Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кибершпионская кампания группы Mustang Panda, нацеленная на российских чиновников или военных.

Особенности кампании

1. В своих фишинговых приманках хакеры эксплуатируют тему «спецоперации» в Украине. Вредоносные документы написаны на английском языке и маскируются под опубликованные ЕС данные о санкциях против Беларуси.

2. Приманки представляют собой исполняемые файлы .exe, но маскируются под документы в формате PDF и названы по-русски — «Благовещенск — Благовещенск пограничный отряд».

3. При запуске исполняемого файла извлекается множество дополнительных файлов, в том числе сам документ-приманка, которой можно видеть на скриншоте выше, вредоносный загрузчик DLL, зашифрованный вариант малвари PlugX (aka Korplug) и еще один файл .exe.

4. PlugX является основным инструментом хакеров и представляет собой троян удаленного доступа для Windows, который позволяет выполнять различные команды в зараженных системах, воровать файлы, устанавливать бэкдоры и дополнительные вредоносные нагрузки.

Атаки и уязвимости

Atlassian предупреждает о критической уязвимости в Jira, которую злоумышленники могут использовать для обхода аутентификации.

Удаленный неавторизованный злоумышленник может воспользоваться проблемой в уязвимой конфигурации, отправив специально подготовленный HTTP-запрос для обхода требований аутентификации и авторизации в действиях WebWork.

Проблема затрагивает Seraph, платформу веб-аутентификации в Jira и Jira Service Management. Уязвимость получила идентификатор CVE-2022-0540 и набрала 9,9 балла из 10 возможных по шкале оценки уязвимостей CVSS.

В браузерной версии криптовалютного кошелька Ever Surf обнаружена уязвимость, которая позволяла получить полный контроль над средствами пользователей.

В Ever Surf ключи, необходимые для подписи транзакций, хранятся только на устройстве пользователя, а операции с блокчейном выполняются только на стороне клиента. Из-за этого у него нет регистрации, требующей учетных данных. Когда люди запускают приложение в первый раз, им предлагается создать новый кошелек, и Ever Surf генерирует исходную фразу, а также открытый и закрытый ключи. И хотя пользователю предлагается создать шестизначный PIN-код для входа в приложение и подтверждения транзакций, ключи и исходная фраза хранятся в локальном хранилище web-браузера, которое не защищено.

В домашних тестах на коронавирус Cue Health обнаружена уязвимость, которая позволяла подменять результаты.

Молекулярный тест Cue Health позволяет с помощью мазка из носа узнавать, болен человек COVID-19, или нет. Результаты приходят через 20 минут на мобильное устройство по Bluetooth.

Эксперту удалось изменить свой отрицательный результат на положительный путем перехвата и изменения данных в процессе их передачи с датчика Cue на мобильное приложение на телефоне.

Cloudflare зафиксировала одну из крупнейших в истории HTTPS-атаку типа «отказ в обслуживании» (DDoS). Её интенсивность составила 15,3 млн запросов в секунду.

HTTPS DDoS-атаки обходятся дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установления безопасного зашифрованного TLS-соединения. Поэтому злоумышленнику дороже начать атаку, а жертве — остановить ее.

Рекордная DDoS-атака длилась менее 15 секунд и была нацелена на неназванного клиента Cloudflare, использующего платформу запуска криптовалюты. Ботнет, с которого проводилась атака, состоял примерно из 6 тыс. уникальных взломанных устройств. 15% трафика атаки пришлось на Индонезию, немного меньше — на  Россию, Бразилию, Индию, Колумбию и США.

Инциденты

Хак-группа Stormous заявила, что взломала компанию Coca-Cola и похитила более 161 Гб данных.

Преступники разместили кеш данных на своем сайте и просят выкуп в размере 1,65 биткоина (примерно 64 000 долларов США по текущему курсу). Среди опубликованных файлов есть сжатые документы, текстовые файлы с информацией об администраторах, электронной почте и паролями, ZIP-архивы с информацией о платежах и прочие конфиденциальные данные.

В Coca-Cola сообщают, что компании известно об этих заявлениях, и в настоящее время ведется расследование случившегося.

Американская ассоциация стоматологов (American Dental Association, ADA) стала жертвой вымогательского ПО Black Basta.

