Хакерская группировка REvil взломала базу данных юридической фирмы Grubman Shire Meiselas & Sacks, которая занимается делами знаменитых актёров и музыкантов. В распоряжении злоумышленников могли оказаться 756 Гбайт информации о таких звёздах как Элтон Джон, Леди Гага и Роберт де Ниро. Хакеры грозятся выложить эти данные в интернет, если фирма не перечислит им 21 миллион долларов.

В базе данных фирмы Grubman Shire Meiselas & Sacks хранились адреса знаменитостей, контракты на выступления и даже личные переписки. Чтобы доказать актуальность полученных сведений, хакеры выложили часть информации в интернет. Сначала они слили данные в файлообменник Mega, но сотрудники компании быстро удалили файлы. Затем в даркнете появились скриншоты украденных данных. 

На данный момент сайт Grubman Shire Meiselas & Sacks закрыт и посетителям виден только его логотип. Представители компании признали, что были подвержены взлому. Они уже оповестили о происшествии своих клиентов и пригласили экспертов «мирового уровня» для проведения расследования и решения возникшей проблемы. 

По словам эксперта по компьютерной безопасности из компании Emsisoft, у юридической фирмы нет особого выбора. Если они не заплатят злоумышленникам, информация о знаменитостях действительно может стать общедоступной. Если же они заплатят выкуп, возможно, хакеры поступят честно и действительно удалят украденную базу данных.

Хакерская группировка REvil также известна как Sodinokibi — так называется программное обеспечение, при помощи которого они осуществляют атаки. Как правило, злоумышленники внедряют вредоносный код в компьютеры жертв и блокируют доступ к компьютерной системе. Об опасности шифровальщиков вроде Sodinokibi мы рассказывали в новости про увеличение количества угроз в системе macOS.

Группа REvil часто использует для атак шифровальщик Sodinokibi

За восстановление доступа хакеры просят довольно большие деньги. Например, в конце декабря 2019 года они заблокировали систему денежных переводов Travelex и потребовали от компании 3 миллиона долларов. Компания была вынуждена приостановить работу на две недели и в конечном итоге перевела злоумышленникам 2,3 миллиона долларов в биткоинах. После этого данные компании были восстановлены.

Хакерская группировка ShinyHunters взломала базы данных десяти крупных компаний и получила доступ к личной информации 73 миллионов человек. Украденные данные уже продаются в даркнете на общую сумму около 18 000 долларов. Подробностями о происшествии поделилось издание ZDNet.

Каждая база данных продаётся отдельно. Чтобы доказать подлинность украденной информации, группировка выложила ее часть в открытый доступ. По данным ZDNet, выложенная информация действительно принадлежит реальным людям.

Хакеры взломали базы данных десяти компаний, в число которых входят:

1. Сервис онлайн-знакомств Zoosk (30 миллионов записей);
2. Сервис печати Chatbooks (15 миллионов записей);
3. Южнокорейская платформа моды SocialShare (6 миллионов записей);
4. Сервис доставки еды Home Chef (8 миллионов записей);
5. Торговая площадка Minted (5 миллионов записей);
6. Онлайн-газета Chronicle of Higher Education (3 миллиона записей);
7. Южнокорейский журнал о мебели GGuMim (2 миллиона записей);
8. Медицинский журнал Mindful (2 миллиона записей);
9. Индонезийский интернет-магазин Bhinneka (1,2 миллиона записей);
10. Американское издание StarTribune (1 миллион записей).

Авторы издания ZDNet связались с представителями вышеперечисленных компаний, но многие из них пока не вышли на связь. Откликнулась только компания Chatbooks и подтвердила, что ее сайт был действительно взломан.

Источник: ZDNet

Эта же группа хакеров неделей ранее взломала крупнейший онлайн-магазин Индонезии Tokopedia. Изначально злоумышленники бесплатно выложили личные данные 15 миллионов пользователей. Потом они выпустили в продажу полную базу с 91 миллионом записей и попросили за неё 5000 долларов. Вероятно, взлом нынешних десяти компаний был воодушевлён предыдущим успехом.

Источник: ZDNet

За деятельностью хакерской группировки ShinyHunters следит множество борцов с киберпреступностью, в том числе компании Cyble, Under the Breach и ZeroFOX. Считается, что состоящие в этой группе хакеры как-то связаны с группировкой Gnosticplayers, которая была особенно активна в 2019 году. Обе группы работают по идентичной схеме и выкладывают в даркнет данные миллионов пользователей.

