Обзор новостей информационной безопасности с 30 августа по 5 сентября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Fortinet предупреждает о новой фишинговой кампании, в которой вредоносное ПО распространяется через прикрепленный к письму Excel-документ.

Особенности кампании

1. Атака начинается с электронного письма, которое призвано обманом заставить получателя открыть вложенный файл Excel под названием «swift copy.xls».

2. В письме утверждается, что на счет пользователя поступили средства, что побуждает его открыть файл для проверки деталей.

3. При открытии файла Excel активируется вредоносный код, который скачивает и запускает новую версию Snake Keylogger. Злоумышленники используют уязвимость CVE-2017-0199 для загрузки вредоносного файла через скрытую ссылку в документе.

4. После успешного запуска на компьютере жертвы, Snake Keylogger обеспечивает свою незаметность и постоянное присутствие за счет использования сложных методов шифрования и маскировки.

5. Основные функции Snake Keylogger включают сбор данных о системе, кражу учётных данных из различных приложений и отправку этих данных злоумышленнику по электронной почте.

В новой фишинговой кампании вредоносное ПО маскируется под инструмент Palo Alto GlobalProtect. Кампания нацелена на организации Ближнего Востока.

Особенности кампании

1. Атака начинается с фишингового письма, следование рекомендаций в котором приводит к запуску файла с именем «setup.exe».

2. В результате выполнения setup.exe происходит установка файла «GlobalProtect.exe» вместе с конфигурационными файлами.

3. В этот момент на экране появляется окно, имитирующее процесс установки GlobalProtect, но на фоне вредоносное ПО тихо загружается в систему.

4. После запуска вредоносное ПО проверяет, не работает ли оно в песочнице, прежде чем начать выполнение основного кода. Затем вирус передает информацию о скомпрометированном устройстве на C2-сервер.

5. В качестве дополнительного уровня защиты от обнаружения вредоносное ПО использует шифрование AES для отправляемых строк и пакетов данных.

6. Домен для C2-сервера зарегистрирован недавно и содержит строку «sharjahconnect». Этим он напоминает легитимный VPN-портал для офисов в Шардже, ОАЭ. Такой выбор имени домена помогает киберпреступникам замаскировать свои действия под законные операции и снижает вероятность того, что жертва заподозрит неладное.

7. Для связи с операторами после заражения вредоносное ПО периодически отправляет сигналы с помощью легитимного opensource-инструмента Interactsh.

Масштабная фишинговая кампания, направленная на международные сети пиццерий, привела к значительным финансовым потерям.

Особенности кампании

1. Преступники использовали домен domino-plza[.]com, что привело к потере 27 000 сингапурских долларов у семи жертв через фальшивые страницы заказа, имитирующие сайт Domino’s Pizza.

2. Злоумышленники использовали платную рекламу в поисковых системах, чтобы вывести свои фальшивые домены на верхние позиции в результатах поиска, обгоняя оригинальные сайты. Эти методы в сочетании с черными техниками SEO делали пользователей уязвимыми для фишинга.

3. После успешных атак в Сингапуре злоумышленники зарегистрировали домены, нацеленные на другие крупные международные сети пиццерий, такие как PizzaPizza, Little Caesars, Blaze Pizza, 241 Pizza, Panago Pizza и Boston Pizza. Эти домены очень похожи на настоящие, но содержат небольшие изменения, которые легко могут ввести пользователей в заблуждение.

4. Злоумышленники продолжают регистрировать новые домены, используя IP-адреса, связанные с подозрительными регистрациями доменов с необычными доменными зонами, такими как «.life» и «.top», что не характерно для легитимных брендов.

5. Атаки начинаются с создания фальшивых сайтов, которые практически не отличаются от оригинальных.

6. При оформлении заказа пользователи вводят одноразовый пароль (OTP), что позволяет злоумышленникам получить данные карты и использовать их для несанкционированных транзакций, что приводит к потерям средств у жертв.

В новой вредоносной кампании DarkCracks используются взломанные веб-сайты GLPI и WordPress для распространения вредоносных загрузчиков и управления заражёнными устройствами.

