Обзор новостей информационной безопасности с 1 по 7 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группировка AeroBlade атакует компании американской аэрокосмической отрасли.

Схема действий преступников

1. Атака начинается с фишинговой рассылки, распространяющей вредоносный документ Microsoft Word.

2. Открыв документ, жертва видит текст, написанный неразборчивым шрифтом, и сообщение с просьбой активировать содержимое для просмотра в MS Office.

3. Документ в формате.docx, полученный жертвой, применяет технику remote template injection (по классификации MITRE ATT&CK, код T1221), чтобы инициировать вторую стадию заражения. Эта техника позволяет злоумышленнику внедрять вредоносную программу в документ через удаленный шаблон.

4. Активация приводит к скачиванию второго этапа атаки — файла .dotm с макросами .

5. Макросы в файле .dotm cоздают реверс-шелл в системе жертвы, который подключается к управляющему серверу атакующих.

6. В системе вредонос закрепляется через Планировщик заданий, создавая задачу под названием WinUpdate2. В реультате присутствие хакеров на взломанных устройствах сохраняется и после перезагрузки системы.

Вредоносная кампания RustBucket северокорейской группировки BlueNoroff нацелена на финансовые организации и пользователей, связанных с криптовалютами.

Схема кампании

1. Вредоносный загрузчик распространялся с помощью фишинговой рассылки внутри вложенного в письма ZIP-архива и маскировался под PDF-файл с именем «Crypto-assets and their risks for financial stability» и иконкой, на которой изображен титульный лист соответствующего документа.

2. На момент обнаружения приложение имело валидную подпись, однако сейчас сертификат уже отозван.

3. Загрузчик, написанный на Swift, содержал версии для процессоров Intel и Apple Silicon, а полезная нагрузка была зашифрована с помощью XOR.

Страница фальшивого pdf-файла.

4. Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца с сервера управления и контроля (Command and Control, C2)

5. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:

• имя компьютера;
• версию операционной системы;
• часовой пояс устройства;
• дату запуска устройства;
• дату установки операционной системы;
• текущее время;
• список выполняющихся в системе процессов.

6. В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. На момент анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не удалось.

Атаки и уязвимости

Новая атака SLAM может вытащить хеш root-пароля из процессоров Arm, AMD и Intel.

SLAM представляет собой атаку переходного выполнения (transient execution), которая использует возможности памяти, позволяющие софту задействовать нетранслированные биты в 64-битных линейных адресах для хранения метаданных.

У каждого из вендоров эта функция называется по-разному: у Intel — Address Masking (LAM), у AMD — Upper Address Ignore (UAI), у Arm — Top Byte Ignore (TBI).

Вектор атаки SLAM получил своё имя от Spectre и LAM (LAM — готовящаяся к выходу функция от Intel). По словам исследователей из Systems and Network Security Group (VUSec Group), SLAM затрагивает в основном те процессоры, которые выйдут в ближайшее время.

Инциденты

Операторы вымогателя BlackCat (ALPHV) взломали поставщика бухгалтерского ПО Tipalti и похитили 256 ГБ данных.

Похищенная информация содержит данные таких клиентов компании, как Roblox и Twitch. Их хакеры планируют шантажировать отдельно. Представители Tipalti сообщили, что расследуют заявления злоумышленников.

Представитель Roblox так же сообщили, что знают о происходящем и помогают Tipalti в расследовании. При этом в Roblox подчеркнули, что с ними не связались никакие хак-группы, желающие взять на себя ответственность за этот инцидент, и о каком-либо влиянии этого возможного взлома на их системы им ничего неизвестно.

5 декабря 2023 года на сайте хак-группы появилось новое сообщение, в котором участники BlackCat заявляют, что уже начали связываться с пострадавшими клиентами Tipalti. В этом посте хакеры отдельно обращаются к представителям Roblox и пишут:

«Если с вами еще не связались, это не значит, что вас это не коснулось. Логично вымогать в первую очередь у тех, кто скорее заплатит большие суммы. Следующая партия требований будет разослана в ближайшее время».

