Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Антифишинг-дайджест № 220 с 30 апреля по 6 мая 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для проведения масштабной мошеннической кампании кибергруппировка DarkPath Scammers создала распределенную сеть из 134 мошеннических сайтов, имитирующих Всемирную организацию здравоохранения (ВОЗ). Преступники обещали посетителям вознаграждение за прохождение фейкового опроса, посвященного Дню осведомленности о здоровье, однако вместо выплаты перенаправляли прошедших «опрос» на сайты знакомств, платных подписок и мошеннические ресурсы.

Схема кампании:

  1. С помощью рекламы в соцсетях и на популярных форумах пользователей заманивали на один из входящих в мошенническую сеть сайт.
  2. Там пользователям предлагали ответить на несколько простых вопросов и заработать 200 евро по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ.
  3. По завершении опроса пользователю предлагали поделиться ссылкой на сайт с друзьями и коллегами по базе контактов в WhatsApp.
  4. Когда жертва нажимала на кнопку «Поделиться», вместо обещанного вознаграждения ее перенаправляли на сторонние мошеннические ресурсы, где предлагали принять участие в другом розыгрыше, установить расширение для браузера или подписаться на платные услуги. Некоторые пользователи попадали на вредоносный или фишинговый ресурс.
  5. Особенностью схемы была персонализация: контент, который видели пользователи, менялся в зависимости от местоположения, браузера и настроек языка. Например, валюта вознаграждения соответствовала стране пользователя.

Атаки и уязвимости

Разработаны три новых варианта атак из семейства Spectre, которые позволяют похищать данные, когда процессор извлекает команды из своего кэша микроопераций.

Схема работы кэша микроопераций процессоров x86.

Чтобы улучшить производительность, процессоры Intel и AMD x86 разбивают сложные инструкции на элементарные и сохраняют их в кэше микроопераций, а затем извлекать в опережающем режиме целиком или частично до того, как станет ясно, нужно ли это выполнение. Такой режим исполнения команд называется спекулятивным.

Атаки Spectre подрывают процесс спекулятивного исполнения и позволяют злоумышленникам перехватить данные в процессе выполнения инструкций .

Поскольку спекулятивное исполнение реализуется на аппаратном уровне, исправить уязвимость без полного отключения функции практически невозможно. Как сообщил Аниш Венкат (Ashish Venkat), руководитель исследования, посвященного утечкам данных через кэши микроопераций процессоров, в настоящее время не имеется способов обхода уязвимости.

В чипах Qualcomm Mobile Station Modem обнаружена опасная уязвимость, с помощью которой атакующие могут получить доступ к текстовым сообщениям, истории вызовов и даже прослушивать разговоры владельцев смартфонов.

Qualcomm MSM — однокристальная система (System on a chip), которая используется в 40% смартфонов на сегодняшнем рынке. Qualcomm MSM поддерживает стандарты 2G, 3G, 4G и 5G.

Если злоумышленник задействует уязвимость, ему удастся использовать саму ОС Android в качестве точки входа для вредоносного кода.
Уязвимость, получившая идентификатор CVE-2020-11292, также позволяет атакующему получить доступ к информации, скрытой в сим-карте абонента путем эксплуатации переполнения буфера.

Инциденты

В результате DDoS-атаки была парализована работа бельгийского правительства: внутренние системы и публичные сайты оказались недоступными.

Атака затронула государственного интернет-провайдера Belnet, обслуживающего правительственные организации, и вызвала сбои в работе более 200 организаций, в частности официального портала для подачи налоговых деклараций My Minfin и IT-системы, используемые школами и университетами для удаленного обучения.

Также оказался недоступен портал резервирования вакцины против COVID-19, были сорваны парламентские и другие правительственные мероприятия.

Как сообщили в Палате представителей Бельгии, только Комитет по финансам и международным отношениям смог провести одно заседание, но остальные пришлось отменить .

Помощница директора средней школы Tate High School Лора Роуз Кэрролл (Laura Rose Carroll) взломала школьную информационную систему, чтобы накрутить голоса и сделать дочь королевой красоты учебного заведения.

Королева с накрученными голосами.

Полиция начала расследование после того как был обнаружен несанкционированный доступ к школьной информационной системе FOCUS и изменение голосов в пользу дочери помощницы директора. Все 117 голосов были внесены за короткий период времени с IP-адреса домашней сети «королевы».

