Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 312

Обзор новостей информационной безопасности с 17 февраля по 2 марта 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая схема угона телеграм-каналов использует сообщения в секретном чате якобы от команды Telegram. Злоумышленники разыгрывают сценарий ошибки антиспам-системы и уводят жертву на фишинговую страницу.

Схема кампании

  1. Через секретный чат приходит сообщение от якобы команды Telegram с пометкой 🔓«Security Notification».
  1. Содержание сообщения злоумышленников активно стимулирует объект атаки на 🧠немедленную реакцию:

«Ваш аккаунт мож⁡ет быть временно ограничен. Oчeнь жaль, чтo Bы c этим cтoлк⁡нулиcь. K coжaлeнию, инoгдa нaшa aнтиc⁡пaм-cиcтeмa излишнe cуpoвo peaгиpуeт нa нeкoтopыe дeйc⁡твия. Ecли Bы cчитaeтe, чтo oгpaничeниe Вaшeгo aккaунтa oшибoчнo, пoжaлуйcтa, пepeйдитe пo ccылкe и пoдтвepдитe cвoю учeт⁡ную зaпи⁡cь — https://telegram.org@ipts. re***rt/confirm?id=XXXXXXXXX

B cлyчae игнopиpoвaния дaннoгo cooбщeния, c цeлью oбecпeчeния бeзoпacнocти тeкущий aккa⁡унт мoжeт быть зaблoкиpoвaн.

С уважением, ком⁡анда Телеграм»

  1. При переходе по ссылке открывается не Telegram. org, а фишинговый сайт, похожий на Telegram.
  1. Злоумышленники запрашивают код, отправленнный на привязанный номер телефона якобы для «снятия ограничений с аккаунта»
  2. Если жертва сообщит код, она рискует потерять свой аккаунт.

Рекомендации по защите от команды Russian OSINT:

  1. Внимательно смотрим на всю ссылку (после org), а не только начало — https://telegram.org@ipts. re***rt/confirm?id=XXXXXXXXX
  2. Помните, что команда Telegram не отправляет сообщения пользователям через секретный чат с 🔒 замочком
  3. Обязательно используйте 2FА в Telegram (сложный пароль)
  4. Вас провоцируют совершить действие — «быстро», «немедленно», «прямо сейчас». Возьмите паузу, обдумайте и посоветуйтесь с тем, кто разбирается в вопросе.

В рамках очередной фишинговой кампании злоумышленники рассылают клиентам криптовалютного кошелька Trezor фальшивые уведомления о проблемах с безопасностью их аккаунта.

Схема кампании:

  1. Киберпреступники упоминают некую «утечку данных», и от пользователя требуется выполнить некоторые действия для «восстановления безопасности».
  2. Уведомления, которые приходят клиентам криптокошелька в рамках вредоносной кампании содержат ссылку на поддельный сайт Trezor.

  1. На сайте жертвам предлагается ввести секретную фразу от их кошелька, состоящую из 12 или 24 слов. Эту фразу можно использовать для восстановления криптокошелька в случае кражи, потери или неисправности устройства.
    Злоумышленники же просят ввести фразу, чтобы «обезопасить аккаунт».
  2. Если пользователь введёт данную секретную фразу на фишинговом сайте, его кошелёк со всей криптовалютой «автоматически» перейдёт во владение мошенников.

Эксперты считают, что для рассылки уведомлений мошенники используют маркетинговый список, украденный при взломе MailChimp ещё в марте 2022 года . Тогда MailChimp сообщила, что хакеры украли данные 102 клиентов, большинство из которых работает в криптовалютном и финансовом секторах.

СМИ сообщают о росте мошеннических предложений о трудоустройстве в Ozon и Wildberries.