Подразделения Nissan в Австралии и Новой Зеландии были атакованы хакерами, которые могли получить доступ к персональным данным клиентов.

Оценкой последствий кибератаки занимается глобальная группа реагирования Nissan, которая изучает масштаб инцидента и выясняет, был ли получен доступ к личной информации клиентов.

В связи с серьёзным риском компрометации данных клиентов, Nissan предупреждает о потенциальных мошеннических атаках, нацеленных на владельцев учётных записей, а также о возможности кражи аккаунтов.

Хотя функциональность сайтов не пострадала, Nissan подтверждает, что ведётся работа по восстановлению затронутых систем. Компания просит клиентов проявить терпение во время этого процесса.

Компания Hershey’s (The Hershey Company), один из крупнейших в мире производителей шоколада и кондитерских изделий, стала жертвой кибератаки.

Злоумышленники разослали сотрудникам компании фишинговые письма и добились установки вредоносного ПО на их компьютера, а затем украли личные данные 2214 человек. Среди похищенной информации — имена и фамилии сотрудников, даты рождения, адреса проживания, номера водительских прав, данные медицинской страховки. Также злоумышленники получили доступ к финансовым сведениям, включая номера банковских карт и коды безопасности.

Обнаружив взлом, компания предприняла экстренные меры для блокировки доступа хакеров. К расследованию инцидента и анализу последствий привлечены сторонние эксперты по кибербезопасности.

В официальном заявлении компании говорится:

«У нас нет оснований полагать, что украденные данные были каким-либо образом использованы/ Тем не менее, мы с пониманием относимся к беспокойству наших сотрудников и клиентов и приносим им свои искренние извинения».

Иранские хакеры Malek Team заявили о краже медицинских записей из больницы Ziv Medical Center в Израиле. По их словам, среди украденных данных находятся записи израильских военнослужащих.

Атака на больницу, расположенную в городе Сафед, недалеко от границ с Сирией и Ливаном, привела к краже 500 ГБ данных, включающих 700 тысяч документов, содержащих личную и медицинскую информацию пациентов.

Хакеры уже начали публикацию похищенных документов в своём Telegram-канале.

Около 60 кредитных союзов столкнулись с перебоями в работе из-за атаки программы-вымогателя на провайдера облачных услуг Ongoing Operations, принадлежащего технологическому поставщику кредитных союзов Trellance.

Обнаружив атаку, Ongoing Operations немедленно приняла меры, включая привлечение специалистов для определения масштабов инцидента и оповещения федеральных правоохранительных органов.

Атака также оказала серьезное влияние на других технологических поставщиков кредитных союзов, в том числе FedComp, компанию, предоставляющую услуги по обработке данных для кредитных союзов.

Американский ритейлер канцтоваров Staples отключил часть систем из-за кибератаки.

По неподтвержденной информации сотрудникам Staples запретили входить в Microsoft 365 с использованием технологии единого входа (single sign-on, SSO), а работников колл-центра отпустили домой на 2 дня.

Компания подтвердила, что была вынуждена предпринять защитные меры для уменьшения рисков кибербезопасности после того, как 27 ноября команда по кибербезопасности Staples выявила угрозу. Меры реагирования повлекли за собой нарушение бизнес-процессов, включая обработку заказов и доставку.

Магазины Staples продолжают работать, но онлайн-заказы могут обрабатываться с задержкой, поскольку соответствующие системы все еще не работают. На сайте Staples размещено уведомление с извинениями за неожиданный сбой и обещанием скорого восстановления работы.

Сообщается, что в атаке не было использовано вымогательское ПО, и файлы не были зашифрованы. Пока неизвестно, были ли украдены данные.

Обзор новостей информационной безопасности с 24 по 30 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группировка Rare Wolf использует фишинг и легитимное средство слежения Mipko Employee Monitor для атак на российские организации.

Схема действий преступников

1. Злоумышленники рассылают целям фишинговые письма, замаскированные под уведомления об оплате.

2. К каждому письму прилагается архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.

3. После открытия этого файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью атакующие собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram.

4. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.

5. Собранная информация отправляется на подконтрольный хакерам электронный адрес.

