Falcongaze | Кибербезопасность | ИБ


Гео и язык канала: Беларусь, Русский
Категория: Технологии


Здесь мы делимся важной и полезной информацией по информационной безопасности.
Рассказываем:
- Как защититься от утечек конфиденциальных данных;
- Новости и громкие утечки;
- Разбираем и анализируем хакерские атаки
Менеджер: +7(499) 116-30-00

Связанные каналы  |  Похожие каналы

Гео и язык канала
Беларусь, Русский
Категория
Технологии
Статистика
Фильтр публикаций


Вечное противостояние 😅


Компания Ford провела внутреннее расследование после заявления о возможной утечке 44 000 клиентских записей.

Информация о нарушении появилась на форуме в даркнете и ссылалась на хакера под псевдонимом IntelBroker. Ранее этот хакер уже был замечен в атаках на другие крупные компании и организации, включая Cisco DevHub, Nokia, T-Mobile и веб-портала Европола.

Утечка затронула данные клиентов Ford, включая полные имена, информацию о покупках, сведения о дилерах и временные метки записей. Хотя эти данные сами по себе не являются чрезвычайно конфиденциальными, они всё же могут быть использованы для фишинговых атак.

Злоумышленники не пытались продать набор данных, а вместо этого предложили его зарегистрированным членам хакерского форума за восемь кредитов, что эквивалентно 2$.

«Расследование Ford установило, что не было никакого нарушения систем Ford. Дело касалось стороннего поставщика и общедоступной информации дилеров. Насколько мы понимаем, вопрос теперь решен» – заявил представитель Ford.


Хакеры взломали американскую компанию Maxar Space Systems, занимающуюся производством спутников связи и наблюдения Земли. Компания построила более 80 спутников, которые в настоящее время находятся на орбите и внесли вклад в исследование космоса.

В уведомлении для пострадавших лиц компания сообщила, что злоумышленник использовал гонконгский IP-адрес и получил доступ к системе примерно за неделю до обнаружения вторжения.

Сразу после обнаружения несанкционированного доступа Maxar приняла меры для защиты системы. Тем не менее, по данным расследования, хакер имел доступ к файлам в системе в течение недели до этих действий.

Утечка данных затронула следующую информацию о сотрудниках: имя, домашний адрес, номер социального страхования, контактная информация для бизнеса, пол, статус занятости, номер сотрудника, должность, даты найма/увольнения, руководитель и отделение. Важно отметить, что информация о банковских счетах не была раскрыта.


Spotify используется для распространения пиратского ПО и другого нелегального контента.

Злоумышленники создают плейлисты и подкасты с названиями, содержащими ключевые слова, которые привлекают внимание пользователей и сканируются поисковыми системами.

Когда пользователи вводят запрос, содержащий «бесплатная загрузка» и название программы, результаты поиска включают ссылки на эти плейлисты и подкасты в Spotify.

Например, недавно был обнаружен плейлист с названием «Sony Vegas Pro 13 Crack», который перенаправлял пользователей на сайт с «бесплатным» ПО.

Также были найдены поддельные подкасты, состоящие из нескольких «эпизодов», озвученных ИИ. Они продвигают спам-ссылки, Telegram-каналы и иной пиратский контент, включая электронные книги.

На целевой странице есть кнопки "скачать" или "читать онлайн", расположенные рядом с обложкой рекламируемой книги. Однако нажатие любой из них направляет пользователей к расширениям Chrome, которые могут содержать вредоносный код.


Злоумышленники все активнее используют метод «Подсадные Утки» для захвата доменных имен. Затем эти домены используются в фишинговых атаках и мошеннических схемах, особенно в сфере инвестиций.

По данным исследователей, за последние 3 месяца было обнаружено около 800 000 уязвимых доменов, из которых почти 9% (70 000) уже были взломаны.

Этот метод был впервые применен в 2018 году и затронул известные бренды, некоммерческие организации и даже государственные структуры.

Атака «Подсадные Утки» основана на неправильных настройках в системе доменных имен (DNS), что позволяет злоумышленникам захватить контроль над доменом. Это включает сценарии, когда DNS указывает на неправильный авторитетный сервер имен.

Важным аспектом атак является ротационный захват, когда один и тот же домен многократно захватывается разными субъектами угроз в течение короткого времени. Злоумышленники часто используют бесплатные учетные записи от поставщиков услуг, таких как DNS Made Easy, чтобы захватить домены на малый срок.


Поддельные генераторы изображений и видео на базе ИИ заражают Windows и macOS вредоносным ПО Lumma Stealer и AMOS, крадущим информацию, включая криптовалютные кошельки, учетные данные и пароли.

