Блог Start X

Дайджест Start X № 398

Start X — Fri, 29 Nov 2024 00:34:32 +0300

Обзор новостей информационной безопасности с 22 по 28 ноября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Инциденты

В результате кибератаки на сеть французских больниц были скомпрометированы данные 1,5 миллиона пациентов.

Сообщается, что похищенные данные пациентов хранились не у Softway Medical, а на серверах самой больницы. В электронном письме Softway Medical отметила: «Наше программное обеспечение не является причиной инцидента. Компрометация произошла через привилегированный аккаунт в инфраструктуре клиента».

Киберпреступник выставил на продажу доступ к платформе MediBoard для больниц Centre Luxembourg и Clinique Alleray-Labrouste. Чтобы доказать факт взлома, хакер опубликовал информацию о 750 тысяч пациентов одной из больниц: полные имена, адреса, номера телефонов, электронные адреса, назначения врачей и историю использования медицинских карт.

В результате кибератаки у финтех-компании Finastra похитили более 400 ГБ данных. Хакер под ником «abyss0» выставил украденную информацию на продажу на форуме BreachForums.

8 ноября компания уведомила клиентов о взломе. По данным Finastra, злоумышленники не внедряли вредоносные программы и не вносили изменений в файлы клиентов, но успели похитить значительный объём данных.

Компания сообщила, что взлом произошёл в результате компрометации учётных данных. Ведётся анализ масштаба утечки и точной идентификации затронутых лиц.

Хакер разместил объявления о продаже данных 31 октября, не указав имя компании. Первоначальная цена составляла 20 000 долларов США, но уже к 3 ноября была снижена до 10 000 долларов США. 7 ноября хакер опубликовал новое сообщение, раскрыв связь данных с клиентами Finastra, среди которых оказались крупнейшие мировые банки. Вскоре аккаунт «abyss0» исчез с форума, а его профиль в Telegram был удалён.

Американский телекоммуникационный гигант T-Mobile сообщил о попытках злоумышленников проникнуть в его системы.

Главный директор по безопасности компании Джефф Саймон уточнил, что атаки проводились через сеть стороннего провайдера, подключённого к инфраструктуре компании.

T-Mobile отметила, что её системы безопасности предотвратили как утечку данных, так и сбои в работе услуг. После инцидента компания разорвала соединение с сетью провайдера, однако не уточнила, кто может стоять за атаками, хотя данные были переданы правительству США.

Сообщается, что злоумышленники запускали команды для исследования маршрутизаторов и картирования сети. T-Mobile удалось пресечь действия хакеров до их перехода к дальнейшим этапам атаки, остановив инцидент на раннем этапе.

Вымогательская кибератака парализовала работу всех правительственных учреждений в городе Хобокен (Нью-Джерси, США).

Сообщения о последствиях атаки появились на официальных сайтах городских служб около утром 27 ноября. Жителям сообщили о приостановке услуг. Городская администрация сообщила, что здание мэрии закрыто, а все онлайн-сервисы временно недоступны. Судебные заседания и уборка улиц отменены, а обеспечение парковок продолжается. Также вывоз мусора и программы досуга работают в прежнем режиме.

Город расследует инцидент и разрабатывает план безопасного восстановления сервисов. Пока ответственность за атаку не взяла на себя ни одна из известных групп, занимающихся программами-вымогателями.

Кибератака нарушила работу сети больниц Wirral University Teaching Hospital NHS Trust в Великобритании.

Вечером 25 ноября администрация Arrowe Park Hospital объявила режим чрезвычайной ситуации. В результате атаки все электронные системы медицинского центра оказались недоступны, включая базы данных пациентов и результаты обследований. Персоналу пришлось экстренно перейти на ручное ведение документации.

К утру 26 ноября выяснилось, что атака затронула все медучреждения траста — Arrowe Park Hospital, Clatterbridge Hospital и Wirral Women and Children’s Hospital. Пациентов, прибывших на назначенные приемы, начали отправлять домой. Прекратили работу рентгенологические отделения и операционные. Сообщают, что руководство рассматривает возможность перенаправления пациентов в больницы Ливерпуля.

Немецкая пищевая компания Vossko стала жертвой вымогательской кибератаки. Хакеры зашифровали внутренние системы и базы данных, парализовав производственные процессы.

Инцидент произошёл 14 ноября этого года. В первые дни после атаки внутренние специалисты компании и привлечённые эксперты работали над устранением последствий. К расследованию подключились полиция и сотрудники земельного управления по уголовным делам, включая IT-специалистов и судебных экспертов.

Параллельно с восстановлением работы компания начала проверку всех систем и реализацию дополнительных мер по усилению IT-инфраструктуры.

Несмотря на масштаб инцидента, Vossko смогла оперативно вернуться к стабильной работе. Руководство подчёркивает важность быстрой реакции и слаженной работы команды, которая позволила минимизировать последствия кибератаки.

Вымогательская кибератака нарушила работу компании Blue Yonder, которая специализируется на управлении цепочками поставок.

По словам представителей Blue Yonder, в результате атаки не было зафиксировано подозрительной активности в публичной облачной среде компании. Однако инфраструктура, включающая облачные решения и платформы SaaS, всё ещё остаётся частично недоступной.

Многие клиенты, включая британские сети Morrisons и Sainsbury, уже столкнулись с трудностями и были вынуждены перейти на резервные системы. Blue Yonder активно сотрудничает с внешними экспертами по кибербезопасности для восстановления работы, внедряя защитные и аналитические протоколы. Однако точных сроков восстановления пока не объявлено.

На момент публикации ответственность за атаку не взяла на себя ни одна хакерская группировка.

Крупнейшая игорная компания США International Game Technology (IGT) сообщила о кибератаке, которая привела к масштабным сбоям в работе.

Чтобы не допустить распространения угрозы, отключены отдельные системы, а расследование и восстановление продолжаются. Пока не установлено, повлияет ли инцидент на финансовые показатели, однако уже внедрены временные меры, позволяющие продолжать обслуживание клиентов.

Пока ни одна хакерская группа не взяла на себя ответственность за атаку.

Хакеры взломали платформу онлайн-курсов Эндрю Тейта и получили доступ к электронным адресам 325 000 пользователей.

Атака хакеров произошла в момент трансляции выпуска шоу Эндрю Тейта «Emergency Meeting» на платформе Rumble. Злоумышленники взломали основной чат платформы и загрузили туда эмодзи, в том числе изображение флага трансгендерного сообщества, феминистский символ, а также сгенерированные ИИ изображения, на которых Тейт изображён с радужным флагом.

Сообщается, что хакеры получили доступ к именам 794 000 пользователей, включая текущих и бывших участников платформы, а также содержимому 221 открытого и 395 закрытых чатов. Был также опубликован список из 324 382 электронных адресов пользователей, которые были удалены из сообщества за неуплату подписки.

Хакеры, взявшие на себя ответственность за атаку, заявили, что им удалось воспользоваться уязвимостью платформы для загрузки эмодзи, удаления вложений, временного отключения пользователей и блокировки доступа к платформе. Источник, знакомый с ситуацией, отметил, что мотивацией атаки стал «хактивизм», а уровень безопасности платформы назвал «абсурдно низким».

Дайджест Start X № 397

Start X — Fri, 22 Nov 2024 00:10:25 +0300

Обзор новостей информационной безопасности с 15 по 21 ноября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Жители Швейцарии массово сообщают о получении мошеннических бумажных писем с вредоносным QR-кодом.

Особенности кампании

Жертва получает бумажное письмо якобы от Федерального офиса метеорологии и климатологии MeteoSwiss.

В письме предлагается скачать «приложение для предупреждения о погодных катастрофах» с помощью QR-кода. Однако вместо приложения на смартфон загружается вредоносное ПО.

Мошенники пытаются загрузить на телефоны пользователей вирус под названием «Coper» (или «Octo2»), который крадёт данные более чем из 380 приложений, включая банковские.

Приложение маскируется под официальное приложение Alertswiss, используемое для оповещения населения.

Вредоносное ПО нацелено исключительно на устройства с операционной системой Android.

Как только вирус оказывается на смартфоне, он пытается получить доступ к учётным записям и банковским паролям жертвы.

Хакеры Hive0145 проводят фишинговые атаки по всей Европе, используя вредоносный софт Strela Stealer для кражи конфиденциальных данных из электронной почты.

Особенности кампании

Атаки нацелена в первую очередь на Испанию, Германию и Украину.

Злоумышленники рассылают фишинговые письма с поддельными, но настоящими счетами-фактурами, чтобы обмануть получателей и повысить успешность заражения.

Вместо простых фишинговых сообщений хакеры начали использовать реальные письма со взломанными вложениями. Такой метод повышает доверие к письму, так как оригинальный контент не меняется. Ранее подобные подходы применяли группировки вроде Emotet.

Чтобы обойти системы безопасности, киберпреступники начали использовать редкие типы файлов, такие как «.com» и «.pif», а также сложные скрипты для обхода защиты.

Инциденты

На BreachForums опубликовали 44 тыс. записей с информацией о клиентах Ford.

Хакер с ником EnergyWeaponUser заявил, что они с IntelBroker взломали компанию Ford в ноябре 2024 года и похитили данные.

В открытый доступ попали полные имена клиентов Ford, их физические адреса, данные о покупках, информация о дилерах и временные метки.

Злоумышленники даже не пытались продать данные и сразу сделали их доступными для всех зарегистрированных пользователей сайта всего за 2 доллара США.

Злоумышленники проникли в инфраструктуру Auchan и украли данные 500 тысяч участников программы лояльности.

В распоряжении злоумышленников оказались имена, фамилии, адреса электронной почты, домашние адреса, номера телефонов, состав семьи, даты рождения, номера карт лояльности и суммы бонусов. Согласно официальному заявлению пострадавшей компании, реквизиты платёжных карт инцидент не затронул.

Компания предприняла дополнительные меры для того, чтобы злоумышленники не смогли воспользоваться доставшимися им бонусными баллами. Покупателей призвали усилить бдительность в связи с возможной мошеннической активностью.

Американский производитель спутников Maxar Technologies подтвердил утечку данных.

Злоумышленник проник в сеть Maxar и получил доступ к файлам с личными данными сотрудников. Точное местоположение хакера пока не установлено.

Компания обнаружила утечку 11 октября и предприняла оперативные меры для предотвращения дальнейшего несанкционированного доступа. Однако, согласно результатам внутреннего расследования, хакер имел доступ к данным в течение недели до блокировки системы.

Среди скомпрометированной информации о сотрудниках оказались: имя, пол, адрес, номер социального страхования (SSN), контактные данные, должность, статус занятости, контакты руководителя, филиал компании, персональный номер сотрудника.

Компания настаивает, что информация о банковских счетах не была раскрыта.

В результате киберинцидента опустели полки магазинов Ahold Delhaize, крупнейшего продуктового ритейлера на восточном побережье США.

8 ноября Ahold Delhaize USA опубликовала заявление, что её внутренние сети подверглись кибератаке. В целях минимизации ущерба были привлечены эксперты по кибербезопасности, а некоторые системы временно отключены. Инцидент затронул работу аптек и онлайн-платформ компании.

Представители компании заявили, что магазины продолжают обслуживать покупателей, однако пользователи в социальных сетях жалуются на отсутствие товаров и растерянность сотрудников на местах.

Согласно публикациям в местных СМИ, в магазинах сети Stop & Shop, расположенных в штате Массачусетс, наблюдаются серьёзные перебои с поставками. Менеджеры магазинов объясняют ситуацию проблемами с логистикой из-за кибератаки, что привело к задержкам в доставке продукции.

Компания не раскрыла, были ли утечки данных клиентов или сотрудников. Пока ни одна хакерская группа не взяла на себя ответственность за инцидент.

Вымогательская группировка RansomHub заявила о взломе официального сайта федерального правительства Мексики gob.mx и хищении 313 ГБ данных.

Среди украденной информации — контракты, страховые документы, финансовая отчётность и конфиденциальные файлы. Хакеры дали правительству десять дней на выплату выкупа, иначе обещают опубликовать все похищенные материалы.

На своём сайте RansomHub также опубликовала более 50 образцов похищенных файлов. В этих образцах содержатся полные имена сотрудников, должности, адреса электронной почты, а также фотографии и внутренние идентификационные номера.

Среди документов — подписанные бумаги от 2023 года, например, обращения к директору по IT и коммуникациям Мексики Марио Гавине Моралесу и контракт на транспортные услуги на сумму около 100 тысяч долларов США.

Дайджест Start X № 396

Start X — Thu, 14 Nov 2024 23:41:11 +0300

Обзор новостей информационной безопасности с 8 по 14 ноября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Группа киберразведки PT ESC обнаружила многоступенчатую фишинговую атаку, в которой хакеры сначала пытались завоевать доверие жертвы, а затем заставить запустить полезную нагрузку.

Схема кампании

Жертва получает письмо от имени управления ФСТЭК по СЗФО.

Во вложении находился скан информационного письма ФСТЭК «О продлении срока действия уровня опасности».

Вредоносного содержимого и каких-либо ссылок в нем не было, сам PDF-файл не являлся опасным. А вот качество скана документа оставляло желать лучшего и для визуального ознакомления с требованиями точно не подходило.

Для отправки письма использовался домен fstec.info, который не является официальным доменом ФСТЭК и зарегистрирован 16 октября 2024 года.

Через несколько дней жертва получила более качественный скан того же документа, который при ближайшем рассмотрении оказался исполняемым файлом с иконкой PDF.

Этот исполняемый файл запускает сервер UltraVNC с коннектом к узлу toproducts.ru:80, в результате чего создается сессия удаленного управления, к которой может подключится злоумышленник. А для отвлечения внимания запускается тот самый легитимный документ, но уже в улучшенном качестве.

Скорее всего, злоумышленники используют многоступенчатую технику социальной инженерии: сначала присылают безопасный и трудночитаемый документ, побуждая жертву завязать с ними диалог. А получив кредит доверия, отправляют ей полезную нагрузку.

Вестник Киберполиции России предупреждает о фишинге через домовые и районные чаты.

Схема кампании

Аферисты размещают в домовых или районных чатах сообщения с предложениями бесплатно забрать ненужную бытовую технику или мебель.

Заинтересовавшимся гражданам предлагают встретиться через пару дней лично, отправляют фото или видео, подтверждающее наличие предмета.

Накануне встречи «сосед» извиняется, говорит, что технику может отправить только с курьером. Для оформления доставки предлагает перейти по ссылке.

Обещают прислать курьера, но чтобы вызвать его, нужно установить расширение и ввести код.

Если сделать это, преступники подключатся к телефону и получат доступ к перепискам, паролям от почты, банков, Госуслуг. Кроме того они смогут управлять телефоном жертвы, в том числе переводить деньги или оформлять кредиты.

ВТБ предупреждает о новой схеме мошенников для взлома аккаунтов на государственных онлайн-сервисах.

Как действуют преступники

Злоумышленники звонят жертве от имени сотрудников госструктур, сообщают, что ей пришло заказное письмо, и предлагают прислать уведомление на почтовый или электронный адрес.

Для оформления такой заявки злоумышленники просят продиктовать проверочный код, который приходит на телефон жертвы с текстом «код восстановления доступа» к учётной записи.

Если жертва прерывает звонок, заподозрив обман, спустя некоторое время ей поступает повторный звонок от того же якобы государственного учреждения. На этот раз злоумышленники уверяют жертву, что первый разговор был с мошенниками, а учётная запись уже взломана.

Под предлогом защиты данных они вновь просят передать код из СМС. «В этот момент человек, находясь под психологическим давлением неизвестных и полностью доверяя им, становится жертвой дальнейшего обмана.

В банке отметили, что такие звонки составляют около 30% от общего числа атак, а данная схема особенно активизировалась в период уплаты налогов.

«Сбер» предупредил о новой схеме телефонных мошенников, в которую вовлекают друзей и родственников.

Как действуют преступники

Жертве поступает звонок с предложением дохода от инвестиций при поддержке личного «брокера».

В случае согласия человеку заводят поддельный личный кабинет, где отражена «прибыль от сделок», но на самом деле денежные средства находятся у мошенников.

При запросе на вывод денег злоумышленники требуют «налоговый код», для получения которого необходимо оплатить комиссию, однако после на свою просьбу жертва получает отказ «по подозрению в мошенничестве».

Далее начинают поступать звонки якобы от представителей Центробанка, которые требуют найти доверенное лицо для получения средств с брокерского счета.

При выполнении этой просьбы мошенники начинают угрожать конфискацией имущества и уголовным делом и требуют перевести крупную сумму со счета доверенного лица, которым зачастую являются родственники и близкие жертвы.

Финал опасной схемы может быть плачевным: злоумышленники угрозами заставляют жертв привлекать в нее все новых доверенных лиц и склоняют их к продаже жилья.

Уникальность и опасность схемы заключается в смешении нескольких известных сценариев. Сначала мошенники воздействуют на желание обогащения ― уже на этом этапе человек теряет крупную сумму. Но преступники не останавливаются, и начинают запугивать и угрожать, в результате чего происходит «заражение» окружения жертвы.При этом мошенники напрямую не общаются с последующими жертвами ― «доверенными лицами», воздействие происходит через основную жертву.

Новая деталь в схеме ― оплата несуществующего «налогового кода» для выманивания нового перевода и угрозы со стороны якобы Центрального банка, который подозревает клиента в мошенничестве. Необходимо помнить, что сотрудники Центрального банка никогда не общаются по телефону с физическими лицами.

Другой явный признак мошенничества, который должен насторожить ― в результате инвестиций обещают «золотые горы» при минимальных усилиях и знаниях.

Инциденты

Используя уязвимость в античит-системе Activision, хакер заблокировал тысячи честных игроков Call of Duty Modern Warfare 3, представляя их как читеров.

Проблема обострилась на фоне давней борьбы между разработчиками игр и хакерами. Последние годами искали способы обхода античит-систем, чтобы создавать читы и продавать их, неплохо на этом зарабатывая. В 2021 году Activision представила новую систему Ricochet, работающую на уровне ядра операционной системы, чтобы усложнить хакерам обход защиты.

Хакер использовал недоработки Ricochet против игроков. Он обнаружил, что система использует жёстко заданные текстовые строки в качестве «сигнатур» для обнаружения читеров. К примеру, одной из таких строк было слово «Trigger Bot», обозначающее тип чита, автоматически стреляющего по цели.

Отправляя игрокам в Call of Duty личные сообщение с одной из этих сигнатур, он добивался автоматической блокировке получателя. Причина в том, что Ricochet сканирует устройства игроков на наличие этих строк, и если они находятся, автоматически выносит бан, не учитывая контекста.

У букмекерской компании 1win произошла утечка пользовательских данных. Злоумышленникам удалось получить доступ к части базы данных, содержащей электронные адреса и телефонные номера около 100 миллионов пользователей.

Инциденту предшествовала серия масштабных DDoS-атак, с которыми не смог справиться провайдер защиты от DDoS. Далее последовали попытки проникновения в инфраструктуру компании различными способами: рассылка вирусов сотрудникам для получения паролей от серверов, множественные атаки на инфраструктуру, а также успешный взлом одного из мерчантов.

В итоге злоумышленники нашли уязвимость в системе, проникли в инфраструктуру и похитили данные, после чего потребовали выкуп, размер которого с начального миллиона долларов США вырос до 15 млн долларов США.

Сообщается, что шантажисты выложили часть базы, чтобы усилить информационное давление и получить больше денег.

Тем не менее, руководство 1win настаивает, что на данный момент инфраструктура компании находится в полной безопасности.

Кибератака вызвала сбои в работе судов округов Кинг, Пирс, Льюис, Вотком, а также ряда городских судов штата Вашингтон.

Несмотря на отсутствие официального подтверждения вымогательской атаки сайт AOC недоступен уже несколько дней. В AOC от комментариев отказались, отметив, что на данный момент нет оснований полагать, что это целенаправленное нападение.

Некоторые суды, например, Верховный суд округа Пирс, заявили, что их работа пострадала минимально. Тем не менее, в ряде других учреждений возникли серьёзные сбои в системах электронного документооборота и телефонии, что затруднило оплату штрафов. Суд округа Турстон и вовсе объявил о переносе слушаний по делам о правонарушениях. Участникам будут разосланы новые даты заседаний.

Крупный инвестор потерял около 6,09 млн долларов США в криптовалюте Gigachad (GIGA) из-за фишинговой атаки. Злоумышленники использовали поддельное приглашение на конференцию Zoom для распространения вредоносного ПО.

Получив доступ к трём криптокошелькам, мошенники вывели 95,27 миллионов токенов GIGA, а затем конвертировать похищенные средства в 11,759 SOL, что составляет примерно 2,1 миллиона долларов США. В результате массовой продажи курс мем-койна GIGA упал с 0,63 до 0,54 доллара.

Позже злоумышленники обменяли полученные SOL на стейблкоины USDT и USDC. Часть средств в размере 700 SOL была переведена на централизованную биржу KuCoin через промежуточные адреса.

Кибератака на инфраструктуру супермаркетов Stop & Shop в Новой Англии вызвала задержки в работе аптек и электронных платформ для покупок.

Как заявила материнская компания Ahold Delhaize, причиной стала недавно обнаруженная «проблема кибербезопасности». В связи с инцидентом были привлечены внешние эксперты, а также оповещены правоохранительные органы для проведения расследования и предотвращения дальнейших угроз.

