Новости Хакеры, вирусы, взломы

[Alex]

Хакеры кардинально изменили способ кибератак. Вредоносные ссылки больше не в моде

Спойлер

Хакеры не отстают от трендов, как только их техники становятся известны общественности, они тут же находят что-то новое. Специалисты Центра кибербезопасности компании F.A.C.C.T. (бывшая Group-IB) проанализировали фишинговые рассылки, которые перехватило и нейтрализовало решение XDR в третьем квартале этого года, и выявили новые тенденции.

Новые тренды

Хакеры в этом году почти полностью отказались от использования ссылок в фишинговых рассылках в пользу зараженных вирусами вложений. Об этом сообщили аналитики центра кибербезопасности F.A.C.C.T.

По данным F.A.C.C.T., на первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook - его доля в рассылках увеличилась в четыре раза. AgentTesla, ранее занимавший лидирующие позиции, откатился сразу на третье место, а вторую строчку заняло малоизвестное ВПО DarkGate.

Киберпреступники практически отказались от использования ссылок для доставки вредоносного программного обеспечения (ВПО) - доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале до 99,1% в третьем этого года. По мнению аналитиков F.A.C.C.T., тренд связан с тем, что такая техника доставки вредоносов не оправдывает затрат в массовых рассылках. Главная задача перед злоумышленником замотивировать потенциального пользователя-жертву кликнуть по ссылке в электронном письме, а это может вызывать ряд проблем в связи с тем, что сотрудники отделов информационной безопасности (ИБ) уже не первый год информируют всех об этом методе кибератаки. Вложение же к электронному письму как привычный элемент почтовой коммуникации реже вызывает подозрения, чем и пытаются воспользоваться хакеры. Здесь срабатывает обычный метод в психологии человека, если ИБ-специалист или сотрудник ИТ-отдела говорил о том, что нельзя кликать по ссылкам, то он ничего не говорил о скачивании файла или его открытии, хотя бы для беглого просмотра. В случае если ИТ-отдел даже предупреждал о файле в формате .jpg, то ничего не говорил о формате .xls или же именно в настоящее время какая-нибудь потенциальная жертва ждет файл по его задаче и т.п.

В 82% вредоносных писем получатели увидят во вложении архив. В шести из десяти случаев это будет .zip и .rar, а также используются ряд других форматов .7z, .z, ..gz. Также в качестве доставщика вирусов продолжают использоваться офисные документы с расширениями .pdf и .docx, доля которых в рассылках незначительно подросла по сравнению с предыдущим кварталом - до 8,8% (+2,4%). Исследователи F.A.C.C.T. отмечают, что хакеры меняют тактику и отказываются от использования электронных таблиц Excel (с расширением .xls) в пользу .pdf и .docx для упаковки ВПО.

Эксперименты злоумышленников продолжаются не только с подачей фишинговых рассылок, но и с их начинкой. На протяжении последних лет, включая первое полугодие этого года, лидером среди вредоносных программ было AgentTesla. Это модульное программное обеспечение (ПО) для шпионажа встречалось как минимум в каждом втором вредоносном письме. В третьем квартале доля AgentTesla среди ВПО в фишинговых рассылках уменьшилась в четыре раза - с 56,1% до 13,4%. В лидеры вышли Formbook Formgrabber, это ИТ-инструмент для кражи учетных записей и персональных данных. Модульное ВПО с широким функционалом в виде загрузчика DarkGate: стилер, средство удаленного управления и в зависимости от аппетитов и наглости атакующих хакеров в софт встроен даже майнер.

Доля Formbook, который и ранее входил в Топ-3 угроз, выросла почти четырехкратно - до 40%. Загрузчик DarkGate был зафиксирован киберразведкой компании F.A.C.C.T. в прошлом году, и по итогам третьего квартала текущего года его доля составила 15%.

Резкое падение доли AgentTesla в рассылках ИБ-специалисты связывают с ликвидацией инфраструктуры этого ВПО летом 2023 г. Проверенный временем стилер Formbook многие выбрали как замену AgentTesla в связи с тем, что с этим и связан рост популярности ИТ-инструмента.