В мире существуют десятки хакерских группировок, и полиция постоянно ищет их участников. Недавно правоохранительным органам Польши и Швейцарии удалось арестовать хакеров из группировки InfinityBlack, которая занималась кражей данных, мошенничеством и распространением инструментов для проведения кибератак.

Пандемия коронавируса вынуждает большое количество людей по всему миру работать удалённо. Благодаря этому значительно возросла популярность сервисов для организации видеоконференций, таких как Zoom. Этим не преминули воспользоваться злоумышленники, которые стали использовать поддельные домены Zoom для распространения вредоносного ПО и получения доступа к чужим видеоконференциям. Об этом сообщает работающая в сфере информационной безопасности компания Check Point.

Исследователи отмечают, что за последние несколько дней резко возросло число зарегистрированных доменных имён, содержащих слово «zoom». С начала 2020 года было зарегистрировано свыше 1700 таких доменов, причём 25 % из них появились за последнюю неделю. Исследователи говорят о том, что Zoom – не единственная платформа, привлекающая внимание киберпреступников. Новые фишинговые сайты регулярно создаются для каждого популярного телекоммуникационного приложения.

Специалисты Check Point обнаружили вредоносные файлы вида «zoom-us-zoom_##########.exe», где # – набор цифр. После запуска такого файла на компьютер пользователя устанавливается пакетное приложение InstallCore, которое используется для дальнейшей загрузки вредоносного ПО.

Компания Check Point предупреждает пользователей о том, что в условиях сложившейся в мире ситуации, когда пользователям приходится работать удалённо, следует быть особенно внимательным при взаимодействии с электронными письмами и файлами, получаемыми из неизвестных источников. Не следует переходить по ссылкам и открывать вложения в письмах, которые приходят из непроверенных источников. Внимательно проверяйте адреса отправителей писем, а также адреса веб-сайтов, с которыми вам приходится взаимодействовать. Это поможет избежать столкновения с поддельными ресурсами, используемыми злоумышленниками для распространения вредоносных программ.

Министерство внутренних дел Российской Федерации (МВД России) сообщило о проведении в Санкт-Петербурге и Ленинградской области операции, в ходе которой была выявлена и задержана группа лиц, занимавшихся майнингом (добычей) криптовалют путём несанкционированного подключения к электросетям.

Согласно представленным пресс-службой ведомства сведениям, злоумышленники использовали модифицированные электрические счётчики, запрограммированные на занижение показаний расхода электроэнергии. По предварительной информации, ущерб для энергоснабжающих компаний ежемесячно составлял около 15 млн рублей, такую же сумму киберпреступники получали в качестве незаконного дохода.

По имеющейся информации, так называемые криптофермы со специальным вычислительным оборудованием были развёрнуты на восьми различных объектах. Среди них — заброшенное здание бывшей птицефабрики в деревне Лесколово Всеволожского района Ленинградской области, здание базы отдыха в посёлке Рощино, а также ряд жилых помещений. Сгенерированную криптовалюту сообщники направляли на биржи, расположенные за пределами РФ, а затем обналичивали.

«В настоящее время по подозрению в организации данного противоправного деяния задержан житель Санкт-Петербурга. В полицию доставлены девять его предполагаемых сообщников», — говорится в сообщении МВД России.

В отношении задержанных лиц возбуждено уголовное дело по признакам преступления, предусмотренного частью 2 статьи 273 УК РФ, которая предполагает лишение свободы на срок от трех до семи лет.

Разработчик антивирусных решений «Доктор Веб» информирует об обнаружении опасного бэкдора, распространяемого злоумышленниками под видом обновления для популярного браузера Google Chrome. Сообщается, что жертвами киберпреступников уже стали более 2 тысяч человек, и число таковых продолжает расти.

По данным вирусной лаборатории «Доктор Веб», с целью максимального охвата аудитории злоумышленниками использованы ресурсы на базе CMS WordPress — от новостных блогов до корпоративных порталов, к которым хакерам удалось получить административный доступ. В коды страниц скомпрометированных площадок встроен JavaScript-сценарий, который перенаправляет пользователей на фишинговый сайт, маскирующийся под официальный ресурс компании Google (см. скриншот выше).