Компания подчёркивает, что защита данных клиентов, сотрудников и партнёров остаётся для них в приоритете, однако утечка информации в такой ситуации не исключена, особенно если кибератака имела вымогательский характер.

Несмотря на инцидент, все магазины сети Stop & Shop продолжают работать, хотя некоторые процессы в них были нарушены. В частности, сбой затронул работу аптек и интернет-магазинов, что может привести к задержкам в доставке товаров и обслуживании клиентов.

Amazon подтвердила утечку данных своих сотрудников после того, как хакер опубликовал в даркнете более 2,8 миллиона строк, содержащих имена сотрудников, контактные данные, местоположение офисов и email-адреса.

По словам представителя Amazon Адама Монтгомери, информация была украдена из систем стороннего поставщика услуг по управлению недвижимостью. Инцидент затронул несколько клиентов компании, включая Amazon.

Amazon подчеркнула, что подрядчик не имел доступа к конфиденциальным данным. Также сообщается что поставщик уже устранил уязвимость, приведшую к утечке. Amazon заверила, что системы компании, включая AWS, остаются в безопасности и не подвергались компрометации.

Хакер утверждает, что помимо данных, украденных во время атак на MOVEit, часть информации была получена из других источников, включая открытые базы данных и утечки на сайтах вымогателей. Он сообщил, что у него на данный момент накоплено более 250 ТБ архивов с базами данных, собранных из различных интернет-ресурсов.

Дайджест Start X № 395

Start X — Thu, 07 Nov 2024 22:59:22 +0300

Обзор новостей информационной безопасности с 1 по 7 ноября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

LastPass предупредила о мошеннической кампании, направленной на пользователей менеджера паролей.

Как действуют преступники

Злоумышленники оставляют в сети фальшивые хвалебные отзывы о расширении LastPass для Chrome.

В таких отзывах мошенники ставят расширению пять звезд и хвалят работу технической поддержки, указывая фальшивый телефонный номер (805-206-2892), по которому они якобы звонили. На самом деле этот номер не имеет никакого отношения к производителю.

Если позвонить по этому телефону, мошенник, отвечающий на звонки, представится сотрудником поддержки LastPass и попросит пользователя зайти на сайт dghelp[.]top, где нужно ввести код для загрузки специального софта. С сайта загружается ConnectWise ScreenConnect, предоставляющий злоумышленникам полный удаленный доступ к системе жертвы.

Пока один из мошенников задаёт позвонившему вопросы, чтобы удержать его на линии и отвлечь внимание, другой злоумышленник использует ScreenConnect в фоновом режиме и устанавливает в систему жертвы другое ПО для удалённого доступа и кражи данных.

Обнаружены новые варианты атак группировки PhaseShifters (Sticky Werewolf), жертвами которых стали десятки российских организаций.

Как действуют преступники

Атаки начинались с рассылки фишинговых писем с вложениями в виде защищённых паролями архивов, которые содержали вредоносные файлы.

Среди таких документов встречались резюме или дополнительные соглашения на подпись.

Когда жертвы открывали файлы, на их устройства загружались скрипты, скачивающие изображения — в них с помощью стеганографии была скрыта полезная нагрузка.

Организаторы вредоносной кампании Phish n’ Ships атаковали более тысячи интернет-магазинов и похитили деньги у их посетителей.

Схема кампании

Атаки Phish n’ Ships начинаются с заражения реально существующих интернет-магазинов вредоносными скриптами. Для этого хакеры эксплуатируют уже известные уязвимости, неправильные конфигурации или скомпрометированные учетные данные администратора.

После взлома злоумышленники загружают на сайт скрипты с неприметными названиями (zenb.php или khyo.php), с помощью которых в магазине создаются карточки с фальшивыми товарами.

Все товары снабжены оптимизированными для SEO метаданными, чтобы лучше попадать в результаты поиска Google, откуда на сайт и приходят жертвы.

Когда пользователь переходит по таким ссылкам, он проходит через ряд перенаправлений, которые в конечном итоге ведут на мошеннические сайты, часто имитирующие интерфейс взломанного интернет-магазина или использующие схожий дизайн.

При попытке купить товар в мошенническом магазине жертва проходит через весь процесс оформления заказа, который в целом выглядит легитимным.

В итоге вредоносный сайт похищает информацию, которую жертва вводит при оформлении заказа (включая данные банковской карты), и завершает процедуру через полулегальный аккаунт платежного процессора, подконтрольный злоумышленникам.

Пострадавший не получает никаких товаров, но теряет и деньги, и данные.

Группа компаний «Гарда» обнаружила новый вид мошенничества в популярных мессенджерах.

Преступники пишут сообщения от имени знакомого человека из списка контактов жертвы и уговаривают установить вредоносное приложение под видом «Яндекс Музыки».

Вместо сервиса на смартфон устанавливается троянская программа, которая даёт злоумышленнику полный доступ к мобильному устройству.

Преступники использовали вредоносное ПО Gootloader для заражения компьютеров любителей бенгальских кошек из Австралии.

Схема кампании

Злоумышленники создали поддельные страницы, специально настроенные так, чтобы они попадали в топ поисковых результатов по этому запросу.

Когда пользователи переходили на такой сайт, им предлагалось скачать ZIP-файл.

После открытия архива на компьютер загружалась первая часть вредоносного кода.

Затем браузер автоматически перенаправлялся на другой сайт, где загружался большой JavaScript-файл, запускавший целую серию процессов на устройстве.

Выполнялись команды PowerShell для развертывания Gootkit — третьего этапа атаки. В результате на компьютере устанавливались Cobalt Strike и программы-вымогатели.

Инциденты

LottieFiles — SaaS-платформа для создания легких векторных анимаций, которые можно встраивать в приложения и сайты, — стала жертвой атаки на цепочку поставок.

31 октября 2024 года пользователи Lottie-Player начали жаловаться на странные инъекции кода и всплывающие окна на сайтах. Как оказалось, злоумышленники добавили в Lottie Web Player версий 2.0.5, 2.0.6 и 2.0.7 вредоносный код, который внедрял на сайты малварь для кражи криптовалюты.

Такие вредоносы внедряются на сайты и показывают посетителям запросы на подключение криптовалютного кошелька. Если пользователь не замечает подвоха и действительно подключает свой кошелек, скрипт автоматически пытается украсть все доступные активы и NFT, отправив их своим операторам.

Разработчики LottieFiles объясняют, что JavaScript-библиотека была скомпрометирована после того, как у одного из разработчиков похитили токен аутентификации, который в итоге был использован для загрузки вредоносных версий пакета npm.

Проукраинская группировка RUH8 заявила об атаке на ИТ-инфраструктуру администрации Твери, в результате которой были выведены из строя множество информационных систем.

В телеграм-канале группировки 29 октября вышел пост, в котором говорится о полном уничтожении содержимого десятков виртуальных машин, резервных копий, рабочих станций в администрации города, а также подсистемы телефонной связи:

Кибератака на разработчика решений для управления автопарками Microlise из Великобритании нарушила работу ключевых клиентов компании, среди которых служба доставки DHL UK и сеть магазинов Nisa. Самые серьёзные проблемы возникли у компании Serco, которая обеспечивает транспортировку заключенных по контракту с Министерством юстиции Великобритании.

Атака на Microlise привела к тому, что устройства отслеживания и тревожные кнопки в транспортных средствах Serco были выведены из строя. В результате водители оказались незащищёнными, так как системы слежения за заключенными не функционировали на протяжении нескольких дней.

Из-за инцидента руководство Serco было вынуждено перейти на временные меры безопасности. Водителей снабдили бумажными картами и инструкциями поддерживать связь с тюремными базами каждые полчаса. Сотрудникам рекомендовали держать мобильные телефоны полностью заряженными для экстренных случаев. Нарушение навигационных и других функций усложнило выполнение задач и поставило под угрозу безопасность персонала.

Хакер взломал платформу для разработчиков Schneider Electric и похитил информацию с JIRA-сервера компании. Для атаки он использовал ранее скомпрометированные учётные данные.

После получения доступа злоумышленник использовал MiniOrange REST API для сбора 400 0000 строк пользовательских данных, среди которых были 75 000 уникальных email-адресов, а также полные имена сотрудников и клиентов Schneider Electric.

На хакерском форуме в даркнете взломщик шутит, что требует за нераскрытие украденной информации 125 000 долларов США «в багетах», поскольку Schneider Electric — французская компания. Он заявляет, что «были скомпрометированы критически важные данные, в том числе проекты, issue и плагины, а также более 400 000 строк пользовательских данных общим объёмом более 40 ГБ».

Хакер IntelBroker заявил, что взломал стороннего вендора и похитил исходный код компании Nokia, который теперь готов продать.

IntelBroker утверждает, что среди похищенных данных есть ключи SSH, исходный код, ключи RSA, логины BitBucket, учётные записи SMTP, веб-хуки, а также жестко закодированные учётные данные.

Сообщают, что хакер использовал стандартные логин и пароль, чтобы скомпрометировать сервер SonarQube, принадлежащий неназванному вендору. Это позволило похитить у пострадавшей организации Python-проекты клиентов, среди которых были данные Nokia.

Представители Nokia подтвердили изданию, что им известно об этих заявлениях злоумышленника и они уже проводят расследование.

Корпорация True World Holdings LLC уведомила своих сотрудников о киберинциденте, затронувшем их персональные данные. Киберпреступники проникли в системы компании и похитили файлы с информацией о действующих и бывших сотрудниках.

Компания не уточнила, какие именно персональные данные были похищены, отметив, что объем информации варьируется в зависимости от человека. По данным генпрокуратуры, пострадали 8532 человека, хотя сейчас в True World работают около 1000 человек по всему миру.

Компания рекомендовала пострадавшим обратить внимание на любые подозрительные операции на их финансовых счетах и проверках кредитных отчетов. Также True World предоставила на год бесплатный кредитный мониторинг и услугу восстановления идентичности. Компания также порекомендовала сменить учётные данные и контрольные вопросы для защиты финансовых и других личных аккаунтов.

Фармдистрибьютор AEP из Баварии стал жертвой вымогательской кибератаки. В результате инцидента часть IT-систем AEP была зашифрована.

Расследование ведёт Криминальная полиция Баварии, в сотрудничестве с которой AEP активно ищет решение проблемы с привлечением экспертов по киберинцидентам и IT-криминалистике. В компании отметили, что все внешние подключения отключены, а затронутые системы полностью остановлены.

На данный момент AEP недоступна по телефону и может принимать только ограниченное количество обращений по электронной почте.

Хакеры атаковали информационную систему центров занятости Министерства труда и занятости Франции.

Эксперты считают, что из-за атаки существует риск утечки личных данных молодых людей, получающих поддержку в центрах занятости: фамилии, имена, даты рождения, национальности, адреса электронной почты и почтовые адреса, а также номера телефонов. При этом номера социального страхования, банковские реквизиты и удостоверения личности не были скомпрометированы.

Дайджест Start X № 394

Start X — Thu, 31 Oct 2024 23:29:51 +0300

Обзор новостей информационной безопасности с 25 по 31 октября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Выявлен всплеск мошеннических кампаний, нацеленных на соискателей удалённой работы. Новый вид мошенничества стремится получить быстрые выплаты от финансово уязвимых жертв.

Как действуют преступники

Обман начинается на платформах обмена сообщениями и в социальных сетях, где злоумышленники представляются рекрутерами.

Они предлагают удалённую работу в сферах музыкальных стримингов, оценки товаров и гостиничного бизнеса.

Соискателей просят зарегистрироваться на поддельном портале для выполнения оплачиваемых задач.

По мере выполнения заданий возникают «технические проблемы», из-за которых на аккаунте появляется отрицательный баланс. Для его пополнения жертве предлагают внести депозит, обещая доступ к более высокому доходу. В результате пользователи часто теряют сотни и даже тысячи долларов США.

Злоумышленники активно используют Telegram и WhatsApp, где создают фальшивые чаты с другими «работниками», чтобы поддерживать иллюзию успешного заработка и стимулировать жертв к новым вложениям.

Поддельные сайты часто имитируют бренды, такие как Temu и TikTok, а также гостиничные ассоциации. Высокий уровень вовлечённости позволяет мошенникам удерживать жертв в процессе.

Некоторые схемы оказались крайне прибыльными: за несколько месяцев мошенники собрали более 300 000 долларов США в криптовалютах Bitcoin и Ethereum.

Инциденты

Компания Change Healthcare официально подтвердила, что в результате кибератаки 21 февраля 2024 года были скомпрометированы данные более 100 млн человек. Происшествие стало крупнейшей утечкой защищённой медицинской информации (PHI) среди организаций, регулируемых HIPAA.

В ходе инцидента были похищены:

информация о медицинском страховании (первичные, вторичные и другие медицинские планы/полисы, данные о страховых компаниях, ID участников/групп, ID плательщиков Medicaid Medicare);
медицинские данные (номера медицинских карт, диагнозы, лекарства, результаты анализов, снимки, сведения об уходе и лечении);
информация о выставлении счетов, претензиях и платежах (номера претензий, номера счетов, коды выставления счетов, платежные карты, финансовая и банковская информация, данные о произведенных платежах);
прочие персональные данные, среди которых номера социального страхования, водительских прав, удостоверений личности, а также номера паспортов.

Похищенная информация может различаться для каждого конкретного пострадавшего, медицинские данные были раскрыты не во всех случаях.

Эту вымогательскую атаку и утечку данных связывают с хакерской группировкой BlackCat (ALPHV). Ранее в UnitedHealth Group признавали, что заплатили злоумышленникам выкуп, чтобы получить дешифровальщик и не дать хакерам обнародовать украденную во время атаки информацию. Сумма выкупа составила 22 млн долларов США. После его получения BlackCat отключила свои серверы и растворилась в небытии.

DLBI сообщает, что в свободный доступ на теневом форуме была выложена база данных «ВТБ-клиенты».

База содержит 6,1 млн строк: ФИО, номера телефонов, адреса эл. почты, даты рождения.

Известно, что данная база была составлена (обогащена) из нескольких других баз. За основу взята база, содержащая только номера телефонов и цифровые идентификаторы, размером более 9 млн строк и актуальностью 05.2022.

Проверка случайных номеров телефонов из оригинальной базы (9 млн телефонов) через Систему быстрых платежей (СБП) показала, что для всех этих номеров доступен банк «ВТБ».

Хакеры взломали аккаунт в соцсети основателя платформы Truth Terminal Энди Айри и использовали для продвижения мошеннического токена.

Злоумышленник разместил в профиле Айри адрес контракта нового токена с тикером IB, чтобы привлечь инвесторов и поднять рыночную стоимость актива.

Хакерский аккаунт получил 12,5% от общего объема токенов, что вызвало резкое увеличение капитализации до 25 млн долларов США. Заработав на операции более 600 тысяч долларов США, злоумышленник начал массовую продажу токенов, что привело к обвалу стоимости актива на 98% и сократило капитализацию до 500 тысяч долларов США.

Участники сообщества попытались стабилизировать цену токена и частично восстановили его стоимость. Айри временно вернул доступ к своему аккаунту и сообщил, что хакер получил контроль над профилем через атаку на мобильного оператора, воспользовавшись схемой «SIM-swap». Однако вскоре аккаунт вновь подвергся подозрительным действиям, указывающим на отсутствие полного контроля

В даркнете выставлены на продажу базы данных французского оператора связи Free: информация о клиентах мобильных услуг Free Mobile и абонентах интернет-платформы Freebox.

В двух базах содержатся персональные данные более 19 млн человек, а также свыше 5 млн банковских реквизитов IBAN.

Free Mobile официально подтвердила факт атаки 26 октября, но отказалась комментировать объём утечки. В заявлении компании сказано, что кибератака не затронула пароли, данные банковских карт, электронные письма, SMS и голосовые сообщения. Оператор также отметил, что инцидент не повлиял на работу сервисов и услуг.

Группировка RansomHub взломала оператора 13 мексиканских аэропортов, компанию Grupo Aeroportuario del Centro Norte (OMA).

Представитель OMA сообщил, что IT-специалистам пришлось перейти на резервные системы, чтобы продолжить работу.

RansomHub требует выкуп, угрожая опубликовать 3 Тб украденных данных.

OMA предупредила пассажиров о временных неудобствах. Экраны с информацией о рейсах пока не работают, но сотрудники помогают пассажирам найти нужные терминалы. В аэропортах также размещены QR-коды для поиска выхода на посадку.

Первое сообщение об инциденте было сделано 15 октября, когда в аэропортах OMA перестали работать экраны.

Один из крупнейших банков Перу, Interbank (ранее International Bank of Peru, Banco Internacional del Perú), сообщил об утечке данных после неудавшейся вымогательской атаки.

В Interbank подчеркивают, что большинство операций сейчас проводятся в штатном режиме, а вклады клиентов находятся в безопасности. Пока организация не раскрывает точное количество пострадавших клиентов.

Злоумышленник утверждает, что похитил полные имена клиентов Interbank, идентификаторы счетов, даты рождения, адреса, номера телефонов, адреса электронной почты и IP-адреса, а также номера банковских карт и CVV, информацию о сроках действия карт, данные о банковских операциях и другую конфиденциальную информацию, включая учётные данные в виде открытого текста.

Мошенники использовали конфиденциальные данные крупной налоговой компании H&R Block Canada, чтобы получить доступ к личным аккаунтам канадцев в канадском налоговом агентстве (CRA) и похитить более 6 миллионов долларов через поддельные налоговые возвраты.

Чтобы перевести деньги себе, мошенники меняли банковскую информацию на счетах пострадавших. Например, в одном случае злоумышленники указали поддельный адрес на несуществующей улице, чтобы скрыть махинации.

В ходе расследования стало известно, что сотрудники CRA обнаружили утечку данных H&R Block лишь когда на теневых онлайн-ресурсах стали предлагаться украденные данные.

Дайджест Start X № 393

Start X — Thu, 24 Oct 2024 20:19:58 +0300

Обзор новостей информационной безопасности с 18 по 24 октября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена волна рассылок с вредоносными вложениями, замаскированными под запросы от потенциальных клиентов или партнеров.

Кампания получила название Horns&Hooves («Рога и копыта») и продолжается с весны 2023 года. Целями хакеров стали как частные пользователи в России, так и предприятия из сферы торговли и услуг.

Как действуют преступники

Обычно письма атакующих содержат ZIP-архивы, внутри которых находятся файлы с вредоносными скриптами (обычно JScript).

Послания замаскированы под различные обращения: заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат, досудебные или обычные претензии.

Для создания видимости легитимности в архиве помимо скрипта действительно могут быть документы, относящиеся к конкретной организации или человеку, за которых выдают себя злоумышленники. Например, к письмам с запросом цен прилагаются выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учет и карточки компаний.

При запуске вредоносного скрипта на экране жертвы отображается документ-приманка, например таблица со списком товаров для закупки.

В результате таких атак на устройства жертв проникают трояны NetSupport RAT или BurnsRAT. Это вредоносные версии легитимных инструментов NetSupport Manager и Remote Manipulator System, возможностями которых злоупотребляют злоумышленники.

Установка RAT — лишь промежуточное звено в атаке. После заражения на некоторые устройства пытались установить еще и стилеры (например, Rhadamanthys и Meduza).

Последствия заражения для компаний могут быть разными в зависимости от того, в чьи руки в дальнейшем попадут украденные сведения: от кражи данных до шифрования и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.

Злоумышленники скомпрометировали эксклюзивного партнера компании ESET в Израиле и разослали клиентам фишинговые письма, предлагая под видом антивирусного ПО установить вредоносное ПО, уничтожающее данные.

Как действовали преступники

Хакеры рассылали жертвам электронные письма с логотипом ESET с легитимного домена eset.co.il, которым управляет компания Comsecure — израильский дистрибьютор продуктов ESET.

В письмах хакеры выдавали себя за представителей ESET Advanded Threat Defense Team и предупреждали, что некие правительственные хакеры якобы пытаются атаковать устройство клиента. Для защиты от этой угрозы жертве предлагалось установить продвинутый антивирусный инструмент ESET Unleashed, якобы предназначенный для «противодействия современным таргетированным угрозам».

Чтобы придать атаке большую легитимность, ссылка на загрузку ESET Unleashed тоже вела в домен eset.co.il.

Вредоносный ZIP-архив содержал четыре DLL-файла, подписанные подлинным цифровым сертификатом ESET, и файл Setup.exe, который не был подписан.

Все DLL-библиотеки представляли собой легитимные файлы, действительно распространяющиеся в составе антивирусного ПО ESET, а вот Setup.exe был вайпером, то есть малварью для стирания и уничтожения данных.

Вредоносное ПО использовало множество приемов, чтобы избежать обнаружения и обращалось к легитимному израильскому новостному сайту www.oref.org.il.

Мошенники рассылают поддельные квитанции на оплату услуг ЖКХ жителям Подмосковья. Внешне такие квитанции выглядят как обычные. Но деньги, которые переводят жители, попадают мошенникам.

Особенности кампании

В почтовом ящике человека оказывается документ, похожий на реальную квитанцию на оплату услуг ЖКХ.

Жертва оплачивает эти услуги, а позже приходит уже настоящая квитанция (вариант: настоящую квитанцию воруют мошенники, а через месяц приходит долговая квитанция от УК).

QR-код на бланке может содержать ссылку, при переходе по которой человек загрузит вредоносное ПО с предоставлением удалённого доступа к смартфону, на которому установлены банковские приложения и «Госуслуги».

