Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Китайская хак-группа APT10 (она же Stone Panda, MenuPass и Bronze Riverside) много месяцев атакует финансовый сектор Тайваня, эксплуатируя уязвимость в неназванном защитном продукте, который используется примерно в 80% местных финансовых организаций.

Атаки долго оставались незамеченными из-за того, что при расследовании ноябрьских атак 2021 года был упущен тот факт, что хакеры использовали уязвимость в ПО, зато было замечено применение тактики credential stuffing, которую APT10 использовала в качестве прикрытия и как способ получить доступ к некоторым торговым счетам, которые затем применялись для выполнения крупных операций на фондовом рынке.

Выяснилось, что на самом деле APT10 использовала уязвимость в неназванном защитном продукте, внедряла веб-шелл ASPXCSharp, а затем использовала инструмент Impacket для сканирования внутренней сети цели. После этого злоумышленники применяли технику reflective code loading для запуска вредоносного кода в локальных системах и установки вредоноса Quasar RAT, который открывал удаленный доступ к зараженной системе с помощью обратных туннелей RDP.

Зафиксирована массированная кампания по взлому серверов Microsoft SQL с целью установки тулкита Cobalt Strike — инструмента для пентеста, который помогает злоумышленникам расширить присутствие в сети целевой организации.

Хакеры атакуют обнаруженные сервера с помощью перебора учётных данных по словарю или списку популярных паролей. Доступные серверы баз данных обнаруживают путём сканирования порта 1433, на котором работает служба MS SQL.

В рамках текущей кампании злоумышленники используют полученный доступ для выполнения шелл-команд, обеспечивающих загрузку троянского дроппера.

Вредонос извлекает из себя и расшифровывает код Cobalt Strike, а затем внедряет его в память легитимного процесса MSBuild.exe. Бесфайловый метод загрузки помогает спрятаться от антивирусов и обойти белые списки приложений.

Новая версия инфостилера CryptBot распространяется через ряд фейковых сайтов, которые предлагают бесплатные кряки для игр и ПО.

CryptoBot существует довольно давно и ворует информацию с зараженных Windows-устройств, включая сохраненные учетные данные из браузера, файлы cookie, историю браузера, данные криптовалютных кошельков, кредитных карт, а также различные файлы.

В новой версии авторы удалили несколько старых функций, чтобы сделать свой инструмент более компактным и эффективным. Кроме того, злоумышленники постоянно обновляют управляющие серверы, сайты дропперов и само вредоносное ПО, поэтому CryptBot в настоящее время является одной из самых изменчивых угроз.

Обновленный инфостилер распространяется через фальшивые пиратские сайты, где якобы выложены программы для взлома, генераторы ключей или другие подобные утилиты. При этом злоумышленники используют SEO, чтобы продвигать эти сайты в результатах поиска Google, тем самым обеспечивая себе стабильный приток жертв.

Вредоносные сайты постоянно обновляются, на них добавляется множество разных приманок. Посетители этих ресурсов проходят через длинную цепочку перенаправлений прежде чем попасть на целевую страницу, которая вообще может находиться даже на скомпрометированном легитимном сайте, используемом в атаках на отравление поисковых систем (SEO poisoning).

Мобильная безопасность

В официальном магазине приложений для Android обнаружен новый банковский троян Xenomorph, который атакует пользователей из Испании, Португалии, Италии и Бельгии.

Троян представляет собой классический банкер, который заражает Android-устройства, запрашивает права на использование Accessibility service, а затем применяет их для отображения поддельных экранов входа в систему, накладывая их поверх настоящих банковских приложений.

В настоящее время Xenomorph может отображать такие оверлеи для 56 банков из Испании, Португалии, Италии и Бельгии, 12 криптовалютных кошельков и 7 почтовых приложений.

В смартфонах Samsung Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 и Galaxy S21 обнаружена проблема с хранением криптографических ключей через систему ARM TrustZone.

