В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

В минувшую ночь инфраструктура фонда «Сколково» подверглась хакерской атаке, в результате чего была нарушена работа ряда его сервисов, пишет ТАСС со ссылкой на пресс-службу организации. Злоумышленникам удалось получить частичный доступ к информационным системам, и сейчас специалисты фонда занимаются восстановлением работы сервисов.

Источник изображения: Pixabay

«В ночь с 28 на 29 мая инфраструктура фонда "Сколково" подверглась хакерской атаке. Злоумышленники получили частичный доступ к ряду информационных систем и сетевых ресурсов. Ведётся активная работа по восстановлению работоспособности инфраструктуры фонда "Сколково"», — сообщили в пресс-службе организации, добавив, что на данный момент временно недоступны публичные информационные ресурсы, такие как сайт sk.ru и онлайн-сервисы, и что основная часть сервисов будет восстановлена в течение суток.

В числе первых о взломе систем фонда рассказал Telegram-канал «Утечки информации», отметивший, что среди, файлов, опубликованных хакерами в качестве доказательства взлома, никаких критичных пользовательских данных (и баз данных вообще) не обнаружено.

В свою очередь, «Интерфакс» сообщил со ссылкой на пресс-службу фонда, что хакерам удалось взломать «файлообменник, расположенный на физических мощностях фонда». В настоящее время фонд «Сколково» ведёт изучение и анализ обстоятельств инцидента, к расследованию которого привлечены правоохранительные органы.

В Сеть попала утечка из базы данных, опубликованная хакерами, пишет ТАСС со ссылкой на сообщение Telegram-канала Infosecurity. Утечка содержит 295 915 строк с последней записью от 25 мая 2023 года. Как полагает Telegram-канал, данные могут касаться соискателей на работу в сети ресторанов быстрого питания «Вкусно – и точка».

Источник изображения: Pixabay

Сообщается, что в открытом доступе оказались сведения о кандидатах на вакансии, включая их имена, возраст, гражданство, номер мобильного телефона, дату и источника запроса, а также процент прохождения теста на собеседовании, статус и место работы, вакансии и т.д.

В пресс-службе сети ресторанов быстрого питания «Вкусно – и точка» сообщили ТАСС в субботу, что служба безопасности и IT-департамент сейчас проверяют информацию об утечке данных с сайта для соискателей компании. В случае подтверждения факта утечки конфиденциальных данных компании грозит штраф за нарушение требований ч.1 ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), максимальная сумма которого составляет 100 тыс. рублей.

Напомним, что в этом месяце суд оштрафовал на 60 тыс. рублей компанию VK за утечку данных пользователей почтового сервиса Mail.ru, несмотря на то, что компания утверждала, что её вины в этом нет, так как появление персональных данных пользователей почтового сервиса в открытом доступе связано с утечкой стороннего ресурса.

В минувшую среду Microsoft вместе с западными спецслужбами сделала заявление, согласно которому спонсируемая Китаем хакерская группа ведёт слежку за целым рядом объектов критической инфраструктуры США. Китай отвергает эти обвинения, назвав происходящее «коллективной дезинформационной кампанией» США и их союзников.

Источник изображения: FLY:D/unsplash.com

Базирующаяся в Китае хакерская группа, известная как Volt Typhoon или Bronze Silhouette, по словам Microsoft действует с середины 2021 года, занимаясь «шпионажем и сбором информации». Хакеры стремятся получить доступ к критически важным системам, и как можно дольше затем сохранять доступ, не выдавая своего присутствия. Список целей охватывает секторы связи, производства, коммунальных услуг, транспорта, строительства, морского судоходства, правительства, информационных технологий и образования.

Microsoft признает, что обнаружение и устранение последствий проникновения Volt в различные системы «может оказаться сложной задачей», поскольку для кражи информации группировка использует сочетание разных методов, включая безфайловые вредоносные программы и получение данных учетных записей. Microsoft считает, что целью кампании Volt является разработка возможностей, которые «могут нарушить критически важную инфраструктуру связи между США и Азиатским регионом во время будущих кризисов».

