Обзор новостей информационной безопасности с 10 по 16 марта 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Вредоносная кампания по распространению инфостилеры Raccoon, RedLine и Vidar использует YouTube-ролики, созданные искусственным интеллектом.

Особенности кампании

1. Видео маскируются под руководства по загрузке взломанных версий Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD.
2. Ссылки на вредоносное ПО обычно содержатся прямо в описании под видео, и их часто обфусцируют при помощи сокращателей URL-адресов (Bitly и Cuttly). Вредоносы также могут размещаться в MediaFire, Google Drive, Discord, GitHub и Telegra.ph.
3. Каждый час на YouTube загружается от 5 до 10 таких роликов, при этом злоумышленники используют методы отравления SEO (SEO poisoning), чтобы видео появлялись в верхней части поисковой выдачи.

4. Хакеры используют утечки данных и социальную инженерию для захвата чужих аккаунтов на YouTube, а затем (пока взлом не будет обнаружен) задействуют популярные каналы для распространения своих вредоносов.

5. В последнее время увеличилось количество видео, созданных искусственным интеллектом (с помощью таких платформ, как Synthesia и D-ID). Исследователи поясняют, что давно установленный факт гласит, что видео с участием людей, особенно с определенными чертами лица, кажутся пользователям более привычными и заслуживающими доверия.

Исследователи пишут, что YouTube остается одним из наиболее популярных каналов для распространения вредоносного ПО, причем активность злоумышленников, связанная с распространением стилеров через видеохостинг, в последнее время увеличивается на 200-300% по сравнению с предыдущим месяцем.

Сбербанк предупреждает о набирающих обороты случаях мошенничества, в которых жертву обвиняют якобы в измене Родине.

Схема действий мошенников:

1. Мошенники звонят клиенту, представляются сотрудниками полиции или ФСБ и сообщают, что сотрудник банка, в котором обслуживается клиент, украл его персональные данные и переводит деньги на счета армии Украины.
2. Поскольку ответственность лежит на владельце карты, клиент может быть обвинен в государственной измене и наказан лишением свободы до 20 лет.
3. Затем мошенники подключают «службу безопасности банка» и заставляют клиента переводить деньги на их счета или даже брать кредиты, объясняя это необходимостью вычислить «сотрудника» банка, якобы укравшего персональные данные клиента.

Обнаружена новая кибершпионская кампания, нацеленная на дипломатические учреждения и системы, передающие конфиденциальную информацию о политике стран ЕС.

Схема кампании:

1. Цепочка атаки начинается с фишингового электронного письма, содержащего документ-приманку
2. В документе имеется ссылка, ведущая к загрузке вредоносного HTML-файла.
3. Вредоносный HTML-файл представляет собой вариацию дроппера NOBELIUM, отслеживаемую как ROOTSAW (он же EnvyScout). EnvyScout использует технику контрабанды HTML для доставки зловредных «.img» или «.iso» файлов в систему жертвы.
4. Для сохранения постоянства вредоноса в системе создаётся новый раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsDiBacks». 5. Файл BugSplatRc64.dll позволяет кибершпионам собирать и эксфильтровать информацию о зараженной системе. А для скрытной связи с C2-сервером злоумышленники использовали API популярного приложения для создания заметок Notion.

Мошенники используют социальную инженерию, чтобы выманивать деньги у сотрудников, недавно присоединившихся к компании.

Схема действий преступников

1. Мошенники пишут письмо якобы от лица начальника или одного из видных лиц в компании, но с совершенно «левого» адреса, с вопросом, может ли сотрудник выполнить новую задачу «прямо сейчас».
2. Новой задачей может оказаться перевод денег некоему исполнителю по контракту или покупка подарочных сертификатов на определенную сумму.
3. Сделать это надо максимально оперативно, деньги начальник обещает вернуть до конца дня. Мошенники специально упирают на срочность, чтобы сотрудник не успел задуматься или задать кому-то дополнительные вопросы.
4. Фигура начальника внушает авторитет, а сотрудник очень хочет быть полезным, поэтому он спешит перевести деньги по указанным реквизитам, о чем успешно отчитывается «начальству» по тому же адресу электронной почты, с которого получено письмо. Опять же, не обращая внимания на то, что адрес далек от настоящего.
5. Мошенник продолжает играть роль большого босса: просит документы, подтверждающие транзакцию, а после их получения хвалит сотрудника и обещает переслать документы исполнителю заказа (это добавляет происходящему «легитимности»).
6. Чтобы создать полное ощущение обычного рабочего взаимодействия, злоумышленник даже обещает сказать, если от незадачливого сотрудника понадобится что-то еще.
7. Через некоторое время сотрудник либо начинает задаваться вопросом, почему эту задачу поручили решать ему, либо обращает внимание на неправильный адрес электронной почты «начальника», либо упоминает эту задачу в разговоре с реальным начальником. И понимает, что перевел деньги мошенникам.

