Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Дайджест Start X № 361

Обзор новостей информационной безопасности с 9 по 15 февраля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты Check Point обнаружили резкий рост числа атак с использованием поддельных голосовых сообщений в электронной почте.

Схема кампании

  1. Злоумышленники используют корпоративные телефонные системы для рассылки электронных писем, содержащих фишинговые ссылки под видом сообщений голосовой почты.
  1. Письмо содержит имитацию встроенного аудиопроигрывателя, который представляет собой ссылку, якобы перенаправляющую жертву в сервис, от которого пришло письмо. Там, по легенде, жертва сможет прослушать отправленное голосовое сообщение.
  1. Имитация записанного сообщения на голосовую почту разжигает любопытство жертвы, поэтому она спешит ввести логин и пароль на поддельной странице, принадлежащей хакерам.

Мошенники стали использовать старые голосовые сообщения из существующих переписок в мессенджерах, чтобы обманывать жертв.

Схема действий преступников

  1. Мошенники взламывают аккаунт жертвы в мессенджере и изучают переписки со знакомыми и коллегами.
  1. Выбрав подходящего собеседника, с ним связываются с помощью текстового сообщения от имени владельца аккаунта.
  1. Изначально беседа может не касаться денег, сначала мошенники пытаются войти в доверие. Для этого они продолжают начатый диалог или возвращаются к старой тему, найденной в переписке: день рождения друга, планы на выходные и другие.
  1. Затем мошенники отправляют старые голосовые сообщения, чтобы убедить собеседника, что он действительно общается с родственником или знакомым.
  1. После этого возникает просьба одолжить денег на пару дней. Уверенная, что общается со знакомым, жертва отправляет деньги мошеннику.

Инциденты

Телеграм-канал «Утечки информации» сообщает, что хакеры получили доступ к информации из формы записи на прием с сайта медицинского центра «СОВА».

Данные содержат:

  • ФИО,
  • номер телефона (126 тыс. уникальных номеров),
  • адрес эл. почты (35 тыс. уникальных адресов),
  • город,
  • текст комментария.

Актуальность данных — 12.02.2024.

В свободный доступ были выложены SQL-дампы, содержащие информацию о клиентах и их заказах, предположительно интернет-магазина бытовой техники и электроники ultratrade.ru.

В опубликованных файлах содержатся следующие данные:

  • ФИО,
  • адрес эл. почты (95 тыс. уникальных адресов),
  • телефон (144 тыс. уникальных номеров),
  • пароль (в текстовом виде),
  • адрес,
  • дата регистрации и заказа,
  • IP-адрес.

Как сообщают «Утечки информации», данные актуальны на 11.02.2024.

Из-за неправильной настройки серверов переписка американской компании Securence и тысяч её клиентов находилась в открытом доступе более десяти лет.

Эксперт компании Hold Security обнаружил публичную ссылку, ведущую к серверу электронной почты U.S. Internet, материнской компании Securence, на котором можно было получить доступ к более чем 6500 доменным именам. Каждое из этих имён вело к индивидуальным почтовым ящикам сотрудников или пользователей.

Среди клиентов Securence десятки государственных и местных органов власти, в том числе официальный сайт Северной Каролины, сайт города Стиллвотер в Миннесоте и правительство города Фредерик в Мэриленде.

Как вскоре выяснилось, проблема оказалась связана с неправильной настройкой конфигурации серверов, отвечающих за обработку электронной почты, что и привело к несанкционированному раскрытию информации.

Кроме проблемы с утечкой данных выяснилось, что злоумышленники эксплуатировали сервис Securence для создания вредоносных ссылок. Эти ссылки, первоначально предназначенные для защиты от спама и фишинга, перенаправляли пользователей на заражённые сайты, увеличивая риски для их безопасности.

Ещё одна примечательная деталь инцидента — профиль деятельности жертвы. Компания Securence специализируется на предоставлении услуг фильтрации и защиты электронной почты.

Компания Southern Water из Великобритании признала, что данные части её клиентов были украдены в результате январской кибератаки.