6. В скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное ПО для мониторинга действий сотрудников хакеры использовали, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

«Билайн» предупреждает о росте активности телефонных мошенников, стремящихся получить доступ к аккаунтам пользователей сотовой связи.

Схема действий преступников

1. Злоумышленники звонят потенциальным жертвам под видом представителей сотовых операторов и утверждают, что на их телефонный номер была подана заявка на смену оператора.

2. Когда жертва отвечает, что не оставляла подобных заявок, мошенники предлагают «для обеспечения безопасности номера» сменить пароль в личном кабинете.

3. Жертве приходит SMS с кодом сброса пароля с официального номера оператора, который мошенники просят продиктовать.

Таким образом, злоумышленники пытаются получить доступ к номеру жертвы, чтобы иметь возможность входа в личные кабинеты банков, Госуслуг и других сервисов.

Злоумышленники от имени службы поддержки Госуслуг сообщают о проблемах, а потом звонят жертве и выманивают одноразовые коды доступа.

Схема кампании

1. Потенциальная жертва получает по почте, СМС или в мессенджере поддельное уведомление о взломе аккаунта или его блокировке из-за подозрительной активности.

2. В сообщении указан номер телефона, в которого должны позвонить из службы поддержки; пользователь также может сам позвонить на него для ускорения процесса.

3. Во время разговора мошенники просят сообщить код 2FA, якобы для проверки доступа.

4. В некоторых случаях они могут прислать ссылку для загрузки программы, помогающей восстановить доступ. На самом деле это вредонос, который ворует данные либо открывает удаленный доступ к устройству жертвы.

5. Если жертва сообщит код или установит программу, преступники получат доступ к их учётной записи на Госуслугах.

Хакерская группа Silent Ransom Group (SRG), также известная как Luna Moth, использует метод «обратного фишинга» для распространения вредоносного ПО.

Схема кампании

1. Жертве отправляют поддельное уведомление о том, что в ее системе зафиксирована подозрительная активность, а затем присылают ссылку с дальнейшими инструкциями и предлагают позвонить по указанному в сообщении номеру самостоятельно.

2. Оператор, представляющийся сотрудником поддержки, просит пользователя установить программу для удаленного доступа, якобы чтобы поскорее решить проблему. Такие инструменты могут быть абсолютно легальными, но злоумышленники умело эксплуатируют их в своих целях.

3. Вместо традиционных веб-ссылок преступники используют телефонные номера. Сообщения, содержащие эти номера, приходят в виде некликабельных изображений, что позволяет мошенникам «обхитрить» текстовые фильтры.

4. Жертвы связываются либо с посредниками из зарубежных колл-центров, либо напрямую с группировкой, осуществляющей атаку.

5. Конечная цель обратного фишинга заключается в том, чтобы убедить жертву установить вредоносное ПО на свое устройство.

Методы обратного фишинга теперь не требуют использования специализированных троянов или бэкдоров. Вместо этого атакующие используют законные или полузаконные сервисы. После компрометации этих сервисов хакеры могут устанавливать дополнительное вредоносное ПО, скрипты и программы для мониторинга экрана.

Атаки и уязвимости

Новая атака на ChatGPT продемонстрировала, что ИИ может раскрывать личную информацию реальных людей, которая была использована для обучения языковой модели.

Обучающие данные и сгенерированное изображение.

Языковая модель, лежащая в основе ChatGPT, обучалась на огромном количестве данных, взятых из интернета.

Используя запросы к ChatGPT (gpt-3.5- turbo) стоимостью всего 200 долларов, исследователи смогли извлечь более 10 000 уникальных дословно запомненных образцов обучающих данных. Используя более серьёзные бюджеты, злоумышленники смогут извлечь гораздо больше информации.

Атака заключалась в поиске нужных ключевых слов, которые ставят чат-бота в тупик и заставляют разглашать обучающие данные. Хотя внутренние процессы таких чат-ботов вряд ли можно назвать прозрачным, ранее независимые эксперты уже обнаруживали, что определенные запросы и фразы могут привести к странным реакциям со стороны чат-бота и практически выводят его из строя.

