Стало известно о том, что несколько суперкомпьютеров из разных стран европейского региона на этой неделе были заражены вредоносным ПО для майнинга криптовалют. Инциденты такого рода произошли в Великобритании, Германии, Швейцарии и Испании.

Первое сообщение об атаке поступило в понедельник из Эдинбургского университета, на площадке которого размещён суперкомпьютер ARCHER. Соответствующее сообщение и рекомендация сменить пользовательские пароли и SSH-ключи были опубликованы на веб-сайте учреждения.

В этот же день организация BwHPC, занимающаяся координацией исследовательских проектов на суперкомпьютерах, объявила о необходимости приостановить доступ к пяти вычислительным кластерам на территории Германии для проведения расследования «инцидентов безопасности».

Сообщения подобного рода продолжили поступать в среду, когда исследователь в сфере информационной безопасности Феликс фон Лейтнер (Felix von Leitner) написал в своём блоге о том, что доступ к находящемуся в испанской Барселоне суперкомпьютеру закрыт на время проведения расследования инцидента кибербезопасности.

На следующий день аналогичные сообщения поступили из Лейбницкого вычислительного центра, института при Баварской академии наук, а также из исследовательского центра Юлих, расположенного в одноимённом немецком городе. Официальные лица заявили о том, что после «инцидента с информационной безопасностью» закрыт доступ к суперкомпьютерам JURECA, JUDAC и JUWELS. Кроме того, Швейцарский центр научных вычислений в Цюрихе также закрыл внешний доступ к инфраструктуре своих вычислительных кластеров после инцидента с информационной безопасностью «до восстановления безопасной среды».     

Ни одна из упомянутых организаций не опубликовала каких-либо подробностей относительно произошедших инцидентов. Тем не менее, Группа реагирования на инциденты информационной безопасности (CSIRT), которая координирует исследования с использованием суперкомпьютеров по всей Европе, опубликовала образцы вредоносных программ и дополнительные данные по некоторым инцидентам.

Образцы вредоносных программ были рассмотрены специалистами американской компании Cado Security, работающей в сфере информационной безопасности. По мнению специалистов, злоумышленники получили доступ к суперкомпьютерам через скомпрометированные пользовательские данные и ключи SSH. Также предполагается, что учётные данные были украдены у сотрудников университетов Канады, Китая и Польши, которые имели доступ к вычислительным кластерам для проведения разных исследований.

Несмотря на то, что нет официальных доказательств того, что все атаки были осуществлены одной группой хакеров, схожие имена файлов вредоносного ПО и сетевые идентификаторы указывают на то, что серия атак осуществлена одной группировкой. В Cado Security считают, что злоумышленники для доступа к суперкомпьютерам использовали эксплойт для уязвимости CVE-2019-15666, а после этого осуществляли развёртывания ПО для майнинга криптовалюты Monero (XMR).

Стоит отметить, что многие организации, которые были вынуждены закрыть доступ к суперкомпьютерам на этой неделе, ранее объявили о том, что отдают приоритет исследованиям коронавирусной инфекции COVID-19.

Хакерская группировка REvil взломала базу данных юридической фирмы Grubman Shire Meiselas & Sacks, которая занимается делами знаменитых актёров и музыкантов. В распоряжении злоумышленников могли оказаться 756 Гбайт информации о таких звёздах как Элтон Джон, Леди Гага и Роберт де Ниро. Хакеры грозятся выложить эти данные в интернет, если фирма не перечислит им 21 миллион долларов.

В базе данных фирмы Grubman Shire Meiselas & Sacks хранились адреса знаменитостей, контракты на выступления и даже личные переписки. Чтобы доказать актуальность полученных сведений, хакеры выложили часть информации в интернет. Сначала они слили данные в файлообменник Mega, но сотрудники компании быстро удалили файлы. Затем в даркнете появились скриншоты украденных данных. 

На данный момент сайт Grubman Shire Meiselas & Sacks закрыт и посетителям виден только его логотип. Представители компании признали, что были подвержены взлому. Они уже оповестили о происшествии своих клиентов и пригласили экспертов «мирового уровня» для проведения расследования и решения возникшей проблемы. 

По словам эксперта по компьютерной безопасности из компании Emsisoft, у юридической фирмы нет особого выбора. Если они не заплатят злоумышленникам, информация о знаменитостях действительно может стать общедоступной. Если же они заплатят выкуп, возможно, хакеры поступят честно и действительно удалят украденную базу данных.

