Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Антифишинг-дайджест № 256 с 14 по 20 января 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Злоумышленники в США используют QR-коды для кражи у граждан денег и персональных данных.

Схема обмана

  1. Преступники подменяют QR-код на свой.
  2. Жертва сканирует его и попадает на вредоносный сайт, где требуется ввести логин и пароль, а также различные финансовые сведения.
  3. Если человек передаёт эти данные, у преступников появляется доступ к счетам жертвы.

В этой связи ФБР рекомендовало американцам не загружать приложения для считывания QR-кодов, а при сканировании кода на физическом носителе проверять, не был ли он подменён — например, не наклеен ли один QR-стикер поверх другого.

Атаки и уязвимости

В сервисе для видеоконференций Zoom обнаружены уязвимости, которые могут привести к удалённой компрометации клиентов и MMR-серверов.

Первая из уязвимостей представляет собой переполнение буфера и затрагивает как Zoom-клиент, так и Zoom Multimedia Routers. Вторая приводит к утечке информации и затрагивает MMR-серверы.

Кроме этих уязвимостей специалисты обращают внимание на небезопасную реализацию механизма Address Space Layout Randomization (ASLR), предназначенного для защиты от повреждения памяти. Выявленные уязвимости особенно опасны в тот момент, когда серверы MMR запрашивают аудио- и видеоконтент. Успешная эксплуатация может привести к прослушиванию видеоконференций и деловых переговоров.

В SAP NetWeaver AS ABAP и ABAP Platform обнаружена уязвимость, которую злоумышленники могут использовать для запуска атак на цепочки поставок.

Уязвимости присвоили идентификатор CVE-2021-38178 и 9,1 балла по шкале CVSS. Источник проблем — некорректная авторизация, которая позволяет вмешиваться в транспортные запросы. Стандартные развёртывания SAP включают программу, позволяющую сотрудникам с определённым уровнем авторизации менять атрибуты заголовка в транспортных запросах SAP. Таким образом, киберпреступник или инсайдер с соответствующими правами могут изменить статус запросов с «Released» на «Modifiable». Более того, злоумышленник может добавить вредоносную нагрузку для запуска после импорта в целевую систему, что открывает возможность для атак на цепочки поставок.

Обнаружена критическую уязвимость в биометрических считывателях IDEMIA, которые используются для организации контроля доступа в крупнейших финансовых учреждениях мира, университетах, организациях здравоохранения и на объектах критически важной инфраструктуры.

Проблема получила идентификатор VU-2021-004 и оценку 9,1 балла по шкале оценки уязвимостей CVSS v3.

Используя уязвимость, злоумышленник мог удаленно без аутентификации использовать следующие команды:

  • trigger_relay для открытия двери или турникета, если терминал непосредственно управляет ими;
  • terminal_reboot, чтобы вызвать отказ в обслуживании.

Уязвимость присутствует в следующих устройствах:

  • MorphoWave Compact MD;
  • MorphoWave Compact MDPI;
  • MorphoWave Compact MDPI-M;
  • VisionPass MD;
  • VisionPass MDPI;
  • VisionPass MDPI-M;
  • SIGMA Lite (все версии);
  • SIGMA Lite+ (все версии);
  • SIGMA Wide (все версии);
  • SIGMA Extreme;
  • MA VP MD.

В децентрализованном протоколе Multichain была обнаружена уязвимость, позволявшая злоумышленникам украсть криптоактивы пользователей.

Хотя разработчики протокола оперативно исправили уязвимость, пользователям необходимо отозвать разрешение на работу с протоколом в своих кошельках. Далеко не все пользователи сделали это оперативно, что позволило хакерам украсть криптоактивы на 1,34 млн долларов США.

Эксперты предупреждают, что пользователи, которые одобрили WETH, PERI, OMT, WBNB, MATIC и AVAX на платформе Multichain, теперь находятся в группе риска. Чтобы избежать потерь им следует отменить все одобрения, выданные указанным токенам, чтобы они могли защитить свои криптовалютные активы.

