Обзор новостей информационной безопасности с 19 по 25 января 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты F.A.C.C.T. предупреждают о мошеннической схеме FakeBoss, в ходе которой преступники звонят жертвам, используя подмену голоса и выдавая себя за руководителя организации.

Особенности кампании:

• для генерации фальшивок мошенники используют искусственный интеллект;
• атака актуальна для малого и среднего бизнеса, где многие вопросы решаются напрямую с владельцем компании;
• злоумышленники создают фейковый аккаунт руководителя, как правило, в Telegram. При этом ФИО и фотография используют реальные, взятые с официального сайта, из социальный сетей или «из огромного количества утечек персональных данных»;
• мошенник не пишет сообщения подчиненному, а сразу звонит через мессенджер, используя аудиодипфейк голоса руководителя;
• злоумышленника пытается «войти в доверие и заставить подчиненного, например главного бухгалтера организации, провести платеж на счета преступников»;
• в мошеннической схеме с использованием ИИ для подмены голоса злоумышленникам нужно получить фрагмент речи, который будет использован для обучения нейросети. Хакеры могут, например, записать разговор, зная телефонный номер жертвы, или взломать аккаунт в мессенджере и получить доступ к голосовым сообщениям пользователя.

Телефонные мошенники с помощью социнженерии оформляют заявки на кредиты и микрозаймы через крупнейший финансовый маркетплейс «Банки.ру».

Схема действий преступников

1. Мошенник, располагая некоторыми важными сведениями о жертве, по телефону сообщает ей о поступившем на ее имя письме в МФЦ. Для убедительности называется реальный адрес центра.

2. Мошенник предлагает направить письмо на почту жертвы по месту ее прописки, а затем сообщает, что через СМС ей придет номер отправления.

3. На самом деле это код для подтверждения регистрации на «Банки.ру». Сообщая его, жертва обмана добровольно передает право доступа к финансовой платформе, открывая злоумышленникам возможность действовать от ее имени, в том числе подавать заявки на оформление кредитов и микрозаймов.

4. Используя этот код, злоумышленник через платформу и подаёт в банк или МФО заявление на кредит.

МВД РФ предупреждает о новой мошеннической схеме, реализуемой через систему быстрых платежей.

Схема кампании:

1. Потенциальная жертва, заинтересовавшись дорогостоящим товаром в интернет-магазине, оставляет на сайте заявку на его приобретение.

2. После этого покупателю поступает звонок или сообщение в мессенджере от лица, который представляется сотрудником этого магазина.

3. Он подтверждает, что интересующий товар есть в наличии, и его даже можно приобрести со скидкой, но только при условии оплаты через «Систему быстрых платежей» по QR-коду.

4. В случае согласия злоумышленник присылает в мессенджер ссылку, ведущую на страницу с формой оплаты по QR-коду.

5. Как только доверчивый покупатель подтверждает платеж, деньги отправляются на счёт мошенника.

6. Реализация подобной мошеннической схемы возможна, когда учётные данные модераторов и администраторов таких сайтов скомпроментированы.

Инциденты

Сеть быстрого питания Subway стала жертвой операторов вымогателя LockBit.

Злоумышленники заявили, что им удалось похитить сотни гигабайт конфиденциальных данных и ждут уплаты выкупа до 2 февраля. По истечении этого времени украденная информация будет опубликована.

В сообщении LockBit говорится, что они «выгрузили всю внутреннюю систему Subway, которая включает сотни гигабайт данных и все финансовые ожидания компании, включая зарплаты сотрудников, выплаты роялти за франшизу, обороты ресторанов».

Группировка пока не опубликовала никаких образцов украденных данных. В Subway подтверждают, что знают о заявлениях LockBit и «изучают их обоснованность». Сумма выкупа пока не сообщается.

Британская компания Southern Water, отвечающая за водоснабжение и водоотведение на юге Англии, стала жертвой кибератаки вымогателей Black Basta.

24 января 2024 года хакерская группировка Black Basta опубликовала на своем сайте заявление о взломе компьютерных сетей Southern Water и хищении конфиденциальных данных объемом 750 гигабайт. Среди похищенной информации — паспорта и удостоверения личности сотрудников, а также другие конфиденциальные данные.

