Обзор новостей информационной безопасности с 26 января по 1 февраля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Компания F.A.C.C.T предупреждает о новой волне целевых фишинговых атак на пользователей государственных онлайн-сервисов в России.

Схема кампании

1. Злоумышленники рассылают поддельные письма якобы от Минцифры России с требованием срочно установить специальные сертификаты безопасности.

2. Рассылка проводится методом спуфинга, то есть адрес отправителя выглядит как легитимный адрес Минцифры.

3. В письме , что «С 30.01. 2024 у пользователей, не установивших на свои операционные системы сертификаты НУЦ Минцифры РФ, могут возникнуть проблемы с доступом, вплоть до полного его отсутствия, к таким сервисам как: Госуслуги, в онлайн банкинг, государственные ресурсы, и ряд других российских сервисов».

4. Сообщения были оформлены профессионально и выглядели чрезвычайно правдоподобно.

5. В тексте письма содержалась ссылка, при переходе по которой скачивается архив russian_trusted_ca_ms.cer.rar.

6. Внутри архива находились два одинаковых исполняемых файла russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe, маскирующихся под сертификаты безопасности.

7. Вместо сертификата с вредоносного ресурса загружалось шпионское ПО MetaStealer, которое собирает чувствительные данные с компьютера жертвы.

В рамках мошеннической кампании неизвестные рассылают электронные письма о выявлении подозрительных транзакций и активности налогоплательщика от имени ФНС России.

Схема действий мошенников

1. Жертве направляется фальшивое письмо от имени ФНС, в котором указано, что выявлены подозрительные транзации по счетам жертвы.

2. Для урегулирования вопроса следует пройти дополнительную проверку и предоставить сведения по запросу Службы (например, кассовые документы, счета-фактуры, накладные, акты приема-передачи, авансовые отчеты и товаросопроводительные документы).

3. Для прохождения данной процедуры предлагается обратиться к назначенному инспектору, контакты которого содержатся в письме.

4. За бездействие мошенники угрожают заморозить счета налогоплательщика до выяснения обстоятельств.

5. ФНС предупреждает, что не рассылает подобные сообщения и не имеет к ним отношения. Также представители ФНС не совершают телефонные звонки с предложением оплатить налоги онлайн.

Новая киберпреступная группировка Scaly Wolf рассылает фишинговые письма, замаскированные под документы государственных органов, и атакует промышленные и логистические компании из России.

Особенности кампании

1. Для распространения вредоносного ПО злоумышленники рассылают фишинговые письма, имитирующие официальные письма госорганов, в том числе запросы и требования Роскомнадзора, Следственного комитета РФ и Военной прокуратуры РФ, а также судебные постановления и другие предписания регуляторов.

2. Отличительная черта Scaly Wolf — высокий уровень юридической грамотности, с которой составлялись письма и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей.

3. Поверив письму, жертвs следуют содержащимся в них инструкциям и открывают приложенный к письму архива, где якобы содержатся документы.

4. На самом деле в архиве находился стилер White Snake. Он позволяет получать несанкционированный доступ к корпоративной электронной почте, CRM-системам и другим ресурсам.

5. White Snake собирает аутентификационные данные, включая сохраненные в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с зараженного компьютера и обеспечивает удаленный доступ к нему. Программа интегрирована с ботом в Telegram, где злоумышленники получают оповещения о новых зараженных устройствах.

6. Разработчики White Snake запретили её использование в России и СНГ, однако Scaly Wolf сумели отключить функцию инфостилера, которая останавливала работу программы при обнаружении российского или СНГ IP-адреса.

Эксперты Check Point предупреждают о новой квишинговой кампании (фишинг с помощью QR-кодов).

Схема кампании

1. Кампания начинается с поддельного сообщения, содержащего QR-код в теле письма или в PDF-вложении.

2. Встроенная в QR-код ссылка ведет на ресурс, снимающий цифровой отпечаток посетителя.