Мошенники предлагают купить маршрутизатор TP-Link NX31 Miner Router с функцией для майнинга и встроенным специализированным процессором (ASIC) за 1990 долларов США.

О старте продаж странных роутеров (полное название звучит как TP-Link NX31 Kadena 31.2 THS Kadena Miner Router) объявила компании TP-Link ASIC. Согласно заявленным характеристикам, этот девайс является как роутером Wi-Fi 7, так и ASIC’ом, который добывает криптовалюту эффективнее, чем Nvidia RTX 4090, и при этом потребляет всего 1200 Вт при полной нагрузке.

На странице продукта отсутствуют многие технические детали, а супер-устройство выглядит в точности как реальный существующему маршрутизатору TP-Link Archer BE900 Wi-Fi 7. С инженерной точки зрения такое попросту невозможно, поскольку втиснуть такие мощности в этот корпус, спиратив дизайн устройства у TP-Link, вряд ли получилось бы физически.

Согласно заявлениям «производителя», майниновый роутер обеспечивает хэшрейт до 31,2 Тх/сек, что намного производительнее GeForce RTX 4090, и полностью окупится за 5-7 месяцев. Однако журналисты подсчитали, что при заявленной мощности 31,2 Тх/сек устройство, даже если бы оно было настоящим, могло бы добывать криптовалюту на сумму около 4 долларов в день при текущем курсе. Но при потребляемой мощности 1200 Вт и тарифе 0,10 доллара за кВт/ч, фактическая прибыль снижается примерно до 1,40 доллара в день, а значит, окупить майнинговый роутер удастся не ранее чем через 1000 дней.

Мошенники начали звонить клиентам попавших под санкции банков с требованием срочно перевести деньги на «безопасный» счет.

Хотя представители попавших под десятый пакет санкций банков поспешили заявить, что ограничения ЕС никак не отразятся на счетах клиентов, мошенники быстро подхватили информационную повестку и стали звонить людям, представляясь сотрудниками подсанкционных организаций, и заявлять, что их счет якобы «заморожен» и нужно срочно вывести средства на «безопасный».

Как сообщили «Известиям» в финансовом маркетплейсе «Выберу.ру», сотрудники которого провели опрос в социальных сетях, за последние пару недель такие звонки поступали 30% россиян. 21% респондентов заявили, что сразу раскусили мошенников, а 15% — усомнились в их словах, положили трубку и сами перезвонили в банк. Еще 9% россиян всё же поверили преступникам и перевели им свои накопления.

Инциденты

В результате кибератаки вымогателей LockBit 6 марта дистрибьютор канцтоваров Essendant был вынужден остановить все операции.

Из-за инцидента компания не могла обрабатывать и выполнять онлайн-заказы, а клиенты не могли создать заказы или связаться со службой поддержки. Также были приостановлены все поставки.

15 марта администрация дистрибьютора сообщила, что восстановление системы близится к завершению. Однако они так и не признали факт кибератаки LockBit, настаивая, что разрушительные события связаны с массовым сбоем в системах компании.

В результате кибератаки была нарушена работа университетского госпиталя Saint-Pierre (Centre Hospitalier Universitaire Saint-Pierre) в центре Брюсселя (Бельгия).

Ночью 10 марта компьютерные серверы госпиталя стали замедляться и вскоре перестали отвечать. Компьютерные техники несколько часов разбирались в причинах сбоя и пришли к выводу, что имеют дело с кибератакой.

Из сообщений СМИ до конца не ясно, была ли это обычная DDoS-атака или целенаправленный взлом. Однако в целях безопасности серверы госпиталя были временно отключены, а сотрудникам пришлось вернуться к традиционному бумажному документообороту.

Вымогательская группировка Lockbit заявила о взломе компании Maximum Industries, производящей детали для SpaceX, и похищении 3000 проприетарных чертежей, созданных инженерами Илона Маска.

