Новости Хакеры, вирусы, взломы

США пообещали

«Сегодня мы делаем ещё один шаг вперёд и обвиняем человека, который, как мы утверждаем, разработал и реализовал эту вредоносную киберсхему, целью которой стали более 2000 жертв и украдено более \)">100 млн в виде платежей с помощью программ-вымогателей», — заявил генеральный прокурор США Меррик Б. Гарланд (Merrick B. Garland).

На сайте Минюста США объявлено о вознаграждении в 500 млн и нанесли миллиарды долларов ущерба.

Правительство США также объявило о санкциях против Хорошева, которыми запрещается кому-либо заключать с ним сделки, включая выплату выкупа. Нарушение санкций грозит крупными штрафами и судебным преследованием.
 

Роскомнадзор рассказал об успешной борьбе инвалида с интернет-мошенниками

Роскомнадзор (РКН) в своем телеграм-канале рассказал, как юристам удалось отстоять права инвалида, которому мошенники взломали личный кабинет на сайте «Госуслуги».

По данным пресс-службы надзорного ведомства, мошенники взломали аккаунт мужчины по имени Александр на сайте «Госуслуги», оформили пять договоров займа и открыли счета в двух банках. С такой проблемой пострадавший обратился в Центр правовой помощи гражданам в цифровой среде, созданный по инициативе Роскомнадзора.

«Пострадавший хотел самостоятельно доказать свою непричастность к сделкам, но понял, что оспорить договоры без помощи не сможет: на это не хватит знаний законов и здоровья, мужчина — инвалид по зрению», — уточнили представители надзорного ведомства.

Ситуация очень давила на мужчину. Он постоянно испытывал чувство тревоги, боялся, что придут коллекторы и будут требовать погасить долг, переживал, что мошенники будут выводить и обналичивать деньги с карты.

За дело взялись юристы. Они подготовили исковое заявление о признании договоров займа и договоров об открытии счетов недействительными, внесении изменений в кредитную историю, взыскании компенсации морального вреда.

«С учетом сложности дела потребовалось собрать дополнительные доказательства непричастности заявителя к сделкам. Судебные тяжбы длились 12 месяцев. За этот период состоялось восемь судебных заседаний, на которых мужчине присутствовать не пришлось. Все сделали юристы», — подчеркнули в Роскомнадзоре.

В итоге суд признал договоры займа и договоры об открытии счетов недействительными и взыскал с микрофинансовых организаций компенсацию морального вреда в размере 30 тыс. рублей. Микрофинансовые организации (МФО) уже выплатили пострадавшему деньги и внесли изменения в его кредитную историю.
 

Хакеры стали проникать в IT-инфраструктуру российских компаний быстрее на 30 %

За последний год скорость проникновения хакеров в IT-инфраструктуру российских компаний значительно выросла. Как сообщает издание «Коммерсантъ», если раньше на взлом требовались недели или месяцы, то сейчас этот процесс может занимать от одного до трех дней, а в отдельных случаях всего несколько часов.
Эксперты компании «Информзащита» оценивают рост скорости взломов примерно на 30 % по сравнению с началом 2023 года. При этом время от первоначального проникновения хакеров до получения ими контроля над системами в некоторых случаях сократилось до 72 часов. Под ударом чаще всего оказываются крупные государственные организации и промышленные предприятия, которые уже внедрили серьезные средства защиты информации. Однако даже это не спасает от взлома.

Одной из причин ускорения кибератак является большое количество вредоносных программ и инструментов для взлома, которые, по словам директора технологической практики «ТеДо» Юрия Швыдченко, свободно распространяются в даркнете. Это позволяет даже начинающим хакерам автоматизировать процесс поиска уязвимостей в системах жертвы.

Еще один фактор заключается в массовой замене импортного ПО и оборудования на российские аналоги. Спешка с импортозамещением приводит к появлению множества дыр в системах информационной безопасности, и хакерские группировки активно этим пользуются.

Например, в 2022 году злоумышленникам удалось взломать ряд крупных российских IT-компаний и интеграторов, получив доступ к данным для подключения к их заказчикам. А в начале 2023 года произошла громкая кража данных в агрокомплексе им. Н.И. Ткачева, когда хакеры зашифровали все файлы на компьютерах холдинга.

Эксперты также отмечают, что хакерские группировки получают все больше финансирования из недружественных России стран, что позволяет им расширять свои возможности и ресурсы для кибератак.

Несмотря на предпринимаемые усилия по защите информационных систем, российские компании и госорганы по-прежнему остаются уязвимыми для быстро прогрессирующих киберугроз. Число взломов растет, а их скорость увеличивается. Эксперты прогнозируют дальнейшее обострение ситуации в сфере кибербезопасности.
 

Телефонные мошенники начали выдавать себя за редакторов «Википедии»

Телефонные мошенники стали притворяться сотрудниками «Википедии». О первой такой истории, в которую попал религиозный и общественный деятель Сергей Сеньчуков, рассказал в своем телеграм-канале зампред комитета Госдумы по информполитике Антон Горелкин.