Lumma Stealer — это вредоносная программа для Windows, а AMOS — для macOS, но обе они крадут криптовалютные кошельки, а также файлы cookie, учетные данные, пароли, кредитные карты и историю просмотров из браузеров.

Эти данные собираются в архив и отправляются злоумышленнику, который может использовать эту информацию в дальнейших атаках или продать ее на рынках киберпреступности.

Киберпреступники создали множество поддельных сайтов, предлагающих бесплатный редактор видео и изображений на базе ИИ EditPro.

Сайты продвигаются через результаты поиска и рекламу в соцсетях. Страницы выглядят профессионально и даже содержат вездесущий баннер cookie, что придает им вид и ощущение легитимности.

Однако нажатие «Получить сейчас» загрузит вредоносный исполняемый файл, выдающий себя за приложение EditProAI.


Хакер, стоящий за одной из крупнейших краж криптовалют в истории, проведет пять лет в тюрьме США.

35-летний житель США Илья Лихтенштейн был приговорен к пяти годам тюремного заключения после того, как в 2016 году взломал Bitfinex, одну из крупнейших платформ обмена криптовалют.

Лихтенштейн украл 120 000 биткоинов и начал отмывать деньги вместе со своей женой Хизер Рианнон Морган.

На момент взлома стоимость похищенного имущества составляла $70 млн, но к моменту ареста в феврале 2022 года она выросла до $4,5 млрд, а по текущему курсу – $10,7 млрд.

Пара успешно отмыла около 21% украденных средств, что составило около $14 млн по курсу 2016 года.

«Более пяти лет обвиняемый применял то, что агенты Налоговой службы США описали как самые сложные методы отмывания денег, которые им доводилось видеть», — написали прокуроры.

Лихтенштейн помог вернуть более 96% украденных средств. Он заявил, что берет на себя полную ответственность за свои действия, но попросил не приговаривать его жену к тюремному заключению.


Роберт Пёрбек, 45-летний мужчина из Айдахо, был приговорен к 10 годам лишения свободы за кражу личных данных более 132 000 человек и многочисленные попытки вымогательства.

Он был признан виновным во взломе как минимум 19 организаций в США.

В 2017 году Пёрбек приобрел сетевой доступ к компьютерному серверу медицинской клиники через даркнет. Используя этот доступ, он сумел украсть персональные данные 43 000 человек, включая их имена, адреса и номера социального страхования.

В феврале 2018 года он также получил доступ к серверу полицейского управления в Джорджии, что дало ему возможность украсть отчеты, документы и личные данные 14 000 человек.

Во время обыска в его доме, ФБР обнаружило на изъятых устройствах данные более 132 000 человек, которые, вероятно, были украдены в результате многочисленных взломов произошедших за эти годы.

В дополнение к основному наказанию Пёрбек должен будет выплатить своим жертвам более $1 048 700 в качестве компенсации.


Хакеры, связанные с Китаем, скомпрометировали данные официальных лиц США, совершив масштабную атаку на серверы поставщиков телекоммуникационных услуг.

ФБР и CISA опубликовали совместный информационный бюллетень, в котором они поделились более подробной информацией о том, что они назвали «широкомасштабной и значительной кампанией кибершпионажа».

Они подтвердили, что китайским хакерам удалось украсть данные записей звонков клиентов, взломать личные сообщения ограниченного числа лиц, участвующих в государственной или политической деятельности.

В октябре предвыборный штаб Дональда Трампа получил информацию о том, что телефоны Трампа и избранного вице-президента Джей Ди Вэнса, а также сотрудников предвыборной кампании Камалы Харрис могли быть взломаны в результате взлома.

Федеральное правительство США сформировало межведомственную группу для устранения последствий взлома.

Одновременная кампания шпионажа и кражи данных, направлена ​​против канадских правительственных чиновников.


Хакерская группировка Lazarus разработала новый метод внедрения вредоносного кода в системы macOS, используя настраиваемые расширенные атрибуты.

Этот подход позволяет вредоносному ПО оставаться незамеченным и успешно обходить традиционные меры безопасности.

Расширенные атрибуты, которые обычно используются для хранения метаданных файлов, теперь стали инструментом для скрытия и выполнения вредоносного ПО на целевых системах.

Среди обнаруженных вредоносных программ выделяется «RustyAttr» — троян, созданный с использованием фреймворка Tauri.

Спрятав вредоносный код в расширенных атрибутах и затем выполнив его с помощью встроенных команд интерфейса Tauri, Lazarus успешно обходит множество антивирусных защит.

