204 заметки с тегом

дайджест

Позднее Ctrl + ↑

Антифишинг-дайджест № 198 с 20 по 26 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Уличённые в сборе пользовательских данных приложения Baidu Maps и Baidu Search Box удалили из магазина Google Play.

Тайный сбор пользовательских данных выполняла программная библиотека Baidu Push SDK, которая использовалась для отображения уведомлений в реальном времени в обоих приложениях. Код передавал разработчикам модель телефона, MAC-адрес, данные об операторе связи и номер IMSI (International Mobile Subscriber Identity).

Часть собранной информации считается относительно безвредной, однако номер IMSI может использоваться для идентификации и отслеживания пользователей, даже если те переключатся на другой телефон.

Новый Android-вредонос WAPDropper распространяется через альтернативные магазины приложений и скрытно подключается к платным сервисам.

Попав на мобильное устройство жертвы, WAFdropper скачивает вредоносный компонент, который тайком по протоколу WAP подключается к легитимным премиум-сервисам. В результате пользователь получает огромные счета за услуги сотовой связи, пока не сообщит о проблеме оператору.

Примечательно, что такая мошенническая схема под названием WAP fraud имела очень широкое распространение в начале 2000-х. С приходом смартфонов она постепенно исчезла, однако недавно киберпреступники поняли, что современные телефоны и операторы связи всё ещё поддерживают WAP, поэтому мошенническая схема восстала из небытия.

Уязвимость в Facebook Messenger для Android позволяла посторонним несанкционированно совершать аудиовызовы и подключаться к уже активным звонкам без ведома абонентов.

Проблема была связана с реализацией протокола Session Description Protocol (SDP). части протокола WebRTC, который Messenger использует для аудио- и видеозвонков. Оказалось, что SDP-сообщениями можно злоупотребить, получая автоодобрение на WebRTC-соединения, без какого-либо взаимодействия с пользователем. При этом атака занимает считанные секунды.

Умные устройства

В системе бесключевого доступа Tesla Model X и в самом автомобиле обнаружены уязвимости, которые позволяют угнать автомобиль в течение 90 секунд. Угонщику достаточно приобрести электронный блок управления (ЭБУ), снятый с другого автомобиля Tesla Model X, примерно за 300 долларов США.

Схема атаки:

  • атакующий приближается к владельцу автомобиля Tesla Model X минимум на 5 метров, чтобы старый ЭБУ с модифицированной прошивкой мог поймать сигнал брелока жертвы;
  • злоумышленник отправляет вредоносное обновление прошивки брелоку. Это требует около полутора минут, но в процессе хакер может отойти на 30 метров, что позволяет ему не привлекать внимание;
  • после взлома брелока злоумышленник извлекает него сообщения о разблокировке автомобиля;
  • эти сообщения о разблокировке используются для проникновения в машину жертвы;
  • в машине атакующий подключает старый ЭБУ к диагностическому разъему автомобиля, который используется техническими специалистами Tesla для обслуживания авто;
  • этот разъем используется для сопряжения с автомобилем собственного брелока хакера, который позже будет использован для запуска двигателя. На выполнение этой фазы атаки также нужно несколько минут.

Демонстрация атаки

Угон становится возможным из-за того, что механизм обновления не защищен должным образом. Это позволяет взломать брелок по беспроводной связи и получить полный контроль над ним, а затем разблокировать с его помощью автомобиль и взломать его, используя отсутствие защиты от несанкционированного подключения к диагностическому разъёму

Атака LidarPhone позволяет превратить умный пылесос в шпионское устройство, записывающее разговоры поблизости.

Для проведения атаки используется встроенный в устройство лидар, который пылесос использует для навигации в пространстве. При помощи вредоносной прошивки злоумышленник может остановить вращение лидара и заставить его сфокусироваться на одном объекте, а затем отслеживать вибрацию поверхности под воздействием звуковых волн.

Демонстрация атаки LidarPhone

Атаки и уязвимости

Две уязвимости в TikTok позволяли в один клик захватывать учетные записи пользователей.