Фрагмент диалога с ChatGPT.

Исследователи заставляли ChatGPT бесконечно повторять определенные слова, например, слово «поэма» (poem). Цель заключалась в том, чтобы заставить ИИ «отклониться» от выученной модели поведения чат-бота и «вернуться к первоначальной языковой модели». Хотя большая часть сгенерированного текста, полученного в результате такого противоборства, была бессмыслицей, в некоторых случаях ChatGPT действительно начинал сбоить и в ответ копировал куски напрямую из своих обучающих данных.

Среди «запомненных» LLM и извлеченных исследователями данных были научные статьи, шаблонные тексты с сайтов, а также личная информация десятков реальных людей. Исследователи подтвердили аутентичность информации, составив собственный дата-сет из текстов, взятых из интернета.

В системе мониторинга здоровья коров на молочных фермах обнаружены уязвимости, которые ставят под угрозу здоровье и жизнь животных.

Проблемная система мониторинга состоит из ошейников со встроенными датчиками, которые каждые 5 минут передают данные о двигательной активности коров на приёмное устройство по радиосигналу на частоте 434 МГц. Эта информация позволяет отслеживать возможные проблемы со здоровьем млекопитающих.

Специалистам удалось полностью взломать протокол беспроводной передачи данных с помощью программно-определяемой радиосистемы. Они декодировали сигнал и получили доступ к передаваемой информации.

Отсутствиие защиты позволяет не только перехватывать данные, но и внедрять в систему произвольную ложную информацию. Подмена данных о здоровье и активности животных может привести к неверной диагностике со стороны ветеринаров и ошибочным действиям фермеров при выращивании, разведении и лечении скота. Это грозит финансовыми потерями и даже гибелью животных.

Инциденты

В открытом доступе обнаружена база данных Elasticsearch с данными миллионов пользователей приложения для родительского контроля KidSecurity.

Приложение KidSecurity предоставляет родителям инструменты для отслеживания местоположения детей, прослушивания звука с их устройств, а также возможность устанавливать лимиты на использование гаджетов.

Утечка затронула более 300 млн записей, включая 21 000 номеров телефонов и 31 000 адресов электронной почты. Также частично была раскрыта информация о платежных картах, в том числе первые шесть и последние четыре цифры номера, срок действия карт и банк-эмитент.

Японское агентство аэрокосмических исследований (JAXA) сообщила о кибератаке, в результате которой под угрозой оказались важные космические технологии и данные.

Взлом был обнаружен осенью 2023 года, когда правоохранительные органы предупредили JAXA об атаке и взломе систем.

Подтвердив факт проникновения, генеральный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил, что злоумышленники получили доступ к серверу Active Directory, контролирующему сетевые операции JAXA. На этом сервере хранилась важная информация, в том числе учетные данные сотрудников.

Хотя утечка данных, связанная со взломом, пока не подтверждена официально, один из представителей JAXA выразил обеспокоенность:

«Пока сервер AD был скомпрометирован, вполне вероятно, что большая часть информации была доступна [злоумышленникам]. Это очень серьезная ситуация».

В результате вымогательской атаки на серверы популярной ролевой онлайн-игры Ethyrial: Echoes of Yore были утеряны данные 17 000 игровых аккаунтов.

Злоумышленники полностью зашифровали все файлы на сервере и локальных резервных носителях, а затем потребовали выкуп. Разработчики решили восстанавливать системы вручную, опасаясь, что после оплаты преступники откажутся выполнять условия.

Было уничтожено большинство аккаунтов вместе с персонажами, собранными предметами и достижениями. В своем официальном Discord-канале владельцы пообещали сделать все возможное, чтобы вернуть игрокам их прогресс, а также подарить «эксклюзивного питомца» в качестве компенсации.

Компания Zeroed-In Technologies, занимающаяся аналитикой данных в области управления персоналом, сообщила о возможной утечке данных после хакерской атаки.

Представители компании сообщили, что в результате инцидента были скомпрометированы данные 1,977 млн человек. Хакеры могли получить доступ к именам, датам рождения и номерам социального страхования.