Уязвимость в механизме многофакторной аутентификации (MFA) облачного сервиса The Box позволяла обойти процесс SMS-верификации на платформе.

Сервис Box позволяет клиентам, не использующим технологию единого входа (Single Sign-On), защитить свои учетные записи с помощью приложения для аутентификации или двухфакторной аутентификации на основе SMS.

При авторизации в аккаунте платформа устанавливает сессионный cookie-файл и переадресовывает пользователя на форму, где необходимо ввести либо одноразовый пароль (TOTP), сгенерированный аутентификатором (MFA-верификация), либо код из SMS-сообщения (двухфакторная аутентификция).

Как обнаружили исследователи, Box допускает «путаницу MFA-режимов», что позволяет обойти многофакторную аутентификацию на основе SMS: при авторизации в учетной записи с включенной верификацией по SMS злоумышленник может инициировать MFA-аутентификацию по TOTP и указать одноразовый пароль из подконтрольного ему приложения-аутентификатора.

Уязвимость заключалась отсутствии проверки на предмет того, была ли включена MFA-защита на основе TOTP в аккаунте, в котором пытались авторизоваться, и действительно ли приложение-аутентификатор было с связано с данной учетной записью.

Инциденты

Гуманитарная организация «Международный комитет Красного Креста» стала жертвой кибератаки, в результате которой произошла утечка личной информации 515 000 человек.

Похищенные данные принадлежали участникам программы «Красного Креста» под названием «Восстановление семейных связей», целью которой является воссоединение членов семьи, разделенных из-за вооруженных конфликтов, природных катастроф или миграции.

Украденные злоумышленниками данные были собраны как минимум 60 различными филиалами Красного Креста и Красного Полумесяца по всему миру и содержали имена, местоположение и контактную информацию пропавших людей и их семей, а также оставшихся без попечительства или разлученных с семьей детей, которым помогает «Красный Крест»

Cайт OpenSubtitles, предоставляющий любителям кинематографа бесплатные субтитры, сообщил о взломе и утечке данных. Чтобы скрыть инцидент, владельцам ресурса пришлось заплатить злоумышленникам выкуп в криптовалюте.

В утечке содержатся данные 6 783 158 пользователей, зарегистрированных на ресурсе. Киберпреступникам удалось добраться до адресов электронной почты, никнеймов и MD5-хешей паролей.

Представители OpenSubtitles сообщили, что создали сайт в 2006 году, имея слабое представление о кибербезопасности, поэтому пароли хранились в MD5-хешах без соли. Это значит, что большинство украденных паролей будет легко раскодировать..

Администраторы OpenSubtitles заверили, что разработчики обновили код для лучшей защиты аккаунтов. Пользователям рекомендуется поменять пароли на ресурсе. Платёжные данные хранились за пределами веб-площадки, злоумышленники не смогли до них добраться.

Криптовалютная платформа Crypto.com временно приостановила снятие средств после того, как «небольшое количество пользователей сообщили о подозрительной активности на своих счетах».

Действия администрации стали ответом на несколько «краж», о которых сообщили клиенты. В частности, создатель криптовалюты Dogecoin (DOGE) Билли Маркус (Billy Markus) обнаружил ряд подозрительных транзакций с помощью сервиса Etherscan.

По словам пользователя Бена Баллера (Ben Baller), его учетная запись была взломана , и он лишился 4,28 Ether (около 15 тыс. долларов США). Баллер использовал двухфакторную аутентификацию, поэтому предполагаемые преступники, должно быть, обошли защитные решения Crypto.com.

Эксперты сообщили, что в общей сложности преступники похитили у Crypto.com примерно 15 млн долларов США. Половина украденных денег уже «отмыта» через сервис Tornado Cash.

Бренд Moncler сообщил об утечке данных в результате кибератаки вымогательского ПО AlphaV (BlackCat) в конце декабря 2021 года.

