Обзор новостей информационной безопасности с 21 по 28 марта 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Шпионская группировка PhantomCore атакует российские компании с помощью нового уникального трояна удаленного доступа PhantomRAT.

Схема действий преступников

1. Атаки PhantomCore начинаются с фишинговых писем, которые содержат защищенные паролем RAR-архивы (сам пароль содержится в теле письма).

2. Хакеры эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, где вместо ZIP-архивов используют RAR.

3. Архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл.

4. Если пользователь с версией WinRAR старше 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.

5. Если жертва использует версию WinRAR 6.23 и выше, пользователь увидит легитимный PDF-файл, содержащий «Акт сверки».

6. Финальной стадией атаки является троян удаленного доступа PhantomRAT. Хакеры используют .NET-приложения с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе путем создания запланированной задачи.

PhantomRAT представляет собой троян удаленного доступа, написанный на .NET. Вредонос может загружать файлы с управляющего сервера, выгружать файлы со скомпрометированного хоста на управляющий сервер, а также выполнять команды в интерпретаторе командной строки cmd.exe.

Мошенники обманывают пассажиров в аэропортах, представляясь сотрудниками кредитных организаций и предлагая обновить банковские приложения.

Схема действий преступников

1. Сначала якобы представитель кредитной организации предлагают действующему клиенту поучаствовать в акции и оформить бесплатную кредитную карту с выгодным лимитом. А затем указывает, что у потенциального заемщика старая версия мобильного банка, в которой нет такой акции.

2. Чтобы поспользоваться предложением, приложение нужно обновить. Однако утилиты санкционных банков удалены из магазинов приложений, поэтому подставной «банкир» направляет будущему заемщику сообщение для скачивания новой версии приложения по ссылке или предлагает подключить смартфон жертвы к ноутбуку мошенника «через проводочек» и закачать приложение.

3. На самом деле на смартфон скачивается вредоносное приложение, один в один повторяющее реальное.

4. Жертва, желающая получить кредитку, входит в мобильный банк, вводя логин и пароль.

5. Данные клиента отправляются мошеннику, который получает полный доступ к мобильному банку.

6. При смене устройства в системе уже реальной кредитной организации она может также попросить ввести код из SMS, но он перехватывается по той же схеме. Кроме того, злоумышленники способны переключиться на подтверждение с помощью кодов из puch-сообщений, которые поступают на смартфон преступника.

7. Пока человек в полёте, и его телефон выключен, злоумышленники заходят под его логином и паролем в реальный мобильный банк и выводят деньги.

Мобильная безопасность

В Google Play обнаружили 17 бесплатных VPN-приложений, которые превращали Android-устройства пользователей в резидентные прокси. Эти прокси продавались киберпреступникам и торговым ботам.

Все эти приложения использовали библиотеку разработчика (SDK) от LumiApps, которая содержит Proxylib, написанную на Go библиотеку для проксирования.

В декларации конфиденциальности LumiApps открытым текстом сказано, что устройства становятся частью сетей LumiApps, однако разработчики часто игнорируют такие заявления, а конечным пользователям и вовсе невдомек, что может твориться у них в фоне.

В ходе изучения вредоносных приложений были обнаружены признаки связи PROXYLIB с Asocks — провайдером услуг по проксированию трафика с помощью частных серверов. Чтобы объединить такие узлы в сеть и построить на ее основе прокси-сервис, добровольцам могут платить за установку proxyware, а остальным навязывать его обменным путем, вместе с кряками или под видом полезного софта.

Инциденты

Подразделение Национальной службы здравоохранения Великобритании NHS стало жертвой кибератаки вымогательской группы INC Ransom.

Хакеры утверждают, что украли 3 Тб данных, в том числе чувствительной информации, касающейся пациентов и медицинских работников. Власти заявили, что утечка данных ограничена данным регионом и не затронула всю систему NHS Scotland.

Чтобы надавить на жертву и склонить её к уплате выкупа, злоумышленники уже опубликовали часть украденных данных, включая результаты медицинских тестов (взрослых и детей), информацию о лекарствах, а также полные имена и домашние адреса пациентов. Также в утечке присутствуют данные о медицинских работниках.

Власти Великобритании настоятельно рекомендуют не платить никакие выкупы, хотя это и не запрещено законом, если преступники не внесены в санкционные списки.

Вымогательская кибератака на крупного вьетнамского брокера VNDirect вызвала кризис на вьетнамском фондовом рынке.