В итоге человек может потерять не только те деньги, которые переведет преступникам, но и вообще все свои сбережения.

Инциденты

У децентрализованной платформы Radiant Capital похитили криптовалюту на сумму более 50 млн долларов США.

Хакеры получили доступ к приватным ключам разработчиков Radiant Capital, что в итоге позволило им похитить средства пользователей.

В компании заявили, что пострадавшие разработчики использовали аппаратные кошельки и находились в разных географических точках, что снижало вероятность скоординированной физической атаки, однако злоумышленники смогли скомпрометировать устройства как минимум трёх основных контрибуторов с помощью сложной инъекции вредоносного ПО. Затем эти скомпрометированные устройства использовались для подписи вредоносных транзакций.

По словам представителя Radiant Capital, компания «столкнулась с очень изощренным нарушением безопасности, в результате которого потеряла 50 миллионов долларов». Устройства разработчиков были скомпрометированы таким образом, что «отображали легитимные данные о транзакциях, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме». Также сообщается, что взломанные устройства «не демонстрировали никаких очевидных предупреждений, не считая незначительных сбоев и сообщений об ошибках».

Работа компании Casio нарушена из-за кибератаки вымогателя в начале октября. Представитель компании сообщил, что пока не видит перспектив восстановления, а все предпринимаемые меры усложняют выполнение заказов и взаимодействие с поставщиками.

Вымогательское ПО нарушило работу нескольких ключевых систем Casio. В результате компания временно приостановила приём товаров на ремонт и предупредила, что возобновление обслуживания ожидается не раньше конца ноября.

Ответственность за атаку взяли на себя вымогатели из группировки Underground. Преступники заявили, что похитили 204,9 ГБ данных, среди которых информация временных и штатских сотрудников, а также работников компаний-партнеров и бизнес-партнёров. Также хакеры получили доступ к данным соискателей, проходивших собеседования с Casio и её партнёрами.

Некоммерческая организация «Архив интернета» (Internet Archive) второй раз за этот месяц пострадала от хакерской атаки. Злоумышленникам удалось похитить аутентификационные токены GitLab и скомпрометировать Zendesk организации.

Первый взлом произошёл в середине октября, когда «Архив интернета» подвергся дефейсу, краже данных и мощным DDoS-атакам. Тогда злоумышленники сумели похитить информацию о 31 млн пользователей.

В прошедшие выходные множеству пользователей неожиданно пришли ответы на старые запросы по удалению контента из Internet Archive. Сообщения были написаны злоумышленниками и гласили, что организация взломана, поскольку небрежно обращалась со своими аутентификационными токенами, которые были похищены две недели назад во время первой атаки.

Письма прошли все проверки, аутентификацию DKIM, DMARC и SPF, и были отправлены авторизованным сервером Zendesk с адреса 192.161.151.10.

При этом некоторые читатели сообщили журналистам, что при запросе на удаление контента из Wayback Machine им приходилось указывать личные данные. Теперь эта информация тоже может находиться в руках злоумышленников, в зависимости от того, какой доступ они имели к Zendesk.

Неизвестные хакеры атаковали правительственный портал Кипра, чтобы заблокировать доступ к государственным онлайн-сервисам.

В результате DDoS-атаки на несколько минут был нарушен доступ к порталу «gov.cy», однако остальные сайты министерств и ведомств остались недоступными для злоумышленников и продолжали работать в штатном режиме.

Министерство исследований, инноваций и цифровой политики Кипра сообщило, что оперативная и скоординированная работа специалистов помогла предотвратить атаку. В ведомстве не раскрыли, кто стоит за атаками и какие мотивы могли ими руководить.

МИД РФ сообщил о «беспрецедентной» атаке на свой сайт.

Высказывают предположения, что хакерская атака может быть связана с успешно проходящим саммитом БРИКС в Казани.

Мария Захарова прокомментировала инцидент:

«Мы регулярно сталкиваемся с атаками на наш сайт, но сегодняшнее кибернападение отличается беспрецедентным масштабом, и для того, чтобы восстановить работоспособность интернет-ресурсов, мы решили не добавлять нагрузки на сайт в виде трансляции и перенести брифинг.»

По состоянию на 10.30 утра в четверг сайт МИД РФ работает.

Телеграм-канал «Утечки информации» сообщает, что в свободный доступ были выложены данные заказов и покупателей сети винных магазинов winestyle.

В текстовом файле, содержащем 1 154 694 строки, находятся: имена, телефоны (427 тыс. уникальных), адреса эл. почты (407 тыс. уникальных), адреса доставки, содержимое, даты и стоимость заказов, IP-адреса.

Данные датируются 23.10.2024.

Дайджест Start X № 392

Start X — Thu, 17 Oct 2024 20:52:28 +0300

Обзор новостей информационной безопасности с 11 по 17 октября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой зловредной кампании распространяют вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи.

Особенности кампании

Hijack Loader, также известный как DOILoader и SHADOWLADDER, распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов.

Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.

Эксперты наблюдали три вариации вредоносного скрипта PowerShell с середины сентября этого года. Среди них — скрипты, использующие «mshta.exe» и «msiexec.exe» для выполнения кода и загрузки вредоносных данных с удалённых серверов.

Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader.

Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.

Злоумышленники взламывают неактивные профили россиян в WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ) для дальнейшего обзвона и обмана других пользователей мессенджера под видом сотрудников банков или сотовых операторов.

Как действуют преступники

Мошенники взламывают аккаунты неактивных пользователей и начинают обзвон других пользователей мессенджера, выдавая себя за сотрудников банков или сотовых операторов.

Для создания доверия мошенники могут изменить изображение профиля на логотип компании.

Звонки поступают через мессенджер с номера жертвы, не подозревающей о взломе, что затрудняет идентификацию мошенничества. В результате со взломанного аккаунта могут проводиться массовые обзвоны.

Чаще всего жертвами такой схемы становятся пожилые люди, которым мессенджер установили дети или внуки.

Инциденты

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) сообщил, что каналы связи и инфраструктура нескольких операторов связи, а также инфраструктура крупного хостинг-провайдера подверглись массированным DDoS-атакам.

Максимальная мощность кибератаки составила до 1,73 Тбит/с. В атаке в основном принимали участие IP-адреса, зарегистрированные в США, Швеции и Великобритании, говорится в сообщении.

Атаки были успешно отражены с помощью средств Национальной системы противодействия DDoS-атакам (НСПА), созданной Роскомнадзором. Система обеспечивает дополнительную защиту ресурсов российского сегмента Интернета с использованием возможностей трансграничных технических средств противодействия угрозам (ТСПУ).

Хакер под ником IntelBroker заявил, что 6 октября он и его сообщники (EnergyWeaponUser и zjj) взломали компанию Cisco и похитили большое количество данных о разработчиках.

«Скомпрометированные данные: проекты Github, проекты Gitlab, проекты SonarQube, исходный код, жестко закодированные учетные данные, сертификаты, SRC клиентов, конфиденциальные документы Cisco, тикеты Jira, API-токены, приватные бакеты AWS, технологические SRC Cisco, сборки Docker, бакеты Azure Storage, приватные и публичные ключи, SSL-сертификаты, премиум-продукты Cisco и многое другое», — гласит сообщение IntelBroker на хакерском форуме.

В своём посте IntelBroker поделился образцами украденных данных, включая БД, информацию о клиентах, различную документацию для заказчиков и скриншоты порталов управления.

Хакер не предоставил никаких подробностей о том, как были получены все эти данные.

Представители Cisco сообщили журналистам, что уже расследуют эти заявления хакеров.

Японская компания Game Freak, совладелец и основной разработчик серии игр Pokemon, подтвердила, что в августе стала жертвой хакерской атаки.

Источник неожиданной откровенности — публикация на различных сайтах, в Discord, X и на Reddit многочисленных скриншотов исходных кодов и сборок предстоящих игр Pokemon, разработанных Game Freak.

Хотя Game Freak не признала факт утечки данных, в компании подтвердили, что в результате хакерской атаки были украдены личные данные 2600 сотрудников, подрядчиков, бывших работников, а также бывших партнеров по бизнесу.

Известно, что в руки хакеров попали полные имена и email-адреса сотрудников, то есть потенциальные риски от этой утечки должны ограничиваться фишинговыми атаками и таргетированным брутфорсом. Компания обещает, что с пострадавшими в результате этого инцидента свяжутся в индивидуальном порядке.

Хакеры похитили данные о системах Push-to-Talk (PTT) компании Verizon, предназначенных для государственных учреждений и служб быстрого реагирования.

Слабым звеном оказалась не сама Verizon, а сторонний провайдер, с которым сотрудничает компания.

Информацию выставил на продажу некто под ником Cyberphantom. Он заявил изданию, что работает с сообщником под ником Judische и ответственен за крупные взломы, вроде атак на AT&T и Ticketmaster.

Похищенные у Verizon данные действительно имеют некоторое сходство с информацией, украденной у компании AT&T летом текущего года. Тогда хакеры похитили метаданные звонков и текстовых сообщений 109 млн абонентов.

Взломщик подтвердил журналистам, что речь в объявлении идет о Verizon и добавил, что данные были получены из PTT-систем компании. Хотя Cyberphantom предоставил изданию несколько образцов данных, он отказался предоставить семпл, в котором фигурировали бы адреса и имена, упомянутые в объявлении.

Хакер сообщил, что не собирался вымогать у компании деньги, а решил сразу продать украденную информацию.

Дайджест Start X № 391

Start X — Thu, 10 Oct 2024 21:22:26 +0300

Обзор новостей информационной безопасности с 4 по 10 октября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Хакеры из группы Awaken Likho (она же Core Werewolf) атакуют российские госучреждения и промышленные предприятия.

Как действуют преступники

Злоумышленники используют для удалённого доступа к системам жертв агент для легитимной платформы MeshCentral.

Агент загружается на устройства жертв после перехода по вредоносной ссылке, которую пользователи получают в фишинговых письмах.

Перед атаками злоумышленники из Awaken Likho собирают как можно больше информации о своей цели, чтобы подготовить максимально убедительные послания.

Вредоносное ПО распространяется в самораспаковывающемся архиве, созданном при помощи 7-Zip. Всего архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы. Среди них файл с MeshAgent — агентом для легитимной платформы MeshCentral.

После открытия архива, содержащиеся в нем файлы и скрипты выполняются автоматически, и в результате малварь закрепляется в системе, а злоумышленники получают удалённый доступ к устройству цели.

Обнаружена новая схема мошенничества, связанная с блогерами, на которых подписано более 10 тыс. человек.

Особенности кампании

Преступники регистрируют фальшивые сайты и завлекают туда блогеров, которые в соответствии с законом обязаны предоставить сведения о себе в специальный перечень Роскомнадзора.

Кибераферисты обещают помочь с подачей данных и получить регистрацию СМИ без дополнительных сложностей.

За последние три месяца было зарегистрировано почти 500 подобных доменов и Telegram-каналов.

Никаких проблем с подачей документов в Роскомнадзор на самом деле нет, всё происходит быстро и бесплатно.

У доверчивых блогеров воруют личные данные и списывают деньги за «услугу» ускоренной регистрации.

В результате вместо передачи данных в РКН люди добровольно отдают информацию злоумышленникам, да ещё и платят им деньги.

Инциденты

Кибератака нарушила работу студии Red Barrels, разработчика популярных хоррор-игр Outlast и Outlast 2.

Представители Red Barrels сообщили, что внутренние IT-системы студии подверглись несанкционированному доступу, в результате чего злоумышленники получили доступ к части данных компании. Сразу после обнаружения атаки были приняты меры по обеспечению безопасности систем и содержащейся в них информации.

По заявлению Red Barrels, атака нанесла значительный ущерб производственным планам компании. В связи с этим некоторые этапы разработки будут задержаны, но студия приложит все усилия, чтобы следовать первоначальному плану. Ожидается, что в ближайшее время будут предоставлены более детальные обновления по этому вопросу.

Red Barrels не раскрыла подробностей о похищенных данных, однако получившие к данным утечки СМИ сообщают, что злоумышленники завладели исходными кодами игр, билдами, данными о сотрудниках и даже информацией о кредитных картах компании.

Утечка данных платформы онлайн-банкинга Bankingly затронула клиентов по всей Центральной и Южной Америке.

В открытом доступе обнаружены 7 хранилищ Azure Blob Storage, содержащие персональные данные почти 135 000 клиентов в Латинской Америке.

Утечка затронула жителей Доминиканской Республики, Мексики, Эквадора, Сальвадора, Боливии и Коста-Рики. Большая часть пострадавших, около 100 000 человек, — граждане Доминиканской Республики.

Под угрозой оказались следующие данные:
— ФИО;
— логины пользователей финансовых приложений;
— адреса электронной почты;
— номера телефонов.

Неизвестные злоумышленники взломали сайт Wayback Machine и похитили БД пользователей, содержащую более 31 млн уникальных записей.

Об атаке стало известно 9 октября 2024 года. Первыми взлом заметили посетители сайта archive.org, так как хакеры создали JavaScript-оповещение, в котором заявили, что Internet Archive скомпрометирован.

Похищенная БД содержит информацию о зарегистрированных пользователяъ, включая их адреса электронной почты, псевдонимы, временные метки смены паролей, хешированные bcrypt пароли и другую внутреннюю информацию.

В открытом доступе опубликованы данные клиентов сети быстрого питания «Бургер Кинг».

В дампе 5,6 млн строк за промежуток времени с 31.05.2018 по 25.08.2024. Каждая строка содержит:

имя,
телефон (4 886 993 уникальных номера),
адрес эл. почты (3 163 628 уникальных адресов),
дату рождения,
пол,
город,
любимую категорию/блюдо,
дату заказа.

Эксперты считают, что данные получены из мобильного приложения.

Хакерская группировка DumpForums заявила о компрометации инфраструктуры компании «Доктор Веб».

Через официальный Telegram-бот компании пользователям пришли сообщения о взломе, а хакеры уже опубликовали дампы нескольких БД внутренних ресурсов.

Как сообщают эксперты DLBI, хакеры обнародовали дампы ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и других ресурсов, содержащих актуальные на 17 сентября 2024 сведения.

В своем Telegram-канале группировка заявляет, что похитила у компании более 10 ТБ данных и скрывалась в сети компании более месяца:

«Нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи. Все проекты по улучшению безопасности теперь, кажется, нуждаются в защите сами по себе. Не оставили без внимания и ресурсы по управлению ПО. Клиентские базы данных. Да, данные пользователей, которые доверяли Dr.Web свою безопасность, мы так же выгрузили. Вишенка на торте — домен контроллер. Овладев им, нам оставалось лишь пополнять наши накопители, выгружая все больше данных».

Бывший сотрудник «Доктор Веб», пожелавший сохранить анонимность, подтвердил подлинность информации на опубликованных хакерами скриншотах.

Представители «Доктор Веб» выпустили официальное заявление, в котором настаивают, что сообщения о взломе не соответствуют действительности.

В открытом доступе обнаружены данные 1,2 млн клиентов магазина «Детский мир». Скомпрометированы пользователи сайта, мобильных приложений под Android и iOS.

В базе содержатся следующие данные:

номер бонусной карты;
фамилия имя;
телефон (1 082 110 уникальных);
эл. почта (1 079 373 уникальных);
метка юзер-агент (IOSApp, AndroidApp, website);
дата покупки.

Актуальность данных в утечке — август 2024 года.

На одном из теневых форумов выложили частичный дамп базы данных маркетплейса «Ярмарка Мастеров».

Полный дамп содержит: ФИО, 3,3 млн уникальных номеров телефонов, 6,3 млн уникальных адресов эл. почты, адреса доставки, данные заказов, частичные номера банковских карт, ссылки на соц. сети, IP-адреса и многое другое.

Информация актуальна на 05.10.2024.

Кибератака вызвала серьёзные сбои в работе японской компании Casio 5 октября и повлияла на доступность ряда услуг.

В настоящий момент компания совместно с привлечёнными внешними специалистами проводит расследование для выяснения масштабов и последствий взлома. Основное внимание уделяется проверке возможной компрометации личных данных и другой конфиденциальной информации.

Компания заверила своих клиентов и партнёров, что предпринимаются все необходимые шаги для защиты её сетевой инфраструктуры и предотвращения подобных инцидентов в будущем. «Мы быстро отреагировали на ситуацию и сотрудничаем с экспертами для улучшения нашей системы безопасности», — говорится в официальном заявлении.

Мошенники взломали сайт Lego и рекламировали там фальшивый токен Lego, который можно купить за Ethereum.

Во время атаки баннер на главной странице сайта заменили на картинку, изображавшую криптовалютные токены с логотипом Lego и текстом: «Наш новый Lego Coin официально запущен! Покупайте новую монету Lego сегодня и получайте секретные награды».

Взлом произошел около 21:00 вечера 4 октября 2024 года. Уже в 22:15 сайт очистили от рекламы несуществующего токена, то есть «время славы» взломщиков составило 75 минут.

Мошенники, стоящие за этой атакой, не заманивали пользователей на вредоносный сайт с малварью для кражи криптовалюты. Кликнув по ссылке «Купить сейчас», посетители попадали на платформу Uniswap, где могли приобрести мошеннический токен Lego, используя Ethereum.

Представители Lego подтвердили факт взлома, однако не стали делиться подробностями о том, как именно хакеры сумели получить доступ к сайту.

ИТ-системы Всероссийской государственной телевизионной и радиовещательной компании (ВГТРК) подверглись «беспрецедентной хакерской атаке» в ночь на 7 октября 2024 года. Представители медиахолдинга заверили, что инцидент не нанес существенного урона работе.

Утром 7 октября СМИ сообщили, что онлайн-вещание и внутренние сервисы ВГТРК перестали работать из-за хакерской атаки:

«ВГТРК подверглась беспрецедентной хакерской атаке. Не работает онлайн-вещание и внутренние сервисы, даже интернета нет и телефонии. Это надолго. Слышал, что стерли все с серверов, включая резервные копии. Они работают в аврале с 6 утра.»

Вскоре факт атаки подтвердили и сами представители медиахолдинга:

«В ночь на 7 октября онлайн-сервисы ВГТРК подверглись беспрецедентной хакерской атаке, однако существенный урон работе медиахолдинга нанесен не был, — сообщили ВГТРК. — Специалисты холдинга ведут работу над устранением последствий этого вредоносного вмешательства».

Представители ВГТРК подчеркнули, что, несмотря на попытки прервать вещание федеральных телеканалов и радиостанций холдинга, «все работает в штатном режиме, существенной угрозы нет».

Дайджест Start X № 390

Start X — Thu, 03 Oct 2024 23:57:59 +0300

Обзор новостей информационной безопасности с 27 сентября по 3 октября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Trend Micro предупреждает о новой фишинговой кампании, нацеленной на HR-специалистов. Злоумышленники рассылают фишинговые письма, замаскированные под обращения соискателей, чтобы проникнуть в сети крупных организаций и заразить их JavaScript-бэкдором «More_eggs».

Особенности кампании

Фишинговые письма направлялись сотрудникам по подбору персонала и содержали ссылку на загрузку резюме.

Фальшивое резюме упаковано в ZIP-архив, содержащий LNK-файл.

Когда жертва открывала архив и запускала ярлык, выполнялись зашифрованные команды, запускающие вредоносную DLL.

DLL после запуска скачивала и запускала бэкдор More_eggs.

Вредонос в процессе запуска проверяет уровень привилегий пользователя и выполняет команды для сбора информации о системе, после чего связывается с сервером управления для получения дополнительных модулей.

F.A.C.C.T. предупреждает о фишинговой кампании против российских организаций, в ходе которой распространяется вредоносное ПО RedLine Stealer, Agent Tesla, FormBook и Snake Keylogger.

Особенности кампании

Обычно преступник рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний.

В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам: narketing163@gmail[.]com, tender12@mail[.]com, verconas@mail[.]com, kubrayesti@gmail[.]com

В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем, что указывает на использование VPN и прокси-серверов.

Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.

К письмам прилагался архив, содержащий вредоносный исполняемый файл. Если жертва запускала этот файл, на её компьютер устанавливался один из зловредов.

Кроме россиян, Narketing163 атакует пользователей из разных стран, в числе которых: Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Злоумышленник рассылал письма на русском, азербайджанском, турецком и английском языках.

Инциденты

Группировка Handala Hack выложила в открытый доступ конфиденциальные данные экс-начальника Генштаба Армии обороны Израиля Габриэля Ашкенази и бывшего министра обороны Бенни Ганца.

23 сентября та же группа обнародовала 35 000 конфиденциальных писем, предположительно принадлежащих Бенни Ганцу. На следующий день хакеры добавили архив с 2 000 фотографиями Ганца, заявив, что обнаружили доказательства его участия во множестве «секретных встреч, имевших разрушительные последствия».

26 сентября хакеры опубликовали два защищенных паролем архива, якобы содержащих 60 000 секретных электронных писем Ашкенази. Чтобы подтвердить подлинность информации, Handala Hack выложили несколько личных фотографий политика.

30 сентября хакеры заявили о взломе израильского Центра ядерных исследований Сорек и краже 197 Гб данных.

Хакер взломал публичный Wi-Fi на 19 ж/д станциях в Великобритании и пугал подключающихся пассажиров сообщениями о терактах.

Сообщения появлялись на экранах устройств пользователей, подключившихся к сети Wi-Fi, которой управляет Network Rail. Сервис поддерживается подрядчиком Telent, а интернет предоставляет компания Global Reach Technology.