 

[Alex]

61% украденной криптовалюты в 2024 году было похищено хакерами, связанными с Северной Кореей

Спойлер

Согласно отчету Techcrunch, опубликованному в четверг, отчет Chainalysis показал, что в этом году общая стоимость украденных криптовалют увеличилась на 21% и достигла $2,2 миллиарда, при этом более половины суммы было украдено хакерскими группами, связанными с Северной Кореей. В 2024 году хакеры, связанные с Северной Кореей, украли 61% от общей суммы, украденной в том году, в 47 случаях, на сумму $1,34 миллиарда; в то время как в 2023 году они украли $660,5 миллиона в 20 случаях и $400 миллионов в 2022 году. Это указывает на их возрастающее участие в этих атаках.

В отчете подчеркивается, что большинство инцидентов с взломом криптовалют в этом году произошло с января по июль, при этом сумма украденного превысила $1,58 миллиарда, что примерно на 84,4% выше, чем за аналогичный период в 2023 году. После июля восходящий тренд значительно замедлился по сравнению с предыдущими годами - возможно, из-за геополитических проблем. Chainalysis связывает стагнацию после июля с количеством хакерских атак из-за альянса между Северной Кореей и Россией, который возник после встречи президента России Путина и лидера Северной Кореи Ким Чен Ына в июне. С тех пор сумма украденных Северной Кореей криптоактивов уменьшилась примерно на 53%. По мере укрепления сотрудничества между Россией и Северной Кореей, Северная Корея, возможно, изменила свою тактику киберпреступлений.

 

[Alex]

Статистика: мошенники чаще «посещают» пользователей iOS, а не Android

Спойлер

IT-компания Lookout, специализирующаяся на решениях в области кибербезопасности, опубликовала любопытную статистику Как выяснилось, гаджеты на Android не настолько популярны у злоумышленников, как может показаться, а iPhone, напротив, не кажется мошенникам чем-то недосягаемым.

Аналитики подсчитали количество зафиксированных фишинговых атак на смартфоны за третий квартал текущего года. Согласно статистике, в корпоративной среде 19% всех iPhone подверглись хотя бы одной атаке. У Android-гаджетов аналогичный показатель почти вдвое меньше — всего 10,9%.

Фишинговая атака — это способ заставить человека поделиться персональной информацией с помощью поддельных веб-страниц, электронных писем и других подобных способов. Например, злоумышленники могут создать фейковый сайт с имитацией формы логина в iCloud для кражи Apple ID и пароля.

По мнению экспертов, iOS создаёт впечатление безопасной системы из-за того, что она более закрыта, чем Android. Но это касается только установки приложений — слабое звено в виде пользователя, переходящего по сомнительным ссылкам, остаётся тем же, что и на других платформах.

 

[Alex]

Хакеры взломали ряд расширений для Chrome для кражи паролей и личных данных пользователей

Спойлер

С середины декабря злоумышленники провели серию хакерских атак, в результате чего им удалось взломать расширения для браузера Chrome нескольких компаний. Об этом пишет информационное агентство Reuters со ссылкой на данный одной из жертв киберпреступников, а также на экспертов, занимающихся изучением вредоносной кампании.

Одной из жертв хакеров стала калифорнийская Cyberhaven, специализирующаяся на защите данных. В компании подтвердили факт взлома, а также сообщили о проведении расследования этого инцидента. «Cyberhaven может подтвердить, что в канун Рождества произошла вредоносная кибератака, затронувшая наше расширение для Chrome <…> Мы активно сотрудничаем с федеральными правоохранительными органами», — говорится в заявлении Cyberhaven.

В электронном письме компании, разосланном клиентам и опубликованном исследователем безопасности Мэттом Йохансеном (Matt Johansen), говорится, что хакеры взломали учетную запись компании, чтобы опубликовать вредоносное обновление для расширения Chrome рано утром 25 декабря. В письме говорилось, что для клиентов, использующих взломанное расширение, «существует возможность утечки конфиденциальной информации, включая аутентифицированные сессии и файлы cookie, на домен злоумышленника».

В компании также предположили, что атака на их расширение стала частью «более широкой кампании, направленной на разработчиков расширений для Chrome». Масштаб негативного воздействия от кибератаки ещё не был определён. Расширения для браузеров добавляют новые функции и позволяют пользователям автоматизировать выполнение разных задач. В случае Cyberhaven расширение помогает компании контролировать и защищать данные клиентов, проходящие через веб-приложения.

