Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники используют публикацию об утечке данных 100 тыс. банковских карт, чтобы заманить людей на фишинговые сайты.

Схема кампании:

1. Мошенники создают сеть сходных сайтов, на которых предлагается проверить, есть ли карта среди попавших в утечку.
2. «Сервисы» интенсивно рекламируются в социальных сетях и телеграм-каналах.
3. Все сайты имеют похожую структуру: держателю карты предлагают ввести данные своих карт, якобы для проверки того, не попали ли они в руки злоумышленника.
4. После ввода платежных данных пользователь при лучшем раскладе просто передаст свои данные мошенникам, при худшем потеряет деньги с карты.

В другой кампании мошенники предлагают жертвам установить некий специальный антивирус «Аврора», якобы разработанный экспертами по информационной безопасности из МВД России.

Схема кампании

1. Cотрудники обслуживающих организаций сферы коммунального хозяйства, общественных организаций, сферы соцобеспечения и подобных организаций получили письма, якобы отправленные из МВД России.
2. В письмах сообщается, что в связи с участившимися сообщениями о кибератаках на государственных лиц ведомство разработало специальный антивирус «Аврора» для защиты личных данных.
3. В тексте письма присутствует ссылка, при переходе по которой адресату предлагается скачать запароленный архив и установить содержащийся в нём софт.
4. В момент установки происходит заражение устройства вредоносным ПО, которое позволяет злоумышленникам получить удаленный доступ ко всей информации, присутствующей на устройстве: перепискам в мессенджерах, документам, приложениям и личным кабинетам банков.

Мошенники используют блокировку Instagram в России для фишинга.

Всего за три дня после объявления о блокировке в рунетебыло зарегистрировано более 30 доменных имен со словом Instagram. Анализ имён позволил сделать вывод, что все они или большая их часть зарегистрированы интернет-мошенниками для последующего создания на их основе фишинговых сайтов:

• бонус-instagram[.]ru,
• блог-instagram[.]ru,
• noreply-instagram[.]ru

Некоторые эксперты считают, что в ближайшие дни стоит ожидать массовых рассылок с инструкциями, как перенести аудиторию на другие платформы, обойти блокировки или сохранить монетизацию своего аккаунта. Такие рассылки будут использованы как для взлома самих аккаунтов, так и для кражи платежных данных их владельцев. Данные для авторизации могут быть перехвачены злоумышленниками, когда жертва будет их вводить на вредоносном сайте. Там же, но под другим предлогом, могут быть украдены и данные банковских карт.

Мобильная безопасность

Банковский троян Aberebot для Android вернулся под названием Escobar и обзавёлся новыми функциями, в том числе научился похищать коды из приложения Google Authenticator.

Также среди новых возможностей Escobar:

• удалённый доступ к устройству через VNC,
• запись аудио,
• управление камерой,
• извлечение учётных данных из различных приложений.

Escobar, как и большинство банкеров, отображает вредоносных оверлеи поверх финансовых приложений и банковских сайтов (набор целевых банков и финансовых учреждений включает 190 организаций из 18 стран мира), чтобы воровать учетные данные жертв. Также вредонос обладает и рядом других функций, которые делают ее эффективной для любой версии Android, даже в том случае, если оверлеи не работают.

У своих жертв вредонос запрашивает 25 разрешений, 15 из которых используются в криминальных целях:

• доступ к Accessibility services,
• запись аудио,
• чтение SMS,
• чтение/запись в хранилище,
• получение списка учетных записей,
• отключение блокировки клавиатуры,
• совершение вызовов,
• доступ к данным о местоположении.

Все собранные данные Escobar передает на управляющий сервер. Среди них журналы SMS-сообщений и вызовов, логи ключей, а также уведомления и коды многофакторной аутентификации из приложения Google Authenticator. Этих данных хватает для обхода двухфакторной аутентификации и захвата контроля над финансами жертвы.

Атаки и уязвимости

В сетевых хранилищах QNAP содержится уязвимость Dirty Pipe, которая позволяет непривилегированному пользователю получить права администратора и внедрять в уязвимые устройства произвольный код.

Проблема затрагивает все сетевые хранилища QNAP на базе архитектуры x86 и некоторые устройства на базе ARM с операционными системами QTS 5.0.x и QuTS hero h5.0.x.