Хотя специалистам удалось пресечь кибератаку, она повлияла на работу IT-сервисов компании, которые пришлось временно отключить.

В заявлении компании говорится, что операторы вымогательского ПО AlphV/BlackCat разместили в даркнете данные о бывших и текущих сотрудниках компании, поставщиках, консультантах и бизнес-партнерах. Причиной публикации сведений послужил отказ модного бренда платить требуемый вымогателями выкуп в размере 3 млн долларов США.

Согласно сообщению компании, платежные данные клиентов в результате атаки не пострадали, поскольку Moncler не хранит такую информацию в своих системах.

 49   2 дн   дайджест   фишинг

Антифишинг-дайджест № 255 с 1 по 13 января 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Компания Group-IB обнаружила более 50 различных схем фальшивых инвестпроектов и более 8 000 доменов, связанных с мошеннической инфраструктурой.

Желающим быстро разбогатеть предлагают вкладываться в криптовалюты, покупку акций нефтегазовых компаний, золото, фармацевтику и другие «активы». На деле все оборачивается хищением денег свежеиспеченных инвесторов или данных их банковских карт. Большинство исследованных кейсов являются технически новыми «гибридными схемами». В них наряду с традиционным фишингом используются фейковые мобильные приложения-терминалы, а так же звонки «личных консультантов».

Схема кампании:

1. Массированная реклама в социальных сетях, в которой известные предприниматели, политики или амбассадоры брендов «предлагали» частным вкладчикам участие в сверхдоходных инвестиционных проектах. Чаще других в фальшивых постах фигурировал создатель Telegram Павел Дуров, который якобы «вопреки запретам» создал для россиян блочкейн-платформу «Gram Ton» — «оплот цифрового сопротивления».

2. В рекламных постах мошенники нелегально использовали изображения Дурова и три откровенно популистских сюжета мошенничества:

  • «Альтернатива банкам» — о появлении новой финансовой платформы, позволяющей получать инвесторам невероятные доходы;
  • «Недра — народу!» — о «нацпроектах» по освоению сверхдоходов от торговли нефтью и газом;
  • «Финансы для людей» — о допуске к «закрытым» для большинства инвест-инструментам реальных финансовых организаций.

3. В качестве оформления лендингов и рекламных постов с призывами инвестировать в сомнительные проекты злоумышленники нелегально использовали стилистику популярных новостных ресурсов, таких как «Россия-24», Russia Today или РБК.

4. Как только начинающий инвестор клюет на «приманку», его направляют на сайт-опросник от «известного банка» или на красочные лендинги-одностраничники инвестпроекта. Как правило, все они связаны с торговлей «криптой», фиатными валютами, драгметаллами, полезными ископаемыми, природными ресурсами, фармацевтикой. Практически каждый из проектов обещает фантастические заработки — в 300 000 до 10 000 000 рублей в месяц. Задача мошенника — заставить жертву поверить в инвестпроект, чтоб та оставила свои контактные данные для связи с «личным консультантом».

5. Рассказав по телефону про уникальный проект, где якобы специальная программа-бот помогает зарабатывать деньги на торгах, «консультант» предлагает пользователю зарегистрироваться в системе и внести депозит от 250 долларов США. Если клиент сомневается, ему могут посоветовать забронировать место в проекте, внеся аванс, например, в размере 10 000 руб через популярный обменник криптовалют.

6. При подключении к системе в «личном кабинете» будущему инвестору демонстрируют успешные результаты торговли, рост его сбережений, но за красивыми цифрами скрывается пустота — все эти инвестпроекты не предполагают снятие средств, только зачисление.

7. В некоторых случаях менеджер просит сообщить данные банковской карты, с помощью которой потенциальный «участник» планирует делать инвестиции, и якобы отправляет запрос в банк на одобрение внесения депозита. На самом деле деньги просто списываются со счета.