Представитель техасской компании Nudge Security, работающей в сфере информационной безопасности, сообщил, что удалось выявить ещё несколько расширений для Chrome, которые были взломаны аналогичным образом. По крайней мере одно из них хакеры взломали в середине декабря. Среди других пострадавших упоминаются расширения, связанные с функциями на основе искусственного интеллекта и виртуальными частными сетями.

 

[Alex]

Китайские хакеры взломали девять американских телекоммуникационных компаний

Спойлер

Ресурсы уже девятой телекоммуникационной компании в США подверглись нападению в рамках серии кибератак, которые проводят предположительно китайские хакеры. Злоумышленники получили доступ к личным сообщениям и телефонным звонкам неизвестного числа американцев, сообщили в Белом доме.

В декабре администрация президента США заявила, что по меньшей мере восемь провайдеров в США и ресурсы в нескольких десятках стран пострадали в результате масштабной серии кибератак, которой присвоили общее название «Соляной тайфун» (Salt Typhoon) — ответственность за неё возложили на китайских хакеров. Накануне заместитель советника по национальной безопасности Энн Нойбергер (Anne Neuberger) сообщила, что после этого заявления стало известно о том, что жертвой стала уже девятая компания в США.

Взломав ресурсы телекоммуникационных компаний, хакеры получили доступ к личным сообщениям и записям звонков клиентов — ограниченного числа лиц. ФБР публично не раскрыло ни одной из жертв, но, по одной из версий, речь идёт о видных политических деятелях и должностных лицах в США. У властей пока нет понимания, сколько американцев пострадали в ходе операции «Соляной тайфун» — отчасти из-за того, что злоумышленники действуют осторожно; известно, что «большое число» их находится в регионе Вашингтон — Виргиния.

На начальном этапе хакеры определяли, кому принадлежит тот или иной телефон, и если владелец оказывался «целью, представляющей интерес для правительства», за звонками и перепиской устанавливалась слежка. Большинство подвергшихся хакерским атакам лиц «в первую очередь вовлечены в государственную или политическую деятельность», подтвердили в ФБР. В январе Федеральная комиссия по связи (FCC) рассмотрит на заседании меры, которые необходимо принять для повышения кибербезопасности в телекоммуникационной отрасли.

 

[Alex]

Эксперты назвали главные тренды мошенников, утечек и фишинга в 2024 году

Спойлер

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, подвела итоги 2024 года, опубликовав основные тренды и статистику в области вымогательств, утечек и фишинга.

В 2024 году аналитики Threat Intelligence компании F.A.С.С.T. обнаружили в тематических Telegram-каналах и на различных форумах 259 ранее не опубликованных баз данных российских компаний. Основными целями хакеров стали ритейлеры, интернет-магазины, а также медицинские организации и образовательные центры.

Чаще всего слитые базы данных содержали ФИО, даты рождения, адреса, электронные почтовые ящики и номера телефонов. Публиковали их в основном в публичных Telegram-каналах, а кроме того, в 2024 году появилось множество закрытых групп.

Аналитики Лаборатории цифровой криминалистики F.A.С.С.T. подсчитали, что количество атак программ-вымогателей в прошедшем году выросло на 44% в сравнении с 2023-м. В числе основных киберпреступники использовали LockBit 3 Black и Mimic (шифровальщики), а также Babuk, LokiLocker/BlackBit и Phobos.

Жертвами чаще всего оказывались российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг. Группа двойного назначения Shadow, известная сейчас как Darkstar, вновь стала самым «жадным» вымогателем, потребовав от одной из жертв выкуп в размере 300 миллионов рублей.

Также стабильно совершаются кибератаки на российские и белорусские компании для диверсий или шпионажа: всего аналитики Threat Intelligence компании F.A.С.С.T. обнаружили 27 групп, атакующих Россию и СНГ. Одним из самых популярных инструментов мошенников остаётся рассылка вредоносных писем с ПО и стилерами, доля которых составила 69%.

Зарабатывают преступники и при помощи поддельных ресурсов. По данным аналитиков департамента Digital Risk Protection F.A.C.C.T., в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112. Число фишинговых ссылок увеличилось с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.