Хотя Southern Water не подтвердила, что причиной инцидента была вымогательская атака, киберпреступная группа Black Basta взяла ответственность за атаку и опубликовала часть украденных данных.

В разосланных клиентам письмах компания уведомила о возможной краже имён, дат рождения, номеров национального страхования, номеров банковских счетов и прочей информации. Пострадавшим предложена бесплатная годовая подписка на сервис Experian IdentityWorks для мониторинга кредитной истории.

Примечательно, что вымогатели Black Basta удалили информацию о Southern Water со своего сайта утечек. Обычно это происходит после уплаты выкупа, однако компания отказалась комментировать этот момент.

Кибератака привела к остановке производства на пяти заводах немецкого производителя аккумуляторов VARTA AG.

Из-за атаки на часть IT-инфраструктуры компании пришлось прекратить работу IT-систем и отключить их от интернета для обеспечения безопасности. Инцидент имеет все признаки вымогательской атаки, но никаких подробностей пока не раскрывается.

Компания активировала чрезвычайный план, создав рабочую группу из экспертов по кибербезопасности и специалистов по компьютерной форензике для помощи в восстановлении систем.

Остановка производственных операций на пяти заводах без чёткого срока восстановления нормальной работы привела к падению цен на акции VARTA на 4,75%.

Хакерская группировка из Бахрейна совершила успешную атаку на бортовые системы кораблей 5-го флота Соединенных Штатов.

Как сообщают СМИ, 11 февраля хакерская группировка «Шторм» провела успешную атаку против пятого флота ВМС США и объявила о том, что в ее распоряжении оказались секретные документы, в том числе фотографии и подробные планы американской базы на Бахрейне. Хакеры опубликовали часть похищенных документов, предупредив, что у них есть нечто более важное. Оно попадет в руки тех, кто поддерживает «Ось сопротивления» в борьбе против США.

Вымогатели ALPHV/BlackCat объявили о взломе систем канадской сети транспортировки нефти Trans-Northern Pipelines и краже 190 ГБ конфиденциальных данных.

За отказ от публикации данных вымогатели требуют выкуп, размер которого не сообщается.

Сам киберинцидент произошёл ещё в ноябре 2023 года и затронул ограниченное количество внутренних компьютерных систем. Сейчас компания сотрудничает с  экспертами по безопасности для расследования заявлений хакеров и обеспечения надлежащей защиты своих операций.

Кибератака на индийскую компанию Infosys стала причиной масштабной утечки данных, затронувшей клиентов Банка Америки.

Согласно официальному заявлению, американское подразделение Infosys, Infosys McCamish Systems LLC (IMS), столкнулось с серьезным инцидентом, из-за которого на время были отключены важнейшие системы и приложения.

Bank of America не сообщает, сколько именно клиентов пострадали от этой утечки, однако представители консалтинговой компании Infosys McCamish Systems (IMS), чьи системы и были взломаны в ходе атаки, заявили, что в результате инцидента были раскрыты данные 57 028 клиентов.

Ответственность за взлом IMS взяла на себя вымогательская группировка LockBit. На своем сайте в даркнете хакеры утверждают, что в ходе атаки им удалось скомпрометировать и зашифровать более 2000 систем компании.

Компания Willis Lease Finance Corporation стала жертвой кибератаки группировки Black Basta, в результате которой произошла утечка конфиденциальных данных.

Хакеры утверждают, что им удалось украсть 910 ГБ данных, среди которых личная информация сотрудников, документы по управлению персоналом, соглашения о неразглашении, а также детали договоров аренды с крупными авиакомпаниями и 40 сканов паспортов.

Black Basta разместила на своем сайте утечек образцы похищенного, в том числе кадровые документы, содержащие номера социального страхования сотрудников компании.

Вымогательская атака на информационную систему Hipocrate (Hipocrate Information System, HIS) нарушила работу 100 румынских больниц. Данные 25 учреждений зашифрованы, а 75 больниц не могут работать из-за отключения системы.

