Falcongaze | Кибербезопасность | ИБ


Гео и язык канала: Беларусь, Русский
Категория: Технологии


Здесь мы делимся важной и полезной информацией по информационной безопасности.
Рассказываем:
- Как защититься от утечек конфиденциальных данных;
- Новости и громкие утечки;
- Разбираем и анализируем хакерские атаки
Менеджер: +7(499) 116-30-00

Связанные каналы  |  Похожие каналы

Гео и язык канала
Беларусь, Русский
Категория
Технологии
Статистика
Фильтр публикаций


Город Колумбус, штат Огайо, уведомил 500 000 жителей о том, что их персональные данные могли быть скомпрометированы в результате кибератаки, произошедшей в середине июля 2024 года.

Атака 18 июля привела к тому, что городу пришлось отключить критически важные системы, нарушив работу множества муниципальных служб в попытке локализовать утечку.

Хотя изначально официальные лица утверждали, что были похищены только поврежденные документы, анализ показал, что данные действительно были украдены и размещены в даркнете.

Группа Rhysida ransomware взяла на себя ответственность за атаку и пыталась получить выкуп, заявив, что украла 6,5 ТБ данных.

После провала переговоров хакеры разместили 3,1 ТБ данных на своем сайте в даркнете. Это раскрытие стало одной из самых значительных утечек данных государственного сектора.


Исследователи безопасности обнаружили первую в истории атаку на цепочку поставок с открытым исходным кодом, сочетающую технологию блокчейна с традиционными векторами атак.

Вредоносный пакет «jest-fet-mock» на npm подделывает две легитимные и широко используемые утилиты тестирования JavaScript: «fetch-mock-jest» и «Jest-Fetch-Mock». Эти легитимные пакеты используются в средах разработки, где разработчики обычно имеют повышенные системные привилегии.

Вредоносная программа использует смарт-контракт в блокчейне, чтобы получить адрес сервера управления, через который злоумышленники могут контролировать зараженные устройства.

Так злоумышленники получают два ключевых преимущества: их инфраструктуру становится практически невозможно вывести из строя из-за неизменяемой природы блокчейна, а децентрализованная архитектура чрезвычайно затрудняет блокировку этих коммуникаций.

Таким образом, даже если сетевые защитники блокируют один сервер C2, их противники могут просто переключиться на новый, обновив контракт.


Относительно новая операция по распространению вируса-вымогателя под названием Interlock атакует организации по всему миру, создав шифровальщик для атак на серверы FreeBSD.

Запущенный в конце сентября 2024 года, Interlock взял на себя ответственность за атаки на шесть организаций, опубликовав украденные данные на своем сайте после того, как выкуп не был выплачен.

При шифровании файлов вирус-вымогатель добавляет расширение .interlock ко всем именам зашифрованных файлов и создает записку с требованием выкупа в каждой папке.

Изучение строк в исполняемом файле показало, что он был скомпилирован специально для FreeBSD.

Единственная группа вымогателей, которая использовала шифровальщики FreeBSD, — это ныне несуществующая Hive, которая была прервана ФБР в 2023 году.

Злоумышленники, вероятно, создали шифровальщик FreeBSD, поскольку эта операционная система широко используется в критически важной инфраструктуре, где атаки могут вызвать масштабные сбои.


На канале мы регулярно рассказываем о крупных утечках данных и кибератаках, но это лишь крохотная часть, от всех инцидентов, которые случаются ежедневно.

Мы разработали DLP-систему SecureTower, которая не просто предотвращает утечки информации, но и контролирует действия сотрудников, создавая надёжный барьер для защиты ваших данных.

Хотите узнать больше о том, как SecureTower может защитить ваш бизнес? Мы всегда рады помочь, разобраться в теме информационной безопасности: посетите наш сайт или свяжитесь с менеджером по телефону.

📲 +7(499)1163000


Исследователи кибербезопасности обнаружили новую фишинговую кампанию, нацеленную на Австралию, Японию, Испанию, Великобританию и США с сентября 2024 года.

Набор вредоносных программ Xiūgǒu, контролирует более 2000 фишинговых веб-сайтов, которые используются для атак, нацеленных на различные сферы деятельности, такие как государственный сектор, почтовые службы, цифровые услуги и банковские услуги.

Фишинговые атаки распространяются через сообщения Rich Communications Services (RCS), а не через SMS, предупреждая получателей о предполагаемых штрафах за парковку и невыполненных доставках посылок. Сообщения также просят их нажать на ссылку, чтобы оплатить штраф или обновить адрес доставки.

При нажатии на ссылку жертва переходит на домен Dropbox или Google Appspot, что запускает загрузку архива RAR, содержащего поддельный исполняемый файл PDF, который служит каналом для распространения вредоносного ПО.


По меньшей мере 20 канадских правительственных сетей были взломаны киберпреступниками, спонсируемыми китайским государством.

