INC.

Подозреваемый в организации многомиллионной схемы криптоджекинга арестован после масштабного расследования, проведенного Европолом при поддержке Национальной полиции Украины. 29-летний гражданин Украины был задержан на этой неделе в городе Николаеве. Его личность не разглашается в интересах следствия. В ходе операции, помимо задержания, были проведены обыски сразу в трех домовладениях подозреваемого. Улики, собранные во время рейдов, помогут следствию в построении обвинения. Стоит отметить, что расследование стало возможным благодаря сотрудничеству Европола с одним из крупных поставщиков облачных услуг. Именно этот провайдер изначально обратился в европейское полицейское ведомство, сообщив о взломе учетных записей своих клиентов. Затем информация была передана украинским властям. По версии следствия, преступник в течение длительного времени незаконно использовал взломанную инфраструктуру целого ряда организаций для майнинга криптовалют. Таким образом ему удалось добыть криптовалюту на сумму более 2 миллионов долларов. При этом компании-жертвы даже не подозревали о взломе, продолжая как ни в чем не бывало оплачивать услугу. Исследования показывают, что криптоджекеры в среднем получают 1 доллар прибыли из каждых 53, потраченных атакованной компанией на облачные услуги. Несмотря на то, что явление криптоджекинга изучается уже несколько лет, успешные кампании по-прежнему приносят злоумышленникам огромные суммы. Например, в 2022 году группировка TeamTNT получила около 8100 долларов в результате своей преступной деятельности. При этом жертвам пришлось оплатить счета на 430 000 долларов. Строго говоря, определение криптоджекинга подразумевает незаконное использование не только облачных ресурсов, но и любых других мощностей, пригодных для майнинга. Однако если преступники хотят получить максимально быстрый результат, они в первую очередь нацелены на облачные сервисы. Этот арест стал возможен благодаря эффективному взаимодействию правоохранительных органов и частного сектора в борьбе с киберпреступностью. Он демонстрирует важность совместной работы для выявления и пресечения подобных преступных схем. Сейчас мужчина ждет суда, о его местонахождении ничего не известно. Следствие собирает последние данные, чтобы принять справедливые меры.

Японский разработчик игр Ateam Entertainment доказал, что простая ошибка конфигурации Google Диска может привести к потенциальному, но маловероятному раскрытию конфиденциальной информации почти миллиона человек в течение 6 лет и 8 месяцев. Японская фирма является создателем мобильных игр и приложений для производительности. В компания Ateam сообщила пользователям своих приложений и сервисов, сотрудникам и деловым партнерам о своей находке 21 ноября 2023 года. По данным компании, с марта 2017 года для экземпляра компании в Google Диске неправильно установлено значение права доступа «Все в интернете: любой пользователь может найти файл в Google и открыть его, не входя в аккаунт Google». Небезопасно настроенный экземпляр Google Диск содержал 1 369 файлов с личной информацией о клиентах Ateam, деловых партнерах Ateam, бывших и нынешних сотрудниках и даже стажерах и людях, подавших заявки на должность в компании. Компания Ateam подтвердила, что данные 935 779 человек были раскрыты, из них 98,9% — клиенты. Данные, предоставляемые неправильной конфигурацией, различаются в зависимости от типа отношений каждого человека с компанией и могут включать следующее: Полные имена; Адрес электронной почты; Телефонные номера; Клиентские номера; Идентификационные номера терминала (устройства). Компания заявляет, что не видела конкретных доказательств того, что злоумышленники украли раскрытую информацию, но призывает людей сохранять бдительность в отношении нежелательных и подозрительных сообщений. Если установить для файла в Google Диске значение «Все в интернете», файл будет доступен для просмотра только тем, у кого есть точный URL-адрес, обычно предназначенный для совместной работы между людьми, работающими с не конфиденциальными данными. Если сотрудник или другой пользователь, у которого есть ссылка, по ошибке опубликует ее публично, она может быть проиндексирована поисковыми системами и стать общедоступной. Хотя маловероятно, что кто-либо самостоятельно нашел открытый URL-адрес Google Диска, это уведомление демонстрирует необходимость того, чтобы компании должным образом защищали свои облачные сервисы, чтобы предотвратить ошибочное раскрытие данных.