Особенности кампании

1. DarkCracks представляет собой систему доставки и обновления вредоносных программ, рассчитанную на долгосрочную эксплуатацию взломанных устройств.

2. Вредоносные компоненты внедряются через сайты общественного пользования, такие как школьные порталы, системы бронирования и городские транспортные системы.

3. Заражённые устройства выполняют роль узлов для дальнейшего распространения вредоносного ПО и контроля над другими заражёнными устройствами.

4. Атака начинается с загрузки вредоносных файлов на целевые серверы, которые затем скачивают и запускают дополнительные компоненты. Эти компоненты отвечают за сбор данных с заражённых устройств, поддержку долгосрочного доступа и скрытое управление.

5. Атака нацелена на высокопроизводительные устройства, которые могут служить серверами управления и контроля (C2) и загружать новые версии вредоносных файлов.

Инциденты

Halliburton, одна из крупнейших нефтегазовых компаний, стала жертвой вымогательской кибератаки группировки RansomHub.

Атака привела к массовым сбоям в работе компании. Клиенты Halliburton не могли выставлять счета и оформлять заказы, так как необходимые системы были отключены. Компания официально подтвердила, что хакеры получили доступ к ряду систем, однако подробности об атаке и её масштабах не раскрыла.

На фоне недостатка информации некоторые клиенты компании приняли решение разорвать связь с Halliburton, чтобы избежать возможных рисков. Другие компании обратились за помощью к ONG-ISAC — агентству, которое координирует действия в сфере кибербезопасности для нефтегазовой отрасли, чтобы выяснить, были ли их системы также скомпрометированы.

На Reddit и TheLayoff были опубликованы частичные фрагменты записок с требованием выкупа от RansomHub. Представители Halliburton отказались от комментариев.

У индийского филиала британского бренда презервативов и интимных смазок Durex India произошла утечка личной информации клиентов.

Были скомпрометированы полные имена, контактные данные, адреса доставки и детали заказов, включая список приобретенных товаров и суммы оплаты.

Источник утечки — уязвимость на сайте компании, из-за которой данные клиентов были доступны на странице подтверждения заказа. В результате утечки под угрозой оказались сотни пользователей. Точное количество пострадавших не называется.

Представитель компании Reckitt, владеющей брендом Durex, отказался комментировать ситуацию и не сообщил, какие меры будут приняты для защиты данных клиентов, хотя уязвимость всё ещё присутствует на сайте.

Бывший инженер базовой инфраструктуры из компании в Нью-Джерси заблокировал доступ администраторов к 254 серверам и потребовал выкуп. Из-за неудавшейся попытки вымогательства ему грозит до 35 лет тюрьмы.

Сообщается, что 25 ноября 2023 года сотрудники пострадавшей компании получили электронное письмо с заголовком «Ваша сеть подверглась вторжению» (Your Network Has Been Penetrated). В письме указывалось, что все ИТ-администраторы лишились доступа к своим учетным записям, а резервные копии серверов были уничтожены, чтобы сделать восстановление данных невозможным.

Злоумышленник обещал ежедневно отключать 40 случайных серверов в сети компании в течение следующих 10 дней, если ему не выплатят выкуп в размере 20 биткоинов (по курсу на тот момент — около 750 000 долларов США).

В ходе расследования было установлено, что 57-летний Дэниел Райн (Daniel Rhyne), работавший в пострадавшей от атаки промышленной компании из Нью-Джерси на должности инженера базовой инфраструктуры, имел несанкционированный удаленный доступ к системам компании с 9 по 25 ноября, используя для этого учетную запись администратора.

Телеграм-канал «Утечки информации» сообщает, что преступная группировка DumpForums объявила о получении доступа к базе данных сайта, принадлежащему банку «ЗЕНИТ».

В качестве доказательства были предоставлены дампы таблицы зарегистрированных пользователей и обращений клиентов через форму обратной связи на сайте.

Всего в таблице обращений клиентов 84 тыс. уникальных адресов эл. почты и 82 тыс. уникальных номеров телефонов.