Схема действий мошенников

  1. Жертва получает сообщение в мессенджере с предложением работы. Отправители сообщают, что маркетплейсы ищут сотни сотрудников «для выполнения задач в социальных сетях». Опыт при этом не важен, основное требование — возраст от 23 до 60 лет, заработок — до 600 тыс. руб. в месяц.
  2. В качестве цели работы указывается помощь в увеличении просмотров страниц товаров конкретных продавцов. За это «работники» получают вознаграждение от 300 до 7 000 руб. в день.
  3. Откликнувшимся предлагают заплатить за обучающий курс или прислать сканы документов, которые впоследствии используются для оформления микрозаймов.
  4. Чтобы пройти обучающий курс, нужно заплатить небольшие деньги. Оформив на фишинговом сайте платеж даже на небольшую сумму, пользователь раскрывает злоумышленникам данные своей банковской карты, в том числе и PIN-код. Таким образом, они получают доступ ко всем средствам на счету жертвы.

Обнаружена мошенническая кампания, направленная на граждан Киргизии, приехавших на заработки в Россию.

Схема обмана

  1. Мошенники получают из неустановленного источника сведения об иностранных гражданах, использующих для перевода средств мобильное приложение «Золотая корона».
  2. Злоумышленники звонят иностранному гражданину на сотовый телефон и, представляясь сотрудниками сервиса, сообщают, что от его имени поступила и одобрена заявка на кредит. Если жертва хочет отменить выдачу кредита, нужно назвать код.
  3. В ходе разговора для убедительности жертве сообщают ее личные данные.
  4. Если жертва называет код, на неё оформляют кредит в размере от 5 до 150 тыс. рублей под высокие проценты. При этом деньги поступают на счет жертвы и тут же исчезают.

Чтобы проверить, как работает схема, корреспондент «Известий» зарегистрировался в «Золотой короне», нажал кнопку «Займ», но не дал согласия на обработку персональных данных и вышел из приложения, не завершив процесс займа. Уже через полчаса ему стали звонить представители сторонних микрофинансовых организаций и предлагать свои услуги. Вслед за ними позвонил оператор «Страны Экспресс» и принялся вводить корреспондента в психологическое состояние упущенной выгоды, убеждая взять займ. На вопрос, как его номер телефона оказался у сторонних МФО, девушка ответить не смогла.

Инциденты

В открытом доступе опубликованы данные клиентов и сотрудников компании «СберЛогистика». В двух обнародованных файлах насчитывается 671 474 и 691 548 строк.

Аналитики DLBI пишут, что «слитые» файлы содержат ФИО, номера телефонов, email-адреса и хешированные пароли (только для пользователей). По данным исследователей, информация была получена не ранее 3 февраля 2023 года, и утечка охватывает период с 16 февраля 2016 по 3 февраля 2023 года.

Telegram-канал in2security сообщает, что дамп содержит 142 083 уникальных email-адреса (11 854 почт на домене sblogistica.ru и 2047 на домене sberbank.ru), а также 675 549 уникальных телефонных номеров.

Представители «СберЛогистики» уже заявили, что проверяют информацию о возможной утечке.

Федеральная таможенная служба (ФТС) в своем Telegram-канале сообщила о DDoS-атаке, которая произошла утром 28 февраля.

По словам ФТС, проблема была решена, и работа ресурсов ФТС не затронута. В то же время атаки отразились на работе информоператоров, передающих информацию в таможенные органы.

Ведомство отметило, что целью «беспрецедентной кибератаки» стала система электронного декларирования товаров «Альта-Софт».

Днём 28 февраля «Альфа-Софт» разослала клиентам уведомление о «мощной DDoS-атаке», которая началась в 8:10 утра и длилась несколько часов. Кибератака привела к сбоям в системе электронного декларирования. В этот же день в 13:00 специалисты компании постепенно восстановили обмен данными с таможенными органами.

Служба федеральных маршалов (US Marshals Service, USMS) Министерства юстиции США начала расследование масштабной хакерской атаки, приведшей к утечке важной служебной информации.

Целью атаки хакеров стала «обособленная информационная система» службы. Обнаружить активность злоумышленников удалось 17 февраля. После система была деактивирована, власти начали расследование.

В результате атаки нападавшие смогли завладеть данными USMS, включая персональные данные ряда сотрудников, информацию о разыскиваемых преступниках и неназванных сторонних лицах. Система также содержала данные об идущих судебных процессах.

Криптовалютная биржа Coinbase сообщила, что неизвестный злоумышленник с помощью социальной инженерии похитил учетные данные одного из ее сотрудников.

