Rose debug info
---------------

Блог Start X

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Дайджест Start X № 363

Обзор новостей информационной безопасности с 1 по 14 марта 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Организаторы фишинговой кампании Vcurms используют в качестве командного центра электронную почту, а вредоносный код хранят на публичных сервисах AWS и GitHub.

Особенности кампании

  1. Преступники нацелены на устройства с установленной Java.
  1. Пользователь должен скачать вредоносный Java-загрузчик, который служит вектором для распространения самого Vcurms и трояна STRRAT.

  1. Вредоносные письма обычно маскируются под легитимные запросы с призывами проверить платежную информацию и загрузить файлы, размещенные на AWS.
  1. После установки вредонос применяет классические фишинговые техники, в том числе поддельные имена и зашифрованные строки, для сокрытия своей вредоносной природы.
  1. Компонент Vcurms в виде программы-трояна (RAT) связывается с командным центром через электронную почту, демонстрируя высокий уровень технической изощренности. Вредонос обеспечивает персистентность, копируя себя в папку автозагрузки, идентифицирует и отслеживает жертв с помощью кейлоггинга и функции восстановления паролей.

  1. Чтобы избежать обнаружения и анализа, вредоносное ПО использует обфускатор.

  1. Основная цель Vcurms — извлечение конфиденциальных данных из браузеров Chrome, Brave, Edge, Vivaldi, Opera, OperaGX, Firefox, а также из Discord и Steam.

Обнаружена кампания по краже учётных данных с использованием нового фишингового инструмента CryptoChameleon, нацеленная на сотрудников Федеральной комиссии по связи (FCC), а также пользователей и сотрудников криптовалютных платформ Binance, Coinbase, Kraken и Gemini.

Схема кампании

  1. Злоумышленники регистрируют домены, похожие на домены легитимных сайтов. Например, для FCC они создали домен «fcc-okta[.]com», отличающийся всего на один символ от действительной страницы единого входа FCC (Single Sign-On, SSO) через Okta.

  1. Атакующие могут звонить, отправлять электронные письма или SMS цели, притворяясь службой поддержки, и направлять их на фишинговый сайт для «восстановления» своих аккаунтов.

  1. На сайте мошенников жертву встречает CAPTCHA. Это позволяет фильтровать ботов и добавляет правдоподобности процессу.

  1. Пройдя CAPTCHA, посетитель видит фишинговую страницу, которая выглядит как точная копия настоящей страницы входа Okta.
  1. После завершения фишингового процесса жертва может быть перенаправлена на подлинную страницу входа в систему или на поддельный портал, заявляющий, что её аккаунт находится на рассмотрении.

Набор для фишинга CryptoChameleon позволяет киберпреступнику взаимодействовать с жертвами в реальном времени, чтобы облегчить сценарии, например, запроса кодов многофакторной аутентификации (MFA) для захвата аккаунта цели.

Центральная панель управления процессом фишинга даёт атакующему возможность настраивать фишинговую страницу, включая в нее цифры телефонного номера жертвы, делая более правдоподобные запросы кода MFA.

Инциденты

Крупнейший американский ритейлер товаров для животных PetSmart стал жертвой целевой кибератаки.

Команда безопасности PetSmart 6 марта 2024 года оповестила клиентов, что их аккаунты стали целью атак, направленных на получение доступа к персональным данным. В качестве меры предосторожности компания сбросила пароли всех аккаунтов, которые использовались в период атак, так как не было возможности определить, был ли вход осуществлён владельцем аккаунта или злоумышленниками.

Представители PetSmart подчеркнули, что не было обнаружено никаких признаков компрометации самого сайта petsmart[.]com или других систем компании.

Вымогательская кибератака привела к остановке работы заводов пивоваренной компании Duvel Moortgat.

Сообщается, что в ночь на 5 марта 2024 года IDS-системы засекли кибератаку. Производство пива было немедленно остановлено, и пока неизвестно, когда оно возобновится. В компании заверили, что это не скажется на распределении продукции благодаря наличию достаточного количества пива на складах.

Неизвестно, затронула ли кибератака производственные мощности в Антверпене, Оуденаарде и Ашуффе или преступники напали только на главный завод Duvel в Бреендоке, Бельгия. Также не сообщается, затронула ли атака конфиденциальные данные компании.

Пока ни одна из вымогательских группировок не взяла на себя ответственность за атаку на Duvel.