ИБ-компания Arctic Wolf обнаружила вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа. Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца: CVE-2023-41265 (CVSS: 9,9) — уязвимость туннелирования HTTP-запросов (HTTP Request Tunneling), позволяющая удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, где размещено приложение-репозиторий. CVE-2023-41266 (CVSS: 6,5) — уязвимость обхода пути (Path Traversal), которая позволяет неаутентифицированному удаленному злоумышленнику отправлять HTTP-запросы к неавторизованным конечным точкам; CVE-2023-48365 (CVSS: 9,9) — уязвимость удаленного выполнения кода (Remote Code Execution, RCE) без проверки подлинности, возникающая из-за неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов. Стоит отметить, что CVE-2023-48365 является результатом неполного исправления для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 сентября 2023 г. В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных. Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ. Что отличает CACTUS от других операций , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

Группировка вымогателей ALPHV/BlackCat объявила о взломе сети медицинской компании Henry Schein. По утверждениям злоумышленников, они сумели похитить свыше 35 ТБ данных, среди которых оказались чувствительные данные о заработных платах сотрудниках и акционерах. Henry Schein — поставщик решений в области здравоохранения и компания из списка Fortune 500, имеющая операции и филиалы в 32 странах мира и доход более $12 млрд. в 2022 году. 15 октября компания сообщила, что была вынуждена отключить некоторые системы для локализации кибератаки. Отключение систем привело к сбоям в работе производственных и распределительных отделов. Программное обеспечение для управления медицинской практикой Henry Schein One не пострадало от атаки, но компания проинформировала правоохранительные органы о произошедшем и наняла экспертов в области кибербезопасности для расследования и анализа угрозы. Через неделю после сообщения о кибератаке поставщик медицинских услуг призвал клиентов размещать заказы через представителей в Henry Schein или с помощью специальных телефонных номеров. Почти через 2 недели после атаки группировка BlackCat/ALPHV добавила Henry Schein на свой сайт утечек в темной сети, утверждая, что киберпреступники взломали сеть компании и украли 35 ТБ чувствительных файлов. Группировка заявила, что она снова зашифровала устройства фирмы, как только Henry Schein почти закончила восстановление всех своих систем, поскольку текущие переговоры провалились. Стоит отметить, что запись о взломе Henry Schein на сайте BlackCat была удалена, что указывает на возобновление переговоров компанией или уплату выкупа.

GitHub предупредил о распространении кампании социальной инженерии, нацеленной на личные аккаунты сотрудников технологических фирм в сфере блокчейна, криптовалюты или онлайн-игр. Специалисты агентства CISA приписали эту кампанию северокорейской группировке Jade Sleet (TraderTraitor). Группа в основном нацелена на пользователей, связанных с криптовалютой и другими организациями, связанными с блокчейном, но также нацелена на поставщиков этих фирм. Атака начинается с того, что злоумышленник создает поддельные учетные записи (или захватывает существующие) в GitHub и в различных соцсетях и мессенджерах (LinkedIn*, Slack и Telegram)., выдавая себя за разработчика или рекрутера компании. После установления контакта с жертвой злоумышленник приглашает её для совместной работы над репозиторием GitHub и убеждает цель клонировать и выполнить содержимое. Однако репозиторий GitHub содержит ПО, которое включает вредоносные зависимости npm. Некоторые темы программного обеспечения включают медиаплееры и инструменты для торговли криптовалютой. Затем npm-пакеты загружают и запускают вредоносное ПО на устройстве жертвы. Чтобы избежать проверки пакета на вредоносные функции, киберпреступник публикует пакеты только тогда, когда он приглашает жертву в репозиторий. В некоторых случаях злоумышленник может доставить вредоносное ПО непосредственно в мессенджере, минуя этап приглашения/клонирования репозитория. На данный момент все вредоносные аккаунты отключены. Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, специальный троян удаленного доступа (Remote Access Trojan, RAT), который собирает системную информацию, выполняет произвольные команды и загружает дополнительные полезные нагрузки. Ранее использование инструмента Manuscrypt эксперты CISA приписали северокорейской группировке Lazarus.