Транспортное управление Лондона (Transport for London, TfL) сообщило о кибератаке на свои системы.

Транспортное управление проинформировало о ситуации профильные государственные органы, включая Национальное агентство по борьбе с преступностью и Национальный центр кибербезопасности. Сейчас ведомство тесно сотрудничает с ними для реагирования на атаку и минимизации ее последствий. Были предприняты меры для предотвращения дальнейшего несанкционированного доступа к информационным ресурсам управления.

Хотя TfL или правоохранительные органы не раскрывают подробности инцидента, отсутствие доступа к информационным системам и электронной почте с большой вероятностью свидетельствует о вымогательской кибератаке.

Немецкая авиадиспетчерская служба Deutsche Flugsicherung (DFS) стала жертвой кибератаки, которая парализовала работу офисных коммуникаций компании. Сообщается, что за атакой может стоять хакерская группа APT28.

Представитель DFS сообщил СМИ, что атака была обнаружена на прошлой неделе, после чего компания направила внутреннее уведомление о поражении своих систем. Организация принимает меры по защите от дальнейших угроз. Подробности об атакованных системах и предпринимаемых защитных действиях раскрыты не были. DFS подчеркнула, что на безопасность и управление воздушным движением инцидент не повлиял.

Вымогательская кибератака нарушил бизнес-процессы международного логистического оператора JAS.

Обнаружив инцидент, JAS оперативно обезопасила свои системы и приступила к расследованию при поддержке внешних экспертов.

28 августа JAS сообщила, что в ряде стран удалось активировать временные меры для выполнения срочных заказов, и что большинство подразделений по контрактной логистике не пострадали. Восстановительные работы продолжались, а основное внимание было уделено обеспечению безопасности и защите данных клиентов и партнёров.

По состоянию на первое сентября JAS продолжает работы по восстановлению, принимая дополнительные меры безопасности. Компания благодарит своих клиентов за поддержку и обещает оперативно предоставлять информацию о ходе работ, чтобы минимизировать любые оставшиеся сбои в работе.

Обзор новостей информационной безопасности с 23 по 29 августа 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная фишинговая кампания, эксплуатирующая облачный инструмент для создания онлайн-презентаций Microsoft Sway.

Особенности кампании

1. Атака начиналась с электронных писем, которые перенаправляли потенциальных жертв на фишинговые целевые страницы, размещённые в домене sway.cloud.microsoft.

2. На этих лендингах пользователям предлагалось отсканировать QR-коды, которые отправляли их на другие вредоносные сайты.

3. Поскольку URL-адрес встроен в само изображение, это позволяет обойти почтовые сканеры, которые могут сканировать только текстовый контент.

4. Кроме того, когда пользователю присылают QR-код, он может использовать для его сканирования другое устройство, например, мобильный телефон. Поскольку меры безопасности на мобильных устройствах, особенно на личных смартфонах, обычно не такие строгие, как на ноутбуках и настольных компьютерах, жертвы часто становятся более уязвимыми.

Обнаружена преступная кампания, в которой используется загрузчик PEAKLIGHT и новый тип ПО, действующий исключительно в памяти системы.

Особенности кампании

1. Цепочка заражения начинается с того, что жертвы скачивают ZIP-архивы с пиратскими фильмами.

2. Архивы содержат LNK-файлы, замаскированные под видео.

3. При открытии LNK активируется скрытый JavaScript-дроппер, который выполняет PowerShell-скрипт.

4. Дроппер работает исключительно в памяти системы, что позволяет избежать обнаружения традиционными методами защиты.

5. PowerShell-скрипт загружает вредоносное ПО следующего этапа с удаленного сервера и запускает его на компьютере жертвы.

6. Вредоносный JavaScript закодирован с использованием десятичных ASCII-кодов, которые затем декодируются во вредоносный код (PEAKLIGHT). Код создаёт объект ActiveX, который используется для получения системных привилегий и выполнения команд.