Злоумышленники пригрозили обнародовать украденные данные 29 февраля, если не получат от компании выкуп. Сумма выкупа пока неизвестна. В качестве доказательства взлома хакеры опубликовали скриншоты некоторых похищенных файлов.

На хакерском форуме появилось объявление о продаже данных 15 млн пользователей Trello. Дамп содержит email-адреса, имена пользователей, полные имена и другую информацию об учетных записях.

ИБ-исследователи выяснили, что хакер использовал общедоступный API Trello для связывания почтовых адресов с профилями людей.

В Trello сообщили, что данные были получены не в результате взлома систем компании, а путем обычного скапинга публично доступной информации. Злоумышленник воспользовался публично доступным API компании, который позволяет запрашивать публичную информацию о профиле человека на основе Trello ID или имени пользователя.

Он обнаружил, что можно обратиться к API, используя адрес электронной почты, и если существует связанный с ним аккаунт, будет выдана информация об этом профиле.

Чтобы преодолеть ограничение API по скорости на один IP-адрес, злоумышленник рассказал, что закупил прокси для ротации соединений.

Производитель аппаратных криптокошельков Trezor сообщил об утечке данных в результате несанкционированного доступа к стороннему порталу технической поддержки.

Сообщается, что атака затронула email-адреса, номера телефонов и другую личную информацию 66 000 пользователей, которые взаимодействовали со службой поддержки Trezor в период с декабря 2021 года по настоящее время.

Cпециалисты Trezor уже обнаружили 41 случай использования утекших данных: злоумышленники связывались к пользователям, чтобы обманом вынудить их выдать seed для восстановления, необходимый для получения доступа к кошельку.

В частности, злоумышленники рассылают пользователям Trezor письма, похожие на автоматический ответ от службы поддержки, с просьбой раскрыть seed-фразу, состоящую из 24 слов, которая ранее использовалась для настройки устройств Trezor. В фишинговом послании утверждается, что seed необходим только для валидации прошивки и не будет «доступен людям».

Представители компании уже уведомили о случившемся всех потенциально затронутых пользователей, и предупреждают их о начавшихся фишинговых атаках. В компании отмечают, что о случаях успешных атак пока не сообщалось.

Финская хостинговая компания Tietoevry стала жертвой атаки вымогательской группировки Akira. Инцидент произошел в ночь с пятницы на субботу в одном из дата-центров компании в Швеции.

В результате атаки были зашифрованы серверы виртуализации и управления, которые использовались для размещения веб-сайтов и приложений множества шведских компаний. Это привело к масштабным сбоям в их работе.

Среди пострадавших сеть кинотеатров Filmstaden, розничная сеть Rusta, производитель стройматериалов Moelven и сельскохозяйственный поставщик Grangnården. Перестала работать бухгалтерская система Primula, которой пользуются университеты, колледжи и госучреждения Швеции, включая Каролинский институт, Университет Веста и Стокгольмский университет.

В Tietoevry сообщили, что смогли незамедлительно изолировать пострадавшую платформу, поэтому атака затронула только часть шведского дата-центра и не повлияла на другую инфраструктуру компании.

Microsoft стала жертвой кибератаки группировки Midnight Blizzard, которая проникла в несколько корпоративных почтовых аккаунтов компании, в числе которых аккаунты высшего руководства и сотрудников, отвечающих за кибербезопасность и юридические функции.

Примечательно, что хакеры не пытались похитить данные клиентов или конфиденциальные бизнес-сведения. Вместо этого, как сообщает Microsoft, преступники пытались выяснить, что известно Microsoft о группе Midnight Blizzard.

Для взлома использовали атаку «распылением паролей». Это позволило получить доступ к некоторому количеству корпоративных почтовых ящиков. Компания не раскрыла, сколько аккаунтов было взломано и какая именно информация была доступна хакерам.

Атака не была вызвана уязвимостью в продуктах или услугах Microsoft. Нет доказательств того, что злоумышленники получили доступ к средам клиентов, производственным системам, исходному коду или системам искусственного интеллекта.