Специалисты Microsoft обнаружили всплеск атак группировки Midnight Blizzard, сосредоточенных на краже учетных данных. В ходе атак хакеры используют резидентные прокси-сервисы для сокрытия исходного IP-адреса злоумышленников, нацелены на правительства, поставщиков ИТ-услуг, НПО, оборонный и критически важный секторы производства. Midnight Blizzard (Nobelium, APT29, Cozy Bear, Iron Hemlock и The Dukes) привлекла внимание всего мира компрометацией цепочки поставок SolarWinds в декабре 2020 года и продолжает полагаться на незаметные инструменты в своих целевых атаках, направленных на МИДы и дипломатические учреждения по всему миру. В атаках используются различные методы распыления паролей (Password Spraying), брутфорса и кражи токенов. По словам Microsoft, злоумышленник также проводил атаки с повторным воспроизведением сеанса, чтобы получить первоначальный доступ к облачным ресурсам, используя украденные сеансы, которые, вероятно, были приобретены путем незаконной продажи. Эксперты также сообщили, что APT29 использовала резидентные прокси-сервисы для маршрутизации вредоносного трафика в попытке запутать соединения, сделанные с использованием скомпрометированных учетных данных. Хакеры, вероятно, использовали эти IP-адреса в течение очень короткого периода времени, что могло затруднить обнаружение. По данным Центра киберзащиты и противодействия киберугрозам Украины (CERT-UA), в атаках использовались электронные письма с вложениями, использующие многочисленные уязвимости в программном обеспечении веб-почты Roundcube с открытым исходным кодом ( CVE-2020-12641 , CVE-2020-35730 и CVE-2021-44026 ) для проведения разведки и сбора данных.

Исследовательские группы Cisco Talos и Citizen Lab опубликовали технический анализ коммерческого шпионского ПО для Android под названием «Predator» и его загрузчика «Alien». Predator — это коммерческое шпионское ПО для мобильных платформ (iOS и Android), связанное с операциями по шпионажу за журналистами, высокопоставленными европейскими политиками и даже руководителями Meta *. Predator может записывать телефонные звонки, собирать информацию из мессенджеров или даже скрывать приложения и блокировать их запуск на зараженных устройствах Android. Загрузчик Alien В мае 2022 года команда Google TAG раскрыла 5 уязвимостей в Android , которые Predator использовал для выполнения шелл-кода и установки загрузчика Alien на целевое устройство. Alien внедряется в основной процесс Android под названием «zygote64», а затем загружает и активирует дополнительные компоненты шпионского ПО на основе встроенной конфигурации. Alien получает компонент Predator с внешнего адреса и запускает его на устройстве или обновляет существующий модуль на более новую версию, если такая имеется. После этого Alien продолжает работать на устройстве, обеспечивая скрытое взаимодействие между компонентами шпионского ПО, пряча их внутри легитимных системных процессов и получая команды от Predator для выполнения, обходя защиту Android (SELinux). Обход SELinux — это ключевая функция шпионского ПО, отличающая его от инфостилеров и троянов, продаваемых в Telegram по цене $150-300/месяц. Cisco объясняет, что Alien обходит защиту за счет злоупотребления контекстами SELinux, которые определяют, какие пользователи и какой уровень информации разрешен для каждого процесса и объекта в системе, снимая существующие ограничения. Кроме того, Alien прослушивает команды «ioctl» (ввод/вывод) для внутреннего взаимодействия компонентов шпионского ПО, которые SELinux не проверяет. Alien также сохраняет украденные данные и записи в общем пространстве памяти, затем перемещает их в хранилище, в конечном итоге выгружая их через Predator. Этот процесс не вызывает нарушений доступа и остается незамеченным для SELinux. Возможности Predator Predator – это основной модуль шпионского ПО, поступающий на устройство в виде ELF-файла и создающий среду выполнения Python для обеспечения различных функций шпионажа. Функциональность Predator включает: выполнение произвольного кода; запись аудио; подмену сертификатов; скрытие приложений; предотвращение запуска приложений (после перезагрузки); перечисление директорий. Примечательно, что Predator проверяет, работает ли он на Samsung, Huawei, Oppo или Xiaomi. Если да – ВПО рекурсивно перечисляет содержимое директорий, которые хранят пользовательские данные из почтовых приложений, мессенджеров, соцсетей и браузеров. Predator также перечисляет список контактов жертвы и конфиденциальные файлы в папках медиа пользователя, включая аудио, изображения и видео. Predator также подменяет сертификаты для установки пользовательских сертификатов в текущие доверенные центры сертификации пользователей. Это позволяет Predator проводить MiTM-атаки (man-in-the-middle) и шпионить за TLS-зашифрованным сетевым обменом. Cisco отмечает, что Predator осторожно использует эту возможность. ВПО не устанавливает сертификаты на системном уровне, так как это может помешать работе устройства и привлечь внимание пользователя. Пропущенные части Несмотря на такой глубокий анализ компонентов шпионского ПО, исследователи не знают деталей о двух модулях – «tcore» (основной компонент) и «kmem» (механизм повышения привилегий). Оба загружены в среду выполнения Python Predator. Аналитики полагают, «tcore» отслеживает геолокацию цели, делает снимки с камеры или имитирует выключение устройства. В свою очередь, «kmem» предоставляет произвольный доступ на чтение и запись в пространство ядра. Поскольку модули не могут быть извлечены из зараженных устройств, части шпионского ПО Predator всё ещё остаются неизведанными. Predator был разработан компанией Cytrox, которая базируется в Северной Македонии и продает коммерческое шпионское ПО и другие инструменты наблюдения. Компания Cytrox также стоит за другим шпионским ПО под названием Hermit, которое было использовано для взлома смартфонов журналистов и активистов в Индии. Predator не единственное шпионское ПО, которое используется для целенаправленных атак на пользователей с высоким уровнем риска. Другой пример - Pegasus, разработанный израильской компанией NSO Group. Pegasus также может взламывать и отслеживать смартфоны на базе Android и iOS. Pegasus был использован для шпионажа за журналистами, правозащитниками, политиками и бизнесменами в разных странах мира. Apple, один из производителей смартфонов, подвергающихся атакам Predator и Pegasus, запустила новую функцию безопасности под названием «Режим изоляции (Lockdown Mode)» в iOS 16, iPadOS 16 и macOS Ventura. Эта функция блокирует некоторые функции для обеспечения максимальной защиты от «целенаправленных кибератак».