На официальном сайте указано, что компания обслуживает 30 тысяч зарегистрированных пользователей, а общее количество анализируемых профилей достигает 2,7 млн.

Хакеры атаковали системы Zeroed-In 7 августа 2023 года, однако подозрительная активность была обнаружена только на следующий день.

Вымогатели ALPHV/BlackCat повторно атаковали американского медицинского гиганта Henry Schein.

О первой атаке стало известно 15 октября, когда компания отключила некоторые системы для предотвращения дальнейшего распространения вредоносного ПО. В результате атаки могли быть похищены конфиденциальные данные клиентов, включая номера их банковских счетов, кредитных карт.

22 ноября компания сообщила, что некоторые из её приложений и электронная коммерческая платформа снова были отключены в результате новой атаки, за которую также ответственна группа BlackCat.

Компания уже восстановила свою торговую платформу в США и ожидает скорого восстановления работы в Канаде и Европе.

Группа BlackCat добавила Henry Schein на сайт утечек в даркнете и заявила, что взломала сеть компании и украла 35 терабайт конфиденциальных данных. После неудачных переговоров в конце октября они повторно зашифровали устройства компании, когда та уже почти восстановила все свои системы.

Хакеры заявили, что «несмотря на продолжающиеся обсуждения с командой Henry Schein, не получили никаких признаков их готовности приоритизировать безопасность своих клиентов, партнёров и сотрудников, не говоря уже о защите собственной сети».

Власти города Аликиппа, штат Пенсильвания, сообщили, что хакеры взломали систему управления насосной станцией местного водоканала.

В ходе атаки хакеры взяли под контроль систему Unitronics Vision, которая представляет собой программируемый логический контроллер (ПЛК) с интегрированным HMI.

Взломанная система была связана с насосной станцией, которая контролирует и регулирует давление воды в населенных пунктах Раккун и Поттер. Атаку обнаружили быстро, после чего взломанная система была отключена. Представители водоканала подчеркнули, что угрозы перебоев с водоснабжением и подачей питьевой воды нет.

Ответственность за атаку взяла на себя связанная с Ираном хактивистская группировка Cyber Av3ngers. Судя по всему, целью хакеров стала промышленная система управления (ICS), произведенная израильской компанией Unitronics.

Хакеры BlackCat заявили о краже 1 ТБ данных у британской юридической фирмы Sills & Betteridge.

Среди похищенной информации конфиденциальные документы клиентов, личные данные сотрудников и другие важные файлы. Компанию предупредили о том, что большая часть сведений будет обнародована, если руководство не согласится на переговоры в течение 3 дней.

Sills & Betteridge базируется в Линкольне и насчитывает 320 сотрудников. С 2007 года она стала одной из крупнейших в северной Англии. Представители компании пока не комментировали заявления хакеров.

Разработчики мессенджера Line сообщили о киберинциденте, в результате которого были скомпрометированы сотни тысяч записей о пользователях, партнёрах и сотрудниках.

В уведомлении компании говорится, что неавторизованные лица получили доступ к серверам через систему NAVER Cloud Corporation, принадлежащую филиалу компании.

9 октября вирус заразил компьютер сотрудника филиала, а 17 компания LY Corporation, управляющая приложением Line, установила, что есть «высокая вероятность» несанкционированного доступа извне к системам приложения.

Злоумышленники получили доступ к сотням тысяч записей с данными пользователей, сотрудников и деловых партнеров, которые содержали :

• активность голосовых звонков пользователей;
• сведения о диалогах (включая страну, пол, возрастную группу и операционную систему отправителей и получателей);
• сведения о публикации контента, включая время и даты;
• общее количество подписчиков/друзей пользователей;
• время начала и окончания опубликованных видео.

Скомпрометированные данные включают информацию о пользователях, деловых партнерах и сотрудниках, в том числе 302 569 записей о пользователях, 86 105 записей о партнерах и 51 353 записей о сотрудниках и персонале, включая имена, номера трудовых книжек и адреса электронной почты. Компания утверждает, что утекшие данные не включали информацию о банковских счетах, кредитных картах или чатах в приложении Line.

