Новости Хакеры, вирусы, взломы

[Alex]

Хакеры кардинально изменили способ кибератак. Вредоносные ссылки больше не в моде

Спойлер

Хакеры не отстают от трендов, как только их техники становятся известны общественности, они тут же находят что-то новое. Специалисты Центра кибербезопасности компании F.A.C.C.T. (бывшая Group-IB) проанализировали фишинговые рассылки, которые перехватило и нейтрализовало решение XDR в третьем квартале этого года, и выявили новые тенденции.

Новые тренды

Хакеры в этом году почти полностью отказались от использования ссылок в фишинговых рассылках в пользу зараженных вирусами вложений. Об этом сообщили аналитики центра кибербезопасности F.A.C.C.T.

По данным F.A.C.C.T., на первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook - его доля в рассылках увеличилась в четыре раза. AgentTesla, ранее занимавший лидирующие позиции, откатился сразу на третье место, а вторую строчку заняло малоизвестное ВПО DarkGate.

Киберпреступники практически отказались от использования ссылок для доставки вредоносного программного обеспечения (ВПО) - доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале до 99,1% в третьем этого года. По мнению аналитиков F.A.C.C.T., тренд связан с тем, что такая техника доставки вредоносов не оправдывает затрат в массовых рассылках. Главная задача перед злоумышленником замотивировать потенциального пользователя-жертву кликнуть по ссылке в электронном письме, а это может вызывать ряд проблем в связи с тем, что сотрудники отделов информационной безопасности (ИБ) уже не первый год информируют всех об этом методе кибератаки. Вложение же к электронному письму как привычный элемент почтовой коммуникации реже вызывает подозрения, чем и пытаются воспользоваться хакеры. Здесь срабатывает обычный метод в психологии человека, если ИБ-специалист или сотрудник ИТ-отдела говорил о том, что нельзя кликать по ссылкам, то он ничего не говорил о скачивании файла или его открытии, хотя бы для беглого просмотра. В случае если ИТ-отдел даже предупреждал о файле в формате .jpg, то ничего не говорил о формате .xls или же именно в настоящее время какая-нибудь потенциальная жертва ждет файл по его задаче и т.п.

В 82% вредоносных писем получатели увидят во вложении архив. В шести из десяти случаев это будет .zip и .rar, а также используются ряд других форматов .7z, .z, ..gz. Также в качестве доставщика вирусов продолжают использоваться офисные документы с расширениями .pdf и .docx, доля которых в рассылках незначительно подросла по сравнению с предыдущим кварталом - до 8,8% (+2,4%). Исследователи F.A.C.C.T. отмечают, что хакеры меняют тактику и отказываются от использования электронных таблиц Excel (с расширением .xls) в пользу .pdf и .docx для упаковки ВПО.

Эксперименты злоумышленников продолжаются не только с подачей фишинговых рассылок, но и с их начинкой. На протяжении последних лет, включая первое полугодие этого года, лидером среди вредоносных программ было AgentTesla. Это модульное программное обеспечение (ПО) для шпионажа встречалось как минимум в каждом втором вредоносном письме. В третьем квартале доля AgentTesla среди ВПО в фишинговых рассылках уменьшилась в четыре раза - с 56,1% до 13,4%. В лидеры вышли Formbook Formgrabber, это ИТ-инструмент для кражи учетных записей и персональных данных. Модульное ВПО с широким функционалом в виде загрузчика DarkGate: стилер, средство удаленного управления и в зависимости от аппетитов и наглости атакующих хакеров в софт встроен даже майнер.

Доля Formbook, который и ранее входил в Топ-3 угроз, выросла почти четырехкратно - до 40%. Загрузчик DarkGate был зафиксирован киберразведкой компании F.A.C.C.T. в прошлом году, и по итогам третьего квартала текущего года его доля составила 15%.

Резкое падение доли AgentTesla в рассылках ИБ-специалисты связывают с ликвидацией инфраструктуры этого ВПО летом 2023 г. Проверенный временем стилер Formbook многие выбрали как замену AgentTesla в связи с тем, что с этим и связан рост популярности ИТ-инструмента.

 

[Alex]

61% украденной криптовалюты в 2024 году было похищено хакерами, связанными с Северной Кореей

Спойлер

Согласно отчету Techcrunch, опубликованному в четверг, отчет Chainalysis показал, что в этом году общая стоимость украденных криптовалют увеличилась на 21% и достигла $2,2 миллиарда, при этом более половины суммы было украдено хакерскими группами, связанными с Северной Кореей. В 2024 году хакеры, связанные с Северной Кореей, украли 61% от общей суммы, украденной в том году, в 47 случаях, на сумму $1,34 миллиарда; в то время как в 2023 году они украли $660,5 миллиона в 20 случаях и $400 миллионов в 2022 году. Это указывает на их возрастающее участие в этих атаках.

