Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Следственный комитет России (СКР) завершил расследование уголовного дела предполагаемых организаторов масштабной аферы с билетами ведущих российских театров.

Схема действий мошенников:

1. Сначала дизайнеры создавали сайты, которые полностью копировали оформление и торговую марку сайтов популярных театров. В названиях клонов также использовались названия учреждений культуры.
2. После регистрации и запуска сайтов специалисты преступной группы добивались того, что при запросах пользователей, связанных с покупкой билетов, именно «двойники» появлялись первыми в ответе поисковых систем.
3. Сами билеты фигуранты приобретали обычным образом, но перепродавали в несколько раз дороже.
4. По мере развития через сеть «двойников» стали распространять билеты не только на спектакли Мариинского театра, но также Большого и Малого, Театра наций, РАМТа и даже на концерты в Московской государственной консерватории имени Чайковского. Общий оборот сети, по данным правоохранителей, составил более миллиарда рублей.
5. В массовом сбыте билетов по завышенным ценам были задействованы десятки компаний, в том числе «Мульти», «ДЭЗ Служба», «Шоу Маркет», «Без нас никак», «Евротикетс», «Вам билет», «Международная торговая компания» и другие.

Вредоносная кампания Eternal Silence использует уязвимость в Universal Plug and Play (UPnP) для превращения маршрутизаторов в прокси-сервера, через который запускаются атаки и скрываются IP-адреса злоумышленников.

Атака получила название UPnProxy. Из 3,5 млн UPnP-маршрутизаторов, найденных экспертами в сети, 277 000 оказались уязвимы для UPnProxy, а 45 113 из них уже были заражены.

Согласно отчету, злоумышленники пытаются эксплуатировать проблемы EternalBlue (CVE-2017-0144) и EternalRed (CVE-2017-7494) в незащищенных системах Windows и Linux. Эксплуатация этих уязвимостей может привести к целому ряду проблем, включая заражение майнинговой малварью, разрушительные атаки «червей», которые быстро распространяются на целые сети, или предоставить хакерам доступ к корпоративным сетям.

Новые правила, создаваемые хакерами на маршрутизаторах, содержат фразу «galleta silenciosa», что в переводе с испанского означает «тихие cookie» («silent cookie»). Такие инъекции пытаются раскрыть TCP-порты 139 и 445 на устройствах, подключенных к маршрутизатору (примерно 1 700 000 машин, на которых запущено SMB).

За последние три месяца Group-IB насчитала в рунете более 110 тыс. предложений купить сертификат вакцинации против COVID-19. В сентябре-октябре 2021 года число таких находок составляло около 3000.

Схема кампании:

1. Злоумышленники размещают свои приманки в соцсетях или на сайтах знакомств.
2. Когда потенциальный покупатель связывается с ними, ему предлагают перейти в Telegram по ссылке-приглашению.
3. Этот код является уникальным идентификатором скамера, работающего за проценты от суммы украденного.
4. Созданный мошенниками Telegram-бот предлагает потенциальной жертве широкий спектр услуг: приобретение сертификата вакцинированного или переболевшего ковидом, получение официальной или фейковой справки о прохождении ПЦР-теста, а также возможность пополнить электронный кошелек.
5. После выбора услуги бот генерирует счет и просит оплатить его переводом на кошелек физлица.
6. После проведения платежа жертва ничего не получает. Мошенники исчезают, рассчитывая, что обманутый пользователь не станет обращаться в полицию, поскольку попытку покупки сертификата могут воспринять как преступление, подпадающее под статью 327 УК РФ (изготовление, сбыт, использование поддельных документов).

Мобильная безопасность

Приложение 2FA Authenticator, скачанное из Google Play Store около 10 000 раз, предлагало работающую двухфакторную аутентификацию, но также тайно устанавливало банковский троян Vultur. Малварь искала на зараженных устройствах финансовые данные и другую личную информацию.