Вымогательская группировка BlackCat (ALPHV) заявила, что правоохранительные органы захватили ее сайт и инфраструктуру, после чего выключили все сервера и скрылись с 22 млн долларов США, полученных отт последней жертвы.

В начале марта ИБ-специалисты заметили, что прекратил работу блог BlackCat, а также сайты для переговоров с жертвами. Вскоре партнер группировки обвинил создателей BlackCat в хищении 22 млн долларов США.

Один из аффилиатов вымогателей с псевдонимом notchy заявил, что именно он взломал Optum, и у него остались 4 ТБ «критически важных данных Optum», включая «производственную информацию, которая затрагивает всех клиентов Change Healthcare и Optum». При этом после получения денег BlackCat заблокировала его партнерский аккаунт и забрала все средства из кошелька.

В доказательство своих слов notchy приложил к сообщению криптовалютный адрес с девятью транзакциями: первоначальным входящим переводом в 350 биткоинов (около 23 млн долларов США) и восемью исходящими. Причем адрес, с которого пришли биткоины, содержит всего две транзакции: одна — получение 350 биткоинов, другая — отправка их на кошелек, связанный с BlackCat.

На Tor-сайте BlackCat появилась заглушка, сообщающая, что ресурс захвачен и конфискован ФБР, Минюстом США, Национальным агентством по борьбе с преступностью Великобритании (NCA).

По мнению экспертов, сообщение о захвате — фальшивка, поскольку картинка находится в папке с именем «/THIS WEBSITE HAS BEEN SEIZED_files/». Хакеры поленились сделать сайт, и просто показали сохранённую картинку уведомления со старого сайта утечек с помощью Python HTTP-сервера.

American Express сообщила, что информация о картах платёжной системы была скомпрометирована в результате хакерской атаки на неназванный процессинг.

В заявлении компании сказано, что сторонний поставщик, услугами которого пользуются многие компании, столкнулся с несанкционированным доступом к своим системам. Номер счета текущей или ранее выпущенной карты American Express, имя и другая информация о карте (например срок ее действия) могли быть скомпрометированы. Подчёркивается, что системы, принадлежащие American Express или контролируемые ею, не были скомпрометированы в результате этого инцидента.

Пока неясно, сколько людей пострадало от этой атаки, когда это случилось, и какой именно процессинговый центр был взломан. Представители American Express сообщили СМИ, что не раскрывают данные о своих деловых отношениях и торговых партнерах, и не могут предоставить никакой дополнительной информации об инциденте.

Хак-группа Mogilevich, заявившая о взломе Epic Games, на самом деле никого не взламывала. Злоумышленники признались, что громкие заявления о взломах были фальшивкой для привлечения внимания.

Группировка сделала вид, будто публикует украденные у Epic Games данные, но вместо информации по ссылке было опубликовано следующее заявление:

«Возможно, вы задаетесь вопросом, зачем все это, и сейчас я все вам объясню. На самом деле мы не ransomware-as-a-service („вымогатель-как-услуга“), а профессиональные мошенники. Ни одна из баз данных, перечисленных в нашем блоге, не была взломана. Мы воспользовались громкими именами, чтобы как можно быстрее получить известность, но не для того, чтобы прославиться и добиться признания».

Мошенники сообщили, что благодаря созданной ими шумихе, они продали доступ к своей несуществующей вымогательской инфраструктуре восьми заинтересовавшимся хакерам, причем в последний момент удвоили цену.

Неизвестный хакер взломал платформу для выдачи займов Займер и выложил в открытый доступ 500 тыс. записей.

Полный дамп, по словам хакера, содержит 16 млн записей о займах россиян и продаётся на форуме для любителей утечек.

БД содержит следующие поля:

  • Ф.И.О.;
  • Дата рождения;
  • Телефон;
  • Место рождения;
  • Адрес;
  • Реквизиты документа;
  • ИНН.

Данные актуальны на февраль 2024 года.

В результате кибератаки на Chunghwa Telecom, крупнейшую телекоммуникационную компанию Тайваня, украдено 1,7 ТБ данных, включая информацию, связанную с государственным устройством острова.

Утекшие данные были выставлены на продажу в теневом сегменте Интернета 23 февраля 2024 года пользователем под ником «303» с подписью «Monogon» на аватаре.

Министерство обороны Тайваня официально подтвердило взлом. По предварительным данным, хакерам удалось получить доступ к конфиденциальной информации Chunghwa Telecom.