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства «полезную» нагрузку в виде вредоносных приложений. Среди них: кейлоггер X-Key Keylogger, стилер Predator The Thief и троян для удалённого управления по протоколу RDP.

Во избежание неприятных инцидентов специалисты компании «Доктор Веб» рекомендуют при работе в Интернете быть предельно внимательными и советуют не оставлять без внимания предусмотренный во многих современных браузерах фильтр фишинговых ресурсов.

Компания Positive Technologies обнародовала развёрнутый отчёт, в котором рассматривается актуальные киберугрозы и текущие тенденции в мире сетевой преступности.

В целом, ситуация с кибербезопасностью усугубляется. Так, в последней четверти 2019 года количество уникальных инцидентов поднялось на 12 % по сравнению с предыдущим кварталом. При этом доля целенаправленных атак выросла на 2 %, достигнув 67 %.

Злоумышленники продолжают активно использовать программы, шифрующие данные на заражённом компьютере. Доля таких атак в общей массе заражений вредоносным ПО составила 36 % для юридических лиц и 17 % для частных лиц против соответственно 27 % и 7 % в третьем квартале 2019-го.

Более того, киберпреступники всё чаще применяют новую тактику шантажа в ответ на отказ жертв платить выкуп за расшифровку файлов: злоумышленники угрожают опубликовать похищенные данные.

«Мы связываем это с тем, что всё больше организаций делают резервные копии и не платят за расшифрование. Злоумышленники приняли контрмеры и теперь шантажируют жертв возможными санкциями за утечку персональных данных, обращение с которыми регулируется нормами Общего регламента по защите данных», — отмечает Positive Technologies.

Исследование также показало, что треть украденной у юридических лиц информации (32 %) составили данные платёжных карт, что на 25 % больше, чем в третьем квартале. 

Стало известно о том, что сотрудниками Следственного комитета республики Беларусь были возбуждены уголовные дела по факту несанкционированного доступа к компьютерным системам нескольких учреждений здравоохранения. Соответствующая информация опубликована на веб-сайте ведомства.

В сообщении сказано, что 12 февраля 2020 года в милицию поступило заявление от РНПЦ пульмонологии и фтизиатрии, в котором говорилось о том, что неизвестные получили несанкционированный доступ к почтовому ящику, принадлежащему учреждению. В дальнейшем злоумышленники использовали почтовый ящик учреждения для рассылки сообщений, в которых содержалась ссылка, после перехода по которой происходила установка вредоносного ПО.

За день до этого аналогичное заявление поступило в милицию от Минского зонального центра гигиены и эпидемиологии. В ходе следствия было установлено, что неизвестный получил доступ к почтовому ящику учреждения, после чего рассылал сообщения контактам из адресной книги.

В каждом из случаев в письмах содержались ссылки на вредоносное ПО. Сами же сообщения были составлены с использованием приёмов социальной инженерии. Кроме того, в письмах содержалась несоответствующая действительности информация, касающаяся распространения коронавируса на территории Беларуси. Что касается вредоносного ПО, то оно попадало на ПК жертвы после перехода по ссылке из письма.  

В настоящее время следователи вместе с сотрудниками милиции осуществляют выполнение необходимых следственных действий, направленных на то, чтобы установить личности подозреваемых по данным делам.

«Лаборатория Касперского» подвела итоги исследования, посвящённого распространению сталкерских вредоносных программ в нашей стране.

Так называемое сталкерское программное обеспечение — это специальные программы для слежки, которые позиционируются как легальные и которые можно купить в Интернете. Подобные зловреды могут работать совершенно незаметно для пользователя, а поэтому жертва может даже не догадываться о слежке.

Сообщается, что в 2019 году в нашей стране в три раза увеличилось количество пользователей мобильных устройств, атакованных сталкерскими программами.

«Такой софт, как правило, используется для тайного наблюдения, в том числе инициаторами домашнего насилия, и поэтому несёт серьёзные риски для тех, на чьих устройствах установлен», — отмечает «Лаборатория Касперского».

Исследование также показало, что в 2019-м Россия оказалась на первом месте в мире по количеству пользователей, атакованных мобильными банковскими троянами. Такие зловреды служат для кражи конфиденциальной информации и хищения денежных средств.

В 2019 году также значительно выросло число атак, направленных на сбор личной информации. 

«Лаборатория Касперского» обнародовала результаты исследования, в ходе которого анализировалась активность киберпреступников в банковском секторе и в области электронной коммерции.