Telent заявила, что инцидент — это акт кибервандализма и подчеркнула, что ситуация не связана с проблемами безопасности сети или техническим сбоем. Сейчас Telent работает с Network Rail, Global Reach и транспортной полицией, чтобы устранить проблему, и планирует восстановить Wi-Fi к концу недели.

Один из пользователей, подключившись к Wi-Fi на одной из станций, увидел на экране сообщения с подробностями терактов в Великобритании и Европе, с фото из новостных репортажей. «Экран засветился странными предупреждениями и всплывающими окнами», — рассказал он. «Я начал паниковать — что, если это было что-то опасное?»

Представитель Network Rail подтвердил киберинцидент и сообщил, что атака могла затронуть и другие организации. На время расследования Wi-Fi-сервис приостановлен.

Злоумышленники взломали облачного хостинг-провайдера Rackspace и похитили «ограниченные клиентские данные».

Для проникновения в инфраструктуру Rackspace использовали уязвимость нулевого дня в стороннем инструменте платформы ScienceLogic SL1.

ScienceLogic SL1 представляет собой платформу для мониторинга, анализа и автоматизации инфраструктуры организаций, включая облака, сети и приложения. Она позволяет осуществлять мониторинг в режиме реального времени, соотносить события и автоматизировать рабочие процессы для более эффективного управления и оптимизации ИТ-сред.

Компания Rackspace, предоставляющая услуги управляемых облачных вычислений (хостинг, хранение данных, ИТ-поддержка), использует ScienceLogic SL1 для мониторинга своей ИТ-инфраструктуры и сервисов.

Представители ScienceLogic сообщили, что оперативно выпустили патч для устранения проблемы и распространили его среди всех пострадавших клиентов.

Cloudflare сообщила об отражении рекордной DDoS-атаки, мощность которой достигала 3,8 Тбит/с.

Для проведения атаки предположительно использовался ботнет, состоящий из маршрутизаторов Asus и Mikrotik, а также DVR и веб-серверов. Целью атаки были неназванные глобальные финансовые организации, ИТ- и телеком-операторы.

Данная атака превзошла по мощности рекорд ноября 2021 года, когда злоумышленники пытались вывести из строя сервисы Microsoft. Тогда мощность атаки составила 3,47 Тбит/с.

Специалисты Cloudflare считают, что атака была проведена через ботнет, объединяющий скомпрометированные маршрутизаторы, DVR и веб-серверы, которые и генерировали мусорный трафик в большом объёме. Помимо устройств MikroTik были задействованы маршрутизаторы Asus, где недавно была обнаружена критическая уязвимость. Всего в атаке было использовалось более 157 тысяч устройств из разных стран, среди которых Вьетнам, Россия, Бразилия, Испания и США.

Хакеры атаковали информационное агентство AFP (Agence France-Presse, Агентство Франс Пресс) и нарушили нормальную работу его ИТ-систем и сервисов доставки контента. В организации подчеркивают, что атака не повлияла на освещение новостей, однако затронула некоторые клиентские сервисы.

ИТ-служба AFP совместно с национальным агентством по безопасности информационных систем Франции (ANSSI) работает над устранением последствий атаки. При этом пока не раскрывается никаких подробностей ни о самом инциденте, ни о стоявших за ним злоумышленниках.

В агентстве не уточнили, какие именно сервисы пострадали из-за случившегося, известно, что AFP предоставляет своим клиентам новостные ленты в режиме реального времени, контент-услуги по подписке, индивидуальные новостные пакеты и доступ к архивам контента. В настоящее время некоторые из этих сервисов могут не работать.

Представители AFP предупредили другие медиакомпании о том, что хакерская атака могла скомпрометировать учётные данные FTP, используемые для получения контента AFP.

Вымогатели нарушили работу университетского медцентра в Лаббоке, штат Техас. Больница не смогла принимать экстренных больных, поступающих со скорой помощи.

Больница обнаружила подозрительную активность в одной из своих IT-сетей и отключила её от основной компьютерной системы.

Представители больницы сообщили, что принимают меры для минимизации перебоев в лечении пациентов и работе критических служб, но расследование инцидента займёт какое-то время.

UMC — это больница уровня один, что означает, что она может справляться с самыми тяжелыми случаями и поддерживает круглосуточную команду специалистов. Центр является единственным подобным учреждением в радиусе почти 400 миль, и любое ухудшение его работы может быть опасным для жизни.

В результате атаки на протокол децентрализованных финансов Onyx похищены активы на сумму 3,8 млн долларов США.

Основной причиной кибератаки стал известный баг в кодовой базе Compound Finance версии 2, который уже использовался для кражи средств с Onyx в ноябре прошлого года.

Сообщают, что уязвимость существовала в контракте ликвидации NFT, который способствовал реализации атаки. Проблема заключалась в том, что контракт неправильно проверял ввод данных пользователей, что позволило злоумышленникам завысить вознаграждение за самоликвидацию активов.

Команда Onyx подтвердила факт использования этого уязвимого контракта и указала его как основной фактор, приведший к инциденту

По информации PeckShield, злоумышленники вывели 4,1 млн виртуальных USD (VUSD), 7,35 миллиона Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), около 5000 долларов США в стейблкоине Dai (DAI) и 50 000 в USDT. Общая сумма потерь составила более 3,8 млн долларов США.

Хакеры воспользовались связанной с uniBTC уязвимостью для хищения почти 2 млн долларов США в криптовалюте у DeFi-платформы Bedrock.

Команда Bedrock заверила пользователей, что инцидент уже находится под контролем и предпринимаются меры по устранению его коренных причин. Оставшиеся средства в безопасности, и в ближайшее время будет представлен план возмещения убытков. Bedrock также готовит отчет с подробным анализом произошедшего и пообещала вскоре поделиться им с сообществом.

Большинство потерь произошло в пулах ликвидности на децентрализованных биржах, однако, как отметила команда протокола, сами токены wrapped BTC и обычные BTC, хранящиеся в резервах, остались в безопасности.

Дайджест Start X № 389

Start X — Thu, 26 Sep 2024 22:42:07 +0300

Обзор новостей информационной безопасности с 20 по 26 сентября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Для распространения малвари AsyncRAT используется вредоносный код, созданный при помощи ИИ.

Особенности кампании

Атаки начинались с обычных фишинговых писем, содержащих приманку в виде некой счет-фактуры в формате зашифрованного HTML-вложения.

Расшифрованное вложение содержало VBScript, после изучения которого выяснилось, что «злоумышленник тщательно закомментировал и структурировал весь код», что редко случается, если над кодом работал человек.

VBScript предназначался для закрепления на зараженной машине, создавая запланированные задачи и новые ключи в реестре Windows.

Комментарии подробно описывали, для чего именно предназначен код. Так обычно делают генеративные ИИ-сервисы, когда предоставляют примеры кода с пояснениями.

Также на работу ИИ указывала структура скриптов, комментарии к каждой строке и выбор французского языка для имен функций и переменных.

В итоге в систему жертвы загружался и выполнялся AsyncRAT — малварь с открытым исходным кодом, которая позволяет перехватывать нажатия клавиш, обеспечивает зашифрованное соединение с машиной пострадавшего, а также может скачивать дополнительные полезные нагрузки.

Мошенники похищают деньги россиян, предлагая обновить банковское приложение.

Как действуют преступники

Мошенники в разговоре представляются сотрудниками финансовой организации и предлагают установить «правильную версию» банковского приложения.

Преступники настаивают на скорейшем обновлении программы — в противном случае банк якобы заблокирует счета и карты клиента.

Жертве высылают ссылку для скачивания программы, однако после перехода по ней экран смартфона блокируется.

Мошенники получают доступ к кабинету пользователя в приложении, клиенту приходит СМС-код, с помощью которого злоумышленники выводят деньги со счета.

Обнаружена вредоносная кампания группировки SloppyLemming, направленная против правоохранительных структур и АЭС Пакистана, военных и правительственных учреждений Шри-Ланки и Бангладеш, а также китайских компаний энергетического и образовательного секторов.

Особенности кампании

Группировка использует сервисы облачных провайдеров для сбора учётных записей, распространения вредоносного ПО и управления атаками.

Основной метод атак — фишинговые письма, побуждающие жертв нажать на вредоносную ссылку якобы для выполнения обязательного действия в течение 24 часов.

Переход по ссылке приводит на страницу для кражи учётных данных. В результате злоумышленники получают доступ к корпоративной электронной почте.

Для реализации этой атаки SloppyLemming использует инструмент CloudPhish, который создаёт вредоносные Cloudflare Workers и перехватывает данные учётных записей.

Зафиксированы случаи, когда хакеры использовали уязвимость CVE-2023-38831в WinRAR для удалённого выполнения кода, отправляя заражённые RAR-архивы, маскирующиеся под файлы из приложения для сканирования CamScanner. Внутри архива находится исполняемый файл, загружающий троян с Dropbox.

Ранее в аналогичной кампании SideCopy хакеры распространяли Ares RAT с использованием ZIP-архивов под названием «DocScanner_AUG_2023.zip» и «DocScanner-Oct.zip». Целью атаки тогда были индийские государственные и оборонные ведомства.

Третий метод заражения от SloppyLemming перенаправляет жертв на поддельный сайт, имитирующий официальный ресурс Совета информационных технологий Пенджаба в Пакистане. С этого сайта они попадают на другой сайт, где они скачивают вредоносный ярлык, ведущий к исполняемому файлу «PITB-JR5124.exe». Этот файл запускает загрузку вредоносной DLL-библиотеки, которая связывается с Cloudflare Workers для передачи данных злоумышленникам.

Инциденты

Компания Cencora, один из крупнейших дистрибьюторов лекарственных препаратов, заплатила хакерам крупнейший в истории выкуп в размере 75 млн долларов США.

Сообщается, что сумма в биткоинах была переведена в 3 этапа. Также известно, что первоначальная сумма выкупа составляла 150 млн долларов США.

Представители Cencora отказались комментировать инцидент. В своём заявлении они рекомендовали всем заинтересованным
использовать публично доступную информацию. В квартальном отчёте компании отражены расходы, связанные с кибератакой, однако полная сумма убытков остаётся неясной.

Сообщения о выкупе в размере 75 млн долларов США впервые появились в июле, когда вымогательская группировка Dark Angels получила крупный платёж, но не назвала жертву. О том, что выкуп заплатила Cencora, стало известно после расследования Bloomberg.

По словам экспертов, выплата такого масштаба была ранее немыслимой. Крупнейший зафиксированный выкуп до этого составлял 40 млн долларов США, которые заплатила вымогателями страховая компания CNA Financial Corp. в 2021 году.

Блокчейн-платформа Truflation подтвердила факт хакерской атаки и кражу криптоактивов почти на 5 млн долларов США.

Компания по кибербезопасности Cyver оценила общие потери примерно в 57 миллионов токенов TRUF, что на момент атаки составляло 4,6 млн долларов США. Генеральный директор платформы сообщил, что были похищены и другие токены.

В результате инцидента курс TRUF упал на 10% за один день. Truflation заявляет, что средства клиентов не пострадали, и пользователи не подвергаются риску. Компания выделила 1 млн долларов США в качестве компенсационного фонда для возможных пострадавших пользователей.

Платформа предлагает вознаграждение «белым хакерам», которые помогут в расследовании или возврате средств, а также пытается установить контакт и договориться с атакующим.

Компания MC2 Data, занимающаяся проверкой биографий, допустила утечку персональной информации трети населения США.

Расследование показало, что база данных размером в 2,2 ТБ, содержащая более чем 106 млн записей, находилась в открытом доступе без пароля. Эксперты обнаружили её 7 августа. Сколько времени она была доступна любому желающему, неизвестно.

Утечка затронула более 100 млн человек, а также 2,3 млн пользователей, подписавшихся на услуги компании для проведения проверок.

В открытый доступ попали:

Имена;
Email-адреса;
IP-адреса;
User Agent;
Зашифрованные пароли;
Платёжная информация (частично);
Домашние адреса;
Даты рождения;
Номера телефонов;
Записи о недвижимости;
Правовые документы;
Реестр собственности;
Данные о семье, родственниках, соседях;
Трудовой стаж.

В результате кибератаки у сингапурской криптовалютной платформы BingX похитили более 44 млн долларов США в криптовалюте. Это одно из крупнейших криптоограблений в текущем году.

19 сентября 2024 года блокчейн-аналитики обратили внимание, что у BingX утекают миллионы долларов. Вскоре после этого компания оповестила пользователей о временном отключении, связанном с «обслуживанием кошелька».

В развернутом заявлении, появившемся чуть позже, сообщалось, что отключение произошло после того, как компания «обнаружила аномальную активность в своей сети, что, возможно, указывает на хакерскую атаку на горячий кошелек BingX».

После проведённого аудита выяснилось, что потери составили около 44,7 млн долларов США по текущему курсу.

Сообщается, что уже удалось «заморозить 10 млн долларов» из похищенной злоумышленниками суммы.

Компания MoneyGram приостановила работу своих систем и сервисов перевода денежных средств из-за киберинцидента. Платежи через системы MoneyGram, как оффлайн, так и онлайн, остаются недоступными, а компания пока не предоставляет информации о сроках восстановления работы.

О проблемах стало известно 22 сентября, когда MoneyGram сообщила о сбое в сети, который нарушил связь с рядом систем компании. Уже 23 сентября компания уточнила, что сбой вызван кибератакой. Представители MoneyGram избегают использования термина «вымогательское ПО», и до сих пор ни одна хакерская группировка не взяла на себя ответственность за инцидент.

После обнаружения инциденты компания начала расследование и отключила часть систем. Для устранения последствий привлечены внешние эксперты в области кибербезопасности.

Официальный аккаунт OpenAI в соцсети Илона Маска атаковали криптовалютные мошенники.

Вечером 23 сентября на странице OpenAI Newsroom появилось сообщение о новом блокчейн-токене «$OPENAI». Пост содержал информацию о возможности для пользователей OpenAI получить часть первоначального предложения токенов, которые якобы предоставят доступ к будущим бета-программам компании.

Комментарии в посте были отключены, а ссылка вела на фишинговый сайт, имитирующий официальный ресурс OpenAI. Злоумышленники использовали кнопку «CLAIM $OPENAI» для попытки получения доступа к криптовалютным кошелькам пользователей. Впоследствии пост был удалён, официального комментария от представителей компании не поступало.

Дайджест Start X № 388

Start X — Thu, 19 Sep 2024 21:14:58 +0300

Обзор новостей информационной безопасности с 13 по 19 сентября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Очередная мошенническая кампания направлена на пользователей Mac, которые ищут поддержку или расширенную гарантию через сервис AppleCare+.

Особенности кампании

Злоумышленники покупают рекламу в Google, чтобы заманить потенциальных жертв на фальшивые страницы, размещённые на GitHub.

Основная цель мошенников — связать жертву с «сотрудниками» Apple, которые на самом деле являются операторами колл-центров, занимающимися социальной инженерией. Эти фальшивые агенты убеждают людей передать им деньги или личные данные.

Страницы, имитирующие официальный сайт поддержки AppleCare+, размещены на GitHub в виде HTML-шаблонов с использованием логотипов и стиля Apple.

Мошенники создают несколько аккаунтов на платформе, каждый из которых содержит репозиторий с идентичным поддельным контентом.

Чтобы избежать блокировок, номера телефонов на таких страницах часто меняются, как показала история изменений на GitHub.

Особенностью кампании — автоматический вызов окна набора номера, что облегчает контакт с мошенниками. Всего два клика — и жертва уже на связи с фальшивым «сотрудником» службы поддержки.

Мошенники пользуются тем, что многие пользователи доверяют рекламе в Google и попадают на поддельные страницы. Такие страницы могут выглядеть почти как официальные, благодаря использованию логотипов и дизайна Apple. Объявления с фальшивыми ссылками могут отображаться выше официальных результатов в поисковой выдаче, что делает их ещё более опасными.

Основной риск для пострадавших — потеря крупных денежных сумм. Мошенники часто просят жертв перевести деньги со своих банковских счетов различными способами. В некоторых случаях мошенники собирают личные данные, такие как адрес, номер социального страхования и банковские реквизиты, что позволяет им шантажировать жертву или передать её данные другим злоумышленникам.

Обнаружены массовые фишинговые рассылки, нацеленные на российские отели, гостевые дома, санатории и другие объекты размещения. Цель мошенников — кража доступа к бизнес-аккаунтам организаций на популярных сервисах онлайн-бронирования.

Схема действий преступников

Фишеры пишут на корпоративную почту отеля под видом потенциального гостя, а затем присылают сообщение с другого почтового адреса, уже выдавая себя за сервис бронирования. Хотя контент в письмах от «постояльцев» и «сервиса бронирования» не связан друг с другом, эксперты считают, что это этапы одной и той же атаки.

Сначала атакующие начинают переписку с гостиницей под видом потенциальных постояльцев. Мошенники утверждают, что увидели отель на популярном сервисе онлайн-бронирования, а затем они ссылаются на путешествие с семьей и просят сообщить ближайшие даты, когда есть свободные номера.

В других случаях атакующие уточняют, соответствуют ли фотографии в сервисе бронирования действительности и просят предоставить номер телефона для связи. При этом в письмах нет каких-либо фишинговых ссылок или вредоносных вложений.

После этого на email организации приходит письмо с другого почтового адреса — якобы от сервиса онлайн-бронирования, который упоминали фальшивые постояльцы на первом этапе атаки. В этом письме сообщается, что недавно отелю был направлен требующий особого внимания запрос, но по легенде злоумышленников, отель на него не ответил.

Атакующие запугивают жертв, заявляя, что из-за этого инцидента отель будет заблокирован в сервисе и удалён с платформы. Чтобы этого не произошло, предлагается нажать на кнопку в теле письма и перейти в аккаунт объекта размещения на сервисе онлайн-бронирования.

На самом деле за кнопкой скрывается ссылка на фишинговый ресурс. Если работник отеля перейдёт по этой ссылке и введет учётные данные, они попадут в руки мошенников.

Мошенники крадут ключи от мобильного банкинга с помощью видеозвонков и функции демонстрации экрана.

Схема действий преступников

Мошенники атакуют продавцов, разместивших объявления на онлайн-площадках, и предлагают воспользоваться мессенджером.

Злоумышленник звонит по телефону, сообщает, что готов купить товар, но сначала хочет рассмотреть его, поэтому настаивает на использовании видеосвязи.

Для подтверждения подлинности объявления он также просит включить трансляцию экрана.

Затем мошенник делает вид, что произвел оплату.

Продавец проверяет наличие перевода, зайдя из уведомления в банковское приложение, при этом все необходимые для доступа данные, включая одноразовый код, высланный в виде СМС, отображаются на экране.

Используя слитую таким образом информацию, другой участник мошеннической схемы подает запрос на смену номера телефона, привязанного к аккаунту жертвы, и быстро выводит деньги со счета.

Инциденты

Неизвестный хакер похитил 440 Гб файлов с Sharepoint-сервера компании Fortinet.

Похититель опубликовал информацию об утечке на хакерском форуме. Хакер также поделился учётными данными для доступа к хранилищу S3, где хранятся украденные файлы.

Злоумышленник утверждает, что пытался шантажировать Fortinet с целью получения выкупа, однако компания отказалась платить.

Fortinet подтвердила факт кражи данных клиентов из облачного хранилища и заверила, что инцидент не является вымогательской атакой и не связан с развертыванием шифровальщика. Представитель компании заявил:

«Неизвестное лицо получило несанкционированный доступ к ограниченному числу файлов, хранящихся в облачном хранилище Fortinet, которые включали данные, связанные с небольшим количеством клиентов Fortinet».

В результате взлома криптовалютной биржи Indodax было похищено более 22 млн долларов США в различных токенах. Атака, направленная на горячие кошельки платформы, произошла рано утром 10 сентября.

Среди украденных средств:

более 14 млн долларов США в Ethereum (ETH);
2,4 млн долларов США в Tron (TRX);
1,4 млн долларов США в Bitcoin (BTC);
2,5 млн долларов США в токенах Polygon (MATIC).

Представители биржи подтвердили факт взлома, приостановили операции на платформе и заявили, что проводится техническое обслуживание. Некоторые пользователи стали жаловаться на невозможность увидеть балансы своих кошельков.

В открытом доступе обнаружен дамп базы данных телеком-оператора «ZT» (бывш. «Зонателеком»), предоставляющего сервисы для учреждений ФСИН России.

Информация в дампе актуальна на 26.03.2024 и содержит:

ФИО, номера телефонов (198 тыс. уникальных),
адреса эл. почты (120 тыс. уникальных),
хешированные пароли (MD5 с солью и SHA512-Crypt),
названия исправительных учреждений ФСИН,
года рождения и многое другое.

На одном из теневых форумов в свободный доступ выложили дамп базы данных с информацией страховой компании «Спасские Ворота».

Дамп содержит около 70 тыс. уникальных номеров телефонов, 100 тыс. уникальных адресов эл. почты, хешированные пароли и другую информацию, включая логи обращения к API на сервере spasskievorota.ru.

Этот дамп совпадает по формату и системным пользователям в одной из таблиц с дампами других страховых компаний.

Вымогатели RansomHub атаковали Kawasaki Motors Europe.

Атака произошла в начале сентября и была нацелена на европейскую штаб-квартиру Kawasaki. В результате инцидента все серверы компании были временно отключены для проверки на наличие вредоносного ПО. Специалисты IT-отдела вместе с внешними экспертами по кибербезопасности вручную проверяли каждый сервер перед тем, как подключить их обратно к корпоративной сети.