Одним из особенностей банкера — использование приложения VNC для зеркалирования экранов зараженных устройств. Благодаря этому злоумышленники могут в режиме реального времени собирать учетные данные и прочую конфиденциальную информацию с устройства жертвы.

Чтобы приложение 2FA Authenticator выглядел правдоподобно, его построили на базе исходного кода open-source решения Aegis. Приложение действительно работало и выполняло функции двухфакторной аутентификации. Но одновременно 2FA Authenticator собирал список всех приложений, установленных на устройстве и данные о географическом местоположении. Приложение также отключало экран блокировки Android, загружало сторонние приложения под видом «обновлений» и накладывало оверлеи на другие приложения, чтобы запутать пользователя.

Если зараженное устройство находилось в нужной локации, и ​​на нем были установлены нужные приложения, на втором этапе атаки происходила установка банкера Vultur, который был запрограммирован на запись всего происходящего на экране, если запускалось одно из 103 банковских, финансовых или криптовалютных приложений.

Атаки и уязвимости

В прошивке UEFI от InsydeH2O, которая используется HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens, обнаружены 23 критических уязвимости.

Воспользовавшись этими уязвимостями, локальный или удаленный злоумышленник с правами администратора получит возможность выполнить следующие действия:

• отключить аппаратные функции безопасности (SecureBoot, Intel BootGuard);
• установить ПО, которое крепко закрепится в системе;
• создавать бэкдоры и скрытые каналы связи для кражи конфиденциальных данных.

Самые опасные из обнаруженных проблем — CVE-2021-45969, CVE-2021-45970, и CVE-2021-45971. Они набрали 9,8 балла из 10 по шкале оценки уязвимостей CVSS. Еще 10 уязвимостей могут использоваться для повышения привилегий, 12 связаны с нарушением целостности информации в памяти в SMM, и еще одна уязвимость связана с нарушением целостности информации в памяти в среде выполнения драйверов InsydeH2O (DXE).

Аналитики ESET предупреждают владельцев «умных» наручных часов, что злоумышленники могут перехватывать и контролировать данные и пароли, следить за геолокацией, а также передавать собранные ПДн третьим лицам.

Одной из ключевых опасностей исследователи назвали перехват данных, поскольку смарт-часы синхронизируют доступ к приложениям на связанном смартфоне. Если устройство недостаточно защищено, злоумышленники могут извлечь информацию из мессенджеров и почтовых клиентов. Кроме того несанкционированный доступ к часам может помочь разблокировать украденные мобильные устройства.

Ещё одна потенциальная проблема — отслеживание местоположения, которое по умолчанию фиксирует большинство «умных» часов. Здесь эксперты ESET выразили беспокойство в отношении несовершеннолетних пользователей таких гаджетов.

Главной уязвимостью фитнес-гаджетов специалисты ESET называют небезопасный протокол Bluetooth, ошибки в программном коде прошивки и мобильных приложений.

ИБ-исследователи компании Cyble обнаружили более 20 тыс. уязвимых к атакам публично доступных систем управления дата-центрами и контроля отопления, вентиляции и кондиционирования.

Годы совершенствования операционной эффективности привели к появлению так называемых lights-out ЦОД — полностью автоматизированных объектов, управляемых удаленно и обычно работающих без персонала.

И хотя сами серверы, как правило, надежно защищены от физического доступа, системы, обеспечивающие бесперебойную работу и оптимальную производительность, иногда не защищены.

Исследователи обнаружили более 20 тыс. доступных систем Data Center Infrastructure Management (DCIM), включая панели управления температурой и охлаждением, контроллеры влажности, контроллеры ИБП, мониторы стоек и коммутаторы. Аналитики смогли похитить пароли из информационных панелей, которые они затем использовали для доступа к фактическим установкам базы данных, хранящимся в ЦОД.