Обзор новостей информационной безопасности с 12 по 18 января 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружены фишинговые рассылки с трояном удаленного доступа, адресованные российским маркетплейсам, торговым сетям, банкам, IT-компании, телекоммуникационной и строительной компании.

В случае успеха злоумышленники могли получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров.

Схема кампании

1. Преступники использовали различные схемы распространения вредоносного ПО.

2. В ноябре 2023 года они рассылали с адреса sergkovalev@b7s[.]ru фишинговые письма с темой «Оплата сервера».
3. В письмах содержалось два вида вложения: «скрин оплаты за сервер.zip» или «скрин оплаты за сервер.pdf.zip».
4. В первом архиве содержался файл «скрин оплаты за сервер.scr», который установит на компьютер жертвы троян удаленного доступа DarkCrystal RAT. В данном случае командным центром (C2) DarkCrystal RAT является IP-адрес 195.20.16[.]116.

5. Во втором архиве содержался загрузчик «скрин оплаты за сервер.pdf.exe», который устанавливал ранее неизвестное ВПО, получившее название RADX RAT.

6. В декабре последовала новая волна рассылок с темами «Подтверждение оплаты», «Не прошла оплата» и «Агрокомбинат ГК».

7. Злоумышленники рассылали два разных архива с одинаковым названием «Платежное поручение №24754 от 4 декабря 2023 г..jpg.zip». В первом был .SCR файл, во втором был исполняемый EXE. Оба загрузчика устанавливали DarkCrystal RAT.

8. В письмах с темой «Агрокомбинат ГК» злоумышленники доставляли ссылку на запароленный архив «TZ_Maket_DopInfo.zip»:

Банк России предупреждает, что мошенники для обмана граждан стали подделывать голоса родных и знакомых потенциальной жертвы.

Чтобы вынудить человека сообщить необходимые сведения или совершить денежный перевод, злоумышленники могут выходить на контакт с человеком от имени знакомых, родных или коллег, имитируя их голоса с помощью специальных программ.

Злоумышленники активно применяют комбинированные схемы мошенничества, преимущественно телефонного. При этом все чаще они создают адресные схемы, которые составлены по цифровому портрету человека. Составить его мошенники могут, например, на основании информации, которую сам гражданин размещает на открытых интернет-ресурсах: о родственниках, друзьях, работе, досуге.

Представитель регулятора отметил:

«Мы рекомендуем людям осторожно подходить к размещению личной и финансовой информации в социальных сетях и других открытых ресурсах. Никогда не пересылайте в мессенджерах и социальных сетях сведения из документов, не вводите на сомнительных сайтах свои данные. Не нужно совершать какие-либо денежные операции по просьбе лиц, поступающей по телефону.»

Троянец удалённого доступа Remcos распространяют, маскируя его под игры для взрослых на популярных веб-хранилищах данных, таких как WebHard.

В новой вредоносной кампании пользователям, которые хотят скачать игры для взрослых, подсовывают файлы, запускающие скрипты на Visual Basic. Эти скрипты запускают ещё один загрузчик, реализованный в виде исполняемого файла «ffmpeg.exe». Этот «кодек», в свою очередь, загружает Remcos RAT с сервера злоумышленников.

Remcos RAT, разработанный немецкой компанией Breaking Security в 2016 году как законный инструмент удалённого администрирования Windows, быстро превратился в орудие злоумышленников. Программа позволяет тайно управлять заражёнными системами и следить за пользователями, а также похищать конфиденциальные данные.

Remcos RAT имеет богатый набор функций, в том числе он умеет записывать нажатия клавиш, записывать аудио, создавать скриншоты. Вредонос способен отключать контроль учетных записей пользователей (UAC) и устанавливать постоянное присутствие в системе.

Мошенники стали использовать фишинг для взлома потерянных или похищенных iPhone.

Схема действий мошенников

1. Злоумышленники отправляют владельцам гаджетов фальшивые сообщения от имени сервиса iCloud, в которых якобы содержатся ссылки с указанием местоположения устройств.

2. При переходе по этой ссылке пользователи оказываются на странице, копирующей стиль оформления компании Apple, где им предлагается ввести логины и пароли от iCloud.

