Обзор новостей информационной безопасности с 9 по 15 августа 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В кампании сложных целевых атак на российские ИТ-компании и государственные организации, получившей название EastWind, блог-платформа «Живой Журнал» используется в качестве командного сервера.

Схема действий преступников

1. Злоумышленники рассылали целям письма с RAR-архивами во вложении.

2. Внутри этих архивов находились вредоносные ярлыки, замаскированные под документы.

3. При нажатии на ярлыки использовалась классическая техника DLL sideloading, и начиналась установка трояна, взаимодействующего с атакующими через Dropbox.

4. После проникновения в сеть организации хакеры запускали на зараженных машинах малварь, предназначенную для кибершпионажа.

5. Одним из вредоносов оказалась обновленная версия бэкдора CloudSorcerer.

6. Вскоре после публикации об этом бэкдоре злоумышленники усовершенствовали его, добавив в него возможность использования профилей пользователей «Живого Журнала» и сайта вопросов и ответов Quora в качестве командного сервера, чтобы тщательнее маскировать активность вредоноса (ранее для этих целей использовался GitHub).

7. Помимо CloudSorcerer, на компьютеры жертв также загружались вредоносные инструменты, используемые китайскими хак-группами APT27 и APT31. Эта малварь позволяет красть файлы, наблюдать за действиями на экране и перехватывать нажатия клавиш на заражённых устройствах.

Новая фишинговая кампания использует Google Рисунки для обхода систем защиты и обмана пользователей.

Схема кампании

1. Атака начинается с фишингового письма, которое направляет получателей к изображению, якобы представляющему ссылку для проверки учетной записи Amazon.

2. Изображение размещено на Google Рисунках (Google Drawings), что помогает избежать обнаружения.

3. Использование легитимных сервисов предоставляет злоумышленникам очевидные преимущества: они не только экономят на стоимости, но и могут общаться внутри сетей, оставаясь незамеченными для средств безопасности и брандмауэров. Сервис Google Рисунки привлекателен на начальном этапе атаки тем, что позволяет включать ссылки в графические изображения. Пользователь даже может не заметит ссылку, особенно если ощущает срочность угрозы для своей учетной записи Amazon.

4. Пользователи, которые кликают на ссылку для проверки учетной записи, попадают на поддельную страницу входа Amazon.

5. Адрес страницы последовательно создается с использованием двух сокращенных URL-адресов — через WhatsApp («l.wl[.]co»), а затем qrco[.]de — для дополнительной запутанности и обмана сканеров URL.

5. Когда жертва вводит свои учетные данные на поддельной странице входа, последовательно отображаются четыре разные страницы для поэтапного сбора дальнейшей информации. Данные жертвы собираются по мере заполнения каждого из четырех шагов и отправляются злоумышленнику. Даже если жертва передумает или остановится в процессе заполнения данных, киберпреступник все равно получит информацию с каждого уже завершенного шага.

6. Поддельная страница предназначена для сбора учетных данных, личной информации и данных кредитных карт. После кражи данных жертвы перенаправляются на настоящую страницу входа Amazon.

7. Страница становится недоступной с того же IP-адреса после того, как учетные данные были подтверждены.

Мошенники начали тестировать новую, очень сложную и убедительную для жертв схему с использованием портала «Госуслуги» и приложения для электронной подписи «Госключ».

Как действуют преступники

1. В качестве жертв злоумышленники выбирают людей пенсионного и среднего возраста, полагаясь на их доверчивость и исполнительность.

2. Аферисты получают доступ к личному кабинету жертвы на «Госуслугах», а затем загружают поддельную нотариальную доверенность на распоряжение всеми счетами человека в специальный раздел «Госуслуг» для подписания документов в «Госключе».

3. Жертве приходит уведомление о том, что нужно подписать документ.

4. Жертве звонит якобы сотрудник органов, который убеждает, что все счета скомпрометированы, поэтому надо срочно подписать доверенность, чтобы он смог спасти деньги.