QNAP сообщает, что никаких способов обхода уязвимости в настоящее время не существует, и единственный способ обезопасить устройства от ее эксплуатации — установить последние обновления, как только они станут доступны.

Инциденты

16 марта злоумышленники провели массовый взлом сайтов арбитражных судов РФ.

На главных страницах сайтов они разместили тексты с оскорблениями Владимира Путина и россиян в связи операцией на Украине. От атаки пострадали суды Москвы, Приморского, Краснодарского, Хабаровского края и других регионов. Примерно к 6:15 послание пропало, но сайты по-прежнему не открывались.

Из-за кибератаки на крупную японскую кинокомпанию Toei был отложен выпуск новых эпизодов популярных аниме-сериалов.

Как сообщают представители Toei, студия обнаружила несанкционированный доступ к своим системам 6 марта 2022 года. На следующий день компания опубликовала уведомление об инциденте, отключила все внутренние системы и начала расследование.

В связи с инцидентом выход в эфир новых эпизодов Dragon Quest Dai no Daibouken, Delicious Party Precure, Digimon Ghost Game и One Piece отложен до дальнейшего уведомления. Задержка с выпуском новых эпизодов One Piece затрагивает всю сеть вещательных компаний по всему миру, включая Netflix, Funimation и Crunchyroll.

Немецкая дочерняя компания «Роснефти» стала жертвой кибератаки, организаторы которой утверждают, что уничтожили несколько десятков устройств Apple, проникли в административные системы компании и получили копии образов дисков ноутбуков сотрудников.

Сами хакеры утверждают, что им удалось получить доступ к серверам Rosneft Germany и скачать более 20 Тб данных.

Федеральное управление по информационной безопасности Германии (BSI) подозревает, что за атакой стоят участники хактивистского движения Anonymous, добивающиеся прекращения конфликта в Украине. Они предполагают, что Anonymous уже атаковали и парализовали международный сайт «Роснефти» еще в конце февраля.

Атака не повлияла на текущий бизнес или поставки, но системы были значительно затронуты. В частности, были нарушены различные процессы, в том числе возможность заключения договоров.

Вridgestone Americas атаковала кибервымогательская группировка LockBit.

Хакеры запустили таймер, отсчитывающий время на уплату выкупа, и пригрозили опубликовать похищенные у компании данные, если деньги не будут переведены вовремя.

Компания начала расследование «потенциального инцидента информационной безопасности», обнаруженного 27 февраля 2022 года. В качестве меры предосторожности многие производственные предприятия и шиномонтажные мастерские в Южной и Северной Америке были отключены от корпоративной сети.

Никаких подробностей об инциденте не сообщалось, пока кибервымогатели LockBit не взяли ответственность на себя, добавив Bridgestone в список своих жертв. Характер похищенных хакерами данных и возможные последствия их утечки пока неизвестны.

На киберпреступных форумах появились данные более 100 тыс. карт российских банков.

Как сообщают эксперты по безопасности, с 26 февраля наблюдались массовые попытки списания средств со счетов российских клиентов. Предполагается, что преступники пытались срочно «монетизировать» имевшиеся базы, а теперь выложили их в свободный доступ, поскольку сведения потеряли ценность.

Руководитель группы анализа угроз информационной безопасности Positive Technologies Вадим Соловьёв считает, что банковские карты, попавшие в свободный доступ, уже не имеют прямой финансовой ценности для злоумышленников. По мнению эксперта, максимум, что можно использовать из этой информации,— ФИО владельца и название банка, которому принадлежит карта. Но и эти данные можно применять в разных мошеннических схемах, например в звонках от «колл-центров» банков или в рассылках персонализированных маркетинговых предложений.

Компания Ubisoft сообщила, что столкнулась с «инцидентом в области кибербезопасности», который привел к нарушению работы игр, систем и сервисов компании.

Объявление было сделано после того, как на прошлой неделе пользователb Ubisoft заявили о проблемах с доступом к сервису компании.

Предположительно ответственность за атаку лежит на хакерской группе Lapsus$, поскольку после публикаций в СМИ об инциденте Ubisoft, в Telegram-канале хак-группы появилось сообщение, цитирующее одну из таких новостей и сопровождавшееся ухмыляющимся эмоджи.