По словам самого пострадавшего Сеньчукова, ему позвонили в WhatsApp с неизвестного номера. Женский голос представился, назвался Дарьей, и сказал, что звонят из «Википедии» по поводу статьи об общественном деятеле. По словам девушки, ей нужно было уточнить актуальный статус Сеньчукова. Уточнив ряд деталей, Дарья сообщила, что деятелю тоже полагается доступ к редактированию и для этого ему придет специальная ссылка.

«Я никогда не встречался с таким разводом. Мне звонили "полицейские", "сотрудники ФСБ", "сотрудники службы безопасности банков", различные сотовые операторы, финансовые менеджеры и так далее — всех их я посылал и блокировал, но вот из “Википедии” не звонили никогда. И я повелся. Программа стала устанавливаться, а Дарья все говорила. Тут бы мне обратить внимание на неправильно ставимые ударения и запинки в сложных словах из статьи — для редактора странно, но я подумал, что сейчас любая девочка или мальчик называются редактором, продюсером, менеджером и т.д. (уж если уборщицу именуют "клининговым менеджером", то почему бы и не быть малограмотной девочке редактором?)», — сообщил Сеньчуков.

Внезапно Дарья предложила привязать программу к приложениям общественного деятеля. Для этого в приложения надо было войти.

«И тут на экране появилось приложение банка ВТБ. Тут меня торкнуло. Я спросил — а зачем “Википедии” доступ к моему ВТБ? Дарья замялась, но быстро сориентировалась — мол, могут приходить бонусы. Я стал пытаться отключить телефон, но не тут-то было — вредоносная программа не давала это сделать. Зато Дарья обеспокоенно спросила, зачем я хочу выключить телефон, на что я ей ответил, что не доверяю ей больше. Доступ к своим финансам я не дам. Она пыталась что-то возразить, но я так стучал по телефону, что в конечном итоге Дарья отключилась. А программа осталась. И уходить не хотела. За ВТБ я был спокоен — там всего 10 тыс. рублей, но вот все остальное я разводилам отдавать не хотел. И не только деньги», — отметил Сеньчуков.

После этого общественный деятель выяснил, что у него пропали «Госуслуги» и восстановить пароль ему не удается. Он забил тревогу, переставил сим-карту в старый телефон и побежал в МФЦ, где получил новый пароль уже на другой телефон, а в «Сбере» — переключил на него же «Сбербанк онлайн». Затем Сеньчуков отдал телефон друзьям-программистам, они скачали его данные и обнулили телефон.

«Поэтому почти сутки я не имел выхода ни в WhatsApp, ни в Viber и еще много куда. Если кто не смог со мной связаться — извините», — подытожил Сеньчуков.
 

Вирусы стали чаще маскироваться под Android-версии Minecraft, Roblox и GTA

По данным «Лаборатории Касперского», количество атак на пользователей Android-устройств в России с использованием вредоносного программного обеспечения, замаскированного под игры Minecraft, Roblox, GTA и Angry Birds, увеличилось более чем вдвое в первом квартале 2024 года в сравнении с показателем за первые три месяца 2023 года. К такому заключению эксперты пришли после анализа количества срабатываний мобильного антивируса компании для платформы Android.
В компании уточнили, что в первом квартале количество заблокированных атак на Android исчисляется десятками тысяч. Злоумышленники активно используют названия популярных игр в качестве приманки при проведении атак на пользователей мобильных устройств. Вредоносное ПО встречается в модах для популярных игр, а также в приложениях, которые маскируются под игры и не содержат в себе никаких функций, кроме вредоносных.

Руководитель компании EvApps Родион Труфанов добавил, что в Google Play по каждому из упомянутых названий игр поиск выдаёт до 10 приложений с очевидными признаками вредоносного ПО. К примеру, в случае с Minecraft речь идёт о поддельных модах и чит-кодах, а в случае с Roblox вредоносное ПО выдают за дополнения, предлагающие нелегитимные функции.

Значительная часть фальшивых приложений маскируется под GTA, а для привлечения внимания пользователям обещают доступ к полным версиям игр или модам. Упоминается наличие в Google Play подозрительных приложений, которые являются генераторами валюты и модами для Brawl Stars. Ещё вредоносное ПО продвигают под видом модов для Angry Birds.
Сооснователь студии Vengeance Games Константин Сахнов связывает рост числа фишинговых и вирусных атак через игры для Android с тем, что рынок игр в России становится серым. «Растёт доля установок не через официальные магазины, а через скачивание apk в сети. К сожалению, это неизбежная проблема в условиях ограничений, которые введены в адрес российских пользователей», — считает господин Сахнов.

При этом на устройствах с iOS, в силу особенности платформы, вредоносное ПО, маскирующееся под игры, не получило широкого распространения. В «Лаборатории Касперского» отметили, что пользователи Android более подвержены атакам злоумышленников по сравнению с пользователями iOS. Однако и в App Store встречались, например, скам-приложения, которые позиционировались в том числе, как обучающие инвестиционные игры.
 

В первом квартале значительно выросло количество DDoS-атак на интернет-провайдеров

С 1 по 20 мая текущего года года количество DDoS-атак (атака типа «отказ в обслуживании», — прим. ред.) на интернет-провайдеров выросло 134 %, на облачных провайдеров — на 53 %, а на государственные организации — на 61 % по сравнению с аналогичным периодом прошлого года, следует из отчета StormWall.