В отчете подчеркивается, что большинство инцидентов с взломом криптовалют в этом году произошло с января по июль, при этом сумма украденного превысила $1,58 миллиарда, что примерно на 84,4% выше, чем за аналогичный период в 2023 году. После июля восходящий тренд значительно замедлился по сравнению с предыдущими годами - возможно, из-за геополитических проблем. Chainalysis связывает стагнацию после июля с количеством хакерских атак из-за альянса между Северной Кореей и Россией, который возник после встречи президента России Путина и лидера Северной Кореи Ким Чен Ына в июне. С тех пор сумма украденных Северной Кореей криптоактивов уменьшилась примерно на 53%. По мере укрепления сотрудничества между Россией и Северной Кореей, Северная Корея, возможно, изменила свою тактику киберпреступлений.

 

[Alex]

Статистика: мошенники чаще «посещают» пользователей iOS, а не Android

Спойлер

IT-компания Lookout, специализирующаяся на решениях в области кибербезопасности, опубликовала любопытную статистику Как выяснилось, гаджеты на Android не настолько популярны у злоумышленников, как может показаться, а iPhone, напротив, не кажется мошенникам чем-то недосягаемым.

Аналитики подсчитали количество зафиксированных фишинговых атак на смартфоны за третий квартал текущего года. Согласно статистике, в корпоративной среде 19% всех iPhone подверглись хотя бы одной атаке. У Android-гаджетов аналогичный показатель почти вдвое меньше — всего 10,9%.

Фишинговая атака — это способ заставить человека поделиться персональной информацией с помощью поддельных веб-страниц, электронных писем и других подобных способов. Например, злоумышленники могут создать фейковый сайт с имитацией формы логина в iCloud для кражи Apple ID и пароля.

По мнению экспертов, iOS создаёт впечатление безопасной системы из-за того, что она более закрыта, чем Android. Но это касается только установки приложений — слабое звено в виде пользователя, переходящего по сомнительным ссылкам, остаётся тем же, что и на других платформах.

 

[Alex]

Хакеры взломали ряд расширений для Chrome для кражи паролей и личных данных пользователей

Спойлер

С середины декабря злоумышленники провели серию хакерских атак, в результате чего им удалось взломать расширения для браузера Chrome нескольких компаний. Об этом пишет информационное агентство Reuters со ссылкой на данный одной из жертв киберпреступников, а также на экспертов, занимающихся изучением вредоносной кампании.

Одной из жертв хакеров стала калифорнийская Cyberhaven, специализирующаяся на защите данных. В компании подтвердили факт взлома, а также сообщили о проведении расследования этого инцидента. «Cyberhaven может подтвердить, что в канун Рождества произошла вредоносная кибератака, затронувшая наше расширение для Chrome <…> Мы активно сотрудничаем с федеральными правоохранительными органами», — говорится в заявлении Cyberhaven.

В электронном письме компании, разосланном клиентам и опубликованном исследователем безопасности Мэттом Йохансеном (Matt Johansen), говорится, что хакеры взломали учетную запись компании, чтобы опубликовать вредоносное обновление для расширения Chrome рано утром 25 декабря. В письме говорилось, что для клиентов, использующих взломанное расширение, «существует возможность утечки конфиденциальной информации, включая аутентифицированные сессии и файлы cookie, на домен злоумышленника».

В компании также предположили, что атака на их расширение стала частью «более широкой кампании, направленной на разработчиков расширений для Chrome». Масштаб негативного воздействия от кибератаки ещё не был определён. Расширения для браузеров добавляют новые функции и позволяют пользователям автоматизировать выполнение разных задач. В случае Cyberhaven расширение помогает компании контролировать и защищать данные клиентов, проходящие через веб-приложения.

Представитель техасской компании Nudge Security, работающей в сфере информационной безопасности, сообщил, что удалось выявить ещё несколько расширений для Chrome, которые были взломаны аналогичным образом. По крайней мере одно из них хакеры взломали в середине декабря. Среди других пострадавших упоминаются расширения, связанные с функциями на основе искусственного интеллекта и виртуальными частными сетями.