Хакеры угрожают «слить» похищенные данные 20 марта 2023 года, если их требования не будут выполнены, и они не получат выкуп. В этом случае злоумышленники обещают устроить аукцион и продать информацию «другим производителям».

Судя по сообщению хакеров, Maximum Industries не собирается платить вымогателям. И хотя хакеры уверены, что легко продадут украденные чертежи, журналисты отмечают, что чертежи сами по себе могут не представлять большой ценности, ведь детали еще нужно изготовить и затем использовать, при этом не вызвав подозрений.

На популярном хакерском форуме BreachForums продаются конфиденциальные файлы, предположительно украденные группировкой LockBit из Deutsche Bank.

Продавец утверждает, что владеет данными банка Deutsche Bank 50 ГБ и что продаст их тому, кто предложит самую высокую цену. По словам злоумышленника, информация содержит не только данные сотрудников Deutsche Bank, но и исходный код банковского приложения.

В посте также указаны несколько отдельных ссылок «lockbitfile» в качестве доказательства наличия всех файлов. Каждая ссылка разделена по категориям:

• исходный код API;
• корпоративные документы;
• данные о сотрудниках;
• отдел дознания Интерпола;
• данные SQL.

Неизвестный хакер взломал сети страховой компании DC Health Link, которая предоставляет медицинскую страховку законодателям США и жителям Вашингтона. В ходе взлома была раскрыта конфиденциальная информация о 21 действующем члене Конгресса.

Опубликованный взломщиком файл содержит 67 565 уникальных записей и личные данные 56 415 клиентов компании. Набор данных является подлинным и включает:

• имена;
• адреса электронной почты;
• даты рождения;
• адреса проживания;
• номера социального страхования (SSN);
• данные страховых полисов.

Кроме того в файле имеется более 1800 записей, касающихся конгрессменов, их семей и других сотрудников Конгресса. Другая информация, представленная в украденных документах:

• личные данные, относящиеся как минимум к 20 иностранным посольствам и тысячам компаниям (сотрудники некоторых фирм сейчас работают в Белом Доме);
• личные данные бывших сотрудников АНБ и Министерства обороны США;
• данные жителей Вашингтона, которые приобрели страховку — лоббистские фирмы, группы гражданского общества, стоматологические клиники, дизайнерские фирмы и другие.

Хакер заявил, что вектором атаки была открытая и незащищённая база данных. Он получил доступ, просто подключившись к ней: никакой проверки не требовалось. Он добавил, что база, вероятно, была открыта на протяжении более 1 года. Также хакер пригрозил, что через некоторое время выложит больше информации, так как, по его словам, он взломал несколько баз данных.

Хакерская группировка KelvinSecurity опубликовала на хакерском форуме 522 МБ секретных документов, содержащих информацию о разработке вакцины «Спутник V».

Опубликованные данные разбиты на более 300 файлов. Киберпреступники заявили, что они получили данные в результате взлома почтовых ящиков компании-разработчика вакцины — НИИ эпидемиологии и микробиологии им. Гамалеи г. Москва.

По словам хакеров, некоторые документы были засекречены и содержали информацию об этапах разработки вакцины, финансировании и технические детали.

Документы также содержат:

• счета-фактуры и информацию о стоимости испытаний;
• информацию о лабораториях, разрабатывающих вакцину, и уровне их производительности;
• переписки с внешними заказчиками. Например, одна швейцарская компания подала запрос на поставку вакцины «Спутник V» в Швейцарию.

Компания AT&T уведомила около 9 миллионов клиентов о том, что часть их данных была раскрыта из-за взлома стороннего маркетингового поставщика в январе 2023 года.

Представители компании сообщили СМИ, что утекшему набору данных было несколько лет, и он связан с правом на обновление устройств. В компании подчеркнули, что утечка не затронула собственные системы AT&T, так как взлом произошел на стороне неназванного стороннего поставщика.

«Поставщик, услугами которого мы пользуемся в маркетинговых целях, столкнулся с инцидентом безопасности. Была раскрыта сетевая информация, принадлежащая клиентам, например, количество линий, привязанных к счету или данные тарифного плана беспроводной связи. Информация не содержала данные кредитных карт, номера социального страхования, пароли от  учетных записей и другую конфиденциальную информацию», — заявили в компании.

Росбанк 13 марта сообщил о мощной DDOS-атаке.

В телеграм-канале банка отмечалось, что основные системы банка работают в штатном режиме, однако могут наблюдаться временные затруднения в работе приложений, интернет-банка и сайта.