Как сообщается, украдены секретные документы вооружённых сил Тайваня, министерства иностранных дел, береговой охраны и других правительственных подразделений. Тем не менее, в Министерстве обороны Тайваня утверждают, что никакая секретная информация раскрыта не была.

В результате сложной фишинговой атаки европейская розничная сеть Pepco перевела мошенникам крупную сумму денег.

Жертвой киберпреступников стало венгерское подразделение Pepco Group, сотрудники которого отправили мошенникам 15,5 млн евро.

Pepco подчеркнула, что кибератака не коснулась личных данных простых покупателей, поставщиков или персонала и заверила клиентов и бизнес-партнёров в стабильности финансового положения компании, указав на наличие доступа к более чем 400 млн евро ликвидности из наличных и кредитных средств.

Пока неясно, удастся ли вернуть деньги. Компания взаимодействует с правоохранительными органами и банками, пытаясь найти и заморозить похищенные средства.

Эксперты предполагают, что Pepco стала жертвой атаки с компрометацией деловой переписки (Business Email Compromise, BEC-атака).

Власти британского города Лестер отключили системы управления города и критически важные телефонные линии из-за киберинцидента.

Нарушение в работе услуг было впервые замечено 7 марта, а решение о временном отключении было принято с целью предотвращения возможных негативных последствий.

Уже 8 марта местные власти официально окрестили возникшую проблему как «киберинцидент», под которым часто подразумевают атаки с использованием вредоносного ПО, хотя официального подтверждения этого факта пока нет.

Эксперты в области кибербезопасности выразили подозрения, что за нарушением может стоять атака с использованием программы-вымогателя, однако пока ни одна из известных вымогательских группировок не взяла на себя ответственность за происшествие.

Группировка LockBit взяла на себя ответственность за атаку на пенсионный фонд госслужащих Южной Африки (GPAA). Инцидент нарушил работу организации и парализовал выплату пенсий.

Сначала GPAA уведомило о том, что в результате кибератаки 16 февраля нарушения защиты данных не произошло. Однако 11 марта LockBit опубликовала некоторые данные GPAA, а на следующий день стало известно о том, что предварительное расследование выявило компрометацию некоторых систем GPAA.

Представитель GEPF сообщил, что GPAA ведет расследование предполагаемой утечки данных и ее влияния на GEPF, подтверждая, что были предприняты меры по предотвращению несанкционированного доступа к системам, включая отключение и изоляцию затронутых участков сети. GPAA также подтвердило, что система выплат пенсий не пострадала.

Инфраструктура органов государственной власти Франции подверглась DDoS-атаке «беспрецедентной интенсивности».

Ответственность за нападение взяли на себя сразу несколько хакерских группировок, включая Anonymous Sudan, которая заявила о проведении DDoS-атаки на сетевую инфраструктуру французского правительства. Как следует из опубликованного во вторник сообщения самой группировки, атака продолжается, и французы не в состоянии противодействовать ей.

Целью атак стали несколько правительственных служб, однако неясно, ограничивались ли атаки лишь публично доступными сайтами правительства Франции.

Французское правительство заявляет, что специалисты оперативно принимают меры защиты, благодаря чему удар по большинству сервисов удалось смягчить, а затем и полностью восстановить доступ к ним.

Злоумышленникам удалось проникнуть в критически важные программные системы Microsoft, причём недавно стало известно, что масштабы инцидента оказались гораздо серьёзнее, чем предполагалось.

Злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Доступ к исходному коду позволяет проводить последующие атаки на другие системы.

Масштабы атаки и конкретные цели действий хакеров до сих пор неизвестны, но эксперты указывают на то, что атаку провела группа Midnight Blizzard, также известная как NOBELIUM. Microsoft утверждает, что группировка спонсируется правительством Российской Федерации и занимается сбором разведданных.

 36   4 дн   дайджест   фишинг

Дайджест Start X № 362

Обзор новостей информационной безопасности с 16 по 29 февраля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хак-группа Mysterious Werewolf атакует предприятия российского военно-промышленного комплекса, используя фишинговые письма с новым бэкдором RingSpy.