В результате атаки система полностью вышла из строя, а файлы и базы данных были зашифрованы программой Backmydata, разновидностью программы-вымогателя из семейства Phobos.

Атака затронула множество больниц по всей Румынии, включая региональные и онкологические центры. Врачи были вынуждены вернуться к выписыванию рецептов и ведению всех записей на бумаге.

Злоумышленники уже отправили требование о выкупе в размере 3,5 BTC (около 157 тыс. евро). Название группы, ответственной за атаку, в записке о выкупе не упоминается.

 161   2 мес   дайджест   фишинг

Дайджест Start X № 360

Обзор новостей информационной безопасности со 2 по 8 февраля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники предлагают 2,5 тысячи за прохождение опрос о предстоящих выборах, но вместо этого крадут деньги.

Схема действий преступников

  1. Мошенники рассылают в мессенджерах сообщение от имени партии «Единая Россия», в котором предлагают принять участие в опросе.
  2. За ответы на вопросы жертве обещают заплатить 2500 рублей.
  3. Чтобы пройти опрос, нужно скачать мобильное приложение с поддельного магазина Google Play, в котором замаскирован Android-троян.

  1. После прохождения опроса о предстоящих выборах жертвам предлагается ввести данные банковской карты для получения вознаграждения.
  2. Фишинговая страница, на которую жертву отправляет приложение, запрашивает доступ к СМС и контактам мобильного устройства пользователя.
  3. Если жертва соглашается, мошенники получают возможность без ведома жертвы получить СМС с кодом подтверждения банковского перевода и опустошают его счета.

Всего за два дня — 29 и 30 января — жертвами мошенников стали 33 человека. С их счетов похитили 292,5 тыс. руб. В среднем злоумышленники переводили со счета каждой жертвы по 8,8 тыс. руб. Минимальной сумма — 1,5 тыс. руб., максимальная — 76 тыс. руб.

Новая мошенническая кампания в Telegram маскируется под обновления системы безопасности.

Особенности кампании

  1. Фишинговые сообщения рассылаются от имени администрации и техподдержки IM-сервиса.
  2. Для проведения рассылок преступники создали поддельные аккаунты с именами «администрация Telegram», «Служба поддержки», «Обновление», «Безопасность»
  3. Распространяемые ими сообщения предупреждают о «проведении масштабного обновления безопасности системы для защиты данных пользователей».
  4. Для подтверждения проверки системы предлагается пройти по указанной ссылке и следовать инструкциям.
  5. Целевые страницы мошенников замаскированы с помощью тайпсквоттинга и имитируют ресурсы мессенджера, используя имена telegraim, telegrain, telegramn, telegrami, tefegram.
  6. Все фальшивые сайты размещены в зонах .ru и .online.

Инциденты

Китайская кибершпионская группа проникла в инфраструктуру Министерства обороны Нидерландов и установила на взломанные устройства Fortinet троян удаленного доступа Coathanger.

Развертывание Coathanger осуществлялось после взлома уязвимых брандмауэров FortiGate, которые хакеры атаковали при помощью уязвимости CVE-2022-42475 в FortiOS SSL-VPN.

Власти сообщают, что ущерб от атаки был ограничен благодаря сегментации сети:

«В пострадавшей сети насчитывалось менее 50 пользователей. Ее задачей были исследования и разработки (R&D) несекретных проектов и сотрудничество с двумя сторонними исследовательскими институтами. Эти организации уже уведомлены об инциденте».

Эксперты предупреждают, что «COATHANGER восстанавливается после каждой перезагрузки, внедряя свою резервную копию в процесс, отвечающий за перезагрузку системы. Он выживает даже после обновления прошивки, поэтому даже полностью пропатченные устройства FortiGate могут быть заражены, если они были взломаны до установки патча».

Компания Hewlett Packard Enterprise (HPE) расследует возможный взлом после публикации в интернете объявления о продаже украденных учетных данных HPE и другой конфиденциальной информации.