5. Перепуганная жертва торопится сделать, как рекомендует «сотрудник органов», запуская вторую часть схемы.

6. Жертве снова звонит сотрудник, но уже «настоящий», и сообщает, что человек стал жертвой мошенников. И они после подписания доверенности получили доступ ко всем счетам, поэтому средства с них нужно незамедлительно перевести на безопасный счёт.

7. Манипуляция тем, что доверенность подписана официальным электронным инструментом и теперь даст возможность её обладателям ограбить жертву, звучит очень убедительно и устрашающе. Граждане в массе плохо знакомы с правилами оформления доверенностей и это повышает риск того, что мошенники добьются своей цели.

Инциденты

Злоумышленники атаковали протокол блокчейн-инфраструктуры Nexera и похитили 1,8 млн долларов США.

В результате атаки контракт токена NXRA был приостановлен, а торговля на децентрализованных биржах прекратилась. Nexera активно взаимодействует с централизованными биржами с целью приостановить торговлю на их платформах. К настоящему моменту биржи KuCoin и MEXC уже прекратили приём депозитов и вывод средств.

Атака привела к падение курса токена NXRA: по данным CoinMarketCap, стоимость NXRA упала на 40%,

Nexera сообщила, что обнаружила уязвимость и уже ведёт переговоры с правоохранительными органами для расследования инцидента.

Американская ипотечная компания LoanDepot сообщила, что расходы, связанные с январской вымогательской кибератакой, достигли почти 27 миллионов долларов США.

В начале 2024 года LoanDepot подверглась атаке программы-вымогателя, в результате которой были зашифрованы данные и отключены некоторые системы. Под угрозой оказалась конфиденциальная информация более 16 миллионов клиентов, включая имена, адреса, номера телефонов и даже номера социального страхования.

Сумма в 26,9 миллионов долларов США включает расходы на расследование инцидента, уведомление пострадавших клиентов, предоставление услуг по защите личных данных, а также юридические издержки и урегулирование судебных исков.

LoanDepot также сообщила, что 25 миллионов долларов из общей суммы расходов были зарезервированы для урегулирования коллективного иска, связанного с киберинцидентом.

Вымогатели RansomEXX атаковали индийского платёжного провайдера C-Edge Technologies. Это парализовало работу многих банков Индии.

C-Edge Technologies оказалась уязвимой из-за неправильно настроенного сервера Jenkins, который стал начальной точкой атаки. В результате злоумышленники получили несанкционированный доступ к системам компании и внедрили программу-вымогатель.

Злоумышленники воспользовались уязвимостью Jenkins CVE-2024-23897 (оценка CVSS: 9.8), которая дает возможность атакующему, не имея аутентификации, читать произвольные файлы в файловой системе контроллера Jenkins и выполнять вредоносный код.

На хакерском форуме опубликованы почти 2,7 млрд записей с личной информацией жителей США.

Предполагается, что все эти данные были получены от National Public Data, компании, которая собирает персональные данные, а затем продает доступ к ним для проведения биографических проверок, сбора информации о судимостях и работы частных детективов. Считается, что National Public Data собирает информацию из открытых источников, чтобы формировать индивидуальные профили на жителей США и других стран.

Обнародованный дамп стоит из двух текстовых файлов общим объемом 277 ГБ, в которых содержится почти 2,7 млрд записей в открытом виде.

Хотя исследователи не могут подтвердить, что эта утечка содержит информацию о каждом жителе США, многие люди подтвердили изданию, что в дампе действительно можно найти реальную информацию как о них самих, так и членах их семей (включая уже умерших).

Мошенники обманули певицу Ларису Долину на 130 миллионов рублей.