3. По результатам проверки посетителя переадресовывают на один из вредоносных ресурсов в зависимости от устройства, совершившего переход по стартовой ссылке — Android, Linux или macOS-компьютер.

4. По результатам проверки пейлоад может перенаправить посетителя на фишинговую страницу (например, фейковый вход на сервис Microsoft) либо на страницу со специальным JavaScript-кодом, который загружает процессор устройства пользователя на 100% в качестве меры против попыток обратного инжиниринга.

5. Цель злоумышленников — кража учетных данных или установка вредоносного ПО.

Инциденты

На GitHub в течение нескольких месяцев находился массив конфиденциальных данных компании Binance, содержащий коды, схемы инфраструктуры, внутренние пароли и другую техническую информацию.

Одна из схем показывала взаимосвязь различных частей и зависимостей Binance. В массиве также содержалось множество сценариев и кодов, некоторые из которых, по-видимому, относились к реализации паролей и многофакторной аутентификации. Комментарии к коду были написаны как на английском, так и на китайском языках.

Несколько файлов содержали пароли для систем, обозначенных как «prod», а часть паролей соответствовали серверам AWS, используемым Binance.

Компания Binance смогла добиться удаления данных с GitHub только в конце января, воспользовавшись запросом на удаление по причине нарушения авторских прав.

Неизвестные украли криптовалюту на сумму более 112 млн долларов США у сооснователя блокчейн-проекта Ripple Криса Ларсена (Chris Larsen).

Кража произошла в последних числах января и была обнаружена блокчейн-экспертом ZachXBT, заметившим, что 213 млн Ripple XRP перемещают и пытаются «отмыть» через Binance, Kraken и другие криптовалютные платформы.

Сама Ripple никак не прокомментировала ситуацию, а соучредитель и исполнительный директор проекта Крис Ларсен опроверг в X информацию о том, что сама компания подверглась взлому. Он заявил, что взломали его лично.

В публичном репозитории обнаружен токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.

Токен попал в открытый доступ еще 29 сентября 2023 года. Он предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise. В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании.

Скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию.

Утечка таких данных может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.

Кроме того, утечка ключей API грозит несанкционированным доступом к данным, нарушением работы сервисов и использованием инфраструктуры компании с вредоносными целями.

Эксперты уведомили Mercedes-Benz об утечке токена 22 января 2024 года, а через два дня компания отозвала его, заблокировав доступ всем, кто мог им злоупотреблять.

Автопроизводитель не дал комментариев относительно последствий инцидента, но подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки».

Округ Фултон американского штата Джорджия столкнулся с масштабным сбоем в работе информационных систем из-за кибератаки неизвестной группировки.

Кибератака затронула ряд основных технологических платформ — телефонную систему, судебную систему и налоговую систему. Конкретные сроки восстановления сервисов власти округа пока назвать не могут.

Большинство офисов округа Фултон открыты, но налоговый комиссар не работал в понедельник. Многие другие учреждения работают в ограниченном режиме, пока IT-отдел занимается устранением сбоев. Публичные компьютеры в библиотеках округа не работали в понедельник, но со вторника продолжили свою работу. Местные телеканалы сообщают, что жители столкнулись с массовыми проблемами, когда приходили оспаривать налоги на имущество или посещали автомобильные инспекции.

В Dark Web обнаружены более 1570 скомпрометированных учётных данных клиентов четырёх из пяти крупнейших интернет-регистраторов (RIR), среди которых RIPE, APNIC, AFRINIC и LACNIC. Компрометации избежали лишь ARIN, отвечающий за Северную Америку.

