Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Дайджест Start X № 372

Обзор новостей информационной безопасности с 24 по 30 мая 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Троян AllaKore атакует банки Бразилии, пытаясь похитить учётные данные для доступа к банковским счетам.

Целью вредоноса ужже стали банки Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob и Sicredi.

Схема кампании:

  1. Злоумышленники рассылают фишинговые сообщения с вредоносными ссылками.

  1. Ссылки содержат LNK-ярлык Windows, замаскированный под PDF-документ, размещенный на сервере WebDAV.

  1. Ярлык открывает командную оболочку Windows, отображает подставной PDF-документ и загружает BAT-файл «c.cmd».
  1. BAT-файл запускает PowerShell команду, которая скачивает бинарный файл Python с официального сайта (python.org) и выполняет скрипт BPyCode.
  1. Скрипт BPyCode загружает и запускает динамическую библиотеку (executor.dll).
  1. DLL-библиотека извлекается из одного из доменных имен, созданных с помощью алгоритма генерации домена (DGA). Сгенерированные имена хостов соответствуют тем, которые связаны со службой Microsoft Azure Functions, бессерверной инфраструктурой, которая в данном случае позволяет операторам легко развертывать и управлять промежуточной инфраструктурой.
  1. Библиотека выполняется в памяти и внедряет троян AllaSenha в легитимный процесс «mshta.exe».

Помимо кражи учетных данных для онлайн-банкинга из веб-браузеров, AllaSenha может отображать наложенные окна для захвата кодов двухфакторной аутентификации (2FA) и даже обманом заставить жертву отсканировать QR-код для одобрения мошеннической транзакции, инициированной злоумышленниками.

Все образцы AllaSenha используют Access_PC_Client_dll.dll в качестве исходного имени файла. Такое имя можно найти в проекте KL Gorki — банковском вредоносном ПО, которое, по-видимому, сочетает компоненты AllaKore и ServerSocket.

Киберпреступники воспользовались запуском Arc для Windows для проведения вредоносной кампании через Google Ads.

Схема действий преступников

  1. По поисковым запросам в Google «arc installer» и «arc browser windows» выводились объявления с официальным адресом сайта браузера Arc.

  1. Однако после клика по рекламе пользователи не попадали на официальный сайт, а перенаправлялись на вредоносные домены, визуально напоминающие реальный сайт Arc.

  1. После нескольких перенаправлений домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит вполне легитимно, многие пользователи не обращают внимания на содержимое адресной строки.

  1. При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.
  1. Этот троянский установщик использует API MEGA для совершения C2-операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.
  1. Эксперты также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.

  1. Проверив вредоносную рекламу через Google Ad Transparency Center, аналитики выяснили, что её создатель — украинская компания САЛОН СОФТ.

Эксперты предполагают, что вредоносное ПО во всех рассмотренных атаках является инфостилером. Поскольку настоящий браузер Arc в итоге устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.

Компания F.A.C.C.T. обнаружила мошенническую кампанию, нацеленную на желающих незаконно получить водительские права.

Как работают мошенники

  1. Аналитики выявили более 200 ресурсов, предлагающих «легальные» водительские права для управления различными транспортными средствами.
  1. Аферисты целятся на жителей крупных городов, таких как Москва, Санкт-Петербург, Казань, Ростов-на-Дону, Ярославль и Воронеж.
  1. Каждый сайт мошенников создается под конкретный город и позиционируется как местная компания, например, MosPrava в Москве и VolPrava в Волгограде.
  1. На этих ресурсах мошенники уверяют, что смогут оформить водительские права без лишних хлопот за 3 дня, решив все проблемы водителей, лишенных прав, с помощью поддельных документов.
  1. На сайте жертва сталкивается с социальной инженерией и маркетинговыми приемами. Там размещены статьи с названиями вроде «Почему сдать на права с первого раза получается только у 5%» или «Почему получение прав самостоятельно через автошколу — мучительный процесс».
  1. Пользователю рассказывают, как легко и быстро купить права с гарантией. Если человек соглашается, он отправляет свои ФИО, телефон, фото и копию паспорта, но взамен ничего не получает, а его данные используются мошенниками.
  1. Особенность кампании с фальшивыми водительскими правами в том, что пострадавшие сами нарушают закон, пытаясь приобрести поддельные документы, поэтому мошенники уверены, что жертвы не будут жаловаться.
  1. Предоставленные персональные данные могут быть использованы для взятия кредитов, регистрации на различных платформах и других мошеннических действий.