В результате атаки, которая произошла 23-24 марта, сервисы VNDirect перестали работать. Компания объявила о планах поэтапного восстановления доступа к своим услугам, начиная с аккаунтов клиентов и заканчивая финансовыми продуктами. Однако именно из-за поэтапного подхода, а также высокой нагрузки на системы компании, у клиентов возникают проблемы с доступом. Организация призвала к терпению и попросила клиентов подождать.

Последствия атаки ощутимы не только для самой VNDirect, но и для вьетнамского фондового рынка в целом. Так, биржа Ханоя (HNX) приняла решение временно приостановить онлайн-торговлю ценными бумагами через платформу VNDirect до полного урегулирования проблемы.

Отражение кризиса видно и на стоимости акций VNDirect, которые потеряли около 4% с начала недели. Кроме того, объем транзакций на бирже Хошимина упал на 10%, поскольку клиенты VNDirect не могли осуществлять торговые операции.

Компания-издатель популярного журнала для бездомных The Big Issue стала жертвой кибератаки вымогательской группировки Qilin. В результате атаки было украдено около 550 ГБ данных компании.

В опубликованной утечке содержатся личные данные руководителей и сотрудников:

• водительские права и информацию о зарплатах главы компании Пола Чила;
• паспортные данные и банковская информация Даньяла Саттара, гендиректора Big Issue Invest, подразделения социальных инвестиций The Big Issue;
• персональные и банковские данные многих сотрудников;
• не распространяемые публично финансовые отчёты компании.

В Big Issue сообщили, что у них нет доказательств, указывающих на компрометацию данных подписчиков журнала.

Популярная американская сеть пекарен Panera Bread столкнулась с серьезными перебоями в работе IT-систем по всей стране. Перестали работать системы онлайн-заказов, кассовые терминалы, телефонная связь и множество внутренних сервисов.

Хотя все рестораны продолжают работать, они принимают оплату только наличными. Участники программы лояльности временно не могут использовать накопленные баллы из-за неполадок в системе. Недоступны терминалы самообслуживания и корпоративные платформы с данными о сменах и графиках персонала.

Сайт и мобильное приложение Panera Bread также недоступны. В приложении отображается сообщение о проведении «важных работ по обслуживанию и модернизации систем».

Помимо перебоев в IT-инфраструктуре, не функционирует и служба поддержки клиентов — при звонке проигрывается сообщение о «непредвиденных обстоятельствах», не позволяющих сотрудникам ответить.

Хотя Panera Bread пока не выпустила официального заявления, время и масштаб инцидента могут указывать на кибератаку.

Белый хакер украл 4,6 млн долларов США из блокчейн-игры Super Sushi Samurai.

Команда Super Sushi Samurai (SSS) сообщила о взломе и текущем расследовании. Выяснилось, что белый хакер использовал уязвимость для перевода средств, с целью защиты пользователей, и попросил разработчиков связаться с ним.

Разработчик смарт-контрактов Coffee из Yuga Labs раскрыл, что причиной инцидента стал недостаток, позволяющий пользователям удваивать свои токены при выводе их с баланса игры. С помощью ошибки белый хакер опустошил ликвидные пулы на децентрализованных биржах, обменяв токены игры на 1 310 WETH, что равносильно 4,6 млн долларов США.

Переговоры с хакером привели к тому, что Super Sushi Samurai наняли его в качестве технического консультанта, а также выплатили вознаграждение в размере 5% от выведенной суммы, а также дополнительно 2,5% в токенах SSS.

Обзор новостей информационной безопасности с 15 по 21 марта 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания PhantomBlu, внедряет троянскую программу для удалённого доступа NetSupport RAT в компьютеры американских организаций.

Схема кампании

1. Атака начинается с фишингового письма от имени «бухгалтерской службы». Используя социальную инженерию, злоумышленники убеждают получателей просмотреть «ежемесячный отчет о заработной плате» в прикрепленном файле MS Word (.docx).

2. В тексте письма содержатся подробные инструкции по доступу к защищенному паролем «отчету».

3. При открытии вложения требуется ввести пароль.

4. Далее требуется разрешить редактирование документа и дважды кликнуть по иконке принтера для просмотра графика зарплаты.

5. Нажатие по принтеру запускает ZIP-архив с вредоносным ярлыком внутри.