На 2025 год эксперты прогнозируют:

рост количества атакующих;
рост количества целевых атак на цепочки поставок и поставщиков;
рост атак на мобильные устройства;
расширение фишинговых атак на многофакторную аутентификацию (MFA);
появление новых мошеннических схем и модификации уже известных («Мамонт»);
рост атак с использованием ИИ, включая дипфейки, автоматизацию фишинга и поиск уязвимостей;
архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах на первом этапе атаки, но их упаковка будет меняться;
рост доступности вредоносного ПО расширит возможности кибератак.

 

[Alex]

Новый Android-вредонос крадёт данные российских пользователей Telegram

Спойлер

Эксперты компании Cyfirma, специализирующейся на сфере IT-безопасности, рассказали о новом вредоносном приложении FireScam, нацеленном на Android-пользователей из России. Оно маскируется под Telegram и распространяется через фишинговые сайты, имитирующие магазин RuStore.

Вредонос в формате APK распространяется под видом альтернативного клиента Telegram через фишинговые сайты, имитирующие RuStore. После установки она получает разрешения на доступ к памяти устройства и устанавливает дополнительные инструменты для кражи пользовательских данных.

При первом запуске «мессенджер» открывает встроенный сайт со страницей входа в настоящий Telegram и перехватывает данные учётной записи. Затем он регистрирует взломанное устройство в хакерской базе данных для отслеживания с помощью уникальных идентификаторов и открывает соединение WebSocket с конечной точкой Firebase C2 для выполнения команд в режиме реального времени вплоть до установки других программ на смартфоне жертвы.

Приложение умеет отслеживать изменения активности экрана, знает, какая программа открыта в данный момент, регистрирует все платёжные транзакции и перехватывает автоматически введённые пароли. Специалисты Cyfirma признали вредонос «сложной и многогранной угрозой» и порекомендовали пользователям соблюдать осторожность при открытии файлов из потенциально ненадёжных источников или при переходе по незнакомым ссылкам.

 

[Alex]

Хакер взломал USB-контроллер ACE3, который Apple использует в своих устройствах

Спойлер

Исследователь безопасности взломал USB-контроллер ACE3, который Apple использует в своих гаджетах. С помощью уязвимости злоумышленники могут выполнять произвольный код, получать конфиденциальные данные и контролировать устройство.

ACE3 — USB-контроллер, который производит компания Texas Instruments для Apple. Его встраивают в iPhone, Mac и другие гаджеты. Он не просто управляет процессом зарядки и передачи данных, но и получает доступ к критически важным внутренним компонентам, включая шины SPMI и JTAG. Это уже третья версия контроллера с улучшенной системой защиты. Если контроллер ACE2 можно было взломать с помощью программных уязвимостей и интерфейса отладки, то в ACE3 инженеры отключили отладчик, криптографическую защиту флеш-памяти и реализовали возможность загружать обновления прошивки контроллера.

Взломать ACE3 удалось исследователю Томасу Роту. О своём достижении он рассказал во время конференции Chaos Communication Congress в Гамбурге. Он провёл ревёрс-инжиниринг контроллера и выяснил, в какой момент система проверяет прошивку, чтобы успеть загрузить модифицированный патч до того, как сработает система защиты ACE3. Например, с помощью этой уязвимости можно подключать несертифицированные аксессуары или выполнять операции без согласия пользователя. Кроме того, потенциально можно похищать данные.

Исследователь сообщил об уязвимости Apple, но компания не пока не планирует её исправлять. Атака слишком сложная, поэтому ей не будут пользоваться массово. Томас согласен с тем, что использовать уязвимость очень сложно и угроза для пользователей маловероятна. Некоторые сервисные центры отметили, что эксплойт поможет им проводить диагностику сломанных Mac.

 

[Alex]

Хакеры взломали «Ростелеком»: в сеть утекли данные клиентов​

По словам злоумышленников, они завладели 154 тысячами адресов электронной почты и более 100 тысячами номеров телефонов.

Хакерская группа Silent Crow заявила о взломе «Ростелекома» и получении доступа к личным данным клиентов. По словам злоумышленников, они завладели 154 тысячами адресов электронной почты и более 100 тысячами номеров телефонов, а также всей историей обращений пользователей, включая домашние адреса.

Информация о масштабе утечки и ее последствиях пока уточняется. Клиентам компании рекомендуется усилить меры безопасности: сменить пароли и проявлять бдительность при получении подозрительных звонков или сообщений.