В то же время снизилось число DDoS-атак на финансовые организации — на 81 %, на сферу электронной коммерции (на 63 %) и на сферу развлечений (на 42 %). Эксперты отметили устойчивую тенденцию снижения количества атак на данные отрасли в течение длительного периода.

Такие изменения ландшафта атак связаны с тем, что хакеры определили несколько приоритетных целей для запуска атак и теперь активно атакуют их. При этом наблюдается снижение числа атак на другие отрасли, которые не являются приоритетными. Кроме того, есть другая причина: финансовые компании, ретейлеры и развлекательные организации используют профессиональную защиту от DDoS-атак и не являются легкой добычей. Хакеры не хотят атаковать хорошо защищенные отрасли и стремятся найти другие цели с менее надежной защитой, чтобы причинить максимальный вред компаниям. Качественно защитить ресурсы интернет-провайдера — зачастую более сложная и ресурсоемкая задача, а выведение из строя провайдерской инфраструктуры ведем к перебоям с доступом в интернет сразу у множества пользователей, пояснили авторы отчета.
 

Хакер похитил данные банковских карт 500 000 клиентов Cooler Master

Производитель компьютерных комплектующих Cooler Master подвергся масштабной кибератаке, в результате которой были украдены личные данные около 500 000 клиентов. Хакер под псевдонимом Ghostr заявил, что ему удалось получить доступ к приватной зоне сайта Cooler Master и похитить 103 Гбайт конфиденциальных данных. Он теперь требует выкуп.
Среди похищенной информации — корпоративные данные Cooler Master, данные о поставщиках и продажах, а также личные данные участников программы лояльности Fanzone. В частности, были украдены имена, адреса, даты рождения, номера телефонов и адреса электронной почты клиентов.

По сообщению ресурса Hot Hardware, особенно тревожным является тот факт, что злоумышленники получили доступ к незашифрованным данным банковских карт участников Fanzone. Речь идет о номерах кредитных карт, сроках их действия и трехзначных CVV-кодах, которые используются для подтверждения платежей в интернете. Это позволяет легко похитить деньги с карт.

Хакер грозится выставить все украденные данные на продажу на черном рынке, если Cooler Master не выплатит ему выкуп. Пока компания официально не комментирует инцидент. Однако независимое расследование подтверждает, что часть утёкшей информации является подлинной.

В связи с этим всем клиентам Cooler Master, особенно участникам программы Fanzone, настоятельно рекомендуется усилить бдительность. Необходимо следить за подозрительной активностью на банковских счетах и быть осторожными при использовании личных данных в интернете. Эксперты призывают немедленно связаться с банком в случае обнаружения каких-либо признаков мошенничества. Также рекомендуется сменить пароли и установить мониторинг истории платежей.

Пока неясно, смогла ли компания Cooler Master вовремя обнаружить и заблокировать атаку до того, как злоумышленники успели нанести серьезный ущерб её клиентам. Ожидается официальное заявление компании с разъяснением ситуации и рекомендациями поставщикам и клиентам. Эксперты прогнозируют волну фишинговых атак и других киберпреступлений с использованием украденных данных Cooler Master в ближайшие недели.
 

Хакер заставил GPT-4o работать в «режиме бога» — вообще без ограничений

Называющий себя этичным хакером пользователь Twitter под ником Pliny the Prompter в минувшей среду выпустил кастомную версию флагманской нейросети OpenAI, которую озаглавил GODMODE GPT. Ему далось заставить новую модель GPT-4o обойти игнорировать все ограничения: она пользовалась ненормативной лексикой, рассказывала, как взламывать автомобили и готовить запрещённые вещества.
Конечно, же, эксперимент долго продлиться не мог. Как только нейросеть GODMODE GPT обрела относительную вирусную популярность в соцсети X, на инцидент обратила внимание OpenAI и удалила кастомную модель с сайта всего через несколько часов после её выхода. Сейчас получить к ней доступ уже невозможно, но в оригинальной ветке автора в соцсети X сохранились скриншоты с «вредными советами» GPT-4o.
Модель GPT-4o, возможно, была взломана с использованием архаичного интернет-жаргона leetspeak — подмены букв при наборе текста цифрами и спецсимволами, — что подтверждается скриншотами. В OpenAI не ответили на вопрос, можно ли использовать этот жаргон для обхода ограничений ChatGPT. Не исключено, что создавшему GODMODE GPT просто нравится leetspeak, и он взломал систему каким-то иным способом.

Инцидент стал проявлением масштабного движения AI red teaming, в рамках которого этичные хакеры выявляют слабые места современных систем искусственного интеллекта, не нанося им значительного ущерба. Они обладают удивительными возможностями, но, как показал недавний опыт с Google и её обзорами в поиске, современный генеративный ИИ все ещё остаётся системой, которая хорошо угадывает, какие слова должны быть следующими в тексте, не обладая истинным интеллектом.
 