В результате инцидента ADA пришлось отключить часть своей IT-сети, что нарушило работу online-сервисов, телефонов, электронной почты и чата. Кибератака затронула не только сайт ADA, но и региональные ассоциации стоматологов в штатах Нью-Йорк, Вирджиния и Флорида, которые используют ее online-сервисы для регистрации учетных записей и уплаты взносов.

Ответственность за атаку взяла на себя новая кибервымогательская группировка Black Basta. На своем сайте утечек она опубликовала 2,8 ГБ информации, предположительно похищенной у ADA. Хакеры заявили, что это только 30% от всех похищенных у ассоциации файлов. Среди них данные о выплаченной сотрудникам заработной плате и удержанных с них налогах, соглашения о неразглашении, бухгалтерские таблицы и сведения о членах ADA.

Хакеры неизвестным образом скомпрометировали Instagram*-аккаунт и Discord-сервер NFT-проекта Bored Ape Yacht Club и c помощью фишинга похитили NFT общей стоимостью около 3 млн долларов США.

Через взломанные аккаунты хакеры анонсировали фальшивый airdrop, сопроводив рекламу вредоносной ссылкой, переходя по которой, люди попадали на фишинговый сайт, внешне имитирующий официальный сайт Bored Ape Yacht Club, где в итоге передавали контроль над своими кошельками злоумышленникам.

В Yuga Labs уверяют, что для взломанных учетных записей была включена двухфакторная аутентификация и меры безопасности в целом «были жесткими». Тем не менее, пока совершенно неясно, каким образом злоумышленники смогли получить доступ к аккаунтам.

* Instagram заблокирован в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.

Вымогательская группировка Conti провела успешную атаку на агентство Junta Administrativa del Servicio Eléctrico de Cartago (JASEC), заведующее электроснабжением города в Коста-Рике с населением 160 тыс. человек.

Гендиректор JASEC сообщил, что атака началась в субботу, 23 апреля. Злоумышленникам удалось зашифровать серверы, использующиеся для управления сайтом организации, электронной почтой и системой администрирования.

В результате атаки пользователи лишились возможности оплачивать счета за электричество и интернет. JASEC временно заблокировала платежи до устранения проблемы. Однако электроснабжение и интернет-связь работают без сбоев.

Компания «1С» пострадала от мощной DDoS-атаки.

Пользователи сообщают, что «перестали работать практически все сервисы фирмы 1С. Недоступны обновления, личный кабинет, сервис ИТС (включая сквозную аутентификацию). Главное — не работает ЭДО и 1С:отчетность. Люди не могут сдать отчеты в налоговую. Идут жалобы, что фуры на разгрузке стоят, потому что по ЭДО документы невозможно получить.»

В официальном пресс-релизе компании сообщается:

«С 21 апреля происходят DDoS-атаки на различные сервисы для учета и отчетности в организациях, в том числе на ресурсы 1С. Часть наших сайтов и сервисов была временно недоступна или работали медленно и неустойчиво. На данный момент восстановлено нормальное функционирование большинства интернет-ресурсов и сервисов 1С, включая 1С:ЭДО и 1С-Отчетность. DDoS-атаки продолжаются, технические специалисты 1С отслеживают ситуацию и принимают усилия для обеспечения нормального функционирования интернет-ресурсов и сервисов 1С. Угрозы для данных пользователей не наблюдается, они не пострадали и надежно защищены».

Официальные сайты госорганов Эстонии уже несколько дней не работают из-за мощной DDoS-атаки.

По данным компьютерной группы реагирования на чрезвычайные ситуации Департамента государственной инфосистемы Эстонии (CERT-EE), атаки начались в четверг, 21 апреля. На каждый из атакуемых сайтов направлялось порядка 75 млн запросов в секунду. Хотя с пятницы мощность атак начала снижаться, в субботу-воскресенье сайты все еще подвергались DDoS’у.

Один из крупнейший индийских нефтеперерабатывающих заводов Indian Oil стал жертвой атаки программы-вымогателя, которая привела к отключению компьютеров и IT-систем компании.

Киберпреступники потребовали выкуп в размере около 7,5 млн долларов США. Представитель компании заявил, что в настоящее время нет никаких сведений о личностях хакеров или о том, как им удалось проникнуть в сети Indian Oil.