Сейчас сотрудники Ubisoft работают с киберкриминалистами над изучением случившегося, а в качестве меры предосторожности по всей компании был инициирован сброс паролей.

Киберпреступная группировка Lapsus$ сообщила о взломе Vodafone и краже 200 ГБ файлов с исходным кодом, эквивалентных 5 тыс. репозиториям на GitHub.

Пока хакеры не опубликовали ничего из похищенных файлов. Вместо этого они попросили десятки тысяч пользователей подписаться на их Telegram-канал и проголосовать, чьи данные должны быть опубликованы, Vodafone или других недавно взломанных компаний (Impresa и Mercado Libre).

В результате кибератаки у латиноамериканской компании из сферы электронной коммерции Mercado Libre произошла утечка данных 300 тыс. пользователей платформы.

Как отметили представители компании, раскрытие пользовательских данных произошло из-за того, что часть ее исходного кода подверглась несанкционированному доступу.

Компания сообщает, что им не удалось найти свидетельств компрометации инфраструктурных систем, паролей пользователей, остатков на счетах, инвестиций, финансовой информации или информации о кредитных картах.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

ФБР предупредило американцев о появлении в стране телефонных мошенников, которые выдают себя за сотрудников правоохранительных органов или чиновников, чтобы заполучить деньги или персональные данные своих жертв.

Схема кампании:

1. Мошенники звонят своим жертвам с номеров телефонов, похожих на номера правительственных агентств и правоохранительных органов. Затем настойчиво и агрессивно требуют от собеседника перевести деньги или отправить личную информацию под различными предлогами.
2. Злоумышленники, например, сообщают, что личные данные жертвы «всплыли» при расследовании преступления, обычно связанного с наркотиками или отмыванием денег. От обывателя требуют сообщить персональные данные, включая личный номер социального страхования и дату рождения.
3. Жертве грозят арестом, тюремным заключением и судебным преследованием, если та не заплатит за снятие обвинений или откажется сотрудничать для поимки «настоящих» преступников.
4. Деньги требуют переводить при помощи предоплаченных банковских карт, почтой, а также криптобанкоматов. При этом американцев, попавшихся на крючок мошенников, убеждают никому не сообщать о звонке.

Мобильная безопасность

Банковского Android-трояна SharkBot обходит не только защитные механизмы официального магазина Google Play Store, но и механизмы мультифакторной аутентификации на пользовательских устройствах.

Вредоносное приложение работает как трехслойная ядовитая таблетка: один слой маскируется под антивирус, второй представляет собой упрощенную версию SharkBot, которая в итоге обновляется, загружая полную версию вредоносного ПО.

Попав на устройство, троян извлекает учётные данные клиентов кредитных организаций, а затем проводит несанкционированные переводы денежных средств без участия человека, используя функцию Automatic Transfer System (ATS).

Атаки и уязвимости

Эксперты компании VUSec нашли новый способ обойти аппаратные средства защиты спекулятивного выполнения в процессорах Intel, AMD и Arm. Новый метод получил название Branch History Injection (BHI).

BHI (или Spectre-BHB) представляет собой возрождение кросс-привилегированных атак Spectre-v2 на аппаратные средства защиты современных процессоров. Изучая аппаратные средства защиты от Spectre-v2 — Intel eIBRS и Arm CSV2, специалисты решили проверить качество изоляции различных доменов привилегий в области спекулятивного выполнения. В итоге они обнаружили, что эта изоляция неполная, что позволило им разработать «очень изящный сквозной эксплойт для утечки произвольной памяти ядра на современных процессорах Intel».

Видео: демонстрация эксплуатации уязвимости

Проанализировав полученную от VUSec информацию, Intel выделила две уязвимости средней степени риска и присвоила им идентификаторы CVE-2022-0001 и CVE-2022-0002.
Для продукции AMD специалисты grsecurity опубликовали отдельный отчёт, в котором описывается вектор утечки данных из CPU Zen1 и Zen2, получивший идентификатор CVE-2021-26341.

В источниках бесперебойного питания (ИБП) APC Smart-UPS обнаружены опасные уязвимости TLStorm, эксплуатация которых позволяет злоумышленникам удаленно перехватить контроль над устройством, вызвать сбои в его работе, похитить данные, получить доступ к внутренней сети компании и даже нанести физический ущерб.