Одно из объявлений о продаже учётных данных

Данные были похищены в результате заражения инфостилерами Azorult, Redline, Vidar, Lumma и Taurus. Эксперты Resecurity уведомили жертв о компрометации их данных и выяснили следующее:

• 45% опрошенных не знали о компрометации своих данных до уведомления;
• 16% уже были в курсе и предприняли необходимые меры безопасности;
• 14% узнали о компрометации, но активировали двухфакторную аутентификацию (2FA) только после уведомления;
• 20% признали необходимость более глубокого расследования инцидента;
• 5% не смогли предоставить обратную связь или найти ответственное лицо в своей организации.

Компания Schneider Electric стала жертвой вымогателей Cactus. От атаки пострадало подразделение, отвечающее за разработку решений в сфере устойчивого развития.

Хакеры похитили из корпоративной сети Schneider Electric терабайты конфиденциальных данных. За возврат доступа к информации и её нераспространение злоумышленники потребовали выкуп, размер которого не сообщается.

Украденные данные могут содержать сведения об инфраструктуре и системах энергопотребления, а также решениях в области автоматизации производства, внедрённых на предприятиях клиентов компании.

Атака нарушила работу облачной платформы Resource Advisor, предоставляющей клиентам Schneider Electric инструменты для мониторинга и анализа энергопотребления. Сбои наблюдаются до сих пор.

Представители Schneider Electric официально подтвердили факт взлома и доступа злоумышленников к данным. При этом в компании подчеркнули, что атака затронула только подразделение по устойчивому развитию и не распространилась на другие системы и инфраструктуру Schneider Electric.

Как сообщают «Утечки информации», на теневом форуме продают дамп базы данных покупателей и заказов предположительно екатеринбургского интернет-магазина обуви «Робек».

В нескольких файлах содержится:

• ФИО,
• телефон (174 тыс. уникальных номеров),
• адрес эл. почты (252 тыс. уникальных адресов),
• адрес,
• пол,
• дата рождения,
• хешированный (MD5 без соли) пароль,
• IP-адрес.

Информация в дампе актуальна на 22.01.2024.

В Telegram продают базы данных клиентов, заказов и сотрудников (водителей) предположительно службы доставки еды «Достаевский» (dostaevsky.ru).

По словам продавцов база разбита на три региона: Санкт-Петербург, Сочи и Москва.

Данные датируются концом июля 2023 года и содержат:

• имя,
• телефон (3,09 млн уникальных номеров),
• адрес эл. почты ( 339,6 тыс. уникальных адресов),
• хешированный (MD5 без соли) пароль,
• адрес,
• дата и время заказа,
• количество заказов и их общую стоимость.

Вымогатели Akira взломали производителя косметических средств Lush.

Хакерам удалось похитить 110 ГБ данных: сканы паспортов и документы компании, связанные с учётом, финансами, налогами, проектами и клиентами. Предполагают, что преступники получили доступ к системе управления персоналом.

Компания признала, что имеет дело с «инцидентом кибербезопасности» 11 января. Вымогатели Akira опубликовали сведения о взломе Lush на своём сайте утечек 25 января. Пока группировка не опубликовала данные, но угрожает сделать это, если не будет выплачен выкуп.

Представители Lush подтвердили факт атаки на «часть IT-систем» компании, заявив о запуске расследования с участием внешних специалистов по безопасности.

Вымогатели Medusa взломали KCATA, оператора общественного транспорта Канзас-Сити из штата Миссури, США.

Сразу после атаки KCATA сообщила о начале расследования с привлечением внешних экспертов. По словам представителей компании, кибератака привела к сбоям в работе региональных колл-центров, но не повлияла на работу транспортных услуг.

Medusa угрожает опубликовать украденные данные, если KCATA не заплатит выкуп в размере 2 млн долларов США. Хакеры предлагают возможность отсрочки платежа за дополнительные 100 тысяч долларов США в день.

KCATA не раскрыла информацию о разновидности вымогательского ПО и не подтвердила утечку данных. В качестве доказательства взлома Medusa разместила образцы якобы украденных у KCATA данных на своём сайте в сети Tor.

