗ».

Исследователи говорят, что дамп, судя по всему, был получен из CMS Bitrix (скорее всего, это произошло 21 октября 2022 года) и содержит 8 309 754 строки, каждая из которых включает:

• логин;
• ФИО;
• email-адрес (7,86 млн уникальных адресов);
• телефон (5,39 млн уникальных номеров);
• дата рождения;
• хешированный (MD5 с солью) пароль;
• место работы (не для всех).

Специалисты сообщают, что выборочно проверили случайные email-адреса из этого дампа через форму восстановления пароля на сайте lk.sogaz.ru и выяснили, что они действительны.

Обзор новостей информационной безопасности с 7 по 13 апреля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена кампания группы Watch Wolf, нацеленная на компрометацию рабочих станций бухгалтеров российских компаний и вывод денежных средств через онлайн-банкинг.

Схема действий преступников

1. Для привлечения жертв используется отравление поисковой выдачи (SEO poisoning). Для этого на сайты, распространяющие ВПО, добавляются ключевые слова, которые выводят их на первую страницу поисковой выдачи при определенных запросах. Также достичь этой цели злоумышленникам помогает покупка контекстной рекламы.

2. Жертвы попадают на сайты, имитирующие ресурсы для бухгалтеров.

3. На сайте жертве предлагается загрузить искомый документ в одном из популярных форматов, например Microsoft Excel.

4. После перехода по ссылке жертва загружает файл, но не тот, что указан в описании, а SFX-архив, содержащий вредоносное программное обеспечение. При этом файл размещен не на самом сайте: вместо этого используется система размещения контента мессенджера Discord.

5. Запуск загруженного файла приводит к инсталляции бэкдора DarkWatchman. Вредоно представляет собой сценарий JavaScript, который размещается в папке C:\Users\%имя_пользователя%\AppData\Local\ и запускается посредством wscript.exe.

6. Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.

Мошенники придумали новую схему кражи аккаунтов в Telegram, предлагая пользователю авторизоваться в боте, который якобы ищет интимные фотографии друзей и знакомых.

Схема кампании

1. Жертва получает сообщение или видит рекламу, в которой ей предлагают посмотреть интимные фото людей из списка контактов.
2. Для этого нужно авторизоваться в специальном Telegram-боте, который не только покажет горячие фото, но и даст доступ к «Telegram для взрослых».
3. Авторизация происходит на специальном фишинговом сайте, где жертве предлагают ввести номер учетной записи, код подтверждения и облачный пароль.
4. После того, как жертва сделает это, злоумышленники получают доступ к аккаунту и могут использовать его для кражи конфиденциальных данных, шантажа и рассылки мошеннических сообщений.

Инциденты

Хакеры взломали MyBB форум опенсорсного медиаплеера Kodi и похитили базы данных, содержащие записи, личные сообщения и учетные данные пользователей.

Закрытый в настоящее время форум Kodi насчитывает около 400 000 участников, которые использовали эту площадку для обсуждения потоковой передачи мультимедиа, обменивались советами, делились аддонами и суммарно написали более 3 млн постов.

Согласно официальному заявлению разработчиков, хакеры похитили базу данных форума, войдя в консоль администратора с учетными данными неактивного сотрудника. Злоумышленники успешно создали резервные копии БД и скачали уже существующие бэкапы.

Похищенная БД содержит все публичные сообщения, оставленные на форумах, сообщения с форума для сотрудников, личные сообщения пользователей, а также данные всех участников форума, включая имена пользователей, email-адреса и зашифрованные (хешированные и соленые) пароли, сгенерированные MyBB 1.8.27.

Киберпреступники взламывают подразделения ведущих автопроизводителей в Италии.

В середине февраля на официальном веб-сайте Toyota в Италии внезапно появилась доступная для загрузки база с учётными данными Salesforce Marketing Cloud, поставщика программного обеспечения и услуг для автоматизации цифрового маркетинга. Используя эти данные, злоумышленники могли получить доступ к телефонным номерам и адресам электронной почты клиентов, а также воспользоваться официальным каналом связи компании для связи с автовладельцами.

Toyota заявила, что утечка была спровоцирована не человеческой ошибкой, а целенаправленным нарушением безопасности в одном из итальянских офисов компании. Как сообщается, японский автопроизводитель уже давно предпринял все необходимые меры кибербезопасности, чтобы смягчить последствия утечки и не допустить подобного в будущем.

В начале марта подобную базу данных заметили на итальянском веб-сайте немецкого автопроизводителя BMW.

В начале апреля южнокорейский автоконцерн Hyundai уведомил своих клиентов, что злоумышленники получили доступ к личным данным клиентам в результате компрометации офисов компании в той же Италии, а также во Франции. В открытый доступ попали номера телефонов и адреса электронной почты, а также физические адреса клиентов.

Хакеры из группировок C.A.S. и UHG заявляют о взломе сервиса по продаже билетов на различные городские мероприятия kassy[.]ru.

Утечка затронула как информацию о зарегистрированных пользователях, так и об их заказах. Дамп выставили на продажу в даркнете.