Две из трёх уязвимостей TLStorm могут быть использованы с помощью сетевых пакетов, не прошедших проверку подлинности, без какого-либо взаимодействия с пользователем (zero-click):

• CVE-2022-22805 — уязвимость переполнения буфера TLS и повреждения памяти при повторной сборке пакетов, которая может привести к удаленному выполнению кода.
• CVE-2022-22806 — уязвимость обхода TLS-аутентификации, представляющая собой путаницу состояний в TLS-рукопожатии.

Обе уязвимости получили оценку в 9,0 балла из максимальных 10 по шкале CVSS.

Третья уязвимость — CVE-2022-0715— получила оценку в 8,9 балла по шкале CVSS и связана с тем, что обновления встроенного ПО на уязвимых устройствах не подписываются безопасным образом с точки зрения криптографии. Прошивка APC Smart-UPS зашифрована симметричным шифрованием, но не имеет криптографической подписи. Это позволяет создать вредоносную прошивку, которую устройства Smart-UPS воспримут как официальную.

Разработан новый метод отражения/усиления DDoS-атак, обеспечивающий рекордный коэффициент усиления почти в 4,3 млрд раз.

Новый вектор атак основан на использовании уязвимых сетевых устройств Mitel, которые служат отражателями/усилителями DDoS. Атаки начинаются с небольшого пакета, отраженного внутри закрытой сети, размер которого увеличивается с каждым «отскоком». При достижении возможного верхнего предела полученный объем трафика направляется на цель.

Для использования нового метода злоумышленники эксплуатируют уязвимость CVE-2022-26143 в драйвере устройств Mitel, которые включают интерфейс VoIP TP-240, такие как MiVoice Business Express и MiCollab. Драйвер содержит команду генерации трафика, предназначенную для стресс-тестирования клиентов, используемую для отладки и тестирования производительности.

Злоупотребляя этой активированной по умолчанию командой, злоумышленники могут генерировать массивный сетевой трафик.

В ПО компании Axeda для управления устройствами IoT выявлены семь уязвимостей, позволяющих получить несанкционированный доступ к подключенному к облаку оборудованию.

Проблемы, получившие общее имя Access:7, потенциально затрагивают более 150 моделей смарт-устройств более 100 производителей:

• CVE-2022-25246 (9,8 балла по CVSS) — вшитые в код учетные данные к VNC позволяют захватить контроль над хост-системой со службой ADS (AxedaDesktopServer.exe);
• CVE-2022-25247 (9,8 балла по CVSS) — уязвимость в ERemoteServer.exe, грозящая удаленным исполнением стороннего кода и внесением изменений в файловую систему посредством подачи команд на определенном порту;
• CVE-2022-25251 (9,8 балла по CVSS) — отсутствие аутентификации для ряда команд, поддерживаемых агентом Axeda xGate.exe; позволяет изменить его настройки через отправку особых XML-сообщений;
• CVE-2022-25249 (7,5 балла по CVSS) — возможность выхода за пределы рабочего каталога в Axeda xGate.exe; эксплойт позволяет получить неограниченный доступ на чтение к файловой системе веб-сервера;
• CVE-2022-25250 (7,5 балла по CVSS) — возможность вызвать DoS-отказ Axeda xGate.exe через инъекцию недокументированной команды на определенном порту;
• CVE-2022-25252 (7,5 балла по CVSS) — грозящее отказом в обслуживании переполнение буфера в Axeda xBase39.dll при обработке запросов, вызывающих исключения;
• CVE-2022-25248 (5,3 балла по CVSS) — ошибка раскрытия информации в ERemoteServer.exe (при подключении к порту службы можно получить доступ к журналу событий.

В различных реализациях прошивки Unified Extensible Firmware Interface (UEFI), которая используется в миллионах корпоративных устройств HP обнаружены 16 опасных уязвимостей.

Проблемы получили оценки от 7,5 до 8,8 баллов по шкале CVSS. Среди потенциально уязвимых устройств ноутбуки HP, персональные компьютеры, PoS-терминалы и граничные вычислительные узлы.

Злоумышленники могут использовать уязвимости для выполнения кода во встроенном программном обеспечении и внедрить в систему вредоносный код, который «выживет» при переустановке операционной системы и позволит обойти решения для защиты оконечных точек (EDR/AV), безопасную загрузку и компонент Virtualization-Based Security.