Мать и дочь были арестованы в марте 2021 года. Хотя на момент предположительного совершения преступления дочери еще не было 18 лет, ей предъявлены обвинения как совершеннолетней. В случае признания ее виновной девушка может получить 16 лет тюрьмы.

Правительственная китайская кибергруппировка атаковала российское оборонное предприятие, занимающееся разработкой атомных подводных лодок для военно-морского флота РФ.

Фишинговое письмо.

Злоумышленники отправили генеральному директору конструкторского бюро «Рубин» фишинговое письмо, подготовленное с помощью инструмента для создания RTF-эксплойтов Royal Road. Этот эксплойт доставляет на атакуемую систему ранее неизвестный Windows-бэкдор PortDoor.

Содержимое вредоносного RTF-документа.

PortDoor проводит разведку, профилирует цели, доставляет дополнительную полезную нагрузку, повышает привилегии, прячется от антивирусов, и использует разные виды шифрования.

По мнению экспертов, вектор заражения, стиль социальной инженерии, использование RoyalRoad в атаках на аналогичные цели и сходство между недавно обнаруженным бэкдором и другим известным вредоносным ПО китайских APT указывают на злоумышленников, действующих в государственных интересах Китая.

В результате атаки вымогателя американская некоммерческая организация Midwest Transplant Network стала жертвой утечки данных более 17 тыс. человек. Преступники взломали сеть организации и заблокировали доступ к системам.

Как сообщили представители Midwest Transplant Network, злоумышленники смогли получить доступ к конфиденциальной информации о здоровье умерших доноров и реципиентов органов, включающей имена, даты рождения и типы процедур донорства или трансплантации органов.

Представители компании не сообщили, был ли уплачен выкуп за восстановления доступа к файлам.

Вымогательская группировка REvil провела успешную атаку на инфраструктуру судебной системы бразильского штата Риу-Гранди-ду-Сул. Им удалось зашифровать файлы на компьютерах, и остановить работу судов.

Представители судебного ведомства Tribunal de Justiça do Estado do Rio Grande do Sul (TJRS) уведомили об инциденте и порекомендовали «внутренним пользователям не использовать удаленный доступ к компьютеру и не авторизовываться на компьютерах в сети TJRS».

Вымогательское сообщение, полученное судебным ведомством.

За восстановление доступа к данным вымогатель требуют 5 млн долларов США. Ведутся ли переговоры со злоумышленниками, не сообщается.

Институт биомолекулярных исследований стал жертвой вымогателя из-за установленного стажером пиратского ПО для виртуализации.

Студент не мог себе позволить приобрести нужное ему ПО, поскольку стоимость годовой подписки на него составляла сотни долларов. Он нашёл и скачал взломанную версию с одного из хакерских форумов.

Windows Defender заблокировал установку, поэтому молодой человек отключил его вместе с межсетевым экраном. Вместо желаемого ПО для виртуализации на его систему загрузился троян, похитивший учетные данные студента для доступа к сети института.

Через 13 дней после «установки» взломанного ПО институт зарегистрировал RDP-подключение к своей сети. Через 10 дней после этого подключения в сети было развернуто вымогательское ПО Ryuk.

 27   1 д   дайджест   фишинг

Антифишинг-дайджест № 219 с 23 по 29 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Android-вредонос Flubot крадёт пароли, данные банковских приложений и другую конфиденциальную информацию.

Для распространения вредоноса злоумышленники рассылают жертвам SMS, замаскированные под уведомления от курьеров. В уведомлении предлагается перейти по ссылке для отслеживания статуса доставки.

Пройдя по URL, пользователь видит предложение установить специальный софт, который необходим для отслеживания актуальной информации о посылке. Если пользователь соглашается, вместо трекера устанавливается Flubot. .

Для установки FluBot на устройстве должна быть включена возможность инсталлировать программы из сторонних источников. Злоумышленники даже подготовили для жертв инструкции, помогающие отключить защиту и установить вредонос.

После установки в системе FluBot пытается распространяться, рассылая SMS по списку контактов жертвы.

Умные устройства

Умные телевизоры Skyworth уличили в шпионаже. Аппарат раз в 10 минут ищет другие устройства в сети Wi-Fi, к которой подключен.

