Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

Компания Medtronic из-за уязвимости в срочном порядке отозвала пульты для инсулиновых помп, принадлежащих к семейству продуктов MiniMed Paradigm.

Уязвимости были обнаружены в пультах MMT-500 и MMT-503, используемых с инсулиновой помпой Medtronic MiniMed 508 и семейством инсулиновых помп MiniMed Paradigm. Устройства были проданы в США в период с августа 1999 года по июль 2018 года. В настоящее время в стране используется 31 310 уязвимых устройств.

Проблема со старыми пультами дистанционного управления заключается в том, что посторонний человек может записывать и воспроизводить сигналы пульта, что позволяет ему преднамеренно перегрузить или остановить доставку инсулина пациенту.

Разработан новый способ извлечения данных из физически изолированных систем с использованием кабелей Ethernet в качестве антенны.

Получивший название LANtenna метод позволяет вредоносному коду на отключенному от интернета компьютере собирать чувствительные данные, а затем передавать их на расстояние до 200 м с помощью радиоволн, генерируемых кабелями Ethernet. Радиосигналы в диапазоне частот 125 МГц передаются на находящийся поблизости SDR-приемник (Software Defined Radio, программно определяемая радиосистема), после чего декодируются и отправляются злоумышленнику в соседней комнате.

Для реального применения LANtenna сначала нужно заразить атакуемую сеть вредоносным ПО по одному из известных векторов, начиная от атак на цепочку поставок и зараженных USB-флэшек и заканчивая техниками социальной инженерии, похищением учетных данных и подкупом сотрудников.

Мобильная безопасность

Android-вредонос TangleBot распространяется с помощью СМС и крадёт персональные и финансовые данные с мобильного устройства жертв.

Варианты вредоносных СМС.

Схема кампании:

1. В рассылаемых вредоносом СМС содержится фальшивое уведомление о записи на вакцинацию от COVID-19, изменениях в правилах поведения в связи с пандемией, об отключении электричества.
2. Сообщение содержит ссылку, по которой нужно перейти, чтобы узнать подробности.
3. Пройдя по ссылке, жертва видит сообщение о необходимости обновить Adobe Flash Player, который не поддерживается на мобильных устройствах с 2012 года.
4. Если жертва соглашается на «обновление», ему выдаются девять диалоговых окон, с помощью которых вредонос обеспечивает себе необходимые права в системе.
5. Получив запрошенные права, TangleBot может мониторить любую активность пользователя, использовать камеру мобильного устройства, прослушивать аудиосообщения, отслеживать геолокацию.

Инциденты

Неизвестный хакер взломал ((официальный Facebook-аккаунт эсминца USS Kidd (DDG 100), принадлежащего ВМФ США, и два дня стримил на странице игру Age of Empires.

Самая долгая трансляция шла более 4 часов. Вооруженным силам пока не удалось восстановить доступ к аккаунту.

Пресс-служба эсминца подтвердила факт неправомерного доступа и приступила к выяснению обстоятельств. «Официальная страница корабля USS Kidd (DDG 100) в Facebook была взломана. На данный момент мы работаем с технической службой поддержки и решаем проблему», — сказал командующий Николь Швегман (Cmdr. Nicole Schwegman), пресс-секретарь ВМФ США.

Компания Syniverse, обслуживающая операторов связи AT&T, T-Mobile, Verizon, Vodafone, China Mobile и многих других, раскрыла факт взлома.

Выяснилось, что хакеры в течение многих лет находились в их системах и имели доступ к данным более 200 клиентов Syniverse.

Неизвестные преступники несколько раз получали несанкционированный доступ к базам данных в сети Syniverse и скомпрометировали системы Electronic Data Transfer (EDT) 235 клиентов компании. Хакеры могли иметь доступ к информации о длительности и стоимости звонков, номерах телефонов, местонахождении участников разговора, а также содержимому SMS.

Взлом был обнаружен в мае 2021 года, но атака преступников началась еще в мае 2016 года.