Первая проблема была связана с параметром URL в домене tiktok.com и m.tiktok.com, который не очищался должным образом. Эту проблему можно было использовать для выполнения вредоносного кода в рамках браузерной сессии пользователя.

Вторая проблема состояла в том, что программный интерфейс (API) сайта TikTok был уязвим перед межсайтовыми атаками с подделкой запроса (CSRF). Это позволяло менять пароли учётных записей пользователей, которые зарегистрировались в TikTok с помощью сторонних приложений.

В продуктах компании VMware выявлена уязвимость нулевого дня CVE-2020-4006,
используя которую, злоумышленник может запускать на системе команды с неограниченными привилегиями.

Степень опасности уязвимости оценена в 9,1 балла из 10 возможных по шкале CVSS. Для её использования необходим сетевой доступ к административной службе настройки (конфигуратору) на порту 8443 и пароль к аккаунту администратора.

Уязвимости содержится в следующих продуктах:

  • VMware Workspace ONE Access для Linux (версии 20.01 и 20.10);
  • VMware Identity Manager (vIDM) для Linux (версии 3.3.1, 3.3.2 и 3.3.3);
  • VMware Identity Manager Connector для Linux и Windows (версии 3.3.1, 3.3.2, 3.3.3).

Инциденты

В открытом доступе обнаружена база данных Elasticsearch, в которой собрано более 380 млн записей, содержащих информацию о пользователях музыкального сервиса Spotify.

БД объёмом 72 ГБ содержит имена пользователей и пароли для Spotify, электронные адреса и страны проживания. Данные в ней уже используются для проведения атак на пользователей музыкального сервиса.

Spotify уже начал процедуру сброса паролей. По имеющимся данным атака затронула около 350 тыс. пользователей, что составляет незначительную часть от почти 300-миллионной ежемесячной аудитории сервиса.

В результате вымогательской кибератаки южнокорейский торговый гигант E-Land закрыл 23 из 50 магазинов для восстановления после инцидента.

Объявление о закрытии магазина.

Вымогательское ПО было развернуто в главных офисах компании в воскресенье, 22 ноября. Во избежание дальнейшего распространения инфекции конгломерат отключил часть своих IT-сетей, что и отразилось на работе магазинов.

По заявлению главы компании персональные данные и другая конфиденциальная информация не пострадала, поскольку хранится в зашифрованном виде на отдельных серверах. Какое вымогательское ПО использовалась в атаке на E-Land, и был ли уплачен выкуп, пока не сообщается.

Киберпреступники опубликовали в открытом доступе хранившиеся в iCloud интимные фото четырёх британских спортсменок.

У одной из жертв злоумышленники похитили около ста фото и видео, а у другой — более тридцати. В настоящее время пострадавшие и их представители пытаются добиться удаления личных материалов из Сети.

Причиной инцидента называют «утечку iCloud», однако наиболее вероятно, что компрометирующие материалы были похищены с помощью фишинга.

Футбольный клуб «Манчестер Юнайтед» сообщил об инциденте безопасности, затронувшем его внутренние компьютерные системы.

Характер инцидента не раскрывается, поэтому пока неизвестно, какие данные были затронуты кибератакой. Руководства «Манчестер Юнайтед» заявляет, что атакующим не удалось получить доступ к основным ресурсам клуба, сайту и мобильным приложениям, а все критические системы, необходимые для обеспечения безопасности матчей на стадионе «Олд Траффорд» работают в полном объёме.

Кибермошенники по телефону убедили сотрудников доменного регистратора GoDaddy передать им контроль над доменами нескольких криптовалютных проектов.

В числе пострадавших оказались:

  1. Криптовалютная биржа liquid.com. Атакующий получил возможность изменять записи DNS и контролировать некоторые учетные записи электронной почты. В результате он смог частично скомпрометировать инфраструктуру биржи и получить доступ к хранилищу документов.
  2. Компания NiceHash, трафик и электронную почту которой злоумышленник перенаправил на собственные ресурсы. NiceHash была вынуждена заморозить все средства клиентов на 24 часа, пока не восстановили настройки домена.
  3. Компании Bibox.com, Celsius.network и Wirex.app предположительно тоже пострадали от аналогичной атаки, однако никто из них не сообщал о каких-либо инцидентах.