Мобильная безопасность

Более 90 приложений в Google Play распространяли вредоносное и рекламное ПО, в том числе банковский троян Anatsa.

Anatsa — банковский троян, нацеленный на более 650 приложений финучреждений в Европе, США, Великобритании и Азии. Троян похищает учётные данные онлайн-банков для выполнения мошеннических транзакций.

По данным экспертов, Anatsa распространяется через два приложения-приманки: «PDF Reader & File Manager» и «QR Reader & File Manager». На момент анализа приложения были установлены 70 000 раз.

Anatsa использует многоэтапный механизм доставки полезной нагрузки, включающий четыре этапа:

  • получение конфигурации с управляющего сервера;
  • загружка и активация DEX-файла с вредоносным дроппером;
  • загрузка файла полезной нагрузки Anatsa;
  • установка вредоносного ПО (APK) и завершение процесса заражения.

Инциденты

Дерматологическая клиника Affiliated Dermatologists (AD) стала жертвой вымогателей BianLian.

10 апреля 2024 года руководство компании обнаружило вымогательскую записку, из которой следовало, что между 2 и 5 марта 2024 года хакеры получили доступ к системам и скопировали данные из сети клиники.

Среди украденной информации оказались:

  • имена пациентов;
  • даты рождения;
  • адреса;
  • номера социального страхования;
  • медицинские карты;
  • Информация о претензиях по медицинскому страхованию пациентов;
  • номера водительских удостоверений и паспортов сотрудников.

Представители клиники подчеркнули, что объём утекшей информации различен для каждого пострадавшего. По данным генпрокурора, инцидент затронул около 373 000 человек.

Из Google произошла утечка 2500 внутренних документов, содержащих информацию о данных, которые она собирает при работе пользователей со своей поисковой системой.

Документы раскрывают подробности по поводу информации, которую Google отслеживает и использует в своём алгоритме ранжирования поиска.

Изучив документы, SEO-эксперты сделали вывод о «лжи Google» по поводу сбора и использования данных для ранжирования страниц по ряду признаков. Например, представители IT-гиганта неоднократно указывали на то, что компания не использует данные поисковика Chrome для ранжирования. Однако в слитых документах Chrome отдельно упоминается в разделах про то, как веб-сайты появляются в поиске.

Тем не менее, представитель Google рекомендует не торопиться с неправильными выводами о работе поискового алгоритма на основе вырванной из контекста, устаревшей или неполной информации.

Сервисы логистической компании СДЭК работают с перебоями с 26 мая.

Руководство сообщает о технических проблемах, а хакерская группировка Head Mare заявила, что взломала СДЭК, зашифровала данные и уничтожила бэкапы.

В компании заверили, что все посылки «будут бережно сохранены и выданы после устранения технических проблем», а срок хранения в ПВЗ при необходимости будет продлен.

В четверг 30 мая СДЭК начал выдачу посылок в пунктах выдачи, однако часть сервисов на сайте пока не работает.

 102   1 мес   дайджест   фишинг

Дайджест Start X № 371

Обзор новостей информационной безопасности с 17 по 23 мая 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Банковский троян Grandoreiro для Windows вновь в строю, несмотря на громкие заявления правоохранителей в марте 2024 года о ликвидации его инфраструктуры.

Схема кампании

  1. Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.

  1. Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro.

  1. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян.
  1. Этот этап проверки пропускает системы, расположенные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.
  1. Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.
  1. Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.
  1. Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook. Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам.
  1. Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что способствует большому объему спама, наблюдаемому от Grandoreiro.

В новой киберкампании CLOUD#REVERSER злоумышленники используют Google Drive и Dropbox для размещения вредоносных файлов.