В результате атаки хакер сумел получить «некоторую контактную информацию», принадлежащую сотрудникам Coinbase, но в компании подчеркнули, что средства и данные клиентов в полной безопасности, их инцидент не затронул.

«Средства киберреагирования Coinbase не позволили злоумышленнику получить прямой доступ к системе и предотвратили любые потери средств или компрометацию информации о клиентах. Был раскрыт лишь ограниченный объем корпоративных данных», — пишут в Coinbase.

Компания рассказала, что 5 февраля хакеры атаковали сразу нескольких сотрудников компании, с помощью SMS-уведомлений, призывающих жертв войти в учетные записи, якобы чтобы прочитать важное сообщение. Хотя большинство сотрудников проигнорировали эти сообщения, один из них попался на уловку мошенников и перешел по ссылке на фишинговую страницу, где ввел свои учетные данные.

На следующем этапе атаки злоумышленники попытались проникнуть во внутренние системы Coinbase, используя украденную информацию, но потерпели неудачу, поскольку доступ оказался защищен многофакторной аутентификацией (МФА).

Примерно через 20 минут злоумышленники перешли к другой тактике: они позвонили сотруднику, представившись ИТ-специалистами Coinbase, и велели жертве войти на свою рабочую станцию ​​и выполнить ряд инструкции.

CSIRT Coinbase обнаружил необычную активность в течение примерно 10 минут после начала атаки и связался с жертвой, чтобы узнать о необычных действиях в ее учетной записи. В итоге сотрудник понял, что происходит нечто подозрительное, и прекратил общение с мошенником.

Компания Applied Materials понесёт многомиллионные убытки из-за вымогательской кибератаки на одного из своих поставщиков, компанию MKS Instruments.

Представители компании заявили, что атака вымогателей на одного из её поставщиков обойдется компании в 250 млн долларов США.

Как сообщается, MKS Instruments всё ещё находится в фазе восстановления. В связи с этим компания была вынуждена перенести отчёт о доходах за прошлый квартал на конец февраля. Это необходимо, чтобы разобраться со всеми последствиями кибератаки и определить точные финансовые потери.

«MKS продолжает усердно работать над восстановлением работы на пострадавших объектах. Событие с вымогателями оказало существенное влияние в первом квартале на способность компании обрабатывать заказы, отправлять продукты и предоставлять услуги клиентам в подразделениях компании Vacuum Solutions и Photonics Solutions», — говорится в сообщении компании.

На момент публикации новости ни одна группа вымогателей публично не взяла на себя ответственность за данный киберинцидент.

 142   24 дн   дайджест   фишинг

Антифишинг-дайджест № 311

Обзор новостей информационной безопасности с 10 по 16 февраля 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания, в которой использовалась взломанная почта регистратора доменов Namecheap.

Особенности кампании

  1. Фишинговые письма исходили от email-платформы SendGrid, которая исторически использовалась Namecheap для отправки уведомлений и маркетинговых писем.
  2. Письма маскировались под уведомления от DHL или MetaMask. Например, письма от фальшивого DHL якобы содержали счета за доставку, которые нужно было оплатить для завершения доставки посылки. На самом деле встроенные в эти послания ссылки вели на фишинговую страницу, где у жертв пытались похитить данные.

  1. Фейковое письмо от MetaMask имитировало запрос о необходимости проведения проверки KYC (Know Your Customer, «знай своего клиента»), а в противном случае работа кошелька якобы была бы приостановлена.
  1. Такие письма содержали маркетинговую ссылку Namecheap (https://links.namecheap.com/), которая перенаправляла жертв на фишинговую страницу, выдающую себя за сайт MetaMask. На этой странице пользователю предлагали ввести свою seed-фразу или приватный ключ.

После того, как получатели странных писем начали жаловаться на происходящее в Twitter, глава Namecheap Ричард Киркендалл (Richard Kirkendall) подтвердил, что учетная запись компании была скомпрометирована, а теперь отправка почты через SendGrid срочно отключена на время проведения расследования. Однако позже этот твит был удален.

Атака могла быть связана с недавним отчетом CloudSek, где исследователи предупреждали о раскрытии ключей API Mailgun, MailChimp и SendGrid в мобильных приложениях.