Представители GoDaddy уже подтвердили, что несколько их сотрудников пали жертвами социальной инженерии.

 264   1 мес   дайджест   фишинг

Антифишинг-дайджест № 197 с 13 по 19 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаруженная в открытом доступе базу данных ElasticSearch содержала информацию о 100 тыс. учётных записях пользователей Facebook.

Размер базы данных превышал 5,5 ГБ, она содержала в общей сложности 13 521 774 записей, и оставалась доступной с июня по сентябрь нынешнего года.

Учётные данные из базы преступники использовали для распространения спам-комментариев, связанных с фальшивой торговой площадкой по продаже биткоинов.

Преступники включали в комментарии ссылки на различные фальшивые новостные сайты, чтобы обмануть механизмы Facebook по выявлению мошенничества и ботов. Если бы взломанные учетные записи публиковали одни и те же ссылки на мошеннические ресурсы, они быстро были бы заблокированы социальной сетью.

Для сбора данных мошенники предлагали участникам социальной сети воспользоваться инструментом, который якобы сообщал о посетителях их страниц:

Если пользователь соглашался с предложением, ему выводилось предложение авторизоваться в социальной сети:

Получив логин и пароль пользователя, мошенники выводили ему фальшивый список посетителей профиля и рекомендовали рассказать об этом друзьям:

Атаки и уязвимости

Новая атака VoltPillager может нарушить конфиденциальность и целостность данных в анклавах Intel SGX путём манипуляций с напряжением ядра процессора.

Видео: демонстрация атаки

SGX — Software Guard Extensions — набор инструкций процессора, с помощью которых приложения могут создавать защищенные области памяти в адресном пространстве приложения (анклавы). Данные внутри анклавов изолированы на аппаратном уровне от другой памяти ЦП и зашифрованы. Технология SGX предназначена для защищённого хранения различных конфиденциальных данных во время работы приложений.

Новая атака частично базируется на обнаруженной год назад уязвимости CVE-2019-11157, получившей название Plundervolt. Plundervolt злоупотребляет интерфейсом, с помощью которого ОС контролирует напряжение и частоту процессора, и который геймеры используют для разгона.

После раскрытия информации о Plundervolt в декабре 2019 года разработчики Intel устранили уязвимость, отключив возможность снижения напряжения процессора с помощью обновлений микрокода и BIOS.

VoltPillager работает даже на тех системах, которые получили патч для уязвимости CVE-2019-11157. Суть атаки заключается во внедрении сообщений в шину Serial Voltage Identification (SVID), между ЦП и регулятором напряжения, с помощью специального оборудования, стоимость которого составляет всего 36 долларов США.

Оборудование для проведения атаки VoltPillager на базе Teensy 4.0 Development Board.

Ограничением VoltPillager является необходимость физический доступ к серверу, вскрытие корпуса и подключение специального оборудования.

Инциденты

Криптовалютный обменник Liquid стал жертвой кибератаки, в результате которой злоумышленник похитил информацию о пользователях биржи из базы данных. Похищенная база содержит имена пользователей, их домашние адреса, адреса электронной почты и пароли в зашифрованном виде.

«Мы не считаем, что существует какая-то прямая угроза для ваших учетных записей, так как мы использует надежное шифрование паролей. Тем не менее, рекомендуем всем клиентам Liquid сменить пароли и учетные данные 2ФА при первой возможности»

глава Liquid Майк Каямори.

Схема атаки:

  1. С помощью социальной инженерии злоумышленник убедил сотрудников регистратора доменных имён предоставить ему доступ к управлению DNS Liquid.
  2. Получив контроль над DNS криптообменника, преступник изменил A-записи DNS, направив входящий трафик на подконтрольный ему сервер.
  3. Сотрудники Liquid заходили на фальшивую страницу авторизации, считая, что заходят на собственный сервер, и вводили учётные данные, которые отправлялись преступнику.
  4. Эти данные использовались для доступа к почтовым аккаунтам сотрудников и дальнейшего перемещения по внутренней сети Liquid.