Наиболее серьезные проблемы связаны с повреждением памяти в System Management Mode (SMM) прошивки. Это позволяет выполнять произвольный код с самыми высокими привилегиями.

Инциденты

Хакеры взломали сайты ФСИН, МВД, Минкультуры, ФССП, ФАС, Минэнерго, Росстата и других крупных российских ведомств.

При открытии веб-страниц появляется коллаж изображений на тему спецоперации РФ по защите Донбасса.

Как сообщают эксперты, реальному взлому подвергся только сайт gosmonitor.ru, отвечающий за мониторинг государственных сайтов. На него была загружена картинка gosmonitor.ru/why.jpg и подменен виджет gosmonitor.ru/widget.js?id=187.

По заявлению Минцифры восстановить работу сервиса и сайтов удалось в течение часа.

Румынская компания KMG Rompetrol подверглась «сложной кибератаке», в результате которой была вынуждена приостановить некоторые услуги на станциях и закрыть веб-сайты.

Ответственность за взлом взяла кибергруппировка Hive. Хакеры угрожают жертве утечкой данных, зашифрованных во время атаки, если не будет выплачен выкуп в размере 2 миллионов долларов.

Пока неизвестно, планирует ли Rompetrol или ее материнская компания KMG заплатить выкуп. По заявлению компании, она сотрудничает с правоохранительными органами Румынии для разрешения ситуации.

В свободный доступ был выложен список логинов, адресов эл. почты и телефонов российских и белорусских пользователей ресурса pikabu.ru. 🔥

Всего в файле содержится 1 091 670 строк. Выборочная проверка зарегистрированных логинов и адресов эл. почты на сайте pikabu.ru показывает, что данные в выложенном файле — достоверные.

5 марта 2022 года, администрация Pikabu официально подтвердила, что утечка действительно имеет место:

«Некоторое время назад произошла утечка данных, о которой нам сообщил один из бдительных пользователей, за что ему (@LLlkoJlbHuk) большое спасибо. В результате в интернет попали номера телефонов и адреса электронных почт пользователей.

В течение ночи наша команда искала источник и установила, что утечка произошла в декабре 2021 года, единоразово, и злоумышленники не имели доступа к нашим базам данных. Сведений об утере паролей, социальных сетей, других персональных данных, попыток взлома аккаунтов не зафиксировано, и утерянных данных недостаточно для входа в аккаунт.

О мотивах злоумышленников и их целях нам ничего неизвестно, и мы можем лишь предполагать, почему декабрьская утечка была выложена именно сейчас»

Хакер, опубликоваший данные пользователей pikabu.ru, выложил в свободный доступ логины, адреса эл. почты и хешированные (MD5 с солью) пароли зарегистрированных пользователей биржи фриланс-услуг «Kwork» (kwork.ru).

В текстовом файле содержится 166 135 строк. Однако, по утверждению хакера, всего слито около 5 млн. записей пользователей. Выборочная проверка зарегистрированных адресов эл. почты на сайте kwork.ru показывает, что данные в выложенном файле — достоверные.

В открытый доступ был выложен дамп с данными зарегистрированных пользователей сервиса по проверке текстов на уникальность text.ru.

Всего в дампе содержится 3 493 369 строк:

• 🌵 логин
• 🌵 адрес эл. почты
• 🌵 хешированный (MD5 без соли) пароль
• 🌵 дата создания профиля (с 08.08.2011 по 13.03.2021)
• 🌵 IP-адрес регистрации
• 🌵 адрес кошелька WebMoney

Хакерская группа Lapsus$ заявляет, что скомпрометировали компанию Samsung и уже опубликовали часть украденных данных.

В описании утечки указано, что она содержит «конфиденциальные исходные коды Samsung», которые группировка получила в результате взлома:

• исходный код всех Trusted Applet (TA), установленных в среде Samsung TrustZone, используемой для конфиденциальных операций (например, аппаратная криптография, двоичное шифрование, контроль доступа);
• алгоритмы всех операций биометрической разблокировки;
• исходный код загрузчика всех новых устройств Samsung;
• конфиденциальный исходный код от Qualcomm;
• исходный код серверов активации Samsung;
• полный исходный код технологии, используемой для авторизации и аутентификации учетных записей Samsung, включая API и службы.

