Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Антифишинг-дайджест № 274 с 20 по 26 мая 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники выдают себя за жертв физического насилия в приложениях для знакомств по типу Tinder и Grindr, тем самым завоевывая доверие пользователей, и заманивают их на поддельные сервисы с платной регистрацией и подпиской на «услуги».

Схема кампании

1. Мошенники регистрируют в приложении поддельного пользователя с привлекательным фото. В ходе переписки с потенциальной «парой» этот пользователь рассказывает душещипательную историю о том, как бывший партнер избивал ее/его, и в качестве подтверждений присылает жуткие фотографии.

2. Якобы для того, чтобы убедиться, что потенциальная пассия также не является абьюзером, «жертва насилия» просит зайти на сайт GDAH (Gender Discrimination and Harassment Safety Global) и подтвердить свои данные.

3. Сайт представляет собой лендинговую страницу с кнопками «Регистрация» и «Вход». В процессе регистрации страница запрашивает данные банковской карты и просит заплатить 1,99 доллара США за регистрацию.

4. Сайт декларирует, что на нем можно ввести имя интересующего человека, и сервис проверит его наличие в известных официальных базах данных насильников. Так это или нет, неизвестно, поскольку, прежде чем воспользоваться сервисом, нужно заплатить за регистрацию.

Мошенники используют фейковые видео с Илоном Маском и других известными сторонниками криптовалюты для рекламы платформы BitVex, которая ворует депонированные средства.

Эта мошенническая криптовалютная платформа заявляет, что принадлежит Илону Маску, который якобы создал сайт, где каждый может получать до 30% прибыли от своих криптовалютных депозитов.

Кампания по раскрутке BitVex началась ранее в этом месяце: злоумышленники создавали новые или взламывали существующие аккаунты на YouTube и размещали поддельные видео с Илоном Маском, Кэти Вуд, Брэдом Гарлингхаусом, Майклом Сэйлором и Чарльзом Хоскинсоном. Журналисты говорят, что десятки YouTube-каналов были взломаны для продвижения этой аферы.

В таких роликах знаменитости якобы дают интервью и рассказывают про BitVex, но на самом деле эти видео модифицированы. Это дипфейки, где голос человека подделан и наложен на видеоряд, взятый из других источников.

Видео: Фальшивый Маск рекламирует мошеннический сайт и говорит, что вложил в платформу 50 млн долларов.

Посетителям предлагают зарегистрировать на BitVex (bitvex[.]org или bitvex[.]net) учетную запись для доступа к платформе. После входа в систему на сайте отобразится панель инструментов, где можно вносить на счет различные криптовалюты, выбрать инвестиционный план или вывести средства.

На панели инструментов будут отображаться недавние снятия различных криптовалют, чтобы сайт выглядел законным, как показано ниже. На самом деле эти цифры генерируются с помощью JavaScript, случайным образом выбирая сумму и одну из пяти криптовалют (Cardano, Ethereum, Bitcoin, Ripple или Binance Coin). При каждом обновлении страницы такие «выводы» будут разными.

Обнаружена новая вредоносная кампания на основе PDF-файлов с необычной цепочкой заражения.

Схема кампании

1. Мошенники рассылали письма с обещанием оплаты получателю. Письма содержали PDF-файл «Счет-фактура».

2. При открытии PDF-файла Adobe Reader предлагал пользователю открыть содержащийся внутри DOCX-файл, что уже необычно и может запутать жертву. Преступники назвали вложенный документ «проверенным», поэтому в окне «Открыть файл» говорится: «Файл был проверен». Это сообщение может заставить получателя поверить в подлинность и безопасность файла.

3. Если пользователь откроет DOCX в Microsoft Word и разрешит макросы, с удаленного ресурса загрузится и откроется RTF-файл.

4. RTF-документ называется «f_document_shp.doc» и содержит искаженные OLE-объекты, которые не поддаются анализу. По словам экспертов, кампания пытается использовать старую уязвимость Microsoft Equation Editor (CVE-2017-11882) для запуска произвольного кода.

5. Шеллкод в RTF с помощью этой уязвимости загружает и запускает Snake Keylogger, модульный инструмент для кражи личных данных с высокой устойчивостью и уклонением от защиты.

Атаки и уязвимости

В Zoom обнаружены несколько уязвимостей, которые могли использоваться для компрометации других пользователей путём отправки специально созданных XMPP-сообщений без взаимодействия с жертвой.