Неизвестные хакеры опубликовали на сайте 4chan торрент-файл, содержащий почти 130 Гб исходного кода и бизнес-данных платформы Twitch

Среди украденных данных:

• Twitch.tv полностью, с историей коммитов, уходящей корнями к старту сервиса.
• Клиенты Twitch для мобильных и десктопных устройств, а также игровых консолей.
• Проприетарные SDK и внутренние сервисы AWS, используемые Twitch.
• Прочая собственность, которой владеет Twitch, включая IGDB и CurseForge.
• Неизданный конкурент Steam от Amazon Game Studios.
• Внутренние инструменты red team Twitch SOC.
• Отчеты о выплатах авторам за период с 2019 года по настоящее время.

Наиболее конфиденциальные данные в дампе — папки c информацией о механизмах идентификации и аутентификации пользователей Twitch, административных средствах управления, а также данные внутренней службы безопасности Twitch, включая модели угроз и фото белой доски, где описываются различные части внутренней инфраструктуры Twitch.

Источником утечки считается внутренний сервер Git компании. Так как дамп помечен как «часть первая», вероятно, в будущем можно ждать новых публикаций.

В открытый доступ попал полный SQL-дамп базы данных испанского филиала страховой компании «Zurich».

В дампе содержится 4,246,656 строк с данными страховых полисов клиентов компании:

• 🌵 имя/фамилия;
• 🌵 номер полиса;
• 🌵 адрес эл. почты;
• 🌵 телефон;
• 🌵 адрес;
• 🌵 номер и марка автомобиля.

Дамп был сделан 29.06.2021 через уязвимость в IT-инфраструктуре компании.

В результате кибератаки вымогателя Conti американская компания Sandhills Global была вынуждена остановить работу, а её сайты оказались недоступны.

Sandhills Global предоставляет услуги хостинга компаниям в сфере транспорта, сельского хозяйства, авиастроения, машиностроения, и технологий, а также издает бумажные и электронные отраслевые материалы.

В пятницу, 1 октября, сайт Sandhills Global стал недоступен, перестали работать телефоны компании. При попытке зайти на сайты, хостинг для которых предоставляет Sandhills Global, появлялось сообщение об ошибке от Cloudflare Origin DNS, согласно которому Cloudflare не может подключиться к серверам Sandhills.

Из-за инцидента стали недоступны такие популярные издания, как Truck Paper, TractorHouse, AuctionTime, Machinery Trader, ForestryTrader, HiBid, RentalYard, Motorsports Universe, CraneTrader, MarketBook, RV Universe, Oil Field Trader, Aircraft, LiveStockMarket, Controller и Aircraft.com.

В открытом доступе оказались 10 ТБ данных подписчиков британского издания The Telegraph.

Среди скомпрометированной информации — внутренние логи, полные имена подписчиков, адреса электронной почты, данные об устройстве, URL-запросы, IP-адреса, токены аутентификации и уникальные идентификаторы читателей.

Значительная часть записей была зашифрована, но было более 1200 незашифрованных контактов, включая зарегистрировавшихся подписчиков The Telegraph и подписчиков Apple News.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена киберкампания группировки ChamelGang против топливно-энергетического комплекса и авиационной промышленности РФ.

Группа проводит «атаки через доверительные отношения». Эта разновидность атак похожа на атаки через цепочку поставок. Хакеры взламывают инфраструктуру сторонней компании, у сотрудников которой есть легитимный доступ к ресурсам жертвы. Например, первым звеном в цепочке атаки на головную организацию могут стать дочерние компании или организации-аутсорсеры, выполняющие техническую поддержку.

Другими словами, здесь компрометации подвергаются доверенные каналы, в то время как атаки через цепочку поставки проводятся с помощью программно-аппаратных средств, в которые внедряется вредоносный имплант, который предоставляет прямой доступ к серверу или устанавливает связь с центром управления.