Схема кампании

  1. Атака начинается с фишингового письма, которое содержит ZIP-архив с исполняемым файлом, маскирующимся под Microsoft Excel.
  1. Этот файл использует иконку с логотипом Excel, в имени файла также применён скрытый символ Unicode (U+202E), который переворачивает порядок следующих символов в строке, обманывая пользователя и заставляя его думать, что он открывает файл Excel. Так, рассмотренный в рамках кампании исполняемый файл «RFQ-101432620247fl[U+202E]xslx.exe» отображался в системе жертвы под видом «RFQ-101432620247flexe.xlsx».
  1. В ходе атаки исполняемый файл запускает восемь вредоносных нагрузок, включая поддельный Excel-файл и сильно обфусцированный скрипт на Visual Basic, который открывает файл Excel и запускает два других скрипта.
  1. Оба скрипта закрепляются на компьютере жертвы, используя задачу в планировщике Windows, замаскированную под обновление браузера Google Chrome. Эти задачи запускают уникальные VB-скрипты каждые 60 секунд.
  1. Каждый из этих скриптов запускает по два PowerShell-скрипта, которые подключаются к управляемым злоумышленниками аккаунтам Dropbox и Google Drive для загрузки дополнительных скриптов.
  1. Эти скрипты запускают загруженные PowerShell-скрипты и скачивают дополнительные файлы из облачных сервисов, включая исполняемые файлы в зависимости от настроек системы.
  1. Последний PowerShell-скрипт загружает файлы с Google Drive на локальную систему в директорию ProgramData, выполняя их в зависимости от критериев, установленных злоумышленниками.

Перечисленные действия позволяют злоумышленникам оставаться незамеченными, благодаря встраиванию вредоносных скриптов в обычные облачные платформы.

Инциденты

Телеграм-канал «Утечки информации» сообщает о взломе и сливе базы данных покупателей и заказов интернет-магазина запчастей для бытовой техники mixzip.ru.

В дампе содержится:

  • ФИО;
  • адрес эл. почты (271 тыс. уникальных адресов);
  • телефон (266 тыс. уникальных номеров);
  • пароль в текстовом виде, закодированный Base64;
  • дата рождения (не для всех);
  • адрес доставки;
  • стоимость и состав заказа.

Данные в утечке актуальны на 08.05.2024.

На компьютерах для регистрации гостей нескольких отелей сети Wyndham в США обнаружено шпионское ПО, собирающее и публикующее скриншоты с личной информацией клиентов.

Программа под названием «pcTattletale» непрерывно производила скриншоты внутреннего программного обеспечения для работы отелей, на которых видны все детали бронирований и данные клиентов. Из-за уязвимости в данном шпионском ПО, все эти скриншоты доступны в открытом доступе из Интернета.

pcTattletale позволяет удалённо просматривать устройства под управлением Android или Windows и работает скрытно, не уведомляя владельца устройства. Однако, благодаря уязвимости, скриншоты можно скачать напрямую с серверов pcTattletale.

Скриншоты из двух отелей Wyndham, предоставленные журналистам, содержат имена гостей, детали бронирования и частичные номера платёжных карт. Другой скриншот демонстрирует доступ к системе управления бронированиями сервиса «Booking.com».

Пока не удалось установить, кто установил приложение. Это могли сделать как удалённые злоумышленники, так и действующие сотрудники, или даже владельцы отелей.

Gala Games, одна из ведущих игровых платформ на блокчейне, стала жертвой масштабного взлома. Хакеры реализовали 600 млн внутренних монет платформы GALA на сумму около 5913 эфиров (свыше 22 млн долларов США).

Взломщики также самовольно создали 4,4 млрд дополнительных монет GALA, но оперативные действия команды безопасности Gala Games позволили вовремя заблокировать учетную запись злоумышленников и аннулировать счет.

Удар такого масштаба стал возможен из-за нарушения внутренних процедур безопасности, которое сделало возможным проникновение взломщиков в административную систему.

По факту инцидента Gala Games уже обратилась в правоохранительные органы, включая ФБР, Министерство юстиции США, а также подключила «сеть международных властей». Личность предполагаемого злоумышленника уже установлена.

Компания OmniVision, известный производитель сенсоров изображений, объявила о нарушении безопасности данных после атаки вымогателей Cactus.

На прошлой неделе OmniVision уведомила власти Калифорнии о нарушении безопасности, произошедшем с 4 по 30 сентября 2023 года, когда системы компании были зашифрованы вымогательским ПО.