Схема действий преступников

  1. Хакеры рассылали от имени регуляторов письма с вредоносными вложениями.
  2. Вложение содержало архив с отвлекающим документом, имитирующим официальное письмо, и папку с вредоносным CMD-файлом.
  3. CMD-файл эксплуатировал уязвимость CVE-2023-38831 в WinRAR, обнаруженную летом 2023 года.
  4. При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который выполнял следующие действия:
  • создавал файл .vbs в папке C:\Users\[user]\AppData\Local и записывал скрипт, запускающий файл, имя которого было передано как аргумент;
  • создавал файл 1.bat в папке C:\Users\[user]\AppData\Local и запускал его с помощью команды call «%localappdata%\.vbs» «%localappdata%\1.bat»;
  • после запуска производил самоудаление: (goto) 2>nul & del «%~f0».

В результате на компьютеры жертв устанавливался оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды в скомпрометированной системе и похищать файлы с помощью телеграм-бота.

Мошенники от имени банков рассылают письма о новом налоге на специальную военную операцию и предлагают отказаться от его уплаты.

Схема кампании

  1. Злоумышленники рассылают по электронной почте предупреждения о списании средств от имени банков.
  2. В письме указано, что со счетов клиентов вскоре спишут новый налог на специальную военную операцию, поскольку этого требует новый закон.
  3. Жертву предупреждают, что если не отказаться от уплаты налога, будут регулярно списывать «десятки тысяч рублей».
  4. Для отказа предлагается перейти по ссылке на поддельный сайт банка и там войти в «личный кабинет».
  5. Получив логин и пароль от онлайн-банка жертвы, мошенники могут вывести деньги со счета жертвы или оформить кредит на ее имя, если обойдут банковскую систему защиты и двухфакторную аутентификацию.

Инциденты

Кибератака вымогателей BlackCat на подразделение UnitedHealth Group Inc. нарушила обмен данными между медицинскими учреждениями и страховыми компаниями в США.

Проникновение в системы дочерней компании Change Healthcare было обнаружено 21 февраля. Сразу после обнаружения системы компании были отключены. UnitedHealth утверждает, что кибератака затронула только Change Healthcare.

Компания работает с правоохранительными органами и экспертами по кибербезопасности, однако не может указать сроки восстановления сервиса. Пока неизвестно, окажет ли атака влияние на финансовые результаты компании.

Масштабы нарушений, вызванных атакой на UnitedHealth, пока неизвестны. Некоторые организации сообщили о сложностях с подтверждением страхового покрытия в аптеках. Это может задержать выдачу или пополнение запасов медикаментов.

Компания PSI Software SE, разработчик программного обеспечения из Германии, стала жертвой вымогательской кибератаки.

Объявление о кибератаке появилось на главной странице сайта PSI Software 15 февраля. Остальное содержимое сайта было скрыто. Из-за атаки были отключены несколько IT-систем, включая электронную почту.

В последующем обновлении информации PSI Software подтвердила, что причиной нарушения работы стали действия киберпреступников, использующих программу-вымогатель. Пока компания не смогла определить точный способ проникновения злоумышленников.

Пока нет доказательств, что атакующий получил доступ к клиентским системам, но расследование продолжается.

Вымогательская группировка Cactus, похитившая 1,5 ТБ данных у Schneider Electric, начала публиковать украденное.

Пока они выложили в открытый доступ 25 МБ информации, в том числе фотографии паспортов нескольких американских граждан и сканы соглашений о неразглашении.

Об атаке на Schneider Electric стало известно в январе 2024 года. Взлом затронул подразделение компании, занимающееся вопросами устойчивого развития, которое оказывает консалтинговые услуги организациям, консультируя их по вопросам возобновляемых источников энергии и помогая сориентироваться в сложных требованиях климатического регулирования, предъявляемых к компаниям в разных странах мира.

Поскольку жертва взлома так и не заплатила выкуп, операторы Cactus решили подтолкнуть её к «правильному» решению, угрожая «слить» в сеть всю похищенную информацию.

Владельцы 3D-принтеров Anycubic массово сообщают, что кто-то взломал их устройства и оставил записку с предупреждением о том, что принтеры уязвимы для атак. Неизвестный доброжелатель рекомендует пользователям отключить устройства от интернета.

Взломанный 3D-принтер

Неизвестный разместил на взломанных устройствах файл hacked_machine_readme.gcode, предупреждающий пользователей о некой критической уязвимости. По его словам, она позволяет злоумышленникам управлять любым 3D-принтером Anycubic, используя API сервиса MQTT.