Американский оператор сотовой связи T-Mobile сообщил о новом инциденте безопасности, который стал уже седьмым случаем утечки данных абонентов за последние пять лет. О последнем случае мы писали в январе этого года, тогда утечка затронула 37 миллионов абонентов. Однако на этот раз компания «отделалась малой кровью», ведь пострадали всего 836 абонентов, что поразительно мало на фоне ежедневных новостях о многомиллионных утечках. По словам представителей компании, в марте они обнаружили несанкционированный доступ к своей сети, который начался ещё в конце февраля. Злоумышленники не смогли получить финансовую информацию или историю звонков, но похитили PIN-коды учётных записей и множество других конфиденциальных данных абонентов. «Похищенная информация различалась от клиента к клиенту, но могла включать полное имя, контактную информацию, номер счёта и связанные с ним номера телефонов, PIN-код учётной записи T-Mobile, номер социального страхования, правительственное удостоверение личности, дату рождения, баланс и внутренние коды, которые T-Mobile использует для обслуживания учётных записей клиентов», — пояснил оператор в своём письме . Компания утверждает, что направила письма всем пострадавшим пользователям 28 апреля и автоматически сбросила PIN-коды для их учетных записей. T-Mobile довольно часто сталкивался с компрометацией данных своих абонентов. Первый известный случай произошел в 2018 году, когда два миллиона записей вместе с хешированными паролями оказались в открытом доступе. Год спустя ещё более миллиона клиентов лишились своих данных. В марте и декабре 2020 года произошли еще два нарушения безопасности, а в 2021 году в даркнете были опубликованы 48 миллионов записей клиентов. О шестом случае, произошедшем в январе этого года, мы упомянули в начале новости. Как можно заметить, T-Mobile, по-видимому, не делает никаких выводов из регулярно происходящих киберинцидентов, а общий уровень информационной безопасности компании и используемые защитные методы не представляют для злоумышленников значимого препятствия. Репутация коммуникационного гиганта падает с каждой новой утечкой, разве это не повод сменить текущий подход к безопасности на более эффективный?

Нидерландская футбольная ассоциация стала жертвой кибератаки, в результате которой хакерская группировка Lockbit получила доступ к большому объему данных. Об этом сообщает Sport.pl. Предполагается, что злоумышленники получили доступ к контрактам бывших и настоящих игроков и тренеров, документам по текущим дисциплинарным вопросам, а также к информации о финансовой деятельности ассоциации. На данный момент футбольная ассоциация не приняла решение о том, будет ли она выполнять требования хакеров. Расследование все еще продолжается, и пока оно не завершено, представители ассоциации не будут делать каких-либо заявлений относительно произошедшего. Они также отказываются комментировать вопросы о возможных виновных и их мотивах. Хакерская группа Lockbit уже потребовала выкуп за украденные данные, а в случае отказа обещает опубликовать их в середине следующей недели. Точная сумма выкупа не разглашается, однако, вероятно, она составляет несколько миллионов евро.