Кибератака произошла 10 апреля на одной из рабочих станций отдела геологии и разработки месторождений компании Indian Oil. По заявлению компании, операции по добыче нефти продолжаются в штатном режиме. Платформа SAP не пострадала. Проблема затронула только персональные компьютеры, установленные в офисах.

Американский оператор связи T-Mobile подтвердил, что кибервымогатели группировка Lapsus$ взломали его сеть, похитили учетные данные и получили доступ к внутренним системам, на которых хранились операционные программные инструменты.

В компании заверили, что после обнаружения взлома доступ к системам был закрыт, а похищенные учетные данные заблокированы. Хакерам не удалось похитить какую-либо чувствительную пользовательскую или правительственную информацию.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы очередной вредоносной кампании распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера, системные файлы и криптовалютные кошельки.

Для распространения вредоносного ПО используется «отравление» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. На данный момент эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и присутствует кнопка «Загрузить сейчас». Если пользователь нажмёт на кнопку, он получит файл ISO с инфостилером внутри.

Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.

Авторы массированной вредоносной кампании рассылают письма от имени известных ВУЗов.

В частности, мошенники использовали такие имена, как МГУ им. М. В. Ломоносова, Бухарестский университет, Рейнско-Вестфальский технический университет в Ахене, Университет Аристотеля в Салониках, Анкарский университет, Автономный университет штата Нуэво-Леон (Мексика), Католический университет Боливии.

Фальшивки оформлены как деловое предложение, с которым получателю предлагается ознакомиться, открыв прикрепленный архив или офисный документ с макросом. Иногда имя вложения намекает, что там содержится смета по проекту, описание заказа или прайс-лист.

На самом деле в этом файле скрывается вредонос, использующий уязвимость в устаревших версиях программ из набора Microsoft Office. С его помощью злоумышленники смогут загружать на машину жертвы дополнительные файлы, выкачивать конфиденциальные данные (пароли, документы), запускать выполнение команд для развития атаки.

Мошенники распространяют в соцсетях и телеграм вредоносные клоны Андроид-приложений банков, попавших под санкции.

В настоящее время в официальных онлайн-магазинах Play Market, AppGallery и App Store недоступны приложения Сбера, ВТБ, «ФК Открытие», Совкомбанка, Промсвязьбанка (ПСБ), Новикомбанка. В черный список Apple также попал Альфа-банк.

Чтобы решить проблему, банки стали раздавать приложения со своих сайтов, рассылая пользователям СМС с предложением в случае проблем произвести замену. Именно так поступил банк ВТБ, предлагая скачать обновление для Android-приложения со своего сайта.

Ситуацией моментально воспользовались мошенники. Они запустили распространение «заряженных» вредоносной начинкой фальшивок для Android, используя соцсети и Telegram-каналы. В сообщениях, публикуемых от имени поддельных аккаунтов банков, предлагался способ обойти ограничения — нужно было просто скачать прикрепленный файл или пройти с этой целью по ссылке. Иногда аферисты рассылали предложение в СМС от имени пострадавшего банка.

Атаки и уязвимости

Lenovo предупредила о трех уязвимостях в UEFI как минимум на 100 моделях ноутбуков компании.

Проблемы позволяли внедрять вредоносное ПО в прошивку и выполнять произвольный код, причём обнаружить и удалить эти угрозы практически невозможно.

Две уязвимости из трех (CVE-2021-3972 и CVE-2021-3971) связаны с тем, что в актуальные прошивки UEFI попали драйверы, которые должны были использоваться только в процессе производства. Это позволяло злоумышленникам с повышенными привилегиями изменять параметры безопасной загрузки (CVE-2021-3972), либо изменять protection region прошивки (CVE-2021-3971). Хакеры могли использовать эти проблемы для «развертывания и успешного выполнения SPI flash или ESP имплантов».

Третья проблема, CVE-2021-3970 позволяет локальному злоумышленнику выполнить произвольный код с повышенными привилегиями.

В архиваторе 7-Zip найдена уязвимость нулевого дня CVE-2022-29072, которую при атаке на Windows можно использовать для выполнения произвольных команд с привилегиями SYSTEM.

Уязвимость стала результатом сочетания двух проблем: ошибки переполнения буфера и неправильной настройки прав библиотеки 7z.dll. Возможность для их использования открывается при перемещении файла .7z в область c подсказкой, отображаемой при открытии меню Help→Contents.