3. Как только пользователь вводит свои данные, они оказываются у злоумышленников. Этот процесс автоматизирован — запрос логинов и паролей от iCloud через «левые» сайты у мошенников поставлен на поток, и происходит без участия человека.

4. Злоумышленники понимают, что пользователь ищет свой девайс, если тот активирует сервис FindMyDevice и посылает на него сообщение примерно такого содержания: «Если вы случайно нашли этот гаджет, то позвоните по телефону за вознаграждение». Именно это сообщение и активирует всю мошенническую схему от имени сервиса iCloud.

Инциденты

Тайваньская компания Foxsemicon стала жертвой вымогателей LockBit.

На официальном веб-сайте Foxsemicon хакеры разместили сообщение о краже персональных данных клиентов компании, в котором угрожают опубликовать украденную информацию на своём сайте в даркнете, если не получат выкуп.

Преступники утверждают, что им удалось похитить 5 Тб данных.

Foxsemicon пообещала, что сайт скоро будет восстановлен и сообщила, что инцидент «не должен существенно повлиять на операции компании». Компания не раскрыла информацию о сумме требуемого выкупа и пока не подтвердила утечку персональных данных клиентов или сотрудников.

После инцидента стоимость акций Foxsemicon Integrated Technology Inc. (FITI) на тайваньском рынке упала примерно на 3 процента.

Из-за неправильно настроенного сервера компания Toyota Tsusho Insurance Broker India (TTIBI) допустила утечку более 650 000 электронных сообщений клиентов объёмом около 25 ГБ.

Веб-страница калькулятора страховых выплат на сайте TTIBI содержала функцию отправки электронной почты через серверный API. Это давало возможность отправлять электронные письма от имени компании.

Исследователь попытался использовать обнаруженный API для отправки сообщения, и вместо ожидаемой ошибки «отказ в доступе» получил логи сервера, раскрывающие пароль (в кодировке Base64) от аккаунта Eicher Motors в Microsoft Office 365, использовавшийся для отправки автоматических писем клиентам с адреса noreply@.

Через аккаунт можно было получить доступ к содержимому всех отправленных клиентам писем, включая страховые полисы с личной информацией и ссылки для сброса паролей.

Город Кальвиа на испанском острове Майорка стал жертвой вымогательской атаки, из-за которой до конца января приостановлен весь административный документооборот с населением, в том числе подача гражданских исков и запросов.

Преступники потребовали огромную для городка с населением 50 тыс. человек сумму выкупа в 10 млн евро.

Мэра Кальвиа записал видеообращение, в котором сообщил, что выплачивать выкуп не планируется. Власти города объяснили, что прилагают все усилия для скорейшего восстановления нормального функционирования услуг.

На официальном сайте городского совета сообщается о создании комиссии для оценки масштабов кибератаки и восстановления нормальной работы систем.

Телеграм-канал «Утечки информации» сообщает, что на одном из теневых форумов выставлена на продажу база данных клиентов и заказов предположительно интернет-магазина «Первый Мебельный».

Продавец утверждает, что в базе содержится 16 млн строк заказов и 1,5 млн записей клиентов.

По нашей информации всего в дампе этой базы данных находится 1 368 120 уникальных номеров телефонов и 635 412 уникальных адресов эл. почты.

Данные в дампе датируются 29.12.2023.

Представители Британской библиотеки, три месяца назад пострадавшей от вымогательской кибератаки группировки Rhysida, приступили к восстановлению основного онлайн-каталога библиотеки, содержащего 36 млн книг, карт, журналов и музыкальных партитур.

Пока доступ к онлайн-каталогу предоставляется только в режиме чтения, а полное восстановление сервисов национальной библиотеки может завершиться лишь к концу 2024 года.

Восстановленный онлайн-каталог позволит читателям искать материалы, однако проверка доступности изданий и заказ их для работы в читальных залах будет осуществляться в изменённом формате. Доступ ко многим ключевым коллекциям библиотеки, включая архивы и рукописи, также будет восстановлен, однако для работы с некоторыми из них придётся прийти в библиотеку.

Популярная вики-платформа Liquipedia допустила утечку данных пользователей.