Уязвимость CVE-2021-25444 в устройствах позволяет киберпреступникам получить доступ к информации о шифровании, которую телефон должен защищать с помощью специального оборудования.

Смартфоны Samsung имеют многоуровневую среду, окружающую операционную систему TrustZone (или TZOS), которая работает вместе с Android и выполняет криптографические функции. Этой защиты в целом было бы достаточно, но из-за недостаточно стойкой реализации криптографических функций внутри TZOS, они стали слабым звеном в цепочке безопасности.

Умные устройства

У электросамокатов девяти брендов и обнаружены шесть проблем, которые угрожают не только владельцам устройств, но и другим участникам дорожного движения.

Перечень проблем электросамокатов:

1. Обход ограничения скорости: Три из девяти самокатов позволяют превышать максимальную разрешенную скорость.
2. Внезапная блокировка: Некоторые из приложений для управления самокатами содержат уязвимости, позволяющие злоумышленникам внезапно блокировать устройство во время движения.
3. Устаревший код приложений: Пять из девяти изученных приложений имеют устаревший код, содержащий уязвимости.
4. Шифрование данных: Ни один из изученных брендов не использует шифрование для защиты данных пользователей, в результате чего данные авторизации и информация о поездке доступны посторонним.
5. Доступный порт отладки SWD: Один из изученных самокатов имеет незащищенный SWD-порт, позволяющий обходить меры безопасности.
6. Загрузка из сторонних источников: Один из брендов не опубликовал свое приложение в официальном магазине, что ставит пользователей под угрозу.

Инциденты

Транспортно-экспедиционная компания Expeditors International стала жертвой кибератаки, которая приостановила большую часть операций по всему миру.

В официальном заявлении компании не сказано, о каком типе кибератаки идет речь, но можно предположить, что происходящее связано с масштабной вымогательской атакой.

В последующем пресс-релизе, выпущенном в воскресенье вечером, компания подтвердила, что кибератака вынудила ее отключить большинство систем по всему миру, чтобы обеспечить «безопасность общей глобальной системной среды». Отмечается, что системы останутся в автономном режиме до тех пор, пока их нельзя будет безопасно восстановить из резервных копий. Это и заставляет говорить об атаке шифровальщика. Точных дат возобновления работы в компании пока не называют.

Расследование кибератаки на иранский государственный телеканал IRIB в январе 2022 года показало, что злоумышленники использовали деструктивное вредоносное ПО. Это показывает, что целью атакующих было разрушить государственную вещательную сеть, причинив теле- и радиосетям, возможно, гораздо больший ущерб, чем официально заявлено

По словам заместителя директора телеканала Али Дади, атака была технологически очень сложной, и «только владельцы этой технологии могли проэксплуатировать бэкдоры и функции, установленные на системе».

Во время атаки использовалось кастомное вредоносное ПО, способное делать скриншоты, скрипты и конфигурационные файлы для установки и конфигурирования вредоносных исполняемых файлов.

В ходе атаки хакеры прервали видеотрансляцию, удалив с помощью скрипта исполняемый файл, связанный с TFI Arista Playout Server — ПО для вещания, которым пользуется IRIB. Прервав трансляцию, они снова и снова воспроизводили собственный видеофайл.

В открытый доступ на теневом форуме был выложен SQL-дамп, содержащий данные зарегистрированных пользователей приложения (iOS и Android) московского торгового центра «Метрополис».

В дампе содержится информация по 86 883 клиентам ТЦ:

• 🌵 телефон
• 🌵 адрес эл. почты
• 🌵 хешированный (bcrypt) пароль
• 🌵 имя
• 🌵 кол-во бонусов
• 🌵 дата регистрации и обновления профиля (с 12.07.2018 по 18.02.2022)
• 🌵 ссылки на соц. сети (ВКонтакте, Facebook и Instagram)

Пользователь форума, выложивший дамп, еще 6-го февраля пытался продать доступ к этой базе данных с помощью уязвимости за 300 XMR (около 3,7 млн. руб.), но видимо не нашел покупателей.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты Group-IB обнаружили 140 ресурсов, которые под видом прямых трансляций зимних Олимпийских игр в Пекине, перенаправляли пользователей на мошеннические и фишинговые сайты.