Компания сообщает, что инцидент не затронул ключевые бизнес-операции — деятельность дилеров, поставщиков и логистику.

Группировка RansomHub взяла на себя ответственность за кибератаку и заявила, что похитила 487 ГБ данных из сети компании. Хакеры угрожают опубликовать все украденные данные, если их требования не будут выполнены.

Неизвестно содержатся ли в похищенных данных сведения о клиентах компании. Представители Kawasaki от комментариев отказались.

Школьный округ в штате Тенесси потерял более 3 млн долларов США из-за мошенников.

Сотрудник отдела финансов школьного округа Джонсон получил письмо, которое посчитал официальным запросом от компании Pearson, поставщика учебных материалов. Мошенники воспользовались доменом pearson.quest, который внешне напоминал официальный адрес компании Pearson, предоставляющей образовательные ресурсы для онлайн-обучения.

Обменявшись с мошенниками информацией о банковских реквизитах и датах платежей, сотрудник школы провёл два платежа на общую сумму 3,36 млн долларов США. Через 2 недели банк округа сообщил о подозрительной активности, но деньги уже успели уйти на другие счета.

Расследование показало, что деньги были переведены на банковские счета 76-летнего жителя Техаса. Он открывал счета и принимал переводы по просьбе своей «невесты», которую видел всего несколько раз, пока она не уехала за границу «для решения наследственных вопросов». Мужчина был уверен, что помогает ей получить наследство от отца, которое она не могла перевести на счета в США.

Дайджест Start X № 387

Start X — Thu, 12 Sep 2024 20:52:20 +0300

Обзор новостей информационной безопасности с 6 по 12 сентября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания по распространению нового вида мобильного вредоносного ПО, нацеленного на мнемонические ключи из 12 слов для восстановления криптовалютных кошельков.

Особенности кампании

Вредоносное ПО распространяется через фишинговые сообщения и социальные сети, где пользователям предлагается перейти по ссылкам на поддельные сайты, выглядящие как настоящие.

После перехода на такой сайт предлагается загрузить вредоносный APK-файл под видом банковской, государственной или просто полезной программы.

Во время установки приложение запрашивает разрешения на доступ к SMS-сообщениям, контактам и другим данным, которые используются для компрометации устройства.

После установки вредоносное ПО начинает красть информацию и отправлять её на серверы злоумышленников. Оно может получать команды для управления устройством, включая изменение звуковых настроек и отправку SMS-сообщений.

Злоумышленники используют уязвимые командные серверы с слабыми настройками безопасности, что позволило исследователям получить доступ к их содержимому.

Один из ключевых аспектов атаки — получение мнемонических фраз для доступа к криптовалютным кошелькам. Сервера обрабатывают изображения с устройства, используя технологию оптического распознавания символов (OCR), что позволяет извлекать текст из фотографий и упрощает дальнейшее использование данных.

Минздрав предупреждает о новой мошеннической схеме.

Как действуют преступники

Аферисты звонят и убеждают установить новое «приложение Минздрава», если недавно проходили медицинские обследования, чтобы получить кешбэк.

После того, как приложение оказывается в телефоне, мошенники дают жертве форму для ввода данных и получают доступ к банковской карте.

Внимание!

У Минздрава России нет никаких специальных приложений.
Все цифровые сервисы доступны на Едином портале госуслуг.
Будьте бдительны и не передавайте никому данные ваших банковских карт!

Инциденты

Хакеры атаковали и вывели из строя сайты АО «Аналитический Центр» (удостоверяющий центр «Основание») www.uc-osnovanie.ru и www.iecp.ru.

АО «Аналитический Центр» не хранит закрытые (непубличные) ключи электронных подписей, поэтому электронные подписи пользователей, получивших сертификаты ключей в АО «Аналитический Центр», не скомпрометированы.

В настоящее время выдача новых сертификатов ключей проверки электронной подписи приостановлена, организация совместно с НКЦКИ проводит анализ инцидента и восстанавливает работу удостоверяющего центра.

Представительства УЦ «Основание» имеются в 60+ регионах РФ. УЦ является доверенной организацией удостоверяющего центра ФНС и выдаёт квалифицированные электронные подписи юрлицам и индивидуальным предпринимателям.

Кибератака привела к закрытию 34 школ в штате Вашингтон. Инцидент затронул спортивные мероприятия и собрания, а первоклассники не смогли начать учебный год.

Администрация округа заявила, что обнаружила несанкционированную активность в своих технологических системах и сразу предприняла меры для их защиты. В настоящий момент федеральные и региональные специалисты по кибербезопасности принимают активное участие в восстановлении нормальной работы сетей.

Персоналу округа запретили использовать служебные компьютеры и ноутбуки, интернет в школах был отключен. Пресс-секретарь округа отметила, что утечек личных данных сотрудников или учеников пока не зафиксировано, однако пострадал доступ к ключевым системам, в том числе к управлению школьным транспортом.

Кибератака на провайдера платежных услуг Slim CD привела к утечке данных и компрометации банковских карт и персональных данных 1,7 млн человек.

В уведомлении, направленном пострадавшим клиентам, компания сообщила, что хакеры сохранили доступ к ее сети почти год — с августа 2023 по июнь 2024 года. Подозрительную активность заметили только 15 июня текущего года, но в ходе расследования выяснилось, что хакеры получили доступ к сети Slim CD еще 17 августа 2023 года.

Представители компании заявили, что злоумышленники получили доступ к данным о банковских картах и просматривали информацию о них только в течение двух дней, между 14 и 15 июня 2024 года.

В руки хакеров могли попасть следующие данные:

полное имя пользователя;
физический адрес;
номер банковской карты;
дата окончания срока действия карты.

Телеграм-канал «Утечки информации» сообщает, что хакеры выложили в открытый доступ копию базы данных с информацией о клиентах и сотрудниках сети фитнес-клубов «World Class».

Экспертам удалось проанализировать таблицы из этой базы, содержащие данные примерно 2,2 млн юридических и физических лиц (активных, неактивных и потенциальных клиентов) и 10,1 тыс. сотрудников.

В таблицах с клиентами находится:

ФИО (или название организации);
адрес;
телефон (1,9 млн уникальных номеров);
адрес эл. почты (712 тыс. уникальных адресов);
дата рождения;
пол;
паспортные данные (не для всех);
частичный номер банковской карты (не для всех);
банковские реквизиты (для юрлиц);
информация о записях на индивидуальные тренировки, посещениях клубов;
ссылка на фотографию.

Cведения в базе данных актуальны на 16.10.2023.

Вымогатели Hunters International заявили о краже более 5,2 миллиона файлов объёмом 6,6 ТБ у лондонского филиала китайского государственного банка Industrial and Commercial Bank of China (ICBC).

Преступники ждут уплаты выкупа до 13 сентября, угрожая публикацией украденной информации. Представители банка пока не давали комментариев, и неизвестно, является ли похищенная информация подлинной.

Дайджест Start X № 386

Start X — Thu, 05 Sep 2024 22:29:45 +0300

Обзор новостей информационной безопасности с 30 августа по 5 сентября 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Fortinet предупреждает о новой фишинговой кампании, в которой вредоносное ПО распространяется через прикрепленный к письму Excel-документ.

Особенности кампании

Атака начинается с электронного письма, которое призвано обманом заставить получателя открыть вложенный файл Excel под названием «swift copy.xls».

В письме утверждается, что на счет пользователя поступили средства, что побуждает его открыть файл для проверки деталей.

При открытии файла Excel активируется вредоносный код, который скачивает и запускает новую версию Snake Keylogger. Злоумышленники используют уязвимость CVE-2017-0199 для загрузки вредоносного файла через скрытую ссылку в документе.

После успешного запуска на компьютере жертвы, Snake Keylogger обеспечивает свою незаметность и постоянное присутствие за счет использования сложных методов шифрования и маскировки.

Основные функции Snake Keylogger включают сбор данных о системе, кражу учётных данных из различных приложений и отправку этих данных злоумышленнику по электронной почте.

В новой фишинговой кампании вредоносное ПО маскируется под инструмент Palo Alto GlobalProtect. Кампания нацелена на организации Ближнего Востока.

Особенности кампании

Атака начинается с фишингового письма, следование рекомендаций в котором приводит к запуску файла с именем «setup.exe».

В результате выполнения setup.exe происходит установка файла «GlobalProtect.exe» вместе с конфигурационными файлами.

В этот момент на экране появляется окно, имитирующее процесс установки GlobalProtect, но на фоне вредоносное ПО тихо загружается в систему.

После запуска вредоносное ПО проверяет, не работает ли оно в песочнице, прежде чем начать выполнение основного кода. Затем вирус передает информацию о скомпрометированном устройстве на C2-сервер.

В качестве дополнительного уровня защиты от обнаружения вредоносное ПО использует шифрование AES для отправляемых строк и пакетов данных.

Домен для C2-сервера зарегистрирован недавно и содержит строку «sharjahconnect». Этим он напоминает легитимный VPN-портал для офисов в Шардже, ОАЭ. Такой выбор имени домена помогает киберпреступникам замаскировать свои действия под законные операции и снижает вероятность того, что жертва заподозрит неладное.

Для связи с операторами после заражения вредоносное ПО периодически отправляет сигналы с помощью легитимного opensource-инструмента Interactsh.

Масштабная фишинговая кампания, направленная на международные сети пиццерий, привела к значительным финансовым потерям.

Особенности кампании

Преступники использовали домен domino-plza[.]com, что привело к потере 27 000 сингапурских долларов у семи жертв через фальшивые страницы заказа, имитирующие сайт Domino’s Pizza.

Злоумышленники использовали платную рекламу в поисковых системах, чтобы вывести свои фальшивые домены на верхние позиции в результатах поиска, обгоняя оригинальные сайты. Эти методы в сочетании с черными техниками SEO делали пользователей уязвимыми для фишинга.

После успешных атак в Сингапуре злоумышленники зарегистрировали домены, нацеленные на другие крупные международные сети пиццерий, такие как PizzaPizza, Little Caesars, Blaze Pizza, 241 Pizza, Panago Pizza и Boston Pizza. Эти домены очень похожи на настоящие, но содержат небольшие изменения, которые легко могут ввести пользователей в заблуждение.

Злоумышленники продолжают регистрировать новые домены, используя IP-адреса, связанные с подозрительными регистрациями доменов с необычными доменными зонами, такими как «.life» и «.top», что не характерно для легитимных брендов.

Атаки начинаются с создания фальшивых сайтов, которые практически не отличаются от оригинальных.

При оформлении заказа пользователи вводят одноразовый пароль (OTP), что позволяет злоумышленникам получить данные карты и использовать их для несанкционированных транзакций, что приводит к потерям средств у жертв.

В новой вредоносной кампании DarkCracks используются взломанные веб-сайты GLPI и WordPress для распространения вредоносных загрузчиков и управления заражёнными устройствами.

Особенности кампании

DarkCracks представляет собой систему доставки и обновления вредоносных программ, рассчитанную на долгосрочную эксплуатацию взломанных устройств.

Вредоносные компоненты внедряются через сайты общественного пользования, такие как школьные порталы, системы бронирования и городские транспортные системы.

Заражённые устройства выполняют роль узлов для дальнейшего распространения вредоносного ПО и контроля над другими заражёнными устройствами.

Атака начинается с загрузки вредоносных файлов на целевые серверы, которые затем скачивают и запускают дополнительные компоненты. Эти компоненты отвечают за сбор данных с заражённых устройств, поддержку долгосрочного доступа и скрытое управление.

Атака нацелена на высокопроизводительные устройства, которые могут служить серверами управления и контроля (C2) и загружать новые версии вредоносных файлов.

Инциденты

Halliburton, одна из крупнейших нефтегазовых компаний, стала жертвой вымогательской кибератаки группировки RansomHub.

Атака привела к массовым сбоям в работе компании. Клиенты Halliburton не могли выставлять счета и оформлять заказы, так как необходимые системы были отключены. Компания официально подтвердила, что хакеры получили доступ к ряду систем, однако подробности об атаке и её масштабах не раскрыла.

На фоне недостатка информации некоторые клиенты компании приняли решение разорвать связь с Halliburton, чтобы избежать возможных рисков. Другие компании обратились за помощью к ONG-ISAC — агентству, которое координирует действия в сфере кибербезопасности для нефтегазовой отрасли, чтобы выяснить, были ли их системы также скомпрометированы.

На Reddit и TheLayoff были опубликованы частичные фрагменты записок с требованием выкупа от RansomHub. Представители Halliburton отказались от комментариев.

У индийского филиала британского бренда презервативов и интимных смазок Durex India произошла утечка личной информации клиентов.

Были скомпрометированы полные имена, контактные данные, адреса доставки и детали заказов, включая список приобретенных товаров и суммы оплаты.

Источник утечки — уязвимость на сайте компании, из-за которой данные клиентов были доступны на странице подтверждения заказа. В результате утечки под угрозой оказались сотни пользователей. Точное количество пострадавших не называется.

Представитель компании Reckitt, владеющей брендом Durex, отказался комментировать ситуацию и не сообщил, какие меры будут приняты для защиты данных клиентов, хотя уязвимость всё ещё присутствует на сайте.

Бывший инженер базовой инфраструктуры из компании в Нью-Джерси заблокировал доступ администраторов к 254 серверам и потребовал выкуп. Из-за неудавшейся попытки вымогательства ему грозит до 35 лет тюрьмы.

Сообщается, что 25 ноября 2023 года сотрудники пострадавшей компании получили электронное письмо с заголовком «Ваша сеть подверглась вторжению» (Your Network Has Been Penetrated). В письме указывалось, что все ИТ-администраторы лишились доступа к своим учетным записям, а резервные копии серверов были уничтожены, чтобы сделать восстановление данных невозможным.

Злоумышленник обещал ежедневно отключать 40 случайных серверов в сети компании в течение следующих 10 дней, если ему не выплатят выкуп в размере 20 биткоинов (по курсу на тот момент — около 750 000 долларов США).

В ходе расследования было установлено, что 57-летний Дэниел Райн (Daniel Rhyne), работавший в пострадавшей от атаки промышленной компании из Нью-Джерси на должности инженера базовой инфраструктуры, имел несанкционированный удаленный доступ к системам компании с 9 по 25 ноября, используя для этого учетную запись администратора.

Телеграм-канал «Утечки информации» сообщает, что преступная группировка DumpForums объявила о получении доступа к базе данных сайта, принадлежащему банку «ЗЕНИТ».

В качестве доказательства были предоставлены дампы таблицы зарегистрированных пользователей и обращений клиентов через форму обратной связи на сайте.

Всего в таблице обращений клиентов 84 тыс. уникальных адресов эл. почты и 82 тыс. уникальных номеров телефонов.

Транспортное управление Лондона (Transport for London, TfL) сообщило о кибератаке на свои системы.

Транспортное управление проинформировало о ситуации профильные государственные органы, включая Национальное агентство по борьбе с преступностью и Национальный центр кибербезопасности. Сейчас ведомство тесно сотрудничает с ними для реагирования на атаку и минимизации ее последствий. Были предприняты меры для предотвращения дальнейшего несанкционированного доступа к информационным ресурсам управления.

Хотя TfL или правоохранительные органы не раскрывают подробности инцидента, отсутствие доступа к информационным системам и электронной почте с большой вероятностью свидетельствует о вымогательской кибератаке.

Немецкая авиадиспетчерская служба Deutsche Flugsicherung (DFS) стала жертвой кибератаки, которая парализовала работу офисных коммуникаций компании. Сообщается, что за атакой может стоять хакерская группа APT28.

Представитель DFS сообщил СМИ, что атака была обнаружена на прошлой неделе, после чего компания направила внутреннее уведомление о поражении своих систем. Организация принимает меры по защите от дальнейших угроз. Подробности об атакованных системах и предпринимаемых защитных действиях раскрыты не были. DFS подчеркнула, что на безопасность и управление воздушным движением инцидент не повлиял.

Вымогательская кибератака нарушил бизнес-процессы международного логистического оператора JAS.

Обнаружив инцидент, JAS оперативно обезопасила свои системы и приступила к расследованию при поддержке внешних экспертов.

28 августа JAS сообщила, что в ряде стран удалось активировать временные меры для выполнения срочных заказов, и что большинство подразделений по контрактной логистике не пострадали. Восстановительные работы продолжались, а основное внимание было уделено обеспечению безопасности и защите данных клиентов и партнёров.

По состоянию на первое сентября JAS продолжает работы по восстановлению, принимая дополнительные меры безопасности. Компания благодарит своих клиентов за поддержку и обещает оперативно предоставлять информацию о ходе работ, чтобы минимизировать любые оставшиеся сбои в работе.

Дайджест Start X № 385

Start X — Fri, 30 Aug 2024 00:27:43 +0300

Обзор новостей информационной безопасности с 23 по 29 августа 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная фишинговая кампания, эксплуатирующая облачный инструмент для создания онлайн-презентаций Microsoft Sway.

Особенности кампании

Атака начиналась с электронных писем, которые перенаправляли потенциальных жертв на фишинговые целевые страницы, размещённые в домене sway.cloud.microsoft.

На этих лендингах пользователям предлагалось отсканировать QR-коды, которые отправляли их на другие вредоносные сайты.

Поскольку URL-адрес встроен в само изображение, это позволяет обойти почтовые сканеры, которые могут сканировать только текстовый контент.

Кроме того, когда пользователю присылают QR-код, он может использовать для его сканирования другое устройство, например, мобильный телефон. Поскольку меры безопасности на мобильных устройствах, особенно на личных смартфонах, обычно не такие строгие, как на ноутбуках и настольных компьютерах, жертвы часто становятся более уязвимыми.

Обнаружена преступная кампания, в которой используется загрузчик PEAKLIGHT и новый тип ПО, действующий исключительно в памяти системы.

Особенности кампании

Цепочка заражения начинается с того, что жертвы скачивают ZIP-архивы с пиратскими фильмами.

Архивы содержат LNK-файлы, замаскированные под видео.

При открытии LNK активируется скрытый JavaScript-дроппер, который выполняет PowerShell-скрипт.

Дроппер работает исключительно в памяти системы, что позволяет избежать обнаружения традиционными методами защиты.

PowerShell-скрипт загружает вредоносное ПО следующего этапа с удаленного сервера и запускает его на компьютере жертвы.

Вредоносный JavaScript закодирован с использованием десятичных ASCII-кодов, которые затем декодируются во вредоносный код (PEAKLIGHT). Код создаёт объект ActiveX, который используется для получения системных привилегий и выполнения команд.

После декодирования и активации вредоносного скрипта PEAKLIGHT, PowerShell-загрузчик проверяет наличие заранее заданных файлов в системных директориях и загружает отсутствующие файлы с удаленного сервера. В зависимости от варианта исполнения, PEAKLIGHT сохраняет загруженные файлы в AppData или ProgramData.

Финальный этап заражения включает загрузку и исполнение архивов, содержащих различные типы вредоносных программ, включая LUMMAC.V2, SHADOWLADDER и CRYPTBOT.

Вредоносные архивы (L1.zip и K1.zip) содержат исполняемые файлы и DLL-библиотеки, предназначенные для кражи данных и установки дополнительных вредоносных компонентов.

Для маскировки своей активности загрузчик воспроизводит видеоролики, через стандартные средства Windows, например, Windows Media Player, создавая впечатление, что пользователь просто открыл видеофайл.

Обнаружен новый вид мошенничества в соцсетях, направленный на людей, потерявших близких. Мошенники используют украденные фотографии и поддельные ссылки на «прямые трансляции» похорон, чтобы выманивать деньги и данные кредитных карт.

Как действуют преступники

Существует два основных подхода к этому типу мошенничества. В одном случае, они создают фальшивые ссылки на трансляции похорон, предлагая пользователям перейти по ссылке, чтобы посмотреть церемонию, и просят поделиться ссылкой с друзьями и родственниками. В другом случае, они обращаются за пожертвованиями от имени семьи умершего.

Мошенничество начинается с комментария под уведомлением о похоронах в соцсети. В комментарии указывается, что пользователи могут пожертвовать деньги и предлагают посмотреть трансляцию, перейдя по указанной ссылке.

Домены, на которые ведут эти ссылки, регулярно блокируются антивирусными программами, однако мошенники создают всё новые и новые сайты, чтобы продолжать свою деятельность.

После перехода по ссылке пользователи попадают на страницу, где их просят зарегистрироваться. Хотя изначально человек перешёл по ссылке ради трансляции похорон, его перенаправляют на страницу, которая запрашивает данные кредитной карты для активации «членства».

Мошеннические сайты объясняют необходимость предоставления данных кредитной карты требованием лицензии на потоковое видео, но на самом деле они пытаются списать деньги с карты, под видом оплаты членства. В мелком шрифте указывается, что пользователи автоматически соглашаются на дополнительные платные услуги с регулярными списаниями.

Киберпреступники быстро реагируют на новые сообщения о похоронах и используют фальшивые профили с фотографиями умерших, взятыми с сайтов похоронных бюро или трибьютов. Эти посты выглядят правдоподобно и могут обмануть даже внимательных пользователей.

DLBI предупреждает о фишинговой кампании, ориентированной на русскоговорящих пользователей YouTube и запрещёных в РФ Facebook и Instagram.