Источник утечки — используемая Liquipedia база данных MongoDB, для доступа к которой не требовался пароль. В результате были обнародованы логины и прочие данные 119 тысяч пользователей Liquipedia, а также информация об администраторах платформы. Размер всей утекшей базы данных составил 77 МБ.

Скомпрометированные данные содержали:

• идентификаторы пользователей;
• адреса электронной почты пользователей;
• статус проверки адресов электронной почты;
• статус двухфакторной аутентификации;
• дату создания учётной записи.

Помимо этого, была обнародована и более чувствительная информация, например, секретные ключи доступа к аккаунтам Liquipedia в социальных сетях.

Некоммерческая организация Water for People стала жертвой киберпреступников из группировки Medusa.

Вымогатели требуют от Water for People выкуп в размере 300 тыс. долларов США за неразглашение украденной информации. Какая именно информация оказалась в руках злоумышленников — не сообщается.

Представитель Water for People сообщил, что украденные хакерами данные относятся к периоду до 2021 года и устарели, финансовая система организации не пострадала, а работа систем не была нарушена. Организация работает с ведущими ИБ-компаниями над усилением защиты систем и предотвращением подобных инцидентов в будущем.

Примечательно, что атака произошла после того, как Water for People получила грант в размере 15 млн долларов США от Маккензи Скотт, бывшей жены основателя Amazon Джеффа Безоса. Однако нет никаких доказательств, что организация была выбрана в качестве цели из-за этого пожертвования.

Обзор новостей информационной безопасности с 29 декабря 2023 года по 11 января 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная схема кибермошенничества, из-за которой 500 пользователей криптовалютной биржи Coinbase лишились 20 млн долларов США.

Схема действий мошенников

1. Мошенники использовали фишинговые сайты, включая coinbasepro[.]com, для перенаправления жертв на поддельные страницы Coinbase.

2. При входе на сайт жертвы получали сообщение о компрометации своего аккаунта и необходимости немедленно связаться с сервисной службой по телефону.

3. Далее мошенники убеждали жертву ввести код верификации, отправленный по SMS, в чате на поддельном сайте, который выдавал себя за Coinbase, и переводили всю криптовалюту себе.

Сервис Coinbase, сотрудничая с правоохранительными органами, заявил о приоритете безопасности пользователей и переходе на аппаратные ключи для верификации вместо кодов, которые могут быть перехвачены. Компания также получила контроль над доменом coinbasepro[.]com в июне 2022 года, спустя почти 2 года после начала фишинговой атаки.

Обнаружена новая схема мошенничества, направленная против жертв вымогательского ПО.

Схема действий преступников

1. С жертвами вымогательского ПО связывалось лицо, представляющееся исследователем безопасности.
2. Неизвестный утверждает, что имеет доступ к украденным данным через серверы групп вымогателей.
3. Общение ведется через анонимный мессенджер Tox;
4. Эксперт готов предоставить доказательства доступа к украденным данным;
5. Для демонстрации доступа к данным жертвы используется файловый сервис file.io.
6. Чтобы простимулировать жертву, ей намекают на риск будущих атак, если она откажется от услуг «эксперта».

Одной из жертв было предложено взломать сервер группы вымогателей и удалить украденные данные. Другой жертве злоумышленник предложил доступ к серверам, где хранились украденные данные, с возможностью их удаления или предоставления доступа к серверу самой жертве. За свои услуги мошенники требовали оплату в размере около 5 BTC (примерно 225 тыс. долларов США).

Банк России предупреждает о действиях мошенников, которые на  интернет-сайтах, в социальных сетях и мессенджерах, а также по электронной почте предлагают гражданам решить вопросы с их активами, заблокированными «иностранными учетными институтами».

Для «разблокировки» требуется перевести на счёт компании, которая якобы оказывает такие услуги, сумму, равную стоимости замороженных активов. Людям обещают, что эти деньги вернуться в двойном размере.

Аферисты могут выдавать себя за финансовую организацию, но при этом не иметь лицензии Банка России.

Обнаружен новый вид мошенничества в Telegram.