Летом 2020 года жертвой аналогичной атаки через DNS стала биржа Coincheck. Тогда на поддельные страницы логина перенаправляли не только сотрудников, но и пользователей, что позволило злоумышленнику собрать пароли от 200 учётных записей.

Хостинг-провайдер Managed.com стал жертвой вымогателя, который зашифровал данные на сайтах некоторых клиентов и нарушил работу инфраструктуры. Среди отключенных систем оказались решения управляемого хостинга WordPress и DotNetNuke, почтовые серверы, DNS-серверы, точки доступа RDP, FTP-серверы и online базы данных.

Изначально администрация Managed.com заявляла, будто сбои в работе связаны с незапланированными техническими работами, но затем все-таки призналась, что проблемы вызваны вредоносным ПО.

Ещё одной жертвой кибератаки с использованием вымогательского ПО стал канадский город Сент-Джон. В результате инцидента были отключены системы online-платежей, электронная почта, приложения для обслуживания клиентов и сайт городской администрации. В рабочем состоянии остаётся лишь инфраструктура службы спасения 911.

По заявлению администрации города, пока неизвестно, были ли скомпрометирована персональная информация граждан, поэтому жителям Сент-Джона рекомендовали регулярно проверять свои банковские счета и кредитные карты на предмет возможной подозрительной активности.

Власти города пытаются сгладить последствия инцидента, пообещав, не начислять пени за просрочку коммунальных платежей. С населением администрация общается через Facebook и Twitter.

Логистическая компания Americold подверглась кибератаке, остановившей все её операции, в том числе телефонные системы, электронную почту, управление запасами и заказами. В результате клиенты Americold, попытавшиеся забрать со складов свой товар, не смогли получить к ним доступ.

Инцидент произошёл 16 ноября 2020 года. Компания предприняла шаги по изоляции угрозы и ввела в действие план обеспечения непрерывности бизнеса, Расследованием происшествия занимаются правоохранительные органы и привлечённые ИБ-эксперты.

Чилийский ретейлер Cencosud пострадал от атаки шифровальщика Egregor.

Инцидент с Cencosud произошел 14-15 ноября. За выходные Egregor зашифровал устройства практически во всех магазинах компании. Записки с требованием выкупа были распечатаны на принтерах в магазинах Чили и Артентины. Это ещё одна «фишка» вредоноса: закончив шифрование, он распечатывает вымогательское сообщение на всех доступных принтерах.

В записке преступники сообщают, что похитили данные компании и угрожают обнародовать их, если не получат выкуп. Никаких ссылок на украденную информацию и доказательств своих слов хакеры не приводят.

Детская игровая площадка Animal Jam стала жертвой утечки данных 46 млн пользователей.

Причиной взлома предположительна стало хищение ключа от AWS-ресурсов компании после недавней компрометации корпоративного сервера.

Злоумышленники опубликовали часть БД, содержащую около 7 млн пользовательских записей детей и родителей, которые зарегистрировались в игре.

Похищенные данные содержат:

  • Имена и хэшированные SHA-1 пароли игроков;
  • 7 млн адресов электронной почты родителей, чьи дети зарегистрированы в Animal Jam;
  • IP-адреса, которые родители или игроки использовали при регистрации учетной записи;
  • 116 записей, датированных 2010 годом, содержали имя и адрес для выставления счетов, хотя не содержали информации о банковской карте.

Всего на Animal Jam зарегистрировано более 130 млн игроков, более 3 млн из них пользуются площадкой каждый месяц.

Умные устройства

Платформа для управления солнечными батареями Tesla Backup Gateway уязвима для несанкционированного использования.