Позже представители Namecheap опубликовали официальное заявление, согласно которому системы компании не были взломаны, а возникшая проблема была связана с неназванной сторонней системой, которую регистратор использовал для работы с почтой.

Организаторы новой фишинговой кампании предлагают всем желающим платные услуги по регистрации аккаунтов в недоступной в России нейросети ChatGPT.

Особенности кампании

  1. Доступ к ChatGPT в России продают и через чат-боты в Telegram, и на досках объявлений (классифайдах).
  2. Аферисты предлагают пользователю временный зарубежный номер для регистрации, после чего аккаунт угоняют.
  3. Также жертва может перевести деньги за покупку уже существующего аккаунта или за помощь в его регистрации, но так и не получить доступа к нему.
  4. Стоимость услуг может начинаться от 11 руб. за покупку номера для самостоятельной регистрации и достигать 400 руб. за уже готовый аккаунт.

Если в декабре 2022 г. в российских доменных зонах было зарегистрировано три домена, ассоциированных с ChatGPT, то в январе 2023 их было уже 17, а в первые недели февраля — 41.

Атаки и уязвимости

Компания Cloudflare сообщила о крупнейшей в истории DDoS-атаке, мощность которой в пике достигала 71 миллиона запросов в секунду (requests per second, RPS).

В компании рассказали, что атака состояла из нескольких мощных волн. Большая часть атак достигли пика в пределах 50-70 миллионов запросов в секунду, а самая крупная из них превысила 71 миллион запросов в секунду. Это крупнейшая HTTP DDoS-атака за всю историю, более чем на 35% превышающая предыдущий зарегистрированный в июне 2022 года рекорд, составлявший 46 миллионов запросов в секунду.

Такие атаки обычно называют «объемными» (volumetric) и они отличаются от классических DDoS-атак тем, что в этом случае злоумышленники сосредотачиваются на отправке как можно большего количества нежелательных HTTP-запросов на сервер жертвы, чтобы загрузить его ЦП и оперативную память, мешая пользователям использовать целевые сайты.

Предыдущий рекорд был зафиксирован Google летом 2022 года. Тогда неназванный клиент Google Cloud Armor подвергся DDoS-атаке по протоколу HTTPS, которая достигла мощности 46 млн запросов в секунду.

По данным аналитиков Cloudflare, новая рекордная атака исходила более чем с 30 000 IP-адресов, принадлежащим нескольким облачным провайдерам. DDoS был направлен против ряда целей, среди которых игровые провайдеры, платформы облачных вычислений, криптовалютные компании и хостеры.

Инциденты

Неизвестные злоумышленники выставили на продажу дамп интернет-магазина ru.puma.com, принадлежащего сбежавшему из России спортивному бренду «PUMA».

В SQL-дампе содержится около 327 тыс. записей зарегистрированных пользователей и покупателей:

  • 🌵 ФИО,
  • 🌵 адрес эл. почты,
  • 🌵 телефон,
  • 🌵 адрес доставки,
  • 🌵 дата рождения,
  • 🌵 хешированный (SHA-256 с солью) пароль,
  • 🌵 пол.

Дамп датируется 16.05.2022.

В открытом доступе опубликована информация, принадлежащая предположительно платёжной платформе «Mandarin» (mandarin.io).

Для скачивания доступно два файла. В первом — данные 16304 пользователей:

  • 🌵 логин,
  • 🌵 адрес эл. почты,
  • 🌵 хешированный (Drupal 7) пароль,
  • 🌵 дата создания профиля и последнего входа в систему (с 04.09.2015 по 22.04.2022).

Во втором — 2 714 047 строк, содержащих:

  • 🌵 ФИО,
  • 🌵 телефон (1,036,917 уникальных номеров),
  • 🌵 серия/номер паспорта,
  • 🌵 СНИЛС,
  • 🌵 ИНН,
  • 🌵 дата создания/изменения (с 17.12.2018 по 02.04.2021).

Член парламента Великобритании Стюарт Макдональд заявил, что его почту взломали и похитили письма. Он подозревает, что к инциденту причастны русские хакеры и опасается, что украденная информация будет обнародована.