В общей сложности в файлах заказов, которые разбиты по городам, содержится 13 897 009 записей, в том числе:

• ФИО;
• email-адреса (4653 901 уникальных адресов);
• телефоны (4868 630 уникальных номеров);
• идентификаторы и даты заказов.

В таблице пользователей насчитывается 3 003 894 строк, и так можно найти:

• ФИО;
• email-адреса (3 003 891 уникальный адрес);
• телефоны (533 741 уникальный номер);
• хешированные (MD5) пароли;
• данные о поле пользователя;
• даты рождения (не для всех);
• даты создания и обновления профиля (с 25 января 2018 по 09 апреля 2023);
• идентификатор города.

Электронные ресурсы Федеральной Таможенной Службы подверглись кибератаке.

По словам представителя службы:

«Вследствие кибератаки на ИТ-ресурсы ФТС, начавшейся 10 апреля, по-прежнему наблюдаются сбои в функционировании единой информационной системы таможенных органов. Специалисты ФТС и других ведомств в круглосуточном режиме занимаются восстановлением работоспособности системы».

В пунктах пропуска инспекторы осуществляют таможенные операции с использованием бумажных носителей. При возникновении проблем в пунктах пропуска участникам ВЭД рекомендуют обращаться на «горячие линии». региональных таможенных управлений. В ФТС подчеркивают, что «на пересечении границы физическими лицами сбои в работе информсистемы не отразились».

Telegram-канал «Утечки информации» сообщает, что в интернете опубликованы личные данные клиентов предположительно ювелирного интернет-магазина zoloto585[.]ru.

База данных в формате SQL содержит 9 982 650 записей со следующими строками:

• ФИО
• телефон (8,4 млн уникальных номеров)
• адрес эл. почты (3,1 млн уникальных адресов)
• адрес
• паспорт (серия, номер, кем и когда выдан)
• пол
• дата рождения и возраст
• дата операции (с 27.07.2020 по 10.04.2023)
• признак является ли клиентом ломбарда (вероятно lombard.zoloto585.ru)

Случайная проверка нескольких номеров телефонов из утечки на сайте zoloto585.ru показала, что на них зарегистрированы бонусные карты.

Из-за кибератаки на бельгийского гиганта кадрового менеджмента SD Worx личные данные свыше 5 миллионов человек находятся под угрозой утечки.

SD Worx начала уведомлять своих клиентов о том, что подразделения компании в Великобритании и Ирландии подверглись кибератаке, поэтому IT-системы этих подразделений пришлось временно отключить.

Компания подчеркивает, что постоянно применяет чрезвычайно строгие организационные и технические меры безопасности для защиты конфиденциальности и личных данных своих клиентов.

Предоставляя полный комплекс услуг по кадрам и расчету заработной платы, SD Worx управляет большим объемом конфиденциальных данных своих клиентов. Эти данные могут включать налоговую информацию, государственные идентификационные номера, адреса, полные имена, даты рождения, номера телефонов, номера банковских счетов сотрудников и многое другое. Атаки на подобные организации обычно приводят к судебным искам из-за масштабных утечек конфиденциальных данных.

Представители SD Worx поспешили сделать следующее заявление:

«Мы всё ещё расследуем этот случай, но уже можем подтвердить, что это не атака программы-вымогателя. Кроме того, в настоящее время нет никаких доказательств того, что какие-либо конфиденциальные данные были скомпрометированы».

Из-за кибератаки публичная биотехнологическая компания Evotec закрыла свою сеть для внешних подключений.

На официальном сайте Evotec опубликовано сообщение, что 6 апреля в IT-системах была замечена необычная активность, что побудило компанию временно отключить цифровую инфраструктуру. Операционная деятельность компании поддерживается на всех объектах, но системы пока остаются неподключенными, что может вызвать некоторые задержки, в том числе в общении с партнерами. Все необходимые органы уже были уведомлены о факте атаки, в настоящее время проводится расследование.

Вымогательская хак-группа Money Message утверждает, что взломала тайваньского производителя MSI (Micro-Star International) и похитила у компании исходный код.

По данным СМИ, теперь хакеры требуют у компании выкуп в размере 4 млн долларов США.

На сайте Money Message появилось сообщение о взломе, к которому злоумышленники приложили скриншоты БД CTMS и ERP, а также файлы с исходным кодом MSI, приватные ключи и прошивку BIOS.

Сообщается, что объём похищенных данных составляет 1,5 ТБ. Группировка угрожает опубликовать все эти сведения в открытом доступе примерно через пять дней, если MSI не выполнит их требования и не выплатит выкуп.

Представители MSI подтвердили, что компания стала жертвой хакерской атаки. Издание PCMag обнаружило заявление, поданное компанией на Тайваньскую фондовую биржу (TWSE), в котором сказано, что некоторые системы MSI пострадали в результате кибератаки, и об инциденте уже уведомили правоохранительные органы.

Пока в компании не раскрывают никаких подробностей об атаке, а также не объясняют, были ли зашифрованы какие-то данные, и удалось ли злоумышленникам похитить какую-то информацию.