7. После декодирования и активации вредоносного скрипта PEAKLIGHT, PowerShell-загрузчик проверяет наличие заранее заданных файлов в системных директориях и загружает отсутствующие файлы с удаленного сервера. В зависимости от варианта исполнения, PEAKLIGHT сохраняет загруженные файлы в AppData или ProgramData.

8. Финальный этап заражения включает загрузку и исполнение архивов, содержащих различные типы вредоносных программ, включая LUMMAC.V2, SHADOWLADDER и CRYPTBOT.

9. Вредоносные архивы (L1.zip и K1.zip) содержат исполняемые файлы и DLL-библиотеки, предназначенные для кражи данных и установки дополнительных вредоносных компонентов.

10. Для маскировки своей активности загрузчик воспроизводит видеоролики, через стандартные средства Windows, например, Windows Media Player, создавая впечатление, что пользователь просто открыл видеофайл.

Обнаружен новый вид мошенничества в соцсетях, направленный на людей, потерявших близких. Мошенники используют украденные фотографии и поддельные ссылки на «прямые трансляции» похорон, чтобы выманивать деньги и данные кредитных карт.

Как действуют преступники

1. Существует два основных подхода к этому типу мошенничества. В одном случае, они создают фальшивые ссылки на трансляции похорон, предлагая пользователям перейти по ссылке, чтобы посмотреть церемонию, и просят поделиться ссылкой с друзьями и родственниками. В другом случае, они обращаются за пожертвованиями от имени семьи умершего.

2. Мошенничество начинается с комментария под уведомлением о похоронах в соцсети. В комментарии указывается, что пользователи могут пожертвовать деньги и предлагают посмотреть трансляцию, перейдя по указанной ссылке.

3. Домены, на которые ведут эти ссылки, регулярно блокируются антивирусными программами, однако мошенники создают всё новые и новые сайты, чтобы продолжать свою деятельность.

4. После перехода по ссылке пользователи попадают на страницу, где их просят зарегистрироваться. Хотя изначально человек перешёл по ссылке ради трансляции похорон, его перенаправляют на страницу, которая запрашивает данные кредитной карты для активации «членства».

5. Мошеннические сайты объясняют необходимость предоставления данных кредитной карты требованием лицензии на потоковое видео, но на самом деле они пытаются списать деньги с карты, под видом оплаты членства. В мелком шрифте указывается, что пользователи автоматически соглашаются на дополнительные платные услуги с регулярными списаниями.

6. Киберпреступники быстро реагируют на новые сообщения о похоронах и используют фальшивые профили с фотографиями умерших, взятыми с сайтов похоронных бюро или трибьютов. Эти посты выглядят правдоподобно и могут обмануть даже внимательных пользователей.

DLBI предупреждает о фишинговой кампании, ориентированной на русскоговорящих пользователей YouTube и запрещёных в РФ Facebook и Instagram.

Схема кампании

1. Мошенники массово публикуют в YouTube, Facebook и Instagram русскоязычные объявления от имени различных несуществующих киберполиций, Интерпола, ЕЦБ и даже совета ЕС с предложениями вернуть деньги, украденные брокерами, криптосервисами и другими финансовыми институциями.

2. При переходе на страницу фишингового сайта предлагается подтвердить свой аккаунт в Facebook, а также ввести данные карты якобы для проведения процедуры chargeback (возврата денег).

3. После этого происходит хищение данных карты, а также «угон» аккаунта в Facebook, который затем используется для запуска в кредит аналогичных объявлений.

4. Кампания использует таргетинг на русский язык и нацелена в первую очередь на эмигрантов, которым приходится пользоваться услугами «чёрных брокеров» для перевода средств при заблокированных банковских каналах платежей. Также объявления показываются пользователям заблокированных в России соцсетей, использующих VPN.

5. Мошенники совершенствуют схемы обмана, используя в объявлениях омоглифы (символы кодировки UTF-8, внешне сходные с буквами русского алфавита, но имеющие другие коды) для обмана алгоритмов автоматической модерации.