В мае Лариса Долина выставила на продажу свою пятикомнатную квартиру в в Москве за 130 миллионов рублей. Принять это решение её убедили телефонные мошенники, заверив, что сделка будет фиктивной и квартира останется в её собственности. Однако вскоре нашлись покупатели, и, поддавшись на уговоры о срочности, певица предоставила им скидку и перевела вырученные деньги на «безопасный счёт».

Сообщается, что Долина также перевела мошенникам около 68 миллионов рублей из своих личных сбережений. Сделка по продаже квартиры была оформлена через риелторскую компанию «Львов Эстейт». Риелторы, покупатели и сама артистка не знали о мошеннической схеме.

Обман раскрылся, когда новые владельцы квартиры потребовали, чтобы Долина освободила жильё. Утром 13 августа пятеро неизвестных пришли в жилой комплекс, где находится квартира, и заявили, что они являются новыми владельцами, и что Долина должна была покинуть квартиру месяц назад.

На странице певицы в Instagram (принадлежит компании Meta, признанной экстремистской и запрещенной в России) появилось ложное сообщение, в котором утверждалось, что она якобы продала свою квартиру за 112 млн руб. и заложила дачу за 50 млн руб., чтобы перечислить средства в поддержку украинского батальона. В публикации также говорилось, что если данное сообщение появилось на её странице, значит, певица находится за пределами России. В настоящее время ложные посты удалены.

Крупный химический концерн из Люксембурга Orion SA потерял 60 млн долларов США в результате BEC-атаки.

Инцидент произошел 10 августа, когда один из сотрудников компании стал жертвой мошеннической схемы, в результате которой были произведены несколько переводов денежных средств на счета, принадлежащие неизвестным третьим лицам. Системы компании не были взломаны, и данные не были скомпрометированы.

Неизвестные взломали внутренние коммуникации предвыборного штаба Дональда Трампа.

Среди похищенных сведений оказалось 271-страничное досье на сенатора Джеймса Дэвида Вэнса — кандидата на роль вице-президента. Несмотря на то, что полное содержание файла пока не обнародовано, несколько источников, знакомых с документом, подтвердили его подлинность.

Представитель кампании, Стивен Чунг заявил, что документы были «незаконно получены враждебными для Соединенных Штатов иностранными инстанциями» с целью вмешательства в выборы 2024 года.

Эксперты отмечают ключевые различия между нынешней атакой и взломом электронной почты Хиллари Клинтон в 2016 году. По их мнению, если восемь лет назад за кибератаками стояли российские группы, то теперь, вероятнее всего, следы ведут к иранским киберпреступникам.

Хакеры провели BEC-атаку и похитили платёж в 5,25 млн евро за трансфер румынского футболиста в катарский клуб «Аль-Гарафа».

Катарские представители сообщили, что стали жертвами хакеров, которые, взломали электронную почту и перенаправили платёж на неправильный счет. В результате деньги, предназначенные для трансфера Комана, оказались в другой стране.

В связи с нарушением сроков платежа, который должен быть выполнен до 31 июля, румынский клуб ФКСБ теперь рассчитывает на компенсацию в размере 6,25 миллиона евро, включая штраф за задержку.

Обзор новостей информационной безопасности со 2 по 8 августа 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакерская группа Crazy Evil распространяют вредоносное ПО Atomic Stealer через фальшивые рекламные кампании в Google Ads, выдавая его за популярное macOS-приложение для записи экрана Loom.

Схема кампании

1. Киберпреступники создают поддельные сайты, имитирующие настоящий сайт Loom.

2. Пользователи, переходящие по рекламе, попадают на эти фальшивые ресурсы и загружают обновлённую версию Atomic Stealer.

3. Это ПО способно похищать данные из браузеров, учётные записи, пароли, а также опустошать криптовалютные кошельки.

4. Новая версия Atomic Stealer имеет уникальные функции, включая замену легального приложения Ledger Live на его вредоносную копию. Ledger Live предоставляет доступ к криптовалютам, NFT и DeFi, что делает его привлекательной целью для злоумышленников. Исследователи также обнаружили поддельные версии других популярных приложений, таких как Figma и TunnelBlick.