Схема действий преступников

1. Взломав чужой аккаунт, хакеры начинают писать другим контактам от лица жертвы и шлют фальшивые голосовые сообщения, тоже от лица владельца скомпрометированной учетной записи.
2. Для генерации таких аудиосообщений используются нарезки из реальных голосовых сообщений пострадавшего.

3. Фальшивые голосовые сообщения дублируются в личную переписку и во все чаты, где состоит хозяин угнанного аккаунта.
4. Вслед за этим взломщики прикладывают фото банковской карты с именем и фамилией, и просят денег.

5. У одной из жертв имя и фамилия в соцсетях отличались от информации в паспорте, но мошенники использовали именно его паспортные данные. Сумма, которую хотели заполучить преступники, составляла 200 000 рублей.

Инциденты

Fidelity National Financial (FNF), один из крупнейших поставщиков услуг по страхованию недвижимости и ипотечным операциям в США, стал жертвой кибератаки. Хакеры проникли в IT-системы компании и похитили данные 1,3 млн. клиентов.

В результате атаки компании пришлось временно отключить некоторые IT-системы, что повлияло на предоставление услуг в области недвижимости и ипотеки. Агенты по недвижимости, покупатели жилья и многие другие участники сделок оказались в затруднительном положении в течение нескольких дней после нападения, поскольку продажи объектов недвижимости не удалось завершить.

Ответственность за атаку взяла на себя группировка ALPHV (BlackCat), однако хакеры не раскрыли подробностей о похищенных данных. Вскоре после атаки сайт утечек группировки был захвачен ФБР.

Fidelity National Financial до сих пор не называет инцидент атакой с использованием программ-вымогателей и не отвечает на запросы о характере киберинцидента.

В начале января кибершпионская группировка Sticky Werewolf попыталась сорвать новогодние праздники в России. Хакеры отправили около 250 фишинговых писем на электронные адреса российской телекоммуникационной компании 2 и 3 января.

Письма отправлялись якобы от имени ФСБ, призывая получателей предоставить заверенные копии документов и содержали ссылку на скачивание вредоносного файла. Скачивание файла приводило к установке трояна удаленного доступа Darktrack RAT (Remote Access Trojan, RAT).

Письма, отправленные с бесплатного почтового сервиса, включали фразу, нехарактерную для официального обращения («Заранее благодарны за срочность в предоставлении информации»).

Кибервымогатели Black Hunt атаковали подразделение крупнейшего мобильного оператора Парагвая, компанию Tigo Business.

У компаний, размещающих сайты на хостинге Tigo Business, наблюдаются перебои в работе веб-сайтов.

Компания подтвердила инцидент:

«4 января мы стали жертвой инцидента безопасности в инфраструктуре Tigo Business Paraguay, который повлиял на работу некоторых конкретных сервисов, используемых небольшой группой клиентов».

В заявлении отмечается, что атака не затронула интернет, телефонную связь и электронные кошельки Tigo Money.

Сообщается, что было зашифровано более 330 серверов, резервные копии также были скомпрометированы.

Компания Ultra Intelligence & Communications (Ultra I&C), американское дочернее подразделение британской оборонной корпорации Ultra, стала жертвой атаки вымогателей ALPHV (BlackCat).

Хакеры ALPHV утверждают, что в ходе атаки, произошедшей 27 декабря 2023 года, было похищено 30 ГБ данных. Представители Ultra I&C пока не прокомментировали новости об утечке.

Публикация ALPHV включает в себя разнообразную информацию, в том числе аудиторские, финансовые и персональные данные сотрудников. Преступники утверждают, что в похищенных данных содержится информация, касающаяся ФБР, НАТО, Швейцарии, Израиля и ряда оборонных компаний.

Швейцарское Федеральное оборонное управление подтвердило, что утечка данных затронула Военно-воздушные силы (ВВС) страны.

Сайты и онлайн-сервисы нескольких ремесленных палат Германии оказались недоступными после кибератаки на MSP-провайдера (Managed Service Provider, MSP).

Кибератака повлияла на дата-центр неназванной ИТ-службы и была обнаружена в первую неделю января. Из-за инцидента все системы затронутых палат были отключены, а сетевые соединения разорваны.