 

[Alex]

Китайские хакеры взломали девять американских телекоммуникационных компаний

Спойлер

Ресурсы уже девятой телекоммуникационной компании в США подверглись нападению в рамках серии кибератак, которые проводят предположительно китайские хакеры. Злоумышленники получили доступ к личным сообщениям и телефонным звонкам неизвестного числа американцев, сообщили в Белом доме.

В декабре администрация президента США заявила, что по меньшей мере восемь провайдеров в США и ресурсы в нескольких десятках стран пострадали в результате масштабной серии кибератак, которой присвоили общее название «Соляной тайфун» (Salt Typhoon) — ответственность за неё возложили на китайских хакеров. Накануне заместитель советника по национальной безопасности Энн Нойбергер (Anne Neuberger) сообщила, что после этого заявления стало известно о том, что жертвой стала уже девятая компания в США.

Взломав ресурсы телекоммуникационных компаний, хакеры получили доступ к личным сообщениям и записям звонков клиентов — ограниченного числа лиц. ФБР публично не раскрыло ни одной из жертв, но, по одной из версий, речь идёт о видных политических деятелях и должностных лицах в США. У властей пока нет понимания, сколько американцев пострадали в ходе операции «Соляной тайфун» — отчасти из-за того, что злоумышленники действуют осторожно; известно, что «большое число» их находится в регионе Вашингтон — Виргиния.

На начальном этапе хакеры определяли, кому принадлежит тот или иной телефон, и если владелец оказывался «целью, представляющей интерес для правительства», за звонками и перепиской устанавливалась слежка. Большинство подвергшихся хакерским атакам лиц «в первую очередь вовлечены в государственную или политическую деятельность», подтвердили в ФБР. В январе Федеральная комиссия по связи (FCC) рассмотрит на заседании меры, которые необходимо принять для повышения кибербезопасности в телекоммуникационной отрасли.

 

[Alex]

Эксперты назвали главные тренды мошенников, утечек и фишинга в 2024 году

Спойлер

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, подвела итоги 2024 года, опубликовав основные тренды и статистику в области вымогательств, утечек и фишинга.

В 2024 году аналитики Threat Intelligence компании F.A.С.С.T. обнаружили в тематических Telegram-каналах и на различных форумах 259 ранее не опубликованных баз данных российских компаний. Основными целями хакеров стали ритейлеры, интернет-магазины, а также медицинские организации и образовательные центры.

Чаще всего слитые базы данных содержали ФИО, даты рождения, адреса, электронные почтовые ящики и номера телефонов. Публиковали их в основном в публичных Telegram-каналах, а кроме того, в 2024 году появилось множество закрытых групп.

Аналитики Лаборатории цифровой криминалистики F.A.С.С.T. подсчитали, что количество атак программ-вымогателей в прошедшем году выросло на 44% в сравнении с 2023-м. В числе основных киберпреступники использовали LockBit 3 Black и Mimic (шифровальщики), а также Babuk, LokiLocker/BlackBit и Phobos.

Жертвами чаще всего оказывались российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг. Группа двойного назначения Shadow, известная сейчас как Darkstar, вновь стала самым «жадным» вымогателем, потребовав от одной из жертв выкуп в размере 300 миллионов рублей.

Также стабильно совершаются кибератаки на российские и белорусские компании для диверсий или шпионажа: всего аналитики Threat Intelligence компании F.A.С.С.T. обнаружили 27 групп, атакующих Россию и СНГ. Одним из самых популярных инструментов мошенников остаётся рассылка вредоносных писем с ПО и стилерами, доля которых составила 69%.

Зарабатывают преступники и при помощи поддельных ресурсов. По данным аналитиков департамента Digital Risk Protection F.A.C.C.T., в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112. Число фишинговых ссылок увеличилось с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.

На 2025 год эксперты прогнозируют:

рост количества атакующих;
рост количества целевых атак на цепочки поставок и поставщиков;
рост атак на мобильные устройства;
расширение фишинговых атак на многофакторную аутентификацию (MFA);
появление новых мошеннических схем и модификации уже известных («Мамонт»);
рост атак с использованием ИИ, включая дипфейки, автоматизацию фишинга и поиск уязвимостей;
архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах на первом этапе атаки, но их упаковка будет меняться;
рост доступности вредоносного ПО расширит возможности кибератак.

 

[Alex]

Новый Android-вредонос крадёт данные российских пользователей Telegram

Спойлер

Эксперты компании Cyfirma, специализирующейся на сфере IT-безопасности, рассказали о новом вредоносном приложении FireScam, нацеленном на Android-пользователей из России. Оно маскируется под Telegram и распространяется через фишинговые сайты, имитирующие магазин RuStore.