Хакерская группировка REvil также известна как Sodinokibi — так называется программное обеспечение, при помощи которого они осуществляют атаки. Как правило, злоумышленники внедряют вредоносный код в компьютеры жертв и блокируют доступ к компьютерной системе. Об опасности шифровальщиков вроде Sodinokibi мы рассказывали в новости про увеличение количества угроз в системе macOS.

Группа REvil часто использует для атак шифровальщик Sodinokibi

За восстановление доступа хакеры просят довольно большие деньги. Например, в конце декабря 2019 года они заблокировали систему денежных переводов Travelex и потребовали от компании 3 миллиона долларов. Компания была вынуждена приостановить работу на две недели и в конечном итоге перевела злоумышленникам 2,3 миллиона долларов в биткоинах. После этого данные компании были восстановлены.

Хакеры выставили на продажу данные 9 миллионов клиентов российской службы доставки СДЭК. База данных, в которой представлена информация о местонахождении посылок и личностях получателей, продаётся за 70 тысяч рублей. Об этом сообщило издание «Коммерсантъ» со ссылкой на Telegram-канал In4security.

Кто именно завладел личными данными миллионов человек неизвестно. На скриншотах базы данных фигурирует дата 8 мая 2020 года, то есть украденная информация актуальна и может использоваться злоумышленниками для выманивания денег у клиентов СДЭК.

По словам руководителя отдела аналитики группы компаний InfoWatch Андрея Арсентьева, это самая крупная утечка данных клиентов среди российских служб доставки. По его словам, клиенты СДЭК уже неоднократно жаловались на уязвимости на сайте службы, которые позволяли увидеть личные данные чужих людей.

По словам заместителя генерального директора Infosecurity a Softline Company Игоря Сергиенко, украденные данные могут использоваться злоумышленниками для социальной инженерии. В ближайшее время мошенники могут начать звонить клиентам СДЭК и представляться сотрудниками компании.

Источник: In4security

Для создания большего доверия они могут назвать номера заказов, ИНН и другие данные, взятые из украденной базы данных. В конечном итоге они могут попросить жертв оплатить «дополнительные сборы и пошлины». Конкуренты СДЭК вполне могут использовать информацию для заманивания клиентов на свою сторону.

Повышенный интерес хакеров к службам доставки связан с тем, что во время карантина люди начали активно заказывать товары из интернет-магазинов. По словам основателя DeviceLock Ашота Оганесяна, натолкнуться на мошенников можно и на сервисе объявлений Avito. Злоумышленники начали активно создавать фальшивые сайты СДЭК, обещать людям отправить заказы после оплаты и скрываться вместе с деньгами жертв. С начала 2020 года фальшивых сайтов появилось около 450 штук.

Представители СДЭК утечку данных со своего сайта отрицают. По их словам, личные данные клиентов обрабатываются многими посредниками, в том числе и государственными агрегаторами. Вполне возможно, хакеры украли базу данных у сторонних компаний.

Во время пандемии коронавируса хакеров интересуют не только службы доставки, но и сервисы для организации видеоконференций. Недавно исследовательская группа Check Point сообщила, что мошенники начали распространять вирусы, используя клоны официальных сайтов Zoom, Google Meet и Microsoft Teams.

Исследовательская группа Check Point Research выявила массовую регистрацию доменов, которые легко спутать с адресами сервисов видеосвязи Zoom, Google Meet и Microsoft Teams. Регистрируемые домены могут использоваться хакерами для совершения фишинговых атак.

С конца апреля 2020 года исследователи зафиксировали регистрацию 2449 доменов, которые очень похожи на адреса популярных сервисов для организации видеоконференций. Они уже доказали, что 32 домена точно принадлежат злоумышленникам, а 320 находятся под подозрением.

Как правило, после регистрации доменов, похожих на адреса известных сервисов, хакеры атакуют жертв через электронную почту. Они массово рассылают письма, которые похожи на официальные уведомления от разработчиков Zoom, Google Meet и Microsoft Teams. В этих письмах пользователей просят перейти на сайт и ввести личные данные вроде логина и пароля или даже платёжных реквизитов. Иногда после перехода на фишинговый ресурс в компьютеры жертв проникает вирус, который может украсть важную информацию.