6. Запуск этого ярлыка приводит к скачиванию и выполнению NetSupport RAT на целевой машине.

Атаки и уязвимости

Новый метод акустической атаки позволяет распознать ввод пользователя с клавиатуры по уникальным звуковым сигналам клавиш и паттернам набора текста.

Атака использует характерные звуковые колебания при различных нажатиях клавиш и конкретном типе набора текста, зафиксированном специализированным программным обеспечением.

Точность метода составляет всего 43%. И хотя это ниже, чем у других подобных методов, его применение не требует контролируемых условий записи. Достаточно лишь получить образцы печати от цели, чтобы связать конкретные звуки клавиш с текстом.

Звукозапись может производиться как с помощью отдельных скрытых микрофонов, так и через заражённые смартфоны или ноутбуки. Собранные данные позволяют обучить статистическую модель, создающую профиль индивидуального стиля печати пользователя, основываясь на интервалах времени между нажатиями клавиш.

Методика учитывает даже небольшие отклонения в поведении при наборе текста, что позволяет снизить влияние ошибок или шума при записи. Точность распознавания набранного можно повысить с помощью словаря для фильтрации предположений. Атака показала высокую эффективность в шумном окружении, с разными моделями клавиатур, с микрофонами низкого качества и при любом стиля печати жертвы.

Новая атака ArtPrompt использует ASCII-рисунки, чтобы заставить большие языковые модели, подобные GPT-4, забыть о запретах по выдаче опасных инструкций, например, по созданию взрывчатки.

Инструкция по изготовлению и распространению фальшивых денег, полученная от GPT в результате успешной атаки ArtPrompt.

Атака преобразует введенные пользователем запросы (промпты) в стандартные утверждения или предложения, в которых одно слово, называемое «маской», будет заменено ASCII-артом, а не буквами. В результате на промпты, которые в обычных условиях были бы отклонены, можно получить ответ.

Инциденты

Группировка Anonymous объявила о взломе компьютерной сети Центра ядерных исследований имени Шимона Переса в Израиле. Атака была представлена как акт протеста против войны в Газе.

Хакеры утверждают, что им удалось добыть и опубликовать тысячи документов, включая PDF-файлы, электронные письма и презентации PowerPoint, связанные с ядерной программой Израиля.

Группировка подчеркнула, что её действия носят антивоенный характер и не предполагают нанесение вреда гражданскому населению. Однако в одном из более ранних сообщений группы содержалось предупреждение о потенциальной опасности операции, сопровождаемое анимационным видеороликом, изображающим ядерный взрыв.

Пока нет официального подтверждения факта проникновения в инфраструктуру секретного объекта и кражи документов.

Российский регистратор доменов и хостинг-провайдер Рег.ру подвергся атаке хакеров группировки UHG, которые попытались проникнуть на один из серверов виртуального хостинга.

Атака произошла 18 марта. Злоумышленники использовали уязвимость программного обеспечения на сайте одного из клиентов Рег.ру и смогли дойти до подключения к серверу баз данных пострадавшего сервера. В этот момент их обнаружили и заблокировали.

Администрация хостинга сообщила, что нельзя говорить ни о каком хоть сколько-нибудь значительном повреждении баз Рег.ру или об угрозе для корпоративных клиентов. Специалисты компании уже закрыли возможности для эксплуатации использованной уязвимости, а также заменили учётные данные, попавшие в утечке.

Компания Electronic Arts была вынуждена отложить финалы турнира Apex Legends Global Series (ALGS) в Северной Америке после того как хакеры взломали профессиональных игроков прямо в ходе турнирного матча.

Участникам турнира подключили wallhack (возможность видеть сквозь стены) и aimbot (автоприцеливание и отсутствие отдачи и разброса во время стрельбы).

Во время матча между командами DarkZero и Luminosity в игровом клиенте одного из игроков DarkZero внезапно появился и заработал чит-инструмент TSM HALAL HOOK. Пострадавший получил возможность видеть позиции всех остальных участников игры на карте, и был вынужден покинуть матч, а в его команде стало на одного человека меньше.

Вместо того чтобы аннулировать результаты игры, EA просто объявила команду Luminosity победителем и перешла к следующему матчу.

Однако хакеры продолжили атаку, и на этот раз активировали aimbot игроку из команды TSM. ImperialHal оставался на сервере (решив, что он просто не будет стрелять) до тех пор, пока организаторы не вмешались и не остановили матч. После игра заблокировала его, обнаружив работающее читерское ПО. Его товарищ по команде тоже получил бан.