Для создания мошеннической инфраструктуры, поддерживающей атаки они приобретали домены, имитирующие легитимные, например:

• newtrendmicro[.]com,
• centralgoogle[.[com,
• microsoft-support[.[net,
• cdn-chrome[.[com,
• mcafee-upgrade[.[com.

Кроме того, APT-группа на своих серверах размещала SSL-сертификаты, которые тоже имитировали легитимные — github.com, www.ibm.com, jquery.com, update.microsoft-support.net

Целью атаки было хищение конфиденциальных данных.

Обнаружена целевая фишинговая кампания с использованием поддельных писем защищённой электронной почты Zix.

Фишинговую рассылку получили около 75 тыс адресатов, причём организаторам кампании удалось обойти антиспам-процедуры и системы контроля безопасности в Office 365, Google Workspace, Exchange, Cisco ESA.

Цели атаки — государственные и местные органы власти, образовательные учреждения, финансовые компании, здравоохранение и энергетика, а также персонально высшее руководство и сотрудников различных отделов этих организаций.

Злоумышленники тщательно выбирают цели, следя за тем, чтобы атаковать не более одного сотрудника в одном отделе, чтобы исключить обсуждение писем между коллегами.

Узнаваемость имени помогает письму пройти проверку на легитимность в глазах получателей. Дополнительные методы для обхода фильтров безопасности и создания доверия у пользователей — социальная инженерия, использование легитимного домена Baptist и копирование существующих рабочих процессов.

Темы письма — «Безопасное сообщение Zix». В теле письма этот заголовок повторяется, а затем жертву уведомляют, что она получила защищенное сообщение Zix. Чтобы проверить его, нужно нажать на кнопку «Открыть сообщение».

Если жертва нажмёт на кнопку, на её компьютер загрузится вредоносный HTML-файл с именем «securemessage», который при выполнении похитит учётные данные для входа в систему.

Обнаружена вредоносная спам-кампания по распространению вредоноса BluStealer.

Этот инфостилер предназначен для кражи криптовалют Bitcoin, Ethereum, Monero и Litecoin из популярных кошельков — ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda и Coinomi. В общей сложности по всему миру обнаружено более 12 тыс. фишинговых писем.

Например, в середине сентября были обнаружены фишинговые письма, использующие названия транспортной компании DHL и мексиканской металлургической компании General de Perfiles.

В посланиях обычно говорится, что некая посылка была доставлена в головной офис компании из-за отсутствия получателя на месте. Далее получателю предлагается заполнить вложенный документ, чтобы перенести доставку. Когда пользователь пытается открыть его, запускается установка BluStealer.

В фишинговых кампаниях, связанных с General de Perfiles адресаты получают письма о том, что они переплатили по счетам, и что для них был сохранен некий кредит, который будет учтен в счете следующей покупки. Как и в кампании имитирующей DHL, сообщение General de Perfiles содержит BluStealer во вложении.

В число наиболее пострадавших от BluStealer стран входят Россия, Турция, США, Аргентина, Великобритания, Италия, Греция, Испания, Франция, Япония, Индия, Чехия, Бразилия и Румыния. Российским пользователям пришло всего 139 таких писем.

Мобильная безопасность

Android-вредонос GriftHorse подписывает своих жертв на платные SMS-сервисы и уже заразил более 10 млн устройств в 70 странах мира,

GriftHorse распространялся через официальный магазин приложений Google Play и сторонние каталоги приложений, маскируясь под безобидные приложения.

Если пользователь устанавливает такое приложение, GriftHorse начинает засыпать его всплывающими окнами и уведомлениями, в которых предлагает различные призы и специальные предложения. Когда жертва нажимает на одно из таких уведомлений, её перенаправляют на страницу, где просят подтвердить номер телефона, якобы чтобы получить доступ к предложению. На самом деле пользователи подписываются на платные SMS-сервисы, стоимость которых порой превышает 30 евро в месяц. Эти деньги в получают операторы GriftHorse.