5. Хакеры используют тактику клонирования для обхода защитных механизмов Apple App Store, которые предотвращают загрузку вредоносных приложений.

Китайское правительство проводит в социальных сетях кампанию, направленную на подрыв доверия к президенту Филиппин Фердинанду Маркосу младшему.

22 июля этого года, за несколько часов до выступления Маркоса с ежегодным обращением, в сети появилось видео, на котором он якобы принимает запрещённые вещества. Видео было сделано с использованием технологии deepfake и быстро разоблачено филиппинскими властями. Тем не менее, ролик стремительно распространялся в соцсетях, подогрев интерес недоброжелателей Маркоса.

Распространением видео занималась сеть поддельных аккаунтов в соцсетях и YouTube. Эксперты считают, что эта кампания является частью более широкой стратегии Китая по дестабилизации филиппинского правительства.

Распространение ролика началось с видеоблогера Клэр Контрерас, которая известна своими критическими высказываниями в адрес Маркоса и поддержкой Родриго Дутерте, бывшего президента Филиппин. Контрерас опубликовала видео на своей странице в соцсети и позже показала его на митинге в Лос-Анджелесе. Видео быстро стало недоступным, но его копии продолжали распространяться.

Расследование выявило 80 поддельных аккаунтов, связанных с китайской сетью Spamouflage, которые активно распространяли данный deepfake. Аналогичная активность наблюдалась и на YouTube, где 11 видео были загружены, но позже удалены.

Хакерская группа Bloody Wolf распространяет вредоносное ПО STRRAT среди организаций Казахстана.

Схема кампании

1. Атаки начинаются с фишинговых писем, которые выглядят как сообщения от Министерства финансов Республики Казахстан и других государственных ведомств.

2. Эти письма содержат PDF-файлы, маскирующиеся под уведомления о несоответствии работы организации-жертвы различным требованиям.

3. Для придания атакам легитимности, одна из ссылок ведёт на веб-страницу, связанную с правительственным сайтом, призывающую установить Java для обеспечения работы портала. Однако вредоносное ПО STRRAT размещено на веб-сайте, лишь имитирующем официальный сайт правительства Казахстана (egov-kz[.]online).

4. Вредонос закрепляется в системе Windows с помощью изменения реестра и запускает JAR-файл каждые 30 минут.

5. Копия этого файла также дублируется в папку автозагрузки Windows, чтобы обеспечивать автоматический запуск при перезагрузке системы.

6. После установки STRRAT соединяется с сервером Pastebin для кражи конфиденциальной информации с заражённого устройства. Среди похищенных данных — информация об операционной системе, установленном антивирусном ПО, а также учётные данные из Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook и Thunderbird.

7. Вредоносное ПО также может получать дополнительные команды с сервера для загрузки и выполнения новых вредоносных файлов, записи нажатий клавиш, выполнения команд через cmd.exe или PowerShell, перезапуска или выключения системы, установки прокси и самоуничтожения.

8. Использование JAR-файлов позволяет хакерам обходить многие защитные механизмы, а применение легитимных веб-сервисов, таких как Pastebin, для связи с заражённой системой помогает избегать обнаружения сетевыми решениями безопасности

Инциденты

На сайте одной из российских энергетических компаний обнаружено вредоносное ПО, которое аналитики назвали CMoon.

Зловред мог выгружать с заражённого устройства пользователя конфиденциальные и платёжные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на подрядчиков и партнёров организации.

Злоумышленники подменили на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал в себе исходный документ, а также один и тот же исполняемый файл.

Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учётных данных. Кроме того, зловред мог делать скриншоты экрана.

Из веб-браузеров могли собираться файлы, содержащие сохранённые пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах.

Атака вымогательской группировки Black Basta на американскую технологическую компанию Keytronic привела к потерям свыше 17 млн долларов США.