Злоумышленник опубликовал скриншоты некоторых учетных данных HPE, но не раскрыл источник информации и метод ее получения. В объявлении он указал, что данные включают в себя доступы к CI/CD, системные журналы, файлы конфигурации, токены доступа, файлы HPE StoreOnce (серийные номера, гарантии и т. д.) и пароли доступа.

Расследование показало, что данные были получены из «тестовой среды». Признаков компрометации производственных сред или информации клиентов не обнаружено, требований выкупа также не поступало.

У международной компании похитили 200 млн гонконгских долларов (25,6 млн долларов США), использовав сложную мошенническую схему с применением дипфейков.

Сначала сотрудник финансового отдела компании-жертвы из филиала в Гонконге получил фишинговое сообщение, якобы от лица финансового директора, находящегося в Великобритании. В письме сотрудника просили совершить секретную транзакцию.

Сначала письмо показалось сотруднику подозрительным. Но он отбросил сомнения после того как «финансовый директор» предложил обсудить детали в ходе группового видеозвонка. В звонке принимали участие и другие сотрудники компании, которые были знакомы жертве.

Мошенники использовали дипфейк-версии финансового директора компании и других сотрудников. Фальшивые личности во время видеоконференции общались между собой и отдавали сотруднику указания перевести деньги на счета злоумышленников. Все участники видеозвонка, кроме жертвы, имитировали внешность и голоса других людей.

В итоге исполнительный сотрудник произвёл 15 переводов на сумму 25,6 млн долларов США на пять различных счетов в гонконгских банках.

На теневом форуме выставили на продажу базу данных, якобы содержащую данные пациентов Министерства здравоохранения республики Татарстан.

В опубликованном тестовом примере содержится 2007 строк:

  • ФИО,
  • дата рождения,
  • паспортные данные,
  • СНИЛС,
  • телефон,
  • адрес,
  • название медучреждения,
  • диагноз.

В опубликованном на форуме примере все записи относятся к Нижнекамской центральной районной многопрофильной больнице.

Продавец утверждает, что всего в базе находится 4,3 млн таких записей.

Минздрав Татарстана прокомментировал сообщение об утечке:

«Речь не идет об утечке сведений обо всех пациентах Татарстана. По предварительным данным, незаконным путем был получен узкий сегмент записей о пациентах одной из центральных районных больниц. Вероятно, это может быть связано с нарушениями со стороны отдельных сотрудников.»

Из-за кибератаки в детской больнице Лури в Чикаго (Lurie Children’s Hospital) отключились ИТ-системы. Это нарушило работу учреждения и привело к задержкам в оказании медицинских услуг.

В заявлении об инциденте кибербезопасности говорится, что атака затронула интернет-системы, системы электронной почты, телефонных услуг и платформу MyChat.

Больница продолжает оказывать медицинские услуги, стараясь минимизировать перебои. Отмечены задержки запланированных процедур, недоступность результатов УЗИ и КТ, а рецепты выдаются в бумажном виде.

Пока ни одна вымогательская группировка не взяла на себя ответственность за атаку.

Вымогатели LockBit взломали детскую больницу Святого Антония в Чикаго.

Преступники потребовали у некоммерческой больницы выкуп в размере 850 тыс. долларов США. Крайний срок установлен на 01:41 UTC 2 февраля. Платеж в размере 1000 долларов США продлит таймер на 24 часа, а 850 688 долларов США — стоимость данных. Они могут быть как уничтожены, так и куплены заинтересованными лицами.

Хакеры взломали компанию AnyDesk, украли исходный код и сертификаты подписи кода.

Взлом был обнаружен после выявления подозрительной активности в системах компании. Аудит безопасности обнаружил компрометацию производственных систем. Подчеркивается, что речь идет не о вымогательской атаке, и расследованием случившегося уже занимаются правоохранительные органы и эксперты ИБ-компании CrowdStrike.

Узнав об инциденте, AnyDesk отозвала все связанные с безопасностью сертификаты, а также восстановила или заменила ряд систем. В компании заверили, что AnyDesk полностью безопасен для клиентов и нет никаких доказательств того, что устройства конечных пользователей пострадали в результате инцидента.