Канадский центр кибербезопасности подтвердил наличие нарушений в своей Национальной оценке киберугроз на 2025–2026 годы.

Киберцентр отметил, что злоумышленники использовали скомпрометированную информацию для продвижения стратегических, экономических и дипломатических интересов Коммунистической партии Китая, а также для предоставления ей преимущества в двусторонних отношениях между Китаем и Канадой в коммерческих вопросах.

В отчете освещаются шпионские атаки против частного сектора, академических кругов, цепочек поставок и связанных с правительством научно-исследовательских и опытно-конструкторских организаций Канады.

Киберцентр также заметил, что спонсируемые китайским государством хакеры нападают на отдельных лиц, особенно политиков, активистов, журналистов и диаспоры, которые КНР рассматривает как угрозу безопасности.


Interbank, один из ведущих финансовых институтов Перу, подтвердил утечку данных после того, как злоумышленник, взломавший его системы, выложил украденные данные в сеть.

Несмотря на то, что банку еще только предстоит раскрыть точное количество клиентов, чьи данные были украдены или раскрыты в результате взлома — злоумышленник, использующий псевдоним «kzoldyck», уже продает данные из систем Interbank на нескольких хакерских форумах.

«Сейчас я загружаю часть, содержащую информацию о более чем 3 миллионах клиентов. Общий объем данных превышает 3,7 ТБ. Я получил много внутренних учетных данных API, LDAP, учетных данных Azure и т. д.» — сообщил хакер.

Он утверждает, что ему удалось украсть полные имена клиентов Interbank, идентификаторы счетов, даты рождения, адреса, номера телефонов, адреса электронной почты и IP-адреса, а также номера кредитных карт и CVV, срок действия карт, информацию о банковских транзакциях и другую конфиденциальную информацию, включая учетные данные в виде открытого текста.


Microsoft предупредила о кампании по краже информации от Midnight Blizzard, в ходе которой тысячам жертв были отправлены фишинговые письма.

Сообщается, что от этой операции по сбору разведывательной информации пострадало более 100 организаций в правительстве, академических кругах, оборонных, неправительственных организациях и других секторах.

Необычно то, что сами электронные письма, выдаваемые за сотрудников Microsoft и других поставщиков облачных услуг, содержат подписанный файл конфигурации RDP, который подключается к серверу злоумышленников.

После того, как система была скомпрометирована, она подключалась к серверу, контролируемому злоумышленником, и сопоставляла ресурсы локального устройства пользователя с сервером.

Такой доступ может позволить злоумышленнику установить вредоносное ПО на локальные диски цели и сопоставленные сетевые ресурсы, или установить дополнительные инструменты, такие как трояны удаленного доступа (RAT), для сохранения доступа при закрытии сеанса RDP.


Новая версия шпионского ПО LightSpy, известного своей нацеленностью на устройства iOS, была расширена в новом обновлении.

Последняя версия, обозначенная как 7.9.0, более сложная и адаптивная, содержит 28 плагинов по сравнению с 12, которые наблюдались в предыдущей версии.

Семь из этих плагинов специально разработаны для вмешательства в функциональность устройства, с возможностями, которые включают заморозку устройства и предотвращение его перезагрузки.

Расследование показало, что LightSpy содержит уникальный плагин для пересчета данных о местоположении специально для китайских систем, что позволяет предположить, что разработчики шпионского ПО могут находиться в Китае.

Шпионское ПО получает первоначальный доступ, эксплуатируя известные уязвимости Safari, и повышает привилегии, используя методы джейлбрейка, что позволяет ему получать доступ к основным функциям и данным устройства.


Правительства Великобритании, США, Канады, Новой Зеландии и Австралии запустили новую программу, призванную помочь технологическим стартапам улучшить базовые меры кибербезопасности.

Запуск программы «Безопасные инновации в рамках «Пяти глаз» последовал за первой в истории публичной встречей глав внутренних разведывательных служб.

В ходе мероприятия участники предупредили, что враждебные государства охотятся за интеллектуальной собственностью стартапов, чтобы ускорить свой собственный технологический и военный потенциал и подорвать конкурентоспособность других.

«Советы Five Eyes Secure Innovation, которые мы внедряем сегодня, являются частью нашей защиты. Объединяясь с союзниками и предлагая последовательные советы, мы облегчаем компаниям, работающим по всему миру, принятие мер по обеспечению безопасности своих идей и продуктов».

По данным NCSC, более 500 британских стартапов уже посетили площадку Secure Innovation для разработки индивидуального плана действий по обеспечению кибербезопасности.


Эксперты зафиксировали всплеск мошенничества в сфере трудоустройства, нацеленного на финансово уязвимых лиц.

Данный вид мошенничества инициируются через мессенджеры и соцсети. Мошенники выдают себя за рекрутеров, предлагая заманчивые возможности удаленной работы в таких отраслях, как потоковая передача музыки или обзоры продуктов.