Уязвимости, набравшие от 5,9 до 8,1 балла по шкале CVSS, были обнаружены в феврале 2022 года и объединены под общим названием «XMPP Stanza Smuggling»:

  • CVE-2022-22784 (CVSS: 8,1) — некорректный парсинг XML в клиенте Zoom для конференций;
  • CVE-2022-22785 (CVSS: 5,9) — некорректное ограничение cookie сессий в клиенте Zoom для конференций;
  • CVE-2022-22786 (CVSS: 7,5) — даунгрейд пакета обновлений в Windows-клиенте Zoom для конференций;
  • CVE-2022-22787 (CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для конференций.

Использование этих проблем позволяло вынудить уязвимый клиент замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что в итоге позволяло выполнить произвольный код.

Расширение Screencastify для Chrome, предназначенное для захвата и обмена видео с сайтов, содержит уязвимость межсайтового скриптинга (XSS), позволяющую произвольным сайтам заставлять пользователей непреднамеренно включать свои камеры.

Расширение предоставляет screencastify.com достаточно привилегий для записи видео через web-камеру пользователя и получения результата. Никакого взаимодействия с пользователем не требуется, а видимые индикаторы происходящего практически отсутствуют. Можно даже скрыть свои следы. Для этого достаточно удалить видео с Google Диска и использовать другое сообщение для закрытия вкладки с расширением после завершения записи.

Неисправленная уязвимость в PayPal обманом заставляет пользователей совершать транзакции злоумышленников в один клик.

Такой вид атаки называется кликджекингом и использует невидимую оверлейную страницу или HTML-элемент, отображаемый поверх видимой страницы. Кликнув на легитимную страницу, пользователи на самом деле нажимали на контролируемый злоумышленниками невидимый элемент.

Уязвимость обнаружена в конечной точке « http://www.paypal[.]com/agreements/approve" ;, которая предназначена для соглашений о списании средств без распоряжения владельца. Конечная точка должна принимать только billingAgreementToken, но оказалось, что ей можно передавать токены другого типа и с помощью этого красть деньги со PayPal-счета жертвы. Таким образом, злоумышленник может загрузить чувствительную к атаке конечную точку paypal.com в Iframe, а когда жертва кликнет на любое место на странице, деньги будут отправлены на счет злоумышленника.

Уязвимость также может быть использована для пополнения баланса или оплаты подписки на сервисы, принимающие платежи PayPal.

Инциденты

General Motors сообщила, что в прошлом месяце стала жертвой хакерской атаки типа credential stuffing.

В результате была раскрыта информация о некоторых клиентах. Кроме того, хакеры сумели обменять чужие бонусные баллы на подарочные карты.
Злоумышленники предположительно получили доступ к следующей информации автовладельцев:

  • имени и фамилии;
  • адресу электронной почты;
  • почтовому адресу;
  • имени пользователя и номеру телефона для зарегистрированных членов семьи, связанных с аккаунтом;
  • последнюю известную и сохраненную информацию о местоположениях;
  • данным о пакете подписки OnStar (если активно);
  • аватарам и фотографиям членов семьи (если загружены);
  • изображению профиля;
  • информации о поиске и местах назначения.

Также хакеры могли узнать историю пробега автомобиля, историю его обслуживания, информацию об экстренных контактах, настройки точки доступа Wi-Fi (включая пароли) и многое другое. В компании подчеркивают, что учетные записи, к счастью, не содержат дату рождения, номер социального страхования, номер водительского удостоверения, информацию о банковской карте или счете.

Неизвестные злоумышленники скомпрометировали учетную запись в Twitter, принадлежащую известному цифровому художнику и автору NFT Beeple (настоящее имя Майк Винкельманн).

Beeple знаменит тем, что в 2021 году продал через аукционный дом Christie’s NFT-произведение «Everydays: The First 5000 Days» по рекордной цене 69,3 млн долларов США.

Пока учетная запись Beeple находилась под контролем злоумышленников, хакеры объявили о внеплановом минтинге для коллекции в сотрудничестве с домом моды Louis Vuitton, а также о «дополнительном» арте, который Beeple якобы не публиковал ранее.

В итоге мошенники успели собрать около 270 000 долларов США в ETH и похитили 45 NFT на сумму около 165 000 долларов США.

 48   2 дн   дайджест   фишинг

Антифишинг-дайджест № 273 с 13 по 19 мая 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Group-IB предупреждает о новых мошеннических схемах для кражи денег, данных банковских карт и учетных записей Apple под предлогом оплаты и использования сервисов Apple Store, Apple Pay и iTunes.