Вредонос в формате APK распространяется под видом альтернативного клиента Telegram через фишинговые сайты, имитирующие RuStore. После установки она получает разрешения на доступ к памяти устройства и устанавливает дополнительные инструменты для кражи пользовательских данных.

При первом запуске «мессенджер» открывает встроенный сайт со страницей входа в настоящий Telegram и перехватывает данные учётной записи. Затем он регистрирует взломанное устройство в хакерской базе данных для отслеживания с помощью уникальных идентификаторов и открывает соединение WebSocket с конечной точкой Firebase C2 для выполнения команд в режиме реального времени вплоть до установки других программ на смартфоне жертвы.

Приложение умеет отслеживать изменения активности экрана, знает, какая программа открыта в данный момент, регистрирует все платёжные транзакции и перехватывает автоматически введённые пароли. Специалисты Cyfirma признали вредонос «сложной и многогранной угрозой» и порекомендовали пользователям соблюдать осторожность при открытии файлов из потенциально ненадёжных источников или при переходе по незнакомым ссылкам.

 

[Alex]

Хакер взломал USB-контроллер ACE3, который Apple использует в своих устройствах

Спойлер

Исследователь безопасности взломал USB-контроллер ACE3, который Apple использует в своих гаджетах. С помощью уязвимости злоумышленники могут выполнять произвольный код, получать конфиденциальные данные и контролировать устройство.

ACE3 — USB-контроллер, который производит компания Texas Instruments для Apple. Его встраивают в iPhone, Mac и другие гаджеты. Он не просто управляет процессом зарядки и передачи данных, но и получает доступ к критически важным внутренним компонентам, включая шины SPMI и JTAG. Это уже третья версия контроллера с улучшенной системой защиты. Если контроллер ACE2 можно было взломать с помощью программных уязвимостей и интерфейса отладки, то в ACE3 инженеры отключили отладчик, криптографическую защиту флеш-памяти и реализовали возможность загружать обновления прошивки контроллера.

Взломать ACE3 удалось исследователю Томасу Роту. О своём достижении он рассказал во время конференции Chaos Communication Congress в Гамбурге. Он провёл ревёрс-инжиниринг контроллера и выяснил, в какой момент система проверяет прошивку, чтобы успеть загрузить модифицированный патч до того, как сработает система защиты ACE3. Например, с помощью этой уязвимости можно подключать несертифицированные аксессуары или выполнять операции без согласия пользователя. Кроме того, потенциально можно похищать данные.

Исследователь сообщил об уязвимости Apple, но компания не пока не планирует её исправлять. Атака слишком сложная, поэтому ей не будут пользоваться массово. Томас согласен с тем, что использовать уязвимость очень сложно и угроза для пользователей маловероятна. Некоторые сервисные центры отметили, что эксплойт поможет им проводить диагностику сломанных Mac.

 

[Alex]

Хакеры взломали «Ростелеком»: в сеть утекли данные клиентов​

По словам злоумышленников, они завладели 154 тысячами адресов электронной почты и более 100 тысячами номеров телефонов.

Хакерская группа Silent Crow заявила о взломе «Ростелекома» и получении доступа к личным данным клиентов. По словам злоумышленников, они завладели 154 тысячами адресов электронной почты и более 100 тысячами номеров телефонов, а также всей историей обращений пользователей, включая домашние адреса.

Информация о масштабе утечки и ее последствиях пока уточняется. Клиентам компании рекомендуется усилить меры безопасности: сменить пароли и проявлять бдительность при получении подозрительных звонков или сообщений.

 

[Alex]

Рост DDoS-атак в России составил + 53% за 2024 год​

В 2024 году количество DDoS-атак на российские компании увеличилось на 53% по сравнению с предыдущим годом, согласно отчету кибербезопасной компании Curator, пишут "Ведомости". По оценкам Red Security, на 200 клиентов в этом году пришлось около 68 500 атак, что в среднем составляет 340 атак на одну компанию.

Среди отраслей, наиболее подверженных DDoS-атакам, выделяются телеком и ИТ, промышленность и финансы. Однако к концу IV квартала количество атак в этих секторах снизилось, в то время как в сфере услуг они возросли в 2,9 раза, а в медицине — в 2,1 раза.