Смартфон нужно выключать как минимум раз в неделю — АНБ дало рекомендации по защите от кибератак

Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба.
Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите.
Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:
  • Своевременно устанавливать обновления безопасности для приложений и операционной системы.
  • Загружать приложения только из официальных магазинов приложений.
  • Не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей.
  • Избегать использования общедоступных Wi-Fi сетей.
  • Отключать Bluetooth, когда он не используется.
  • Использовать надежные пароли и биометрическую аутентификацию.
  • Подключать устройство только к проверенным аксессуарам и зарядным устройствам.
  • Отключать службы определения местоположения, когда они не нужны.
Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify.
По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак.
 

Хакеры переходят на кражу коммерческой информации


В 2023 году количество случаев утечек данных, содержащих важную коммерческую информацию, ноу-хау и документы служебного пользования, из систем производственных предприятий и телекоммуникационных компаний значительно возросло. На обратной стороне медали, однако, отмечается снижение случаев утечек персональных данных (ПД) во всех отраслях. Данное заключение извлечено аналитиками от компании InfoWatch в рамках их отчета «Утечки информации в выбранных секторах в 2023 году».

Из подробного разбора отчета InfoWatch (имеющегося в распоряжении «Ведомостей») видно, что в 2023 году коммерческая тайна стала целью злоумышленников в атаках на российские промышленные предприятия в почти половине случаев (48%). В предшествующем году на этот сектор приходилось лишь 29,2% атак. Доля утечек коммерческой информации у IT-компаний и телекоммуникационных операторов выросла с 7,9 до 13,2%. Одновременно отмечается уменьшение доли утечек ПД в промышленности с 33,3 до 28%, и в секторе IT и телекоммуникаций с 97 до 76%, как сообщается в изучении.

По данным InfoWatch, в 2023 году в промышленности было зарегистрировано 25 случаев утечек, что сопоставимо с результатами предыдущего года (24 инцидента). Одновременно количество утечек в секторе телекоммуникаций и IT значительно уменьшилось, с 214 случаев в 2022 году до 129 в 2023 году. Также в IT и телекоммуникациях сократился не только общий объем утечек информации, но и количество скомпрометированных ПД — если в 2022 году было подвергнуто опасности 228,1 млн записей ПД, то в 2023 году — 36,1 млн. В 2023 году аналитики из F.A.С.С.T. (бывшая Group IB) отметили на андеграундных форумах и в тематических Telegram-каналах 246 новых украденных баз данных российских организаций, что на 65 меньше, чем в 2022 году.

Возможно, количество фактических утечек в промышленности еще больше. Вопрос заключается в том, что утечки коммерческой информации из систем промышленных компаний редко становятся общедоступными, подчеркивает заместитель директора центра мониторинга внешних цифровых угроз от Solar AURA компании «Солар» Александр Вураско «Ведомостям».

Эксперты отмечают, что российские компании в сферах телекоммуникаций и финансовых технологий инвестируют значительные средства в IT-инфраструктуру, что делает процесс проникновения и кражи ПД для злоумышленников более сложным. Утечки ПД для компаний связаны с возможностью получения штрафов, поэтому они вынуждены активно вкладывать в защиту данных. На данный момент за утечку ПД клиентов компанию может оштрафовать на сумму от 100 000 до 300 000 рублей. Утечки данных, содержащих коммерческую информацию, не сочетаются с такими штрафами. Более того, промышленный сектор отличается консервативным подходом, и новшества, включая в области IT, принимаются с трудом, продолжая отмечать Линдберг.
 

Хакеры украли данные сотен миллионов людей, взломав сервис облачной аналитики Snowflake

Неизвестные злоумышленники при помощи вредоносного ПО осуществили взлом систем американской компании Snowflake, которая занимается облачным анализом данных. В результате инцидента хакеры похитили персональную информацию сотен миллионов частных лиц — потребителей компаний, выступающих клиентами Snowflake. В частности, были похищены данные клиентов Santander Bank и Ticketmaster.
На минувшей неделе тревогу забили власти Австралии, заявившие, что им стало известно об «успешных компрометациях нескольких компаний, использующих окружения Snowflake» — сами компании при этом названы не были. Тем временем хакеры заявили на профильных форумах, что им удалось похитить сотни миллионов записей о потребителях Santander Bank и Ticketmaster — это два крупнейших клиента Snowflake. В Santander подтвердили взлом базы данных, «размещённой сторонним поставщиком», но поставщика не называли. А в Live Nation подтвердили, что данные её дочерней компании Ticketmaster были похищены, а украденная база была размещена на Snowflake.

Snowflake также призналась, что ей известно о «потенциально несанкционированном доступе» к «ограниченному числу» учётных записей клиентов — без конкретики; но отметила, что не нашла доказательств прямого взлома её систем. По версии облачного оператора, это была «целевая кампания, направленная на пользователей с однофакторной аутентификацией», реализованная при помощи вредоносного ПО, которое предназначается для кражи паролей, сохранённых на компьютере пользователя. Несмотря на то, что Snowflake хранит конфиденциальные данные своих клиентов, она позволяет им самостоятельно управлять безопасностью своих окружений, не требуя устанавливать многофакторную авторизацию — её отсутствием, вероятно, и воспользовались злоумышленники. Облачный оператор также признался, что была взломана некая демонстрационная учётная запись, которая была защищена только именем пользователя и паролем, но не содержала конфиденциальных сведений.
Осведомлённый о методах работы киберпреступников анонимный источник поделился с ресурсом TechCrunch ссылкой на сайт, где публикуются скомпрометированные учётные данные — на нём журналисты обнаружили более 500 пар логинов и паролей для доступа в системы Snowflake. Эти учётные данные принадлежат Santander, Ticketmaster, по крайней мере двум фармацевтическим гигантам, службе доставки еды, поставщику свежей воды и другим организациям. В списке присутствовали также раскрытые имена пользователя и пароли, предположительно принадлежащие бывшему сотруднику самой Snowflake.