В качестве наживки мошенники используют прекращение работы в России системы бесконтактных платежей Apple Pay и сложности с оплатой в сервисах Apple Store и iTunes.

Например, в одной из схем они предлагают пользователям пополнить счет в Apple Store и iTunes с помощью специальных виртуальных карт на суммы в 1000 рублей, 2500 рублей, 5 000 рублей, 5 500 рублей и 6 000 рублей.

Владельцы этого «сервиса» уверяют, что карты App Store & iTunes Gift Card дают возможность пополнить счет аккаунта и приобрести «любой виртуальный контент в абсолютно всех цифровых магазинах Apple в России»: приложения и игры в App Store, музыку и фильмы в iTunes Store, книги в iBook Store. Якобы для совершения покупки кода необходимо ввести лишь электронную почту, а при оплате — данные банковской карты. Однако, поскольку форма оплаты является фишинговой, все данные и деньги попадут в карман злоумышленников.

В другом случае мошенники предлагают владельцам iPhone вернуть возможность расплачиваться за товары и услуги с помощью Apple Pay. Для этого жертве отправляют фишинговую ссылку на «сервис iCloud» и, если пользователь ввел на фальшивом ресурсе данные Apple ID, преступники могут получить доступ к iCloud, App Store, Apple Music, iMessage, FaceTime.

Третья схема ориентирована на людей, по какой-либо причине лишившихся «яблочного смартфона». Мошенники отправляют им SMS или сообщения в мессенджере от имени «техподдержки Apple Inc» или «сервиса iCloud». Как правило, в таком сообщении говорится, что iPhone был включен и «локатор» обнаружил его местонахождение.

Ссылка ведет на фишинговый ресурс, замаскированный под официальное приложение Find My iPhone, которое позволяет найти местоположение пропавшего телефона или удаленно стереть всю важную информацию. Хотя сообщение выглядит правдоподобно, URL-адрес не соответствует сайту компании: icloud.com и фейковый icioud.com.

Для просмотра данных о геолокации владельцу украденного смартфона якобы необходимо ввести идентификатор Apple ID, а если он это сделает, злоумышленники получат доступ к облачным сервисам Apple, в том числе к фото, документам, сообщениям жертвы.

Если жертва не реагирует на SMS-сообщения, с ней попробуют связаться через мессенджеры, от имени бота техподдержки Apple и также пытаются обманом выманить код для разблокировки устройства.

За два года эксперты CERT-GIB обнаружили в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей, а всего в мире — не менее 176 000 потенциально вредоносных доменов.

Мобильная безопасность

Разработано вредоносное ПО для iPhone, которое может работать даже на выключенном устройстве.

В смартфонах Apple применяются технологии Bluetooth, NFC и Ultra Wide Band (UWB), которые позволяют устройству обмениваться данными даже в выключенном состоянии и вне операционной системы с использованием режима низкого энергопотребления (low-power mode, LPM).

В частности, работа UWB позволяет владельцам смартфонов определять местоположение потерянных или украденных iPhone.

Потенциальный злоумышленник может модифицировать прошивку устройства и использовать LPM для запуска вредоносного ПО.

Атаки и уязвимости

Новая разновидность relay-атак с помощью Bluetooth Low Energy (BLE) позволяет обойти все существующие средства защиты и аутентификации на целевых устройствах.

BLE используется во многих продуктах, от электроники (ноутбуки, мобильные телефоны, умные замки, системы контроля доступа), до автомобилей, включая Tesla Model 3 и Model Y.

Такой тип атак подразумевает, что злоумышленник может перехватывать и манипулировать связью между двумя сторонами, например, между брелоком для авто и самим транспортным средством.

Продукты, которые полагаются на BLE для аутентификации на основе близости, защищены от известных методов relay-атак благодаря проверкам точного количества задержек (latency), а также шифрованию на уровне канала. Новый инструмент для атак работает на канальном уровне с задержкой 8 мс, что находится в пределах допустимого диапазона 30 мс для ответа GATT (Generic ATTtribute Profile).

Для запуска подобной атаки требуется около 10 секунд, и ее можно повторять бесконечно. Так как Tesla Model 3 и Model Y используют систему входа на основе BLE, предложенный экспертами метод может использоваться для разблокировки и запуска этих автомобилей.