Сбор данных выполняет специальное ПО Gozen Data. Оно собирает IP-адреса, MAC-адреса и имена устройств подключённых к Wi-Fi, и передаёт их на платформу gz-data.com.

Эксперты считают, что операционная система Android Smart TV была специально доработана китайским правительством для наблюдения сельскими жителями:

В «умных» домашних сигнализациях ABUS Secvest обнаружены уязвимости, которые позволяют злоумышленникам удаленно отключать охранную систему перед совершением кражи и взлома с проникновением.

Умная сигнализация ABUS Secvest

Проблема обнаружена осенью 2020 года. Всего уязвимость содержалась в 11 000 сигнализаций. Разработчики ABUS исправили эту проблему в январе 2021, однако через четыре месяца более 90% (около 10 000) клиентов всё ещё не установили патчи.

Из-за ошибки в панели веб-администрирования ABUS Secvest многие команды могут быть выполнены без аутентификации. В результате злоумышленники могут, например, отправить сигнализации веб-запрос с командой включения сирены, причём этот процесс можно автоматизировать, спровоцировав срабатывание множества систем безопасности по всей Германии и Западной Европе.

Атакующий может использовать уязвимость, чтобы загрузить свой файл конфигурации ABUS Secvest, содержащий имена и пароли всех пользователей, зарегистрированных в системе. После этого у злоумышленника появятся учетные данные для подключения к сигнализации, и он сможет её деактивировать или отключить видеосъёмку или даже подменить видеопоток.

В системах предотвращения столкновений самолетов в воздухе (TCAS) Garmin обнаружены ошибки, вызывающие ложные срабатывания.

Проблема присутствует в серии устройств Garmin GTS 8000, установленных на многих частных самолетах, в том числе Cessna Citations, Learjet 45s, Embraer Phenoms, а также на пассажирских/грузовых самолетах Shorts 360.

Системы GTS 8000 вычисляли «неправильную дальность действия» и генерировали инструкции по набору высоты или снижению для «самолетов-нарушителей», находившихся на расстоянии более 10 морских миль, тогда как в нормальных условиях система должна генерировать подобные инструкции только если второй самолет находится в 40 секундах от столкновения. Таким образом, ошибка в Garmin GTS 8000 может привести к столкновению в воздухе.

Атаки и уязвимости

Киберпреступники взламывают корпоративные и правительственные компьютерные системы через уязвимости в популярном файлообменном сервере FileZen от японской компании Soliton. В числе пострадавших офис премьер-министра Японии.

Первая из уязвимостей позволяет загружать вредоносные файлы на устройство, а вторая — запускать команды с привилегиями администратора.

Кампания очень похожа на атаки через уязвимости в файлообменном ПО Accellion FTA, обнаруженные хакерами в декабре 2020 года. Оба продукта используются для хранения больших файлов, которые невозможно пересылать по электронной почте. Пользователи загружают файлы на сервер FileZen, а затем через web-панель получают ссылки на них, которыми могут обмениваться с коллегами по работе.

В системе защиты функции беспроводного обмена данными AirDrop для iPhone обнаружена уязвимость, которая позволяет перехватить передаваемые файлы. Проблема потенциально угрожает 1,5 млрд устройств.

AirDrop позволяет в разных направлениях передавать данные с устройств и определять номер телефона владельца одного из них в телефонной книжке другого. Гаджеты обмениваются пакетами AWDL, защищенными алгоритмом SHA256.

Из-за ошибки в реализации функции безопасности телефонный номер абонента и адрес электронной почты может стать известен злоумышленникам. Шифрование данных в AirDrop недостаточно сильное, поэтому мошенники могут перехватить передаваемые файлы и расшифровать их путём перебора ключей.

Операторы вымогателя Hello используют уязвимость CVE-2019-0604 для взлома серверов SharePoint и установки вредоносного ПО.

Атака группировки начинается с использования эксплойта для уже исправленной уязвимости, которая позволяет получить контроль над сервером SharePoint и установить веб-шелл, который затем используется для установки маяка Cobalt Strike (бэкдора) и запуска автоматизированных скриптов PowerShell, загружающих и устанавливающих в зараженную систему конечный пейлоад — вымогатель Hello.