Первая грузовая компания (ПГК) внедрила платформу для обучения и тренировок по кибербезопасности Start AWR. За полгода тренировок в Start AWR работники ПГК стали на 70% чаще оповещать подразделение информационной безопасности о предполагаемых атаках и вести себя безопаснее. Об этом CNews сообщили представители компании Start X.
Работники также стали значительно реже переходить по фишинговым ссылками и реже вводить свои данные в фишинговые формы.

Результаты первичного теста на проникновение показали наибольшую уязвимость работников при взаимодействии с фишингом, а также выявили, что большой процент работников использовали одинаковые пароли, в том числе, у локального администратора на серверах и АРМ, при этом некоторые из  сотрудников использовали базовые пароли. Поэтому первым приоритетом для ИБ ПГК была отработка навыков реагирования на фишинговые рассылки и базовое повышение осведомленности о кибербезопасности.

«Согласно исследованию Verzion, 82% инцидентов информационной безопасности в мире в 2022 г. происходили из-за действий сотрудников. В ПГК атаки против персонала стали одним из главных рисков. Потому крайне важно развивать культуру информационной безопасности внутри компании, в том числе, обучать персонал распознавать атаки и правильно на них реагировать», — уточнил Сергей Волдохин, директор по продуктам Start X.

Часть работников уже протестировали свои знания на имитированных целевых атаках в виде корпоративных писем. Например, наиболее органично в привычную коммуникацию ПГК встроились рассылки о проведении корпоративного «Тайного Санты», письмо о закупках, приглашение от «Госуслуг» на тестирование системы ДЭГ.

«Устойчивость работников к кибератакам — один из наших ключевых приоритетов. Основной фокус стоит на комплексном подходе: обучение проходит в связке с тренировками навыков реагирования на фишинг и социальную инженерию. Процесс обучения стал управляемым, есть практический алгоритм проверки знаний и отработки базовых атак. Также, когда в последнем квартале 2023 г. активизировались атаки через мессенджеры, наши работники начали осваивать новый курс “Безопасная работа в мессенджерах”», — поделился руководитель отдела архитектуры и развития информационной безопасности АО «ПГК» Павел Бураго.

Результаты обучения персонала отражаются в рейтинге — так подразделение информационной безопасности выявляет, кто нуждается в дообучении, а также, какие конкретные навыки кибербезопасности следует отработать в первую очередь.

Среди последних направлений обучения — курсы, которые учат работников безопасной удаленной работе; знакомят с тем, как распознавать дипфейки, как придумывать с пароли с высокой защитой и как хранить в безопасности собственные персональные данные.

В дальнейшем ПГК планирует проводить мастер-классы по безопасности для топ-менеджеров и кастомизировать фишинговые рассылки, максимально мимикрируя под привычные сообщения от коллег, например, рассылать сообщения о финансах от бухгалтерии.

АО «Первая грузовая компания» — высокотехнологичная компания, оказывающая полный комплекс услуг грузовой логистики. ПГК перевозит грузы по всей сети железных дорог колеи 1520, оперируя диверсифицированным парком из около 100 тысяч вагонов.

Разветвленная сеть из 14 филиалов ПГК покрывает российский ЖД-полигон от Калининграда до Владивостока. Штаб-квартира компании находится в Москве. На территории Казахстана интересы ПГК представляет компания «ПГК-Центральная Азия».

Обзор новостей информационной безопасности с 19 по 25 января 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты F.A.C.C.T. предупреждают о мошеннической схеме FakeBoss, в ходе которой преступники звонят жертвам, используя подмену голоса и выдавая себя за руководителя организации.