Атака была обнаружена 6 мая, когда сбои на объектах в Мексике и США нарушили работу бизнес-приложений компании. В результате инцидента Keytronic понесла дополнительные расходы в размере примерно 2,3 млн долларов США и потеряла около 15 млн долларов США дохода в четвёртом квартале. Часть расходов была компенсирована страховым возмещением в размере 0,7 млн долларов США.

Сразу после атаки Keytronic приостановила работу своих предприятий в США и Мексике на две недели. Компания подтвердила, что во время взлома были похищены персональные данные из её систем.

Ответственность за нападение взяла на себя вымогательская группировка Black Basta, опубликовавшая украденные документы компании. Среди похищенной информации оказались личные данные сотрудников, финансовые и инженерные документы, а также корпоративные файлы.

Неизвестные хакеры взломали платформу Mobile Guardian и дистанционно стёрли 13 000 подключённых к платформе учебных устройств.

Mobile Guardian — кроссплатформенное решение для школ с полным набором функций для управления устройствами, родительского мониторинга и контроля, веб-фильтрации, управления классом и коммуникаций.

Работа сервиса была приостановлена, поэтому пока пользователи не могут войти в Mobile Guardian, а учащиеся ограничены в доступе к своим устройствам.

Хотя в Mobile Guardian утверждают, что инцидент затронул лишь «небольшой процент устройств», Министерство образования Сингапура заявило, что злоумышленники использовали полученный доступ, чтобы полностью обнулить iPad и Chromebook 13 000 учащихся в стране. Точное количество затронутых устройств пока неизвестно.

Власти Сингапура приняли решение удалить приложение со всех учебных устройств в стране.

Хакеры атаковали центральную систему данных выставочного центра Гран-Пале в Париже и ещё 40 музеев сети Réunion des Musées Nationaux по всей Франции.

Среди пострадавших Гран-Пале и Шато де Версаль, где сейчас проходят олимпийские мероприятия. В Гран-Пале проводятся соревнования по фехтованию и тхэквондо, а в Версале — состязания по современному пятиборью и конному спорту.

Злоумышленники требуют выкуп в течение 48 часов, угрожая опубликовать зашифрованные финансовые данные, полученные из сети музеев.

Парижские власти заверили, что атака не повлияла на проведение олимпийских мероприятий.

6 августа белые хакеры вывели с платформы Ronin Bridge токены на сумму 12 млн долларов США.

Руководство Ronin Network сообщило, что ранним утром они были уведомлены о возможной уязвимости в системе. После проверки сообщений мост был приостановлен примерно через 40 минут после обнаружения первых признаков подозрительной активности. В процессе обновления моста возникла ошибка, которая привела к неверной интерпретации требуемого порога голосов операторов моста, необходимых для вывода средств.

В результате инцидента с платформы было выведено 4 000 ETH (около 9,8 млн долларов США), и токены USDC на сумму 2 млн долларов США.

После переговоров с разработчиками Ronin Network хакеры вернули полную сумму украденных средств и получат щедрое вознаграждение в размере 500 000 долларов США за свой «принудительный аудит».

Система экстренных вызовов 911 Центрального Техаса 4 августа в течение нескольких часов была парализована DDoS-атакой.

Хакеры завалили центры вызовов фальшивыми звонками, вызвав перебои в работе системы. Атака повлияла на работу службы вызовов в 7 из 10 округов, входящих в юрисдикцию CAPCOG, затронув 21 правоохранительное и экстренное агентство Центрального Техаса, включая полицейскую службу, пожарную службу, скорую помощь, а также районные офисы шерифа.

На время перебоев CAPCOG предоставила гражданам альтернативный телефон для связи с экстренной службой в случае возникновения опасных для жизни чрезвычайных ситуаций.

Около 13:00 центр вызовов 911 уведомил CAPCOG о начале атаки. Эксперты быстро выяснили, что звонки поступают с номеров AT&T, и в сотрудничестве с провайдером смогли идентифицировать и отключить номера. Восстановить нормальную работу системы удалось к 20:00.