Также в своем послании взломщик просит компанию Anycubic открыть исходный код 3D-принтеров, поскольку сейчас софт «имеет недостатки».

Сообщение хакера, в котором отмечается, что 293 463 устройства загрузили это сообщение через уязвимый API.

Представители Anycubic уже собирают в социальных сетях информацию пострадавших клиентов (имена учетных записей APP, CN-коды, логи устройств и файлы gcode), чтобы «диагностировать проблему».

Приложение Anycubic перестало работать через несколько часов после того, как в сети стали появляться сообщения пользователей, жалующихся, что их 3D-принтеры взломали. Сейчас пользователи, пытающиеся войти в систему, видят сообщения об ошибке «Сеть недоступна» (Network unavailable).

Вымогательская кибератака группировки BlackCat на центр защиты прав потребителей в немецкой земле Гессен вызвала сбои в информационных системах и остановила работу организации.

В опубликованном на сайте объявлении сообщается о кибернападении на инфраструктуру центра, из-за которого нарушилась телефонная и электронная связь с сотрудниками:

«Данные на сервере и резервных системах в настоящее время зашифрованы. Пока неясно, была ли утечка и какие сведения могли пострадать. Как только ситуация прояснится, мы оповестим тех, чьи данные могли быть скомпрометированы».

Сейчас проблемы со связью в основном решены, сайт работает в обычном режиме, однако граждане по-прежнему испытывают сложности с дозвоном для получения консультаций.

Специалисты по кибербезопасности помогают восстановить доступность всех каналов связи, сроки полного восстановления пока неизвестны.

Хак-группа Mogilevich утверждает, что взломала компанию Epic Games и похитила 189 ГБ данных, среди которых адреса электронной почты, пароли, полные имена, платежная информация и исходные коды.

В отличие от других вымогателей, Mogilevich не делится образцами украденных у жертв данных и утверждает, что продает информацию только проверенным покупателям напрямую. Такое отсутствие доказательств заставляет многих ИБ-исследователей предполагать, что хакеры пытаются обмануть своих покупателей с помощью поддельных данных.

Хакеры сообщили представителям СМИ, что рассчитывают выручить за украденные данные 15 000 долларов США, но готовы поделиться образцами файлов только с теми, кто докажет наличие криптовалютных активов для совершения покупки. По их словам, они уже предоставили образцы трем людям, которые доказали, что обладают нужными средствами.

Представители Epic Games сообщили журналистам, что проводят расследование, но пока не обнаружили никаких признаков кибератаки или кражи данных.

Телеграм-канал «Утечки информации» сообщает, что в свободном доступе появился частичный дамп предположительно мебельного интернет-магазина davitamebel.ru.

В частичном дампе содержатся только данные (имена, телефоны, эл. почты), оставленные через форму обратной связи.

По имеющейся информации, полный дамп базы данных этого магазины также содержит данные покупателей и заказов:

  • ФИО,
  • телефон (400 тыс. уникальных номеров),
  • адрес эл. почты (477 тыс. уникальных адресов),
  • хешированный пароль,
  • адрес доставки,
  • стоимость покупки,
  • дата регистрации, последнего входа и покупки (с 28.03.2016 по 29.02.2024).

В открытый доступ попала база клиентов и заказов интернет-магазина товаров для дома kuchenland.ru.

В нескольких файлах находится:

  • ФИО,
  • телефон (434 тыс. уникальных номеров),
  • адрес эл. почты (242 тыс. уникальных адресов),
  • хешированный (MD5 с солью и SHA512-Crypt) пароль,
  • дата рождения,
  • адрес доставки,
  • IP-адрес,
  • частичный номер банковской карты,
  • стоимость и состав заказа.

Информация актуальна на 23.02.2024.

Хакер под псевдонимом IntelBroker заявил, что ему удалось взломать базу данных Международного аэропорта Лос-Анджелеса (LAX) и похитить конфиденциальные данные владельцев частных самолётов.

По словам хакера, взлом был проведён в этом месяце и не затронул данные простых пассажиров. В результате инцидента было скомпрометировано около 2,5 млн записей, содержащих полные имена, номера CPA, электронные адреса, названия компаний, номера моделей самолётов и идентификационные номера на хвостах самолётов.

Информация о взломе была опубликована самим хакером на киберпреступном форуме BreachForums, возрождённом группировкой ShinyHunters после его ликвидации в марте прошлого года.