По словам Check Point Research, злоумышленники также часто прикрываются именем Всемирной организации здравоохранения (ВОЗ). Исследователи уже изучили несколько писем со вложенными файлами, содержащими вредоносный код, который проникает в чужие устройства сразу же после открытия такого файла. Также некоторые злоумышленники просят помочь благотворительным организациям, но средства уходят в биткоин-кошельки.

Повышенный интерес хакеров к сервисам видеосвязи и ВОЗ связан с тем, что в разгар пандемии коронавируса они обрели большую популярность. При этом некоторые сервисы не были готовы к хакерским атакам. Например, в сервисе Zoom была обнаружена уязвимость, позволяющая злоумышленникам подключаться к чужим разговорам. Также хакерам ранее удалось украсть данные пользователей Zoom и выложить их в интернет.

Хакерская группировка ShinyHunters взломала базы данных десяти крупных компаний и получила доступ к личной информации 73 миллионов человек. Украденные данные уже продаются в даркнете на общую сумму около 18 000 долларов. Подробностями о происшествии поделилось издание ZDNet.

Каждая база данных продаётся отдельно. Чтобы доказать подлинность украденной информации, группировка выложила ее часть в открытый доступ. По данным ZDNet, выложенная информация действительно принадлежит реальным людям.

Хакеры взломали базы данных десяти компаний, в число которых входят:

1. Сервис онлайн-знакомств Zoosk (30 миллионов записей);
2. Сервис печати Chatbooks (15 миллионов записей);
3. Южнокорейская платформа моды SocialShare (6 миллионов записей);
4. Сервис доставки еды Home Chef (8 миллионов записей);
5. Торговая площадка Minted (5 миллионов записей);
6. Онлайн-газета Chronicle of Higher Education (3 миллиона записей);
7. Южнокорейский журнал о мебели GGuMim (2 миллиона записей);
8. Медицинский журнал Mindful (2 миллиона записей);
9. Индонезийский интернет-магазин Bhinneka (1,2 миллиона записей);
10. Американское издание StarTribune (1 миллион записей).

Авторы издания ZDNet связались с представителями вышеперечисленных компаний, но многие из них пока не вышли на связь. Откликнулась только компания Chatbooks и подтвердила, что ее сайт был действительно взломан.

Источник: ZDNet

Эта же группа хакеров неделей ранее взломала крупнейший онлайн-магазин Индонезии Tokopedia. Изначально злоумышленники бесплатно выложили личные данные 15 миллионов пользователей. Потом они выпустили в продажу полную базу с 91 миллионом записей и попросили за неё 5000 долларов. Вероятно, взлом нынешних десяти компаний был воодушевлён предыдущим успехом.

Источник: ZDNet

За деятельностью хакерской группировки ShinyHunters следит множество борцов с киберпреступностью, в том числе компании Cyble, Under the Breach и ZeroFOX. Считается, что состоящие в этой группе хакеры как-то связаны с группировкой Gnosticplayers, которая была особенно активна в 2019 году. Обе группы работают по идентичной схеме и выкладывают в даркнет данные миллионов пользователей.

В мире существуют десятки хакерских группировок, и полиция постоянно ищет их участников. Недавно правоохранительным органам Польши и Швейцарии удалось арестовать хакеров из группировки InfinityBlack, которая занималась кражей данных, мошенничеством и распространением инструментов для проведения кибератак.

Правоохранительные органы Польши и Швейцарии совместно с Европолом и провели серию арестов предполагаемых участников хакерской группировки InfinityBlack, члены которой занимались торговлей украденными данными, мошенничеством, а также созданием и распространением вредоносного ПО и инструментов взлома.

В сообщении, которое опубликовано на сайте Европола, сказано, что 29 апреля этого года польские полицейские провели серию обысков в разных регионах страны, в ходе которых были арестованы пять человек. Было конфисковано электронное оборудование, внешние накопители, а также аппаратные криптовалютные кошельки, на которых хранилось порядка €100 000 в криптовалюте.

Группировка InfinityBlack создала несколько онлайн-платформ для продажи украденных данных пользователей разных программ лояльности. Хакеры делились на три команды, каждой из которых отводилась своя роль. Группа разработчиков занималась созданием средств проверки качества украденных БД, а тестировщики проверяли соответствие данных. Руководители проектов занимались распространением подписок на разные программы лояльности за криптовалюту. Для получения доступа к большому количеству пользовательских данных хакеры использовали сложный скрипт.