Для проникновения Lazarus использует разнообразные элементы-приманки, такие как PDF-файлы, связанные с разработкой проектов или криптовалютой, а также поддельные системные сообщения, чтобы привлечь внимание пользователя, заставляя неосознанно запустить вредоносный код.


Наблюдается распространение нового фишингового инструмента «GoIssue», который представляет угрозу для пользователей GitHub и всего сообщества разработчиков.

Данный инструмент автоматизирует процесс сбора электронной почты из профилей GitHub с использованием токенов и фильтров, основанных на таких критериях, как членство в организации и уровень вовлечённости.

Это повышает риски для организаций, так как злоумышленники нацеливаются на разработчиков и стремятся эксплуатировать их доверенный доступ к корпоративным системам.

После сбора данных злоумышленники отправляют фишинговые письма, специально созданные для обхода спам-фильтров, непосредственно в почтовые ящики разработчиков.

Поддельные уведомления, выдаваемые за официальные сообщения от GitHub, могут привести к компрометации учётных данных, загрузке вредоносного ПО или несанкционированному доступу к закрытым репозиториям.

Компрометация учётных данных одного разработчика может затронуть все аспекты деятельности компании.


Компания Halliburton сообщила, что стала жертвой атаки вируса-вымогателя, которая обошлось ей в $35 млн.

Halliburton – транснациональная компания со штаб-квартирой в Дубае, которая является одним из крупнейших поставщиков продукции и услуг для энергетической отрасли.

Стоимость инцидента в $35 млн меркнет на фоне дохода в $5.7 млрд за третий квартал, однако это ясно демонстрирует сохраняющиеся финансовые риски, связанные с программами-вымогателями.

В конце августа компания уведомила SEC о несанкционированном доступе третьей стороны к её системам. Halliburton немедленно активировала план реагирования на киберугрозы и начала внутреннее расследование.

Последующие события показали, что инцидент был более серьезным, чем предполагалось изначально. Атака вызвала сбои и ограничила доступ к бизнес-приложениям компании, поддерживающим её операции и корпоративные функции.

Предполагается, что за атаку ответственна группировка RansomHub, хотя точные данные о украденной информации пока неясны.


Хакер под псевдонимом «Nam3L3ss» выложил в даркнете 2,8 млн строк данных сотрудников Amazon, заявив, что делает это для повышения осведомленности о ненадлежащих практиках обеспечения безопасности.

В серии постов он утверждал, что получил данные 25 организаций, включая McDonald's, Charles Schwab, Lenovo, Delta Airlines, HSBC и Amazon, которые были скомпрометированы из-за уязвимости MOVEit.

Nam3L3ss утверждает, что отслеживает сайты групп вымогателей и открытые облачные сервисы, скачивая данные и удаляя дубликаты.

В своем заявлении, он подчеркнул важность шифрования данных и отметил, что компании и правительства должны уделять больше внимания защите PII (личной идентификационной информации).

Остаётся неясным, были ли данные, которые он слил, собраны из сторонних источников или он получил их напрямую через эксплойт MOVEit. Учитывая, что типы данных в этих 25 организациях-жертвах схожи, вполне вероятно, что первоначальным источником мог быть один сторонний поставщик.


Мы рады представить новую версию нашей системы защиты данных и предотвращения утечек информации — SecureTower 7 Helium.

Почему Helium?

Гелий — незаметное вещество без цвета и запаха, однако его значение для людей трудно переоценить. Подобно гелию, агент DLP-системы SecureTower:

- Незаметен для сотрудников.

- Не мешает работе антивирусов и брандмауэров.

- Полезен для эффективного управления компанией.

SecureTower 7 Helium включает множество улучшений, направленных на усиление защиты и удобство пользователей.

Узнайте обо всех нововведениях на нашем сайте!
Презентация


Гражданин России и Швеции был приговорен к 12,5 годам лишения свободы за помощь киберпреступникам в отмывании денег на протяжении десяти лет.

36-летний Роман Стерлингов управлял криптомикшером Bitcoin Fog с 2011 по 2021 год, обработав 1,2 млн биткоинов общей стоимостью около $400 млн на момент транзакций.

Криптомикшеры — популярный способ для злоумышленников скрыть источник своих средств и сбить со следа следователей по блокчейну.

По данным Министерства юстиции США, большая часть этих средств была связана с транзакциями на рынке даркнета, связанными с наркотиками, компьютерными преступлениями и тому подобным.

Стерлингов также был приговорен к выплате более $395 млн и конфискации криптовалюты и других активов на сумму $1,8 млн, а также его доли в кошельке Bitcoin Fog, которая составляла 1345 биткоинов – примерно $109 млн, на момент написания материала.