Схема кампании

Мошенники массово публикуют в YouTube, Facebook и Instagram русскоязычные объявления от имени различных несуществующих киберполиций, Интерпола, ЕЦБ и даже совета ЕС с предложениями вернуть деньги, украденные брокерами, криптосервисами и другими финансовыми институциями.

При переходе на страницу фишингового сайта предлагается подтвердить свой аккаунт в Facebook, а также ввести данные карты якобы для проведения процедуры chargeback (возврата денег).

После этого происходит хищение данных карты, а также «угон» аккаунта в Facebook, который затем используется для запуска в кредит аналогичных объявлений.

Кампания использует таргетинг на русский язык и нацелена в первую очередь на эмигрантов, которым приходится пользоваться услугами «чёрных брокеров» для перевода средств при заблокированных банковских каналах платежей. Также объявления показываются пользователям заблокированных в России соцсетей, использующих VPN.

Мошенники совершенствуют схемы обмана, используя в объявлениях омоглифы (символы кодировки UTF-8, внешне сходные с буквами русского алфавита, но имеющие другие коды) для обмана алгоритмов автоматической модерации.

Признанная в РФ экстремистской компания Meta, владеющая Facebook и Instagram, получила более 500 жалоб на подобные объявления, но реакция как AI, так и живых модераторов на жалобы остается крайне вялой: менее 10% фишинговых объявлений удаляются с первого раза, еще около 30% — после запроса повторной проверки. Более половины мошеннических объявлений продолжают функционировать до исчерпания лимита рекламного аккаунта.

ВТБ рассказал о новом мошенническом сценарии для кражи аккаунтов на Госуслугах.

Особенности кампании

Мошенники представляются сотрудниками Госархива, чтобы усыпить бдительность потенциальных жертв тем, что данное ведомство не имеет никакого отношения к деньгам.

Они сообщают, что хотят отправить адресату невостребованные письма, но все данные об отправителях утеряны.

Мошенники предлагают получить письма в удобном отделении МФЦ или Почты России и выбрать дату, время для онлайн-записи, чтобы клиент не ждал свою очередь.

Затем на мобильный телефон жертвы приходит СМС с цифровым кодом — мошенники просят озвучить его, торопят собеседника, чтобы он озвучил секретную информацию.

Как только жертва сообщает их, мошенники получают доступ к цифровым сервисам, включая Госуслуги и онлайн-банк, и могут вывести деньги или оформить кредиты.

F.A.C.C.T. рассказала о новых схемах интернет-мошенничества, направленных на владельцев недвижимости, сдающих жилье в аренду.

Схема № 1 («Мамонт»)

Злоумышленник находит объявление о сдаче квартиры на популярных ресурсах недвижимости и связывается с арендодателем, заявляя о срочной необходимости в жилье.

После перехода общения в мессенджер преступник демонстрирует заинтересованность, запрашивая дополнительные фотографии и детали о квартире.

Затем мошенник предлагает оформить договор через онлайн-сервис по аренде, обещая самостоятельно заполнить все документы и перевести оговоренную сумму.

Арендодателю отправляют ссылку на поддельный сайт, сгенерированный специальным Telegram-ботом и имитирующий известный сервис. При попытке получить оплату владелец жилья вводит данные своей банковской карты, после чего киберпреступники похищают средства с его счета.

Аналитики компании F.A.C.C.T. сообщили об обнаружении как минимум шести скам-групп, действующих по данному сценарию. В общей сложности в них насчитывается более 4500 участников, преимущественно исполнителей мошеннических схем.

Схема № 2

Злоумышленники представляются риэлторским агентством и предлагают помощь в быстрой сдаче или продаже квартиры.

Владельцу недвижимости предлагается разместить объявление на сайте агентства, где необходимо заполнить форму, указав свое имя, номер телефона, город, номер банковской карты и информацию о недвижимости.

После этого жертве предлагается скачать приложение для завершения оформления сделки.

На самом деле приложение является вредоносным и содержит шпионский Android-троян, который перехватывает SMS-сообщения.

С помощью этой программы мошенники могут получить доступ к банковским счетам жертвы и списать все средства. Согласно данным F.A.C.C.T., в некоторых случаях сумма украденных средств достигала 48 000 рублей.

Инциденты

Кибератака вызвала серьёзные сбои в работе ИТ-систем международного аэропорта Сиэтл-Такома (SEA-TAC). Инцидент вызвал задержки рейсов и проблемы с регистрацией пассажиров, что серьёзно осложнило работу крупнейшего аэропорта региона.

24 августа Порт Сиэтла (Port of Seattle) сообщил, что в сетях агентства, включая системы аэропорта SEA, произошёл сбой. Специалисты предположили, что сбой был вызван кибератакой. В целях предотвращения дальнейших проблем были изолированы критически важные системы. Представители порта отметили, что точное время восстановления нормальной работы пока неизвестно, однако работы по возвращению систем к штатному режиму продолжаются.

Пассажиров просят быть готовыми к задержкам и проверять информацию о своих рейсах на сайтах авиакомпаний. Официальный сайт аэропорта остаётся недоступен, а терминалы для регистрации временно выведены из строя.

Пока ни одна хакерская группировка не взяла на себя ответственность за атаку.

Американская радиорелейная лига (ARRL) заплатила выкуп в размере 1 млн долларов США, чтобы получить инструмент для расшифровки и восстановления систем, которые пострадали в ходе вымогательской кибератаки.

Атака на ARRL в мае текущего года нарушила работу сети и систем организации, включая онлайн-сервисы, электронную почту и работу Logbook of the World — онлайновой базы данных, которая позволяет радиолюбителям предоставлять электронные журналы успешных сеансов связи (QSO) и подтверждений (QSL) между пользователями по всему миру.

После обнаружения инцидента системы ARRL были отключены, чтобы предотвратить возможную утечку данных. Представители организации заявляли, что её сеть была взломана «международной киберпреступной группой» в ходе «сложной сетевой атаки», а позже стало известно, что системы Американской радиорелейной лиги зашифровали неназванные вымогатели.

В результате напряжённых переговоров ARRL согласилась заплатить выкуп в размере 1 миллиона долларов США, которые покрыла страховая компания.

Организация сообщила, что большинство систем уже восстановлено, и потребуется не более двух месяцев, чтобы окончательно вернуть в строй все пострадавшие серверы и привести их в соответствие с «новыми стандартами и требованиями к инфраструктуре».

Некоммерческое финансовое учреждение Patelco Credit Union подтвердило утечку данных 726 000 человек в результате кибератаки.

Информация, украденная во время утечки, включает полные имена, номера социального страхования, номера водительских прав, даты рождения и адреса электронной почты.

Patelco обнаружила утечку данных 29 июня 2024 года, а сама кибератака произошла 23 мая 2024 года, когда хакеры проникли в системы компании и похитили большое количество персональных данных.

Из-за инцидента пришлось отключить ИТ-системы почти на две недели для локализации атаки и восстановления функциональности.

В некоторых случаях также были раскрыты дополнительные сведения: почтовые адреса, номера телефонов, пол, пароли и кредитные рейтинги.

Ответственность за атаку взяла на себя вымогательская группировка RansomHub, известная своими атаками на крупные организации. 15 августа 2024 года группа выставила украденные данные на аукцион, поскольку не смогла договориться с Patelco о выкупе.

Дайджест Start X № 384

Start X — Fri, 23 Aug 2024 00:25:07 +0300

Обзор новостей информационной безопасности с 16 по 22 августа 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

В новой фишинговой кампании, направленной на мобильных пользователей банков в Чехии, Венгрии и Грузии используются PWA-приложения и WebAPK для обхода механизмов защиты.

Схема кампании

Злоумышленники используют поддельные веб-сайты, которые побуждают пользователей установить PWA. На iOS жертвам предлагается добавить поддельное приложение на главный экран, а на Android установка происходит после подтверждения во всплывающих окнах в браузере. В результате пользователи устанавливают фишинговое приложение, которое внешне практически не отличается от настоящего банковского приложения.

Особенность тактики заключается в том, что жертвы устанавливают PWA или WebAPK без одобрения установки приложений из неизвестных источников. Так злоумышленники обходят стандартные предупреждения браузера о возможной угрозе.

Фишинговые сайты продвигаются через автоматизированные голосовые звонки, SMS-сообщения и рекламные объявления в соцсетях. Реклама нацелена на определенные группы пользователей по возрасту и полу.

Пользователи получают звонок с предупреждением об устаревшей версии банковского приложения и после выбора опции на цифровой клавиатуре жертвам отправляется фишинговая ссылка.

Кликнув по ссылке, пользователи попадают на сайт, который имитирует страницу приложения в Google Play или официальный сайт банка, что в конечном итоге приводит к установке фальшивого PWA или WebAPK под видом обновления приложения.

Установка WebAPK не вызывает стандартных предупреждений о том, что приложение загружается из ненадежного источника, что усложняет обнаружение угрозы.

Для пользователей iOS преступники разработали инструкции по добавлению фальшивого приложения на главный экран устройства.

После установки жертвам предлагается ввести свои учетные данные онлайн-банка для доступа к своему счету через новое приложение.

Вся представленная информация отправляется на командные серверы или в Telegram-группу злоумышленников.

В международной киберкампании Tusk, направленной на кражу криптовалюты и личных данных пользователей Windows и MacOS используются фишинговые сайты, инфостилеры и клипперы.

Особенности кампании

Злоумышленники заманивают жертв на фишинговые сайты, которые выглядят почти идентично легитимным сервисам, используя популярные темы: web3, криптовалюту, искусственный интеллект и онлайн-игры.

Некоторые обнаруженные страницы мимикрируют под криптоплатформу, ролевую онлайн-игру и Al-переводчик.

Фальшивые ресурсы выглядят настолько правдоподобно, что пользователи легко попадаются на уловку, вводя свои личные данные или скачивая вредоносное программное обеспечение.

Мошеннические сайты позволяют выманивать конфиденциальные данные пользователей, например приватные ключи для криптокошельков, а также загружать на устройство жертвы вредоносное ПО.

В дальнейшем злоумышленники могут получить доступ к криптокошельку через поддельный сайт и вывести с него средства либо украсть учётные данные, реквизиты кошелька и другую информацию посредством вредоносных программ.

Арсенал киберпреступников включает инфостилеры Danabot и Stealc, а также клипперы. Первые нацелены на кражу паролей и другой конфиденциальной информации, в то время как клипперы перехватывают данные из буфера обмена, подменяя, например, адреса криптокошельков на вредоносные.

Файлы для загрузки вредоносного ПО размещаются в Dropbox. Жертва, скачав файл, переходит на сайт с привлекательным интерфейсом, где ей предлагают авторизоваться или просто не закрывать страницу. В это время загружается дополнительное вредоносное ПО, которое продолжает атаку.

В коде вредоносных программ содержатся строки на русском языке, а в файлах для загрузки встречается слово «Мамонт», которое русскоязычные киберпреступники часто используют для обозначения жертвы.

Название кампании — Tusk («Бивень») — также отсылает к образу мамонта, за которым охотились ради ценных бивней.

Инциденты

В открытый доступ выложены данные граждан Казахстана, родившихся в период с 15.09.2019 по 29.04.2024.

В нескольких текстовых файлах находится 2381474 строки, содержащих:

ФИО,
дата рождения,
дата смерти,
ИНН (ИИН),
телефон,
пол,
гражданство,
национальность,
адрес,
идентификатор/ссылка на запись в Государственной базе данных «Физические лица».

Эксперты телеграм-канала «Утечки информации» предполагают, что эти данные выгружены из медицинской базы или реестра новорожденных.

В свободный доступ выложен частичный дамп базы данных мебельного интернет-магазина bestmebelshop.

В этом частичном дампе содержатся данные только 100900 зарегистрированных пользователей. По данным «Утечек информации», в полном дампе присутствуют данные 704 248 пользователей и их заказов:
ФИО покупателей, адреса доставки, 506 тыс. уникальных адресов эл. почты, 689 тыс. уникальных номеров телефонов, заказы, хешированные (MD5 солью) пароли.

Данные в дампе актуальны на 18.08.2024.

Хакеры из группировки DumpForums слили дамп базы данных покупателей интернет-аптеки aptekiplus.

Дамп содержит имена покупателей, адреса эл. почты (почти 2 млн уникальных адресов), телефоны (4,5 млн уникальных номеров) и даты заказов.

Информация датируется 17.08.2024.

На хакерском форуме опубликовали архив, содержащий 240 ГБ данных, украденных из систем компании Toyota.

Дамп содержит контакты, финансовые документы, данные клиентов, схемы, сведения о сотрудниках, архив фотографий, БД, сведения о сетевой инфраструктуре, полные копии почтовых ящиков и множество других данных.

Злоумышленники утверждают, что также собрали информацию о сетевой инфраструктуре компании, включая учетные данные, используя опенсорсный инструмент ADRecon который помогает извлекать информацию из сред Active Directory.

СМИ сообщают, что файлы, судя по всему, были украдены или созданы 25 декабря 2022 года. Предполагают, что злоумышленники получили доступ к бэкап-серверу, на котором хранилась информация.

Представители Toyota подтвердили, что утечка действительно имеет место.

Вымогатели Rhysida выставили на аукционе эксклюзивные данные американского издания The Washington Times.

Злоумышленники установили семидневный срок до начала торгов, призывая потенциальных покупателей «подготовить кошельки». Стартовая цена за предполагаемый массив данных составляет 5 биткоинов, что эквивалентно 292 тыс. долларов США по текущему курсу.

Хакеры не указали объём похищенных с серверов газеты данных, но предоставили образец в качестве «доказательства» атаки.

По словам экспертов, образец содержит различные корпоративные файлы, включая банковские выписки, документы сотрудников, а также копию водительских прав штата Техас и карточки социального страхования.

Американский производитель микросхем Microchip Technology Incorporated сообщил о вымогательской кибератаке, нарушившей работу нескольких производственных объектов.

«17 августа 2024 года компания Microchip Technology Incorporated обнаружила подозрительную активность в своих ИТ-системах. Обнаружив проблему, компания начала принимать меры по оценке, локализации и устранению потенциально несанкционированной активности. 19 августа 2024 года было установлено, что неавторизованная сторона помешала компании использовать некоторые серверы и осуществлять некоторые бизнес-операции».

В настоящее время Microchip Technology изучает масштабы и последствия атаки, а к делу привлечены внешние ИБ-эксперты. Также компания работает над восстановлением пострадавших ИТ-систем и возвращением к нормальной работе.

Подробности инцидента пока держатся в секрете. Ни одна хакерская группа не взяла на себя ответственность за случившееся.

Сеть супермаркетов Boni в Нидерландах стала жертвой вымогательской кибератаки группировки Akira, в результате которой злоумышленники получили доступ к части компьютерной системы компании.

Представители Boni подтвердили факт взлома, однако отказались раскрыть, удалось ли хакерам похитить какие-либо данные.

По информации HackManac, киберпреступники украли около 16 гигабайт данных, среди которых финансовые отчёты, персональные сведения сотрудников и клиентов, а также внутренние документы компании.

По данным властей, злоумышленники требуют выкуп в биткоинах в обмен на возвращение похищенных данных, и общая сумма их требований может достигать 42 миллионов долларов США.

Некоммерческая организация Promises2Kids, занимающаяся поддержкой детей в городе Сан-Диего, Калифорния, США, стала жертвой атаки вымогательской группы Qilin.

Хакеры заявили, что получили доступ к конфиденциальной информации организации, угрожая её публичным разглашением, если не будет выплачен выкуп. В данном случае они использовали стратегию двойного вымогательства, когда помимо шифрования данных, хакеры угрожают опубликовать украденную информацию, что значительно усиливает давление на жертву.

Для первоначального взлома системы злоумышленники использовали методы фишинга, а затем применили шпионское ПО для мониторинга и управления заражёнными устройствами.

В результате масштабной кибератаки сотрудники криптовалютной компания Unicoin на четыре дня лишились корпоративного доступа к почте.

Инцидент произошёл 9 августа, когда неизвестный хакер получил доступ к учётным записям Google G Suite компании и изменил пароли всех пользователей, что привело к полной утрате доступа к системам.

Почти четыре дня сотрудники Unicoin с адресами электронной почты «@unicoin.com» не могли пользоваться рабочими сервисами, включая Google Mail и Google Drive. Лишь 13 августа компании удалось восстановить доступ и выгнать злоумышленника из своей сети.

Представители Unicoin заявили, что в настоящее время продолжается анализ ущерба и масштабов утечки данных. Пока не ясно, кто стоит за атакой, но компания отметила, что, несмотря на отсутствие доказательств кражи финансовых средств, были обнаружены нарушения в персональных данных сотрудников и подрядчиков в бухгалтерском отделе.

Также были зафиксированы следы взлома почтовых аккаунтов и сообщений некоторых менеджеров. Unicoin пока не может дать точный прогноз по возможным финансовым последствиям инцидента.

Дайджест Start X № 383

Start X — Thu, 15 Aug 2024 20:34:56 +0300

Обзор новостей информационной безопасности с 9 по 15 августа 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

В кампании сложных целевых атак на российские ИТ-компании и государственные организации, получившей название EastWind, блог-платформа «Живой Журнал» используется в качестве командного сервера.

Схема действий преступников

Злоумышленники рассылали целям письма с RAR-архивами во вложении.

Внутри этих архивов находились вредоносные ярлыки, замаскированные под документы.

При нажатии на ярлыки использовалась классическая техника DLL sideloading, и начиналась установка трояна, взаимодействующего с атакующими через Dropbox.

После проникновения в сеть организации хакеры запускали на зараженных машинах малварь, предназначенную для кибершпионажа.

Одним из вредоносов оказалась обновленная версия бэкдора CloudSorcerer.

Вскоре после публикации об этом бэкдоре злоумышленники усовершенствовали его, добавив в него возможность использования профилей пользователей «Живого Журнала» и сайта вопросов и ответов Quora в качестве командного сервера, чтобы тщательнее маскировать активность вредоноса (ранее для этих целей использовался GitHub).

Помимо CloudSorcerer, на компьютеры жертв также загружались вредоносные инструменты, используемые китайскими хак-группами APT27 и APT31. Эта малварь позволяет красть файлы, наблюдать за действиями на экране и перехватывать нажатия клавиш на заражённых устройствах.

Новая фишинговая кампания использует Google Рисунки для обхода систем защиты и обмана пользователей.

Схема кампании

Атака начинается с фишингового письма, которое направляет получателей к изображению, якобы представляющему ссылку для проверки учетной записи Amazon.

Изображение размещено на Google Рисунках (Google Drawings), что помогает избежать обнаружения.

Использование легитимных сервисов предоставляет злоумышленникам очевидные преимущества: они не только экономят на стоимости, но и могут общаться внутри сетей, оставаясь незамеченными для средств безопасности и брандмауэров. Сервис Google Рисунки привлекателен на начальном этапе атаки тем, что позволяет включать ссылки в графические изображения. Пользователь даже может не заметит ссылку, особенно если ощущает срочность угрозы для своей учетной записи Amazon.

Пользователи, которые кликают на ссылку для проверки учетной записи, попадают на поддельную страницу входа Amazon.

Адрес страницы последовательно создается с использованием двух сокращенных URL-адресов — через WhatsApp («l.wl[.]co»), а затем qrco[.]de — для дополнительной запутанности и обмана сканеров URL.

Когда жертва вводит свои учетные данные на поддельной странице входа, последовательно отображаются четыре разные страницы для поэтапного сбора дальнейшей информации. Данные жертвы собираются по мере заполнения каждого из четырех шагов и отправляются злоумышленнику. Даже если жертва передумает или остановится в процессе заполнения данных, киберпреступник все равно получит информацию с каждого уже завершенного шага.

Поддельная страница предназначена для сбора учетных данных, личной информации и данных кредитных карт. После кражи данных жертвы перенаправляются на настоящую страницу входа Amazon.

Страница становится недоступной с того же IP-адреса после того, как учетные данные были подтверждены.

Мошенники начали тестировать новую, очень сложную и убедительную для жертв схему с использованием портала «Госуслуги» и приложения для электронной подписи «Госключ».

Как действуют преступники

В качестве жертв злоумышленники выбирают людей пенсионного и среднего возраста, полагаясь на их доверчивость и исполнительность.

Аферисты получают доступ к личному кабинету жертвы на «Госуслугах», а затем загружают поддельную нотариальную доверенность на распоряжение всеми счетами человека в специальный раздел «Госуслуг» для подписания документов в «Госключе».

Жертве приходит уведомление о том, что нужно подписать документ.

Жертве звонит якобы сотрудник органов, который убеждает, что все счета скомпрометированы, поэтому надо срочно подписать доверенность, чтобы он смог спасти деньги.

Перепуганная жертва торопится сделать, как рекомендует «сотрудник органов», запуская вторую часть схемы.

Жертве снова звонит сотрудник, но уже «настоящий», и сообщает, что человек стал жертвой мошенников. И они после подписания доверенности получили доступ ко всем счетам, поэтому средства с них нужно незамедлительно перевести на безопасный счёт.

Манипуляция тем, что доверенность подписана официальным электронным инструментом и теперь даст возможность её обладателям ограбить жертву, звучит очень убедительно и устрашающе. Граждане в массе плохо знакомы с правилами оформления доверенностей и это повышает риск того, что мошенники добьются своей цели.

Инциденты

Злоумышленники атаковали протокол блокчейн-инфраструктуры Nexera и похитили 1,8 млн долларов США.