Проверка установила, что неавторизованное лицо получило доступ к некоторой личной информации в системах компании в период с 4 по 30 сентября 2023 года.
Расследование инцидента завершилось лишь 3 апреля 2024 года. Выяснилось, что злоумышленники похитили конфиденциальные данные компании. Уакие именно данные были украдены, в уведомлении не уточняется, также неизвестно количество пострадавших лиц.

Если судить по данным хакеров из группы Cactus, опубликовавших уведомление о взломе 17 октября 2023 года, были похищены следующие данные:

  • сканированные копии паспортов сотрудников;
  • соглашения о неразглашении данных (NDA);
  • партнёрские контракты;
  • прочие конфиденциальные документы.

В итоге злоумышленники выложили все похищенные данные в ZIP-архиве для бесплатного скачивания. На текущий момент упоминания OmniVision были удалены со страницы вымогателей Cactus в даркнете.

Американская радиорелейная лига (The American Radio Relay League, ARRL) стала жертвой кибератаки, которая нарушила работу ее IT-систем и онлайн-служб, включая электронную почту и работу Logbook of the World.

Logbook of The World (LoTW, «Всемирный аппаратный журнал») представляет собой онлайновую базу данных, которая позволяет радиолюбителям предоставлять электронные журналы успешных сеансов связи (QSO) и подтверждений (QSL) между пользователями по всему миру. Подтверждения из LoTW могут использоваться для получения дипломов (например, DXCC, WAS и WPX).

Представители ARRL заверили, что готовы развеять опасения членов организации по поводу безопасности их данных и подтвердили, что организация не хранит информацию о банковских картах и не собирает номера социального страхования.

 84   1 мес   дайджест   фишинг

Дайджест Start X № 370

Обзор новостей информационной безопасности с 26 апреля по 16 мая 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты из центра мониторинга внешних цифровых угроз Solar AURA, обнаружили киберкампанию с раздачей бесплатных денег от государства.

Схема мошенничества

  1. Исходная ссылка отправлялась жертвам в рамках спам-кампаний, нацеленных на пользователей мобильных устройств.

  1. Жертву заманивают на фишинговый сайт gos-uslugi[.]biz, где предлагают «оформить заявку» на получение крупного денежного пособия. Для начала процедуры нужно нажать соответствующую кнопку.

  1. После этого мошенники перенаправляют пользователей на другую страничку, где в рамках оформления заявки предлагают ввести свои фамилию, имя, отчество, телефон и номер банковской карты.

  1. Далее пользователь перенаправляется на новую страницу. С неё предлагается скачать “сертификат безопасности”, который на деле является вредоносным Android-приложением.

Мошенники запустили новую масштабную схему, связанную с организацией фейковых фотосессий.

Схема кампании

  1. Злоумышленники под видом начинающего фотографа связываются с моделями в соцсетях и предлагают свои услуги на условиях TFP (Time for Photo — «Время за фото»). От девушки требуется только оплата аренды студии.
  1. Лжефотографы скидывают потенциальным жертвам ссылки на мошеннические сайты «проверенных фотостудий» с профессиональным оборудованием и реквизитом.
  1. На мошеннических сайтах девушкам предлагают забронировать понравившуюся локацию, выбрать реквизит, удобное время и дату съемки. Затем им сразу предлагают оплатить аренду, которая стоит от 1800 до 3000 рублей, и дополнительно — услуги стилиста и реквизит.
  1. После этого жертва попадает на другой домен, якобы относящийся к платежному сервису, или же ей предлагают сделать перевод по реквизитам банковской карты.
  1. После указания данных карты жертве приходит SMS с подтверждением и одноразовым кодом, который она вводит на мошенническом сайте.
  1. Все реквизиты отправляются злоумышленникам, которые выводят деньги на свои карты. Иногда жертва оплачивает «аренду», переводя деньги прямо на карту лжефотографу.
  1. В некоторых случаях накануне «забронированной» фотосессии жертве сообщают об отмене брони по техническим причинам и присылают ссылку на страницу для возврата средств, где есть уже привычные поля для ввода данных карты.
  1. Если жертва сообщает данные, у неё повторно списывают сумму за «аренду».

Киберполиция России предупреждает о мошеннической схеме, в рамках которой злоумышленники во время телефонного звонка представляются сотрудниками Социального фонда и сообщают доверчивым россиянам о неком обнаруженном неучтённом стаже.