Если в такой файл вставить команду, она запустится в ходе выполнения 7zFM.exe как дочерний процесс и будет выполнена в режиме администратора.

Уязвимость проявляется только на платформе Windows, поэтому кураторы проекта 7-Zip перекладывают ответственность на Microsoft HTML Help (hh.exe). Обнаруживший проблему эксперт однако считает, что проблема в самом архиваторе, поскольку hh.exe запускает внедренную в архиватор команду.

Инциденты

Британский ритейлер WH Smith сообщил, что из-за кибератаки его дочерняя online-компания Funky Pigeon, специализирующаяся на продаже открыток и сувениров, была вынуждена приостановить свои операции.

Компания заявляет, что платежные и учетные данные клиентов не пострадали, поскольку обрабатываются безопасным образом с помощью сторонних подрядчиков и являются полностью зашифрованными. Системы Funky Pigeon были отключены в качестве меры предосторожности.

В настоящее время специалисты оценивают масштабы кибератаки и выясняют, к каким персональным данным клиентов злоумышленники могли получить доступ.
Характер кибератаки и возможные требования выкупа пока не озвучивались.

Вымогательская группировка Conti взяла на себя ответственность за кибератаку на компанию Nordex.

Из-за кибератаки 2 апреля компании пришлось отключить ИТ-системы, а также запретить удаленный доступ к управляемым турбинам.

«Вторжение было замечено на ранней стадии, и меры реагирования были приняты немедленно в соответствии с протоколами кризисного управления. В качестве меры предосторожности компания решила отключить ИТ-системы в некоторых ​​​​подразделениях», — говорится в заявлении Nordex для прессы .

Неизвестные взломали сайт «МЧС Медиа» — ведомственное СМИ МЧС России.

На главной странице сайта злоумышленники разместили рекомендации «на случай ответного ядерного удара со стороны стран НАТО», запланированного на 24 апреля, день празднования Пасхи.

На официальной странице МЧС Медиа в сети «ВКонтакте» представители СМИ опубликовали заявление:

Здравствуйте, уважаемые подписчики и читатели «МЧС Медиа». С сожалением вынуждены сообщить, что сайт www.mchsmedia.ru был взломан. Публикуемая информация не соответствует действительности.

Неизвестные киберпреступники атаковали Почту Болгарии.

Сообщается, что из-за кибератаки была частично выведена из строя база данных, а также парализована работа некоторых почтовых отделений в регионах.

В результате кибератаки возможны трудности с использованием некоторых услуг, которые оказывала Почта Болгарии. Перебоев в выплате пенсий, социальных пособий и единовременных пасхальных премий в отделениях связи по всей стране не будет, говорится в сообщении пресс-службы.

Хакеры из группы Conti атаковали сервера министерства финансов Коста-Рики.

Атака произошла в ночь на 18 апреля. Киберпреступники атаковали сервера министерства финансов и науки, инноваций, технологий и телекоммуникаций Коста-Рики. Некоторые из государственных цифровых платформ были заражены вымогательским ПО Conti. В руки хакеров попали более терабайта баз данных, переписок и внутренних документов.

Сразу после атаки Conti опубликовали заявление, в котором пообещали раскрыть «тайны министерства», так как «министр не может сам объяснить налогоплательщикам, что происходит». В обмен на молчание вымогатели потребовали выкуп в 10 млн долларов США.

Conti заявила, что продолжат атаковать министерства Коста-Рики, пока правительство не заплатит. А для большей убедительности они планируют опубликовать внутренние документы министерства, а если это не убедит правительство, то и базу налогоплательщиков.

Власти Коста-Рики сообщили, что не собираются платить выкупы преступной группировке Conti за возврат файлов, захваченных в результате кибератак.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена вредоносная кампания по распространению инфостилера META (не путать с организацией Meta, признанной в России экстремистcкой).

Схема кампании

1. Злоумышленники маскируют свои письма под извещение о статусе платежа и снабжают их вредоносным вложением в формате .xls.

2. Для убедительности жертве демонстрируется логотип DocuSign, свидетельствующий о защите контента электронной подписью.