Исследователи рассказывают, что они протестировали свой метод на Tesla Model 3 2020 года с использованием iPhone 13 mini и приложением Tesla версии 4.6.1-891. Атака показала успешную разблокировку и управление автомобилем, когда iPhone находился за пределами зоны действия BLE. Так, в ходе эксперимента удалось связать автомобиль с iPhone через два ретранслятора, один из которых находился в семи метрах от телефона, а другой — в трех метрах от автомобиля. Общее расстояние между телефоном и автомобилем составило 25 метров.

Исследователи уведомили о результатах своих изысканий инженеров Tesla, но им ответили, что «relay-атаки являются известным недостатком систем пассивного входа».

Инциденты

Бразильская компания Americanas.com сообщил о многомиллионном ущербе от кибератак группировки Lapsus$.

Americanas потеряла 923 млн бразильских долларов (183 млн долларов США) из-за двух кибератак19-20 февраля, заморозивших ее коммерческие операции. Физические магазины продолжали работать, а логистическое подразделение доставляло заказы, сделанные после инцидентов.

Операции начали постепенно возобновляться с 23 февраля, а уже 24 восстановились полностью. По словам компании, никакого другого ущерба, помимо остановки online-сервисов, зафиксировано не было.

Кибервымогательская группировка Conti угрожает свергнуть новое правительство Коста-Рики за неуплату выкупа.

Conti терроризирует Коста-Рику с апреля 2022 года, атакуя министерства, фонды, институты и электроэнергетические компании . В мае ситуация стала критической, и правительство страны ввело чрезвычайное положение.

Изначально за ключ для восстановления зашифрованных файлов хакеры требовали 10 млн долларов США. Однако на прошлых выходных они опубликовали на своем сайте утечек два сообщения, увеличив сумму выкупа, которую должна заплатить Коста-Рика, до 20 млн долларов США и пригрозив свергнуть правительство нового президента Родриго Чавеса.

К настоящему времени из 670 ГБ похищенных у страны данных Conti уже опубликовала 97%.

С момента начала кибератак прошло уже более трех недель, но Коста-Рика все еще не может оправиться, в основном из-за ущерба, причиненного системам Министерства финансов. На прошлой неделе правительству пришлось уведомить своих граждан о необходимости подсчитывать налоги вручную и платить лично в местных банках, поскольку цифровая система вышла из строя.

Машиностроительный гигант Parker Hannifin сообщил, что личные данные сотрудников и их родственников могли быть скомпрометированы после взлома сетей компании.

Взломанные системы были отключены 14 марта 2022 года после обнаружения инцидента. В ходе расследования было установлено, что неизвестные получили доступ к ИТ-системам Parker Hannifin в период с 11 по 14 марта. 12 мая компания начала уведомлять потенциальных жертв утечки, среди которых нынешние и бывшие сотрудники, их родственники и члены групповых планов медицинского обслуживания Parker.

Parker Hannifin заявила, что утечка данных включает в себя имена людей в сочетании с одним или несколькими номерами социального страхования, даты рождения, домашние адреса, а также номера водительских прав, паспортов США, банковских счетов и маршрутные номера, учетные данные для входа в Интернет и идентификационные номера членов плана медицинского страхования.

На сайт с картой утекших данных пользователей «Яндекс.Еды» добавлены данные утечек СДЭКа, Avito, Wildberries, «Билайна», ВТБ, Pikabu, ГИБДД и других источников.

Среди информации, которую предоставляет сайт — адреса, номера телефонов, VIN-номера автомобилей, суммы заказов и другие данные пользователей сервисов.

После обновления на сайте появились списки публичных людей и объединенная информация по ним. Forbes отмечает, что в эти списки попали номера телефонов и адреса Ксении Собчак, Петра Дерипаски (сына бизнесмена Олега Дерипаски) и еще около 30 человек.

 115   9 дн   дайджест   фишинг

Антифишинг-дайджест № 272 с 6 по 12 мая 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зафиксированная мошенническая кампания по распространению нового трояна удаленного доступа (RAT) Nerbian среди организаций Великобритании, Италии и Испании.

Как сообщают эксперты Proofpoint, троян написан на языке программирования Go, скомпилирован для 64-битных систем и использует несколько процедур шифрования для обхода сетевого анализа. Он может записывать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный управляющий сервер.

Схема кампании

1. Nerbian распространяется с 26 апреля 2022 года через фишинговую рассылку якобы от Всемирной организации здравоохранения.