Взлом произошел 13 января, когда политик получил на свой телефон уведомление о новом электронном письме от коллеги. Письмо пришло с официальной почты и не вызвало подозрений. В сообщении было упомянуто, что к письму приложен защищенный паролем документ, который содержит новости относительно Украины.

Когда Макдональд попытался открыть документ, его перенаправило на страницу входа в учетную запись электронной почты. После ввода пароля он увидел пустую страницу.

Через некоторое время Макдональд попросил коллегу отправить письмо еще раз, но тот сообщил, что никаких писем не отправлял. Впоследствии у политика возникли проблемы с доступом к личному аккаунту, так как его заблокировали из-за подозрительной активности.

Из-за вымогательской кибератаки город Окленд, штат Калифорния, США, объявил чрезвычайное положение и отключил все IT-системы.

Временно исполняющий обязанности городского администратора Г. Гарольд Даффи объявил чрезвычайное положение в связи с продолжающимися последствиями перебоев в работе сети. Решение принято для того, чтобы городские власти Окленда могли ускорить выполнение заказов, закупку материалов и оборудования, а также при необходимости активировать аварийно-спасательные службы.

Пока неизвестно, кто совершил кибератаку, получила ли администрация требования выкупа и были ли укражены данные из скомпрометированных систем.

Атака также затронула соседний город Модесто и привела к отключению IT-системы полицейского управления на несколько дней , в результате чего департамент принял решение перейти на использование портативных радиостанций, ручек и бумаги при патрулировании города.

Хакеры заблокировали работу сервисов и похитили данные клиентов мультинациональной авиакомпании Scandinavian Airlines.

В результате кибератаки веб-сайт и мобильное приложение авиакомпании некоторое время были недоступны, а данные клиентов скомпрометированы.
Карин Найман, официальный представитель SAS, призвала клиентов временно прекратить использование веб-сайта и мобильного приложения, пока специалисты не смогут остановить атаку и устранить её последствия.

Представители местных новостных изданий пытались открыть веб-сайт SAS после заявления Найман и обнаружили, что домашняя страница сайта загружается корректно. Однако при попытке выполнить поиск или забронировать рейс, сайт выдаёт только голый HTML-код:

Национальное информационное агентство Швеции сообщило, что из-за хакерской атаки целостность внутренних баз данных компании была нарушена. В связи с этим клиенты, которые пытались войти в мобильное приложение SAS под своими данными, попадали в чужие учётные записи.

Компания Community Health Systems (CHS) сообщила, что стала жертвой хакерской группировки Clop.

Атака была нацелены на уязвимость нулевого дня в платформе передачи файлов GoAnywhere MFT от Fortra, которой пользовалась CHS. В результате утечки данных пострадала личная и медицинская информация почти миллиона пациентов.

«Хотя расследование все ещё продолжается, компания считает, что атаки не оказали влияния ни на одну из информационных систем компании и не было никаких существенных сбоев в бизнес-операциях компании, включая оказание помощи пациентам. Что касается личной и медицинской информации, скомпрометированной в результате взлома, по оценкам компании, в настоящее время эта атака могла затронуть около миллиона человек», — говорится в заявлении CHS.

Компания также добавила, что будет предлагать услуги по защите от кражи личных данных и уведомлять всех пострадавших лиц, чья информация была раскрыта в результате взлома.

В результате атаки вымогательской группировки на поставщика медицинских услуг Regal Medical Group была украдена личная и защищённая медицинская информация более 3,3 миллионов человек.

Инцидент произошел 1 декабря 2022 года, но был обнаружен только неделю спустя. Кроме Regal Medical Group затронуты медицинская организация Lakeside и Greater Covina Medical Group.

1 февраля Regal Medical Group начала рассылать письма с информирующими уведомлениями, адресованные пострадавшим лицам. В письмах компания сообщала людям, что их личные данные были скомпрометированы в результате инцидента кибербезопасности.

Затронутые данные включают полные имена, адреса прописки, даты рождения, номера телефонов, номера социального страхования, информацию о диагнозе и лечении, номера участников плана медицинского страхования, результаты лабораторных анализов, сведения о рецептах и отчеты о радиологии. Список весьма обширный.