Сервис электронной почты компании VK подвёл своеобразные итоги за 2022 год. «Почта Mail.ru» рассказала о работе антифишинг и антиспам систем. По словам компании, жалобы пользователей на спам сократились на 6,5% в 2022 году по сравнению с 2021 годом. Как утверждают разработчики, антиспам система «Почты Mail.ru» использует технологии ИИ, где за распознавание нежелательного контента отвечают «трансформеры» — глубокие модели машинного обучения, содержащие 60 млн параметров.Сисема антиспама ежедневно обучается и в 2022 году блокировала 54,5 млн нежелательных рассылок из 404,5 млн входящих писем в день. Система заблокировала 20 млрд спам-писем. Кроме антиспам системы, в сервисах Mail.ru используются технологии «Лаборатории Касперского», защищающие пользователей от вредоносных вложений в письмах. В 2022 году 500 тысяч писем с вложениями были идентифицированы как вредоносные и заблокированы.

анее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года. «Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos. В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции. Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось. Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.

В течение последних семи месяцев происходят непрекрающиеся атаки на сеть Tor. Временами усилия атакующих были достаточными, чтобы замедлить работу сети или даже полностью отключить доступ к onion-сервисам для некоторых пользователей, утверждают специалисты проекта. Инфраструктура сервиса уже более полугода подвергается атакам со стороны неизвестных злоумышленников, используя DoS-атаки. Команда Tor Project прилагает усилия, чтобы справиться с этой ситуацией, и кроме того, наняла двух новых разработчиков, специализирующихся в области сетевого ПО. Согласно сообщению в блоге проекта Tor, инфраструктура проекта подверглась серии мощных кибератак и невозможно установить мотивы злоумышленников и принадлежность к хакерской группировке. Также указано, что методы и векторы атак злоумышленников постоянно меняются. Команда Tor пытается адаптировать инфраструктуру сети для работы в сложных условиях. Организация обращается к сообществу с призывом помочь в финансировании развития луковой службы за счет пожертвований. Предлагая бесплатные услуги, проект Tor финансируется за счет пожертвований при поддержке Electronic Frontier Foundation (EFF), различных правительственных учреждений США и частных лиц. Напомню, ранее стало известно, что, несмотря на заявленную анонимность сети, ФБР смогло получить информацию об активности потенциального террориста в сети Tor. При этом спецслужбы категорически отказались раскрывать способ взлома.

Генеральная прокуратура Нью-Йорка оштрафовала на сумму $410 000 разработчика шпионского ПО Патрика Хинчи, который с помощью 16 компаний незаконно продвигал свои инструменты наблюдения. Прокуратура также обязала Патрика Хинчи изменить методы маркетинга своих продуктов и информировать владельцев устройств о том, что их телефоны тайно отслеживаются с помощью одного из его многочисленных приложений – Auto Forward, Easy Spy, DDI Utilities, Highster Mobile, PhoneSpector, Surepoint и TurboSpy. Хинчи предоставляд компаниям-клиентам свои шпионские программы, которые позволяют отслеживать телефоны других людей без ведома пользователей. В некоторых случаях они также используются для мониторинга онлайн-активности целей и сбора конфиденциальной информации о пользователях, которая впоследствии может быть использована для шантажа или различных других злонамеренных целей. Эти приложения для наблюдения позволили клиентам Хинчи тайно отслеживать действия других людей на своих мобильных устройствах, включая: местоположение; историю просмотров; журналы вызовов; текстовые сообщения; фотографии и видео; активность электронной почты; чаты WhatsApp и Skype; активность в социальных сетях. Согласно соглашению , некоторые приложения также позволяли пользователю удаленно активировать камеру или микрофон целевого устройства. По словам генерального прокурора, приложения копируют информацию с устройства и передают ее на серверы компании, где она доступна клиенту. Другая услуга позволяет клиентам эксфильтровать данные с целевого сервера iCloud, если у клиента есть доступ к данным для входа. Для рекламы своих программ разработчик создал якобы независимые веб-сайты с обзорами продуктов, на которых публиковались восторженные отзывы о преимуществах использования шпионского ПО. В одном сообщении в блоге утверждалось, что приложение PhoneSpector «позволяет клиенту отслеживать всю телефонную активность целевого пользователя без риска быть уличенным в шпионаже».