В связи с обнаружением Microsoft активности хакеров Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило рекомендации по кибербезопасности, которые поддержала принадлежащая Dell компания по кибербезопасности Secureworks.

По данным агентства Reuters, Volt Typhoon считается одной из крупнейших известных китайских группировок по кибершпионажу, нацеленных на США, которая также работает и в других регионах. В настоящее время Агентство национальной безопасности (АНБ) США и Федеральное бюро расследований (ФБР) США в сотрудничестве с разведывательным альянсом «Пять глаз», в который входят США, Австралия, Канада, Новая Зеландия и Великобритания, выясняют, не было ли уже проникновений Volt Typhoon в компьютерные системы других стран.

Комментируя эти заявления, официальный представитель министерства иностранных дел Китая Мао Нин (Mao Ning) отметила, что в хакерских атаках виновен Вашингтон и что «Соединённые Штаты — это империя хакерских атак».

Telegram-канал «Утечки информации» исследовательской компании DLBI сообщил о появлении в открытом доступе актуальных на 18 мая данных клиентов сети лабораторий «Ситилаб». В обнаруженных файлах содержатся логины, хешированные пароли, ФИО, пол, дата рождения, дата регистрации, 483 тысячи уникальных адресов электронной почты и 435 тысяч уникальных номеров телефонов.

Источник изображения: pressfoto / freepik.com

Адреса электронной почты реальные — исследователи компании DLBI проверили часть из них через форму восстановления аккаунта на сайте «Ситилаб». Утверждается, что хакерам удалось похитить в общей сложности 14 Тбайт данных. В открытый доступ выложена пока только часть украденной информации объёмом 1,7 Тбайт. Кроме непосредственно данных о клиентах сети лабораторий в свободном доступе оказались около 1000 документов в формате PDF с результатами анализов, исследованиями, договорами и чеками.

Пока комментариев от «Ситилаб» не поступало. Хакеры не первый раз обращают своё криминальное внимание на медицинские лаборатории — в мае 2022 года в даркнете продавалась информация из 30 млн строк личных данных клиентов «Гемотеста». В июле компанию оштрафовали на 60 тысяч рублей за утечку данных пользователей. Вряд ли такой штраф может серьёзно озаботить компанию с внушительными финансовыми оборотами.

Специалисты компании Check Point Research, работающей в сфере информационной безопасности, обнаружили вредоносную прошивку для широкого спектра домашних и корпоративных маршрутизаторов TP-Link. С её помощью хакеры, предположительно поддерживаемые китайскими властями, объединяют заражённые устройства в сеть, трафик внутри которой скрытно передаётся на подконтрольные злоумышленникам серверы.

Источник изображения: Pixabay

По данным Check Point, вредоносная прошивка содержит полнофункциональный бэкдор, позволяющий хакерам устанавливать связь с заражёнными устройствами, передавать файлы, осуществлять удалённое выполнение команд, а также загружать, скачивать и удалять данные на подконтрольных устройствах. Вредоносное программное обеспечение распространяется под видом прошивки для маршрутизаторов TP-Link. Предполагается, что основная цель ПО заключается в скрытой ретрансляции трафика между заражёнными устройствами и подконтрольными хакерам серверами.

Анализ вредоносного ПО показал, что его операторы связаны с группировкой Mustang Panda, которая, по утверждению компаний Avast и ESET, поддерживается китайскими властями. Вредоносная прошивка была обнаружена в ходе расследования серии хакерских атак на европейские внешнеполитические структуры. Главным компонентом ПО является бэкдор, получивший название Horse Shell. Он позволяет осуществлять удалённое выполнение команд на заражённых устройствах, передавать файлы для загрузки на устройства жертв и выгружать данные, а также обмениваться данными между двумя устройствами с использованием протокола SOCKS5.

«Бэкдор может использоваться для ретрансляции данных между двумя узлами. Таким образом, злоумышленники могут создать цепочку узлов, которые будут передавать трафик на подконтрольный сервер. Такой подход позволяет киберпреступникам скрыть конечную точку назначения, поскольку каждый узел в цепочке имеет данные только о предыдущем и следующем узлах, каждый из которых представляет собой заражённое устройство. Лишь несколько узлов будут содержать данные о конечном узле», — говорится в сообщении Check Point.