IntelBroker заявил, что раздобыть базу данных удалось путём эксплуатации уязвимости в CRM-системе, используемой аэропортом.

 100   18 дн   дайджест   фишинг

Дайджест Start X № 361

Обзор новостей информационной безопасности с 9 по 15 февраля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты Check Point обнаружили резкий рост числа атак с использованием поддельных голосовых сообщений в электронной почте.

Схема кампании

  1. Злоумышленники используют корпоративные телефонные системы для рассылки электронных писем, содержащих фишинговые ссылки под видом сообщений голосовой почты.
  1. Письмо содержит имитацию встроенного аудиопроигрывателя, который представляет собой ссылку, якобы перенаправляющую жертву в сервис, от которого пришло письмо. Там, по легенде, жертва сможет прослушать отправленное голосовое сообщение.
  1. Имитация записанного сообщения на голосовую почту разжигает любопытство жертвы, поэтому она спешит ввести логин и пароль на поддельной странице, принадлежащей хакерам.

Мошенники стали использовать старые голосовые сообщения из существующих переписок в мессенджерах, чтобы обманывать жертв.

Схема действий преступников

  1. Мошенники взламывают аккаунт жертвы в мессенджере и изучают переписки со знакомыми и коллегами.
  1. Выбрав подходящего собеседника, с ним связываются с помощью текстового сообщения от имени владельца аккаунта.
  1. Изначально беседа может не касаться денег, сначала мошенники пытаются войти в доверие. Для этого они продолжают начатый диалог или возвращаются к старой тему, найденной в переписке: день рождения друга, планы на выходные и другие.
  1. Затем мошенники отправляют старые голосовые сообщения, чтобы убедить собеседника, что он действительно общается с родственником или знакомым.
  1. После этого возникает просьба одолжить денег на пару дней. Уверенная, что общается со знакомым, жертва отправляет деньги мошеннику.

Инциденты

Телеграм-канал «Утечки информации» сообщает, что хакеры получили доступ к информации из формы записи на прием с сайта медицинского центра «СОВА».

Данные содержат:

  • ФИО,
  • номер телефона (126 тыс. уникальных номеров),
  • адрес эл. почты (35 тыс. уникальных адресов),
  • город,
  • текст комментария.

Актуальность данных — 12.02.2024.

В свободный доступ были выложены SQL-дампы, содержащие информацию о клиентах и их заказах, предположительно интернет-магазина бытовой техники и электроники ultratrade.ru.

В опубликованных файлах содержатся следующие данные:

  • ФИО,
  • адрес эл. почты (95 тыс. уникальных адресов),
  • телефон (144 тыс. уникальных номеров),
  • пароль (в текстовом виде),
  • адрес,
  • дата регистрации и заказа,
  • IP-адрес.

Как сообщают «Утечки информации», данные актуальны на 11.02.2024.

Из-за неправильной настройки серверов переписка американской компании Securence и тысяч её клиентов находилась в открытом доступе более десяти лет.

Эксперт компании Hold Security обнаружил публичную ссылку, ведущую к серверу электронной почты U.S. Internet, материнской компании Securence, на котором можно было получить доступ к более чем 6500 доменным именам. Каждое из этих имён вело к индивидуальным почтовым ящикам сотрудников или пользователей.

Среди клиентов Securence десятки государственных и местных органов власти, в том числе официальный сайт Северной Каролины, сайт города Стиллвотер в Миннесоте и правительство города Фредерик в Мэриленде.

Как вскоре выяснилось, проблема оказалась связана с неправильной настройкой конфигурации серверов, отвечающих за обработку электронной почты, что и привело к несанкционированному раскрытию информации.

Кроме проблемы с утечкой данных выяснилось, что злоумышленники эксплуатировали сервис Securence для создания вредоносных ссылок. Эти ссылки, первоначально предназначенные для защиты от спама и фишинга, перенаправляли пользователей на заражённые сайты, увеличивая риски для их безопасности.

Ещё одна примечательная деталь инцидента — профиль деятельности жертвы. Компания Securence специализируется на предоставлении услуг фильтрации и защиты электронной почты.

Компания Southern Water из Великобритании признала, что данные части её клиентов были украдены в результате январской кибератаки.

Хотя Southern Water не подтвердила, что причиной инцидента была вымогательская атака, киберпреступная группа Black Basta взяла ответственность за атаку и опубликовала часть украденных данных.