Признанная в РФ экстремистской компания Meta, владеющая Facebook и Instagram, получила более 500 жалоб на подобные объявления, но реакция как AI, так и живых модераторов на жалобы остается крайне вялой: менее 10% фишинговых объявлений удаляются с первого раза, еще около 30% — после запроса повторной проверки. Более половины мошеннических объявлений продолжают функционировать до исчерпания лимита рекламного аккаунта.

ВТБ рассказал о новом мошенническом сценарии для кражи аккаунтов на Госуслугах.

Особенности кампании

1. Мошенники представляются сотрудниками Госархива, чтобы усыпить бдительность потенциальных жертв тем, что данное ведомство не имеет никакого отношения к деньгам.

2. Они сообщают, что хотят отправить адресату невостребованные письма, но все данные об отправителях утеряны.

3. Мошенники предлагают получить письма в удобном отделении МФЦ или Почты России и выбрать дату, время для онлайн-записи, чтобы клиент не ждал свою очередь.

4. Затем на мобильный телефон жертвы приходит СМС с цифровым кодом — мошенники просят озвучить его, торопят собеседника, чтобы он озвучил секретную информацию.

5. Как только жертва сообщает их, мошенники получают доступ к цифровым сервисам, включая Госуслуги и онлайн-банк, и могут вывести деньги или оформить кредиты.

F.A.C.C.T. рассказала о новых схемах интернет-мошенничества, направленных на владельцев недвижимости, сдающих жилье в аренду.

Схема № 1 («Мамонт»)

1. Злоумышленник находит объявление о сдаче квартиры на популярных ресурсах недвижимости и связывается с арендодателем, заявляя о срочной необходимости в жилье.

2. После перехода общения в мессенджер преступник демонстрирует заинтересованность, запрашивая дополнительные фотографии и детали о квартире.

3. Затем мошенник предлагает оформить договор через онлайн-сервис по аренде, обещая самостоятельно заполнить все документы и перевести оговоренную сумму.

4. Арендодателю отправляют ссылку на поддельный сайт, сгенерированный специальным Telegram-ботом и имитирующий известный сервис. При попытке получить оплату владелец жилья вводит данные своей банковской карты, после чего киберпреступники похищают средства с его счета.

Аналитики компании F.A.C.C.T. сообщили об обнаружении как минимум шести скам-групп, действующих по данному сценарию. В общей сложности в них насчитывается более 4500 участников, преимущественно исполнителей мошеннических схем.

Схема № 2

1. Злоумышленники представляются риэлторским агентством и предлагают помощь в быстрой сдаче или продаже квартиры.

2. Владельцу недвижимости предлагается разместить объявление на сайте агентства, где необходимо заполнить форму, указав свое имя, номер телефона, город, номер банковской карты и информацию о недвижимости.

3. После этого жертве предлагается скачать приложение для завершения оформления сделки.

4. На самом деле приложение является вредоносным и содержит шпионский Android-троян, который перехватывает SMS-сообщения.

5. С помощью этой программы мошенники могут получить доступ к банковским счетам жертвы и списать все средства. Согласно данным F.A.C.C.T., в некоторых случаях сумма украденных средств достигала 48 000 рублей.

Инциденты

Кибератака вызвала серьёзные сбои в работе ИТ-систем международного аэропорта Сиэтл-Такома (SEA-TAC). Инцидент вызвал задержки рейсов и проблемы с регистрацией пассажиров, что серьёзно осложнило работу крупнейшего аэропорта региона.

24 августа Порт Сиэтла (Port of Seattle) сообщил, что в сетях агентства, включая системы аэропорта SEA, произошёл сбой. Специалисты предположили, что сбой был вызван кибератакой. В целях предотвращения дальнейших проблем были изолированы критически важные системы. Представители порта отметили, что точное время восстановления нормальной работы пока неизвестно, однако работы по возвращению систем к штатному режиму продолжаются.

Пассажиров просят быть готовыми к задержкам и проверять информацию о своих рейсах на сайтах авиакомпаний. Официальный сайт аэропорта остаётся недоступен, а терминалы для регистрации временно выведены из строя.

Пока ни одна хакерская группировка не взяла на себя ответственность за атаку.