Удалось также обнаружить косвенные подтверждения того, что учётные данные были похищены при помощи вредоносного ПО. В недавнем дампе с миллионами опубликованных в Telegram украденных логинов и паролей были обнаружены несколько корпоративных адресов электронной почты, используемых в качестве имени пользователя для доступа к окружениям Snowflake.

Компания заявила о приостановке работы некоторых учётных записей, в которых были обнаружены признаки вредоносной активности, но отметила, что ответственность за обеспечение многофакторной авторизации к системам лежит на самих её пользователях — сейчас Snowflake рассматривает все варианты включения многофакторной авторизации, но окончательные планы пока не утверждены.
 

Хакеры украли данные Disney и The New York Times и выложили в сеть


Хакеры выложили на форум 4chan 270 гигабайт файлов с внутренними данными, связанными с газетой The New York Times. Еще 2,5 гигабайта с данными компании Disney оказались слиты в сеть, сообщает BleepingComputer.

За атакой на Disney, предположительно, стоят фанаты онлайн-игры Club Penguin, которую в 2007 году за 350 млн долларов выкупила компания, а в 2018-м окончательно закрыла. Игра пользовалась огромной популярностью среди молодежи и считалось крупнейшим детским онлайн-сообществом своего времени: на пике развития Club Penguin насчитывала 200 млн пользователей.

Самые преданные сторонники Club Penguin продолжают поддерживать игру через частные серверы, где фанаты собираются вместе и играют в неофициальные версии игры. Однако Disney жестко расправилась с создателями аналогов: в 2022 году компания закрыла популярный сервер Club Penguin Rewritten, троих человек арестовали за участие в запуске неофициальной онлайн-игры.

В отчете BleepingComputer говорится, что в пакете взломанных данных Disney 415 мегабайт занимают старые внутренние данные Club Penguin, включая электронные письма, документы, проекты и и не только. Остальной слив более свежий и касается других проектов Disney, а также содержит ссылки на сайты разработчиков компании.

В случае с The New York Times в сеть попали более 5000 репозиториев с исходным кодом, всего слитыми оказались 3,6 млн файлов. Утекли внутренние ИТ-документы компании и исходный код, в том числе популярной словесной игры Wordle, которую газета приобрела в 2022 году.

The New York Times подтвердила, что взлом произошел в январе. Представители газеты утверждают, что хакерам не удалось получить доступ к внутренним системам, а сам взлом не повлиял на их работу.

Связаны ли между собой сливы из The New York Times и Disney, неизвестно.
 

Хакеры рассказали, что похитили данные миллионов людей у Snowflake, взломав EPAM Systems

Хакеры из известной криминальной группировки ShinyHunters, укравшие данные Ticketmaster и других клиентов облачного провайдера Snowflake, утверждают, что смогли получить доступ к личным данным миллионов пользователей, взломав систему подрядной организации EPAM Systems.
В результате масштабной кибератаки, нацеленной на клиентов Snowflake, потенциально могли пострадать 165 учётных записей, однако пока удалось идентифицировать лишь некоторые из них. Хакеры завладели информацией о более чем 500 млн пользователей Ticketmaster. Кроме того, о взломе своего аккаунта в Snowflake заявил испанский банк Santander. Согласно опубликованному хакерами сообщению, украденные данные содержат информацию о банковских счетах 30 миллионов клиентов Santander, в том числе 6 миллионов номеров счетов и балансов, 28 миллионов номеров кредитных карт, а также кадровые данные сотрудников банка. Компании Lending Tree и Advance Auto Parts также признали вероятность того, что стали жертвами этой атаки.

Snowflake не раскрыла подробности о том, как хакеры получили доступ к учётным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. На днях организация Mandiant, принадлежащая Google и привлечённая Snowflake для расследования инцидентов, сообщила в своём блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило.

Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около $4,8 млрд. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учётным записям в Snowflake.

В EPAM опровергли свою причастность ко взломам и предположили, что хакер сфабриковал эту историю. Однако группа ShinyHunters существует с 2020 года и с тех пор взяла на себя ответственность за многочисленные кибератаки, связанные с кражей, утечкой или продажей в интернете больших массивов данных.