Предполагается, что атаку провели хакеры под никами Destroyer2009 и R4ndom, ники которых можно было заметить в окне чата Genburten в момент взлома.

Вскоре после этого происшествия официальный аккаунт Apex Legends Esports в социальной сети X объявил, что североамериканские финалы будут отложены, пока организаторы не обезопасят соревнования от внешнего вмешательства.

Позже человек, назвавшийся Destroyer2009, сообщил пользователю X AntiCheatPD, который собирает информацию о читах в видеоиграх, что он использовал некую RCE-уязвимость для взлома клиентов игроков ALGS.

EA отрицает наличие RCE-уязвимостей в своём ПО.

Кибератака нарушила работу телефонной сети в муниципальных службах города Пенсаколы во Флориде. Проблемы со связью затронули все городские департаменты.

Из-за инцидента возникли перебои в работе неотложных служб, однако экстренные номера, такие как 911, по-прежнему функционируют. Для различных ведомств, включая энергетику, санитарию, инженерные службы и жилищное хозяйство, были открыты временные альтернативные линии.

По сообщению администрации, международный аэропорт Пенсаколы и морской порт работают в штатном режиме.

Официальные представители отказались сообщить, имела ли атака вымогательский характер, заявили ли о себе злоумышленники и выплачивался ли выкуп.

Компания Fujitsu обнаружила, что несколько ее систем были заражены вредоносным ПО, и неизвестные хакеры похитили данные клиентов.

Сообщение на сайте компании гласит:

«Мы обнаружили присутствие вредоносного ПО на нескольких наших рабочих компьютерах, и в результате внутреннего расследования выяснилось, что файлы, содержащие персональные данные и информацию, связанную с нашими клиентами, могли быть незаконно изъяты. Убедившись в наличии вредоносного ПО, мы оперативно изолировали пострадавшие рабочие станции и приняли меры, в частности, усилили мониторинг других рабочих станций».

Fujitsu заявляет, что продолжит расследование и разберётся, как малварь проникла в ее бизнес-системы, и какие данные успели похитить ее операторы.

Пока компания не раскрывает подробностей случившегося, но можно предположить, что речь идет об атаке шифровальщика.

Телеграм-канал «Утечки информации» сообщает, что в свободный доступ были выложены дампы зарегистрированных пользователей и их заказов предположительно из базы данных интернет-магазина профессиональной косметики для волос profmagazin.

Данные датируются 17.03.2024 и содержат:

• имя/фамилия;
• адрес эл. почты (138558 уникальных адресов);
• телефон (85,022 уникальных номеров);
• адрес;
• хешированный (MD5 с солью) пароль;
• сумма заказа.

Агентство по трудоустройству France Travail, ранее известное как Pole Emploi, стало жертвой кибератаки, в результате которой произошла утечка данных более 43 млн граждан.

Преступники похитили личные данные зарегистрированных пользователей, включая их имена, номера социального страхования, даты рождения, адреса электронной почты, почтовые адреса, номера телефонов и идентификаторы пользователей. Утечка данных могла затронуть как текущих, так и прошлых соискателей за последние 20 лет.

Предварительные результаты этого расследования показали, что злоумышленники получили несанкционированный доступ к системам агентства 6 февраля, выдав себя за одного из сотрудников.

Хотя агентство подчёркивает, что банковские сведения и пароли от аккаунтов не были похищены, злоумышленники могут использовать доступные данные для получения недостающей информации из других источников.

Сообщество по кибербезопасности Франции выразило критику в адрес France Travail за недостатки в обеспечении безопасности, особенно учитывая, что агентство хранило данные пользователей за 20 лет с доступом из сети, а также затянуло с уведомлением соответствующих органов о взломе.

Международный валютный фонд (МВФ) сообщил о взломе 11 email-аккаунтов МВФ ведомства неизвестными злоумышленники.

МВФ обнаружил инцидент в феврале и сейчас проводит расследование, чтобы оценить последствия атаки. Пока не обнаружено никаких доказательств того, что злоумышленники получили доступ к другим системам или ресурсам помимо взломанных учетных записей электронной почты.