Один из крупнейших поставщиков аптечных услуг в США — PharMerica — подтвердил, что хакеры из Money Message получили доступ к личным данным почти шести миллионов пациентов. Среди украденных данных оказались как общая информация, так и медицинские данные.

Источник изображения: pixabay

В уведомлении об утечке данных, поданном генеральному прокурору штата Мэн, компания PharMerica сообщила, что 14 марта узнала о подозрительной активности в своей компьютерной сети. Внутреннее расследование показало, что «неизвестная третья сторона» получила доступ к её системам днями ранее и украла личную информацию 5,8 млн пациентов. В письме, отправленном пострадавшим клиентам, компания сообщила, что хакеры получили имена пациентов, даты рождения, номера социального страхования, список лекарств и информацию о медицинском страховании. Однако образцы утекших данных подтверждают, что хакеры также украли защищённую информацию о здоровье по крайней мере 100 пациентов, включая информацию об аллергиях, номера медицинских страховок и подробные диагнозы, включая сведения об употреблении алкоголя, наркотиков и наличии психических заболеваний.

Украденные данные были опубликованы на сайте хакерской группировки Money Message, которые в марте совершили атаку на производителя компьютерных комплектующих MSI. Команда хакеров утверждает, что украла в общей сложности 4,7 Тбайт данных у PharMerica и её материнской компании BrightSpring Health, поставщика медицинских услуг на дому. В заявлении, размещённом на веб-сайте PharMerica, компания сообщила, что предпринимает дополнительные шаги, чтобы помочь снизить вероятность возникновения подобного события в будущем, но не уточнила, какие именно это будут шаги.

Инцидент с PharMerica, в котором пострадали почти шесть миллионов пациентов, стал крупнейшим взломом личных данных пациентов в этом году. Второе по величине преступление связано с медицинской фирмой Regal Medical Group из Южной Калифорнии, которая в январе подтвердила, что был получен доступ к данным более 3,3 миллиона пациентов.

Хакерские группировки, связанные с Северной Кореей, с 2017 года похитили около $2,3 млрд в криптовалюте, в том числе у предпринимателей из Японии — $721 млн. Об этом пишет издание Nikkei Asia со ссылкой на данные исследования компании Elliptic, специализирующейся на анализе платформ на основе блокчейна.

Источник изображения: freepik

В сообщении сказано, что северокорейские хакеры нацелились на криптовалютные активы других стран, чтобы получить доступ к иностранной валюте, необходимой для реализации ракетной программы своей страны. По оценке экспертной группы Совета Безопасности ООН, северокорейские хакеры похитили от $600 млн до $1 млрд в криптовалюте в 2022 году. Это вдвое больше по сравнению с суммой украденных средств за предыдущий год. По подсчётам Elliptic, сумма похищенных средств в 2022 году составила $640 млн.

По данным источника, Северная Корея для кражи криптовалюты не только проводит хакерские атаки, но и использует вымогательское программное обеспечение. Чаще всего целью северокорейских хакеров становятся криптовалютные биржи из Японии. Отмечается, что злоумышленники в основном полагаются на проведение прямых атак, поскольку в случае их успеха можно извлечь большую выгоду, чем при использовании вымогательского ПО, которое далеко не всегда эффективно. В сообщении сказано, что основными целями хакеров были участники быстроразвивающихся криптовалютных рынков Японии и Вьетнама. Как минимум три японские криптобиржи были взломаны северокорейскими хакерами в период с 2018 по 2021 годы.

В Elliptic подсчитали, что в период с 2017 года по конец 2022 года северокорейские хакеры по всему миру похитили около $2,3 млрд в криптовалюте. При этом $721 млн приходится на Японию, ещё $540 млн на Вьетнам, $497 млн на США и $281 млн на Гонконг. По данным Японской организации по развитию внешней торговли, украденные у страны $721 млн в 8,8 раза больше объёма экспорта Северной Кореи в 2021 году.