Схема кампании:

1. Хакеры рекламировали нелегальные трансляции на взломанных страничках университетов, благотворительных фондов и онлайн-магазинов.

2. На одной из страниц взломанного ресурса пользователь видит окно видеоплеера с внедренной ссылкой на «прямую трансляцию» и символикой зимних Олимпийских игр.

3. Кликнув по ней, он переходит на лендинг прямого эфира — кроме видеоплеера, здесь иногда размещаются спортивные новости и анонсы предстоящих соревнований.

4. Для просмотра трансляции необходимо пройти регистрацию, ввести номер телефона и указать специальный «код доступа», кнопка получения которого в зависимости от страны и устройства посетителя приведет жертву на различные мошеннические и фишинговые ресурсы.

5. Например, на одном из таких сайтов предлагается поучаствовать в розыгрыше бесплатного доступа к трансляциям, открыв одну из 12 «коробочек». Пользователю дается три попытки, чтобы выбрать коробку с призом. После двух неудачных попыток — третья оказывается призовой. Разброс по сумме выигрыша составляет от 10 до 10 000 долларов США.

6. На той же странице размещено окно чат-бота с «инструкциями» по получению приза. Жертве необходимо дать согласие на получения выигрыша, а потом оплатить небольшую «комиссию» за конвертацию — 300-500 рублей и ввести данные своей банковской карты на фишинговом ресурсе. Разумеется, ни денежного приза, ни онлайн-трансляции жертва не получит.

7. В другом сценарии жертву просят отправить SMS на указанный номер, но вместо трансляции подключат его к различным платным сервисам и подпискам.

Банк ВТБ обнаружил новый сценарий телефонного мошенничества с применением методов социальной инженерии. На этот раз жертву пугают блокировкой вымышленного лицевого счета в Центробанке (ЦБ).

Схема действий мошенников

1. Злоумышленники предупреждают клиента о возможной «блокировке единого лицевого счета в Центробанке» из-за якобы подозрительной операции и пытаются выявить сведения о финансовом состоянии пользователя. Эти данные они используют для последующих атак.
2. Мошенники уверяют, что сработал алгоритм блокировки мошеннической операции, и все средства клиента заблокированы на вымышленном «едином лицевом счете в ЦБ».
3. Они предлагают провести разблокировку и направить заявку в любой из банков, где оформлены счета, вклады, кредиты, зарплатные и дополнительные карты пользователя.
4. Основная цель мошенников — не получить персональные данные сразу, а аккуратно определить платежеспособность пользователя. Они задают наводящие вопросы о наименовании банков, открытых продуктах и участии в зарплатном проекте.
5. Полученная информация может быть использована, например, при получении доступа в мобильный банк, оформлении кредита сразу в нескольких банках и выводе средств на подставные счета.

Нигерийская хакерская группировка TA2541 проводит свои операции с 2017 года и практически не заботится о скрытности.

Отличительные особенности кампаний TA2541

• Участники TA2541 обладают весьма низкой квалификацией, мало заботятся о скрытности своих действий и используют готовое вредоносное ПО.
• Обычно злоумышленники полагаются на массовые рассылки фишинговых писем, которые почти всегда написаны на английском языке и побуждают жертв загрузить вредоносные файлы.

Пример фишингового письма.