Жертва атаки не раскрыла тип программы-вымогателя, который использовался в кибератаке, и был ли выплачен выкуп киберпреступникам. В письме-уведомлении упоминается, что компания работала со специалистами для восстановления доступа к затронутым системам. Это предполагает, что вместо оплаты выкупа компания решила просто восстановить резервные копии.

В результате кибератаки компания Pepsi Bottling Ventures пострадала от утечки данных.

Злоумышленникам удалось внедрить вредоносное ПО во внутренние системы компании, а затем извлечь конфиденциальные данные.

«Согласно данным предварительного расследования, неизвестная сторона получила доступ к внутренним IT-системам примерно 23 декабря 2022 года. Установила вредоносное ПО и выгрузила определенную информацию, содержащуюся в этих системах», — говорится в уведомлении об инциденте.

Внутреннее расследование показало, что в утечке содержалась следующая информация:

  • Полные имена;
  • Домашние адреса;
  • Финансовая информация (включая пароли, PIN-коды и коды доступа);
  • Идентификационные номера, выданные правительством штата и федеральным правительством, и номера водительских прав;
  • Идентификационные карты;
  • Номера социального страхования;
  • Паспортные данные;
  • Цифровые подписи;
  • Информация, связанная с пособиями и трудоустройством.

В ответ на этот инцидент компания внедрила дополнительные меры сетевой безопасности, сбросила все пароли и проинформировала правоохранительные органы. В настоящее время проверка потенциально затронутых записей и систем всё ещё продолжается, а их работоспособность временно приостановлена.

Крупнейшая сеть книжных магазинов в Канаде, Indigo Books & Music, подверглась кибератаке.

Cайт компании перестал работать, расплатиться за покупки можно только наличными. Представители Indigo не исключают, что хакеры могли похитить данные клиентов.

Indigo объявила, что «технические проблемы» препятствуют доступу к сайту, а покупатели в физических магазинах могут расплатиться только наличными. Кроме того, в компании сообщили, что транзакции с подарочными картами временно невозможны, а также ожидаются задержки с доставкой онлайн-заказов.

Вскоре представители Indigo объяснили, что компьютерные системы компании пострадали от кибератаки, и в настоящее время ведется расследование инцидента, к которому привлечены сторонние ИБ-эксперты.

Сотрудник Reddit попался на фишинг, и своими действиями вызвал компрометацию документов, личных данных сотрудников и партнеров.

Киберпреступники использовали фишинговую приманку для сотрудников Reddit с целевой страницей, имитирующей сайт внутренней сети Reddit. На этом сайте злоумышленник пытался украсть учетные данные сотрудников и токены двухфакторной аутентификации.

После того, как один сотрудник стал жертвой фишинговой атаки, хакер смог проникнуть в системы Reddit, которые содержали внутренние документы, различные информационные панели и бизнес-системы. По словам компании, основные производственные системы не затронуты. Также остались в безопасности платежная информация, пароли и показатели эффективности рекламы.

Расследование инцидента показало, что украденные данные включают в себя персональную информацию «сотен» партнеров компании, рекламодателей, а также нынешних и бывших сотрудников. Reddit утверждает, что украденная информация не была опубликована в Интернете.

Reddit узнал о взломе после того, как сотрудник самостоятельно сообщил об инциденте команде безопасности компании. Стоит отметить, что у затронутого сотрудника была включена многофакторная аутентификация, что является обязательным в Reddit.

 120   1 мес   дайджест   фишинг

Антифишинг-дайджест № 310

Обзор новостей информационной безопасности с 3 по 9 февраля 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зампред Банка России рассказал о мошеннической схеме с QR-кодами в общественных местах.

Схема кампании

  1. Мошенники расклеивают объявления с QR-кодами. Для этого выбираются территории, где объявления очень заметны, но при этом их размещение трудно контролировать — на стенах домов, в подъездах, на остановках, на парковках.
  1. В объявлениях предлагается получить бесплатную консультацию о гарантированной социальной выплате.
  2. Когда человек сканирует QR-код, он попадает в чат-бот в мессенджере.
  3. Чат бот сообщает, что человеку якобы положена выплата — пособия для социально незащищенных, выплаты студентам, семьям с детьми
  4. Далее злоумышленники под предлогом оформления якобы полагающейся выплаты запрашивают у человека личные и финансовые сведения. На самом деле эта информация нужна им для хищения денег с карты.