Американская радиорелейная лига (ARRL) заплатила выкуп в размере 1 млн долларов США, чтобы получить инструмент для расшифровки и восстановления систем, которые пострадали в ходе вымогательской кибератаки.

Атака на ARRL в мае текущего года нарушила работу сети и систем организации, включая онлайн-сервисы, электронную почту и работу Logbook of the World — онлайновой базы данных, которая позволяет радиолюбителям предоставлять электронные журналы успешных сеансов связи (QSO) и подтверждений (QSL) между пользователями по всему миру.

После обнаружения инцидента системы ARRL были отключены, чтобы предотвратить возможную утечку данных. Представители организации заявляли, что её сеть была взломана «международной киберпреступной группой» в ходе «сложной сетевой атаки», а позже стало известно, что системы Американской радиорелейной лиги зашифровали неназванные вымогатели.

В результате напряжённых переговоров ARRL согласилась заплатить выкуп в размере 1 миллиона долларов США, которые покрыла страховая компания.

Организация сообщила, что большинство систем уже восстановлено, и потребуется не более двух месяцев, чтобы окончательно вернуть в строй все пострадавшие серверы и привести их в соответствие с «новыми стандартами и требованиями к инфраструктуре».

Некоммерческое финансовое учреждение Patelco Credit Union подтвердило утечку данных 726 000 человек в результате кибератаки.

Информация, украденная во время утечки, включает полные имена, номера социального страхования, номера водительских прав, даты рождения и адреса электронной почты.

Patelco обнаружила утечку данных 29 июня 2024 года, а сама кибератака произошла 23 мая 2024 года, когда хакеры проникли в системы компании и похитили большое количество персональных данных.

Из-за инцидента пришлось отключить ИТ-системы почти на две недели для локализации атаки и восстановления функциональности.

В некоторых случаях также были раскрыты дополнительные сведения: почтовые адреса, номера телефонов, пол, пароли и кредитные рейтинги.

Ответственность за атаку взяла на себя вымогательская группировка RansomHub, известная своими атаками на  крупные организации. 15 августа 2024 года группа выставила украденные данные на аукцион, поскольку не смогла договориться с Patelco о выкупе.

Обзор новостей информационной безопасности с 16 по 22 августа 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой фишинговой кампании, направленной на мобильных пользователей банков в Чехии, Венгрии и Грузии используются PWA-приложения и WebAPK для обхода механизмов защиты.

Схема кампании

1. Злоумышленники используют поддельные веб-сайты, которые побуждают пользователей установить PWA. На iOS жертвам предлагается добавить поддельное приложение на главный экран, а на Android установка происходит после подтверждения во всплывающих окнах в браузере. В результате пользователи устанавливают фишинговое приложение, которое внешне практически не отличается от настоящего банковского приложения.

2. Особенность тактики заключается в том, что жертвы устанавливают PWA или WebAPK без одобрения установки приложений из неизвестных источников. Так злоумышленники обходят стандартные предупреждения браузера о возможной угрозе.

3. Фишинговые сайты продвигаются через автоматизированные голосовые звонки, SMS-сообщения и рекламные объявления в соцсетях. Реклама нацелена на определенные группы пользователей по возрасту и полу.

4. Пользователи получают звонок с предупреждением об устаревшей версии банковского приложения и после выбора опции на цифровой клавиатуре жертвам отправляется фишинговая ссылка.

5. Кликнув по ссылке, пользователи попадают на сайт, который имитирует страницу приложения в Google Play или официальный сайт банка, что в конечном итоге приводит к установке фальшивого PWA или WebAPK под видом обновления приложения.

6. Установка WebAPK не вызывает стандартных предупреждений о том, что приложение загружается из ненадежного источника, что усложняет обнаружение угрозы.

7. Для пользователей iOS преступники разработали инструкции по добавлению фальшивого приложения на главный экран устройства.

8. После установки жертвам предлагается ввести свои учетные данные онлайн-банка для доступа к своему счету через новое приложение.

9. Вся представленная информация отправляется на командные серверы или в Telegram-группу злоумышленников.