Злоумышленник выставил на продажу набор данных размером 84 МБ, который предположительно содержит личные данные 230 000 клиентов компании Puma в Чили. Продавец утверждает, что данные украдены из CMS Puma в Чили, но экспертам не удалось это проверить. База данных включает контактную информацию о клиентах компании: имена клиентов; адреса электронной почты; номера телефонов; адреса для выставления счетов и доставки. Данные также содержат подробную информацию о покупках клиентов: номера заказов; способы оплаты; общую сумму потраченных средств; стоимость доставки; доступные персональные скидки. Представители Puma сообщили, что компания расследует утечку данных, чтобы установить причину утечки и определить - какие именно данные были утеряны.

Исследователи Trend Micro предупреждают, что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike. В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО. ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.

Инцидент произошел в ходе тестирования ботнета, построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета. Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей. Но почему ботнет удалось отключить одной командой? Как говорят исследователи Akamai, причины всего две: Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером. Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.

Согласно последним сообщениям специалистов Avast, с начала 2022 года участились атаки с использованием вредоносного расширения для браузера Google Chrome под названием "VenomSoftX", который похищает содержимое буфера обмена. Как удалось выяснить экспертам, этот аддон является частью JavaScript-трояна ViperSoftX, крадущего пароли и криптовалюту. Известно, что ViperSoftX тихо существовал с 2020 года, ведь ранее о трояне сообщали исследователи из Cerberus и Colin Cowie. Кроме того, ему был посвящен отдельный отчет компании Fortinet. А в новом отчете Avast Threat Labs специалисты раскрыли дополнительные сведения о функциональности вредоноса и расширения VenomSoftX. Кроме того, в отчете сообщается, что с начала 2022 года специалисты Avast обнаружили и пресекли около 93 000 попыток заражения ViperSoftX. Основная часть зараженных пользователей находилась в США, Италии, Индии и Бразилии. Основным каналом распространения ViperSoftX являются торрент-файлы с “кряками” для игр и активаторы платного ПО. Адреса криптокошельков злоумышленников жёстко закодированы в образцах ViperSoftX и VenomSoftX. Всего таких кошельков нашлось два, на момент 8 ноября 2022 года в них хранилось 130 тысяч долларов. Ключевая функция ViperSoftX – установка аддона VenomSoftX для браузеров Chrome, Brave, Edge и Opera. Расширение маскируется под якобы полезное приложение “Google Sheets 2.1“. Известно, что VenomSoftX умеет модифицировать HTML-код на веб-сайтах и перенаправлять транзакции в криптовалюте на кошельки операторов вредоноса. Кроме самой валюты, троян может спокойно похищать пароли пользователей. Кроме того, расширение способно перехватывать API-запросы к криптосервисам, чтобы собрать информацию об активах жертвы.

Сообщение о краже данных у Kingfisher появилось на сайте LockBit в понедельник. Хакеры заявили, что похитили 1,4 ТБ данных компании, включая личные данные сотрудников и клиентов. Kingfisher – один из крупнейших в мире DIY-ритейлеров (ритейлер, занимающийся продажей товаров для дома, сада и ремонта). Штаб-квартира компании находится в Лондоне, а магазины расположены в 9 странах мира. Штат сотрудников насчитывает 77 тыс. человек. Ежегодный оборот Kingfisher составляет $14,9458 млрд. Компания признала, что злоумышленники получили доступ к ее IT-системам, хотя и отрицает заявленный хакерами объем украденных данных. Сейчас Kingfisher работает с независимыми ИБ-специалистами над оценкой последствий кибератаки. Согласно заявлению представителя компании, злоумышленники просто не могли похитить 1,4 ТБ данных с указанных ими серверов, подтверждая это отчетами специалистов. Внутреннее расследование Kingfisher тоже принесло хорошие новости – на данный момент бизнес-операциям компании ничего не угрожает. Напомню, совсем недавно группировка LockBit нанесла удар по японской компании Oomiya. Эта кибератака могла затронуть цепочки поставок партнеров Oomiya.

Автоконцерн Ferrari подтвердил наличие своих внутренних документов в Интернете, но заявил, что у него нет доказательств кибератаки. Ferrari расследует утечку внутренних документов и объявила, что примет все необходимые меры. Компания могла подвергнуться атаке программы-вымогателя, но производитель автомобилей заявил, что у него нет доказательств компрометации систем, а также добавил, что бизнес и операции компании не пострадали. Об инциденте первый сообщил итальянский новостной сайт Red Hot Cyber . По словам журналистов, банда вымогателей RansomEXX на своем сайте утечки заявила, что взломала IT-системы Ferrari и украла 6,99 ГБ данных, включая внутренние документы, базы данных, руководства по ремонту и т. д. Источник этих документов до сих пор не известен. Предположительно, RansomEXX стоит за кибератакой на крупнейшую в Бразилии сеть магазинов одежды Lojas Renner , в результате которой некоторые IT-системы оказались недоступны.