Россиян предупреждают о новом мошенничестве от имени Росфинмониторинга.

Схема действий преступников

  1. Гражданам от имени Росфинмониторинга поступают сообщения о мнимом взыскании денежных средств, находящихся на счетах, в связи с нарушением законодательства о противодействии легализации преступных доходов.
  2. В некоторых случаях в таких сообщениях присутствует имитация символики и печатей ведомства.
  3. После рассылки писем потерпевшему предлагается оплатить некий комиссионный сбор, якобы для того, чтобы сохранить хотя бы часть имеющихся денежных средств.
  4. После уплаты «сбора» к преступникам попадают не только деньги, но и данные банковской карты и персональная информация жертв.

Эта же схема используется как часть многоступенчатой кампании. На первом этапе доверчивых граждан заманивают в финансовые пирамиды, забирая у них последние деньги. Когда потерпевшие начинают требовать вернуть похищенное, мошенники сообщают им о «блокировке счетов Росфинмониторингом» и требуют внести деньги якобы для оплаты комиссии за разморозку операций.

Новая кампанию QBot, получившая название «QakNote», использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном.

Схема кампании

  1. Операторы вредоноса рассылают два варианта фишинговых писем.
  2. Первый вариант содержит ссылку, по которой получателю предлагается загрузить вредоносный файл OneNote с расширением .one. Фамилия получателя повторяется в теме письма, но в остальном сообщения довольно безличны.

  1. Второй вариант использует «внедрение в цепочку сообщений». Участиники существующей переписки получают ответное сообщение (якобы от пользователя зараженного компьютера) с прикрепленным вредоносным блокнотом OneNote.
  2. Тематика этих сообщений может быть самой разнообразной — все, что окажется в почтовом ящике зараженного компьютера. Но, несмотря на это, их легко найти, поскольку все вложения называются либо ApplicationReject_#####(Jan31).one, либо ComplaintCopy_#####(Feb01).one (где ##### — случайное пятизначное число).

  1. Чтобы сделать эти атаки еще более убедительными, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака.
  1. При нажатии кнопки запускается встроенное HTA-вложение. И хотя пользователь увидит предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.
  1. Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки DLL-файла Qbot в папку «C:\ProgramData», которая затем выполняется с помощью «Rundll32.exe».
  1. Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.

Атаки и уязвимости

Опасная уязвимость в программируемых логических контроллерах OMRON позволяла без аутентификации считывать и менять произвольную область памяти контроллера.

Уязвимость получила идентификатор CVE-2023-22357 и набрала 9,1 балла из 10 по шкале CVSS v3, что означает критический уровень опасности. Ошибка позволяла считывать и менять произвольную область памяти контроллера, что могло привести к перезаписи прошивки, отказу в обслуживании или выполнению произвольного кода.

Уязвимые контроллеры OMRON серии CP1L используются для управления компактными машинами, а также быстрого построения систем автоматизации. ПЛК применяются, например, для управления конвейерами и станками, телемеханикой трубопроводных узлов на ГРЭС, микроклиматом на фермах, системами контроля качества продукции, автоматическими машинами упаковки и в других сферах.

Критическая уязвимость в Jira Service Management Server и Data Center компании Atlassian позволяет неаутентифицированному злоумышленнику выдать себя за других пользователей и получить удаленный доступ к системам.

Свежая проблема получила идентификатор CVE-2023-22501 (9,4 балла по шкале оценки уязвимостей CVSS) и представляет собой нарушение в работе аутентификации.

Имея в Jira Service Management доступ на запись к User Directory и включенную исходящую почту, злоумышленник может получить доступ к токенам регистрации, отправленным пользователям с учетными записями, которые никогда не использовались для входа в систему.

Инциденты

Хакерская атака вызвало падение стоимости акций британской инжиниринговой компании Morgan Advanced Materials.

10 января компания обнаружила несанкционированный доступ к своей сети. Уже в феврале стало известно, что речь идёт об атаке программы-вымогателя.