Представители банка заявили, что ситуация под контролем:

«Мы технически готовы к подобным обстоятельствам. Задействованы все специалисты Росбанка по данному направлению. Мы делаем все возможное, чтобы все сервисы вновь были доступны. Мы продлили работу офисов. Там вы можете подать заявления на срочные платежи в бумажном варианте.»

Атаки и уязвимости

Разработан новый вектор атаки CASPER, с помощью которого условный злоумышленник может передать данные с физически изолированных компьютеров на ближайший смартфон со скоростью 20 бит в секунду.

CASPER задействует установленные в целевом компьютере динамики в качестве канала передачи данных. Так ему удаётся отправить высокочастотный звук, который не может распознать человеческое ухо, и передать двоичный код или данные в виде азбуки Морзе на микрофон, расположенный на расстоянии до 1,5 м.

Принимающий информацию микрофон может находиться в смартфоне, который будет записывать звук в кармане злоумышленника. Кроме того, можно поставить ноутбук в комнате с целевым устройством.

Исследователи завязали вектор атаки именно на внутренние динамики изолированного устройства. Как правило, компьютеры с «воздушным зазором» на критически важных объектах не оснащаются внешними динамиками.

Специалисты использовали компьютер на базе Linux (Ubuntu 20.04) в качестве целевого устройства и Samsung Galaxy Z Flip 3 — как принимающий данные девайс. Находящийся на расстоянии 50 см смартфон смог распознать слово «covert» в передаваемых азбукой Морзе данных.

Обзор новостей информационной безопасности с 3 по 9 марта 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В Telegram появились мошеннические каналы с продажей техники Apple по крайне низким ценам.

Попытка купить такой iPhone заканчивается не радостью от его получения, а горьким разочарованием и потерей денег.

Как действуют мошенники

1. Выставляют очень низкие цены: например, новый iPhone 14 Pro 128 ГБ предлагают купить всего за 19,9 тыс. рублей вместо 112,9 тыс. рублей (цена гаджета в re:Store), а аналогичную модель Pro Max — за 24,9 тыс. рублей вместо 121,9 тыс. рублей.

2. Такие цены авторы канала объясняют тем, что iPhone были якобы изъяты на таможне у различных фирм и предпринимателей при попытке контрабандного ввоза в Россию. После этого арестованные гаджеты будто бы были выставлены на аукцион в пользу государства, откуда успешно выкуплены «в феврале 2023 года».

3. Для большей убедительности предлагаются отзывы людей, якобы уже купивших смартфоны. Все они написаны с «живых» аккаунтов в Telegram с фотографиями, именами и фамилиями пользователей.

4. Внешне отзывы очень похожи на настоящие: к ним прилагаются домашние снимки гаджета с визиткой онлайн-магазина, а авторы рассуждают о том, что им «было страшно заказывать, но риск оправдался», «продавец всё время был на связи и развеивал сомнения», или радуются тому, что нашли iPhone за «копейки» в подарок жене.

5. В случае сомнений авторам отзывов можно написать — и они сразу отвечают на сообщения и подтверждают, что правда купили «дешевый, но вроде оригинальный гаджет». «Я в этом не разбираюсь, но ребенок проверил, всё в порядке», — написал один из них корреспонденту «Известий».

6. Если найти тех же людей в других социальных сетях, все они удивленно отвечают, что никакие iPhone в Telegram не покупали. А аккаунты в мессенджере им не принадлежат.

Мошенники атакуют мужчин в мессенджерах, предлагая сэкономить на подарках к 8 марта.

Основная “весенняя легенда” мошенников — розыгрыш подарков от известных маркетплейсов или специальные предложения. Праздничные опросы запускают в мессенджерах, за ответы «дарят» подарки и скидки. Жертва оставляет данные банковской карты на вредоносном сайте и теряет деньги.

Первый шаг в такой схеме — опрос, например, в WhatsApp. Клиент отвечает на вопросы, а чтобы получить подарок, должен разослать вредоносную ссылку «на акцию» друзьям и оставить на сайте данные для доставки подарка. Еще один вариант — купить товар или заказать услугу на специальных условиях. Для этого на сайте нужно ввести сведения о банковской карте, включая CVV-код.

Инциденты

В открытый доступ выложили архив с говорящим названием Sberspasibo.zip — данные, полученные предположительно из мобильного приложения бонусной программы «СберСпасибо» (spasibosberbank.ru).