Атаки и уязвимости

В модуле KCodes NetUSB, который используется в миллионах роутеров, обнаружена критическая уязвимость CVE-2021-45608, позволяющая злоумышленникам удалённо выполнить код на уровне ядра.

KCodes NetUSB представляет собой модуль ядра Linux, позволяющий устройствам в локальной сети получать доступ к подключённой к роутеру USB-периферии.

Уязвимости присвоен уровень опасности 9,8 из 10 по шкале CVSS.

Злоумышленники могут использовать уязвимость macOS CVE-2021-30970, чтобы обойти технологию Transparency, Consent, and Control (TCC) и получить доступ к защищенным пользовательским данным.

Уязвимость получила название powerdir и связана с технологией TCC, предназначенной для блокировки доступа приложений к конфиденциальным пользовательским данным. Это позволяет пользователям macOS настраивать параметры конфиденциальности для приложений и устройств, подключенных к их компьютерам Mac, включая камеры и микрофоны.

Хотя Apple разрешила доступ к TCC только приложениям с полным доступом к диску и настроила функции для автоматической блокировки неавторизованного выполнения кода, исследователи Microsoft обнаружили, что злоумышленники могут внедрить в систему вторую, специально созданную БД TCC, которая позволит им получить доступ к защищенной информации.

Разработана атака NoReboot, с помощью которой вредоносное ПО для iOS может закрепляться на зараженном устройстве, имитируя процесс его выключения. При этом невозможно опередить включен iPhone или нет, а вредонос получает возможность шпионить за жертвой.

Эксперты обнаружили, что могут заблокировать устройство, а затем имитировать перезапуск iOS, сохранив доступ для своего вредоносного ПО к зараженной системе.

NoReboot работает следующим образом: используется подключение к SpringBoard (приложение Apple iOS UI, оно же Home Screen) и Backboardd (демон, стоящий за SpringBoard) для обнаружения и перехвата команды перезагрузки телефона (например, посредством нажатия кнопки уменьшения громкости + кнопки питания). Затем происходит отключение SpringBoard UI вместо завершения работы ОС.

Это оставляет экран iPhone без пользовательского интерфейса, имитируя состояние выключенного устройства. Чтобы устройство не звонило и не вибрировало, NoReboot отключает обратную связь 3D Touch, светодиодные индикаторы камеры, а также вибрацию и звук для любых входящих вызовов или уведомлений.

Демонстрация атаки NoReboot

19-летний хакер из Германии, Дэвид Коломбо, получил доступ к некоторым функциям 25 автомобилей Tesla в 13 странах по всему миру.

Доступ был получен не из-за уязвимости в инфраструктуре Tesla, а из-за использования владельцами сторонних сервисов и ключей API.

Используя полученный доступ, хакер может отключить режим Sentry Mode, открыть двери, открыть окна и запустить силовой агрегат при помощи дистанционного управления без ведома водителя. Он также может видеть точное местоположение машины. Хакер подтвердил изданию Drive Tesla, что по крайней мере один из «захваченных» экземпляров находится в Китченере, Онтарио.

Хак-группа FIN7, управляющая шифровальщиками Darkside и BlackMatter, рассылала вредоносные USB-устройства американским компаниям в надежде заразить их системы и получить точку входа для атак.

Существует два варианта таких посылок:

  • имитация сообщений от HHS (Министерство здравоохранения и социальных служб США), к которым приложены письма со ссылками на рекомендации по защите от COVID-19, указывающими обратиться к приложенной USB-флешке.
  • имитация посылки от Amazon в подарочной упаковке с поддельным благодарственным письмом, фальшивой подарочной картой и USB-устройством.
    В обоих случаях отправления содержали USB-устройства марки LilyGO.

Если жертва подключала такой «подарок» к своим ПК, выполнялась атака типа BadUSB, в ходе которой устройство использовало HID, регистрировало себя как клавиатуру и передавало серию предварительно заданных нажатий клавиш машине пользователя.