В сообщении МВФ говорится:

«Недавно Международный валютный фонд столкнулся с киберинцидентом, который был обнаружен 16 февраля 2024 года. Последующее расследование, проведенное с помощью независимых экспертов по кибербезопасности, определило характер взлома, и были приняты меры по устранению последствий. В ходе расследования было установлено, что одиннадцать учетных записей электронной почты МВФ были взломаны. Затронутые учетные записи были заново защищены. На данный момент не выявлено никаких признаков дальнейшей компрометации этих учетных записей. Расследование инцидента продолжается».

Хотя МВФ не предоставил никаких других подробностей об этой атаке «по соображениям безопасности», в беседе с журналистами издания Bleeping Computer представители организации подтвердили, что МВФ использует облачную email-платформу Microsoft 365, которая совсем недавно была взломана хакерами группировки Midnight Blizzard.

Обзор новостей информационной безопасности с 1 по 14 марта 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Организаторы фишинговой кампании Vcurms используют в качестве командного центра электронную почту, а вредоносный код хранят на публичных сервисах AWS и GitHub.

Особенности кампании

1. Преступники нацелены на устройства с установленной Java.

2. Пользователь должен скачать вредоносный Java-загрузчик, который служит вектором для распространения самого Vcurms и трояна STRRAT.

3. Вредоносные письма обычно маскируются под легитимные запросы с призывами проверить платежную информацию и загрузить файлы, размещенные на AWS.

4. После установки вредонос применяет классические фишинговые техники, в том числе поддельные имена и зашифрованные строки, для сокрытия своей вредоносной природы.

5. Компонент Vcurms в виде программы-трояна (RAT) связывается с командным центром через электронную почту, демонстрируя высокий уровень технической изощренности. Вредонос обеспечивает персистентность, копируя себя в папку автозагрузки, идентифицирует и отслеживает жертв с помощью кейлоггинга и функции восстановления паролей.

6. Чтобы избежать обнаружения и анализа, вредоносное ПО использует обфускатор.

7. Основная цель Vcurms — извлечение конфиденциальных данных из браузеров Chrome, Brave, Edge, Vivaldi, Opera, OperaGX, Firefox, а также из Discord и Steam.

Обнаружена кампания по краже учётных данных с использованием нового фишингового инструмента CryptoChameleon, нацеленная на сотрудников Федеральной комиссии по связи (FCC), а также пользователей и сотрудников криптовалютных платформ Binance, Coinbase, Kraken и Gemini.

Схема кампании

1. Злоумышленники регистрируют домены, похожие на домены легитимных сайтов. Например, для FCC они создали домен «fcc-okta[.]com», отличающийся всего на один символ от действительной страницы единого входа FCC (Single Sign-On, SSO) через Okta.

2. Атакующие могут звонить, отправлять электронные письма или SMS цели, притворяясь службой поддержки, и направлять их на фишинговый сайт для «восстановления» своих аккаунтов.

3. На сайте мошенников жертву встречает CAPTCHA. Это позволяет фильтровать ботов и добавляет правдоподобности процессу.

4. Пройдя CAPTCHA, посетитель видит фишинговую страницу, которая выглядит как точная копия настоящей страницы входа Okta.

5. После завершения фишингового процесса жертва может быть перенаправлена на подлинную страницу входа в систему или на поддельный портал, заявляющий, что её аккаунт находится на рассмотрении.

Набор для фишинга CryptoChameleon позволяет киберпреступнику взаимодействовать с жертвами в реальном времени, чтобы облегчить сценарии, например, запроса кодов многофакторной аутентификации (MFA) для захвата аккаунта цели.

Центральная панель управления процессом фишинга даёт атакующему возможность настраивать фишинговую страницу, включая в нее цифры телефонного номера жертвы, делая более правдоподобные запросы кода MFA.

Инциденты

Крупнейший американский ритейлер товаров для животных PetSmart стал жертвой целевой кибератаки.

Команда безопасности PetSmart 6 марта 2024 года оповестила клиентов, что их аккаунты стали целью атак, направленных на получение доступа к персональным данным. В качестве меры предосторожности компания сбросила пароли всех аккаунтов, которые использовались в период атак, так как не было возможности определить, был ли вход осуществлён владельцем аккаунта или злоумышленниками.

Представители PetSmart подчеркнули, что не было обнаружено никаких признаков компрометации самого сайта petsmart[.]com или других систем компании.

Вымогательская кибератака привела к остановке работы заводов пивоваренной компании Duvel Moortgat.