Android-троян ERMAC пока атакует лишь польских пользователей и крадёт данные из 378 банковских приложений и приложений-кошельков.

ERMAC создан на базе известной малвари Cerberus. Им управляет группировка, стоявшая за малварью BlackRock. Помимо общих черт с Cerberus, новый вредонос отличается использованием обфускации и шифрования Blowfish для связи с управляющим сервером.

ERMAC, как и другие банкеры, предназначен для кражи контактной информации, текстовых сообщений, открытия произвольных приложений и запуска оверлеев для множества финансовых приложений с целью получения учётных данных. Он обладает рядом новых функций, которые, к примеру, позволяют ему очищать кэш определенных приложений и воровать учётные записи, хранящиеся на устройстве.

Обнаружен способ совершать несанкционированные платежи с заблокированного iPhone через Apple Pay с картой Visa. Метод работает даже если iPhone находится в сумке или кармане.

При изучении бесконтактных платежей выяснилось, что iPhone подтверждает транзакцию лишь в случае, если владельцы смартфона прошли аутентификацию и разблокировали iPhone одним из трёх способов: с помощью Face ID, Touch ID или кода-пароля.

Однако в некоторых условиях, например, при оплате проезда в общественном транспорте, требование разблокировки делает процесс слишком неудобным для пользователя.

В Apple Pay эту проблему решили путём введения функции Express Transit, которая даёт возможность провести транзакцию без разблокировки устройства. Express Transit работает только для определённых услуг, таких как оплата за билеты.

Express Transit работает с турникетами и считывателями карт, которые отправляют нестандартную последовательность байтов, минуя экран блокировки Apple Pay.

Исследователи смогли имитировать транзакцию на турникете, используя устройство Proxmark. Метод представляет собой активную MitM-атаку воспроизведения и ретрансляции, в ходе которой Proxmark воспроизводит «специальные байты» на iPhone, якобы совершая оплату билета без необходимости аутентификации пользователя.

Экспертам также удалось изменить показатели Card Transaction Qualifiers (CTQ), отвечающие за установку лимитов бесконтактных транзакций. В ходе эксперимента они успешно провели транзакцию на сумму 1 тыс. фунтов стерлингов с заблокированного iPhone. Атака успешно сработала на iPhone 7 и iPhone 12.

Инциденты

Группа киберпреступников взломала сайт Bitcoin.org и заменила отдельные страницы на мошеннические версии.

Одно из сообщений гласило, что

«Благотворительный фонд Bitcoin Foundation решил поощрить сообщество. Мы хотим поддержать наших пользователей, которые помогали нам на протяжении всех этих лет. Отправьте определённое количество биткоинов на этот адрес, и вам вернётся удвоенная сумма».

Чтобы создать ажиотаж, хакеры сообщили, что предложение действительно лишь для первых 10 тыс. приславших переводы.

Латиноамериканское и испанское подразделение компании Covisian пострадало от атаки вымогателя Conti, которая вывела из строя большую часть его IT-систем и заблокировала работу колл-центров, обслуживающих испаноговорящих клиентов.

Среди пострадавших оказались Vodafone Spain, интернет-провайдер MasMovil, мадридская компания водоснабжения, телестудии и множество частных компаний.

Согласно разосланному клиентам письму, специалисты GSS отключили все внутренние системы и в качестве замены стали использовать системы Google. В компании сообщили, что ни одно приложение не будет работать, пока инцидент не будет решен.

Кибератака вымогателя на калифорнийскую сеть медучреждений United Health Centers привела к сбоям в работе всех ее центров и утечке данных пациентов.

В результате инцидента UHC пришлось отключить всю свою сеть и IT-системы, чтобы заняться восстановлением файлов из резервных копий.

Группировка Vice Society опубликовала файлы, предположительно похищенные в ходе атаки на United Health Centers. В них содержится чувствительная информация, в том числе о пациентах-льготниках, финансовые документы, результаты анализов и осмотров.