2. В письма вложен упакованный в RAR-архив документ MS Word с описанием мер безопасности во время пандемии COVID-19. После распаковки и открытия документа он предлагает разрешить выполнение макросов, чтобы просмотреть содержимое.

3. Если пользователь разрешает макросы, ему демонстрируются правила самоизоляции, а в фоновом режиме загружается полезная нагрузка —  64-битный исполняемый файл UpdateUAV.exe размером 3,5 МБ.

4. Получив управление, UpdateUAV загружает MoUsoCore.exe — исполняемый файл RAT, добавляет его в автозапуск и запускает.

Очередная мошенническая кампания по «раздаче биткоинов» использует отредактированные видео Илона Маска и Джека Дорси и обещает удвоить сумму любого «инвестиционного» перевода.

Схема кампании

1. Злоумышленники используют запись трансляцию выступлений Илона Маска, Джека Дорси и Кэти Вуд на конференции The ₿ Word. Ссылки на мошеннические сайты вмонтированы заставками в исходное видео конференции.

2. Видеоролики опубликованы на нескольких YouTube-каналах.

3. Ссылки в видео ведут на сайты, где жертв убеждают, что другие уже перевели криптовалюту и удвоили свои «инвестиции».

4. В качестве доказательств мошенники публикуют поддельные таблицы с недавними транзакциями, создаваемые с помощью JavaScript-кода, который генерирует списки произвольных криптовалютных кошельков и переведенных сумм.

Согласно отчету McAfee, совокупная сумма в кошельках, опубликованных на мошеннических сайтах, по состоянию на 5 мая составляла 280 тыс. долларов США в биткоинах, а уже на следующий день она достигла 1,3 млн долларов США. Наибольшая сумма в одном кошельке превышала 90 тыс. долларов США. Всего на этот кошелек деньги были переведены 13 раз.

Вредоносная кампания в Финляндии использует SMS и MMS для распространения вредоносного ПО FluBot.

Вредоносное ПО крадет учетные данные финансовых счетов своих жертв, накладывая фишинговые страницы поверх законных банковских и криптовалютных приложений. FluBot может получать доступ к SMS, совершать телефонные звонки и отслеживать входящие уведомления, похищая временные коды аутентификации, необходимые для входа в систему.

Схема кампании

1. Операторы FluBot используют SMS-сообщения, содержащие ссылки на голосовую почту, уведомления о пропущенных звонках или фальшивые предупреждения о денежном переводе.

2. Ссылки в этих сообщениях ведут на сайт с APK-файлом FluBot, который жертвам предлагается скачать и установить, чтобы узнать больше о пропущенных звонках, денежном переводе или прослушать голосовое сообщение

3. Приложение просит Android-пользователя предоставить опасные разрешения: доступ к SMS, управление телефонными звонками и чтение контактов.

4. Злоумышленники используют список контактов для второй волны SMS-рассылки с зараженных устройств. Поскольку сообщения приходят с номеров друзей и знакомых, другие пользователи с большей вероятностью откроют их и заразят свои устройства.

5. Если вредоносное SMS получает пользователь iPhone, мошенники перенаправляя жертву на фальшивые премиум-подписки и другие сомнительные предложения.

Инциденты

Частный университет Линкольн закрывается из-за атаки вымогательского ПО после 157 лет работы.

В последние годы колледж страдал от сокращения финансирования и значительного уменьшения количества поступающих из-за Covid-19.

В декабре 2021 года кибератака вымогателя сорвала приемные мероприятия и затруднила доступ ко всем институциональным данным. Атака злоумышленников создала неясную картину прогнозов поступления на осень 2022 года. Все системы, необходимые для набора студентов, удержания и сбора средств, стали неработоспособны. Заносить в систему заявки поступающих и набирать новых студентов стало невозможно. Атака вывела из строя приемную комиссию на полтора месяца.

Студенты университета пытались спасти учебное заведение, запустив сбор средств на GoFundMe, но из необходимых 20 миллионов долларов США им удалось собрать только 19 пожертвований на общую сумму 1 252 долларов США.

В результате кибератаки хакерской группировки Killnet были выведены из строя сайты Министерства обороны, Сената и Национального института здравоохранения Италии.

Доступ к соответствующим сайтам был восстановлен через несколько часов. Спикер Сената Элизабетта Казеллати заявила, что атака на «внешнюю сеть» верхней палаты парламента не нанесла никакого необратимого ущерба, но отметила, что «это серьезные инциденты, которые нельзя недооценивать».