Потенциальный хакер мог изменить пороговые значения температуры и влажности, настроить параметры напряжения на опасные уровни, деактивировать охлаждающие устройства, выключить консоли, перевести устройства ИБП в спящий режим, создать ложные тревоги или изменить временные интервалы резервного питания. Все это потенциально может привести к физическому ущербу, потере данных, разрушению системы и значительному экономическому ущербу для целевых организаций и их клиентов.

Инциденты

Мошенники смогли обманом заставить NFT-коллекционера, собирающего картинки с изображениями обезьян и мутантов, передать им свою коллекцию, которую они затем успешно продали.

По словам жертвы, его NFT были похищены в результате взлома NFT-проекта Moshi Mochi. Злоумышленникам удалось присвоить себе Discord-канал проекта и через него переадресовывать пользователей на поддельный сайт. Как сообщает Moshi Mochi, его пользователи в общей сложности лишились 35 эфиров.

Для коллекционера взлом Discord-канала проекта Moshi Mochi оказался фатальным. Он купился на опубликованную на канале вредоносную ссылку, обещавшую возможность отчеканить финальный раунд NFT. Жертва нажала на ссылку, одобрила действие — и вся ее коллекция уплыла из-под носа.

Злоумышленники похитили у larrylawliet семь NFT: один из Bored Ape Yacht Club, пять из Mutant Ape Yacht Club и один Doodle. Другие жертвы лишились четырех Doodle. Похищенные NFT затем были проданы всего за 700 тыс. долларов США.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая фишинговая кампания, нацеленная на Instagram-аккаунты крупных компаний и известных блогеров. Злоумышленники специально выбирают инфлюенсеров с большим количеством подписчиков, чтобы взломать учётные записи, а затем потребовать выкуп за возврат аккаунта.

Схема атаки

1. Атака начинается с отправки сообщения якобы от лица социальной сети Instagram, уведомляющем о нарушении авторских прав.

2. В этом сообщении есть ссылка, которая отправляет пользователей на вредоносный сайт, находящийся под контролем операторов кампании.

3. После перехода по ссылке владельца аккаунта просят ввести логин и пароль, чтобы аутентифицироваться для проверки информации о возможном нарушении авторских прав.

4. Если пользователь вводит учётные данные, они тут же отправляются в руки злоумышленников.

5. Получив доступ к учётной записи, атакующие мгновенно меняют пароль и имя пользователя так, что имя пользователя превращается в вариацию на тему словосочетания «pharabenfarway», после которого будет стоять число подписчиков угнанного аккаунта.

6. Затем в профиле появляется комментарий: «эта учётная запись предназначена для продажи владельцу». В послании также есть сокращённая WhatsApp ссылка (wa . me) и контактный номер злоумышленника. При клике по ссылке запускается мессенджер с соответствующим чатом.

7. Фишеры отправляют жертве текстовое сообщение на номер, указанный в профиле Instagram. После этого следует заключительный этап — обсуждение суммы выкупа, которую законный владелец аккаунта должен заплатить. В некоторых случаях фишеры требовали за возврат учётной записи 40 тысяч долларов США.

Обнаружено новое шпионское ПО DazzleSpy, нацеленное на активистов и демократов в Гонконге.

Малварь предназначена для macOS и заражает жертв посредством так называемых атак watering hole («водопой»). Обычно так обозначают атаки, в ходе которых злоумышленники внедряют на легитимные сайты вредоносный код, где он и поджидает жертв.

В данном случае хакеры взломали сайт продемократической интернет-радиостанции D100 Radio и внедрили на него вредоносные iframe, которые работали с 30 сентября по 4 ноября 2021 года. Кроме того, атакующие зарегистрировали мошеннический сайт fightforhk [.]com, которые тоже был создан с целью привлечения активистов.

Вредоносный код использовался для загрузки файла Mach-O. Для этого эксплуатировалась уязвимость удаленного выполнения кода в WebKit CVE-2021-1789, исправленная ​​Apple в феврале 2021 года.