Общее количество DDoS-атак в 2024 году составило около 700 000–800 000, что на 15–20% больше, чем в 2022–2023 годах. При этом средняя продолжительность атак уменьшилась. Это свидетельствует о том, что компании по кибербезопасности стали более эффективными в защите, а злоумышленники выбирают менее защищенные цели. Самая мощная атака в 2024 году достигла 1,73 Тбит/с и была направлена на оператора связи. В финтехе было зафиксировано 25,8% атак, в электронной коммерции — 20,5%, а в медиа — 13,5%. Максимальная атака в 1,14 Тбит/с произошла в IV квартале 2024 года.

Рост числа атак в рунете составил 30–40%. Это связано с увеличением числа недорогих подключаемых устройств, которые могут быть использованы в ботнетах. Несмотря на улучшение технологий хакеров, также растет количество и эффективность защитных механизмов.

Современные DDoS-атаки могут использовать смартфоны, умные часы и телевизоры, зараженные вирусами. Несмотря на улучшение технологий хакеров, также растет количество и эффективность систем защиты.

 

[Alex]

Раскрыты актуальные расценки на хакерские атаки

Исследовательская группа Positive Technologies сообщила, что в 2025 году средний бюджет на организацию кибератаки с использованием программ-вымогателей составляет $20 000. Данные были получены на основе анализа более 20 000 публикаций с нескольких десятков теневых ресурсов.

Организация подобных атак включает несколько этапов: сбор информации о цели, создание или аренда инфраструктуры, закупка необходимых инструментов, проникновение в систему и закрепление в ней. Как подчеркнул Роман Сафиуллин из InfoWatch ARMA, успешность атаки определяется уровнем защиты инфраструктуры жертвы, наличием резервных копий и других факторов.

По данным аналитика Дмитрия Стрельцова, успешные операции приносят злоумышленникам от $100 000 до $130 000. При этом жертвы несут значительные финансовые убытки, связанные не только с выкупом, но и с простоями. Например, атака на CDK Global в прошлом году остановила работу серверов компании на две недели. Выкуп составил 25 миллионов долларов, а косвенные убытки для дилеров превысили 600 миллионов долларов.

Среди инструментов, предлагаемых на теневом рынке, особое место занимают инфостилеры (19%), крипторы (17%) и загрузчики (16%), стоимость которых варьируется от $70 до $500. Эксплойты остаются наиболее дорогими решениями: в 31% случаев их цена превышает $20 000, а за уязвимости нулевого дня киберпреступники порой готовы платить миллионы долларов.

 

[Alex]

Мошенники взломали соцсети OZON и разослали фишинговые сообщения

В ночь с 28 на 29 января официальный аккаунт OZON во «ВКонтакте» был взломан. Злоумышленники запустили фишинговую рассылку подписчикам, обещая ценные призы — якобы в честь празднования годовщины маркетплейса.

«Сегодня ночью мошенники взломали аккаунт VK сотрудника поддержки OZON и разослали подписчикам фишинговые сообщения — обещали «в честь дня рождения» денежный приз, для получения которого нужно оплатить комиссию. Если получили такие или похожие сообщения, не переходите по ссылкам и не вводите данные карты», — говорится в официальном заявлении OZON.

Злоумышленники предлагали пользователям получить приз на сумму более 250 000 рублей, а от «счастливчиков» требовалось лишь оплатить пошлину. При переходе по ссылке в сообщении с карты списывались деньги, которые уходили мошенникам.

В OZON заявили, что уже восстановили доступ к аккаунту и вместе с командой VK удалили сообщения. Сейчас ведётся расследование случившегося. Кроме того, в целях безопасности до 1 февраля сообщения в группе закрыты для всех.

 

[Alex]

Хакеры научились взламывать автомобили Subaru

Специалисты по кибербезопасности Сэм Карри и Шубхам Шах выявили серьёзные уязвимости в системе подключённых сервисов Subaru Starlink. Эти недостатки позволяли злоумышленникам получить доступ к данным, включая местоположение транспортного средства и его перемещениям за последний год.



Исследователи обнаружили, что через уязвимость в административной панели Starlink можно получить доступ к аккаунтам сотрудников Subaru. Используя известные форматы корпоративных адресов электронной почты и методы подбора паролей, они смогли обойти систему безопасности и получить необходимые привилегии.

Это открывало возможность отслеживать местоположение любого автомобиля Subaru, оснащённого системой Starlink, в США, Канаде и Японии. Для доступа к конкретному авто злоумышленникам достаточно было знать его VIN-номер, который можно получить из регистрационных документов и даже с помощью номерного знака.