В сообщении сказано, что в руках киберпреступников находились данные пользователей, которые могли привести к краже более €600 000. Отмечается, что члены InfinityBlack нередко продавали пользовательские данные другим группировкам, которые использовали их по собственному усмотрению. Совместная работа правоохранителей двух стран при поддержке европейских ведомств сыграла важную роль в ликвидации хакерской группировки. В сообщении не сказано, всех ли участников группировки удалось задержать.

Газета The Guardian сообщила о том, что российские, китайские и иранские хакеры активно атакуют разработчиков вакцины от коронавируса с целью кражи важных данных, связанных с исследованиями.

В сообщении сказано о том, за последнее время наблюдается рост числа хакерских атак, направленных против британских университетов и научных организаций, занимающихся исследованием COVID-19. Это заявление сделано со ссылкой на Национальный центр кибербезопасности (National Cyber Security Center), сотрудники которого отмечают рост числа целевых атак, что делает преступную деятельность «предосудительной».  

В NCSC отметили, что в настоящее время десятки медицинских учреждений занимаются исследованием COVID-19, поэтому хакеры, находящиеся под контролем правительств разных стран, пытаются похитить какую-либо ценную информацию, связанную с этой деятельностью учёных. Несмотря на это, до сих пор не было зафиксировано ни одной атаки, которая закончилась бы успехом.

«Любая атака, нацеленная на организации, прикладывающие усилия для борьбы с коронавирусом, предосудительна. Мы наблюдаем рост доли кибератак, связанных с коронавирусом, и наши эксперты работают круглосуточно, чтобы помочь защититься целевым учреждениям», — сказал представитель NCSC.  

Помимо прочего, NCSC тесно сотрудничает с Оксфордским университетом, специалисты которого заняты разработкой вакцины от коронавируса. Несмотря на возросшее количество хакерских атак против исследовательских организаций, специалисты отмечают, что общее количество инцидентов, связанных с кибербезопасностью, которые фиксируются в Великобритании, во время пандемии не увеличилось.

После замены бортового компьютера автомобилей Tesla сотрудники заводов и сервисных центров выбрасывают их на свалку, не стирая конфиденциальную информацию об их бывших владельцах. Это ставит под угрозу такие личные данные автомобилистов, как их имена, платёжные данные, а также пароли от учётных записей Google, Spotify и других сервисов. Об этом в своём твиттере сообщил хакер под ником Green, предварительно уведомив Tesla об обнаруженной проблеме.

Бывшие в употреблении бортовые компьютеры Tesla сейчас можно найти на торговой площадке eBay. Хакер под ником Green попробовал приобрести несколько таких компьютеров и действительно нашёл в них информацию о предыдущих владельцах. Данные были не зашифрованы, то есть любой покупатель мог легко завладеть аккаунтами чужого человека.

Хакер сообщил о проблеме представителям Tesla и те пообещали провести расследование. Когда он поделился идентификационными номерами транспортных средств, в которых купленные бортовые компьютеры стояли раньше, Tesla объявила, что эти компьютеры были у неё «украдены». В ответ на это хакер объявил, что старые бортовые компьютеры с не зашифрованными данными можно найти даже в мусорных контейнерах рядом с заводами и сервисными центрами Tesla.

Бортовые компьютеры Tesla на торговой площадке eBay

Tesla утверждает, что по ее правилам, все данные с бортовых компьютеров до выбрасывания на свалку должны удаляться. Она вполне может контролировать этот процесс на заводах, но сотрудники сервисных центров могут и не подчиняться правилу. По словам хакера, у него есть знакомые, которые занимаются неофициальным ремонтом автомобилей Tesla. Они сообщили ему, что иногда покупают старые бортовые компьютеры у самих сотрудников Tesla. То есть, после замены старое оборудование может вовсе миновать мусорную урну и прямиком отправиться в другой автомобиль.

На данный момент Tesla обещает, что свяжется с владельцами автомобилей, которые могли пострадать из-за обнаруженной проблемы. Нынешним владельцам Tesla же следует помнить, что в случае замены бортового компьютера важно поменять свои пароли, чтобы не допустить взлома.