Особенности кампании:

• для генерации фальшивок мошенники используют искусственный интеллект;
• атака актуальна для малого и среднего бизнеса, где многие вопросы решаются напрямую с владельцем компании;
• злоумышленники создают фейковый аккаунт руководителя, как правило, в Telegram. При этом ФИО и фотография используют реальные, взятые с официального сайта, из социальный сетей или «из огромного количества утечек персональных данных»;
• мошенник не пишет сообщения подчиненному, а сразу звонит через мессенджер, используя аудиодипфейк голоса руководителя;
• злоумышленника пытается «войти в доверие и заставить подчиненного, например главного бухгалтера организации, провести платеж на счета преступников»;
• в мошеннической схеме с использованием ИИ для подмены голоса злоумышленникам нужно получить фрагмент речи, который будет использован для обучения нейросети. Хакеры могут, например, записать разговор, зная телефонный номер жертвы, или взломать аккаунт в мессенджере и получить доступ к голосовым сообщениям пользователя.

Телефонные мошенники с помощью социнженерии оформляют заявки на кредиты и микрозаймы через крупнейший финансовый маркетплейс «Банки.ру».

Схема действий преступников

1. Мошенник, располагая некоторыми важными сведениями о жертве, по телефону сообщает ей о поступившем на ее имя письме в МФЦ. Для убедительности называется реальный адрес центра.

2. Мошенник предлагает направить письмо на почту жертвы по месту ее прописки, а затем сообщает, что через СМС ей придет номер отправления.

3. На самом деле это код для подтверждения регистрации на «Банки.ру». Сообщая его, жертва обмана добровольно передает право доступа к финансовой платформе, открывая злоумышленникам возможность действовать от ее имени, в том числе подавать заявки на оформление кредитов и микрозаймов.

4. Используя этот код, злоумышленник через платформу и подаёт в банк или МФО заявление на кредит.

МВД РФ предупреждает о новой мошеннической схеме, реализуемой через систему быстрых платежей.

Схема кампании:

1. Потенциальная жертва, заинтересовавшись дорогостоящим товаром в интернет-магазине, оставляет на сайте заявку на его приобретение.

2. После этого покупателю поступает звонок или сообщение в мессенджере от лица, который представляется сотрудником этого магазина.

3. Он подтверждает, что интересующий товар есть в наличии, и его даже можно приобрести со скидкой, но только при условии оплаты через «Систему быстрых платежей» по QR-коду.

4. В случае согласия злоумышленник присылает в мессенджер ссылку, ведущую на страницу с формой оплаты по QR-коду.

5. Как только доверчивый покупатель подтверждает платеж, деньги отправляются на счёт мошенника.

6. Реализация подобной мошеннической схемы возможна, когда учётные данные модераторов и администраторов таких сайтов скомпроментированы.

Инциденты

Сеть быстрого питания Subway стала жертвой операторов вымогателя LockBit.

Злоумышленники заявили, что им удалось похитить сотни гигабайт конфиденциальных данных и ждут уплаты выкупа до 2 февраля. По истечении этого времени украденная информация будет опубликована.

В сообщении LockBit говорится, что они «выгрузили всю внутреннюю систему Subway, которая включает сотни гигабайт данных и все финансовые ожидания компании, включая зарплаты сотрудников, выплаты роялти за франшизу, обороты ресторанов».

Группировка пока не опубликовала никаких образцов украденных данных. В Subway подтверждают, что знают о заявлениях LockBit и «изучают их обоснованность». Сумма выкупа пока не сообщается.

Британская компания Southern Water, отвечающая за водоснабжение и водоотведение на юге Англии, стала жертвой кибератаки вымогателей Black Basta.

24 января 2024 года хакерская группировка Black Basta опубликовала на своем сайте заявление о взломе компьютерных сетей Southern Water и хищении конфиденциальных данных объемом 750 гигабайт. Среди похищенной информации — паспорта и удостоверения личности сотрудников, а также другие конфиденциальные данные.

Злоумышленники пригрозили обнародовать украденные данные 29 февраля, если не получат от компании выкуп. Сумма выкупа пока неизвестна. В качестве доказательства взлома хакеры опубликовали скриншоты некоторых похищенных файлов.