• Вредоносные файлы, как правило, представляют собой документы Microsoft Word, размещенные в облачных хранилищах.
• Массовость таких спам-кампаний могла варьироваться от сотен до нескольких тысяч писем.
• После загрузки и запуска такого файла происходит установка трояна удаленного доступа (RAT), который предоставляет участникам TA2541 доступ к зараженному компьютеру.
• За годы своего существования группа использовала разные трояны удалённого доступа, но почти всегда полагалась на ту малварь, которую можно приобрести на хакерских форумах. Фаворитами группировки, похоже, являются AsyncRAT, NetWire, WSH RAT и Parallax, которые чаще других используются в ходе атак.

Атаки и уязвимости

В нескольких крупных сетях зарядки электромобилей обнаружены уязвимости, эксплуатация которых позволяет хакерам взламывать зарядные устройства, получать доступ к пользовательским данным электромобилей и вызывать сбои в работе оборудования.

Эксперты провели анализ зарядных устройств 16 производителей и обнаружили проблемы как в прошивках устройств, так и в мобильных и web-приложениях, используемых для доступа к ним. Оказалось, что все они могут быть взломаны и заражены вредоносными программами для удаленного доступа к данным или проведения атак типа «отказ в обслуживании».

Взяв под контроль несколько зарядных устройств, хакеры могут перегрузить местную энергосистему и вызвать отключение электроэнергии.

Инциденты

Американская финансовая организация IRA Financial Trust стала жертвой взлома, в результате которого злоумышленники похитили у ее клиентов 36 млн долларов США в криптовалюте.

IRA — индивидуальный пенсионный счет — форма индивидуального пенсионного плана, предлагающая американским работникам льготные с точки зрения налогообложения сберегательные инструменты. В общем случае компании, предоставляющие такие услуги, позволяет инвестировать в акции, облигации и взаимные фонды, но не в криптовалютные активы. Но в отличие от коллег IRA Financial Trust позволяет своим клиентам приобретать криптовалютные активы посредством партнерства с крупной криптоплатформой Gemini Trust.

По некоторым данным злоумышленникам удалось похитить у клиентов IRA Financial Trust 21 млн долларов США в биткоинах и 15 млн долларов США в эфире.

Злоумышленники похитили порядка 1,9 млн долларов США у южнокорейской криптовалютной платформы KLAYswap, взломав протокол BGP в серверной инфраструктуре одного из ее поставщиков.

Хакеры воспользовались техникой, известной как перехват BGP, которая обычно используется для перехвата интернет-маршрутов и переадресации пользователей на вредоносные сайты.

С помощью поддельной автономной системы AS9457 злоумышленники «рекламировали» якобы принадлежащие ей IP-адреса, обслуживающие developers.kakao.com — домен, входящий в инфраструктуру разработки KakaoTalk и являющийся хостингом для официального Kakao SDK.

C помощью перехвата BGP хакеры распространяли вредоносную версию файла JavaScript SDK. Пользователи, желавшие загрузить этот файл с официального сайта KakaoTalk для разработчиков, получили вредоносную версию.

Вредоносный файл содержал в конце дополнительный код, который загружался в браузер пользователя и ждал, пока тот инициирует транзакцию на сайте KLAYswap. Обнаружив операцию, код перехватывал средства и отправлял их в кошелек хакеров, откуда они незамедлительно выводились через сервисы OrbitBridge и FixedFloat.

Клуб «Сан-Франциско Форти Найнерс» (San Francisco 49ers) пострадал от атаки шифровальщика BlackByte, в результате которой хакерам удалось похитить данные и зашифровать корпоративную сеть.

Представители команды подтвердили факт атаки, когда на «сайте для сливов» шифровальщика BlackByte была опубликована информация о взломе.

Журналисты отмечают, что атака могла бы иметь более драматичные последствия, если бы «Сан-Франциско Форти Найнерс» прошла квалификацию на Супербоул 2022, прошедший в минувшие выходные. В этом случае инцидент мог бы нарушить подготовку команды к игре, а шифровальщики вновь попали бы на первые полосы всех американских СМИ.

В результате атаки шифровальщика нарушилась работа словенского телеканала Pop TV.