Источник проблемы — ошибки в реализации схемы авторизации пользователей:

  • для управления шлюзом владелец может подключиться к нему через через проводной или мобильный интернет, либо через сеть Wi-Fi самого устройства;
  • имя беспроводной сети (SSID) устройства содержит три последние цифры серийного номера устройства;
  • для первичной авторизации пользователя используется его е-мейл и последние пять цифр серийного номера устройства;
  • количество попыток подбора пароля никак не ограничено.

Таким образом, для несанкционированного подключения к шлюзу достаточно подобрать оставшиеся две цифры серийного номера, а это всего 99 комбинаций.

Ещё хуже обстоит дело со шлюзами, подключенными по локальной сети. В этом случае имя хоста содержит полный серийный номер устройства, так что для несанкционированного использования достаточно просто посмотреть список устройств в сети. Ситуацию усугубляет то, что во многих округах разрешения на установку бытовых систем Tesla Solar и Powerwall публикуются в интернете, что дает злоумышленникам список потенциальных целей для атак.

 183   2 мес   дайджест   фишинг

Антифишинг-дайджест № 196 с 6 по 12 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаружена новая схема мошенничества с использованием стриминговой платформы Twitch.

  1. Злоумышленники находят каналы популярных стримеров и создают похожие по названию, и оформлению аккаунты-клоны.
  2. На них мошенники запускают записи стримов с оригинальных каналов, добавляя в трансляцию баннер с обещанием легкого заработка, чаще всего с розыгрышем призов.
  3. В чате стрима публикуется специальная команда, и пользователи, кликнувшие на баннер, отправляются на мошеннический ресурс — например, https: //winstainq[.]dub/draw.
  4. На сайте мошенников жертве предлагается выплата до 5000 долларов США за небольшую «комиссию» по оформлению и переводу.
  5. Пользователь вводит на мошенническом ресурсе данные своей банковской карты (номер, имя владельца, срок действия, CVV-код), со счета жертвы списывается небольшая сумма, а все реквизиты карты остаются у злоумышленников.

Чтобы потенциальные жертвы гарантированно попадали на канал-клон, злоумышленники выводили его в топ поиска стримов, используя сервисы для накрутки. Для большей убедительности мошенники размещали фейковые отзывы от «счастливчиков», где те писали, сколько денег им удалось получить, обсуждали процесс зачисления выигрыша, советовали, какими банками лучше пользоваться для более удобного вывода денег.

Телефонные мошенники продолжают совершенствовать схемы обмана. Теперь жертву отправляют в офис банка, а по пути убеждают расстаться с деньгами.

Схема действий преступников:

  1. Жертве звонит фальшивый «младший менеджер банка». Он сообщает о попытке несанкционированного перевода денег и уговаривает клиента приехать в отделение банка для выяснения обстоятельств, после чего уточняет, сколько для этого требуется времени.
  2. На полпути в офис потенциальную жертву переводят на другого «менеджера», который сообщает, что сотрудники в отделении замешаны в мошенничестве поэтому средства необходимо прямо сейчас перевести на подставной «безопасный счет».
  3. Номер «безопасного счёта» в другом банке жертве сообщает уже третий «сотрудник».
  4. В случае блокировки операции банком жертву предупреждают, что сейчас ему позвонят те самые неблагонадежные сотрудники, и для защиты предлагают набор «правильных» ответов, которые на самом деле нужны для разблокировки операции. Инструкция направляется клиенту через мессенджер с аккаунта, который оформлен в похожем с банком стиле.

Опасность новой схемы состоит в том, что она использует психологическое воздействие сразу по нескольким направлениям, что повышает доверие к словам злоумышленников.

Мобильная безопасность

В Google Play обнаружены семь мошеннических приложений для модификации игры Minecraft, которые тайком списывали денежные средства с установивших их пользователей.

Приложения относятся к категории fleeceware. Эта разновидность ПО предлагает пользователям бесплатно пользоваться им в течение нескольких дней, после автоматически оформляется платная подписка. Злоумышленники рассчитывают, что жертва забудет об установленном приложении и его непродолжительном пробном периоде, либо не обратить внимание на списание средств с карты. При этом самые наглые представители fleeceware списывали со счетов жертв до 120 долларов США за месяц.