Это означало, что практически любой автомобиль Subaru с видимым номерным знаком мог быть потенциально уязвим для удалённого доступа. После обнаружения дыры в безопасности в ноябре 2024 года Карри и Шах уведомили компанию Subaru о проблеме. Компания оперативно выпустила обновление, устраняющее эти бреши.

 

[Alex]

Проник в официальные маркеты: обнаружен первый вирус для iOS

Спойлер

Специалисты обнаружили новую вредоносную программу SparkCat, способную красть данные с фотографий в галереях смартфонов. По данным «Лаборатории Касперского» это первый известный троянец-стилер для iOS в App Store.

Отмечается, что в основном программа нацелена на кражу со смартфонов данных от криптокошельков. Нередко «зловред» распространяется в составе мессенджеров, приложений для доставки еды или доступа к криптобирже.

«Стилер крадёт данные от криптокошельков жертв. В компании считают, что пока атаки SparkCat нацелены преимущественно на пользователей Android- и iOS-смартфонов в ОАЭ, странах Европы и Азии. Однако специалисты не исключают, что с подобной киберугрозой могут столкнуться люди и в других регионах, в том числе в России», — отмечают в «Лаборатории Касперского».

Специалисты описывают принцип работы SparkCat так: программа запрашивает у пользователя смартфона доступ к фотоснимкам в галерее, далее при помощи искусственного интеллекта она анализирует информацию на кадрах и, если на них есть данные о восстановлении доступа к криптокошелькам, отправляет картинку злоумышленникам.

«Цель атакующих — найти фразы для восстановления доступа к криптокошелькам, чтобы заполучить цифровые активы жертв. Кроме того, зловред может красть и другие данные, например, содержание сообщений или пароли, если они есть на скриншотах», — объясняют в «Лаборатории Касперского».

Специалисты объясняют, что в AppStore нередко попадаются различные мошеннические приложения, однако это первый случай, когда вирус-троянец заражает приложения в официальном магазине.

Для того, чтобы обеспечить свою безопасность, пользователям смартфонов советуют не хранить в галерее скриншоты с конфиденциальной информацией, в том числе фразы для восстановления к доступам к личным аккаунтам и криптокошелькам.

 

[Alex]

Правительство РФ подготовило масштабное изменение законов для борьбы с кибермошенниками

Комиссия правительства по законопроектной деятельности рассмотрит пакет поправок, направленных на борьбу с телефонными и интернет-мошенниками. В документе предусмотрены меры по блокировке преступных звонков, усилению идентификации пользователей и контролю за телекоммуникационной инфраструктурой.



Вице-премьер Дмитрий Григоренко заявил, что поправки разработаны на основе анализа наиболее распространённых мошеннических схем, включая обман через звонки и сообщения, взломы личных кабинетов и оформление кредитов на чужие паспорта. Власти надеются, что это поможет сократить число преступлений, связанных с кибермошенничеством.

Подробнее о планируемых изменениях законодательства рассказало издание «РБК», которому удалось ознакомиться с текстом поправок. Среди ключевых мер — запрет на использование зарубежных мессенджеров для служебной коммуникации госорганов и банков, обязательная маркировка звонков от организаций и международных номеров, а также введение биометрической идентификации для оформления микрозаймов и выписок из кредитных историй. Кроме того, операторы связи будут обязаны блокировать рекламные рассылки и звонки по запросу абонентов, а госорганы получат доступ к данным операторов для оперативно-разыскной деятельности. Также правки в законодательство запрещают ввоз, продажу, покупку, хранение и использование на территории России абонентских терминалов иностранных спутниковых систем, чья работа в стране запрещена или ограничена.



По данным МВД, за 2023 год число преступлений в сфере информационных технологий выросло на 30%, а за девять месяцев 2024 года — ещё на 16,4%. Около 20% из них связаны с кражами с банковских счетов. В большинстве случаев расследование таких дел приостанавливается из-за сложности установления личности преступников. Новый законопроект предполагает онлайн-обмен информацией между банками, госорганами и цифровыми платформами для оперативного выявления мошеннических схем.

Эксперты положительно оценивают инициативу, но предупреждают, что мошенники постоянно адаптируются к новым ограничениям. Они отмечают, что предложенные меры усилят идентификацию пользователей и безопасность финансовых операций, однако полностью искоренить кибермошенничество крайне сложно. Внедрение новых мер ожидается в 2025–2026 годах.