Из-за кибератаки телеканал не смог использовать какую-либо компьютерную графику в вечернем выпуске ежедневного новостного шоу 24UR. Ночной выпуск этой же программы был отменен, а на сайте компании транслировалась урезанная версия новостей .

Уже на следующий день новости выходили в обычном графике, но во втором заявлении Pop TV сообщила, что инцидент также коснулся ряда веб-серверов, в том числе VOYO, потоковой on-demand платформы, которая предлагает зрителям каналы своей материнской компании, а также лицензионные фильмы и сериалы.

Pop TV заявила, что атака помешала сотрудникам добавлять новый контент на платформу и показывать какие-либо каналы и прямые трансляции спортивных событий, включая зимние Олимпийские игры в Пекине.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Более 150 человек из 15 стран и 70 городов мира стали жертвами новой схемы кибермошенников, которые под видом инвестиций на липовых брокерских биржах убеждали людей перевести последние деньги в биткоины.

Схема обмана

1. Весной 2021 года специалисты CERT-GIB заметили массированную рекламную кампанию в социальных сетях, в которой известные люди — предприниматели, политики и амбассадоры популярных брендов — предлагали частным вкладчикам участвовать в сверхдоходных инвестиционных проектах.

2. Для привлечения внимания мошенники в основном активно использовали три базовых сюжета: «Альтернатива банкам», «Недра — народу», «Финансы для людей»

3. Далее, в зависимости от конкретного сюжета, меняется «точка приземления», то есть переадресация посетителей: — На мошенническое приложение в Google Play. — На сайт-опросник, который собирает персональную информацию о жертве, включая ее телефонный номер. — На фальшивую страницу популярного СМИ: интернет-издания или телеканала.

4. Для сайтов мошенники использовали несколько шаблонов, которые стилистически копируют внешний вид популярных новостных сайтов, таких как Россия-24, RT и РБК. Пользуясь популярностью и авторитетом этих медиаресурсов, мошенники вводят читателей в заблуждение публикациями о преимуществах несуществующих инвестиционных проектов.

5. При клике на любой объект поддельной страницы жертву переадресуют на следующий элемент мошеннической цепи — сайт инвестиционного проекта. Как правило, это несуществующие инвестиционные проекты, например, функционирующие на основе торговли валютой, криптовалютой, полезными ископаемыми, природными ресурсами, фармацевтикой.

6. Практически каждый из них упоминает фантастические заработки: от 300 000 до 10 000 000 рублей в месяц. По формату это лендинги-одностраничники с подробной продающей информацией о проекте и формами ввода данных для регистрации: Ф. И. О., номер телефона, email.

7. На этих страницах потенциальную жертву продолжают погружать в легенду: с одной стороны — через яркие и простые призывы разбогатеть, с другой стороны — через знакомство с вымышленными торговыми технологиями, а также с огромными процентами возможного заработка.

8. Используя известный бренд или комментарии от успешных бизнесменов, мошенники создают у потенциальной жертвы доверие к инструменту инвестирования. Основная задача лендинговой страницы — заставить посетителя ввести свои контактные данные для консультации и доступа к проекту.

9. После того, как посетитель оставил свои контакты, он получает уведомление, что скоро ему позвонят операторы сервиса.

10. В течение часа по указанному номеру с человеком связывается оператор, он же менеджер, он же куратор проекта, и рассказывает про уникальный проект, где якобы специальная программа/робот/искусственный интеллект помогает зарабатывать деньги на торгах — пользователю лишь нужно вносить депозиты. Пороговая сумма, как правило, начинается от 250 долларов.

11. Телефонный мошенник будет пытаться втереться в доверие, используя различные психологические уловки. Заставляя положительно отвечать на все эти вопросы, мошенник в итоге приведет потенциальную жертву к основному вопросу: готов ли собеседник прямо сейчас начать вкладывать деньги.