Неизвестный шифровальщик парализовал работу IT-cистем энергетической компании HSE, крупнейшего поставщика электроэнергии в Словении.

Злоумышленники смогли проникнуть в системы безопасности и управления технологическими процессами. Признаки взлома были впервые обнаружены вечером 22 ноября. Инцидент стали расследовать штатные специалисты, но к 24 ноября ситуация ухудшилась. Вредоносная программа активизировалась и начала стремительно распространяться по корпоративной сети. К этому моменту к ликвидации последствий кибератаки уже подключилось правительство Словении.

По данным HSE, несмотря на серьезность проблемы, производственные мощности, включая тепловые и гидроэлектростанции, продолжают функционировать в штатном режиме. Угрозы сбоев в энергоснабжении страны на данный момент нет.

Источник заражения пока не установлен.

Атака кибервымогателей вызвала перебои в работе шести медицинских учреждений, принадлежащих сети Ardent Health Services (AHS). Медцентрам пришлось перенаправлять пациентов отделения неотложной помощи в другие учреждения.

Особенно остро проблема ощущалась в медицинском центре Mountainside в Монтклэре, персонал скорой помощи и пациенты, поступающие в отделение неотложной помощи, были перенаправлены в другие учреждения. Представитель больницы сообщил, что перенаправление было вызвано кибератакой, а управляющая больницей компания Ardent Health Services подтвердила эту информацию.

По данным Ardent Health, киберинцидент был обнаружен 23 ноября. Компания приняла меры по защите данных и отключила сеть. Были привлечены сторонние специалисты, и сейчас ведётся работа по восстановлению сети. Ardent Health также сообщила о кибератаке правоохранительным органам. На данный момент сети ещё не восстановлены полностью. Расследование и восстановление доступа к электронным медицинским записям и другим клиническим системам продолжается.

Пока неизвестно, были ли скомпрометированы медицинские или финансовые данные пациентов. По неподтверждённым официально сведениям, атаку провели вымогатели Black Suit.

Хакерская атака на компанию CTS, крупнейшего поставщика IT-услуг в Великобритании, вызвала сбои в работе множества юридических контор и нарушила процесс купли-продажи недвижимости по всей стране.

Специалисты уже восстанавливают поврежденную инфраструктуру, но пока неизвестно, когда именно системы вернутся в строй. Пострадавших информируют об угрозе «через специальные каналы связи»

По предварительным оценкам, с проблемами столкнулись от 80 до 200 компаний.
Одна из компаний-партнеров, заявила, что «перебои коснулись множества организаций в отрасли, поскольку наш провайдер специализируется на системах информационной безопасности для юридических контор и адвокатов».

Информация о характере атаки и конкретных затронутых сервисах CTS не разглашается. Косвенные признаки указывают на активность вымогательского ПО.

Американская страховая компания Fidelity National Financial (FNF) подтвердила факт кибератаки.

Отключение ИТ-систем из-за атаки нарушило работу страховщиков недвижимости, эскроу-сервисов и предоставление других услуг, связанных со сделками с недвижимостью и ипотекой.

Ответственность за атаку взяла на себя группа ALPHV/BlackCat. Детали атаки пока не раскрываются. Хакеры опубликовала сообщение, в котором раскритиковали специалистов по реагированию на инциденты Mandiant за их бездействие. Группа также объявила, что даст компании FNF дополнительное время для связи с вымогателями перед раскрытием дополнительной информации о характере атаки.

Эксперты предполагают, что проникновение в системы FNF могло произойти через уязвимость в устройствах Citrix Netscaler, известную как CitrixBleed (CVE-2023-4966).

Обзор новостей информационной безопасности с 17 по 23 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости

Обнаружены несколько уязвимостей, позволяющих обойти аутентификацию Windows Hello на ноутбуках Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X.

Источником проблем стали датчики отпечатков пальцев от Goodix, Synaptics и ELAN, встроенные в устройства.

Выяснилось, что биометрическая аутентификация не работает, она обходится при помощи особого USB-устройства, позволяющего получить доступ к ноутбукам, оборудованными этими сенсорами при условии, что предварительно пользователи уже задействовали сервис Windows Hello для идентификации.