Snowflake является крупной компанией, предоставляющей сервисы по хранению данных в облаке и их аналитической обработке. Согласно информации на её сайте, EPAM занимается разработкой ПО и предоставляет различные управляемые услуги клиентам по всему миру, в первую очередь в Северной Америке, Европе, Азии и Австралии. Около 60 % доходов EPAM приходится на клиентов в Северной Америке. В числе услуг, которые EPAM оказывает клиентам, значится помощь в использовании и управлении учётными записями Snowflake для хранения и анализа данных.
По словам хакера, компьютер одного из сотрудников EPAM был заражён вредоносным ПО, с помощью которого злоумышленники получили доступ к данным на этом устройстве. Используя этот доступ, они обнаружили незашифрованные имена пользователей и пароли, с помощью которых сотрудник EPAM получал доступ к учётным записям Snowflake некоторых крупных клиентов компании, в том числе Ticketmaster. Эти данные, по словам хакеров, хранились в системе управления проектами Jira.

Используя эти учётные данные, хакеры получили доступ к аккаунтам в Snowflake, поскольку для доступа к ним не требовалась многофакторная аутентификация. В тех случаях, когда необходимые учётные данные отсутствовали в системе сотрудника EPAM, хакеры искали их в уже украденных ранее базах данных. Так, для доступа к аккаунту Snowflake компании Ticketmaster были использованы аккаунты, похищенные в 2020 году опять же с помощью вредоносного ПО.

После того, как ресурс Wired предоставил подробную информацию о том, как, по словам хакеров, им удалось получить доступ к системе сотрудника EPAM, представитель компании лишь повторил заявление о том, что он не видит доказательств вовлечённости EPAM в этот инцидент. На дополнительные, конкретно поставленные вопросы, в том числе с указанием имени сотрудника и его учётных данных для доступа к аккаунту Snowflake Ticketmaster, представитель EPAM не ответил.

Хотя издание Wired не смогло подтвердить заявления хакеров о взломе компьютера сотрудника EPAM и использовании его данных для доступа к аккаунтам Snowflake, злоумышленники предоставили изданию файл, похожий на список удалённых учётных записей работника EPAM из корпоративного каталога Active Directory, полученный после взлома его рабочей станции.

Кроме того, в сообщении компании Mandiant говорится, что хакеры использовали ранее украденные вредоносным ПО учётные данные для компрометации около 80 % выявленных ими аккаунтов Snowflake, что косвенно подтверждает слова группировки ShinyHunters о таком способе доступа к данным жертв.

Таким образом, даже если хакеры не взламывали сотрудника EPAM напрямую, они явно использовали украденные учётные данные из скомпрометированных систем этой компании для последующих атак на её клиентов, в том числе владельцев учётных записей в Snowflake. Директор по информационной безопасности Snowflake Брэд Джонс (Brad Jones) также признал, что отсутствие многофакторной аутентификации способствовало взломам. Джонс сказал, что его компания будет работать над этим вопросом.
 

Хакеры похитили у AMD секретную информацию о будущих разработках и не только

Представители AMD, как сообщает PCMag, подтвердили свою осведомлённость о попытках хакерской группировки IntelBroker продать служебную информацию компании, которой она завладела неправомерно в результате атаки на информационные ресурсы, связанные с деятельностью AMD. Сейчас компания участвует в расследовании и пытается определить, насколько чувствительной была похищенная информация.
На одном из форумов хакерской направленности были опубликованы заявления группировки IntelBroker, в которых она утверждает, что якобы осуществила успешный взлом серверных ресурсов с данными AMD. В том числе, якобы была похищена документация по будущим продуктам AMD, данные сотрудников и клиентов компании. Кроме того, там находились фрагменты исходного кода фирменного программного обеспечения и микрокодов для компонентов. Наконец, в руки злоумышленников могла попасть финансовая отчётность AMD.

В качестве доказательства наличия у них такой информации хакеры опубликовали снимки экранов с упоминанием служебных адресов электронной почты и номеров телефонов бывших сотрудников AMD. Никаких данных о клиентах компании на этом форуме участниками хакерской атаки выложено не было. Прочие примеры похищенной информации имели отношение к технической документации по процессорам Ryzen и EPYC. Хакеры хотят продать имеющиеся данные за криптовалюту Monero.

Данная группировка ранее отметилась в контексте атак на Home Depot, а также информационные ресурсы Европола и американских правительственных организаций. AMD подчеркнула, что к расследованию привлечены представители провайдера, на сервере которого могла храниться похищенная информация компании.
 

Мошенники всё чаще используют ИИ для фишинга и кражи денег

Исследования показали что мошенники всё чаще применяют технологии искусственного интеллекта (ИИ) для совершения преступлений и обхода систем защиты. В частности, ChatGPT и ему подобные чат-боты позволяют генерировать более правдоподобные и грамотные тексты для фишинговых писем. Такие письма сложно распознать по традиционным признакам мошенничества.
Как сообщает американская деловая газета The Wall Street Journal, мошенники используют ИИ для имитации голосов реальных людей и создания так называемых глубоких фейков — поддельных аудио и видео. Это помогает выдавать себя за сотрудников банков, руководителей компаний и требовать перевода денег или разглашения конфиденциальных данных. По словам Мэтта Нила (Matt Neill), экс-агента спецслужб США, теперь гораздо сложнее распознать, с кем на самом деле ведётся беседа. Преступники могут вести осмысленный диалог, используя личные данные жертвы для повышения доверия.