Сообщается, что в прошлом году каждая пятидесятая онлайн-сессия в обозначенных сферах в России и мире инициировалась злоумышленниками. Главные цели мошенников — хищение и отмывание денежных средств.

Практически две трети (63 %) всех попыток совершить несанкционированные переводы выполнялись с применением вредоносного программного обеспечения или приложений для удалённого управления устройством. Причём зловреды используются в комплексе с методами социальной инженерии.

Исследование показало, что в прошлом году практически в три раза (на 182 %) подскочило количество атак, связанных с отмыванием денежных средств. Такая ситуация, по мнению специалистов, объясняется сокращением количества банков, повышением доступности инструментов мошенничества, а также многочисленными утечками данных, в результате которых злоумышленники легко находят в сети огромное количество интересующей их информации.

Каждый третий инцидент в 2019-м был связан с компрометацией учётных данных. В этих случаях киберпреступники преследуют несколько целей: совершить кражу, убедиться в подлинности учётных записей для последующей перепродажи, собрать дополнительную информацию о владельце и пр.

Атакам в финансовой сфере подвергаются как частные пользователи, так и крупные компании и организации. Злоумышленники распространяют вредоносное ПО для компьютеров и смартфонов, применяя все доступные средства. Зачастую атаки носят комплексный характер: мошенники используют инструменты автоматизации, средства удалённого администрирования, прокси-серверы и браузеры TOR. 

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в последней четверти 2019 года.

Отмечается, что по сравнению с четвёртым кварталом 2018-го количество DDoS-кампаний увеличилось практически в два раза. В то же время рост по отношению к третьей четверти 2019 года оказался не слишком большим.

Эксперты зафиксировали значительное увеличение числа «умных» DDoS-атак. Кроме того, в минувшем квартале злоумышленники продолжили осваивать нестандартные протоколы, применение которых повышает вероятность успеха вредоносной кампании.

Прошлый квартал продемонстрировал рост количества пиринговых (P2P) ботнетов. В отличие от классических, они не зависят от командных серверов, поэтому их сложнее обезвредить.

Основная тенденция последнего квартала 2019 года — это увеличение активности ботнетов по воскресеньям. Доля атак именно в этот день недели возросла на 2,5 % — до 13 %. Хотя такие изменения могут показаться незначительными, стоит учитывать, что доля DDoS-атак по воскресеньям составляла около 10–11 % в течение других трёх кварталов прошлого года.

Первое место по количеству атак занял Китай с долей в 58,46 %. На втором месте оказались Соединённые Штаты с результатом в 17,49 %. Замыкает тройку Япония — 4,86 %. Россия в первую десятку не входит.

Распределение командных серверов ботнетов по странам / «Лаборатория Касперского»

Что касается географического распределения ботнетов, то их абсолютное большинство (58,33 %) оказалось зарегистрировано на территории США. На втором месте находится Великобритания (14,29 %), на третьем — Китай (9,52 %).

Более подробно с результатами исследования можно ознакомиться здесь. 

Компания Positive Technologies обнародовала результаты исследования, посвящённого изучению безопасности веб-приложений и угроз в соответствующем сегменте в 2019 году.

Как оказалось, в девяти из десяти веб-приложений (примерно в 90 %) злоумышленники теоретически могут проводить атаки на пользователей. Это может быть, скажем, перенаправление клиента на вредоносный ресурс, хищение учётных данных с помощью фишинга, заражение компьютера вредоносным ПО и пр.

Исследователи пришли к выводу, что 82 % уязвимостей веб-приложений содержатся в исходном коде. Почти в каждом втором — в 45 % — изученном веб-приложении были выявлены недостатки аутентификации. Угроза утечки важных данных присутствует в 68 % веб-приложений.

«Число уязвимостей, которое в среднем приходится на одно веб-приложение, снизилось по сравнению с 2018 годом в полтора раза. В среднем на одну систему приходятся 22 уязвимости, четыре из которых имеют высокий уровень риска», — говорится в исследовании.

В 16 % веб-приложений были найдены критически опасные уязвимости, позволяющие получить контроль не только над приложением, но и над ОС сервера. В целом, примерно каждая пятая уязвимость представляет высокую опасность.

Более подробно с результатами исследования можно ознакомиться здесь. 