На сайтах пострадавших палат в настоящее время указано, что они недоступны из-за сбоя системы. Ведется работа по оценке и устранению последствий инцидента.

Неустановленные злоумышленники взломали интернет-магазин товаров для маникюра parisnail.ru и опубликовали базу данных его клиентов.

База содержит:

• ФИО,
• адрес эл. почты (315 тыс. уникальных адресов),
• телефон (241 тыс. уникальных номеров),
• хешированный (MD5 с солью) пароль,
• пол,
• дату рождения,
• детали заказа.

Данные актуальны на 01.01.2024.

Неизвестные киберпреступники взломали официальные аккаунты Netgear и Hyundai MEA в соцсети X для реализации мошеннических схем, направленных на кражу криптовалютных кошельков.

Hyundai уже удалось вернуть контроль над своим аккаунтом и очистить ленту от всех ссылок, ведущих на вредоносные сайты. Однако Netgear до сих пор не смогла восстановить доступ к своему аккаунту, и некоторые твиты злоумышленников все еще доступны в X.

Атакующие переименовали аккаунт Hyundai MEA (Middle East & Africa), чтобы выдать его за аккаунт NFT-игры Overworld — кроссплатформенной многопользовательской RPG, поддерживаемой Binance Labs, венчурным фондом и инкубатором криптобиржи Binance.

Аккаунт Netgear использовался для рекламы вредоносного сайта BRC App и  заманивал подписчиков, обещая 100 тыс. долларов США первой тысяче зарегистрированных пользователей.

Криптовалютный платежный шлюз CoinsPaid столкнулся со второй кибератакой за последние полгода, в результате которой были обнаружены неавторизованные транзакции на сумму около 7,5 млн долларов США.

Искусственный интеллект Cyvers зафиксировал ряд подозрительных операций 6 января, в ходе которых было выведено цифровых активов на сумму 6.1 миллиона долларов, включая Tether (USDT), Ether (ETH), USD Coin (USDC), а также собственную криптовалюту CoinsPaid — CPD.

Злоумышленник обменял около 97 миллионов токенов CPD, стоимостью приблизительно 368 тысяч долларов, на ETH и перевел средства на внешние счета и криптовалютные биржи MEXC, WhiteBit и ChangeNOW.

В ходе дальнейшего анализа Cyvers выявила неавторизованные транзакции с BNB на сумму более 1 млн долларов США, что увеличило общую сумму украденных средств до почти 7,5 млн долларов США.

Комментариев от компании CoinsPaid по поводу инцидента пока не было.

Гражданин Нигерии использовал компрометацию деловой переписки (Business Email Compromise, BEC), чтобы украсть у американской благотворительной организации более 7,5 млн долларов США.

Выдавая себя за сотрудника одной из благотворительных организаций, мошенник запросил крупные суммы денег у другой организации, которая предоставляла инвестиционные услуги первой жертве. Для подтверждения транзакций он использовал украденные учетные данные для отправки писем от имени уполномоченных сотрудников.

Мошенник приобрел инструмент для кражи учетных данных электронной почты, зарегистрировал поддельные доменные имена и скрыл мошеннические письма от легитимных сотрудников, перенаправляя их в незаметные разделы почтовых ящиков. В результате преступнику удалось обмануть первую жертву, заставив перевести 7,5 млн долларов США на свои банковские счета, в то время как организация полагала, что перевод идет на счета настоящей благотворительной компании.

Аккаунт американской ИБ-компании Mandiant был взломан для проведения криптовалютного мошенничества.

Злоумышленник переименовал аккаунт в @phantomsolw и распространял ложную информацию о бесплатной раздаче токенов $PHNTM от имени криптокошелька Phantom.

После взлома киберпреступник разместил на аккаунте поддельную веб-страницу, имитирующую сайт Phantom, и обещал бесплатную раздачу токенов. При переходе по ссылке в твите пользователей без установленного кошелька Phantom перенаправляют на официальный сайт для его установки.

После установки кошелька происходит попытка автоматического изъятия криптовалюты из кошельков жертв. Phantom уже предупредил о фишинговой атаке, заявив, что сайт злоумышленников опасен и взаимодействие с ним заблокировано.