Сингапурская торговая компания лишилась 42 млн долларов США в результате фишинговой атаки с использованием компрометации деловой переписки (Business Email Compromise, BEC).

15 июля фирма получила электронное письмо от «поставщика» с просьбой отправить оплату на новый банковский счет, расположенный в Восточном Тиморе. Письмо пришло с мошеннического аккаунта, адрес которого был изменен по сравнению с официальным адресом поставщика. Не подозревая о мошенничестве, компания перевела 42,3 млн долларов США на поддельный счет 19 июля. Только через 4 дня, когда настоящий поставщик сообщил, что не получил оплату, стало ясно, что произошла кража.

24 июля сингапурская полиция связалась с властями Восточного Тимора, которые отследили и заморозили 39 млн долларов США на банковском счете мошенника, а в период с 24 по 26 июля арестовали 7 подозреваемых и изъяли ещё 2 млн долларов США, предположительно связанных с кражей. Предпринимаются шаги для возврата украденных средств жертве в Сингапуре.

Масштабная утечка данных в компании Rabbit в мае 2024 года произошла в результате действий сотрудника, который передал конфиденциальные API-ключи группе хактивистов. Хактивисты восползовались этими ключами, чтобы получить доступ к внутреннему исходному коду Rabbit.

После обнаружения утечки сотрудника немедленно уволили. Rabbit оперативно отозвала и обновила все скомпрометированные ключи, а также перенесла секретные данные в более защищенное хранилище AWS Secrets Manager.

Компания подчёркивает, что утечка произошла не из-за взлома их систем безопасности, а вследствие незаконных действий бывшего сотрудника. В ответ на инцидент Rabbit инициировала масштабную проверку своих систем безопасности.

Компания Jerico Pictures Inc., владелец бренда National Public Data, стала жертвой утечки данных из-за которой почти 3 миллиарда конфиденциальных записей жителей США оказалась в руках киберпреступников.

8 апреля группа киберпреступников под названием USDoD разместила на форуме в даркнете базу данных под названием «National Public Data», заявляя, что в ней содержится 2,9 миллиарда строчек конфиденциальных данных. Злоумышленники выставили эту базу на продажу за 3,5 миллиона долларов США.

Пока неизвестно, когда и как именно произошла утечка из National Public Data. Если факт утечки подтвердится, это будет одна из крупнейших утечек данных в истории.

Для своей деятельности National Public Data собирает личные данные людей из непубличных источников, что означает, что пользователи не предоставляли компании свои данные напрямую и добровольно. Среди утекшей информации: номера социального страхования, адреса, полные имена, информация о родственниках и многое другое. National Public Data пока не давала комментариев в связи с инцидентом.

Обзор новостей информационной безопасности с 26 июля по 1 августа 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая фишинговая кампания OneDrive Pastejacking, направленная на пользователей Microsoft OneDrive.

Как действуют злоумышленники

1. Атака начинается с электронного письма с вложенным HTML-файлом. При открытии вложения показывается изображение, имитирующее страницу OneDrive, с сообщением об ошибке: «Не удалось подключиться к облачному сервису OneDrive. Чтобы исправить ошибку, необходимо вручную обновить кэш DNS».

2. Сообщение предлагает два варианта действий: «Как исправить» и «Подробности».

3. Нажатие на кнопку «Подробности» приводит пользователя на легитимную страницу Microsoft Learn по устранению неполадок DNS.

4. Нажатие на «Как исправить» инициирует выполнение ряда шагов, включая открытие терминала PowerShell и вставку команды, закодированной в Base64, якобы для устранения ошибки.

5. Команда запускает «ipconfig /flushdns», создаёт папку с названием «downloads» на диске C:, загружает туда архивный файл, распаковывает его содержимое и выполняет скрипт с помощью «AutoIt3.exe».