Как действуют мошенники

  1. Звонки поступают преимущественно лицам пенсионного возраста.
  1. В процессе разговора аферисты сообщают потенциальной жертве о неучтенном стаже, выявленном в ходе некой проверки, и предлагают оформить официальное заявление на перерасчёт пенсии в сторону её увеличения.
  1. В случае согласия с такой процедурой злоумышленники предлагают подать заявление в телефонном режиме. Для идентификации просят продиктовать поступивший код из SMS-сообщения.
  1. Если продиктовать данный код, то мошенники получат доступ либо к порталу «Госуслуги» либо к мобильному банку, что приведет к компрометации учётной записи на «Госуслугах» или к попытке перевода аферистами денежных средств с банковского счёта жертвы.

Мошенники атакуют финнов, рассылая SMS-сообщения на финском языке, от имени банков и платёжных систем.

Схема действий мошенников

  1. В SMS жертвам предлагают установить приложение McAfee для защиты своих финансов.

  1. В отправленных сообщениях обычно содержится ссылка на загрузку приложения в формате «.apk», размещённого за пределами официального магазина приложений Android.
  1. На самом деле это приложение является мошенническим и даёт злоумышленникам доступ к банковским аккаунтам.
  1. Вредоносное ПО позволяет его операторам переводить деньги с банковских счетов жертв.

Атака направлена исключительно на пользователей Android. По данным аналитиков Fox-IT, эксплуатация доверия пользователей к бренду McAfee может быть связана с уже известной кампанией по распространению трояна Vultur, который теперь использует смешанный метод СМС-фишинга и телефонных звонков для убеждения жертв установить вредонос.

Умные устройства

Опасная ошибка в приложении для управления инсулиновыми помпами привела к массовому отзыву устройств компании Tandem Diabetes Care. Более 224 диабетиков пострадали из-за неполадок в iOS-приложении t:connect, приводящих к нежелательному отключению инсулиновых насосов t:slim X2.

Проблема заключается в версии 2.7 приложения, которая из-за программного сбоя приводит к частым перезапускам, что вызывает излишнюю активность по Bluetooth и, как следствие, быструю разрядку батареи устройства. В результате насос может отключиться гораздо раньше ожидаемого срока, хотя устройство и предупреждает пользователей заранее с помощью сигнала тревоги и сообщения о низком заряде батареи.

В связи с потенциальной опасностью, возникающей при отключении насоса, такая ситуация может привести к недостаточной подаче инсулина и, как следствие, к гипергликемии. В тяжелых случаях это может вызвать диабетический кетоацидоз, требующий госпитализации или медицинского вмешательства.

Пока смертельных случаев, связанных с дефектом приложения, не зарегистрировано.

Инциденты

Хакеры проникли в производственные системы платформы Dropbox Sign eSignature и получили доступ к токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.

Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн, причем подписями, имеющими юридическую силу.

Злоумышленники неустановленным способом получили доступ к автоматизированному инструменту для настройки системы Dropbox Sign, который является частью бэкэнд-сервисов платформы. С помощью этого инструмента хакеры смогли запускать приложения и автоматизированные сервисы с повышенными привилегиями, что позволило им добраться до базы данных клиентов.

В ходе расследования обнаружили, что злоумышленники получили доступ к данным, в том числе информации о клиентах Dropbox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли, а также общие настройки аккаунтов и некоторые аутентификационные данные (ключи API, токены OAuth и МФА).

Люди, которые пользовались платформой Dropbox Sign eSignature, но не создавали аккаунт, тоже пострадали. Злоумышленники получили доступ к их адресам электронной почты и именам.

Бывший консультант по кибербезопасности арестован за попытку вымогательства у известной IT-компании в обмен на неразглашение конфиденциальной информации.

Винсента Каннади привлекли для оценки и устранения уязвимостей в международной IT-компании с офисом в Нью-Йорке. Во время работы Каннади использовал служебный ноутбук для скачивания в личное облачное хранилище проприетарной информации компании, включая информацию об архитектуре сети, коммерческие тайны и списки потенциальных уязвимостей.

После того, как в июне 2023 года Каннади уволили по причине низкой производительности, он стал угрожал раскрыть украденную информацию, если компания не выплатит ему 1,5 млн долларов США как компенсацию за «дискриминацию на рабочем месте». После начала расследования обстоятельств кражи данных, Каннади усилил свои требования, заблокировал доступ кадровой компании к ноутбуку и начал длительный процесс вымогательства, включая угрозы юридической ответственности по поводу эмоционального вреда и других претензий.