 

[Alex]

Рост DDoS-атак в России составил + 53% за 2024 год​

В 2024 году количество DDoS-атак на российские компании увеличилось на 53% по сравнению с предыдущим годом, согласно отчету кибербезопасной компании Curator, пишут "Ведомости". По оценкам Red Security, на 200 клиентов в этом году пришлось около 68 500 атак, что в среднем составляет 340 атак на одну компанию.

Среди отраслей, наиболее подверженных DDoS-атакам, выделяются телеком и ИТ, промышленность и финансы. Однако к концу IV квартала количество атак в этих секторах снизилось, в то время как в сфере услуг они возросли в 2,9 раза, а в медицине — в 2,1 раза.

Общее количество DDoS-атак в 2024 году составило около 700 000–800 000, что на 15–20% больше, чем в 2022–2023 годах. При этом средняя продолжительность атак уменьшилась. Это свидетельствует о том, что компании по кибербезопасности стали более эффективными в защите, а злоумышленники выбирают менее защищенные цели. Самая мощная атака в 2024 году достигла 1,73 Тбит/с и была направлена на оператора связи. В финтехе было зафиксировано 25,8% атак, в электронной коммерции — 20,5%, а в медиа — 13,5%. Максимальная атака в 1,14 Тбит/с произошла в IV квартале 2024 года.

Рост числа атак в рунете составил 30–40%. Это связано с увеличением числа недорогих подключаемых устройств, которые могут быть использованы в ботнетах. Несмотря на улучшение технологий хакеров, также растет количество и эффективность защитных механизмов.

Современные DDoS-атаки могут использовать смартфоны, умные часы и телевизоры, зараженные вирусами. Несмотря на улучшение технологий хакеров, также растет количество и эффективность систем защиты.

 

[Alex]

Раскрыты актуальные расценки на хакерские атаки

Исследовательская группа Positive Technologies сообщила, что в 2025 году средний бюджет на организацию кибератаки с использованием программ-вымогателей составляет $20 000. Данные были получены на основе анализа более 20 000 публикаций с нескольких десятков теневых ресурсов.

Организация подобных атак включает несколько этапов: сбор информации о цели, создание или аренда инфраструктуры, закупка необходимых инструментов, проникновение в систему и закрепление в ней. Как подчеркнул Роман Сафиуллин из InfoWatch ARMA, успешность атаки определяется уровнем защиты инфраструктуры жертвы, наличием резервных копий и других факторов.

По данным аналитика Дмитрия Стрельцова, успешные операции приносят злоумышленникам от $100 000 до $130 000. При этом жертвы несут значительные финансовые убытки, связанные не только с выкупом, но и с простоями. Например, атака на CDK Global в прошлом году остановила работу серверов компании на две недели. Выкуп составил 25 миллионов долларов, а косвенные убытки для дилеров превысили 600 миллионов долларов.

Среди инструментов, предлагаемых на теневом рынке, особое место занимают инфостилеры (19%), крипторы (17%) и загрузчики (16%), стоимость которых варьируется от $70 до $500. Эксплойты остаются наиболее дорогими решениями: в 31% случаев их цена превышает $20 000, а за уязвимости нулевого дня киберпреступники порой готовы платить миллионы долларов.

 

[Alex]

Мошенники взломали соцсети OZON и разослали фишинговые сообщения

В ночь с 28 на 29 января официальный аккаунт OZON во «ВКонтакте» был взломан. Злоумышленники запустили фишинговую рассылку подписчикам, обещая ценные призы — якобы в честь празднования годовщины маркетплейса.

«Сегодня ночью мошенники взломали аккаунт VK сотрудника поддержки OZON и разослали подписчикам фишинговые сообщения — обещали «в честь дня рождения» денежный приз, для получения которого нужно оплатить комиссию. Если получили такие или похожие сообщения, не переходите по ссылкам и не вводите данные карты», — говорится в официальном заявлении OZON.

Злоумышленники предлагали пользователям получить приз на сумму более 250 000 рублей, а от «счастливчиков» требовалось лишь оплатить пошлину. При переходе по ссылке в сообщении с карты списывались деньги, которые уходили мошенникам.

В OZON заявили, что уже восстановили доступ к аккаунту и вместе с командой VK удалили сообщения. Сейчас ведётся расследование случившегося. Кроме того, в целях безопасности до 1 февраля сообщения в группе закрыты для всех.