Таким образом, успешная эксплуатация RCE-бага в WebKit впоследствии запускала выполнение бинарника Mach-O, который, в свою очередь, использовал еще одну исправленную ранее уязвимость для повышения локальных привилегий (CVE-2021-30869) и запускал вредоносное ПО следующей стадии с root-правами.

DazzleSpy имеет большой набор функций для слежки и хищения файлов с взломанного компьютера:

• сбор информации о системе;
• выполнение произвольных шелл-команд;
• скачивание и выгрузка файлов;
• кража iCloud Keychain с использованием эксплоита для уязвимости CVE-2019-8526 (если версия macOS ниже 10.14.4);
• запуск или завершение сеанса удаленного экрана;
• снятие скриншотов, запись аудио, кейлоггинг;
• удаление себя из системы.

ИБ-эксперты и инженеры Qnap предупредили о появлении нового шифровальщика DeadBolt, который шифрует NAS компании, используя 0-day уязвимость.

Атаки начались 25 января, когда владельцы устройств Qnap стали обнаруживать, что их файлы зашифрованы, а имена файлов дополнены расширением .deadbolt. Известно по меньшей мере о 15 жертвах DeadBolt.

Вместо записки с требованием выкупа, которую обычно помещают в каждой папке на устройстве, послание хакеров размещается прямо на странице входа в систему.

Жертве сообщают, что она должна перевести 0,03 биткоина (около 1100 долларов США) на определенный биткоин-кошелёк, уникальный для каждого пострадавшего. После платежа злоумышленники сообщают, что они совершат ответную транзакцию по тому же адресу, которая будет включать в себя ключ для дешифрования данных.

В записке с требованием выкупа есть отдельная ссылка, озаглавленная «Важное сообщение для Qnap», при нажатии на которую отображается сообщение для разработчиков. Авторы DeadBolt пишут, что готовы раскрыть полную информацию об используемой ими уязвимости нулевого дня, если компания заплатит им 5 биткоинов (примерно 184 000 долларов США). Также они сообщают, что готовы продать мастер-ключ, который поможет расшифровать файлы всех жертв, и информацию о 0-day за 50 биткоинов, то есть почти за 1,85 миллиона долларов США.

В настоящее время нет подтверждений тому, что выплата выкупа приведет к получению ключа, а пользователи смогут расшифровывать файлы.

Мобильная безопасность

Новая версия вредоноса BRATA получила новые опасные функции: GPS-трекинг, использование нескольких каналов связи, а также сброс всех настроек устройства для удаления любых следов вредоносной активности.

Последние версии BRATA нацелены на пользователей систем электронного банкинга в Великобритании, Польше, Италии, Испании, Китае и Латинской Америке. Каждый вариант вредоносного ПО предназначен для атак на разные банки и содержит разные оверлеи и языки. Он даже прячется от обнаружения в разных приложениях, предназначенных для разной целевой аудитории.

Среди новых функций присутствуют:

• кейлоггер с возможностью делать скриншоты;
• GPS-трекинг (хотя его назначение пока осталось для аналитиков загадкой);
• новые каналы связи для обмена данными с управляющим сервером (появилась поддержка HTTP и WebSockets);
• выполнение сброса устройства к заводским настройкам.

К сбросу хакеры прибегают в случаях, когда компрометация девайса успешно завершена и учетные данные уже украдены, или когда приложение обнаружило, что работает в виртуальной среде, то есть его пытаются изучить.

Android-вредонос Dark Herring прятался в 470 приложениях, размещённых в официальном магазине Google Play Market.

При установке любого из этих приложений на смартфон жертвы с её счёта незаметно списывалось около 15 долларов США. В общей сложности было зафиксировано более 105 млн установок Dark Hering, что позволяет говорить об общей сумме ущерба более 100 млн долларов США.

Расчёт киберпреступников был на то, что лишние 15 долларов, добавленные к ежемесячным расходам на сотовую связь, вряд ли бросятся в глаза рядовому пользователю.