12. «Вложение» средств может происходить по нескольким сценариям: перевод на биткоин-кошелек, выманивание данных банковской карты, фальшивый торговый терминал.

13. После того, как жертва внесла депозит, на сайте торгового терминала в личном кабинете или мобильном приложении отображается сумма, эквивалентная сумме депозита, однако это всего лишь «фантики», которые нельзя конвертировать обратно в валюту.

14. При попытке перевода средств на карту, жертва увидит убедительные иллюзии совершения транзакций и работы платежных шлюзов, однако это приведет к «ошибкам» и дополнительным условиям вывода денег.

Киберпреступники заманивают желающих обновиться до Windows 11 фальшивыми установщиками с вредоносной программой RedLine, похищающей их данные.

Схема кампании:

1. Хакеры используют убедительно выглядящий домен «windows-upgraded.com».
2. Сайт выглядит как официальный ресурс Microsoft, на котором размещена кнопка «Скачать сейчас».
3. Если пользователь нажмёт на эту кнопку, на компьютер загрузится ZIP-архив с именем «Windows11InstallationAssistant.zip» и размером 1,5 МБ.
4. При открытии архива создаётся папка весом 753 МБ, что демонстрирует впечатляющую степень сжатия — 99,8%.
5. Как только пользователь запустит исполняемый файл из этой папки, выполняет PowerShell-скрипт с зашифрованным аргументом. Далее стартует cmd.exe и идёт чтение некоего файла .jpg с удалённого сервера.
6. Файл содержит DLL с контентом, выстроенным в обратном порядке. Злоумышленники используют этот приём для ухода от детектирования и анализа. В конечной фазе заражения загружается DLL-файл, представляющий собой сам RedLine.
7. Получив управление, вредоносная программа соединяется с командным сервером через TCP и ожидает инструкций.

Мобильная безопасность

Вредонос Roaming Mantis атакует пользователей Android и iPhone в Германии и Франции, с помощью вредоносных приложений и фишинга.

Если при первых обнаружениях в в 2018 году вредонос использовал взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, то сейчас для распространения используется SMS-фишинг («смишинг»), при помощи которого хакеры продвигают вредоносные приложения для Android в виде отдельных APK-файлов, то есть не из Google Play Store.

Новые версии Roaming Mantis используют троян Wroba и в основном нацелены на пользователей из Франции и Германии, рассылая вредоносные SMS и ссылки на зараженные сайты. Целью Wroba является кража информации об электронном банкинге жертвы.

Переход по ссылке из такого SMS, если URL был открыт с устройства Apple, перенаправляет жертву на фишинговую страницу, где хакеры попытаются похитить учетные данные пользователя для входа в аккаунт Apple. В случае если жертва использует устройство Android, она попадает на другую целевую страницу, которая предлагает установить малварь, замаскированную под приложение для Android. Обычно вредонос маскируется под  Google Chrome или приложения Yamato и ePOST.

Инциденты

Бельгийская компания SEA-Invest и нидерландская Evos стали жертвами кибератак, из-за которых были сорваны операции в портах Европы и Африки.

Представители Evos сообщили, что влияние инцидента ограничено только портами в Тернезене, Генте и на Мальте. Атаки на SEA-Invest и Evos могут существеннее повлиять на поставки топлива, чем январские атаки на немецкие нефтяные компании Oiltanking и Mabanaft, после которых топливо удалось получить из альтернативных источников, и проблема не вышла за пределы страны.

В настоящее время Evos испытывает трудности с погрузкой и выгрузкой нефти, но все порты компании в Нидерландах продолжают работать.

Общее влияние кибератак замедляет поставок нефти в розничные точки из-за трудностей с заполнением танкеров-доставщиков. Как долго это будет продолжаться, пока неизвестно, поскольку общедоступной информации обо всех кибератаках, включая предыдущие инциденты в Германии, пока еще очень мало.