В международной киберкампании Tusk, направленной на кражу криптовалюты и личных данных пользователей Windows и MacOS используются фишинговые сайты, инфостилеры и клипперы.

Особенности кампании

1. Злоумышленники заманивают жертв на фишинговые сайты, которые выглядят почти идентично легитимным сервисам, используя популярные темы: web3, криптовалюту, искусственный интеллект и онлайн-игры.

2. Некоторые обнаруженные страницы мимикрируют под криптоплатформу, ролевую онлайн-игру и Al-переводчик.

3. Фальшивые ресурсы выглядят настолько правдоподобно, что пользователи легко попадаются на уловку, вводя свои личные данные или скачивая вредоносное программное обеспечение.

4. Мошеннические сайты позволяют выманивать конфиденциальные данные пользователей, например приватные ключи для криптокошельков, а также загружать на устройство жертвы вредоносное ПО.

5. В дальнейшем злоумышленники могут получить доступ к криптокошельку через поддельный сайт и вывести с него средства либо украсть учётные данные, реквизиты кошелька и другую информацию посредством вредоносных программ.

6. Арсенал киберпреступников включает инфостилеры Danabot и Stealc, а также клипперы. Первые нацелены на кражу паролей и другой конфиденциальной информации, в то время как клипперы перехватывают данные из буфера обмена, подменяя, например, адреса криптокошельков на вредоносные.

7. Файлы для загрузки вредоносного ПО размещаются в Dropbox. Жертва, скачав файл, переходит на сайт с привлекательным интерфейсом, где ей предлагают авторизоваться или просто не закрывать страницу. В это время загружается дополнительное вредоносное ПО, которое продолжает атаку.

8. В коде вредоносных программ содержатся строки на русском языке, а в файлах для загрузки встречается слово «Мамонт», которое русскоязычные киберпреступники часто используют для обозначения жертвы.

9. Название кампании — Tusk («Бивень») — также отсылает к образу мамонта, за которым охотились ради ценных бивней.

Инциденты

В открытый доступ выложены данные граждан Казахстана, родившихся в период с 15.09.2019 по 29.04.2024.

В нескольких текстовых файлах находится 2381474 строки, содержащих:

• ФИО,
• дата рождения,
• дата смерти,
• ИНН (ИИН),
• телефон,
• пол,
• гражданство,
• национальность,
• адрес,
• идентификатор/ссылка на запись в Государственной базе данных «Физические лица».

Эксперты телеграм-канала «Утечки информации» предполагают, что эти данные выгружены из медицинской базы или реестра новорожденных.

В свободный доступ выложен частичный дамп базы данных мебельного интернет-магазина bestmebelshop.

В этом частичном дампе содержатся данные только 100900 зарегистрированных пользователей. По данным «Утечек информации», в полном дампе присутствуют данные 704 248 пользователей и их заказов:
ФИО покупателей, адреса доставки, 506 тыс. уникальных адресов эл. почты, 689 тыс. уникальных номеров телефонов, заказы, хешированные (MD5 солью) пароли.

Данные в дампе актуальны на 18.08.2024.

Хакеры из группировки DumpForums слили дамп базы данных покупателей интернет-аптеки aptekiplus.

Дамп содержит имена покупателей, адреса эл. почты (почти 2 млн уникальных адресов), телефоны (4,5 млн уникальных номеров) и даты заказов.

Информация датируется 17.08.2024.

На хакерском форуме опубликовали архив, содержащий 240 ГБ данных, украденных из систем компании Toyota.

Дамп содержит контакты, финансовые документы, данные клиентов, схемы, сведения о сотрудниках, архив фотографий, БД, сведения о сетевой инфраструктуре, полные копии почтовых ящиков и множество других данных.

Злоумышленники утверждают, что также собрали информацию о сетевой инфраструктуре компании, включая учетные данные, используя опенсорсный инструмент ADRecon который помогает извлекать информацию из сред Active Directory.

СМИ сообщают, что файлы, судя по всему, были украдены или созданы 25 декабря 2022 года. Предполагают, что злоумышленники получили доступ к бэкап-серверу, на котором хранилась информация.