Российский видеохостинг RuTube пострадал от кибератаки хакеров Anonymous.

Преступники заявили в Twitter 9 мая, что это они взломали сервис и нанесли серьезный ущерб платформе: якобы в ходе атаки пострадали или были уничтожены 75% баз и инфраструктуры основной версии сайта и 90% бэкапов и кластеров для восстановления БД.

Некоторые издания поспешили заявить, что «был полностью удален код сайта, а видеосервис теперь вообще не подлежит восстановлению».

Представители RuTube опровергли эти заявления, заверив, что исходный код не утерян:

«Информация относительно утери исходного кода сайта не соответствует действительности. Мы и правда столкнулись с самой сильной кибератакой за всю историю существования RUTUBE.
Важно понимать, что видеохостинг — это петабайты данных архивов и сотни серверов. Восстановление потребует больше времени, чем изначально предполагали инженеры. Однако мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен, библиотека цела. Сейчас идет процесс по восстановлению сегментов файловой системы удаленных сред и баз на части серверов».

11 мая 2022 года, видеохостинг заработал. По словам главы RuTube Александра Моисеева, сейчас «на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость».

В одном из Telegram-каналов опубликована база данных, содержащая личные и учетные данные 21 миллиона пользователей популярных VPN-сервисов SuperVPN, GeckoVPN и ChatVPN.

Объём утечки составил 10 ГБ данных. Информация включала в себя:

  • Полные имена пользователей;
  • Никнеймы пользователей;
  • Названия стран пользователей;
  • Платежные данные;
  • Адреса электронной почты;
  • Случайно сгенерированные строки паролей;
  • Данные о премиальном статусе и его сроке действия.

Исследование показало, что слитые пароли были случайными и устойчивыми к взлому. Около 99,5% адресов электронной почты принадлежали учетным записям Gmail.

Коста-Рика объявила чрезвычайное положение после атаки вымогательской группировки Conti.

Злоумышленники похитили более 670 Гб данных из государственных учреждений. Первым от атаки пострадало Министерство финансов. Это вызвало опасения, что хакеры завладели данными о налогоплательщиках.

Казначейство Коста-Рики работает без цифровых услуг с 18 апреля, из-за чего предприятиям и гражданам приходится заполнять формы вручную. Ранее Conti потребовала от министерства выкуп в размере 10 миллионов долларов США, который правительство отказалось платить.

Другие правительственные организации Коста-Рики, пострадавшие от атаки:

  • Министерство труда и социального обеспечения (MTSS);
  • Фонд социального развития и семейных пособий (FODESAF);
  • Межвузовский штаб Алахуэлы (SIUA);
  • Административный совет электрической службы провинции Картаго (JASEC);
  • Министерство науки, инноваций, технологий и телекоммуникаций;
  • Национальный метеорологический институт (IMN);
  • Радиографическая служба Коста-Рики (Radiographic Costarricense, Racsa);
  • Фонд социального обеспечения Коста-Рики (CCSS).

Ещё одной жертвой вымогателей Conti стало Главное управление разведки Перу (DIGIMIN).

Хакеры заявили о краже 9,41 ГБ секретных данных. Агентство отвечает за национальную, военную и полицейскую разведку, а также за контрразведку. На данный момент сайт перуанского DIGIMIN недоступен.

Эфир ряда российских телеканалов 9 мая подвергся хакерской атаке. В описании телеканалов, а также в программе передач появились сообщения провокационного содержания, касающиеся спецоперации на Украине.

Сообщается, что взломаны электронные программные гиды некоторых операторов платного телевидения, возможно, взломан «Сервис-ТВ», передающий EPG операторам платного ТВ.

В МТС подтвердили, что была совершена кибератака. Проблема возникла практически во всех регионах присутствия сотового оператора. Специалист МТС уточнил, что «проблема носит массовый характер», а «география случившегося весьма широка».

Крупнейший в США производитель сельскохозяйственной техники AGCO сообщил, что стал жертвой атаки с использованием вымогательского ПО.

Масштабы атаки пока устанавливаются, но уже понятно, что бизнес-операции будут сорваны, и на восстановление сервисов потребуется несколько дней.
О том, какое вымогательское ПО стало причиной инцидента, а также о сумме запрошенного выкупа не сообщается.

 142   16 дн   дайджест   фишинг
Ранее Ctrl + ↓