 

[Alex]

Apple и Google удалили из своих магазинов 20 вредоносных приложений​

Специалисты из «Лаборатории Касперского» обнаружили мобильный вредонос, который получил название SparCat и использовался злоумышленниками с марта 2024 года. Вредоносный фреймворк выявили в приложении для доставки еды в ОАЭ и Индонезии, а позднее в 19 других, не связанных между собой программных продуктах. Компания проинформировала об этом Apple и Google, которые удалили из своих магазинов цифрового контента опасный софт.

​

Специалисты изучили код вредоносного приложения, в результате чего удалось установить, что оно могло захватывать отображаемый на экране текст, а также извлекать информацию из скриншотов. Вредонос сканировал галереи изображений на устройстве жертвы в поисках ключевых фраз, предназначенных для восстановления доступа к криптовалютным кошелькам. Отмечается, что созданное киберпреступниками ПО могло обрабатывать данные на разных языках, включая английский, китайский, японский и корейский. С помощью вредоноса злоумышленники могли получать доступ к криптовалютным кошелькам жертв с целью кражи цифровых активов.

Исследователи уведомили об обнаружении вредоносных приложений Apple и Google. Вскоре после этого представляющие опасность программные продукты были удалены с площадок App Store и «Play Маркет». «Все идентифицированные приложения были удалены из Google Play, а их разработчики заблокированы», — прокомментировал данный вопрос представитель Google. Он также добавил, что пользователи Android-устройств были защищены от известных версий этого вредоноса благодаря функции Google Play Protect.

 

[Alex]

Самая мощная DDos-атака в 2024 году была нацелена на сегмент медиа и ТВ и составила 1,14 Тбит/с

В 2024 году компании в среднем подвергались DDoS-атакам почти каждую неделю. Большая часть пришлась на второе полугодие. В декабре их мощность достигла значения 1 Тбит/с, что совпало с рекордным показателем сентября 2023 года, пишут "Ведомости". На одну российскую компанию в прошлом году в среднем приходилось почти 50 DDoS-атак. Расчет был сделан на основе данных компании Selectel, работающей в сфере ИБ. За весь год было отражено 112 171 DDoS-атаки. Из них 80,7 тыс. пришлось на второе полугодие. Специалисты ИБ-компании RED Security зафиксировали почти 68 тыс. DDoS-атак на веб-ресурсы своих заказчиков. Большая часть также пришлась на второе полугодие.

Самая мощная DDos-атака в прошлом году была нацелена на сегмент медиа и ТВ и составила 1,14 Тбит/с. В октябре хакеры атаковали несколько крупных российских СМИ, включая сервисы ВГТРК. Это привело к перебоям в эфире и оставило зрителей без доступа к новостям и программам на несколько часов. По словам собеседника издания, злоумышленники использовали схему, при которой они смогли не просто проникнуть в системы, но фактически парализовать работу нескольких медиаресурсов.

Чаще всего атаки происходили за счет отправки большого количества запросов в некорректном формате и последующей перегрузки сервера, объясняют специалисты по ИБ. В это время запросы от нормальных пользователей не обрабатываются, и они не могут зайти на сайт или в мобильное приложение атакованного сервиса.

По данным Selectel, максимальную по продолжительности атаку на одного клиента зафиксировали в октябре — 492 часа, или 20 дней.

 

[Alex]

Мошенники «взялись» за цифровой рубль. Как обманывают россиян?​

В интернете всё чаще говорят о внедрении цифрового рубля в повседневную жизнь — но готовятся к этому событию не только добропорядочные граждане. Издание «Известия» опубликовало список уже известных мошеннических схем, которые начали действовать ещё до массового внедрения нового платёжного средства.




По данным источника, злоумышленники начали создавать фишинговые ресурсы, использующие тему цифрового рубля в качестве приманки. К примеру, жертвам обещают «раздачу» денег по несуществующей программе, для доступа к которой просят предоставить личные данные: ФИО, адрес электронной почты и действующий номер телефона.

По словам опрошенных изданием экспертов в области кибербезопасности, эту информацию, скорее всего, мошенники в дальнейшем будут использовать для классических схем «развода».

Кроме того, были зафиксированы обзвоны людей, чьи номера уже были слиты в сеть. Во время звонка жертве рассказывают, что в стране якобы готовится обмен наличных и безналичных денег на цифровые рубли, и предлагают перевести деньги на «безопасный цифровой счёт» — разумеется, принадлежащий мошенникам.



В некоторых случаях человеку предлагают «вложиться» в новый вариант валюты для получения прибыли, или перевести деньги на «цифровой счёт», без которого работодатель якобы не сможет выплачивать зарплату. В обоих случаях жертва лишится своих денег, которые будут переведены на счета злоумышленников через фишинговый сайт.