На хакерском форуме появилось объявление о продаже данных 15 млн пользователей Trello. Дамп содержит email-адреса, имена пользователей, полные имена и другую информацию об учетных записях.

ИБ-исследователи выяснили, что хакер использовал общедоступный API Trello для связывания почтовых адресов с профилями людей.

В Trello сообщили, что данные были получены не в результате взлома систем компании, а путем обычного скапинга публично доступной информации. Злоумышленник воспользовался публично доступным API компании, который позволяет запрашивать публичную информацию о профиле человека на основе Trello ID или имени пользователя.

Он обнаружил, что можно обратиться к API, используя адрес электронной почты, и если существует связанный с ним аккаунт, будет выдана информация об этом профиле.

Чтобы преодолеть ограничение API по скорости на один IP-адрес, злоумышленник рассказал, что закупил прокси для ротации соединений.

Производитель аппаратных криптокошельков Trezor сообщил об утечке данных в результате несанкционированного доступа к стороннему порталу технической поддержки.

Сообщается, что атака затронула email-адреса, номера телефонов и другую личную информацию 66 000 пользователей, которые взаимодействовали со службой поддержки Trezor в период с декабря 2021 года по настоящее время.

Cпециалисты Trezor уже обнаружили 41 случай использования утекших данных: злоумышленники связывались к пользователям, чтобы обманом вынудить их выдать seed для восстановления, необходимый для получения доступа к кошельку.

В частности, злоумышленники рассылают пользователям Trezor письма, похожие на автоматический ответ от службы поддержки, с просьбой раскрыть seed-фразу, состоящую из 24 слов, которая ранее использовалась для настройки устройств Trezor. В фишинговом послании утверждается, что seed необходим только для валидации прошивки и не будет «доступен людям».

Представители компании уже уведомили о случившемся всех потенциально затронутых пользователей, и предупреждают их о начавшихся фишинговых атаках. В компании отмечают, что о случаях успешных атак пока не сообщалось.

Финская хостинговая компания Tietoevry стала жертвой атаки вымогательской группировки Akira. Инцидент произошел в ночь с пятницы на субботу в одном из дата-центров компании в Швеции.

В результате атаки были зашифрованы серверы виртуализации и управления, которые использовались для размещения веб-сайтов и приложений множества шведских компаний. Это привело к масштабным сбоям в их работе.

Среди пострадавших сеть кинотеатров Filmstaden, розничная сеть Rusta, производитель стройматериалов Moelven и сельскохозяйственный поставщик Grangnården. Перестала работать бухгалтерская система Primula, которой пользуются университеты, колледжи и госучреждения Швеции, включая Каролинский институт, Университет Веста и Стокгольмский университет.

В Tietoevry сообщили, что смогли незамедлительно изолировать пострадавшую платформу, поэтому атака затронула только часть шведского дата-центра и не повлияла на другую инфраструктуру компании.

Microsoft стала жертвой кибератаки группировки Midnight Blizzard, которая проникла в несколько корпоративных почтовых аккаунтов компании, в числе которых аккаунты высшего руководства и сотрудников, отвечающих за кибербезопасность и юридические функции.

Примечательно, что хакеры не пытались похитить данные клиентов или конфиденциальные бизнес-сведения. Вместо этого, как сообщает Microsoft, преступники пытались выяснить, что известно Microsoft о группе Midnight Blizzard.

Для взлома использовали атаку «распылением паролей». Это позволило получить доступ к некоторому количеству корпоративных почтовых ящиков. Компания не раскрыла, сколько аккаунтов было взломано и какая именно информация была доступна хакерам.

Атака не была вызвана уязвимостью в продуктах или услугах Microsoft. Нет доказательств того, что злоумышленники получили доступ к средам клиентов, производственным системам, исходному коду или системам искусственного интеллекта.