Архив содержит 2 файла. Первый файл — Orders имеет размер 820 мегабайт и включает 6 335 994 строки, содержащие номера телефонов, адреса электронной почты, даты рождения, даты регистрации, хэши карт и прочую служебную информацию.

Анализ файла позволил выделить:

• 1 089 420 уникальных адресов электронной почты
• 1 448 281 уникальный телефонный номер
  Файл охватывает период с 01.04.2017 по 07.02.2022.

Размер второго файла — Users составляет почти 13 гигабайт. В нем содержится 48 387 008 строк:

• 132 749 уникальных адресов электронной почты
• Более 47 миллионов уникальных номеров телефонов.

Хотя номера банковских карт в одном из этих файлов хранятся в виде хеша, из-за использования устаревшей функции хеширования SHA1 без соли, нет никаких проблем «восстановить» их реальные значения прямым перебором всех цифр

По информации экспертов Data Leakage & Breach Intelligence (DLBI), в открытом доступе опубликован дамп онлайн-платформы правовой помощи «СберПраво», содержащий около 115 000 уникальных телефонных номеров и 72 тыс. email-адресов.

В трех опубликованных файлах (user, user2 и userphone) содержатся:

• ФИО;
• телефоны (115 000 уникальных номеров);
• email-адреса (72 000 уникальных адресов);
• даты рождения;
• даты создания записи (с 07сентября 2020 по 08 февраля 2023).

Все три файла имеют одинаковую дату создания: 8 февраля 2023 года.
В компании сообщили, что проверяют информацию об утечке, но отмечается, что подобные сообщения могут исходить от мошенников, которые пытаются продать компиляции старых баз данных под видом оригинальных.

Хакеры выложили в открытый доступ внутренние данные компании Acronis.

В опубликованном массиве данных размером около 12 ГБ содержатся:

• различные файлы сертификатов;
• различные журналы команд;
• системные конфигурации;
• журналы системной информации;
• архивы файловой системы;
• Python-скрипты для базы данных maria.db;
• конфигурация резервного копирования;
• множество снапшотов операций резервного копирования.

Если утечка является подлинной, это может нести как угрозы для безопасности, так и репутационные риски, ведь «Acronis» — это в первую очередь компания, специализирующаяся на разработке ИБ-продуктов, в числе которых

Компания Acer подтвердила, что в середине февраля 2023 года действительно имела место утечка данных.

Злоумышленники взломали сервер, где размещались приватные документы, которыми пользовались специалисты по ремонту, похитили и выставили на продажу более 2800 файлов объемом 160 Гб.

Дамп содержит технические руководства, программные инструменты, сведения о серверной инфраструктуре, документацию по различным моделям телефонов, планшетов и ноутбуков, образы BIOS, файлы ПЗУ, файлы ISO и RDPK (Replacement Digital Product Key).

В качестве доказательства взлома хакер поделился скриншотами, на которым демонстрировались с техническими чертежи Acer V206HQL, документы, характеристики BIOS и так далее.

Также в объявлении говорилось, что дамп будет продан тому, кто предложит самую высокую цену, а к оплате принимается только криптовалюта Monero (XMR).

Группировка Medusa взломала школьный округ Миннеаполиса (Minneapolis Public Schools, MPS) и угрожает опубликовать украденные данные, если школьный округ не заплатит выкуп.

Округ MPS подтвердил кибератаку в феврале и заявил, что IT-системы организации отключились. Сейчас хакеры требуют выкуп в размере 1 млн долларов США за удаление украденных данных.

Группа вымогателей ALPHV/BlackCat вымогает деньги у крупной американской сети здравоохранения LVHN (Lehigh Valley Health Network) в Пенсильвании, публикуя фотографии пациентов, больных раком груди.

LVHN сообщила об атаке в начале февраля и также заявила, что не будет платить выкуп хакерам. Инцидент затронул «компьютерную систему, содержащую клинические изображения онкобольных и другую конфиденциальную информацию».

По словам компании, услуги LVHN, включая онкологический институт и детскую больницу, не затронуты. Однако сайт сети в настоящее время недоступен.

Хакеры из Cyber Legions выложили в открытый доступ БД ресурса для помощи поступающим в ВУЗы «Навигатор Поступления»

Файл users_item.csv содержит 521.353 строк с такими полями как:

• ⭕️ Фамилия Имя/UserName регистранта;
• ⭕️ Эл. почта (520.673 уникальных);
• ⭕️ Телефон (446.082 уникальных);
• ⭕️ Тип пользователя (student/parent/child)
• ⭕️ Школьный класс
• ⭕️ Хэш пароля с солью;
• ⭕️ Техн. информация.