Эксперты отмечают, что если хакеры говорят правду, Samsung пострадала от серьезной компрометации, которая может нанести огромный ущерб компании.

Группировка уже опубликовала примерно 190 Гб данных, разделив информацию на три архива, которые распространяются через торрент. Дамп пользуется популярностью, поскольку им делятся уже более 400 человек. Вымогатели пообещали, что развернут больше серверов для увеличения скорости загрузки.

Банк России отмечает замедление работы Системы быстрых платежей (СБП) из-за мощных DDoS-атак на каналы телеком-провайдеров.

«В настоящий момент из-за повышенного фона DDoS-атак на каналы телеком-провайдеров возможно кратковременное замедление работы Системы быстрых платежей. Часть операций может проходить медленнее, или их потребуется повторить через некоторое время», — говорится в сообщении.

Регулятор добавляет, что на сохранность средств банковских клиентов эта ситуация никак не влияет.

В открытом доступе обнаружена незащищённая база данных ElasticSearch, которая содержала более 243 ГБ данных с подробным описанием текущих и прошлых местоположений кораблей двух крупных китайских морских портов. Предположительно, данные принадлежат речным портам Янцзы в Нанкине и Чжанцзягане.

Проблема поставила под угрозу до 3100 судов, которые ежегодно перевозят более 250 млн тонн грузов в два порта. Основные грузы Чжанцзягана включают сталь, древесину, уголь, цемент и химические удобрения, в то время как Нанкин обычно торгует такими товарами, как металлическая руда, товары легкой промышленности, нефть и фармацевтические продукты.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

В Google Play Store вновь обнаружен банковский троян TeaBot, выдававший себя за приложение для чтения QR-кодов.

Зараженные TeaBot приложения действуют как загрузчики, то есть при размещении в Google Play Store они не содержат вредоносного кода и запрашивают минимальные разрешения у пользователя, поэтому легко проходят все проверки. Кроме того, все эти приложения в самом деле работают, предоставляя обещанную функциональность, поэтому отзывы о них преимущественно положительные.

Например, обнаруженный в феврале QR Code & Barcode — Scanner выглядел как обычная утилита для сканирования QR-кодов. Однако после установки приложение запрашивало обновление через всплывающее сообщение, и вместо стандартной процедуры, установленной правилами Play Store, обновление загружалось из внешнего источника.

После завершения «обновления» на устройстве жертвы появлялось новое приложение QR Code Scanner: Add-On. Оно запускалось автоматически и запрашивало права на использование Accessibility Services для выполнения работы следующих функций:

• просмотра экрана устройства и создания скришотов, на которых видны учетные данные для входа, коды двухфакторной аутентификации, содержимое SMS;
• автоматического предоставления дополнительных разрешений в фоновом режиме без вмешательства пользователя.

Инциденты

Nvidia стала жертвой кибератаки, в результате которой некоторые системы компании были отключены на два дня.

В компании подтвердили, что злоумышленники похитили и выложили в открытый доступ учётные данные сотрудников после чего потребовали, чтобы производитель отключил ограничения на майнинг (LHR) в прошивке видеокарт, угрожая в противном случае опубликовать информацию о разработках Nvidia.

Ответственность за взлом взяла на себя хакерская группа Lapsus$. Теперь хакеры пытаются продать данные, похищенных у производителя, в том числе технологию для разблокировки майнингового потенциала видеокарт, ранее урезанных производителем.

Из-за кибератаки шведский производитель сетевых камер и систем наблюдения Axis отключил общедоступные службы по всему миру, рассчитывая ограничить воздействие атаки.

Представители Axis сообщают, что расследование инцидента продолжается, но пока нет никаких свидетельств того, что какие-либо данные клиентов и партнеров были скомпрометированы. Экспертам удалось остановить атаку до завершения и ограничить ущерб.

Cлужба информационной безопасности «Яндекс Еды» выявила утечку информации, причиной которой стали «недобросовестные действия» одного из сотрудников.