Телеграм-канал «Утечки информации» сообщает, что в открытый доступ попал достаточно крупный фрагмент базы платежных транзакций сервисов доставки готовой еды levelkitchen.com, m-food.ru и p-food.ru, входящих в холдинг Performance Group.

Фрагмент содержит 63870 строк и содержит:

  • имя и фамилию;
  • адрес эл. почты;
  • телефон;
  • частичный номер банковской карты, срок ее действия, тип и банк-эмитент;
  • дату и время транзакции;
  • номер и сумму заказа;
  • назначение платежа;
  • страну и город;
  • IP-адрес.

О взломе стало известно 20.04.2024, когда в открытый доступ были выложены отдельные файлы (базы данных MS SQL, таблицы MS Excel, файлы 1С), имеющие отношение к бухгалтерии и финансам. Персональные и платёжные данные клиентов сервисов доставки тогда в свободный доступ не попали.

Позднее, 25.04.2024 на одном из теневых форумов появилось объявление о продаже уже информации клиентов, содержащейся в двух текстовых файлах: платежные транзакции и чеки.

В полную версию «слива» попало 500 тыс. уникальных телефонных номеров и 430 тыс. уникальных адресов эл. почты.

Данные в файлах датируются 25.04.2024 и это говорит о том, что хакеры, даже после опубликования информации о взломе, продолжили иметь доступ к ИТ-системе.

В одной из крупнейших медицинских организаций США, Kaiser Permanente, произошёл киберинцидент, в результате которого были скомпрометированы личные данные приблизительно 13,4 миллиона пользователей.

Инцидент безопасности связан с несанкционированным доступом к системам City of Hope, ключевого поставщика услуг для Kaiser Permanente. 12 октября 2023 года в системах City of Hope были обнаружены подозрительные действия, позже подтвердившиеся как кибератака.

Несанкционированное вторжение позволило злоумышленникам получить доступ и скопировать файлы с чувствительной информацией миллионов людей, включая их имена, контактные данные, номера социального страхования, медицинские записи и прочие данные.

Из-за киберинцидента канадская аптечная сеть London Drugs закрыла все свои розничные магазины.

Компания экстренно приняла ряд мер по защите и обратилась к специалистам по кибербезопасности для помощи в локализации угрозы и проведении всестороннего расследования.

На данный момент нет доказательств того, что данные клиентов или сотрудников были затронуты в результате атаки. В компании заверили, что в случае выявления утечки личных данных, они незамедлительно уведомят пострадавших и соответствующие органы в соответствии с законами о конфиденциальности.

Аптечная сеть призывает клиентов, нуждающихся в срочных фармацевтических услугах, обращаться в другие ближайшие аптеки для решения своих вопросов.

Неизвестный хакер выставил на продажу эксплойт, который позволяет получать информацию о покупках клиентов более 100 популярных компаний, среди которых Apple, HP, Huawei, Samsung, Lenovo и Dell.

Данные включают:

  • адреса выставления счетов и доставки;
  • серийные номера;
  • названия компаний;
  • номера счетов;
  • номера телефонов;
  • номера отслеживания.

По словам злоумышленника, специально созданный бот ежедневно скачивает данные о 500-5000 заказах, сделанных в течение последних 12 часов. В продаваемый пакет входят сами скачанные данные, используемый для взлома эксплойт и код Python-бота. Хакер заявил, что ранее не занимался продажей подобных данных и установил начальную цену в 14500 долларов США, оставив возможность для торга.

Ещё за 3000 долларов США киберпреступник предлагает продемонстрировать уязвимость, которую использует для загрузки информации о заказах.

В открытый доступ попала информация из базы данных предположительно туристического портала azur.ru.

Среди прочего, в дампе содержатся данные онлайн-бронирования отелей и курортов Краснодарского края, Крыма и Абхазии:

  • имя и фамилия;
  • адрес эл. почты (428 тыс. уникальных адресов);
  • телефон (248 тыс. уникальных номеров);
  • город;
  • информация о бронировании (дата заезда/выезда, количество человек, тип номера, стоимость и т. п.);
  • IP-адрес.