Инциденты

Неизвестные преступники внедрили веб-скиммер для хищения данных банковских карт покупателей на сайт store.segway[.]com. Эксперты полагают, что за атакой стоит одна из группировок Magecart.

Каким образом проведён взлом, установить не удалось. Интернет-магазин Segway работает на Magento. Вероятнее всего, авторы атаки использовали уязвимость в самой CMS или ее плагине.

Вредоносный JavaScript-загрузчик выдается за код, отображающий информацию о копирайте. Он скачивает полезную нагрузку в виде фавикона, содержащего код веб-скиммера, с уже использовавшегося в аналогичных атаках сервера booctstrap[.]com. Скиммер активируется, когда посетитель store.segway.com заходит на страницу оформления заказа.

Министерство иностранных дел и международной торговли Канады стало жертвой кибератаки. Критически важные сервисы работают, но некоторые online-службы все еще недоступны.

Что стало причиной кибератаки и кто за ней стоит, пока не установлено. Центра кибербезопасности Канады сообщает, что команды по безопасности и реагированию на угрозы работают 24/7, чтобы выявить утечки и предупредить потенциальных жертв в правительстве и канадской критической инфраструктуре. Группа реагирования на инциденты предлагает советы и поддержку, чтобы сдержать угрозу и смягчить любой потенциальный ущерб.

Хакерская группировка «Киберпартизаны» атаковала компьютерную сеть Белорусской железной дороги.

В рамках кибердиверсионной кампании «Пекло» хактивисты зашифровали основную часть серверов, баз данных и рабочих станций БелЖД с целью замедлить и нарушить работу дороги.

Взломщики заверили, что все резервные копии были уничтожены. В обмен на ключи шифрования «Киберпартизаны» требуют освободить 50 белорусских политзаключенных, «наиболее нуждающихся в оказании медицинской помощи», а также остановить прибытие российских войск на территорию республики.

Судя по скриншотам, размещённым в телеграм-канале хакеров, им удалось получить доступ к внутренним системам БелЖД, резервным серверам и контроллеру домена Windows.

Неизвестные обрушили серверы единственного интернет-провайдера Андорры с помощью DDoS-атаки во время турнира по Minecraft под названием SquidCraft Games.

Единственный провайдер княжества Андорра не выдержал нагрузки, и все жители европейской страны остались без доступа к интернету. Интернет в Андорре не работал около получаса. Проблему удалось устранить лишь только после дисквалификации стримеров из Team Andorra. Команда NetBlocks, отслеживающая различные сетевые сбои, предположила, что атаки были направлены именно против Team Andorra, чтобы лишить их шансов выиграть главный приз.

На RaidForums выставлены на продажу персональные данные 2,6 млн граждан Украины.

Как утверждает автор, база содержит 2,6 миллиона записей с расширенной информацией об украинцах, включая их документы:

• имена, фамилии и отчества;
• даты рождения;
• пол;
• номера телефонов;
• индивидуальные налоговые номера;
• данные из государственных и заграничных паспортов (серия, номер, дата и место выдачи);
• данные из ID-карт.

Для предпросмотра доступны три архива общим объемом более 11,4 ГБ. Пользователь форума готов продать всю имеющуюся у него базу данных за 15 тысяч долларов США.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Злоумышленники в США используют QR-коды для кражи у граждан денег и персональных данных.

Схема обмана

1. Преступники подменяют QR-код на свой.
2. Жертва сканирует его и попадает на вредоносный сайт, где требуется ввести логин и пароль, а также различные финансовые сведения.
3. Если человек передаёт эти данные, у преступников появляется доступ к счетам жертвы.

В этой связи ФБР рекомендовало американцам не загружать приложения для считывания QR-кодов, а при сканировании кода на физическом носителе проверять, не был ли он подменён — например, не наклеен ли один QR-стикер поверх другого.