Хотя компания утверждает, что аутентификационные токены не были украдены, в качестве меры предосторожности она сбросила пароли к своему веб-порталу my.anydesk[.]com и рекомендует клиентам как можно скорее сменить пароли, если они использовались на других сайтах.

 153   2 мес   дайджест   фишинг

Дайджест Start X № 359

Обзор новостей информационной безопасности с 26 января по 1 февраля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Компания F.A.C.C.T предупреждает о новой волне целевых фишинговых атак на пользователей государственных онлайн-сервисов в России.

Схема кампании

  1. Злоумышленники рассылают поддельные письма якобы от Минцифры России с требованием срочно установить специальные сертификаты безопасности.
  1. Рассылка проводится методом спуфинга, то есть адрес отправителя выглядит как легитимный адрес Минцифры.
  1. В письме , что «С 30.01. 2024 у пользователей, не установивших на свои операционные системы сертификаты НУЦ Минцифры РФ, могут возникнуть проблемы с доступом, вплоть до полного его отсутствия, к таким сервисам как: Госуслуги, в онлайн банкинг, государственные ресурсы, и ряд других российских сервисов».
  1. Сообщения были оформлены профессионально и выглядели чрезвычайно правдоподобно.
  1. В тексте письма содержалась ссылка, при переходе по которой скачивается архив russian_trusted_ca_ms.cer.rar.
  1. Внутри архива находились два одинаковых исполняемых файла russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe, маскирующихся под сертификаты безопасности.
  1. Вместо сертификата с вредоносного ресурса загружалось шпионское ПО MetaStealer, которое собирает чувствительные данные с компьютера жертвы.

В рамках мошеннической кампании неизвестные рассылают электронные письма о выявлении подозрительных транзакций и активности налогоплательщика от имени ФНС России.

Схема действий мошенников

  1. Жертве направляется фальшивое письмо от имени ФНС, в котором указано, что выявлены подозрительные транзации по счетам жертвы.
  1. Для урегулирования вопроса следует пройти дополнительную проверку и предоставить сведения по запросу Службы (например, кассовые документы, счета-фактуры, накладные, акты приема-передачи, авансовые отчеты и товаросопроводительные документы).
  1. Для прохождения данной процедуры предлагается обратиться к назначенному инспектору, контакты которого содержатся в письме.
  1. За бездействие мошенники угрожают заморозить счета налогоплательщика до выяснения обстоятельств.
  1. ФНС предупреждает, что не рассылает подобные сообщения и не имеет к ним отношения. Также представители ФНС не совершают телефонные звонки с предложением оплатить налоги онлайн.

Новая киберпреступная группировка Scaly Wolf рассылает фишинговые письма, замаскированные под документы государственных органов, и атакует промышленные и логистические компании из России.

Особенности кампании

  1. Для распространения вредоносного ПО злоумышленники рассылают фишинговые письма, имитирующие официальные письма госорганов, в том числе запросы и требования Роскомнадзора, Следственного комитета РФ и Военной прокуратуры РФ, а также судебные постановления и другие предписания регуляторов.
  1. Отличительная черта Scaly Wolf — высокий уровень юридической грамотности, с которой составлялись письма и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей.
  1. Поверив письму, жертвs следуют содержащимся в них инструкциям и открывают приложенный к письму архива, где якобы содержатся документы.
  1. На самом деле в архиве находился стилер White Snake. Он позволяет получать несанкционированный доступ к корпоративной электронной почте, CRM-системам и другим ресурсам.
  1. White Snake собирает аутентификационные данные, включая сохраненные в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с зараженного компьютера и обеспечивает удаленный доступ к нему. Программа интегрирована с ботом в Telegram, где злоумышленники получают оповещения о новых зараженных устройствах.
  1. Разработчики White Snake запретили её использование в России и СНГ, однако Scaly Wolf сумели отключить функцию инфостилера, которая останавливала работу программы при обнаружении российского или СНГ IP-адреса.

Эксперты Check Point предупреждают о новой квишинговой кампании (фишинг с помощью QR-кодов).