Согласно новой версии сообщения об инциденте, выпущенной 15 сентября от имени Карима Туббы, генерального директора LastPass, злоумышленник имел доступ к системам разработки менеджера паролей не более четырех дней, после чего был отключен. Кроме того, по результатам расследования, проведенного совместно с Mandiant, нет никаких доказательств того, что киберпреступник получил доступ к данным пользователей или зашифрованным хранилищам паролей. Также удалось узнать, что атака началась со взлома системы одного из разработчиков, за которого хакер себя и выдавал, осуществив вход с использованием многофакторной аутентификации. Однако, несмотря на это, злоумышленник не сумел получить доступ к личным данным клиентов, так как LastPass использует особый системный дизайн и модель нулевого доверия, т.е. разделяет среды разработки и производства, а также не позволяет получить доступ к хранилищам паролей клиентов без мастер-пароля, установленного пользователями. Анализ исходного кода и сборок тоже принес хорошие новости – эксперты не обнаружили каких-либо следов внедрения вредоносного ПО. И последнее, но не по значению: LastPass привлекла ведущую фирму по кибербезопасности, которая должна развернуть расширенные средства контроля безопасности, включая дополнительные средства контроля и мониторинга рабочих мест, а также дополнительные системы для защиты исходного кода и сред разработки.

Центр стратегических разработок (ЦСР) предложил ввести отдельное регулирование невзаимозаменяемых токенов (NFT) и лиц, которые обеспечивают синхронность и непротиворечивость перехода токенизированных вещных прав и записей об их учете в блокчейне, сообщают «Ведомости». О такой инициативе говорится в докладе центра «Виртуальные активы: NFT и виртуальные предметы в компьютерных играх и метавселенных». ЦСР рекомендовал создать отдельную регуляторику для NFT в силу отсутствия в российском законодательстве четкого определения и правовых режимов. В докладе также рассматривается правовое регулирование в отношении виртуальных предметов в компьютерных играх и метавселенных модели play-to-earn. В Банк России такой доклад не поступал, сказал "Ведомостям" представитель регулятора. Но вопросы регулирования отдельных видов NFT могут быть решены в рамках закона об инвестиционных платформах, добавил он: эти вопросы ЦБ планирует в ближайшее время проработать с участниками финансового рынка. Контуры понятия NFT и его правовой режим до сих пор не очевидны, отмечает ЦСР. Поэтому в первую очередь необходимо внести изменения в статью о цифровых правах Гражданского кодекса (ГК) и указать там, что понятие цифровых прав может охватывать токены, которые не предусмотрены в законе. По мнению авторов доклада, это позволит без изменения общей статьи об объектах гражданских прав подчеркнуть допустимость выпуска и обращения NFT, пишут "Ведомости". Если NFT будет определяться в соответствии с ГК как «иное» имущество, то для Налогового кодекса токены будут признаваться имуществом и, соответственно, товарами, поэтому они не будут облагаться налогом при покупке и майнинге. Однако NFT могут подлежать налогообложению НДС без введения специальных положений в Налоговый кодекс. Для отдельного регулирования токенизированных вещных прав ЦСР предлагает в качестве одного из вариантов введение агента, функционально подобного эскроу-агенту. Такой агент может следить за сохранностью токенизированных вещей и по итогу обеспечивать синхронизацию внесения изменений в блокчейне с переходом вещных прав.