Атаки и уязвимости

В сервисе для видеоконференций Zoom обнаружены уязвимости, которые могут привести к удалённой компрометации клиентов и MMR-серверов.

Первая из уязвимостей представляет собой переполнение буфера и затрагивает как Zoom-клиент, так и Zoom Multimedia Routers. Вторая приводит к утечке информации и затрагивает MMR-серверы.

Кроме этих уязвимостей специалисты обращают внимание на небезопасную реализацию механизма Address Space Layout Randomization (ASLR), предназначенного для защиты от повреждения памяти. Выявленные уязвимости особенно опасны в тот момент, когда серверы MMR запрашивают аудио- и видеоконтент. Успешная эксплуатация может привести к прослушиванию видеоконференций и деловых переговоров.

В SAP NetWeaver AS ABAP и ABAP Platform обнаружена уязвимость, которую злоумышленники могут использовать для запуска атак на цепочки поставок.

Уязвимости присвоили идентификатор CVE-2021-38178 и 9,1 балла по шкале CVSS. Источник проблем — некорректная авторизация, которая позволяет вмешиваться в транспортные запросы. Стандартные развёртывания SAP включают программу, позволяющую сотрудникам с определённым уровнем авторизации менять атрибуты заголовка в транспортных запросах SAP. Таким образом, киберпреступник или инсайдер с соответствующими правами могут изменить статус запросов с «Released» на «Modifiable». Более того, злоумышленник может добавить вредоносную нагрузку для запуска после импорта в целевую систему, что открывает возможность для атак на цепочки поставок.

Обнаружена критическую уязвимость в биометрических считывателях IDEMIA, которые используются для организации контроля доступа в крупнейших финансовых учреждениях мира, университетах, организациях здравоохранения и на объектах критически важной инфраструктуры.

Проблема получила идентификатор VU-2021-004 и оценку 9,1 балла по шкале оценки уязвимостей CVSS v3.

Используя уязвимость, злоумышленник мог удаленно без аутентификации использовать следующие команды:

• trigger_relay для открытия двери или турникета, если терминал непосредственно управляет ими;
• terminal_reboot, чтобы вызвать отказ в обслуживании.

Уязвимость присутствует в следующих устройствах:

• MorphoWave Compact MD;
• MorphoWave Compact MDPI;
• MorphoWave Compact MDPI-M;
• VisionPass MD;
• VisionPass MDPI;
• VisionPass MDPI-M;
• SIGMA Lite (все версии);
• SIGMA Lite+ (все версии);
• SIGMA Wide (все версии);
• SIGMA Extreme;
• MA VP MD.

В децентрализованном протоколе Multichain была обнаружена уязвимость, позволявшая злоумышленникам украсть криптоактивы пользователей.

Хотя разработчики протокола оперативно исправили уязвимость, пользователям необходимо отозвать разрешение на работу с протоколом в своих кошельках. Далеко не все пользователи сделали это оперативно, что позволило хакерам украсть криптоактивы на 1,34 млн долларов США.

Эксперты предупреждают, что пользователи, которые одобрили WETH, PERI, OMT, WBNB, MATIC и AVAX на платформе Multichain, теперь находятся в группе риска. Чтобы избежать потерь им следует отменить все одобрения, выданные указанным токенам, чтобы они могли защитить свои криптовалютные активы.

Уязвимость в механизме многофакторной аутентификации (MFA) облачного сервиса The Box позволяла обойти процесс SMS-верификации на платформе.

Сервис Box позволяет клиентам, не использующим технологию единого входа (Single Sign-On), защитить свои учетные записи с помощью приложения для аутентификации или двухфакторной аутентификации на основе SMS.

При авторизации в аккаунте платформа устанавливает сессионный cookie-файл и переадресовывает пользователя на форму, где необходимо ввести либо одноразовый пароль (TOTP), сгенерированный аутентификатором (MFA-верификация), либо код из SMS-сообщения (двухфакторная аутентификция).