Представители United Health Centers никак не прокомментировали данную информацию.

Вредоносное ПО

Новая версия шпионского ПО FinSpy заменяет загрузчик Windows UEFI для заражения компьютерных систем. Данный метод позволяет злоумышленникам установить буткит и обойти проверку безопасности прошивки.

Вредоносы довольно редко заражают UEFI в связи с высокой технической сложностью этой процедуры. В случае с FinSpy была заражена не сама прошивка UEFI, а код следующего этапа загрузки. Это сделало атаку особенно скрытной, поскольку вредоносный модуль был установлен на отдельном разделе и мог контролировать процесс загрузки зараженного устройства.

Шпионское ПО оснащено четырьмя различными уровнями обфускации в дополнение к вектору буткита UEFI.

В отличие от предыдущих версий FinSpy, содержащих троян сразу в зараженном приложении, новые образцы теперь защищены двумя компонентами: непостоянным пре-валидатором и пост-валидатором.

Первый компонент выполняет несколько проверок безопасности с целью убедиться, что атакованное устройство не принадлежит исследователю в области кибербезопасности. После прохождения проверки сервер предоставляет пост-валидаторный компонент. Затем сервер разворачивает полноценное троянское ПО.

23-24 сентября выступили на форуме «Стратегия розничного бизнеса 2022»

В ходе форума ключевые игроки банковской отрасли приняли участие в центральной дискуссии «Будущее розничного банковского бизнеса».

В рамках дискуссии спикеры подняли важные для всего банковского сектора темы:

• какие ключевые цели в стратегии развития ставят банки;
• за счет чего повышать маржинальность и доходность бизнеса;
• кризис дефолтов в рознице — позади или впереди;
• как меняется привлекательность кредитных продуктов на фоне изменения ключевой ставки;
• как трансформировать бизнес-модели для достижения эффективного результата;
• за счет чего можно победить в конкурентной борьбе в 2022 г.;
• что станет якорным продуктом в 2022 г.;
• насколько жизнеспособна классическая форма обслуживания клиентов и куда нас приведёт цифровизация;
• eCom-, Retail- и IT-гиганты — новая старая угроза банкам.

В нашем докладе рассказали о цифровых атаках на клиентов банка, о продукте Антифрод и о том, как превратить риски для репутации в конкурентные преимущества для  удержания клиентов и развития розничного бизнеса.

Скачать презентацию.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная фишинговая кампания против сотрудников госорганов России и соседних государств.

Как действуют мошенники

1. Цель кампании — сбор учётных записей электронной почты чиновников.
2. Для этого мошенники создали фишинговые страницы, имитирующие страницы входа в электронную почту.
3. Фишинговые домены начинались со слова mail, а в качестве имени хоста всегда использовался настоящий домен атакуемой правительственной организации, например, mail.gov.az в качестве почты правительства Азербайджана.
4. Несколько страниц представляли собой поддельные страницы авторизации в сервисе Mail.ru.
5. Страницы размещались на хостингах OVH SAS и VDSINA.
6. Самое большое число фишинговых страниц ориентировано на Беларусь, Украину и Узбекистан.
7. В списке атакованных организаций — Российская академия наук, министерства экономики, энергетики, финансов, иностранных дел, информации Республики Беларусь, Министерства иностранных дел, обороны и здравоохранения, электронный суд, Национальная школа судей Украины.

Организаторы киберкампании взламывают серверы Windows IIS,а затем предлагают пользователям загрузить вредоносное ПО, маскируя его под уведомление об истекшем сертификате.

Поддельный установщик обновлённого сертификата загружает и запускает на компьютере жертвы подписанное сертификатом Digicert вредоносное ПО TVRAT (он же TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT). TVRAT известен с 2013 года. Его функция — предоставление удалённого доступа к заражённым системам.

Для этого после запуска TVRAT устанавливает и запускает TeamViewer, а затем связывается с управляющим сервером и сообщает, что установка прошла успешно и к машине можно получить удалённый доступ.