Примечательно, что если просто просто удалить приложения, деньги за подписку продолжат списываться. Отключить автоматические списания можно только вручную.

Банковский троян Ghimob атакует мобильные устройства пользователей в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.

Ghimob распространяется через вредоносные письма, якобы сообщающие о долге, который числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать о проблеме больше. Если пользователь нажимает на ссылку, в систему загружается троян удаленного доступа.

После заражения устройства злоумышленник может получить доступ к нему удаленно, выполнить несанкционированную транзакцию со смартфона жертвы, обойти встроенные в устройство средства идентификации, меры безопасности, принимаемые финансовыми учреждениями, а также все системы противодействия мошенничеству. Даже если пользователь использует графический ключ для блокирования экрана, Ghimob может записать его и позже воспроизвести, чтобы разблокировать устройство.

Во время мошеннических транзакций троян закрывает изображение на экране чёрным оверлеем, запуская в фоновом режиме банковское приложение. В общей сложности Ghimob может атаковать 153 финансовых приложения, включая системы онлайн-банкинга и криптовалютные кошельки.

Атаки и уязвимости

Новая атака Platypus позволяет воспользоваться интерфейсом управления энергопотреблением процессоров Intel для хищение обрабатываемых данных.

Название атаки представляет собой акроним от «Power Leakage Attacks: Targeting Your Protected User Secrets». В переводе на русский Platypus — это утконос, животное, которое может улавливать электрический ток своим клювом.

Атака базируется на эксплуатации RAPL-интерфейса процессоров Intel (Running Average Power Limit), который позволяет управлять энергопотреблением процессора и оперативной памяти. Используя RAPL, можно выяснить, какие данные обрабатываются в процессоре, ориентируясь на его энергопотребление. Это позволяет обнаружить ключи шифрования, пароли, конфиденциальные документы и другие данные, доступ к которым защищён с помощью рандомизации адресного пространства ядра (KASLR) и других технологий.

Видео: обход KASLR за 20 секунд путём наблюдения за энергопотреблением RAPL:

Используя Platypus, удалось извлечь приватные ключи RSA из защищенного анклава Intel SGX с помощью отслеживания значений RAPL в течение 100 минут. Для извлечения ключей шифрования AES-NI из анклава SGX и из пространства памяти ядра Linux, требуется от 26 до 277 часов.

Инциденты

Мошенникам удалось перехватить управление крупным русскоязычным Телеграм-каналом Reddit.

Администратору канала написал некий человек, заявивший, что он представляет компанию Wondershare Filmora, и спросил, сколько стоит рекламная интеграция в видео. Администратор сообщил стоимость, с которой заказчик согласился и прислал техническое задание, уточнив, что «оплата производится непосредственно перед выходом рекламного поста», после согласования всех материалов, в том числе, видео, которое необходимо прикрепить к публикации.

Далее заказчик скинул администратору ссылку с архивом, не настаивая на установке программы. Однако администратор решил не только скачать видео, необходимое для выполнения технического задания, но и установить программу.

Установив программу, администратор несколько минут изучал её, после чего выключил свой компьютер. Вскоре он вернулся, и обнаружил, что лишился прав доступа к каналу. А в описании канала изменилась ссылка на профиль человека, которому следует писать для сотрудничества.

Пока неизвестно, каким именно образом мошенники сумели перехватить управление каналом, однако администратор заявляет, что до момента угона к его аккаунту была подключена двухфакторная аутентификация.

Более того, в своих сессиях администратор в момент кражи канала «ничего аномального» не заметил. Оказалось, что злоумышленнику каким-то образом удалось незаметно передать права основателя, а также удалить других администраторов и привязанных ботов.

Житель Череповца обнаружил уязвимость в программном обеспечении банкоматов и воспользовался ей для кражи.