Инциденты

Из-за ошибки в конфигурации облачного сервера Microsoft Azure в открытом доступе обнаружены более 3800 файлов с исходными кодами и внутренней информацией участников проектов Microsoft Dynamics. Данные общим объёмом 63 Гб были загружены на сервис в первом полугодии 2016 года

Одна из презентаций в утечке раскрывает подробности о партнёрстве Adobe и Microsoft.

Слабая защита облачного хранилища позволяла даже начинающему хакеру с легкостью получить доступ к содержимому сервера — заявкам на участие в проекте, описанию продуктов, исходным кодам и паролям. Многие из этих разработок уже запущены в производство.

Предварительное расследование показало, что это хранилище может принадлежать канадской консалтинговой компании Adoxio KPMG или самой Microsoft. Поскольку доступ к содержимому сервера открывал возможность для промышленного шпионажа и кражи интеллектуальной собственности, эксперты в срочном порядке связались с предполагаемыми владельцами.

Представители KPMG заявили, что не имеют отношения к данному Azure-аккаунту, и посоветовали обратиться в Microsoft. Microsoft долго отрицал свою причастность к инциденту, но к концу февраля 2021 года исследователи обнаружили, что защита хранилища усилена.

Из-за серии кибератак поставщик аппаратов лучевой терапии Elekta был вынужден отключить свои облачные сервисы, в результате чего его клиенты, в числе которых есть и онкологические больницы, до сих пор не могут восстановить нормальный режим работы

Как сообщили представители медучреждения Yale New Haven Health в Коннектикуте, на прошлой неделе им пришлось отключить оборудование для проведения радиотерапии из-за кибератак на компанию Elekta, предоставляющую больнице облачное ПО для аппаратов лучевой терапии. О таких же проблемах сообщают медучреждения в штатах Массачусетс и Род-Айленд, в том числе онкологические центры Southcoast Health и Lifespan Cancer Institute. Из-за недоступности облачных сервисов Elekta им пришлось приостановить радиотерапию для своих пациентов.

Никакой дополнительной информации об атаке не сообщается во избежание компрометации расследования.

Центральный полицейский департамент округа Колумбии сообщил о взломе и возможной утечке данных после того как на сайте вымогателя Babuk Locker были опубликованы скриншоты внутренних файлов с серверов департамента.

Операторы Babuk Locker заявляют, что взломали внутреннюю сеть правоохранителей и похитили 250 Гб данных. На своем сайте они опубликовали скриншоты различных папок, которые были похищены во время атаки. Судя по названиям, эти папки содержат множество файлов, связанных с полицейскими операциями, дисциплинарными записями и файлами, относящимися к членам банд и преступных группировок.

Крупнейшая в США буровая компания Gyrodata стала жертвой кибератаки вымогателя, в результате которой произошла утечка данных ее действующих и бывших сотрудников.

Как показало расследование, в период с 16 января по 22 февраля 2021 года неизвестные злоумышленники несколько раз получали неавторизованный доступ к некоторым системам и связанным с ними данным компании. Инцидент был обнаружен 21 февраля, но компания начала рассылку электронных уведомлений затронутым сотрудникам только 22 апреля.

В ходе атаки злоумышленники могли похитить списки бывших и настоящих сотрудников, включая имена, адреса, даты рождения, номера водительских удостоверений, номера социального страхования, номера паспортов, данные налоговых деклараций, а также информацию, связанную с планами медицинского страхования.

Ещё одной жертвой кибервымогателя Babuk стала испанская сеть магазинов мобильных телефонов Phone House. После того как руководство сети отказалось платить выкуп, операторы Babuk заявили о публикации в даркнете данных 13 млн клиентов Phone House.

Папка с похищенными данными о клиентах Phone House.

Опубликованные данные клиентов Phone House включают: полные имена, даты рождения, электронные адреса, контактные номера телефонов, домашние адреса, национальность, банковские реквизиты, паспортные данные и идентификатор IMEI купленных клиентами мобильных устройств.

Австралийская организация UnitingCare Queensland стала жертвой кибератаки, вызвавшей сбой в работе её компьютерных систем.

UnitingCare Queensland предоставляет услуги по уходу за пожилыми людьми, людьми с ограниченными возможностями и людьми, находящимися в трудной жизненной ситуации.

Из-за кибератаки некоторые сервисы организации стали недоступными, и ее сотрудники перешли на обработку данных вручную. В случае невозможности обработки данных вручную услуги либо перепоручались, либо переносились на другое время.