Как сообщает канал «Утечки информации», 27.02.2022 в свободном доступе появился архив с тремя SQL-дампами, суммарно содержащими 49,441,507 строк с заказами:

• 🌵 имя/фамилия (то, как они записаны в профиле пользователя сервиса)
• 🌵 телефон (6,882,230 уникальных номеров из РФ/Казахстана и 206,725 из Белоруссии)
• 🌵 адрес доставки
• 🌵 комментарии к заказу
• 🌵 дата заказа (с 19.06.2021 по 04.02.2022)

В компании уверяют, что утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей. Команда сервиса извинилась перед пользователями и отправит всем, кого коснулась утечка, письмо с подробностями.

По итогам внутренней проверки «Яндекс» ужесточил подход к хранению чувствительной информации, в том числе связанной с заказами, и обеспечит ей уровень защиты, сопоставимый с уровнем защиты платежной информации, логинов и паролей. Подчеркивается, что ручная обработка таких данных будет исключена, а число сотрудников, которые имеют доступ к информации о заказах, сократится как минимум втрое.

Автомобильная корпорация Toyota Motor была вынуждена остановить работу заводов в Японии из-за кибератаки на ведущего поставщика комплектующих — Kojima Industries Corporation.

Представители Toyota называют произошедшее «системным сбоем у поставщика». Подробностей инцидента пока нет, но с 1 марта 2022 года Toyota остановила 28 производственных линий на 14 заводах по всей Японии.

Из-за взлома электрозарядные станции на высокоскоростной трассе Москва-Петербург М-11 выводили нецензурные сообщения.

Как сообщили представители Россетей, «производитель оставил в контролере закладку, которая давала ему возможность скрытого доступа через интернет». Такие контролеры широко используются на экспортируемых Украиной в Европу электрозарядных станциях.

Оказалось, что основные компоненты зарядных станций произведены компанией Autoenterprise (Украина), а российский поставщик произвел отверточную сборку.

Хактивисты Anonymous взломали ряд сайтов российских медиаресурсов и разместили на них сообщений с призывом остановить войну на Украине.

От атаки, которая произошла в первой половине дня 28 февраля 2022 года, пострадали сайты ТАСС, «Известия», «Фонтанка», «Коммерсант», Forbes, AdIndex, E1, «Мел», «Игромания», «Такие дела», Buro 24/7, PeopleTalk, «Космополитен».

Кроме того, сообщается, что сообщение хакеров было замечено и на других ресурсах, не имеющих отношения к СМИ, например, на сайте roomble.com, который посвящен архитектуре и интерьеру.

По информации Znak.com, скомпрометированы были не сами сайты, а сервис статистики Оnthe.io, разработчики которого уже опубликовали официальное заявление:

«Наш сервис подвергся кибератаке и был взломан. Из-за чего на сайте появилось несанкционированное заявление. На данный момент мы не контролируем ситуацию, поэтому настоятельно рекомендуем в срочном порядке снять код cdn.onthe.io до выяснения обстоятельств. Также официально заявляем, что наша команда не имеет к этому никакого отношения. Разбираемся с причиной».

Хакеры российской группировки Killnet вывели из строя сайт Anonymous с помощью DDoS-атаки.

Свои действия они объяснили в одном из Telegram-каналов:

«Интернет переполнен фейковой информацией о взломах российских банков, атаках на серверы российских СМИ и многое другое. Всё это не имеет опасности для людей. Эта „информационная бомба“ несет только текст. И больше никакого вреда. Не поддавайтесь фейковой информацией в интернете. Не сомневайтесь в своей стране».

Группировка Killnet появилась в начале 2022 года и предоставляет нелегальные платные услуги по осуществлению ddos атак.

Хакеры Anonymous взломали систему управления оборудованием агрохаба «Селятино» в Московской области и пытались испортить 40 тысяч тонн замороженной продукции.

Преступникам удалось получить несанкционированный доступ к головному контроллеру Danfoss (производство Дания) под пользователем Supervisor и создать пользователя Anonymous с полными правами. После этого были изменены ключевые параметры, отвечающие за поддержание температуры с -24° C на +30° C с целью порчи 40 тысяч тонн замороженной мясной и рыбной продукции. Оборудование имело доступ в сеть интернет для удаленного мониторинга за работой установок.

Служба безопасности агрохаба «Селятино» оперативно предотвратила негативные последствия хакерской атаки. Вся отечественная сельскохозяйственная продукция хранится без нарушения температурного режима.