Представители Toyota подтвердили, что утечка действительно имеет место.

Вымогатели Rhysida выставили на аукционе эксклюзивные данные американского издания The Washington Times.

Злоумышленники установили семидневный срок до начала торгов, призывая потенциальных покупателей «подготовить кошельки». Стартовая цена за предполагаемый массив данных составляет 5 биткоинов, что эквивалентно 292 тыс. долларов США по текущему курсу.

Хакеры не указали объём похищенных с серверов газеты данных, но предоставили образец в качестве «доказательства» атаки.

По словам экспертов, образец содержит различные корпоративные файлы, включая банковские выписки, документы сотрудников, а также копию водительских прав штата Техас и карточки социального страхования.

Американский производитель микросхем Microchip Technology Incorporated сообщил о вымогательской кибератаке, нарушившей работу нескольких производственных объектов.

«17 августа 2024 года компания Microchip Technology Incorporated обнаружила подозрительную активность в своих ИТ-системах. Обнаружив проблему, компания начала принимать меры по оценке, локализации и устранению потенциально несанкционированной активности. 19 августа 2024 года было установлено, что неавторизованная сторона помешала компании использовать некоторые серверы и осуществлять некоторые бизнес-операции».

В настоящее время Microchip Technology изучает масштабы и последствия атаки, а к делу привлечены внешние ИБ-эксперты. Также компания работает над восстановлением пострадавших ИТ-систем и возвращением к нормальной работе.

Подробности инцидента пока держатся в секрете. Ни одна хакерская группа не взяла на себя ответственность за случившееся.

Сеть супермаркетов Boni в Нидерландах стала жертвой вымогательской кибератаки группировки Akira, в результате которой злоумышленники получили доступ к части компьютерной системы компании.

Представители Boni подтвердили факт взлома, однако отказались раскрыть, удалось ли хакерам похитить какие-либо данные.

По информации HackManac, киберпреступники украли около 16 гигабайт данных, среди которых финансовые отчёты, персональные сведения сотрудников и клиентов, а также внутренние документы компании.

По данным властей, злоумышленники требуют выкуп в биткоинах в обмен на возвращение похищенных данных, и общая сумма их требований может достигать 42 миллионов долларов США.

Некоммерческая организация Promises2Kids, занимающаяся поддержкой детей в городе Сан-Диего, Калифорния, США, стала жертвой атаки вымогательской группы Qilin.

Хакеры заявили, что получили доступ к конфиденциальной информации организации, угрожая её публичным разглашением, если не будет выплачен выкуп. В данном случае они использовали стратегию двойного вымогательства, когда помимо шифрования данных, хакеры угрожают опубликовать украденную информацию, что значительно усиливает давление на жертву.

Для первоначального взлома системы злоумышленники использовали методы фишинга, а затем применили шпионское ПО для мониторинга и управления заражёнными устройствами.

В результате масштабной кибератаки сотрудники криптовалютной компания Unicoin на четыре дня лишились корпоративного доступа к почте.

Инцидент произошёл 9 августа, когда неизвестный хакер получил доступ к учётным записям Google G Suite компании и изменил пароли всех пользователей, что привело к полной утрате доступа к системам.

Почти четыре дня сотрудники Unicoin с адресами электронной почты «@unicoin.com» не могли пользоваться рабочими сервисами, включая Google Mail и Google Drive. Лишь 13 августа компании удалось восстановить доступ и выгнать злоумышленника из своей сети.

Представители Unicoin заявили, что в настоящее время продолжается анализ ущерба и масштабов утечки данных. Пока не ясно, кто стоит за атакой, но компания отметила, что, несмотря на отсутствие доказательств кражи финансовых средств, были обнаружены нарушения в персональных данных сотрудников и подрядчиков в бухгалтерском отделе.

Также были зафиксированы следы взлома почтовых аккаунтов и сообщений некоторых менеджеров. Unicoin пока не может дать точный прогноз по возможным финансовым последствиям инцидента.