В результате атаки контракт токена NXRA был приостановлен, а торговля на децентрализованных биржах прекратилась. Nexera активно взаимодействует с централизованными биржами с целью приостановить торговлю на их платформах. К настоящему моменту биржи KuCoin и MEXC уже прекратили приём депозитов и вывод средств.

Атака привела к падение курса токена NXRA: по данным CoinMarketCap, стоимость NXRA упала на 40%,

Nexera сообщила, что обнаружила уязвимость и уже ведёт переговоры с правоохранительными органами для расследования инцидента.

Американская ипотечная компания LoanDepot сообщила, что расходы, связанные с январской вымогательской кибератакой, достигли почти 27 миллионов долларов США.

В начале 2024 года LoanDepot подверглась атаке программы-вымогателя, в результате которой были зашифрованы данные и отключены некоторые системы. Под угрозой оказалась конфиденциальная информация более 16 миллионов клиентов, включая имена, адреса, номера телефонов и даже номера социального страхования.

Сумма в 26,9 миллионов долларов США включает расходы на расследование инцидента, уведомление пострадавших клиентов, предоставление услуг по защите личных данных, а также юридические издержки и урегулирование судебных исков.

LoanDepot также сообщила, что 25 миллионов долларов из общей суммы расходов были зарезервированы для урегулирования коллективного иска, связанного с киберинцидентом.

Вымогатели RansomEXX атаковали индийского платёжного провайдера C-Edge Technologies. Это парализовало работу многих банков Индии.

C-Edge Technologies оказалась уязвимой из-за неправильно настроенного сервера Jenkins, который стал начальной точкой атаки. В результате злоумышленники получили несанкционированный доступ к системам компании и внедрили программу-вымогатель.

Злоумышленники воспользовались уязвимостью Jenkins CVE-2024-23897 (оценка CVSS: 9.8), которая дает возможность атакующему, не имея аутентификации, читать произвольные файлы в файловой системе контроллера Jenkins и выполнять вредоносный код.

На хакерском форуме опубликованы почти 2,7 млрд записей с личной информацией жителей США.

Предполагается, что все эти данные были получены от National Public Data, компании, которая собирает персональные данные, а затем продает доступ к ним для проведения биографических проверок, сбора информации о судимостях и работы частных детективов. Считается, что National Public Data собирает информацию из открытых источников, чтобы формировать индивидуальные профили на жителей США и других стран.

Обнародованный дамп стоит из двух текстовых файлов общим объемом 277 ГБ, в которых содержится почти 2,7 млрд записей в открытом виде.

Хотя исследователи не могут подтвердить, что эта утечка содержит информацию о каждом жителе США, многие люди подтвердили изданию, что в дампе действительно можно найти реальную информацию как о них самих, так и членах их семей (включая уже умерших).

Мошенники обманули певицу Ларису Долину на 130 миллионов рублей.

В мае Лариса Долина выставила на продажу свою пятикомнатную квартиру в в Москве за 130 миллионов рублей. Принять это решение её убедили телефонные мошенники, заверив, что сделка будет фиктивной и квартира останется в её собственности. Однако вскоре нашлись покупатели, и, поддавшись на уговоры о срочности, певица предоставила им скидку и перевела вырученные деньги на «безопасный счёт».

Сообщается, что Долина также перевела мошенникам около 68 миллионов рублей из своих личных сбережений. Сделка по продаже квартиры была оформлена через риелторскую компанию «Львов Эстейт». Риелторы, покупатели и сама артистка не знали о мошеннической схеме.

Обман раскрылся, когда новые владельцы квартиры потребовали, чтобы Долина освободила жильё. Утром 13 августа пятеро неизвестных пришли в жилой комплекс, где находится квартира, и заявили, что они являются новыми владельцами, и что Долина должна была покинуть квартиру месяц назад.

На странице певицы в Instagram (принадлежит компании Meta, признанной экстремистской и запрещенной в России) появилось ложное сообщение, в котором утверждалось, что она якобы продала свою квартиру за 112 млн руб. и заложила дачу за 50 млн руб., чтобы перечислить средства в поддержку украинского батальона. В публикации также говорилось, что если данное сообщение появилось на её странице, значит, певица находится за пределами России. В настоящее время ложные посты удалены.

Крупный химический концерн из Люксембурга Orion SA потерял 60 млн долларов США в результате BEC-атаки.

Инцидент произошел 10 августа, когда один из сотрудников компании стал жертвой мошеннической схемы, в результате которой были произведены несколько переводов денежных средств на счета, принадлежащие неизвестным третьим лицам. Системы компании не были взломаны, и данные не были скомпрометированы.

Неизвестные взломали внутренние коммуникации предвыборного штаба Дональда Трампа.

Среди похищенных сведений оказалось 271-страничное досье на сенатора Джеймса Дэвида Вэнса — кандидата на роль вице-президента. Несмотря на то, что полное содержание файла пока не обнародовано, несколько источников, знакомых с документом, подтвердили его подлинность.

Представитель кампании, Стивен Чунг заявил, что документы были «незаконно получены враждебными для Соединенных Штатов иностранными инстанциями» с целью вмешательства в выборы 2024 года.

Эксперты отмечают ключевые различия между нынешней атакой и взломом электронной почты Хиллари Клинтон в 2016 году. По их мнению, если восемь лет назад за кибератаками стояли российские группы, то теперь, вероятнее всего, следы ведут к иранским киберпреступникам.

Хакеры провели BEC-атаку и похитили платёж в 5,25 млн евро за трансфер румынского футболиста в катарский клуб «Аль-Гарафа».

Катарские представители сообщили, что стали жертвами хакеров, которые, взломали электронную почту и перенаправили платёж на неправильный счет. В результате деньги, предназначенные для трансфера Комана, оказались в другой стране.

В связи с нарушением сроков платежа, который должен быть выполнен до 31 июля, румынский клуб ФКСБ теперь рассчитывает на компенсацию в размере 6,25 миллиона евро, включая штраф за задержку.

Дайджест Start X № 382

Start X — Thu, 08 Aug 2024 22:03:19 +0300

Обзор новостей информационной безопасности со 2 по 8 августа 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Хакерская группа Crazy Evil распространяют вредоносное ПО Atomic Stealer через фальшивые рекламные кампании в Google Ads, выдавая его за популярное macOS-приложение для записи экрана Loom.

Схема кампании

Киберпреступники создают поддельные сайты, имитирующие настоящий сайт Loom.

Пользователи, переходящие по рекламе, попадают на эти фальшивые ресурсы и загружают обновлённую версию Atomic Stealer.

Это ПО способно похищать данные из браузеров, учётные записи, пароли, а также опустошать криптовалютные кошельки.

Новая версия Atomic Stealer имеет уникальные функции, включая замену легального приложения Ledger Live на его вредоносную копию. Ledger Live предоставляет доступ к криптовалютам, NFT и DeFi, что делает его привлекательной целью для злоумышленников. Исследователи также обнаружили поддельные версии других популярных приложений, таких как Figma и TunnelBlick.

Хакеры используют тактику клонирования для обхода защитных механизмов Apple App Store, которые предотвращают загрузку вредоносных приложений.

Китайское правительство проводит в социальных сетях кампанию, направленную на подрыв доверия к президенту Филиппин Фердинанду Маркосу младшему.

22 июля этого года, за несколько часов до выступления Маркоса с ежегодным обращением, в сети появилось видео, на котором он якобы принимает запрещённые вещества. Видео было сделано с использованием технологии deepfake и быстро разоблачено филиппинскими властями. Тем не менее, ролик стремительно распространялся в соцсетях, подогрев интерес недоброжелателей Маркоса.

Распространением видео занималась сеть поддельных аккаунтов в соцсетях и YouTube. Эксперты считают, что эта кампания является частью более широкой стратегии Китая по дестабилизации филиппинского правительства.

Распространение ролика началось с видеоблогера Клэр Контрерас, которая известна своими критическими высказываниями в адрес Маркоса и поддержкой Родриго Дутерте, бывшего президента Филиппин. Контрерас опубликовала видео на своей странице в соцсети и позже показала его на митинге в Лос-Анджелесе. Видео быстро стало недоступным, но его копии продолжали распространяться.

Расследование выявило 80 поддельных аккаунтов, связанных с китайской сетью Spamouflage, которые активно распространяли данный deepfake. Аналогичная активность наблюдалась и на YouTube, где 11 видео были загружены, но позже удалены.

Хакерская группа Bloody Wolf распространяет вредоносное ПО STRRAT среди организаций Казахстана.

Схема кампании

Атаки начинаются с фишинговых писем, которые выглядят как сообщения от Министерства финансов Республики Казахстан и других государственных ведомств.

Эти письма содержат PDF-файлы, маскирующиеся под уведомления о несоответствии работы организации-жертвы различным требованиям.

Для придания атакам легитимности, одна из ссылок ведёт на веб-страницу, связанную с правительственным сайтом, призывающую установить Java для обеспечения работы портала. Однако вредоносное ПО STRRAT размещено на веб-сайте, лишь имитирующем официальный сайт правительства Казахстана (egov-kz[.]online).

Вредонос закрепляется в системе Windows с помощью изменения реестра и запускает JAR-файл каждые 30 минут.

Копия этого файла также дублируется в папку автозагрузки Windows, чтобы обеспечивать автоматический запуск при перезагрузке системы.

После установки STRRAT соединяется с сервером Pastebin для кражи конфиденциальной информации с заражённого устройства. Среди похищенных данных — информация об операционной системе, установленном антивирусном ПО, а также учётные данные из Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook и Thunderbird.

Вредоносное ПО также может получать дополнительные команды с сервера для загрузки и выполнения новых вредоносных файлов, записи нажатий клавиш, выполнения команд через cmd.exe или PowerShell, перезапуска или выключения системы, установки прокси и самоуничтожения.

Использование JAR-файлов позволяет хакерам обходить многие защитные механизмы, а применение легитимных веб-сервисов, таких как Pastebin, для связи с заражённой системой помогает избегать обнаружения сетевыми решениями безопасности

Инциденты

На сайте одной из российских энергетических компаний обнаружено вредоносное ПО, которое аналитики назвали CMoon.

Зловред мог выгружать с заражённого устройства пользователя конфиденциальные и платёжные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на подрядчиков и партнёров организации.

Злоумышленники подменили на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал в себе исходный документ, а также один и тот же исполняемый файл.

Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учётных данных. Кроме того, зловред мог делать скриншоты экрана.

Из веб-браузеров могли собираться файлы, содержащие сохранённые пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах.

Атака вымогательской группировки Black Basta на американскую технологическую компанию Keytronic привела к потерям свыше 17 млн долларов США.

Атака была обнаружена 6 мая, когда сбои на объектах в Мексике и США нарушили работу бизнес-приложений компании. В результате инцидента Keytronic понесла дополнительные расходы в размере примерно 2,3 млн долларов США и потеряла около 15 млн долларов США дохода в четвёртом квартале. Часть расходов была компенсирована страховым возмещением в размере 0,7 млн долларов США.

Сразу после атаки Keytronic приостановила работу своих предприятий в США и Мексике на две недели. Компания подтвердила, что во время взлома были похищены персональные данные из её систем.

Ответственность за нападение взяла на себя вымогательская группировка Black Basta, опубликовавшая украденные документы компании. Среди похищенной информации оказались личные данные сотрудников, финансовые и инженерные документы, а также корпоративные файлы.

Неизвестные хакеры взломали платформу Mobile Guardian и дистанционно стёрли 13 000 подключённых к платформе учебных устройств.

Mobile Guardian — кроссплатформенное решение для школ с полным набором функций для управления устройствами, родительского мониторинга и контроля, веб-фильтрации, управления классом и коммуникаций.

Работа сервиса была приостановлена, поэтому пока пользователи не могут войти в Mobile Guardian, а учащиеся ограничены в доступе к своим устройствам.

Хотя в Mobile Guardian утверждают, что инцидент затронул лишь «небольшой процент устройств», Министерство образования Сингапура заявило, что злоумышленники использовали полученный доступ, чтобы полностью обнулить iPad и Chromebook 13 000 учащихся в стране. Точное количество затронутых устройств пока неизвестно.

Власти Сингапура приняли решение удалить приложение со всех учебных устройств в стране.

Хакеры атаковали центральную систему данных выставочного центра Гран-Пале в Париже и ещё 40 музеев сети Réunion des Musées Nationaux по всей Франции.

Среди пострадавших Гран-Пале и Шато де Версаль, где сейчас проходят олимпийские мероприятия. В Гран-Пале проводятся соревнования по фехтованию и тхэквондо, а в Версале — состязания по современному пятиборью и конному спорту.

Злоумышленники требуют выкуп в течение 48 часов, угрожая опубликовать зашифрованные финансовые данные, полученные из сети музеев.

Парижские власти заверили, что атака не повлияла на проведение олимпийских мероприятий.

6 августа белые хакеры вывели с платформы Ronin Bridge токены на сумму 12 млн долларов США.

Руководство Ronin Network сообщило, что ранним утром они были уведомлены о возможной уязвимости в системе. После проверки сообщений мост был приостановлен примерно через 40 минут после обнаружения первых признаков подозрительной активности. В процессе обновления моста возникла ошибка, которая привела к неверной интерпретации требуемого порога голосов операторов моста, необходимых для вывода средств.

В результате инцидента с платформы было выведено 4 000 ETH (около 9,8 млн долларов США), и токены USDC на сумму 2 млн долларов США.

После переговоров с разработчиками Ronin Network хакеры вернули полную сумму украденных средств и получат щедрое вознаграждение в размере 500 000 долларов США за свой «принудительный аудит».

Система экстренных вызовов 911 Центрального Техаса 4 августа в течение нескольких часов была парализована DDoS-атакой.

Хакеры завалили центры вызовов фальшивыми звонками, вызвав перебои в работе системы. Атака повлияла на работу службы вызовов в 7 из 10 округов, входящих в юрисдикцию CAPCOG, затронув 21 правоохранительное и экстренное агентство Центрального Техаса, включая полицейскую службу, пожарную службу, скорую помощь, а также районные офисы шерифа.

На время перебоев CAPCOG предоставила гражданам альтернативный телефон для связи с экстренной службой в случае возникновения опасных для жизни чрезвычайных ситуаций.

Около 13:00 центр вызовов 911 уведомил CAPCOG о начале атаки. Эксперты быстро выяснили, что звонки поступают с номеров AT&T, и в сотрудничестве с провайдером смогли идентифицировать и отключить номера. Восстановить нормальную работу системы удалось к 20:00.

Сингапурская торговая компания лишилась 42 млн долларов США в результате фишинговой атаки с использованием компрометации деловой переписки (Business Email Compromise, BEC).

15 июля фирма получила электронное письмо от «поставщика» с просьбой отправить оплату на новый банковский счет, расположенный в Восточном Тиморе. Письмо пришло с мошеннического аккаунта, адрес которого был изменен по сравнению с официальным адресом поставщика. Не подозревая о мошенничестве, компания перевела 42,3 млн долларов США на поддельный счет 19 июля. Только через 4 дня, когда настоящий поставщик сообщил, что не получил оплату, стало ясно, что произошла кража.

24 июля сингапурская полиция связалась с властями Восточного Тимора, которые отследили и заморозили 39 млн долларов США на банковском счете мошенника, а в период с 24 по 26 июля арестовали 7 подозреваемых и изъяли ещё 2 млн долларов США, предположительно связанных с кражей. Предпринимаются шаги для возврата украденных средств жертве в Сингапуре.

Масштабная утечка данных в компании Rabbit в мае 2024 года произошла в результате действий сотрудника, который передал конфиденциальные API-ключи группе хактивистов. Хактивисты восползовались этими ключами, чтобы получить доступ к внутреннему исходному коду Rabbit.

После обнаружения утечки сотрудника немедленно уволили. Rabbit оперативно отозвала и обновила все скомпрометированные ключи, а также перенесла секретные данные в более защищенное хранилище AWS Secrets Manager.

Компания подчёркивает, что утечка произошла не из-за взлома их систем безопасности, а вследствие незаконных действий бывшего сотрудника. В ответ на инцидент Rabbit инициировала масштабную проверку своих систем безопасности.

Компания Jerico Pictures Inc., владелец бренда National Public Data, стала жертвой утечки данных из-за которой почти 3 миллиарда конфиденциальных записей жителей США оказалась в руках киберпреступников.

8 апреля группа киберпреступников под названием USDoD разместила на форуме в даркнете базу данных под названием «National Public Data», заявляя, что в ней содержится 2,9 миллиарда строчек конфиденциальных данных. Злоумышленники выставили эту базу на продажу за 3,5 миллиона долларов США.

Пока неизвестно, когда и как именно произошла утечка из National Public Data. Если факт утечки подтвердится, это будет одна из крупнейших утечек данных в истории.

Для своей деятельности National Public Data собирает личные данные людей из непубличных источников, что означает, что пользователи не предоставляли компании свои данные напрямую и добровольно. Среди утекшей информации: номера социального страхования, адреса, полные имена, информация о родственниках и многое другое. National Public Data пока не давала комментариев в связи с инцидентом.

Дайджест Start X № 381

Start X — Fri, 02 Aug 2024 00:13:55 +0300

Обзор новостей информационной безопасности с 26 июля по 1 августа 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая фишинговая кампания OneDrive Pastejacking, направленная на пользователей Microsoft OneDrive.

Как действуют злоумышленники

Атака начинается с электронного письма с вложенным HTML-файлом. При открытии вложения показывается изображение, имитирующее страницу OneDrive, с сообщением об ошибке: «Не удалось подключиться к облачному сервису OneDrive. Чтобы исправить ошибку, необходимо вручную обновить кэш DNS».

Сообщение предлагает два варианта действий: «Как исправить» и «Подробности».

Нажатие на кнопку «Подробности» приводит пользователя на легитимную страницу Microsoft Learn по устранению неполадок DNS.

Нажатие на «Как исправить» инициирует выполнение ряда шагов, включая открытие терминала PowerShell и вставку команды, закодированной в Base64, якобы для устранения ошибки.

Команда запускает «ipconfig /flushdns», создаёт папку с названием «downloads» на диске C:, загружает туда архивный файл, распаковывает его содержимое и выполняет скрипт с помощью «AutoIt3.exe».

Кампания нацелена на пользователей в США, Южной Корее, Германии, Индии, Ирландии, Италии, Норвегии и Великобритании.

Лаборатория Касперского предупреждает о новой элегантной схеме криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой.

Схема кампании

В Telegram потенциальной жертвы приходит сообщение на криптотематику, пересланное от другого пользователя.

Текст в сообщении для ухода от детектирования «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них.

Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв.

Настоящая приманка скрывалась за второй ссылкой. После ввода адреса вместо титульной страницы сайта отображался листинг корневой директории с заманчивыми именами файлов. Выглядело так, как будто сервер неправильно настроили или случайно удалили с него домашнюю страницу — и он выдавал список всех файлов в корневом каталоге сайта, якобы сливая всю информацию ничего не подозревающего владельца домена. Можно было кликнуть на любой файл в списке и просмотреть его содержимое прямо в браузере, ведь все они хранились в простых и удобных форматах — TXT, PDF, PNG или JPG.

В текстовых файлах обнаружились реквизиты криптокошельков, включая сид-фразы, в графических — скриншоты, подтверждающие успешный перевод крупной суммы в крипте, а также демонстрирующие большие остатки в кошельках и роскошный образ жизни владельца.

На одном из скриншотов фоном висит открытая вкладка YouTube с инструкцией по покупке «Феррари» и яхт за биткоины.

Особенность схемы — реквизиты криптокошельков настоящие, и можно действительно получить к ним доступ и увидеть, например, историю транзакций кошелька Exodus или активы в других кошельках — почти 150 тыс. долларов США по версии DeBank.

Деньги из кошелька вывести не получится, потому что они находятся в стейкинге (грубо говоря — заморожены во вкладе). Тем не менее это сильно снижает скепсис посетителя: кажется, это не спам и не фишинг, а настоящая утечка чьей-то информации, допущенная по небрежности.

Через какое-то время на сайте появляется скриншот с Telegram-чатом, в котором якобы успешно проводится очередная выплата в токенах Monero. На том же скриншоте заметно некое приложение кошелька Electrum-XMR с логом транзакций и общим, очень немалым, остатком на счету: почти 6000 XMR — токенов Monero (около миллиона долларов США).

Мошенники различными способами подводят жертву, которая практически готова завладеть чужими деньгами из «утёкших» кошельков к установке вредоносного приложения.

Если скачать и установить Electrum-XMR, компьютер будет заражён вредоносным ПО Backdoor.OLE2.RA-Based.a, обеспечивающим скрытый удалённый доступ атакующих к компьютеру.

Инциденты

Компания из списка Fortune 50 заплатила вымогателям Dark Angels рекордный выкуп в размере 75 млн долларов США.

Факт выплаты рекордного выкупа подтвердили и блокчейн-аналитики из компании Chainalysis, которые сообщили об этом в соцсети Илона Маска.

Самым крупным выплаченным выкупом до этого считался платеж в размере 40 млн долларов, которые заплатил страховой гигант CNA вымогательской группировке Evil Corp.

Как сообщают эксперты Zscaler ThreatLabz, Dark Angels использует стратегию «охоты на крупную дичь» (Big Game Hunting). Её смысл в том, чтобы атаковать только небольшое количество крупных компаний в надежде на большие выплаты, а не множество мелких компаний одновременно для получения многочисленных, но небольших выкупов.