Преступник использовал несколько банковских карт, и в ходе каждой операции банкомат зачислял на счет по 3 650 рублей. В результате сбоя в работе купюроприемника банкомат подсчитывал номиналы находившихся внутри купюр — 2 000, 1 000, 500, 100 и 50 рублей.

Мужчина признался, что узнал об уязвимости в ПО случайно. Используя банковскую карту на свое имя, мужчина совершил одно хищение, а потом просил у своих знакомых карты и таким же способом похитил еще часть денежных средств. В общей сложности ему удалось таким образом присвоить 21900 рублей.

Из-за ошибки администратора в открытом доступе оказалась база данных участников программы «РЖД Бонус» объёмом 2,3 Гб.

По неустановленной причине администратор выложил в корневой каталог сайта rzd-bonus.ru резервную копию базы и bash-скрипт, в котором содержался логин и пароль пользователя, а также секретный ключ RSA.

База содержит около 1,4 млн записей с данными участников программы накопления бонусов РЖД. В каждой записи — логины и хешированные пароли, даты регистрации и последнего входа в систему (с IP-адресом, User-Agent и версией ОС), а также ФИО, дата рождения, город, паспортные данные, номер телефона, email.

По заявлению пресс-службы компании, «РЖД зафиксировали попытку взлома программы лояльности „РЖД Бонус“; злоумышленник получил доступ только к служебному файлу, а система безопасности предотвратила доступ к персональным данным участников».

Тайваньская компания Compal, один из крупнейших в мире производителей электроники, стала жертвой шифровальщика DoppelPaymer.

Вымогательское сообщение

Атака была обнаружена утром 8 ноября и затронула примерно 30% всего компьютерного парка Compal. Пришедших на работу в понедельник сотрудников встречало уведомление от ИТ-специалистов Compal, которые просили проверить состояние рабочих станций и сделать резервные копии важных файлов, если система не пострадала. Сообщается, что в настоящее время ИТ-персонал компании занимается восстановлением зашифрованных данных из резервных копий.

Итальянская компания Campari Group стала жертвой вымогательского ПО RagnarLocker.

Вымогательское сообщение

Преступники зашифровали файлы в компьютерных сетях компании и потребовали за их восстановление выкуп в размере 15 млн долларов США. В записке с требованием выкупа злоумышленники сообщают, что похитили 2 ТБ конфиденциальных данных Campari Group, и если выкуп не будет уплачен в течение недели, данные будут выложены в открытый доступ.

В качестве подтверждения взлома вымогатели опубликовали скриншоты внутренних сетей компании и ее корпоративных документов на своем «портале утечек». Среди скриншотов присутствует копия договора Campari Group с голливудским актером Мэттью Макконахи о его участии в рекламной кампании бурбона Wild Turkey:

Скриншот контракта Мэттью Макконахи с Campari Group

Campari Group решила не платить выкуп и восстановить работу систем самостоятельно. Компания заявляет, что атака была оперативно обнаружена специалистам удалось быстро изолировать инфицированные системы, поэтому инцидент не окажет существенного влияния на работу компании.

Возмущённые таким решением преступники решили оказать давление на жертву в информационном поле и разместили в Facebook рекламу, в которой сообщили, что у Campari Group большие проблемы, и компания просто скрывает правду от общественности:

Ещё одной жертвой RagnarLocker стала японская корпорация Capcom. Преступникам удалось скачать около 1 Тб документов и зашифровать около 2 тысяч устройств в сети компании.

Вымогательское сообщение

Среди похищенной информации бухгалтерские файлы, банковские отчеты, информация о бюджетах и доходах, налоговые документы и интеллектуальная собственность, личная информация клиентов и сотрудников. На сайте Ragnar Locker размещен архив размером 24 Мб, содержащий часть украденных документы, включая прогнозы доходов, таблицы с данными о заработной плате, соглашения о неразглашении, корпоративные сообщения.

За расшифровку файлов и удаление похищенных данных преступники требуют 11 млн долларов США в биткоинах.

 189   2 мес   дайджест   фишинг
Ранее Ctrl + ↓