Инциденты

Вымогательская атака парализовала работу британской коллекторской компании London & Zurich. В результате у некоторых клиентов образовались крупные задолженности, и они были вынуждены обратиться в микрофинансовые организации.

Атака привела к значительным нарушениям в работе системы сбора платежей. По информации источников, клиенты компании не могли обрабатывать большинство своих платежей, а у одного из сервисных провайдеров и вовсе накопилась задолженность более 124 000 долларов США.

Компания не торопилась с уведомлением клиентов о проблемах. Сначала на странице статуса указывалось, что портал должен полностью восстановить свою работу к 23 ноября, однако в отправленных клиентам оповещениях говорится о возможности совершения платежей лишь с 28 ноября.

Группировка SiegedSec взломала национальную лабораторию Министерства энергетики США в Айдахо (Idaho National Laboratory, INL) и опубликовала украденные данные. Представители лаборатории уже подтвердили, что подверглись кибератаке.

INL представляет собой центр ядерных исследований, которым управляет Министерство энергетики США. В лаборатории работают более 5700 специалистов, а на территории комплекса, площадью 2310 квадратных километров, расположено 50 экспериментальных ядерных реакторов, и это крупнейшее скопление ядерных реакторов в мире.

В начале текущей недели группировка SiegedSec заявила, что получила доступ к данным INL, включая подробную информацию о «сотнях тысяч» сотрудников, пользователей системы и простых граждан.

Среди обнародованных файлов есть подробный список недавних увольнений и причин для них. Другие документы содержат более 6000 актуальных номеров соцстрахования. По состоянию на октябрь 2022 года в лаборатории работало около 5500 человек. Ещё один файл насчитывает более 58 000 строк данных о действующих, уволенных и бывших сотрудниках. Часть информации в украденных файлах датирована 31 октября 2023 года.

Опубликованные группировкой данные содержат:

• ФИО;
• даты рождения;
• адреса электронной почты;
• номера телефонов;
• номера социального страхования (SSN);
• физические адреса;
• данные о трудоустройстве.

Французская организация SIAAP, управляющая очисткой сточных вод для девяти миллионов жителей Парижа и его окрестностей, стала жертвой масштабной кибератаки.

В первые 48 часов после инцидента команды IT-специалистов сосредоточились на максимальной защите промышленных информационных систем. Кроме того, было принято решение об отключении всех внешних компьютерных и цифровых подключений SIAAP, чтобы минимизировать риск распространения атаки.

Основной задачей организации стало поддержание работы водоотведения для жителей Иль-де-Франс. Власти подчеркнули, что продолжают работать в усиленном режиме, чтобы восстановить нормальную деятельность.

Пока ни одна хакерская группировка не признала свою причастность к атаке.

Канадское правительство сообщило о взломе его информационных систем, в результате которого хакеры получили доступ к данным властей за последние 24 года.

Взломы затронули компании Brookfield Global Relocation Services (BGRS) и SIRVA Worldwide Relocation & Moving Services, предоставляющие услуги переезда для канадских чиновников.

Во взломанных системах BGRS и SIRVA хранилась информация обо всех лицах, которые пользовались услугами по переезду, начиная с 1999 года. Данные принадлежали широкому кругу лиц, в том числе сотрудникам Королевской канадской конной полиции, военнослужащим и работникам правительства.

Ответственность за атаку взяла на себя вымогательская группировка LockBit. На своем сайте злоумышленники опубликовали часть украденных данных общим объемом 1,5 Тб и пригрозили дальнейшими утечками.

Переговоры преступников с представителями SIRVA не увенчались успехом. Вымогатели заявили:

«Sirva.com утверждает, что их данные стоят всего 1 миллион долларов. Но у нас есть более 1,5 ТБ украденных документов + 3 полные резервные копии CRM филиалов (Европейский союз, Северная Америка и Австралия)».

Вымогатели Rhysida взяла на себя ответственность за кибератаку на национальную библиотеку Великобритании.