Как обнаружили исследователи, Box допускает «путаницу MFA-режимов», что позволяет обойти многофакторную аутентификацию на основе SMS: при авторизации в учетной записи с включенной верификацией по SMS злоумышленник может инициировать MFA-аутентификацию по TOTP и указать одноразовый пароль из подконтрольного ему приложения-аутентификатора.

Уязвимость заключалась отсутствии проверки на предмет того, была ли включена MFA-защита на основе TOTP в аккаунте, в котором пытались авторизоваться, и действительно ли приложение-аутентификатор было с связано с данной учетной записью.

Инциденты

Гуманитарная организация «Международный комитет Красного Креста» стала жертвой кибератаки, в результате которой произошла утечка личной информации 515 000 человек.

Похищенные данные принадлежали участникам программы «Красного Креста» под названием «Восстановление семейных связей», целью которой является воссоединение членов семьи, разделенных из-за вооруженных конфликтов, природных катастроф или миграции.

Украденные злоумышленниками данные были собраны как минимум 60 различными филиалами Красного Креста и Красного Полумесяца по всему миру и содержали имена, местоположение и контактную информацию пропавших людей и их семей, а также оставшихся без попечительства или разлученных с семьей детей, которым помогает «Красный Крест»

Cайт OpenSubtitles, предоставляющий любителям кинематографа бесплатные субтитры, сообщил о взломе и утечке данных. Чтобы скрыть инцидент, владельцам ресурса пришлось заплатить злоумышленникам выкуп в криптовалюте.

В утечке содержатся данные 6 783 158 пользователей, зарегистрированных на ресурсе. Киберпреступникам удалось добраться до адресов электронной почты, никнеймов и MD5-хешей паролей.

Представители OpenSubtitles сообщили, что создали сайт в 2006 году, имея слабое представление о кибербезопасности, поэтому пароли хранились в MD5-хешах без соли. Это значит, что большинство украденных паролей будет легко раскодировать..

Администраторы OpenSubtitles заверили, что разработчики обновили код для лучшей защиты аккаунтов. Пользователям рекомендуется поменять пароли на ресурсе. Платёжные данные хранились за пределами веб-площадки, злоумышленники не смогли до них добраться.

Криптовалютная платформа Crypto.com временно приостановила снятие средств после того, как «небольшое количество пользователей сообщили о подозрительной активности на своих счетах».

Действия администрации стали ответом на несколько «краж», о которых сообщили клиенты. В частности, создатель криптовалюты Dogecoin (DOGE) Билли Маркус (Billy Markus) обнаружил ряд подозрительных транзакций с помощью сервиса Etherscan.

По словам пользователя Бена Баллера (Ben Baller), его учетная запись была взломана , и он лишился 4,28 Ether (около 15 тыс. долларов США). Баллер использовал двухфакторную аутентификацию, поэтому предполагаемые преступники, должно быть, обошли защитные решения Crypto.com.

Эксперты сообщили, что в общей сложности преступники похитили у Crypto.com примерно 15 млн долларов США. Половина украденных денег уже «отмыта» через сервис Tornado Cash.

Бренд Moncler сообщил об утечке данных в результате кибератаки вымогательского ПО AlphaV (BlackCat) в конце декабря 2021 года.

Хотя специалистам удалось пресечь кибератаку, она повлияла на работу IT-сервисов компании, которые пришлось временно отключить.

В заявлении компании говорится, что операторы вымогательского ПО AlphV/BlackCat разместили в даркнете данные о бывших и текущих сотрудниках компании, поставщиках, консультантах и бизнес-партнерах. Причиной публикации сведений послужил отказ модного бренда платить требуемый вымогателями выкуп в размере 3 млн долларов США.

Согласно сообщению компании, платежные данные клиентов в результате атаки не пострадали, поскольку Moncler не хранит такую информацию в своих системах.