Представители компания заявили, что все её производственные площадки работают, хотя некоторые процессы пока происходят в ручном режиме, поскольку некоторые внутренние системы пока не удалось восстановить. Специалисты активно над этим работают, параллельно внедряя облачные решения для управления ресурсами предприятия.

После того, как компания 7 февраля сообщила, что «исключительные расходы, связанные с инцидентом, могут составить от 8 до 12 миллионов фунтов стерлингов, включая оплату услуг специалистов, а также расходы, связанные с восстановлением ряда систем в Morgan Group» акции Morgan Advanced Materials (тикер MGAM) на лондонской бирже упали на 5%

Причиной падения стала реакция инвесторов: узнав о незапланированных расходах и ожидаемом снижении доходов, они стали активно продавать акции.

Вымогатели LockBit взяли на себя ответственность за кибератаку на ION Group, британскую компанию-разработчика программного обеспечения.

Продукты ION Group используются финансовыми учреждениями, банками, корпорациями для торговли, управления инвестициями и анализа рынка.

31 января 2023 года компания раскрыла инцидент в коротком заявлении , в котором говорилось, что атака повлияла на ION Cleared Derivatives, подразделение ION Markets.

«ION Cleared Derivatives, подразделение ION Markets, столкнулось с событием кибербезопасности, начавшимся 31 января 2023 года, что повлияло на некоторые из его сервисов; все затронутые серверы сейчас отключены, восстановление служб продолжается», — говорится в сообщении компании.

Однако атака оказала более глубокий эффект, чем сообщила ION Group. Крупные клиенты, которые используют услуги ION Group в Соединенных Штатах и Европе, были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам.

Иранские правительственные хакеры Neptunium взломали сайт французского сатирического издания Charlie Hebdo и украли данные 200 тыс. подписчиков.

В январе 2023 года некто, скрывающийся под ником Holy Souls, выставил на продажу информацию о подписчиках Charlie Hebdo, оценив дамп в 20 BTC (примерно 340 000 долларов США на тот момент). Тогда французское новостное издание Le Monde подтверждало подлинность попавшей в руки хакеров информации.

Среди опубликованных образцов были обнаружены имена, номера телефонов, адреса, email-адреса и многое другое. Holy Souls рекламировал украденные данные на YouTube, на нескольких хакерских форумах, а также активно размещал сообщения об утечке в социальных сетях.

Эта атака и последующая за ней утечка данных произошли после решения журнала провести конкурс карикатур, в котором читателям предлагалось представить рисунки, высмеивающие верховного лидера Ирана Али Хаменеи. Выпуск с карикатурами-победителями должны были опубликовать в начале января, приурочив его к восьмой годовщине теракта и нападения на офис издания.

Итальянское агентство национальной кибербезопасности заявило о «массированной кибератаке с использованием программ-вымогателей».

Технические специалисты выявили десятки национальных систем, которые могут быть затронуты вредоносной программой.

По информации газеты Il Messaggero, глобально насчитывается несколько тысяч взломанных серверов. Самый сильный ущерб нанесен Франции. В Италии десятки организаций пострадали от вредоноса. По данным источника, число затронутых организаций будет расти.

В настоящий момент технические специалисты работают над локализацией и ликвидацией последствий кибератаки.

Цюрихский университет, крупнейшее высшее учебное заведение Швейцарии, стал объектом «серьезной кибератаки», которая произошла на фоне волны взломов европейских немецкоязычных вузов.

На момент публикации этой новости веб-сайт университета до сих пор недоступен, но телефонная линия с пресс-службой работает. В официальном заявлении представитель университета описал инцидент как часть вредоносной кампании, направленной на образовательные и медицинские учреждения Европы.

Университет заявил, что уже усилил меры и отразил атаки с помощью внутренних ресурсов и внешней поддержки. Скомпрометированные учетные записи и системы изолированы.

Представителям университета неизвестно о том, были ли какие-либо внутренние данные зашифрованы или извлечены. Тем не менее, все необходимые организации были проинформированы и привлечены к расследованию.

 92   1 мес   дайджест   фишинг
Ранее Ctrl + ↓