Пока неизвестно, как именно злоумышленники компрометируют серверы Windows IIS, и с какой целью делают это.

Атаки и уязвимости

В Microsoft Exchange обнаружена уязвимость, через которую можно собирать учётные данные от домена и приложений Windows.

Поиск Autodiscover-сервера при настройке учётной записи в MS Outlook.

Источник проблемы — в некорректной работе протокола Microsoft Autodiscover. С помощью этой функции почтовые клиенты автоматически обнаруживают почтовые серверы, подключаются к ним с учётными данными пользователя и получают соответствующие настройки.

Для получения автоматических настроек почтовые клиенты проверяют связь с рядом заранее определённых URL-адресов, которые являются производными от адреса электронной почты, настроенного в клиенте. Например, для почтового адреса amit@example.com клиент Exchange пытается использовать следующие адреса:

• https://autodiscover.example.com/autodiscover/autodiscover.xml
• http://autodiscover.example.com/autodiscover/autodiscover.xml
• https://example.com/autodiscover/autodiscover.xml
• http://example.com/autodiscover/autodiscover.xml

Клиент перебирает URL-адреса до тех пор, пока не будет успешно аутентифицирован на сервере Microsoft Exchange и не получит информацию о конфигурации. Если же эти URL не отвечают, включается механизм «отката», смысл которого в том, что клиент пытается получить доступ к ссылке вида
http://Autodiscover.com/Autodiscover/Autodiscover.xml.

Это значит, что владелец Autodiscover.com будет получать все запросы, которые не смогли достичь оригинального домена.

Зарегистрировав несколько доменов с именами вида:

• Autodiscover.com.br (Бразилия),
• Autodiscover.com.cn (Китай),
• Autodiscover.com.co (Колумбия),
• Autodiscover.es (Испания),
• Autodiscover.fr (Франция),
• Autodiscover.in (Индия),
• Autodiscover.it (Италия),
• Autodiscover.sg (Сингапур),
• Autodiscover.uk (Великобритания),
• Autodiscover.xyz,
• Autodiscover.online,

эксперты перенаправили их на свой Exchange-сервер с ловушкой и за период с 16 апреля по 25 августа 2021 года получили более 370 тысяч учётных данных Windows-доменов, а также более 96 тыс. уникальных имён логинов и паролей из Outlook и мобильных емейл-клиентов.

В MacOS Finder обнаружена уязвимость нулевого дня, которая позволяет злоумышленнику запускать команды на компьютерах Mac с любой версией macOS вплоть до последней версии Big Sur.

Проблема связана с тем, как macOS обрабатывает файлы .inetloc (Internet location files). Эти файлы — общесистемные закладки, которые можно использовать для открытия сетевых различных ресурсов (news:, ftp://, afp:) и локальных файлов (file://). Открытие этих файлов приводит к тому, что ОС запускает любые команды, встроенные злоумышленником.

Такие файлы могут быть встроены в электронные письма, и если пользователь кликает на них, будут выполнять встроенные команды, без отображения подсказки или предупреждения.

В VMware vCenter Server обнаружена уязвимость, которая позволяет загрузить на сервер произвольный файл.

Проблема зарегистрирована под идентификатором CVE-2021-22005. С её помощью злоумышленник с сетевым доступом к порту 443 сервера может загрузить и выполнить вредоносный код. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS. Она присутствует в vCenter Server веток 6.7 (виртуальные модули на базе Linux) и 7.0, а также для Cloud Foundation 3.x и 4.x.

В Apache OpenOffice выявлена уязвимость, позволяющая удалённо выполнить вредоносный код в обход системных средств защиты.

Демонстрация уязвимости.

Получившая идентификатор CVE-2021-33035 уязвимость связана с ошибкой переполнения буфера, которая может возникнуть при обработке файлов в формате .dbf. Используя этот недочёт, эксперт добился отказа приложения OpenOffice Calc, а затем обнаружил, что эксплойт также позволяет системы защиты Windows DEP и ASLR и выполнить любую команду в системе.