Специалистам из TAG удалось связать бывших участников группировки Conti с UAC-0098 (такой идентификатор получила группировка от CERT-UA) с помощью анализа их методов и фишинговых кампаний, направленных на украинское правительство, организации, а также различные европейские гуманитарные и некоммерческие организации. В своем блоге специалисты сообщили, что ранее UAC-0098 использовала банковский троян IcedID для проведения вымогательских атак, но потом резко начала заниматься фишинговыми атаками, выступая в роли брокера начального доступа для других киберпреступников. Кроме того, TAG предоставила два признака, связывающие UAC-0098 с Conti: В атаках UAC-0098 использует скрытый бэкдор, доступный только тем группировкам, которые работают с Conti; UAC-0098 использует C&C-инструмент, разработанный Conti. В ходе недавних кампаний группировка рассылала фишинговые письма ряду крупных сетей украинских гостиниц, выдавая себя за Киберполицию Украины. Кроме того, хакеры пытались выдать себя за представителей Starlink, отправляя письма со ссылками на установщики вредоносных программ, замаскированные под ПО, необходимое для подключения к интернету через системы Starlink. Не стоит забывать и про нашумевшую Follina – UAC-0098 использовала эту уязвимость в своих атаках, однако TAG неизвестно, что злоумышленники делали после взлома систем с ее помощью. Подводя итоги, исследователи Google отметили, что границы между различными хакерскими группировками в Восточной Европе очень размыты. По их мнению, это является показателем того, как часто хакеры адаптируются под различные геополитические ситуации в данном регионе.

Ведущая гостиничная компания InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) 5 сентября подверглась кибератаке, которая привела к отключению некоторых IT-систем компании. Системы бронирования IHG и другие сервисы были сильно повреждены и не работают на данный момент. IHG Hotels & Resorts наняла сторонних специалистов для расследования инцидента, а также уведомила соответствующие регулирующие органы. IHG рассказала об атаке в своем заявлении , поданном в Лондонскую фондовую биржу 6 сентября. Хотя компания не раскрыла никаких подробностей о характере атаки, в своем сообщении она упомянула, что работает над восстановлением пострадавших систем и оценкой масштаба кибератаки. Однако, по словам экспертов это может быть атака программы-вымогателя. IHG заявила, что отели IHG по-прежнему могут работать и принимать заказы напрямую. API-интерфейсы компании не работают и показывают ошибки HTTP 502 и 503. Кроме того, клиенты не могут войти в систему, а в приложении IHG отображается ошибка.

Криптовалютная платформа Tornado Cash попала под санкции Минфина США. Об этом сообщается на сайте американского ведомства. В сообщении говорится, что работа данной платформы была заблокирована ввиду того, что она использовалась в отмывании миллиардов долларов, а также для обхода санкций против КНДР. Блокчейн-протокол, работающий в сети Ethereum, Tornado Cash позволяет повысить конфиденциальность транзакций, скрывая связь между источником и получателем токенов. Однако сервис часто используется хакерами при выведении средств с атакованных проектов. По данным Минфина США, с 2019 года сервис использовался для отмывания виртуальной валюты на сумму более $7 млрд. В эту сумму входит более $455 млн, которые были украдены Lazarus Group, спонсируемой КНДР хакерской группой, против которой США ввели санкции в 2019 году. Пpeдcтaвитeли кpиптoвaлютнoй индуcтpии ocудили ввeдeниe caнкций пpoтив микcepa Tornado Cash. Paзpaбoтчик Ethereum Пpecтoн Baн Лун cчитaeт, чтo блoкиpoвкa cepвиca лишeнa здpaвoгo cмыcлa. Пo eгo мнeнию, Tornado Cash — этo вceгo лишь инcтpумeнт, кoтopый мoжнo иcпoльзoвaть кaк для плoxиx, тaк и для xopoшиx цeлeй.

Впервые суд постановил заблокировать браузер в 2017 году, но блокировать начали только спустя 4 года. Однако в мае 2022 году решение было отменено из-за нарушения нормы процессуального права во время рассмотрения дела в первый раз. Вчера Ленинский районный суд Саратова удовлетворил новое требования прокуратуры Саратовского района по делу сайта проекта сети Tor в России. Об этом сообщается на сайте суда. По мнению суда Tor Browser «содержит информацию, запрещённую к распространению на территории РФ», а также позволяет получить доступ к контенту, который «способствует совершению уголовных преступлений». Tor Browser позволяет устанавливать анонимное соединение с сайтами, а также подключаться к скрытым сайтам в зоне .onion. Как сообщила юрист правозащитной организации «Роскомсвобода» Екатерина Абашина, представлявшая интересы разработчиков браузера, Суд проигнорировал определения из федерального закона «Об информации» и «согласился с позицией Роскомнадзора о том, что информация, приложение и технология — это одно и то же», сказала госпожа Абашина. Такая интерпретация, по словам юриста, противоречит и фактическому устройству интернета. Требование к Google об удалении приложения из магазина 26 июля было выделено в отдельное производство, дело Tor по существу дальше слушалось без него, добавила она.