Информация актуальна на 10.04.2024.

Глава крупнейшей в мире рекламной группы WPP Марк Рид стал жертвой сложного мошенничества с использованием технологии дипфейк, включая клонирование голоса с помощью искусственного интеллекта.

Мошенники создали аккаунт в WhatsApp, используя общедоступное изображение Рида, и организовали встречу в Microsoft Teams, которая казалась настоящей благодаря участию Рида и другого высокопоставленного сотрудника WPP. Во время встречи они использовали клонированный голос исполнительного директора и видеоматериалы с YouTube. Сам Рид был изображён в чате встречи. Хотя мошенничество не увенчалось успехом, целью был «руководитель агентства», которого попытались убедить открыть новый бизнес для вымогательства денег и персональных данных.

Благодаря бдительности сотрудников, включая пострадавшего руководителя, инцидент был предотвращен. Компания не сообщила, когда именно произошла атака и кто ещё из руководителей был вовлечён.

Dell предупредила клиентов об утечке данных 49 млн человек.

На прошлой неделе компания начала рассылать пользователям сообщения, в которых предупреждала, что портал Dell, содержащий информацию о покупках клиентов, был взломан.

Dell заявляет, что злоумышленники получили доступ к следующей информации:

  • имя;
  • физический адрес;
  • информация об аппаратном обеспечении Dell и заказах, включая сервисную метку, описание товара, дату заказа и информацию о гарантии.

В компании подчеркнули, что похищенная информация не содержит финансовых и платежных данных, адресов электронной почты или номеров телефонов. Dell заявила, что уже работает с правоохранительными органами сторонними ИБ-криминалистами над расследованием инцидента.

Информация об утечке данных пользователей Dell впервые появилась на хакерском форуме Breach Forums 28 апреля 2024 года, когда хакер под ником Menelik попытался продать соответствующую БД. Злоумышленник писал, что похитил у производителя информацию «о 49 миллионах клиентов и системах, приобретенных у Dell в период с 2017 по 2024 год». Вскоре модераторы Breach Forums удалили это сообщение, что может означать, что сделка состоялась.

Хакер рассказал журналистам, что соскрапил эти данные, проникнув на портал для партнеров, реселлеров и розничных продавцов Dell, API которого можно было использовать для поиска информации о заказах.

Мошенническая сеть BogusBazaar за три года оформила более миллиона заказов на фиктивных интернет-площадках, на общую сумму более 50 млн долларов США.

Фейковые магазины, используя просроченные домены с хорошей репутацией в Google, привлекали жертв под видом выгодных предложений на обувь и одежду, но в итоге похищали данные платёжных карт.

Более 850 000 покупателей из Западной Европы, Австралии и США, уже пострадали от этой схемы, а в Китае, где предположительно находится основная база мошенников, жертв практически нет. Сеть включает в себя более 75 000 доменов, из которых около 22 500 были активны по состоянию на апрель 2024 года.

Мошенники использовали два основных метода преступления: сбор данных кредитных карт на поддельных страницах оплаты и продажа несуществующего или контрафактного товара через фейковые платёжные системы, имитирующие PayPal и Stripe.

Клиенты, сделавшие покупку через фальшивый сервис, не получали ничего или, в лучшем случае, контрафактные товары. Мошенники использовали поддельные платёжные страницы, которые при необходимости можно было быстро заменять на новые.

Хакер, известный под псевдонимом IntelBroker, заявил, что ему удалось проникнуть в системы одной из ведущих мировых компаний в области кибербезопасности с годовым доходом в 1,8 млрд долларов США.

IntelBroker разместил объявление на известном форуме киберпреступников BreachForums, предлагая продажу доступа к чувствительным данным и системам пострадавшей компании за 20 тысяч долларов в криптовалюте Monero (XMR). При этом само название пострадавшей компании хакером раскрыто не было, видимо, чтобы она не успела принять защитные меры до продажи данных.

Среди украденной информации SSL-ключи, доступ к почтовому серверу и логи, содержащие учётные данные.

Хакер заявил, что предоставит дополнительные сведения только после связи с потенциальными покупателями и согласился использовать услуги посредника или эскроу-сервиса для сделки. IntelBroker требует от покупателей подтверждения наличия средств и ограничивает продажу только для членов форума с высокой репутацией.