Эти нажатия клавиш запускали команды PowerShell, которые уже загружали и устанавливали различные вредоносные программы, действовавшие как бэкдоры. Получив административный доступ, хак-группа атаковала другие локальные системы.

Инциденты

Кибервымогательская группировка Lapsus$ атаковала бразильскую фирму Localiza, которая предоставляет автомобили в аренду в Латинской Америке.

«Мы объявляем Localiza своей жертвой. Она была одной из крупнейших арендодателей автомобилей в Латинской Америке/мире. Теперь это порносайт», — сообщила Lapsus$ в своем Telegram-канале.

Во время атаки посетители сайта Localiza в течение полутора часов переадресовывались на порносайт. Компания восстановила доступ к домашней странице localiza.com в тот же день, однако часть функций по-прежнему оставалась недоступной.

Хакеры с помощью социальной инженерии заставили сотрудников техподдержки производителя видеоигр Electronic Arts передать им чужие учетные записи FIFA.

Представители компания сообщают, что похищено менее 50 учетных записей.
Судя по  опубликованным скриншотам учетные записи были похищены после того, как злоумышленники связались с техподдержкой EA через чат и, притворившись законными владельцами, заявили о смене привязанного электронного адреса. Мошенники продолжали настаивать на своём до тех пор, пока один сотрудник техподдержки не пренебрег формальными процедурами и не перепривязал электронные адреса без дополнительной проверки личности пользователей.

В связи со случившимся было решено провести повторное обучение сотрудников техподдержки «с уклоном в безопасность учетных записей и фишинговые техники, использовавшиеся конкретно в этом случае».

Арестован гражданин Италии, который более пяти лет занимался фишингом, с помощью которого выдавал себя за представителя издательского бизнеса и похищал у жертв рукописи неопубликованных книг.

С августа 2016 года преступник зарегистрировал более 160 доменов с именами, похожими на настоящие названия литературных агентств и издательств. После этого он создал email-адреса для этих доменов, имитировавшие ящики реальных людей, которые работают в вымышленных компаниях.

Фишеру удалось похитить рукописи и другие тексты у таких авторов, как Маргарет Этвуд, Стиг Ларссон, Салли Руни и актер Итан Хоук.

Хакеры взломали горячий кошелек зарегистрированной в Лихтенштейне биткоин-биржи LCX и похитили токены стандарта ERC-20 на 7 млн долларов США.

Взлом был впервые обнаружен PeckShield, компанией по обеспечению безопасности блокчейна, на основании подозрительной передачи токенов ERC-20 из LCX в неизвестный кошелек Ethereum (ETH).

Криптовалютная биржа LCX из Лихтенштейна подтвердила компрометацию одного из своих горячих кошельков после временной приостановки всех операций ввода и вывода средств на платформе.

 101   9 дн   дайджест   фишинг

Антифишинг-дайджест № 254 с 24 по 30 декабря 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена мошенническая схема с фальшивым новогодним розыгрышем денежных призов якобы от российских ретейлеров.

Чтобы получить вознаграждение, пользователь должен пройти небольшой опрос якобы для повышения качества обслуживания в магазинах.
В одних рассылках мошенники предлагают выиграть до 500 тысяч рублей, в других — до миллиона.

Чтобы стать участником «новогоднего розыгрыша», россиянам предлагают ответить на простые вопросы, а также разослать сообщение об акции нескольким контактам. Таким образом схема охватывает большее число людей.

На последнем этапе мошенники просят жертв перевести один рубль за доступ к базе данных розыгрыша. Так как сумма символическая, жертвы довольно часто идут на это, а у мошенников появляются данные их банковских карт, позволяющие им украсть намного больше.

Мобильная безопасность

В магазине приложений App Store были обнаружены вредоносные fleeceware-приложения, подвергающие миллионы пользователей опасности.

Программы замаскированы под редакторы изображений и платформы для просмотров трейлеров к фильмам. На самом же деле они представляют собой fleeceware-приложения, разработанные для скрытого хищения денежных средств.