На прошлой неделе Британская библиотека подтвердила, что причиной масштабного сбоя в ее работе стала вымогательская атака. Злоумышленники зашифровали системы библиотеки в субботу 28 октября. Возникший в результате этого сбой продолжает оказывать влияние на работу онлайновых систем, сервисов и Wi-Fi сетей Британской библиотеки — сайт учреждения не работает уже три недели после атаки.

Операторы Rhysida выставили данные, похищенные у национальной библиотеки Великобритании, на аукцион. В течение недели группировка принимает ставки от заинтересованных в покупке лиц:

«Осталось всего семь дней, воспользуйтесь возможностью сделать ставку на эксклюзивные, уникальные и интересные данные. Открывайте свои кошельки и будьте готовы к покупке эксклюзивных данных. Мы продаем только в одни руки, никаких перепродаж, вы будете единственным владельцем».

Аналитики компании SafetyDetectives обнаружили масштабную утечку документов о вакцинации более 2 миллионов граждан Турции. Злоумышленники выложили информацию на хакерском форуме еще 10 сентября, однако несанкционированный доступ данным был получен еще 4 апреля 2023 года.

Среди похищенной информации — даты рождения, личные идентификационные номера врачей, даты прививок, типы вакцин, детали о цепочках поставок, адреса больниц, часть паспортных данных пациентов.

Общее количество идентификаторов врачей в утекшей базе составляет примерно 125 000. Принимая во внимание, что в 2021 году в Турции было зарегистрировано свыше 183 000 медиков, можно заключить, что жертвами стали примерно 70% от их общего числа.

Аналитики полагают, что скорее всего утечка произошла в результате взлома одной из государственных медицинских информационных систем. Специалисты убеждены в подлинности полученных хакерами сведений.

Вымогательская группировка INC взломала японского производителя мототехники Yamaha Motor и американскую медицинскую организацию WellLife Network. Жертвы подтвердили кибератаки после того, как данные компаний были опубликованы на сайте утечек.

Yamaha Motor 16-го ноября объявила, что сервер филиала на Филиппинах был атакован вымогателями в конце октября. В результате атаки была раскрыта личная информация сотрудников.

Компания отметила, что понадобится больше времени, чтобы оценить полный объем ущерба. Об инциденте было доложено властям Филиппин ещё 27 октября, а недавно компания подтвердила утечку данных сотрудников.

В заявлении Yamaha Motor говорится, что атака задела буквально один из серверов компании и не затронула центральный офис или другие компании группы Yamaha Motor. Тем не менее, технические специалисты тщательно следят за ситуацией, проявляя повышенную бдительность.

Власти города Лонг-Бич, штат Калифорния, сообщили о кибератаке, из-за которой пришлось отключить значительную часть городских информационных ресурсов.

На городском сайте сообщается: «Системы электронной почты и телефонии города будут работать в обычном режиме. Ратуша и другие городские учреждения, работающие с населением, также функционируют по расписанию. Обновления о текущем состоянии работы конкретных цифровых сервисов будут доступны в ближайшее время.»

Власти прилагают все усилия для устранения последствий инцидента и призывают общественность к пониманию и терпению в связи с возникшими неудобствами. Жителей также уверяют, что экстренные службы продолжают работать без перебоев.

Пока неясно, какие цели преследовали злоумышленники и что за инструменты использовали для достижения своих целей. Но косвенные признаки указывают на то, что в атаке было задействовано вымогательское ПО.

Вымогательская группировка Play взломала Центр предварительного заключения Дональда Уайата в городке Сентрал-Фолс, штат Род-Айленд и похитила конфиденциальные сведения о заключенных и сотрудниках.

Компания Play не стала раскрывать объем похищенных данных. Вместо этого в объявлении стоят три вопросительных знака «???», за которыми следует символ гигабайта.

Банда обещала опубликовать все имеющиеся данные к 19 ноября.

В отличие от федеральной тюрьмы, в центре содержания под стражей штата содержатся заключенные, которым еще не предъявлено обвинение, отказано в освобождении под залог или которые ожидают суда.

Досье на заключенных, особенно на тех, кто может быть признан невиновным, — настоящий клад для хакеров, поскольку эту информацию они могут использовать для шантажа.