 79   8 дн   дайджест   фишинг

Антифишинг-дайджест № 218 с 16 по 22 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная фишинговая кампания против пользователей Facebook в 84 странах мира, включая Россию.

Схема кампании:

  1. Злоумышленники распространяли среди пользователей социальной сети ссылки на скачивание несуществующего «обновления» Facebook Messenger.
  2. Чтобы усыпить бдительность пользователей, мошенники использовали в аккаунтах, с которых распространялись сообщения, названия, созвучные популярному мессенджеру: Messanger, Meseenger,
  3. В самих рекламных публикациях говорилось о новых функциях мессенджера, причем как реальных, так и вымышленных. Предлагалось, например, скачать несуществующую Gold-версию мессенджера.
  4. При переходе по ссылке пользователи попадали на фишинговый сайт с фиктивной формой авторизации в соцсети. Если жертва вводила данные, она могла потерять доступ к своему аккаунту и «слить» свои персональные данные — номер телефона и электронную почту. В дальнейшем эти сведения могут быть использованы киберпреступниками для вымогательства, рассылки спама или продажи на хакерских форумах.

По словам экспертов, «злоумышленники не только умело играют на человеческих чувствах — любопытстве, страхе, жажде наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем.»

Авторы вредоносной кампании Tag Barnakle взломали 120 рекламных серверов, чтобы распространять вредоносную рекламу.

Схема вредоносной кампании Tag Barnakle.

Хакеры атакуют рекламные сети, использующие старые версии рекламного сервера Revive. Если атака удалась, они добавляют свой вредоносный код к существующей рекламе. Когда такие зараженные объявления загружаются на различные сайты, вредоносный код перехватывает и перенаправляет их посетителей на вредоносные ресурсы.

Пример вредоносного объявления на мобильном устройстве.

В прошлом году Tag Barnakle атаковала пользователей десктопных версий браузера, а в этом злоумышленники переключились на владельцев мобильных устройств.

Обнаружена вредоносная рекламная кампания фишинговых сайтов, которые имитируют магазин Microsoft Store, музыкальный сервис Spotify и online-конвертер документов. Поддельные площадки распространяют вредоносное ПО для кражи данных кредитных карт и паролей, сохраненных в web-браузерах.

Схема кампании

  1. Рекламное объявление предлагает пользователям установить online-приложение Chess. После нажатия на рекламу пользователь перенаправляется на поддельную страницу магазина Microsoft Store с приложением xChess 3, которое автоматически загружается с сервера Amazon AWS.
  2. Загруженный zip-файл xChess_v.709.zip на самом деле является замаскированным вредоносным ПО для кражи информации Ficker (или FickerStealer).
  3. После распаковки архива и запуска исполняемого файла вместо установки нового приложения Chess запускается вредоносная программа Ficker и начинает красть данные, хранящиеся на его компьютере: сохраненные пароли в web-браузерах, клиентах обмена сообщениями на рабочем столе и FTP-клиентах.
  4. Собранная информация упаковывается в zip-архив и передается злоумышленнику.

Авторы ещё одной фишинговой кампании прячут вредоносный код внутри BMP-картинок. С их помощью они загружают на компьютер жертвы троян для удаленного доступа и похищают конфиденциальную информацию.

Фальшивый документ и поддельная форма заявки.

Схема кампании;

  1. Атака начинается с рассылки электронных писем, содержащих вредоносный документ.
  2. Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии.
  3. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe.
  4. Полезная нагрузка извлекает зашифрованный вредонос, декодирует и дешифрует его, после чего устанавливается связь с управляющим сервером для получения дополнительных команд и передачи данных
  5. Для обхода механизмов безопасности хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP.

Мошенники заманивают жертв на поддельный сайт производителя дефицитной криптофермы и выманивают крупную сумму в криптовалюте.

Схема кампании:

  1. Потенциальный криптодобытчик получает на почту письмо-уведомление о том, что его упомянул в Документе Google пользователь с никнеймом BitmainTech (китайский производитель ферм для майнинга криптовалюты).

2. В письме-уведомлении сообщается о старте продаж майнинг-фермы Antminer S19j. От имени отдела продаж Bitmain мошенники сообщают, что оборудование доступно для заказа, и торопят с оплатой, поскольку количество товара ограничено, а отгружать его будут по системе «кто раньше заказал, тот раньше получит».