Ещё одной жертвой хакера IntelBrocker стал Европол. В результате атаки пострадал портал Europol Platform for Experts (EPE) и были украдены документы под грифом «Только для служебного пользования» (For Official Use Only, FOUO), содержащих секретные данные.

Представители Европола подчеркнули, что инцидент затронул только EPE, а «никакая оперативная информация в EPE не обрабатывается, основные системы Европола не были затронуты, и никакие оперативные данные не были скомпрометированы».

В настоящее время портал EPE отключен, и сообщение на сайте гласит, что сервис недоступен из-за технического обслуживания.

IntelBroker уже выставил на продажу сведения о сотрудниках Европола, исходные коды, PDF-файлы, документы разведки и инструкции.

Также хакер заявил, что получил доступ к EC3 SPACE (Secure Platform for Accredited Cybercrime Experts), одному из сообществ на портале EPE, где размещены сотни материалов, связанных с киберпреступностью, которыми пользуются более 6000 экспертов со всего мира, включая:

  • правоохранительные органы и уполномоченные органы государств-членов ЕС и стран, не входящих в ЕС;
  • судебные органы, образовательные учреждения, частные компании, неправительственные и международные организации;
  • сотрудников Европола.

IntelBroker утверждает, что скомпрометировал и платформу SIRIUS, используемую судебными и правоохранительными органами из 47 стран мира (включая страны ЕС, Великобританию, страны, имеющие соглашение о сотрудничестве с Евроюстом, а также Европейскую прокуратуру). Платформа используется для доступа к международным цифровым уликам в контексте разных уголовных расследований и разбирательств.

Хакер опубликовал скриншоты пользовательского интерфейса EPE, а также слил небольшой образец БД EC3 SPACE, содержащий 9128 записей. В дамп вошла личная информация сотрудников правоохранительных органов и ИБ-специалистов, имеющих доступ к EC3 SPACE.

В результате утечки данных из системы расчета зарплат третьей стороны были раскрыты имена, банковские реквизиты и, в некоторых случаях, адреса 272 000 военнослужащих и ветеранов вооруженных сил Великобритании.

Военные заявляют, что пока нет прямых доказательств причастности какого-либо государства, но этого нельзя исключать. Они не подтвердили сообщения СМИ о том, что за кибератакой могут стоять китайские хакеры. По соображениям национальной безопасности дополнительные подробности не могут быть раскрыты.

Утечка затронула данные клиентов службы SSCL — крупнейшего поставщика критически важных вспомогательных услуг для правительства. Помимо Минобороны, в число ее клиентов входят Министерство внутренних дел, Кабинет министров и Министерство юстиции.

Исследователи Cybernews обнаружили огромный набор данных, содержащий личную информацию более 1,2 млрд граждан Китая.

Первая запись в этот архив была добавлена 29 апреля, а всего за неделю количество данных увеличилось до 1 230 703 487 записей. Утечка занимает около 100 гигабайт и содержит в основном номера телефонов, но встречаются и другие чувствительные данные, такие как домашние адреса и номера удостоверений личности.

Утечка содержит:

  • 668 304 162 записей, включающих номера учётных записей QQ и телефонные номера;
  • 502 852 106 записей, содержащих идентификаторы учётных записей Weibo и номера телефонов;
  • 50 557 417 записей из базы данных ShunFeng, включающей номера телефонов, имена и адреса;
  • 8 064 215 записей в наборе данных Siyaosu, раскрывающих имена, номера телефонов, адреса и номера удостоверений личности;
  • 746 310 записей Chezhu, включающих имена, номера телефона, адреса электронной почты, домашние адреса и номера удостоверения личности;
  • 100 790 записей Pingan, содержащие имена, номера телефонов, адреса электронной почты, домашние адреса, заказанные услуги, номера карт и выплаченную сумму по страховке;
  • 78 487 записей в поддиапазоне Jiedai, включающих имена, телефонные номера, домашние адреса, номера удостоверений личности, места работы, данные об образовании, имена партнеров и их телефонные номера.

Все эти данные хранятся на серверах в Германии, а интерфейс Kibana, через который можно просматривать данные, настроен на упрощённый китайский.

 96   2 мес   дайджест   фишинг
Ранее Ctrl + ↓