В настоящее время приложения удалены из AppStore, однако Apple не сообщила, будет ли она возвращать средства пользователям, которых обманом заставили оформить платную подписку, и будет ли она возвращать прибыль, полученную от их продажи.

Приложения скачали более 2 млн раз и теперь они приносят своим создателям примерно 16 тыс. долларов США в день, или около 6 млн долларов США в год.

Атаки и уязвимости

Злоумышленники атакуют пользователей LastPass, пытаясь получить доступ к облачным хранилищам паролей.

Преступники пытаются провести атаку credential stuffing. В ходе таких атакимена пользователей и пароли похищаются с одних сайтов, а затем используются на других. То есть злоумышленники имеют уже готовую базу учетных данных, которая может быть приобретена в даркнете, собрана самостоятельно или получена каким-то ещё способом, а затем пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.

Разработчики LastPass подтвердили информацию о продолжающихся атаках после того как десятки пользователей рассказали в социальных сетях о получении писем с предупреждениями. Письма сообщали, что LastPass заблокировал попытку входа в систему с правильным мастер-паролем, однако с иностранного IP-адреса (как правило, из Бразилии).

Вредоносное ПО RedLine крадёт пароли, сохранённые в web-браузерах Google Chrome, Microsoft Edge и Opera.

RedLine представляет собой средство для кражи информации. Ее можно приобрести примерно за 200 долларов США на киберпреступных форумах. Установка и запуск ПО не требуют от оператора особых знаний.

В примере, описанном аналитиками, учетные данные VPN-аккаунта удаленного сотрудника были похищены операторами RedLine и затем использованы для взлома сети компании три месяца спустя.

Хотя на зараженной компьютерной системе было установлено защитное решение, оно не смогло обнаружить и удалить RedLine. Вредоносная программа крадёт файл данных, который есть во всех браузерах на основе Chromium — базу данных SQLite, в которой сохраняются имена пользователей и пароли.

Даже когда пользователи отказываются хранить свои учетные данные в браузере, система управления паролями все равно будет добавлять запись, указывающую, что конкретный сайт находится в «черном списке». Злоумышленники не могут украсть пароли, занесенные в черный список, но они получают информацию о том, что учетная запись существует. Это позволяет им осуществлять атаки с подстановкой учетных данных (credential stuffing) или применять социальную инженерию.

Обнаружено более 1,2 тыс. наборов фишинговых инструментов, позволяющих киберпреступникам обходить двухфакторную аутентификацию (2FA).

Фишинговые инструменты MitM (Man-in-the-Middle) стали чрезвычайно популярными в киберпреступном мире в последние годы после того, как крупные технологические компании начали делать 2FA функцией безопасности обязательной для своих пользователей. Злоумышленники, которым удалось обманом заставить пользователя ввести учетные данные на фишинговом сайте, обнаружили, что украденные учетные данные стали бесполезными, поскольку они не могли обойти процедуру 2FA.

В течение последних лет киберпреступники адаптируют свои старые фишинговые инструменты для обхода процедур 2FA с помощью двух методов:

  • real-time phishing («фишинг в реальном времени»);
  • наборов фишинговых инструментов MitM.

Первый способ полагается на оператора, сидящего перед web-панелью, в то время как пользователь перемещается и взаимодействует с фишинговым сайтом. Фишинговые инструменты MitM адаптированы для работы в качестве обратных прокси-серверов, которые ретранслируют трафик между жертвой, фишинговым сайтом и легитимным сервисом.

Инциденты

Операторы вымогателя AvosLocker отменили атаку после того, как узнали, что от их действий пострадало американское полицейское управление.

В ходе атаки вредоносная программа не только зашифровала устройства, но и утащила с собой внутренние файлы. Чуть позже исследователь в области кибербезопасности с ником pancak3 опубликовал скриншот, из которого видно, что операторы AvosLocker сразу поняли свою ошибку и предоставили бесплатный ключ для расшифровки пострадавших файлов.