Специальный макияж, нанесённый на лоб, щёки и нос, может обмануть системы распознавания лиц.

Такой макияж можно использовать в качестве так называемой состязательной атаки — метода, который изменяет входные данные и обманывает алгоритмы машинного обучения, чтобы они не смогли распознавать объекты на изображениях.

В эксперименте, проведённом с участием десяти мужчин и десяти женщин в возрасте от 20 до 28 лет, камеры распознавания лиц смогли правильно идентифицировать участников с «состязательным макияжем» только в 1,22% случаев.

Инциденты

В открытом доступе обнаружены личные данные более 106 млн международных путешественников, посещавших Таиланд за последние 10 лет.

Публичная база данных Elasticsearch содержит полные имена посетителей страны, номера паспортов, даты прибытия, типы виз, статус проживания и многое другое.

Боб Дьяченко, специалист по кибербезопасности Comparitech, обнаружил базу данных 22 августа и немедленно уведомил о находке власти Таиланда. В Таиланде инцидент признали и на следующий день приняли меры по обеспечению безопасности данных.

Эксперты предполагают, что в ходе инцидента оказалась раскрыта информация каждого иностранца, побывавшего в Таиланде за последние 10 лет. Так, обнаруживший утечку эксперт подтвердил, что база данных содержит его собственное имя и записи о посещении Таиланда.

В Китае арестованы 469 преступников, притворявшихся девушками, чтобы жертвы-мужчины тратили на них деньги в онлайн-играх.

JX Online 3 — одна из игр, в которых действовали аферисты.

Мошенники заключали соглашения с издательскими лейблами, после чего, притворяясь девушками, заманивали игроков мужского пола в различные игровые проекты и заставляли приобретать для них за реальные деньги внутриигровые предметы.

Чтобы повысить уровень доверия, замешанные в схеме компании заставляли своих сотрудниц женского пола разговаривать с жертвами в аудио- и видеочатах.

Когда жертвы совершали транзакции в нужных играх , злоумышленники получали процент за привлечённых платёжеспособных пользователей.

Американский фермерский кооператив NEW Cooperative стал жертвой шифровальщика BlackMatter.

Хакеры потребовали 5,9 млн долларов США за расшифровку и предупредили, что сумма увеличится до 11,8 млн долларов США, если выкуп не будет выплачен в течение пяти дней. В качестве дополнительного давления на жертву в случае неуплаты злоумышленники угрожают обнародовать украденные у пострадавших данные объёмом более 1000 Гб.

Злоумышленники утверждают, что похитили у NEW Cooperative исходный код проекта soilmap.com, результаты исследований и разработок, конфиденциальную информацию о сотрудниках, финансовые документы и базу данных менеджера паролей KeePass.

Примечательно, что пострадавшие поинтересовались у хакеров, почему они вообще подверглись атаке, ведь NEW Cooperative считается частью критически важной инфраструктуры, и атака может привести к перебоям в поставках зерна, свинины и курицы.

Хакеры ответили: «Никто не даст вам дешифратор бесплатно, ищите деньги».

В общий доступ попали персональные данные участников виртуальных мероприятий, организованных через платформу EventBuilder.

Из-за некорректной конфигурации EventBuilder оказались раскрыты сотни тысяч файлов CSV и JSON с личной информацией участников, зарегистрировавшихся через Microsoft Teams. Информация включала полные имена, адреса электронной почты, названия компаний и должность пользователя, номера телефонов.

Раскрытые данные хранились в Microsoft Azure Blob Storage. Хранилище предназначалось для размещения записанных сеансов и предоставления доступа к ним по ссылке, и только эти данные должны были быть общедоступными. Однако по ошибке администраторы вебинаров включили информацию о зарегистрированных пользователях в самый большой двоичный объект и сделали конфиденциальные данные доступные любому, у кого есть нужная ссылка.