В настоящее время в даркнете хакеры продают более 267 миллионов профилей Facebook на общую сумму примерно в 623 доллара США. В продаваемой информации не содержатся пароли пользователей, однако злоумышленники с её помощью могут выполнять фишинговые и SMS-атаки для кражи учетных данных.

Исследователь безопасности Боб Дьяченко (Bob Diachenko) в прошлом месяце обнаружил открытую базу данных Elasticsearch, которая содержала около 267 миллионов профилей Facebook, причем большинство из них были пользователи из Соединенных Штатов Америки. Во многих случаях в числе данные содержали полное имя пользователя, его номер телефона и уникальный идентификатор Facebook. Хостинг, разместивший у себя базу данных, отключил свой веб-сервер после того, как с ними связался Дьяченко. Вскоре после этого заработал второй сервер, содержащий те же данные плюс дополнительные 42 миллиона записей, который был сразу же атакован неизвестными хакерами, предостерегавшими владельцев защитить свои серверы.

Из этих новых данных 16,8 миллиона записей содержали дополнительную информацию о профилях, такую как адрес электронной почты пользователя Facebook, дата его рождения и пол. Не было установлено, кому принадлежали вышеозвученные серверы, но ИБ-специалист полагает, что они принадлежали преступной организации, которая украла данные с помощью интерфейса API Facebook, либо собрала информацию из открытых источников с помощью парсинга.

В прошедшие выходные компания Cyble, специализирующаяся на информационной безопасности, обнаружила человека, продающего эту базу данных в даркнете и через хакерские форумы за 500 фунтов стерлингов (623 доллара США). Продаваемая база данных не содержит паролей к аккаунтам Facebook, но содержит адреса электронной почты и номера телефонов некоторых пользователей. Этого достаточно злоумышленникам для того, чтобы создавать фишинговые сайты, целью которых является кража пароля с помощью рассылок по электронной почте или фальшивых SMS-сообщений якобы от Facebook.

Если фэйковые письма содержат такую информацию, как дата рождения и/или номера телефонов, пользователи могут поверить хакерам и таким образом предоставить злоумышленникам запрашиваемую информацию. В связи с этим рекомендуется пользователям соцсети ужесточить свои настройки конфиденциальности в аккаунтах Facebook и быть более внимательными к подозрительным электронным письмам и текстовым сообщениям.

Более 500 тысяч аккаунтов пользователей сервиса Zoom находятся прямо сейчас в продаже на хакерских форумах и сайтах даркнета по цене менее 1 цента за каждый, а в некоторых случаях и вовсе раздаются бесплатно.

Эти учётные данные собраны благодаря методу «credential stuffing» — вида кибератаки, в которой злоумышленники пытаются получить доступ к онлайн-сервису, используя украденные ранее учётные данные пользователей путём автоматического перебора регистрационных данных (логин/пароль). Прошедшие авторизацию пары «логин/пароль» формируются в списки, которые потом продаются другим хакерам.

Некоторые из учётных записей Zoom раздаются бесплатно на соответствующих форумах, чтобы хакеры могли использовать их для взлома, пранков и даже харассмента, количество которых настолько возросло в последнее время, что само это явление получило название «Зум-бомбинг» («Zoom-bombing»). Остальные продаются менее чем за один цент за одну запись.

По данным источника, компании занимающейся информационной безопасностью — Cyble, хакеры распространяют учётные данные даже бесплатно, чтобы заработать репутацию в своём сообществе.

Например, в приведенном ниже примере фигурирует фрагмент около 290 записей учётных данных, связанных с образовательными учреждениями Вермонта, Колорадо, Дартмута, Лафайета, Флориды и многие других штатов, которые были выложены в Сеть бесплатно.

Стоит сказать, что упомянутая выше компания Cyble сама вышла на контакт с продавцами чужих личных данных для покупки учётных записей оптом, чтобы они смогли предупредить своих клиентов о потенциальной опасности. Всего Cyble удалось приобрести более 530 тысяч учётных записей Zoom менее чем за 0,002 цента за штуку. Приобретённая информация включала адреса электронной почты пользователей, их пароли, URL-ссылки личной онлайн-встречи и их ключи HostKey.

В целях безопасности, если Ваш пароль от платформы Zoom использовался ранее на других сайтах, настоятельно рекомендуется изменить его, и создать уникальные пароли для других часто используемых интернет-сервисов. 