Выдав ключ, злоумышленники отказались предоставить список украденных файлов и не стали отвечать на вопрос о том, как проникли в сеть отделения полиции.

В результате кибератаки на ведущую медиакомпанию Норвегии — Amedia, в стране прекращён выпуск ряда печатных изданий.

Amedia издаёт более 90 газет и другой печатной продукции и оценивает ежедневную аудиторию этих изданий в два миллиона человек. Компания также ведёт бизнес в России.

Атака вывела из строя систему подписки, содержащую такие данные, как имена и фамилии клиентов, номера их телефонов, адреса. Компания пока не знает, удалось ли хакерам украсть персональные данные подписчиков. Известно лишь, что злоумышленники не смогли получить доступ к паролям и финансовым сведениям о клиентах.

По состоянию на среду Amedia так и не устранила проблемы — на сайте компании соответствующая информация отсутствует.

Жители Сальвадора сообщили о пропаже части денежных средств из выданных государством криптокошельков Chivo.

По меньшей мере 50 сальвадорцев заявили об убытках на общую сумму более 96 тыс. долларов США после установки правительством биткойн-кошельков. Некоторые из этих финансовых транзакций обошлись жертвам в 61 доллар США, но другие потеряли тысячи или более.

Около 3 миллионов сальвадорцев пользуются кошельками Chivo, что составляет примерно половину от 6,5 миллиона жителей страны.

Один из пострадавших сообщил, что в кошельке, где пропали деньги и транзакции, есть уязвимость, причём он не может получить никакой техподдержки, остаётся только звонить и звонить, пытаясь выяснить, где деньги.

Логистический гигант D.W. Morgan стал жертвой утечки 100 ГБ данных.

Исследователи обнаружили некорректно сконфигурированное хранилище Amazon S3, принадлежащее американскому логистическому гиганту D.W. Morgan.

База данных содержит более 100 ГБ данных — более 2,5 млн файлов с финансовой информацией, данными по доставке и транспортировке, персональными и конфиденциальными записями сотрудников и клиентов D.W. Morgan по всему миру, включая компанию Ericsson из списка Global 500 и Cisco из Fortune 500.

Хранилище не было защищено паролем, поэтому любой мог получить доступ к следующим данным: подписям, полным именам, вложениям, телефонным номерам, заказанным товарам, сведениям о поврежденных грузах, фотографиям, адресам биллинга и доставки, датам накладных, штрих-кодам доставки, местоположению предприятий, стоимости оплаченных товаров, изображениям внутренних документов, а также планам и соглашениям о транспортировке.

Американская компания Shutterfly, предоставляющая услуги по созданию фото-подарков, подверглась атаке с использованием вымогательского ПО Conti. Злоумышленники зашифровали более 4 тыс. устройств и 120 серверов VMware ESXi, а также украли корпоративные данные.

Группировка ведет переговоры с компанией и требует в качестве выкупа миллионы долларов. В рамках тактики двойного вымогательства Conti создала закрытую страницу утечек данных Shutterfly, содержащую скриншоты данных, предположительно похищенных у компании. Злоумышленники угрожают сделать эту страницу общедоступной, если не будет уплачен выкуп.

На скриншотах — юридические соглашения, информацию о банках и торговых счетах, учетные данные для входа в корпоративные сервисы, электронные таблицы и информация о клиентах, включая последние четыре цифры кредитных карт.

Французская IT-компания Inetum Group стала жертвой вымогательской атаки, затронувшей бизнес и клиентов.

Кибератака затронула некоторые бизнес-операции компании во Франции, однако не повлияла на более крупные инфраструктуры, используемые клиентами.

Inetum Group не раскрыла название используемого вредоносного ПО, но, по словам главного редактора французского издания LeMagIt Валери Маркива (Valery Marchive), злоумышленники использовали программу-вымогатель BlackCat (также известную как ALPHV и Noberus).

 134   23 дн   дайджест   фишинг
Ранее Ctrl + ↓