Крупный поставщик в нефтяной промышленности США, компания Newpark Resources, столкнулась с атакой вируса-вымогателя.

Постороннее лицо получило несанкционированный доступ к их внутренним информационным системам, что привело к заражению вирусом.

В заявлении, поданном в SEC, компания заявила, что атака привела к сбоям в работе и ограничению доступа к некоторым критически важным системам и бизнес-приложениям, включая системы финансовой и операционной отчетности.

«Однако производственные и полевые операции компании продолжались с использованием установленных процедур простоя», — говорится в отчете.

В ответ на эту атаку Newpark задействовал внутренние ресурсы и внешних консультантов для расследования и локализации инцидента, следуя своему плану реагирования.

Newpark продолжает оценивать масштаб и влияние атаки, особенно ее финансовые последствия. На данный момент считается, что инцидент не повлияет на финансовую стабильность компании.


В конце октября 2024 года была обнаружена вредоносная программа для Android под названием «ToxicPanda».

Первоначально она была классифицирована как часть семейства TgToxic из-за схожих команд, но впоследствии была выделена как отдельная угроза из-за значительных различий в коде.

ToxicPanda не имеет расширенных функций, таких как автоматическая система передачи (ATS), что снижает техническую сложность, но представляет риск из-за возможности захвата учетной записи через мошенничество на устройстве.

В ходе кампании было заражено более 1500 устройств: киберпреступники могли контролировать их, перехватывать одноразовые пароли и обходить двухфакторную аутентификацию.

Распространение вредоносного ПО, по-видимому, основано на тактике социальной инженерии, заставляя пользователей загружать приложение на свои устройства.

После установки ToxicPanda использует службы Android, получая повышенные разрешения, которые и позволяют ему захватывать конфиденциальные данные и выполнять несанкционированные действия.


Гражданин Нигерии был приговорен к 26 годам лишения свободы за мошенничество в сфере недвижимости, в результате которого пострадавшие потеряли около $12 млн.

Согласно судебным документам, Коладе Оджеладе, использовал комбинацию фишинговых электронных писем и техники «злоумышленник посередине», чтобы перехватывать крупные платежи и перенаправлять их на подконтрольные ему счета.

Термин «злоумышленник посередине» относится к киберпреступникам, которые незаметно перехватывают и изменяют сообщения между двумя сторонами.

С помощью фишинга, злоумышленник получил доступ к аккаунтам компаний и отслеживал их электронную почту, чтобы определить, когда должны были произойти крупные транзакции.

Это позволило ему перехватывать банковские платежи и изменять инструкции к платежу, после чего он повторно отправлял электронные письма с поддельных адресов, имитирующих исходных отправителей.

Из-за этого клиенты, пытающиеся отправить деньги компаниям по недвижимости, отправляли средства на счета, контролируемые Оджеладе.


Город Колумбус, штат Огайо, уведомил 500 000 жителей о том, что их персональные данные могли быть скомпрометированы в результате кибератаки, произошедшей в середине июля 2024 года.

Атака 18 июля привела к тому, что городу пришлось отключить критически важные системы, нарушив работу множества муниципальных служб в попытке локализовать утечку.

Хотя изначально официальные лица утверждали, что были похищены только поврежденные документы, анализ показал, что данные действительно были украдены и размещены в даркнете.

Группа Rhysida ransomware взяла на себя ответственность за атаку и пыталась получить выкуп, заявив, что украла 6,5 ТБ данных.

После провала переговоров хакеры разместили 3,1 ТБ данных на своем сайте в даркнете. Это раскрытие стало одной из самых значительных утечек данных государственного сектора.


Исследователи безопасности обнаружили первую в истории атаку на цепочку поставок с открытым исходным кодом, сочетающую технологию блокчейна с традиционными векторами атак.

Вредоносный пакет «jest-fet-mock» на npm подделывает две легитимные и широко используемые утилиты тестирования JavaScript: «fetch-mock-jest» и «Jest-Fetch-Mock». Эти легитимные пакеты используются в средах разработки, где разработчики обычно имеют повышенные системные привилегии.

Вредоносная программа использует смарт-контракт в блокчейне, чтобы получить адрес сервера управления, через который злоумышленники могут контролировать зараженные устройства.

Так злоумышленники получают два ключевых преимущества: их инфраструктуру становится практически невозможно вывести из строя из-за неизменяемой природы блокчейна, а децентрализованная архитектура чрезвычайно затрудняет блокировку этих коммуникаций.

Таким образом, даже если сетевые защитники блокируют один сервер C2, их противники могут просто переключиться на новый, обновив контракт.

Показано 20 последних публикаций.