Сообщается, что в ночь на 5 марта 2024 года IDS-системы засекли кибератаку. Производство пива было немедленно остановлено, и пока неизвестно, когда оно возобновится. В компании заверили, что это не скажется на распределении продукции благодаря наличию достаточного количества пива на складах.

Неизвестно, затронула ли кибератака производственные мощности в Антверпене, Оуденаарде и Ашуффе или преступники напали только на главный завод Duvel в Бреендоке, Бельгия. Также не сообщается, затронула ли атака конфиденциальные данные компании.

Пока ни одна из вымогательских группировок не взяла на себя ответственность за атаку на Duvel.

Вымогательская группировка BlackCat (ALPHV) заявила, что правоохранительные органы захватили ее сайт и инфраструктуру, после чего выключили все сервера и скрылись с 22 млн долларов США, полученных отт последней жертвы.

В начале марта ИБ-специалисты заметили, что прекратил работу блог BlackCat, а также сайты для переговоров с жертвами. Вскоре партнер группировки обвинил создателей BlackCat в хищении 22 млн долларов США.

Один из аффилиатов вымогателей с псевдонимом notchy заявил, что именно он взломал Optum, и у него остались 4 ТБ «критически важных данных Optum», включая «производственную информацию, которая затрагивает всех клиентов Change Healthcare и Optum». При этом после получения денег BlackCat заблокировала его партнерский аккаунт и забрала все средства из кошелька.

В доказательство своих слов notchy приложил к сообщению криптовалютный адрес с девятью транзакциями: первоначальным входящим переводом в 350 биткоинов (около 23 млн долларов США) и восемью исходящими. Причем адрес, с которого пришли биткоины, содержит всего две транзакции: одна — получение 350 биткоинов, другая — отправка их на кошелек, связанный с BlackCat.

На Tor-сайте BlackCat появилась заглушка, сообщающая, что ресурс захвачен и конфискован ФБР, Минюстом США, Национальным агентством по борьбе с преступностью Великобритании (NCA).

По мнению экспертов, сообщение о захвате — фальшивка, поскольку картинка находится в папке с именем «/THIS WEBSITE HAS BEEN SEIZED_files/». Хакеры поленились сделать сайт, и просто показали сохранённую картинку уведомления со старого сайта утечек с помощью Python HTTP-сервера.

American Express сообщила, что информация о картах платёжной системы была скомпрометирована в результате хакерской атаки на неназванный процессинг.

В заявлении компании сказано, что сторонний поставщик, услугами которого пользуются многие компании, столкнулся с несанкционированным доступом к своим системам. Номер счета текущей или ранее выпущенной карты American Express, имя и другая информация о карте (например срок ее действия) могли быть скомпрометированы. Подчёркивается, что системы, принадлежащие American Express или контролируемые ею, не были скомпрометированы в результате этого инцидента.

Пока неясно, сколько людей пострадало от этой атаки, когда это случилось, и какой именно процессинговый центр был взломан. Представители American Express сообщили СМИ, что не раскрывают данные о своих деловых отношениях и торговых партнерах, и не могут предоставить никакой дополнительной информации об инциденте.

Хак-группа Mogilevich, заявившая о взломе Epic Games, на самом деле никого не взламывала. Злоумышленники признались, что громкие заявления о взломах были фальшивкой для привлечения внимания.

Группировка сделала вид, будто публикует украденные у Epic Games данные, но вместо информации по ссылке было опубликовано следующее заявление:

«Возможно, вы задаетесь вопросом, зачем все это, и сейчас я все вам объясню. На самом деле мы не ransomware-as-a-service („вымогатель-как-услуга“), а профессиональные мошенники. Ни одна из баз данных, перечисленных в нашем блоге, не была взломана. Мы воспользовались громкими именами, чтобы как можно быстрее получить известность, но не для того, чтобы прославиться и добиться признания».

Мошенники сообщили, что благодаря созданной ими шумихе, они продали доступ к своей несуществующей вымогательской инфраструктуре восьми заинтересовавшимся хакерам, причем в последний момент удвоили цену.

Неизвестный хакер взломал платформу для выдачи займов Займер и выложил в открытый доступ 500 тыс. записей.

Полный дамп, по словам хакера, содержит 16 млн записей о займах россиян и продаётся на форуме для любителей утечек.

БД содержит следующие поля:

• Ф.И.О.;
• Дата рождения;
• Телефон;
• Место рождения;
• Адрес;
• Реквизиты документа;
• ИНН.