Однако крупнейшие американские банки, включая JPMorgan Chase, разрабатывают собственные ИИ-системы для выявления новых схем мошенничества. Но преступники пока опережают — они атакуют всё большее количество людей, а хищения становятся масштабнее. Согласно данным Федеральной торговой комиссии США, в 2023 году американцы потеряли от действий мошенников рекордные 10 млрд долларов, что на 1 млрд больше, чем в 2022 году. При этом лишь 5 % пострадавших сообщают о своих потерях, так что реальный ущерб может достигать 200 млрд долларов.

По словам экспертов, мошенники активно используют инструменты ИИ для сбора личных данных в социальных сетях. При этом ИИ помогает генерировать персонализированные сообщения от имени доверенных лиц для убеждения людей передать деньги или конфиденциальную информацию. По данным опроса специалистов банков, 70 % из них считают, что хакеры используют ИИ более эффективно, чем финансовые организации. Кроме того, прогнозируется дальнейший значительный рост числа афер с применением искусственного интеллекта.

Мошенники также активно используют инструменты искусственного интеллекта для автоматизации взлома онлайн-аккаунтов пользователей. Если они получают доступ к почте и паролю жертвы какого-либо сервиса, они используют программы на основе ИИ, которые быстро проверяют, подходят ли эти данные для доступа к другим аккаунтам этого человека, например, банковским счетам или профилям в соцсетях.

Чтобы противодействовать этой угрозе, банки внедряют собственные системы искусственного интеллекта, которые отслеживают поведение клиентов, то есть как именно вводятся данные, с каких устройств происходит вход в приложение. Если есть отклонения от обычного поведения, система поднимает тревогу и может потребовать дополнительную аутентификацию.

Также банки анализируют скорость набора текста, чтобы определить, не действует ли человек под принуждением. Ещё ИИ выявляет такие подозрительные признаки, как вставка скопированного текста или слишком равномерный набор. Эксперты рекомендуют включать двухфакторную аутентификацию для защиты онлайн-аккаунтов и проявлять бдительность в ситуациях, когда кто-то вдруг начинает требовать срочных действий по переводу денежной суммы.
 

Мошенники атаковали пользователей WhatsApp, притворяясь площадками для голосования в конкурсах

Группа мошенников разработала новые методы обмана с целью кражи учетных записей россиян в мессенджере WhatsApp, принадлежащем компании Meta*, которая была признана в России экстремистской и запрещенной. Об этом сообщил изданию «Газета.Ru» руководитель группы, занимающейся борьбой с фишингом в компании F.A.C.C.T., Иван Лебедев.

Эксперты отмечают, что злоумышленники создали более 200 веб-сайтов, притворяясь площадками для голосования или участия в фотоконкурсах. По словам Лебедева, потенциальные жертвы, переходя на эти сайты из WhatsApp, авторизуются под видом участия в конкурсе, используя свою учетную запись в WhatsApp. Таким образом, мошенническая страница эмулирует официальную форму входа в мессенджер.

Кроме того, обнаружен интернет-ресурс, который не имеет визуального сходства с WhatsApp. После предоставления личной информации на таких сайтах аферисты получают доступ к учетной записи пользователя и могут злоупотреблять ею в различных целях.

В определенных случаях мошенники создают отдельные страницы, где предлагают разные условия участия в конкурсах. Мошеннические сайты расположены на технических доменах pages.dev и ucoz.net, принадлежащих Cloudflare, а также могут быть найдены на адресах .ru, .site, .store и других.

Специалисты предостерегают пользователей от перехода по ненадежным ссылкам и рекомендуют активировать встроенные функции безопасности в WhatsApp, такие как двухфакторная аутентификация, для того чтобы обезопасить себя от мошенников.
 

Хакеры атаковали российские компании госсектора, телекома и ИТ, используя уязвимость контролеров лифтов

Хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые управляют лифтами в подъездах, следует из материалов центра исследования киберугроз Solar 4RAYS ГК «Солар».

Как сообщает РБК, злоумышленники взламывали контроллеры, входящие в состав SCADA-систем, которые предназначены работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. Хакеры размещали на них серверы, используемые в атаках на другие цели. Речь идет о контроллерах «Текон-Автоматика». Эта компания специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке, отметили в «Солар». Среди организаций, которые были атакованы через указанную уязвимость, — госсектор, компании из ИТ, телекома и других отраслей. При этом атакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX Илона Маска.

По словам эксперта центра исследования киберугроз Solar 4RAYS Дмитрия Маричева, атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. «Важно учитывать, что лифты — это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами», — отметил Маричев.
 

Хакеры взломали систему штрихкодов Ticketmaster и наживаются на перепродаже билетов

Хакеры воспользовались находкой исследователя безопасности, чтобы создавать дубликаты «непередаваемых» цифровых билетов на концерты и другие мероприятия, реализованных через сервисы Ticketmaster и AXS, позволяя перепродавать их за пределами данных сервисов. Обходной путь был раскрыт в иске, поданном AXS против сторонних билетных брокеров, использующих эту практику, согласно 404 Media, который первым сообщил об этом.
В мае этого года компания AXS подала судебный иск против сторонних билетных брокеров, использующих новый метод обхода защиты «непередаваемых» электронных билетов. Сообщается, что хакеры смогли путём реверс-инжиниринга воссоздать копию системы генерации оригинальных штрих- и QR-кодов для билетов Ticketmaster и AXS и перепродавать их.