3. После запуска вредоносный скрипт начинает скрытно загружать со сторонних сайтов различные файлы для формирования финальной полезной нагрузки. Их содержимое закодировано по base64, или применен обратный порядок следования байтов для обхода антивирусов.

4. Итоговому исполняемому файлу присваивается имя qwveqwveqw.exe (скорее всего случайное). Чтобы обеспечить META Stealer постоянное присутствие, в системном реестре создается новый ключ. С этого момента явным признаком заражения является трафик, который вредонос генерирует при обмене с управляющим сервером в сетях AS-провайдера, зарегистрированного в Красноярске.

Телефонные мошенники начали использовать новости о санкциях в отношении России для выманивания денег.

Под видом сотрудников банков они предупреждают собеседников об отключении российских банков от SWIFT. Для сохранения денежных средств предлагается перевести их на «безопасный счет». Доверившиеся мошенникам люди теряют свои накопления.

В другом случае мошенники предлагают свое посредничество по открытию кредитных карт в западном банке, привязанных к российскому счету. Получив данные карты или задаток за свои услуги, они исчезают.

Злоумышленники могут использовать и другие схемы, например, предлагать свои услуги по оформлению документов для выезда из России или различные способы уклонения от призыва.

Мобильная безопасность

Android-вредонос Fakecalls блокирует попытки жертвы связаться со службой поддержки банка переадресовывая её в «колл-центр» самих преступников.

Fakecalls маскируется под банковские приложения известных южнокорейских банков (например, Kookmin Bank или KakaoBank), а хакеры, под видом сотрудников финансовых организаций, могут пытаться выведать у жертв платежные данные или другую конфиденциальную информацию.

Сразу после установки троян запрашивает целый список разрешений, в том числе на доступ к контактам, микрофону и камере, геолокации, управлением звонками и так далее. С их помощью троян может сбрасывать входящие звонки и удалять их из истории на устройстве, например, если до клиента пытается дозвониться реальный представитель банка.

Когда жертва решает связаться с горячей линией банка, троян открывает поддельный экран звонка, а далее события развиваются по одному из двух вариантов:

• Fakecalls соединяет жертву напрямую со злоумышленником, который представляется сотрудником поддержки.
• пока идет соединение, троян включает короткие аудиозаписи на корейском языке. Запись может быть, например, такой: «Здравствуйте, спасибо, что позвонили в наш банк. Наш колл-центр сейчас обрабатывает большой объём звонков. Консультант свяжется с вами при первой возможности». Это позволяет злоумышленникам войти в доверие к жертвам и  в ходе дальнейшего разговора получить от них ценную информацию, включая платежные данные или другую конфиденциальную информацию.

В Google Play Store обнаружен банковский троян Octo, ворующий данные из банковских и других финансовых приложений.

Octo — модификация Android-вредоноса ExobotCompact, который, в свою очередь, является «облегченной» версией известного вредоноса Exobot, исходный код которого был опубликован в открытом доступе в 2018 году. Эксперты также выявили «родство» Octo и малварью Coper, обнаруженной в 2021 году.

Как другие банковские трояны для Android, Octo скрывается в приложениях-дропперах, основной целью которых является развертывание встроенной в них полезной нагрузки. Список таких приложений, используемых несколькими злоумышленниками для распространения Octo и Coper, приведен ниже:

• Pocket Screencaster (com.moh.screen)
• Fast Cleaner 2021 (vizeeva.fast.cleaner)
• Play Store (com.restthe71)
• Postbank Security (com.carbuildz)
• Pocket Screencaster (com.cutthousandjs)
• BAWAG PSK Security (com.frontwonder2), and
• Play Store app install (com.theseeye5)

Эти приложения, выдающие себя за установщики приложений Play Store, утилиты для записи экрана и финансовые инструменты, распространяются как через официальный магазин Google Play, так и через мошеннические сайты, где пользователей предупреждают о необходимости срочно загрузить фейковое обновление браузера.

Интересная особенность Octo — использование Android MediaProjection API. С его помощью злоумышленники получают удалённый контроль над заражёнными устройствами и могут захватывать содержимое экрана в режиме реального времени. Конечная цель хакеров — «автоматическое инициирование мошеннических транзакций и их авторизация без “ручного” участия оператора», что позволяет преступникам проводить атаки в больших масштабах.