Кампания нацелена на пользователей в США, Южной Корее, Германии, Индии, Ирландии, Италии, Норвегии и Великобритании.

Лаборатория Касперского предупреждает о новой элегантной схеме криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой.

Схема кампании

1. В Telegram потенциальной жертвы приходит сообщение на криптотематику, пересланное от другого пользователя.

2. Текст в сообщении для ухода от детектирования «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них.

3. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв.

4. Настоящая приманка скрывалась за второй ссылкой. После ввода адреса вместо титульной страницы сайта отображался листинг корневой директории с заманчивыми именами файлов. Выглядело так, как будто сервер неправильно настроили или случайно удалили с него домашнюю страницу — и он выдавал список всех файлов в корневом каталоге сайта, якобы сливая всю информацию ничего не подозревающего владельца домена. Можно было кликнуть на любой файл в списке и просмотреть его содержимое прямо в браузере, ведь все они хранились в простых и удобных форматах — TXT, PDF, PNG или JPG.

5. В текстовых файлах обнаружились реквизиты криптокошельков, включая сид-фразы, в графических — скриншоты, подтверждающие успешный перевод крупной суммы в крипте, а также демонстрирующие большие остатки в кошельках и роскошный образ жизни владельца.

6. На одном из скриншотов фоном висит открытая вкладка YouTube с инструкцией по покупке «Феррари» и яхт за биткоины.

7. Особенность схемы — реквизиты криптокошельков настоящие, и можно действительно получить к ним доступ и увидеть, например, историю транзакций кошелька Exodus или активы в других кошельках — почти 150 тыс. долларов США по версии DeBank.

8. Деньги из кошелька вывести не получится, потому что они находятся в стейкинге (грубо говоря — заморожены во вкладе). Тем не менее это сильно снижает скепсис посетителя: кажется, это не спам и не фишинг, а настоящая утечка чьей-то информации, допущенная по небрежности.

9. Через какое-то время на сайте появляется скриншот с Telegram-чатом, в котором якобы успешно проводится очередная выплата в токенах Monero. На том же скриншоте заметно некое приложение кошелька Electrum-XMR с логом транзакций и общим, очень немалым, остатком на счету: почти 6000 XMR — токенов Monero (около миллиона долларов США).

10. Мошенники различными способами подводят жертву, которая практически готова завладеть чужими деньгами из «утёкших» кошельков к установке вредоносного приложения.

11. Если скачать и установить Electrum-XMR, компьютер будет заражён вредоносным ПО Backdoor.OLE2.RA-Based.a, обеспечивающим скрытый удалённый доступ атакующих к компьютеру.

Инциденты

Компания из списка Fortune 50 заплатила вымогателям Dark Angels рекордный выкуп в размере 75 млн долларов США.

Факт выплаты рекордного выкупа подтвердили и блокчейн-аналитики из компании Chainalysis, которые сообщили об этом в соцсети Илона Маска.

Самым крупным выплаченным выкупом до этого считался платеж в размере 40 млн долларов, которые заплатил страховой гигант CNA вымогательской группировке Evil Corp.

Как сообщают эксперты Zscaler ThreatLabz, Dark Angels использует стратегию «охоты на крупную дичь» (Big Game Hunting). Её смысл в том, чтобы атаковать только небольшое количество крупных компаний в надежде на большие выплаты, а не множество мелких компаний одновременно для получения многочисленных, но небольших выкупов.

Хакеры взломали HealthEquity, провайдеров медицинских сберегательных счетов из США, и похитили данные 4,3 миллиона человек.

Хотя инцидент произошёл в марте 2024 года, факт утечки официально подтвердили лишь в конце июня. По данным HealthEquity, злоумышленники использовали скомпрометированные учётные данные партнёра компании для доступа к незащищённому хранилищу данных вне основных систем.