3. Если заинтересованный пользователь перейдет по ссылке в письме, то через цепочку редиректов попадет на сайт bitmain[.]sa[.]com, копирующий дизайн официального bitmain[.]com

4. На настоящем сайте Bitmain кнопка покупки была неактивна, потому что последнюю партию Antminer S19j уже разобрали, а новые поставки ожидались аж в октябре. Зато на фальшивом ресурсе положить ферму в корзину можно без каких-либо проблем. Ещё одна убедительная деталь: цена на нее совпадает с официальной — 5017 долларов США.

5. Чтобы продолжить оформление заказа, жертву просят войти в аккаунт на сайте или зарегистрироваться.

6. После регистрации необходимо указать адрес доставки и выбрать транспортную компанию. Киберпреступники просят за доставку всего около пяти долларов США, независимо от пункта назначения и службы — UPS, DHL или FedEx.

7. Затем жертву просят выбрать способ оплаты, причем рассчитаться можно только криптовалютой, но с несколькими вариантами — помимо BTC мошенники также согласны на оплату в BCH, ETH и LTC.

8. Завершающий этап — оплата заказа. Злоумышленники предлагают отправить платеж на криптокошелек и предупреждают, что транзакцию нужно осуществить в течение двух часов, иначе «заказ» отменят. Cтоимость доставки по каким-то причинам в итоговую сумму не включена.

9. После того как покупатель дефицитной фермы расстается с немалой суммой в криптовалюте, имитация легитимности заканчивается. В личном кабинете пользователя данных о заказе нет, кнопки не работают.

Умные устройства

В умных аэрофритюрницах Cosori обнаружены уязвимости, которые позволяют удалённо выполнить произвольный код.

Умные аэрофритюрницы Cosori.

Аэрофритюрница Cosori Smart Air Fryer подключается к домашней сети Wi-Fi и даёт владельцам возможность включать и отключать её, находить рецепты блюд в интернете и следить за процессом приготовления.

Используя уязвимости CVE-2020-28592 и CVE-2020-28593, злоумышленники могут с помощью вредоносного кода изменять температуру, время приготовления и другие настройки аэрофритюрницы, а также незаметно включить её.

Для использования уязвимости достаточно отправить на устройство особым образом сконфигурированные пакеты с уникальным JSON-объектом.

Инциденты

Операторы вымогателя REvil шантажируют Apple, угрожая опубликовать конфиденциальную информацию о продуктах корпорации.

Хакеры утверждают, что получили данные о продуктах Apple после взлома тайваньской компании Quanta Computer, крупнейшего в мире производителя ноутбуков, который собирает устройства Apple на основе предоставленных им дизайнов и схем.

На своем сайте в даркнете злоумышленники разместили вымогательское послание, адресованное Quanta Computer, заявляя, что компания должна выплатить 50 млн долларов США до 27 апреля или 100 млн долларов США в криптовалюте после указанной даты. В противном случае операторы REvil угрожают слить в открытый доступ более десятка схем и чертежей компонентов MacBook.

Поскольку представители Quanta Computer отказались платить, операторы REvil действительно начали обнародовать схемы на своем сайте. Предположительно, хакеры решили, что шантажировать одного из основных клиентов Quanta Computer, компанию Apple, может быть выгоднее.

Источник изображения: The Record.

Сейчас на сайте злоумышленников опубликован 21 скриншот со схемами Macbook, и злоумышленники обещают публиковать новые данные каждый день, пока Apple или Quanta Computer не согласятся заплатить выкуп.

Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе и были проиндексированы поисковыми сервисами. Причина инцидента — размещение конфиденциальной информации на публичных досках бесплатного онлайн-менеджера проектов Trello.

Организации размещали на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учетные данные от корпоративных аккаунтов и пароли от различных сервисов. Сейчас по тематическим запросам в поисковых системах находится более 9 тыс. досок с упоминаниями логинов и паролей.

У компаний, данные сотрудников и клиентов которых оказались публично доступны, могут быть серьезные проблемы, поскольку подобная практика ведения бизнеса может вызвать вопросы у регулирующих органов: хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону «О персональных данных». За нарушение закона компаниям грозят штрафы.

 179   14 дн   дайджест   фишинг
Ранее Ctrl + ↓