Актуальность данных в файле — 06 марта 2023 года.

Кибератака вымогателей на одну из главных больниц Барселоны Clinic de Barcelona привела к повреждению компьютерной системы центра и вынудила отменить 150 неотложных операций и до 3000 обследований пациентов.

Директор больницы Антони Кастель на пресс-конференции сообщил, что план действий в чрезвычайных ситуациях позволит больнице функционировать в течение нескольких дней, но он надеется, что система будет восстановлена раньше.

По данным регионального агентства кибербезопасности Каталонии, нападение было организовано из-за пределов Испании группой хакеров «Ransom House».

В настоящее время клиника вынуждена вернуться к заполнению документации на бумаге, а новые неотложные случаи перенаправлять в другие больницы города.

Сообщается, что хакеры пока не выдвигали требований о выкупе.

В результате кибератаки злоумышленники получили доступ к внутренним данным компании WHSmith, крупного британского ритейлера.

По предварительной информации, хакеры смогли получить доступ к личным данным существующих и бывших сотрудников, при этом работоспособность сервисов компании не пострадала.

На текущий момент в компании работает более 12 500 сотрудников, а с учётом данных бывших сотрудников, число пострадавших может быть гораздо больше.

Ричард Холлис, генеральный директор компании по кибербезопасности Risk Crew, говорит, что из поредоставленной информации о взломе следует что преступники получили имена, адреса, даты рождения и номера социального страхования сотрудников.

Американская сеть ресторанов быстрого питания Chick-fil-A стала жертвой кибератаки, в результате которой была похищена финансовая информация более 70 тысяч клиентов.

Украденная информация включает имена и номера телефонов клиентов, номера кредитных / дебетовых карт и адреса электронной почты. В некоторых аккаунтах также содержалась идентифицирующая информация, такая как дни рождения и даже домашние адреса.

Хотя в письме с уведомлением о нарушении говорится, что хакеры могли видеть только последние четыре цифры номера карты, на целевой странице для подачи заявления в Генеральную прокуратуру штата Мэн сообщается, что украденная информация включала «Номер финансового счета или номер кредитной / дебетовой карты в сочетании с кодом безопасности, кодом доступа, паролем или PIN-кодом для учетной записи». Компания ещё не ответила на запросы о комментариях по поводу несоответствия информации.

Украденные данные карт клиентов фастфуд уже продаются на хакерском форуме.

Обзор новостей информационной безопасности с 17 февраля по 2 марта 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая схема угона телеграм-каналов использует сообщения в секретном чате якобы от команды Telegram. Злоумышленники разыгрывают сценарий ошибки антиспам-системы и уводят жертву на фишинговую страницу.

Схема кампании

1. Через секретный чат приходит сообщение от якобы команды Telegram с пометкой 🔓«Security Notification».

2. Содержание сообщения злоумышленников активно стимулирует объект атаки на 🧠немедленную реакцию:

«Ваш аккаунт мож⁡ет быть временно ограничен. Oчeнь жaль, чтo Bы c этим cтoлк⁡нулиcь. K coжaлeнию, инoгдa нaшa aнтиc⁡пaм-cиcтeмa излишнe cуpoвo peaгиpуeт нa нeкoтopыe дeйc⁡твия. Ecли Bы cчитaeтe, чтo oгpaничeниe Вaшeгo aккaунтa oшибoчнo, пoжaлуйcтa, пepeйдитe пo ccылкe и пoдтвepдитe cвoю учeт⁡ную зaпи⁡cь — https://telegram.org@ipts. re***rt/confirm?id=XXXXXXXXX

B cлyчae игнopиpoвaния дaннoгo cooбщeния, c цeлью oбecпeчeния бeзoпacнocти тeкущий aккa⁡унт мoжeт быть зaблoкиpoвaн.

С уважением, ком⁡анда Телеграм»

3. При переходе по ссылке открывается не Telegram. org, а фишинговый сайт, похожий на Telegram.

4. Злоумышленники запрашивают код, отправленнный на привязанный номер телефона якобы для «снятия ограничений с аккаунта»
5. Если жертва сообщит код, она рискует потерять свой аккаунт.