История началась в феврале, когда некий исследователь безопасности под псевдонимом Conduition опубликовал технические детали о том, как Ticketmaster и AXS генерирует свои билеты. Информация дошла до рук хакеров и позволила им извлечь секретные данные, используемые для генерации новых билетов.

Хакеры создали параллельную инфраструктуру, используя смартфон Android с браузером Chrome, подключенный к Chrome DevTools на настольном ПК. Далее их система стала генерировать билеты с подлинными штрих-кодами, которые затем продавались на других платформах, не одобренных официальными билетными операторами.
AXS подала в суд. В своём иске компания обвиняет других продавцов в продаже «поддельных» билетов ничего не подозревающим клиентам, хотя эти билеты работают и по сути являются оригинальными. Компания утверждает, что не знает, как именно хакеры осуществляют этот обход.

Сами компании Ticketmaster и AXS создают оригинальные билеты с помощью генерируемых штрих-кодов, которые меняются каждые несколько секунд, что предотвращает создание скриншотов или распечаток. Кроме того, коды генерируются только незадолго до начала мероприятия, ограничивая возможность их передачи вне сервисов.

Уязвимость системы Ticketmaster оказалась настолько прибыльной, что несколько билетных брокеров даже пытались нанять Conduition для создания собственных платформ генерации дубликатов билетов. Уже появились действующие сервисы, основанные на исследованиях Conduition, такие как Secure.Tickets, Amosa App, Virtual Barcode Distribution и Verified-Ticket.com.
 

Хакеры похитили «почти всю» базу абонентов AT&T — одного из крупнейших сотовых операторов в США

Американская телекоммуникационная компания AT&T подтвердила факт взлома своей облачной платформы, в результате чего хакеры получили доступ к номерам телефонов «почти всех» абонентов, а также данным учёта звонков и SMS-сообщений за несколько месяцев. Похищенные данные в основном касаются звонков и сообщений, сделанных в период с мая по октябрь 2022 года, и представляют собой беспрецедентную утечку для AT&T и телекоммуникационной отрасли в целом.
В США метаданные, показывающие, с какими номерами взаимодействуют клиенты, обычно доступны только правоохранительным органам и только в рамках установленного юридического процесса при проведении расследований. В данном случае злоумышленникам удалось получить доступ к этой информации и похитить её. В сообщении AT&T отмечается, что полиции уже удалось задержать человека, который, предположительно, причастен ко взлому.

«В апреле AT&T узнала, что данные клиентов были незаконно загружены из нашего рабочего пространства на стороннюю облачную платформу. Мы начали расследование и привлекли ведущих экспертов по кибербезопасности, чтобы понять характер и масштаб преступной деятельности. Мы также приняли меры, чтобы закрыть незаконную точку доступа. Расследование показало, что скомпрометированные данные включают в себя файлы, содержащие записи о звонках и текстовых сообщениях AT&T почти всех клиентов сотовой связи AT&T и клиентов операторов мобильных виртуальных сетей (MVNO) в сети AT&T, а также клиентов стационарных линий AT&T, которые взаимодействовали с этими сотовыми операторами в период с 1 мая 2022 года по 31 октября 2022 года», — сказано в заявлении AT&T.

В дополнение к этому, некоторые украденные хакерами данные связаны со звонками, которые абоненты AT&T совершали со 2 января 2023 года, но в этом случае речь идёт об «очень небольшом количестве клиентов». В этом случае украденные метаданные не включали в себя временные метки звонков и SMS-сообщений, т.е. хакеры не могут видеть, когда именно абонент набирал тот или иной номер или отправлял сообщения. При этом злоумышленники могут видеть на какие номера совершались звонки и отправлялись сообщения. Данные не включают ФИО абонентов, но зачастую связать номер телефона с определённым человеком можно с помощью общедоступных онлайн-инструментов. В компании также отметили, что не располагают информацией о том, были ли украденные данные опубликованы публично.
 
Центр мониторинга отразил почти 1,8 тыс. DDoS-атак в октябре

Специалисты Центра мониторинга и управления сетью связи общего пользования выявили и устранили 860 нарушений маршрутизации трафика со стороны 258 организаций, тогда как месяцем ранее было обнаружено на 14,5% меньше нарушений. Такие данные привели в "Роскомнадзоре".

В этот период также было отражено почти 1,8 тыс. DDoS-атак в отношении систем защищаемых субъектов, среди которых и операторы связи. Для сравнения, в сентябре специалисты отразили почти 1,3 тыс. атак. Максимальная продолжительность DDoS-атаки в октябре составила 72 ч и 30 м, а мощность достигла 2,38 Тбит/с.

Помимо это в октябре в Центре заблокировали почти 2,3 тыс. фишинговых ресурсов и 13 сайтов, на которых распространялось вредоносное программное обеспечение.
 
Данный сайт использует cookie. Вы должны принять их для продолжения использования. Узнать больше...