Среди похищенной информации оказались полные имена, домашние адреса, номера телефонов, идентификаторы работодателей и сотрудников, номера социального страхования, общая информация об иждивенцах и данные платёжных карт без номеров карт.

Пока ни одна хакерская группировка не взяла на себя ответственность за атаку, украденные данные в открытом доступе не появлялись.

Криптовалютная биржа Gemini пострадала от утечки данных, которая произошла у одного из её партнеров — неназванного ACH-провайдера (Automated Clearing House).

Gemini пострадала от утечки данных со стороны третьих лиц, после того как неавторизованный злоумышленник проник в системы неназваного поставщика Gemini (в период с 3 по 7 июня 2024 года).

Инцидент затронул банковскую информацию 15 тыс. клиентов биржи, в том числе их полное имя, номер банковского счета и номер маршрута, который Gemini использовала для ACH-переводов. Подчеркивается, что никакая другая информация не была скомпрометирована.

В настоящее время инцидент с утечкой данных локализован, и продолжается расследование случившегося с привлечением внешних ИБ-специалистов.

Злоумышленники атаковали руководителя подразделения Ferrari NV с использованием технологии дипфейк.

Сначала жертва получала сообщения в WhatsApp якобы от исполнительного директора компании Ferrari. В них «директор» писал: «Эй, слышал о крупном приобретении, которое мы планируем? Мне может понадобиться твоя помощь».

Номер телефона и фото профиля WhatsApp не совпадали с реальными данными директора. Мошенник просил жертву подписать соглашение о неразглашении, заверяя, что итальянский регулятор рынка и Миланская фондовая биржа уже проинформированы. В сообщении также подчёркивалась необходимость соблюдать максимальную секретность.

Затем злоумышленники позвонили потенциальной жертве и при помощи технологии дипфейк стали вести реалистичный разговор от лица директора. Голос, имитировавший директора, был весьма убедителен, в речи присутствовал южноитальянский акцент.

Мошенник объяснил руководителю подразделения, что звонит с другого номера из-за необходимости обсуждать конфиденциальный вопрос, связанный с возможными проблемами в Китае и необходимостью валютной хедж-транзакции.

Руководитель заподозрил подлог, заметив незначительные механические интонации в голосе. Он спросил, какое название книги директор недавно ему рекомендовал, и после этого звонок внезапно оборвался. Затем Ferrari начала внутреннее расследование.

Вымогатели Embargo атаковали город Саммервилль в штате Южная Каролина. Хакеры утверждают, что похитили более 1,7 ТБ конфиденциальной информации из местного полицейского управления.

Чиновники опубликовали заявление, в котором говорится, что атака была оперативно выявлена и сдержана, благодаря чему удалось минимизировать потенциальный ущерб.

Городские власти сообщают, что все муниципальные службы, включая полицию, пожарную службу и коммунальные службы, продолжают свою работу в обычном режиме и обеспечивают безопасность и благополучие жителей. Однако хакеры в своем блоге в даркнете заявляют обратное и угрожают опубликовать похищенные данные, если не будет выплачен выкуп до 30 июля.

Хакеры не предоставили образцов якобы украденных данных или подробностей о них. Вместо этого они сделали провокационные обвинения в адрес полиции Саммервилля, утверждая, что департамент «обеспечивает наивысший уровень обслуживания в стрельбе по чернокожим детям».

Телеграм-канал «Утечки информации» сообщает, что в свободном доступе появился частичный дамп базы данных стоматологического интернет-магазина el-dent.

Дамп содержит только данные заказов — 464748 строк, содержащих ФИО, телефоны, адреса, содержимое и стоимость заказов.

В полном дампе помимо заказов, находятся еще и данные зарегистрированных пользователей 50759 строк, содержащих: ФИО, телефоны, адреса эл. почты, пароли в открытом (Base64) виде, адреса.

Всего в полном дампе находится 76399 уникальных номеров телефонов и 59860 уникальных адресов эл. почты.

Информация в дампе датируется 27.07.2024.