Рекомендации по защите от команды Russian OSINT:

1. Внимательно смотрим на всю ссылку (после org), а не только начало — https://telegram.org@ipts. re***rt/confirm?id=XXXXXXXXX
2. Помните, что команда Telegram не отправляет сообщения пользователям через секретный чат с 🔒 замочком
3. Обязательно используйте 2FА в Telegram (сложный пароль)
4. Вас провоцируют совершить действие — «быстро», «немедленно», «прямо сейчас». Возьмите паузу, обдумайте и посоветуйтесь с тем, кто разбирается в вопросе.

В рамках очередной фишинговой кампании злоумышленники рассылают клиентам криптовалютного кошелька Trezor фальшивые уведомления о проблемах с безопасностью их аккаунта.

Схема кампании:

1. Киберпреступники упоминают некую «утечку данных», и от пользователя требуется выполнить некоторые действия для «восстановления безопасности».
2. Уведомления, которые приходят клиентам криптокошелька в рамках вредоносной кампании содержат ссылку на поддельный сайт Trezor.

3. На сайте жертвам предлагается ввести секретную фразу от их кошелька, состоящую из 12 или 24 слов. Эту фразу можно использовать для восстановления криптокошелька в случае кражи, потери или неисправности устройства.
   Злоумышленники же просят ввести фразу, чтобы «обезопасить аккаунт».
4. Если пользователь введёт данную секретную фразу на фишинговом сайте, его кошелёк со всей криптовалютой «автоматически» перейдёт во владение мошенников.

Эксперты считают, что для рассылки уведомлений мошенники используют маркетинговый список, украденный при взломе MailChimp ещё в марте 2022 года . Тогда MailChimp сообщила, что хакеры украли данные 102 клиентов, большинство из которых работает в криптовалютном и финансовом секторах.

СМИ сообщают о росте мошеннических предложений о трудоустройстве в Ozon и Wildberries.

Схема действий мошенников

1. Жертва получает сообщение в мессенджере с предложением работы. Отправители сообщают, что маркетплейсы ищут сотни сотрудников «для выполнения задач в социальных сетях». Опыт при этом не важен, основное требование — возраст от 23 до 60 лет, заработок — до 600 тыс. руб. в месяц.
2. В качестве цели работы указывается помощь в увеличении просмотров страниц товаров конкретных продавцов. За это «работники» получают вознаграждение от 300 до 7 000 руб. в день.
3. Откликнувшимся предлагают заплатить за обучающий курс или прислать сканы документов, которые впоследствии используются для оформления микрозаймов.
4. Чтобы пройти обучающий курс, нужно заплатить небольшие деньги. Оформив на фишинговом сайте платеж даже на небольшую сумму, пользователь раскрывает злоумышленникам данные своей банковской карты, в том числе и PIN-код. Таким образом, они получают доступ ко всем средствам на счету жертвы.

Обнаружена мошенническая кампания, направленная на граждан Киргизии, приехавших на заработки в Россию.

Схема обмана

1. Мошенники получают из неустановленного источника сведения об иностранных гражданах, использующих для перевода средств мобильное приложение «Золотая корона».
2. Злоумышленники звонят иностранному гражданину на сотовый телефон и, представляясь сотрудниками сервиса, сообщают, что от его имени поступила и одобрена заявка на кредит. Если жертва хочет отменить выдачу кредита, нужно назвать код.
3. В ходе разговора для убедительности жертве сообщают ее личные данные.
4. Если жертва называет код, на неё оформляют кредит в размере от 5 до 150 тыс. рублей под высокие проценты. При этом деньги поступают на счет жертвы и тут же исчезают.

Чтобы проверить, как работает схема, корреспондент «Известий» зарегистрировался в «Золотой короне», нажал кнопку «Займ», но не дал согласия на обработку персональных данных и вышел из приложения, не завершив процесс займа. Уже через полчаса ему стали звонить представители сторонних микрофинансовых организаций и предлагать свои услуги. Вслед за ними позвонил оператор «Страны Экспресс» и принялся вводить корреспондента в психологическое состояние упущенной выгоды, убеждая взять займ. На вопрос, как его номер телефона оказался у сторонних МФО, девушка ответить не смогла.

Инциденты

В открытом доступе опубликованы данные клиентов и сотрудников компании «СберЛогистика». В двух обнародованных файлах насчитывается 671 474 и 691 548 строк.

Аналитики DLBI пишут, что «слитые» файлы содержат ФИО, номера телефонов, email-адреса и хешированные пароли (только для пользователей). По данным исследователей, информация была получена не ранее 3 февраля 2023 года, и утечка охватывает период с 16 февраля 2016 по 3 февраля 2023 года.