Схема кампании

  1. Кампания начинается с поддельного сообщения, содержащего QR-код в теле письма или в PDF-вложении.

  1. Встроенная в QR-код ссылка ведет на ресурс, снимающий цифровой отпечаток посетителя.

  1. По результатам проверки посетителя переадресовывают на один из вредоносных ресурсов в зависимости от устройства, совершившего переход по стартовой ссылке — Android, Linux или macOS-компьютер.

  1. По результатам проверки пейлоад может перенаправить посетителя на фишинговую страницу (например, фейковый вход на сервис Microsoft) либо на страницу со специальным JavaScript-кодом, который загружает процессор устройства пользователя на 100% в качестве меры против попыток обратного инжиниринга.
  1. Цель злоумышленников — кража учетных данных или установка вредоносного ПО.

Инциденты

На GitHub в течение нескольких месяцев находился массив конфиденциальных данных компании Binance, содержащий коды, схемы инфраструктуры, внутренние пароли и другую техническую информацию.

Одна из схем показывала взаимосвязь различных частей и зависимостей Binance. В массиве также содержалось множество сценариев и кодов, некоторые из которых, по-видимому, относились к реализации паролей и многофакторной аутентификации. Комментарии к коду были написаны как на английском, так и на китайском языках.

Несколько файлов содержали пароли для систем, обозначенных как «prod», а часть паролей соответствовали серверам AWS, используемым Binance.

Компания Binance смогла добиться удаления данных с GitHub только в конце января, воспользовавшись запросом на удаление по причине нарушения авторских прав.

Неизвестные украли криптовалюту на сумму более 112 млн долларов США у сооснователя блокчейн-проекта Ripple Криса Ларсена (Chris Larsen).

Кража произошла в последних числах января и была обнаружена блокчейн-экспертом ZachXBT, заметившим, что 213 млн Ripple XRP перемещают и пытаются «отмыть» через Binance, Kraken и другие криптовалютные платформы.

Сама Ripple никак не прокомментировала ситуацию, а соучредитель и исполнительный директор проекта Крис Ларсен опроверг в X информацию о том, что сама компания подверглась взлому. Он заявил, что взломали его лично.

В публичном репозитории обнаружен токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.

Токен попал в открытый доступ еще 29 сентября 2023 года. Он предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise. В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании.

Скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию.

Утечка таких данных может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.

Кроме того, утечка ключей API грозит несанкционированным доступом к данным, нарушением работы сервисов и использованием инфраструктуры компании с вредоносными целями.

Эксперты уведомили Mercedes-Benz об утечке токена 22 января 2024 года, а через два дня компания отозвала его, заблокировав доступ всем, кто мог им злоупотреблять.

Автопроизводитель не дал комментариев относительно последствий инцидента, но подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки».

Округ Фултон американского штата Джорджия столкнулся с масштабным сбоем в работе информационных систем из-за кибератаки неизвестной группировки.

Кибератака затронула ряд основных технологических платформ — телефонную систему, судебную систему и налоговую систему. Конкретные сроки восстановления сервисов власти округа пока назвать не могут.

Большинство офисов округа Фултон открыты, но налоговый комиссар не работал в понедельник. Многие другие учреждения работают в ограниченном режиме, пока IT-отдел занимается устранением сбоев. Публичные компьютеры в библиотеках округа не работали в понедельник, но со вторника продолжили свою работу. Местные телеканалы сообщают, что жители столкнулись с массовыми проблемами, когда приходили оспаривать налоги на имущество или посещали автомобильные инспекции.

В Dark Web обнаружены более 1570 скомпрометированных учётных данных клиентов четырёх из пяти крупнейших интернет-регистраторов (RIR), среди которых RIPE, APNIC, AFRINIC и LACNIC. Компрометации избежали лишь ARIN, отвечающий за Северную Америку.