В разосланных клиентам письмах компания уведомила о возможной краже имён, дат рождения, номеров национального страхования, номеров банковских счетов и прочей информации. Пострадавшим предложена бесплатная годовая подписка на сервис Experian IdentityWorks для мониторинга кредитной истории.

Примечательно, что вымогатели Black Basta удалили информацию о Southern Water со своего сайта утечек. Обычно это происходит после уплаты выкупа, однако компания отказалась комментировать этот момент.

Кибератака привела к остановке производства на пяти заводах немецкого производителя аккумуляторов VARTA AG.

Из-за атаки на часть IT-инфраструктуры компании пришлось прекратить работу IT-систем и отключить их от интернета для обеспечения безопасности. Инцидент имеет все признаки вымогательской атаки, но никаких подробностей пока не раскрывается.

Компания активировала чрезвычайный план, создав рабочую группу из экспертов по кибербезопасности и специалистов по компьютерной форензике для помощи в восстановлении систем.

Остановка производственных операций на пяти заводах без чёткого срока восстановления нормальной работы привела к падению цен на акции VARTA на 4,75%.

Хакерская группировка из Бахрейна совершила успешную атаку на бортовые системы кораблей 5-го флота Соединенных Штатов.

Как сообщают СМИ, 11 февраля хакерская группировка «Шторм» провела успешную атаку против пятого флота ВМС США и объявила о том, что в ее распоряжении оказались секретные документы, в том числе фотографии и подробные планы американской базы на Бахрейне. Хакеры опубликовали часть похищенных документов, предупредив, что у них есть нечто более важное. Оно попадет в руки тех, кто поддерживает «Ось сопротивления» в борьбе против США.

Вымогатели ALPHV/BlackCat объявили о взломе систем канадской сети транспортировки нефти Trans-Northern Pipelines и краже 190 ГБ конфиденциальных данных.

За отказ от публикации данных вымогатели требуют выкуп, размер которого не сообщается.

Сам киберинцидент произошёл ещё в ноябре 2023 года и затронул ограниченное количество внутренних компьютерных систем. Сейчас компания сотрудничает с  экспертами по безопасности для расследования заявлений хакеров и обеспечения надлежащей защиты своих операций.

Кибератака на индийскую компанию Infosys стала причиной масштабной утечки данных, затронувшей клиентов Банка Америки.

Согласно официальному заявлению, американское подразделение Infosys, Infosys McCamish Systems LLC (IMS), столкнулось с серьезным инцидентом, из-за которого на время были отключены важнейшие системы и приложения.

Bank of America не сообщает, сколько именно клиентов пострадали от этой утечки, однако представители консалтинговой компании Infosys McCamish Systems (IMS), чьи системы и были взломаны в ходе атаки, заявили, что в результате инцидента были раскрыты данные 57 028 клиентов.

Ответственность за взлом IMS взяла на себя вымогательская группировка LockBit. На своем сайте в даркнете хакеры утверждают, что в ходе атаки им удалось скомпрометировать и зашифровать более 2000 систем компании.

Компания Willis Lease Finance Corporation стала жертвой кибератаки группировки Black Basta, в результате которой произошла утечка конфиденциальных данных.

Хакеры утверждают, что им удалось украсть 910 ГБ данных, среди которых личная информация сотрудников, документы по управлению персоналом, соглашения о неразглашении, а также детали договоров аренды с крупными авиакомпаниями и 40 сканов паспортов.

Black Basta разместила на своем сайте утечек образцы похищенного, в том числе кадровые документы, содержащие номера социального страхования сотрудников компании.

Вымогательская атака на информационную систему Hipocrate (Hipocrate Information System, HIS) нарушила работу 100 румынских больниц. Данные 25 учреждений зашифрованы, а 75 больниц не могут работать из-за отключения системы.

В результате атаки система полностью вышла из строя, а файлы и базы данных были зашифрованы программой Backmydata, разновидностью программы-вымогателя из семейства Phobos.

Атака затронула множество больниц по всей Румынии, включая региональные и онкологические центры. Врачи были вынуждены вернуться к выписыванию рецептов и ведению всех записей на бумаге.

Злоумышленники уже отправили требование о выкупе в размере 3,5 BTC (около 157 тыс. евро). Название группы, ответственной за атаку, в записке о выкупе не упоминается.

 145   1 мес   дайджест   фишинг
Ранее Ctrl + ↓