Telegram-канал in2security сообщает, что дамп содержит 142 083 уникальных email-адреса (11 854 почт на домене sblogistica.ru и 2047 на домене sberbank.ru), а также 675 549 уникальных телефонных номеров.

Представители «СберЛогистики» уже заявили, что проверяют информацию о возможной утечке.

Федеральная таможенная служба (ФТС) в своем Telegram-канале сообщила о DDoS-атаке, которая произошла утром 28 февраля.

По словам ФТС, проблема была решена, и работа ресурсов ФТС не затронута. В то же время атаки отразились на работе информоператоров, передающих информацию в таможенные органы.

Ведомство отметило, что целью «беспрецедентной кибератаки» стала система электронного декларирования товаров «Альта-Софт».

Днём 28 февраля «Альфа-Софт» разослала клиентам уведомление о «мощной DDoS-атаке», которая началась в 8:10 утра и длилась несколько часов. Кибератака привела к сбоям в системе электронного декларирования. В этот же день в 13:00 специалисты компании постепенно восстановили обмен данными с таможенными органами.

Служба федеральных маршалов (US Marshals Service, USMS) Министерства юстиции США начала расследование масштабной хакерской атаки, приведшей к утечке важной служебной информации.

Целью атаки хакеров стала «обособленная информационная система» службы. Обнаружить активность злоумышленников удалось 17 февраля. После система была деактивирована, власти начали расследование.

В результате атаки нападавшие смогли завладеть данными USMS, включая персональные данные ряда сотрудников, информацию о разыскиваемых преступниках и неназванных сторонних лицах. Система также содержала данные об идущих судебных процессах.

Криптовалютная биржа Coinbase сообщила, что неизвестный злоумышленник с помощью социальной инженерии похитил учетные данные одного из ее сотрудников.

В результате атаки хакер сумел получить «некоторую контактную информацию», принадлежащую сотрудникам Coinbase, но в компании подчеркнули, что средства и данные клиентов в полной безопасности, их инцидент не затронул.

«Средства киберреагирования Coinbase не позволили злоумышленнику получить прямой доступ к системе и предотвратили любые потери средств или компрометацию информации о клиентах. Был раскрыт лишь ограниченный объем корпоративных данных», — пишут в Coinbase.

Компания рассказала, что 5 февраля хакеры атаковали сразу нескольких сотрудников компании, с помощью SMS-уведомлений, призывающих жертв войти в учетные записи, якобы чтобы прочитать важное сообщение. Хотя большинство сотрудников проигнорировали эти сообщения, один из них попался на уловку мошенников и перешел по ссылке на фишинговую страницу, где ввел свои учетные данные.

На следующем этапе атаки злоумышленники попытались проникнуть во внутренние системы Coinbase, используя украденную информацию, но потерпели неудачу, поскольку доступ оказался защищен многофакторной аутентификацией (МФА).

Примерно через 20 минут злоумышленники перешли к другой тактике: они позвонили сотруднику, представившись ИТ-специалистами Coinbase, и велели жертве войти на свою рабочую станцию ​​и выполнить ряд инструкции.

CSIRT Coinbase обнаружил необычную активность в течение примерно 10 минут после начала атаки и связался с жертвой, чтобы узнать о необычных действиях в ее учетной записи. В итоге сотрудник понял, что происходит нечто подозрительное, и прекратил общение с мошенником.

Компания Applied Materials понесёт многомиллионные убытки из-за вымогательской кибератаки на одного из своих поставщиков, компанию MKS Instruments.

Представители компании заявили, что атака вымогателей на одного из её поставщиков обойдется компании в 250 млн долларов США.

Как сообщается, MKS Instruments всё ещё находится в фазе восстановления. В связи с этим компания была вынуждена перенести отчёт о доходах за прошлый квартал на конец февраля. Это необходимо, чтобы разобраться со всеми последствиями кибератаки и определить точные финансовые потери.

«MKS продолжает усердно работать над восстановлением работы на пострадавших объектах. Событие с вымогателями оказало существенное влияние в первом квартале на способность компании обрабатывать заказы, отправлять продукты и предоставлять услуги клиентам в подразделениях компании Vacuum Solutions и Photonics Solutions», — говорится в сообщении компании.

На момент публикации новости ни одна группа вымогателей публично не взяла на себя ответственность за данный киберинцидент.