В 2019 году Министерство внутренних дел РФ зарегистрировало почти 300 тысяч уголовно наказуемых деяний в области информационных технологий. При этом количество преступлений, расследованных МВД России, возросло на 62 % и превысило 45,5 тысяч. Такие данные приводит пресс-служба ведомства.

По словам заместителя министра, начальника следственного департамента МВД России, генерал-лейтенанта юстиции Александра Романова, число совершаемых в IT-среде правонарушений продолжает расти. В связи с этим в следственном департаменте Министерства внутренних дел и территориальных органах предварительного следствия созданы специализированные подразделения по расследованию преступлений, совершённых с использованием информационно-телекоммуникационных технологий.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов критической информационной инфраструктуры государства включает информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и в различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Выявлением, предупреждением, пресечением и раскрытием преступлений в сфере IT занимается Управление «К» МВД России.

Компании ESET и «Лаборатория Касперского» предупреждают о резком росте активности спамеров и фишеров: причина — начавшиеся распродажи в преддверии праздничного сезона.

По данным ESET, в «Чёрную пятницу» и «Киберпонедельник» сетевые мошенники активно рассылают фишинговые письма и предлагают приобрести товары известных брендов с большими скидками. При переходе по указанному адресу и попытке совершить покупку пользователи рискуют потерять деньги или данные своей банковской карты. Кроме того, под видом купонов на скидку злоумышленники распространяют вредоносные программы.

В целом, доля мусорной корреспонденции, связанной с распродажами, в электронных почтовых ящиках вырастает до 11 %. Иными словами, каждое десятое письмо — это спам или фишинг.

Эти данные подтверждает «Лаборатория Касперского». Если две недели назад на секцию электронной торговли в Рунете была направлена приблизительно каждая 20-я фишинговая атака, то на прошлой неделе фишеры пытались атаковать российские онлайн-магазины в среднем в каждом 11 случае.

В течение последних дней практически в два раза увеличилось количество мошеннических ресурсов, на которых тем или иным образом упоминалась «Чёрная пятница». Эксперты полагают, что подобная картина будет наблюдаться вплоть до конца года. 

Количество нападений на организации в сетевом пространстве в России продолжает расти. Об этом, как сообщает РБК, рассказало руководство Центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком».

Согласно обнародованным данным, в период с января 2018 года по январь 2019-го в нашей стране было зафиксировано более 765 тыс. сложных атак в киберпространстве. А в период с октября прошлого года по октябрь текущего данный показатель составил более 995 тыс.

Чаще всего злоумышленники атакую московские компании и организации, включая государственные структуры. По оценкам специалистов Solar JSOC, на столичный регион приходится около 40 % всех кибернападений.

Иными словами, четыре из десяти кибератак в нашей стране нацелены на инфраструктуру московских организаций. Такая картина объясняется тем, что в столице сосредоточено большое количество известных компаний и госструктур. Кроме того, здесь расположены многие крупные центры обработки данных.

Эксперты прогнозируют, что по итогам 2019 года количество сложных кибератак в нашей стране превысит 1 млн. Таким образом, рост по отношению к прошлому году окажется на уровне 30–35 процентов. 

Компания ESET сообщает о том, что сотни тысяч российских пользователей Интернета могут быть вовлечены в скрытую преступную схему майнинга криптовалюты Monero.

Эксперты обнаружили модуль криптомайнинга CoinMiner, который распространяется и устанавливается посредством ботнета Stantinko. Эта вредоносная сеть действует как минимум с 2012 года. Долгое время операторам Stantinko удавалось оставаться незамеченными благодаря применению шифрования кода и комплексных механизмов самозащиты.

Изначально ботнет специализировался на рекламном мошенничестве. Однако с недавних пор злоумышленники переключились на скрытую добычу криптовалюты. Для этого применяется упомянутый модуль CoinMiner, особенностью которого является способность тщательно скрываться от обнаружения.

В частности, операторы Stantinko компилируют уникальный модуль для каждой новой жертвы. Кроме того, CoinMiner связывается с майнинг-пулом не напрямую, а через прокси, чьи IP-адреса получены из описаний видеороликов на YouTube.

Плюс к этому зловред отслеживает работающие на компьютере антивирусные решения. Наконец, майнер может приостанавливать свою деятельность в определённых условиях — например, когда компьютер работает от аккумулятора. Это позволяет усыплять бдительность пользователя.

Более подробно о майнере-зловреде можно узнать здесь.