В Google Play Store обнаружены семь приложений, замаскированных под антивирусы. После установки они заражают Android-устройства банковским трояном SharkBot.

SharkBot похищает учетные данные и банковскую информацию, а также оснащен функцией геопозиционирования и использует прочие инвазивные техники, что отличает его от другого вредоносного ПО.

SharkBot не заражает устройства пользователей в Китае, Индии, Румынии, России, Украине и Беларуси. Большая часть жертв приходится на Италию и Великобританию.

SharkBot использует разрешения Accessibility Services для отображения поддельных окон поверх банковских приложений. Когда ничего не подозревающий пользователь вводит свое имя и пароль в этом поддельном окне, замаскированном под форму авторизации, все эти данные сразу же отправляются на подконтрольный злоумышленникам сервер.

Вредонос умеет автоматически отвечать на уведомления Facebook Messenger и WhatsApp для распространения фишинговой ссылки на поддельное антивирусное приложение.

В популярных мусульманских молитвенных приложениях Al-Moazin Lite и Qibla Compass было обнаружено скрытое вредоносное ПО для сбора данных, разработанное компанией, связанной с подрядчиками по национальной безопасности США.

Тайный код для сбора данных был обнаружен исследователями Джоэлом Рирдоном и Сержем Эгельманом организации AppCensus, при поиске уязвимостей в Android приложениях. В общей сложности зараженные приложения были скачаны более 60 миллионов раз.

Согласно исследованию, базирующаяся в Панаме компания Measurement Systems S. de RL платила разработчикам за включение ее кода в свои приложения. В результате компания смогла собирать данные о пользователях приложений, которые, по словам исследователей, содержали номера телефонов, адреса электронной почты, информацию IMEI, данные GPS и SSID маршрутизатора.

Рирдон и Эгельман отметили, что обнаружили самый агрессивный набор разработки за шесть лет изучения мобильных приложений.

Инциденты

Неизвестный преступник взломал популярную платформу для писателей и читателей Литнет и потребовал с авторов выкуп, угрожая публикацией личных данных.

Все авторы получили письмо, в котором хакер требует заплатить 10 тысяч рублей в биткоинах, в противном случая вся информация будет опубликована в открытом доступе. Личные данные, к которым получил доступ взломщик, включают ФИО, домашний адрес, номер телефона, дату рождения, фото паспорта и фотографию автора.

Литнет подтвердила факт получения авторами подобных писем, однако не смогла подтвердить или опровергнуть утечку данных. Как утверждают авторы других платформ, в частности автортудей и Букнет , они получили аналогичные письма.

Panasonic Holdings, дочерняя компания, продающая бытовую технику в Канаде, стала жертвой вымогателей Conti.

Обнаружив вторжение злоумышленников, компания отключила пострадавшую ИТ-инфраструктуру от интернета. Тем не менее киберпреступникам удалось получить доступ к внутренней документации компании и похитить 6100 файлов объёмом 2,87 Гб. Украденные данные вымогатели опубликовали на своем сайте утечек в даркнете. Похищенные файлы содержат информацию о персонале, бюджете и данные бухгалтерского учета.

В Panasonic подтвердили подлинность «утекшей» информации, однако заявили, что другие подразделения корпорации от кибератаки не пострадали.

Согласно заявлению вымогателей, объем похищенных данных гораздо больше, пока же было раскрыто только 3% украденной информации.

Американский производитель автомобильных инструментов Snap-on сообщил об утечке данных в связи с кибератакой.

Обнаружив в своих сетях подозрительную активность, Snap-on был вынужден отключить все свои системы. и обратиться к внешним ИБ-специалистам за помощью в анализе инцидента.

Как показало расследование, 1-3 марта 2022 года злоумышленники похитили персональные данные (имена, номера социального страхования, даты рождения и идентификационные номера) сотрудников.

Хотя производитель не сообщил никаких подробностей о кибератаке, ответственность за нее взяла кибервымогательская группировка Conti, которая уже начала было публиковать на своем сайте утечек похищенные у него файлы.

По словам вымогателей, им удалось похитить у Snap-on 1 ГБ данных. Однако данные вскоре были удалены с сайта, а название компании больше не появлялось в списке жертв. Вероятно, руководство Snap-on приняло решение заплатить выкуп.