В результате кибератаки на одного из подрядчиков Puma по управлению персоналом, компанию Kronos, хакеры похитили из Kronos Private Cloud (KPC) личную информацию о сотрудниках и членах их семей.

KPC представляет собой безопасное хранилище, защищенное с помощью брандмауэров, многофакторной аутентификации и зашифрованных соединений. Он используется в качестве хостинга сред Workforce Central, Workforce TeleStaff, Enterprise Archive, TeleTime IP, Extensions for Healthcare (EHC) и FMSI.

В начале января 2022 года компания убедилась в том, что во время хакерской атаки была похищена личная информация, и 10 января 2022 года об инциденте уведомили представителей Puma.

В заявлении Kronos не сказано, сколько сотрудников Puma пострадали от этой атаки, однако производитель спортивной одежды уже обратился в Генеральную прокуратуру штата Мэн, и согласно представленным документам операторы вымогателя украли данные, принадлежащие 6632 лицам. В похищенных документах, в числе прочего, содержались номера социального страхования.

Португальское подразделение Vodafone стало жертвой хакерской атаки, в результате которой была нарушена работа услуг компании.

Вечером 7 февраля система Vodafone Portugal столкнулась с техническими проблемами: тысячи клиентов не могли осуществлять звонки или подключаться к Сети на своих телефонах и компьютерах. Как выяснилось позже, технические проблемы были вызваны кибератакой.

Представители Vodafone Portugal заявили, что персональные данные клиентов не были скомпрометированы.

News Corp, один из крупнейших в мире медиахолдингов, пострадал от взлома. В документах, поданных в Комиссию по ценным бумагам и биржам, сообщается, что за атакой стояли китайские «правительственные» хакеры.

Атака произошла в прошлом месяце. По мнению экспертов злоумышленники получили доступ к электронной почте и документам журналистов и сотрудников «ряда изданий и бизнес-подразделений, включая The Wall Street Journal и его материнскую компанию Dow Jones, The New York Post, принадлежащую компании британскую газету, а также штаб-квартиру News Corp». Известно, что взлом произошел через одного из сторонних облачных провайдеров компании.

News Corp заявила, что обнаружила атаку 20 января 2022 года, после чего наняла ИБ-компанию Mandiant для расследования инцидента, а также уведомила о случившемся правоохранительные органы. Хотя пока расследование еще продолжается, Mandiant сообщает, что атаку провели хакеры, «действующие в интересах правительства Китая».

Швейцарская компания Swissport, обслуживающая аэропорты в 50 странах мира, сообщила о кибератаке вымогательского ПО, которая нарушила работу ее IT-инфраструктуры и сервисов, что привело к задержке рейсов в некоторых аэропортах.

Компания сообщает, что распространение вымогательского ПО удалось сдержать. Работа сервисов уже восстановлена. По словам представителя аэропорта Цюриха кибератака началась ранним утром четверга и вызвала небольшие задержки (от 3 до 20 минут) более двух десятков рейсов.

Пока неизвестно, о каком именно вымогательском ПО идет речь, и удалось ли хакерам похитить данные компании.

Иранская хакерская группировка под названием Moses Staff выставила на продажу информацию, похищенную во время взлома израильской оборонной компании Rafael.

Опубликованная хакерами информация содержит списки доступа сотрудников к внутренним компьютерным системам, а также конфиденциальные бизнес-презентации. В загруженном хакерами видеоролике показаны скриншоты системы, предположительно связанной с наземной системой противовоздушной обороны Sky Cyber.

Анализ опубликованных материалов не выявил никаких свидетельств присутствия злоумышленников в сети компании или раскрытия паролей пользователей. В основном данные представляют собой сопоставление информационных систем и сервисов в организации. База данных также содержит ряд ссылок на данные, которые могли быть украдены из систем компании F5.

За базу данных хакеры хотят получить 100 биткоинов — около 4,3 млн долларов США по текущему курсу.