Данные актуальны на февраль 2024 года.

В результате кибератаки на Chunghwa Telecom, крупнейшую телекоммуникационную компанию Тайваня, украдено 1,7 ТБ данных, включая информацию, связанную с государственным устройством острова.

Утекшие данные были выставлены на продажу в теневом сегменте Интернета 23 февраля 2024 года пользователем под ником «303» с подписью «Monogon» на аватаре.

Министерство обороны Тайваня официально подтвердило взлом. По предварительным данным, хакерам удалось получить доступ к конфиденциальной информации Chunghwa Telecom.

Как сообщается, украдены секретные документы вооружённых сил Тайваня, министерства иностранных дел, береговой охраны и других правительственных подразделений. Тем не менее, в Министерстве обороны Тайваня утверждают, что никакая секретная информация раскрыта не была.

В результате сложной фишинговой атаки европейская розничная сеть Pepco перевела мошенникам крупную сумму денег.

Жертвой киберпреступников стало венгерское подразделение Pepco Group, сотрудники которого отправили мошенникам 15,5 млн евро.

Pepco подчеркнула, что кибератака не коснулась личных данных простых покупателей, поставщиков или персонала и заверила клиентов и бизнес-партнёров в стабильности финансового положения компании, указав на наличие доступа к более чем 400 млн евро ликвидности из наличных и кредитных средств.

Пока неясно, удастся ли вернуть деньги. Компания взаимодействует с правоохранительными органами и банками, пытаясь найти и заморозить похищенные средства.

Эксперты предполагают, что Pepco стала жертвой атаки с компрометацией деловой переписки (Business Email Compromise, BEC-атака).

Власти британского города Лестер отключили системы управления города и критически важные телефонные линии из-за киберинцидента.

Нарушение в работе услуг было впервые замечено 7 марта, а решение о временном отключении было принято с целью предотвращения возможных негативных последствий.

Уже 8 марта местные власти официально окрестили возникшую проблему как «киберинцидент», под которым часто подразумевают атаки с использованием вредоносного ПО, хотя официального подтверждения этого факта пока нет.

Эксперты в области кибербезопасности выразили подозрения, что за нарушением может стоять атака с использованием программы-вымогателя, однако пока ни одна из известных вымогательских группировок не взяла на себя ответственность за происшествие.

Группировка LockBit взяла на себя ответственность за атаку на пенсионный фонд госслужащих Южной Африки (GPAA). Инцидент нарушил работу организации и парализовал выплату пенсий.

Сначала GPAA уведомило о том, что в результате кибератаки 16 февраля нарушения защиты данных не произошло. Однако 11 марта LockBit опубликовала некоторые данные GPAA, а на следующий день стало известно о том, что предварительное расследование выявило компрометацию некоторых систем GPAA.

Представитель GEPF сообщил, что GPAA ведет расследование предполагаемой утечки данных и ее влияния на GEPF, подтверждая, что были предприняты меры по предотвращению несанкционированного доступа к системам, включая отключение и изоляцию затронутых участков сети. GPAA также подтвердило, что система выплат пенсий не пострадала.

Инфраструктура органов государственной власти Франции подверглась DDoS-атаке «беспрецедентной интенсивности».

Ответственность за нападение взяли на себя сразу несколько хакерских группировок, включая Anonymous Sudan, которая заявила о проведении DDoS-атаки на сетевую инфраструктуру французского правительства. Как следует из опубликованного во вторник сообщения самой группировки, атака продолжается, и французы не в состоянии противодействовать ей.

Целью атак стали несколько правительственных служб, однако неясно, ограничивались ли атаки лишь публично доступными сайтами правительства Франции.

Французское правительство заявляет, что специалисты оперативно принимают меры защиты, благодаря чему удар по большинству сервисов удалось смягчить, а затем и полностью восстановить доступ к ним.

Злоумышленникам удалось проникнуть в критически важные программные системы Microsoft, причём недавно стало известно, что масштабы инцидента оказались гораздо серьёзнее, чем предполагалось.

Злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Доступ к исходному коду позволяет проводить последующие атаки на другие системы.

Масштабы атаки и конкретные цели действий хакеров до сих пор неизвестны, но эксперты указывают на то, что атаку провела группа Midnight Blizzard, также известная как NOBELIUM. Microsoft утверждает, что группировка спонсируется правительством Российской Федерации и занимается сбором разведданных.