Эксперты призывают скептически относиться к подобной информации и доверять только официальным источникам: например, сайту ЦБ и банков-партнёров, а также официальных банковских приложений. В любой непонятной ситуации рекомендуется перепроверять информацию: например, связаться с банком или работодателем.

 

[Alex]

Хакер украл $1,4 млрд на бирже ByBit

Криптовалютная биржа ByBit выпустила официальное заявление, в котором признала факт взлома одного из своих «холодных кошельков». В сети уже появились первые подробности о краже, которая стала крупнейшей за всю историю криптовалютного рынка.

«Инцидент произошёл, когда наш холодный кошёлек ETH multisig выполнил перевод на наш тёплый кошелёк. К сожалению, эта транзакция была подделана с помощью сложной атаки, которая замаскировала интерфейс подписания, отобразив правильный адрес и изменив при этом логику смарт-контракта. В результате злоумышленник смог получить контроль над пострадавшим холодным кошельком ETH и перевести его средства на неустановленный адрес», — сообщили в компании.

Холодным кошельком называют аппаратное устройство для хранения криптографических ключей, которое не имеет подключения к интернету и обычно используется для долгосрочного хранения цифровых активов. В официальном заявлении биржа не упомянула размер украденной суммы, но, по данным CoinDesk, хакер похитил 401 346 ETH (около $1,1 млрд) и провёл несколько других операций, с которыми сумма вывода составила примерно $1,46 млрд.

Сообщается, что новый кошелёк, на который были переведены средства, уже продал stETH на сумму около $200 млн и продолжает «светиться» на децентрализованных биржах. Глава ByBit уже заявил, что активы всех клиентов обеспечены, и даже в самом негативном сценарии компания сможет покрыть убытки. Тем не менее после огласки инцидента курс ETH упал примерно на 4%, немного отыграв падение на момент составления новости.

 

[Prince]

Microsoft накрыла банду хакеров, которая обманом заставляла ИИ рисовать неподобающие фейки со знаменитостями​

Microsoft заявила об обнаружении американских и зарубежных хакеров, которые обходили ограничения генеративных инструментов на базе искусственного интеллекта, включая службы OpenAI в облаке Azure, для создания вредоносного контента, в том числе интимных изображений знаменитостей и другого контента сексуального характера. По данным компании, в этой деятельности участвовали хакеры из США, Ирана, Великобритании, Гонконга и Вьетнама.

​

Спойлер

В сообщении сказано, что злоумышленники извлекали логины пользователей сервисов генеративного ИИ из открытых источников и использовали их для собственных целей. После получения доступа к ИИ-сервису хакеры обходили установленные разработчиками ограничения и продавали доступ к ИИ-сервисам вместе с инструкциями по созданию вредоносного контента.

Microsoft предполагает, что все идентифицированные хакеры являются членами глобальной киберпреступной сети, которую в компании именуют Storm-2139. Двое из них территориально находятся во Флориде и Иллинойсе, но компания не раскрывает личностей, чтобы не навредить уголовному расследованию. Софтверный гигант заявил, что ведёт подготовку соответствующих запросов в правоохранительные органы США и ряда других стран.

Эти меры Microsoft принимает на фоне растущей популярности генеративных нейросетей и опасения людей по поводу того, что ИИ может использоваться для создания фейковых изображений общественных деятелей и простых граждан. Такие компании, как Microsoft и OpenAI, запрещают генерацию подобного контента и соответствующим образом ограничивают свои ИИ-сервисы. Однако хакеры всё равно пытаются обойти эти ограничения, что зачастую им успешно удаётся сделать.

«Мы очень серьёзно относимся к неправомерному использованию искусственного интеллекта и признаём серьёзные и долгосрочные последствия злоупотребления изображениями для потенциальных жертв. Microsoft по-прежнему стремится защитить пользователей, внедряя надёжные меры ИИ-безопасности на платформах и защищая сервисы от незаконного и вредоносного контента», — заявил Стивен Масада (Steven Masada), помощник главного юрисконсульта подразделения Microsoft по борьбе с киберпреступлениями.

Это заявление последовало за декабрьским иском Microsoft, который компания подала в Восточном округе Вирджинии против 10 неизвестных в попытке собрать больше информации о хакерской группировке и пресечь её деятельность. Решение суда позволило Microsoft взять под контроль один из основных веб-сайтов хакеров. Это и обнародование ряда судебных документов в прошлом месяце посеяло панику в рядах злоумышленников, что могло установить личности некоторых участников группировки.