Одно из объявлений о продаже учётных данных

Данные были похищены в результате заражения инфостилерами Azorult, Redline, Vidar, Lumma и Taurus. Эксперты Resecurity уведомили жертв о компрометации их данных и выяснили следующее:

  • 45% опрошенных не знали о компрометации своих данных до уведомления;
  • 16% уже были в курсе и предприняли необходимые меры безопасности;
  • 14% узнали о компрометации, но активировали двухфакторную аутентификацию (2FA) только после уведомления;
  • 20% признали необходимость более глубокого расследования инцидента;
  • 5% не смогли предоставить обратную связь или найти ответственное лицо в своей организации.

Компания Schneider Electric стала жертвой вымогателей Cactus. От атаки пострадало подразделение, отвечающее за разработку решений в сфере устойчивого развития.

Хакеры похитили из корпоративной сети Schneider Electric терабайты конфиденциальных данных. За возврат доступа к информации и её нераспространение злоумышленники потребовали выкуп, размер которого не сообщается.

Украденные данные могут содержать сведения об инфраструктуре и системах энергопотребления, а также решениях в области автоматизации производства, внедрённых на предприятиях клиентов компании.

Атака нарушила работу облачной платформы Resource Advisor, предоставляющей клиентам Schneider Electric инструменты для мониторинга и анализа энергопотребления. Сбои наблюдаются до сих пор.

Представители Schneider Electric официально подтвердили факт взлома и доступа злоумышленников к данным. При этом в компании подчеркнули, что атака затронула только подразделение по устойчивому развитию и не распространилась на другие системы и инфраструктуру Schneider Electric.

Как сообщают «Утечки информации», на теневом форуме продают дамп базы данных покупателей и заказов предположительно екатеринбургского интернет-магазина обуви «Робек».

В нескольких файлах содержится:

  • ФИО,
  • телефон (174 тыс. уникальных номеров),
  • адрес эл. почты (252 тыс. уникальных адресов),
  • адрес,
  • пол,
  • дата рождения,
  • хешированный (MD5 без соли) пароль,
  • IP-адрес.

Информация в дампе актуальна на 22.01.2024.

В Telegram продают базы данных клиентов, заказов и сотрудников (водителей) предположительно службы доставки еды «Достаевский» (dostaevsky.ru).

По словам продавцов база разбита на три региона: Санкт-Петербург, Сочи и Москва.

Данные датируются концом июля 2023 года и содержат:

  • имя,
  • телефон (3,09 млн уникальных номеров),
  • адрес эл. почты ( 339,6 тыс. уникальных адресов),
  • хешированный (MD5 без соли) пароль,
  • адрес,
  • дата и время заказа,
  • количество заказов и их общую стоимость.

Вымогатели Akira взломали производителя косметических средств Lush.

Хакерам удалось похитить 110 ГБ данных: сканы паспортов и документы компании, связанные с учётом, финансами, налогами, проектами и клиентами. Предполагают, что преступники получили доступ к системе управления персоналом.

Компания признала, что имеет дело с «инцидентом кибербезопасности» 11 января. Вымогатели Akira опубликовали сведения о взломе Lush на своём сайте утечек 25 января. Пока группировка не опубликовала данные, но угрожает сделать это, если не будет выплачен выкуп.

Представители Lush подтвердили факт атаки на «часть IT-систем» компании, заявив о запуске расследования с участием внешних специалистов по безопасности.

Вымогатели Medusa взломали KCATA, оператора общественного транспорта Канзас-Сити из штата Миссури, США.

Сразу после атаки KCATA сообщила о начале расследования с привлечением внешних экспертов. По словам представителей компании, кибератака привела к сбоям в работе региональных колл-центров, но не повлияла на работу транспортных услуг.

Medusa угрожает опубликовать украденные данные, если KCATA не заплатит выкуп в размере 2 млн долларов США. Хакеры предлагают возможность отсрочки платежа за дополнительные 100 тысяч долларов США в день.

KCATA не раскрыла информацию о разновидности вымогательского ПО и не подтвердила утечку данных. В качестве доказательства взлома Medusa разместила образцы якобы украденных у KCATA данных на своём сайте в сети Tor.

 155   2 мес   дайджест   фишинг
Ранее Ctrl + ↓