Хакеры взломали HealthEquity, провайдеров медицинских сберегательных счетов из США, и похитили данные 4,3 миллиона человек.

Хотя инцидент произошёл в марте 2024 года, факт утечки официально подтвердили лишь в конце июня. По данным HealthEquity, злоумышленники использовали скомпрометированные учётные данные партнёра компании для доступа к незащищённому хранилищу данных вне основных систем.

Среди похищенной информации оказались полные имена, домашние адреса, номера телефонов, идентификаторы работодателей и сотрудников, номера социального страхования, общая информация об иждивенцах и данные платёжных карт без номеров карт.

Пока ни одна хакерская группировка не взяла на себя ответственность за атаку, украденные данные в открытом доступе не появлялись.

Криптовалютная биржа Gemini пострадала от утечки данных, которая произошла у одного из её партнеров — неназванного ACH-провайдера (Automated Clearing House).

Gemini пострадала от утечки данных со стороны третьих лиц, после того как неавторизованный злоумышленник проник в системы неназваного поставщика Gemini (в период с 3 по 7 июня 2024 года).

Инцидент затронул банковскую информацию 15 тыс. клиентов биржи, в том числе их полное имя, номер банковского счета и номер маршрута, который Gemini использовала для ACH-переводов. Подчеркивается, что никакая другая информация не была скомпрометирована.

В настоящее время инцидент с утечкой данных локализован, и продолжается расследование случившегося с привлечением внешних ИБ-специалистов.

Злоумышленники атаковали руководителя подразделения Ferrari NV с использованием технологии дипфейк.

Сначала жертва получала сообщения в WhatsApp якобы от исполнительного директора компании Ferrari. В них «директор» писал: «Эй, слышал о крупном приобретении, которое мы планируем? Мне может понадобиться твоя помощь».

Номер телефона и фото профиля WhatsApp не совпадали с реальными данными директора. Мошенник просил жертву подписать соглашение о неразглашении, заверяя, что итальянский регулятор рынка и Миланская фондовая биржа уже проинформированы. В сообщении также подчёркивалась необходимость соблюдать максимальную секретность.

Затем злоумышленники позвонили потенциальной жертве и при помощи технологии дипфейк стали вести реалистичный разговор от лица директора. Голос, имитировавший директора, был весьма убедителен, в речи присутствовал южноитальянский акцент.

Мошенник объяснил руководителю подразделения, что звонит с другого номера из-за необходимости обсуждать конфиденциальный вопрос, связанный с возможными проблемами в Китае и необходимостью валютной хедж-транзакции.

Руководитель заподозрил подлог, заметив незначительные механические интонации в голосе. Он спросил, какое название книги директор недавно ему рекомендовал, и после этого звонок внезапно оборвался. Затем Ferrari начала внутреннее расследование.

Вымогатели Embargo атаковали город Саммервилль в штате Южная Каролина. Хакеры утверждают, что похитили более 1,7 ТБ конфиденциальной информации из местного полицейского управления.

Чиновники опубликовали заявление, в котором говорится, что атака была оперативно выявлена и сдержана, благодаря чему удалось минимизировать потенциальный ущерб.

Городские власти сообщают, что все муниципальные службы, включая полицию, пожарную службу и коммунальные службы, продолжают свою работу в обычном режиме и обеспечивают безопасность и благополучие жителей. Однако хакеры в своем блоге в даркнете заявляют обратное и угрожают опубликовать похищенные данные, если не будет выплачен выкуп до 30 июля.

Хакеры не предоставили образцов якобы украденных данных или подробностей о них. Вместо этого они сделали провокационные обвинения в адрес полиции Саммервилля, утверждая, что департамент «обеспечивает наивысший уровень обслуживания в стрельбе по чернокожим детям».

Телеграм-канал «Утечки информации» сообщает, что в свободном доступе появился частичный дамп базы данных стоматологического интернет-магазина el-dent.

Дамп содержит только данные заказов — 464748 строк, содержащих ФИО, телефоны, адреса, содержимое и стоимость заказов.

В полном дампе помимо заказов, находятся еще и данные зарегистрированных пользователей 50759 строк, содержащих: ФИО, телефоны, адреса эл. почты, пароли в открытом (Base64) виде, адреса.

Всего в полном дампе находится 76399 уникальных номеров телефонов и 59860 уникальных адресов эл. почты.

Информация в дампе датируется 27.07.2024.

Дайджест Start X № 380

Start X — Thu, 25 Jul 2024 23:48:36 +0300

Обзор новостей информационной безопасности с 19 по 25 июля 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники используют глобальный сбой, вызванный обновлением CrowdStrike для фишинговых атак.

Особенности кампаний:

злоумышленники присылают фишинговые письма и звонят пострадавшим клиентам, представляясь специалистами службы поддержки CrowdStrike;
выдают себя за независимых исследователей, утверждая, что у них есть доказательства того, что происходящее связано с кибератакой, и якобы предлагают способы её устранения;
продают скрипты, якобы предназначенные для автоматизации восстановления.

В одной из вредоносных кампаний против клиентов банка BBVA преступники предлагали поддельное обновление CrowdStrike Hotfix, на самом деле устанавливающее малварь Remcos RAT.

поддельный хотфикс распространялся через фишинговый сайт portalintranetgrupobbva[.]com, который выдавал себя за внутренний портал BBVA.
архив содержал инструкции, призывающие сотрудников установить «обязательное обновление», которое поможет избежать ошибок при подключении к внутренней сети компании.

Другие злоумышленники распространяют вайпер под видом обновления CrowdStrike. Вайпер уничтожает операционную систему, перезаписывая файлы нулевыми байтами, а затем отчитывается об этом через Telegram.

Ещё один зафиксированный инцидент отличался тем, что мошенники выдавали себя за CrowdStrike, рассылая письма с домена crowdstrike.com[.]vc. Они сообщали клиентам компании о появлении инструмента для восстановления Windows-систем.

Письма содержали PDF-файл с инструкциями по запуску фальшивого обновления и ссылку для загрузки вредоносного ZIP-архива с файлового хостинга.

Архив содержал исполняемый файл с именем Crowdstrike.exe. После выполнения вайпер извлекался в папку %Temp% и после запуска уничтодал все данные на устройстве.

Инциденты

Злоумышленники взломали индийскую криптовалютную биржу WazirX и похитили криптовалютные активы на сумму 230 млн долларов США.

Компания сообщила, что один из её кошельков с мультиподписью подвергся атаке. Кошелёк имел шесть подписей, пять из которых принадлежали команде WazirX, но с 2023 года «этот кошелек использовал услуги инфраструктуры хранения цифровых активов и кошельков Liminal».

Кибератака произошла из-за несоответствия между данными, отображаемыми в интерфейсе Liminal, и реальным содержимым транзакции. В ходе кибератаки было несоответствие между информацией, отображаемой на интерфейсе Liminal, и тем, что было подписано на самом деле. Предположительно, пейлоад был подменён, чтобы передать контроль над кошельком злоумышленнику.

На фишинговом клоне популярного пиратского сайта с электронными книгами Z-Library произошла утечка данных почти 10 миллионов пользователей.

Исследовательская группа Cybernews обнаружила открытую базу данных с информацией 9 761 948 пользователей. Эти данные принадлежали злоумышленникам, которые управляли фальшивой версией Z-Library.

Под видом настоящего сайта мошенники на протяжении долгого времени собирали личную информацию, пароли, адреса криптовалютных кошельков и платёжные данные пользователей. Однако, что ещё хуже, злоумышленники случайно раскрыли все эти данные. Исследователи подтвердили подлинность этой информации.

Сайт Z-lib создали вскоре после изъятия оригинальных доменов Z-Library американскими властями в ноябре 2022 года. Этот фишинговый ресурс собирал учётные данные и запрашивал платежи. В своём Telegram-канале злоумышленники выдавали себя за законных владельцев Z-Library и утверждали, что их сайт является единственным официальным.

По словам экспертов, утечка является беспрецедентной. Количество скомпрометированных аккаунтов на поддельном сайте Z-lib превышает число пользователей оригинального сайта до его закрытия.

Инфраструктура «Ростелекома» подверглась DDoS-атаке, мощность которой достигла 3 Тб/с и продолжалась около пяти часов.

Телеком-гигант сообщил, что ему «удалось минимизировать воздействие атаки и обеспечить непрерывность сервиса для всех клиентов».

В «Ростелекоме» полчеркнули, что действия киберпреступников не затронули данные и никак не отразились на бесперебойной работе сервисов.

В сети опубликована полная база данных первой версии хакерского форума BreachForums.

Предполагается, что эти данные получены из бэкапа БД, который создал и продал ещё в 2023 году бывший админ ресурса, Конор Брайан Фитцпатрик (Conor Brian FitzPatrick), также известный под ником Pompompurin.

Публикация стала результатом конфликта между членами сообщества BreachForums. Один из участников противостояния вечером 23 июля 2024 года слил в Telegram полную базу данных, обнародовав огромное количество дополнительной информации. Он сопроводил публикацию сообщением следующего содержания:

«Полная база данных BreachForum v1, содержащая все записи до 29 ноября 2022 года. Эта БД включает все: личные сообщения, темы, логи платежей, подробные логи IP-адресов для каждого пользователя и так далее. Изначально я выложил только таблицу пользователей, чтобы предотвратить ее продажу за кулисы сотрудниками BreachForum, но теперь стало очевидно, что эта БД есть у стольких людей, что её утечка просто неизбежна. Это дает всем шанс просмотреть свои записи и устранить пробелы в OPSEC».

Журналисты уже изучили дамп и, основываясь на временных отметках, сообщают, что это полная резервная копия форума MyBB, созданная 28 ноября 2022 года. БД содержит все данные форума, включая ID пользователей, хешированные пароли, личные сообщения, криптовалютные адреса, использовавшихся для покупки форумных кредитов, и все сообщение на сайте.

Компания Red Art Games сообщила о компрометации данных клиентов в результате масштабной кибератаки.

Обработка заказов и возвраты приостановлены на несколько дней, пока проводится расследование. Сайт компании закрыт и отображает баннер-уведомление о кибератаке.

Red Art Games подтвердила, что были раскрыты следующие данные:

имена и фамилии;
даты рождения;
адреса электронной почты;
адреса доставки;
информация для заказа;
телефонные номера.

Инцидент не затронул банковские данные клиентов.

Инцидент произошёл 18 июля и вызвал временные перебои в работе некоторых служб и доступе к компьютерам организации. Ограничения могли повлиять на оперативность предоставления услуг в течение дня, однако сейчас издание работает в штатном режиме, продолжая выполнять свои обязательства перед читателями, предоставляя актуальные новости как на сайте, так и в печатной версии.

«Globes» привлёк к работе профессионалов с опытом в аналогичных инцидентах. Вместе с консультантами они предпринимают все возможные меры для предотвращения дальнейших атак и оптимального управления ситуацией. Конкретный характер атаки неизвестен. Также не сообщается, были ли украдены какие-то внутренние данные.

Все 36 судов Верховного суда округа Лос-Анджелес прекратили работу для восстановления систем после вымогательской кибератаки.

В результате инцидента пострадали как внешние системы (портал MyJuryDuty и веб-сайт суда), так и внутренние системы управления делами. Многие из систем суда все еще недоступны.

Об атаке стало известно 20 июля. После обнаружения атаки LASC был вынужден немедленно отключить все сетевые системы, чтобы локализовать нарушение. Затронутые устройства, вероятно, останутся отключенными как минимум до 23 июля, пока их не восстановят и не подключат снова к сети.

Суд не обнаружил доказательств компрометации данных на пострадавших системах. Отмечается, что инцидент не связан с глобальным сбоем Windows, который произошел после неудачного обновления CrowdStrike.

Крупнейший в мире ритейлер яхт и лодок для отдыха MarineMax признал компрометацию данных 123 000 клиентов в результате взлома системы безопасности, совершенного группировкой вымогателей Rhysida в марте 2024 года.

В первой версии отчёта об инциденте MarineMax утверждала, что конфиденциальные данные не хранились в скомпрометированных системах. Однако через две недели в новом отчёте компания уже сообщила, что злоумышленники похитили личные данные неопределённого количества клиентов.

MarineMax сообщила, что инцидент затронул 123 494 человека. Компания уточнила, что нарушение было обнаружено 10 марта, через десять дней после того, как злоумышленники получили доступ к сетям компании.

Злоумышленники похитили имена и другие идентификационные данные. Пока не разглашается, какие ещё личные данные были украдены и коснулось ли это как клиентов, так и сотрудников.

Группировка Rhysida опубликовала на своём сайте в даркнете архив объёмом 225 ГБ с файлами, якобы похищенными из сети MarineMax, заявляя, что это данные, которые не удалось продать на киберпреступных форумах. Rhysida также разместила скриншоты финансовых документов MarineMax, водительских удостоверений и паспортов клиентов и сотрудников.

Дайджест Start X № 379

Start X — Thu, 18 Jul 2024 22:38:47 +0300

Обзор новостей информационной безопасности с 12 по 18 июля 2024 года

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

Сергей Волдохин
выпускающий редактор

Киберкампании

Российских игроков Hamster Kombat атакуют фишеры, предлагая вывести средств из игры и конвертировать их в рубли.

Схема кампании

Мошенники рассылают российским пользователям ссылки на фишинговый ресурс, через который якобы можно вывести монеты из игры Hamster Kombat и конвертировать их в рубли.

Чтобы сделать это, сначала нужно авторизоваться в Telegram — ввести учётные данные на открывшейся странице.

Разумеется, никакой конвертации на самом деле нет, и таким способом мошенники просто воруют доступ чужим аккаунтам в Telegram.

Главная цель фишеров — выманить у жертвы номер телефона и код подтверждения. Полученный доступ к учетным записям мошенники могут использовать для различных целей, в том числе для кражи конфиденциальных данных, шантажа и рассылки мошеннических сообщений по списку контактов.

Обнаружена фальшивая электронная рассылка с предупреждением о проведении «уроков ИБ» для сотрудников российских компаний. Вместо настоящих ИБ-специалистов с работниками связываются злоумышленники и убеждают их передать конфиденциальные данные о компании.

Особенности кампании

Фейковые письма поступают в адрес руководителей российских компаний.

Во вложении содержится электронный документ на бланке несуществующего ведомства, которое якобы уведомляет о планах провести консультационные беседы с сотрудниками компании по вопросам обеспечения информационной безопасности и защиты персональных данных.

Согласно «документу», содержание бесед конфиденциально и не подлежит разглашению, а руководителю организации, получившему письмо, следует предупредить подчиненных о предстоящем звонке.

После этого «подготовленным» работникам компании поступают звонки, но не от ИБ-специалистов, а от злоумышленников. Они склоняют сотрудников к передаче конфиденциальной информации, в том числе для входа в информационную инфраструктуру компании.

Далее возможны два варианта развития событий: полученные данные продаются на черном рынке либо непосредственно используются для совершения атаки.

Обнаружен новый метод распространения вредоносного ПО Clickfix, который используют для заманивания пользователей на вредоносные сайты и принуждения к запуску вредоносных скриптов.

Особенности кампании

Clickfix представляет собой сложную форму социальной инженерии, манипулируя пользователями для самостоятельного выполнения ими вредоносных скриптов под видом легитимных действий.

В одном из сценариев жертва получает фишинговый email с HTML-вложением, замаскированным под документ Microsoft Word.

При открытии файла пользователю показывается поддельное сообщение об ошибке, предлагающее установить несуществующее браузерное расширение Word Online.

После нажатия кнопки «How to fix», вредоносный код автоматически копируется в буфер обмена, а пользователю предлагается вручную выполнить его, для чего требуется нажать комбинацию клавиш Win+R, вставить код из буфера туда и нажать Enter.

Внутри самой HTML-страницы из письма данный PowerShell-код обфусцирован, что делает невозможным его обнаружение базовыми средствами защиты Windows или почтовыми фильтрами.

После выполнения PowerShell-скрипт загружает и выполняет HTA-файл с удалённого сервера, что запускает вредоносные действия на системе жертвы. На диске C создаётся папка, куда помещается AutoIt-скрипт. Запуск скрипта происходит в автоматическом режиме, после чего вредоносное ПО связывается с командным сервером для получения дальнейших инструкций.

Обнаружена фишинговая кампания по распространению трояна удалённого доступа Poco RAT в странах Латинской Америки.

Схема кампании

Заражение начинается с фишинговых сообщений, содержащих ссылки на архивы 7-Zip, размещённые на Google Drive.

Другие способы распространения включают использование HTML или PDF файлов, вложенных в письма или загружаемых через ссылки Google Drive. Легитимный сервис Google Drive в данном случае используется не случайно, а намеренно, чтобы обойти системы защиты электронной почты (Secure Email Gateway, SEG).

Используемые в атаке HTML и PDF-файлы, в свою очередь, также содержат ссылку, щелчок по которой приводит к загрузке архива, содержащего исполняемый файл вредоносного ПО.

После запуска троян Poco RAT закрепляется на заражённом компьютере и связывается с C2-сервером для доставки дополнительных вредоносных модулей.

Основное внимание в коде вредоносного ПО уделено обходу анализа, связи с командным сервером и загрузке файлов, в то время как сбор данных и учётных записей не является приоритетом.

Новый тип программ-вымогателей атакует турецкие предприятия.

Схема кампании

Атака начинается с фишинговых писем, содержащих PDF-вложения.

В PDF-файле содержится ссылка, которая загружает дальнейший исполняемый файл со скомпрометированного аккаунта на GitHub.

Загруженный файл после запуска распаковывает и размещает в директории C:\TheDream файлы RootDesign.exe, Uninstall.exe и Uninstall.ini.

Классы и функции файла RootDesign.exe защищены обфускацией, что позволяет обходить традиционные методы обнаружения вредоносного ПО.

После распаковки вредоноса он запускает команду PowerShell для скрытого выполнения RootDesign.exe.

Запущенный файл создаёт множество своих копий в памяти и шифрует критические системные и офисные файлы, присваивая им расширение «.ShadowRoot». В корневом каталоге создаётся журнал «log.txt», в котором фиксируются все действия программы.

Зашифрованные файлы сопровождаются текстовым файлом «readme.txt», содержащим требования выкупа на турецком языке. В тексте не указаны данные криптокошелька, но жертвам предлагается связаться через указанный адрес электронной почты для дальнейших инструкций по оплате и дешифровке.

Программа использует простые методы шифрования и имеет немного функций, поэтому исследователи предположили, что она была создана неопытными злоумышленниками.

Инциденты

Злоумышленники из группировки NullBulge заявили, что им удалось похитить более терабайта данных у компании Disney.

Эта утечка якобы содержит сообщения и файлы из 10 000 внутренних Slack-каналов компании. По словам хакеров, в дампе можно найти информацию о еще невышедших проектах Disney, исходные коды, учетные данные, а также ссылки на внутренние API и веб-страницы.

Представители NullBulge утверждали, что надеялись украсть больше данных, однако инсайдер, якобы помогавший им в атаке, «струсил» и лишил хакеров доступа.

В существовании инсайдера искренне сомневаются исследователи Vx-underground. Они считают, что хакеры просто скомпрометировали одного из сотрудников Disney с помощью инфостилера:

«Если бы [эта утечка] была результатом работы инсайдера, было бы раскрыто больше данных. Не разговоры из Slack. Можно было бы ожидать данных Jira, исходного кода или секретов. Чего-нибудь ещё, кроме бесед из чатов.

Мы предполагаем, что сотрудник Disney пострадал от инфостилера. Была украдена сессия Slack или локально сохранённые учётные данные, не требующие использования мультифакторной аутентификации. Этого достаточно, чтобы соскрапить данные. Но если эти данные действительно получены в результате действий инсайдера, он проделал ужасную работу, потому что никому нет дела до рабочих переписок».

Хакеры похитили 305 млн долларов США в криптовалюте у японской биржи DMM Bitcoin.

По данным независимого криптовалютного аналитика ZachXBT , к июлю злоумышленники уже успели отмыть около 35 млн долларов США из похищенных средств. Схема отмывания денег оказалась довольно сложной и включала в себя несколько этапов:

Сначала биткоины были пропущены через так называемый «миксер» — сервис, помогающий скрыть историю транзакций криптовалют.
Затем «очищенные» средства перевели на другой блокчейн, где их обменяли на стейблкоин USDT (Tether).
После еще одной смены блокчейна, USDT были отправлены на платформу Huione Guarantee.

Huione Guarantee — это китайская экосистема и маркетплейс. Через неё, предположительно, прошло незаконных транзакций на сумму не менее 11 млрд долларов США.

Компания Tether, выпускающая популярный стейблкоин USDT внесла в чёрный список кошелек, предположительно связанный с Huione, на котором находилось почти 30 млн USDT.

Сравнив пути легализации доходов и другие косвенные признаки с предыдущими инцидентами, ZachXBT пришел к выводу, что за атакой стоит Lazarus.

Компания Bassett Furniture, один из крупнейших производителей мебели в США, приостановила работу после атаки вымогателей.

Злоумышленники проникли в сеть компании и зашифровали часть данных, нарушив работу Bassett Furniture. Об этом компания сообщила в понедельник, 15 июля.

На данный момент производственные мощности Bassett Furniture не функционируют. Розничные магазины и интернет-платформа компании продолжают работать, принимая заказы, хотя их выполнение сильно затруднено.

Руководство компании работает над восстановлением пострадавших систем и внедрением обходных решений, чтобы минимизировать влияние инцидента.