Стоит отметить, что разработчики сервиса для видеоконференций Zoom в последнее время прикладывают массу усилий по повышению уровня безопасности и конфиденциальности своего приложения. Например, с 5-го апреля, пароли для входа в чат и использование «комнат ожидания» стали обязательным условием для проведения всех онлайн-собраний в Zoom в рамках борьбы с «Зум-бомбингом».

Не успели мы сообщить о том, что хакеры используют поддельные домены Zoom для распространения вредоносного ПО, как стало известно о новой уязвимости в данной программе для онлайн-конференций. Оказывается, клиент Zoom для Windows позволяет злоумышленникам через отправленную собеседнику в окне чата UNC-ссылку украсть учетные данные пользователя в операционной системе.

Zoom UNC-инжект

Хакеры могут использовать атаку «UNC-инжект» для получения логина и пароля учетной записи пользователя ОС. Возможно это благодаря тому, что Windows отправляет учётные данные при подключении к удалённому серверу для загрузки файла. Всё, что нужно сделать злоумышленнику, это отправить ссылку на файл другому пользователю через чат Zoom и убедить собеседника перейти по ней. Несмотря на то, что пароли Windows передаются в зашифрованном виде, обнаруживший данную уязвимость взломщик утверждает, что его можно расшифровать соответствующими инструментами, если пароль недостаточно сложный.

С ростом популярности сервиса Zoom он попал под пристальное внимание сообщества кибербезопасности, которое стало более детально изучать слабые стороны нового программного обеспечения для видеоконференций. Ранее, например, было обнаружено, что заявленное разработчиками в Zoom сквозное шифрование (end-to-end) фактически отсутствует. Обнаруженная в прошлом году уязвимость, которая предоставляла возможность удалённо подключиться к компьютеру Mac и без разрешения владельца включить видеокамеру, была исправлена разработчиками. Однако о решении проблемы с UNC-инжектом в самом Zoom ещё не сообщали.

На текущий момент при необходимости работы через приложение Zoom рекомендуется либо отключить автоматическую передачу учётных данных NTML на удалённый сервер (изменить параметры политики безопасности Windows), либо просто использовать клиент Zoom для сёрфинга в Интернете.

По сообщениям сетевых источников, хакеры в России стали чаще стараться взять под контроль инфраструктуру атакуемых компаний, вместо того, чтобы осуществлять прямую кражу денежных средств. Это объясняется тем, что банковские организации стали более защищёнными, а также увеличением спроса на промышленный шпионаж на чёрном рынке. Об этом сообщает издание Коммерсантъ ссылкой на данные компании «Ростелеком-Солар».

В сообщении отмечается, что в 2019 году на 40 % увеличилось количество атак, цель которых заключалась во взятии под контроль инфраструктуры компаний и организаций. При этом атаки с целью кражи денег стали происходить на 15 % реже. В основе отчёта лежат данные, полученные от 100 компаний со средним числом сотрудников от 1000 человек, которые были проанализированы специалистами центра мониторинга и реагирования на киберугрозы Solar JSOC.

Специалисты отмечают, что незаметное присутствие в инфраструктуре длительное время позволяет злоумышленникам изучить происходящие внутри неё процессы, а также взять под свой контроль внутренние IT-системы. В Solar JSOC отмечают, что злоумышленники продают на чёрном рынке такие точки присутствия, а также шантажируют атакуемые компании и проводят конкурентную разведку. Также сказано о том, что в последние несколько лет наблюдается рост числа атак на промышленные и энергетические объекты, а также органы власти.

Представитель «Лаборатории Касперского» подтвердил, что количество атак на корпоративную инфраструктуру, в том числе предприятия госсектора, неуклонно растёт. В настоящее время «Лаборатория Касперского» наблюдает около 200 групп, занимающихся кибершпионажем, причём ежегодно их количество возрастает. Также отмечается, что российские компании атакуются из разных регионов мира, при этом качество используемых целевых вредоносов повышается. Это может говорить о том, что злоумышленники рассчитывают использовать их длительное время, не будучи обнаруженными.

Стало известно о том, что хакеры использовали вымогательское ПО Maze для атаки на британскую медицинскую компанию Hammersmith Medicines Research, которая готовится приступить к испытаниям возможной вакцины против коронавируса. В результате атаки злоумышленники похитили данные тысяч бывших пациентов HMR, а после того, как компания отказалась платить выкуп, эта информация оказалась в сети Интернет.

Согласно имеющимся данным, хакеры опубликовали данные 2300 бывших пациентов HMR, в том числе медицинские опросники, копии паспортов, водительских прав, а также номера страховых свидетельств. В компании заявили, что IT-персонал обнаружил «серьёзную атаку» в субботу, 14 марта. Атака была остановлена, а компьютерные системы организации восстановлены к концу дня.

«Мы остановили атаку и быстро восстановили все наши функции. Никаких простоев не было», — сказал один из руководителей HMR Малкольм Бойс (Malcolm Boyce). Он также отметил, что после этого инцидента организация существенно усилила защиту своих компьютерных систем.

Источник отмечает, что данные пациентов клиники были опубликованы всего через несколько дней после того, как операторы Maze пообещали не осуществлять атак против медицинских учреждений во время пандемии коронавируса. Атаку провели 14 марта, а конфиденциальная информация пациентов была опубликована в сети Интернет 21 марта. Каким образом злоумышленники получили доступ к внутренним сетям HMR, в сообщении не сказано. Специалисты предполагают, что для этого могли эксплуатироваться уязвимости VPN-сервера, используемого сотрудниками HMR в процессе работы.

Общая тенденция такова, что на фоне распространения коронавируса компании по всему миру в срочном порядке переводят сотрудников на удалённую работу. Не все из них располагают подходящей инфраструктурой, да и для многих работников такая миграция является стрессом. В этой ситуации у хакеров возникают новые возможности.

Источник изображения: Reuters

Специалисты в области информационной безопасности сообщают об увеличившейся активности хакеров и мошенников, использующих ажиотаж, связанный с распространением коронавируса. Прежде всего, участились случаи распространения компьютерных вирусов и фишинговых писем под видом официальных информационных рассылок от государственных органов, призванных распространять оперативные данные о ситуации с коронавирусом. Сотрудники консалтингового подразделения Cisco Systems, которое занимается кибербезопасностью, сообщают о десятикратном росте количества обращений клиентов за последние недели.

Необходимость резкого перевода штата на удалённую работу вызывает массу ошибок со стороны персонала, увеличивает нагрузку на специалистов по информационной безопасности, а также открывает новые угрозы. Потеря ноутбука со служебной информацией сама по себе может стать проблемой, не говоря уже об аспектах работы через менее защищённые каналы связи. Человеческий фактор влияет и на качество удалённой работы — многим сотрудникам не удаётся избежать ошибок на первых этапах деятельности в новых условиях. Схемы дистанционного обучения подвергают опасности студентов и школьников, они тоже могут стать жертвами злоумышленников из-за необходимости проводить много времени за компьютером в процессе получения знаний.

Министерство юстиции США обвиняет двух граждан Китая в отмывании криптовалюты на сумму в $100 млн, которая была похищена хакерами Северной Кореи. В заявлении говорится, что обвиняемые в период с декабря 2017 года по апрель 2019 года конвертировали получаемые от северокорейских хакеров средства разными способами, в том числе обменивая криптовалюту на подарочные карты Apple iTunes.

Два гражданина Китая Тянь Иньинь (Tian Yinyin) и Ли Цзядун (Li Jiadong) обвиняются в заговоре с целью отмывания денег и ведении нелицензированного бизнеса на территории США. Хотя китайцы начали свою деятельность ещё в 2017 году, в обвинении Министерства юстиции делается акцент на крупном хакерском взломе криптовалютной биржи в 2018 года. Тогда США обвинили северокорейских хакеров в краже криптовалюты на общую сумму в $250 млн. Прежде чем делать обмен хакеры осуществили проведение многочисленных транзакций, чтобы затруднить отслеживание перемещаемых средств.

В обвинении также сказано, что часть похищенных денег использовалась Северной Кореей на развёртывание инфраструктуры, используемой для проведения хакерских атак. Ранее следователи ООН заявляли о том, что страна использует украденные правительственными хакерами средства для реализации программы по созданию ядерного оружия.   

В сообщении отмечается, что американские чиновники давно подозревали китайских граждан в причастности к хакерским атакам Северной Кореи. Несмотря на это, данный случай является первым, когда США предъявили обвинение гражданам Китая в пособничестве северокорейским хакерам.