Жертвам предлагают зарегистрироваться на фальшивом портале вакансий, обещая простые оплачиваемые задания.

После регистрации жертве предлагается выполнить многочисленные действия по «работе», после чего она столкнется с техническими проблемами, которые остановят выполнение задания и оставят ее с отрицательным балансом счета.

Чтобы решить проблему с балансом, мошенники побуждают жертву сделать депозит, заверяя, что это откроет высокий потенциал заработка.

Групповые чаты «работников» еще больше усиливают иллюзию легитимности. В этих чатах обычно сами мошенники делятся историями успеха, чтобы усилить давление на жертв.


Голландская полиция сообщает, что демонтировала серверы, обеспечивающие работу инфокрадов Redline и Meta.

«Это последнее обновление для Redline и Meta» — такими словами начиналось сообщение об операции, стилизованное под маркетинговый видеоролик, рекламирующий новые функции печально известных похитителей информации.

«Мы получили полный доступ ко всем серверам Redline и Meta. Знаете ли вы, что они на самом деле практически одинаковы?» — говорится далее в видео.

Среди данных, к которым получили доступ сотрудники правоохранительных органов, были имена пользователей, пароли, IP-адреса, даты регистрации и «многое другое».

Следователи утверждают, что они также получили весь исходный код обоих похитителей информации, включая лицензию и серверы REST API, пользовательские панели и ботов Telegram.

Также у следователей есть список лиц, которые заплатили за вредоносное ПО и, вероятно, установили его хотя бы один раз.


Четверых участников группы-вымогателей REvil приговорили к более чем 4 годам лишения свободы за распространение вредоносного ПО и незаконный оборот платежных средств.

Программа-вымогатель REvil была запущена в апреле 2019 и менее чем за год банда стала самой плодовитой группой по распространению программ-вымогателей, заработав более $100 млн за год.

В июле 2021 года, когда Revil атаковал более 1500 предприятий по всему миру в ходе атаки на цепочку поставок Kaseya, но дела банды вымогателей пошли хуже.

Вскоре, в январе 2022 года, по просьбе правительства США, ФСБ России пресекло деятельность группировки, занимающейся распространением вируса-вымогателя REvil.

Действия ФСБ привели к аресту 14 членов группировки, проведению рейдов по 25 адресам и изъятию $6,6 млн.

В итоге восемь членов организации предстали перед судом: четверым уже вынесли приговоры, а еще по четверым было поручено отдельное расследование.


Обнаружена новая версия вируса-вымогателя Qilin на основе Rust, получившая название «Qilin.B».

Qilin.B использует AES-256-CTR с возможностями AESNI для процессоров, которые его поддерживают, что ускоряет шифрование.

Вымогатель также использует RSA-4096 с дополнением OAEP для защиты ключа шифрования, что делает расшифровку практически невозможной без закрытого ключа или захваченных начальных значений.

В процессе работы, существующие теневые копии тома стираются, чтобы предотвратить легкое восстановление системы, а журналы событий Windows очищаются, чтобы затруднить анализ.

Двоичный файл программы-вымогателя также удаляется после завершения процесса шифрования.

Qilin использует специальный инструмент для кражи информации, чтобы собирать учетные данные, хранящиеся в браузере Google Chrome, и распространять свои атаки на целые сети или повторно внедряться в взломанные сети даже после очистки.


Неизвестный киберпреступник использовал старый конструктор LockBit для экспериментов с программами-вымогателями, нацеленными на устройства Apple.

Обнаруженная программа-вымогатель может работать только на Mac на базе Intel или Apple Silicon с установленным программным обеспечением для эмуляции Rosetta.

При запуске программа-вымогатель собирает системную информацию с хоста: имя продукта, версия и сборка, архитектура и время с момента последней загрузки. Затем она пытается вывести данные пользователя на удаленный сервер.

Встроенный открытый ключ позволяет реализовать асимметричное шифрование, что делает расшифровку невозможной без доступа к закрытому ключу, находящемуся у злоумышленника.

В данном случае вирус-вымогатель фактически не использует никаких инструментов LockBit. Он лишь отображает баннер LockBit 2.0 на экране пользователя после шифрования.

Это говорит о том, что группа, стоящая за вредоносным ПО, просто использует мрачную репутацию LockBit, для устрашения пользователей.


Хакерская группа Lazarus продвигала поддельную NFT-игру, с помощью рекламных кампаний, фишинговых писем и спама.

Игра, посвященная танкам, была основана на украденном исходном коде из легальной игры под названием DeFiTankLand.

Загружаемый ZIP-файл размером 400 МБ запускается, но не работал дальше экрана входа/регистрации, поскольку внутренняя инфраструктура игры была отключена. Более того, он не выполнял никаких вредоносных действий в системе цели.

Атака происходила на самом сайте detankzone[.]com, который содержал скрытый скрипт.

Скрипт-эксплойт эксплуатировал две ранее неизвестные уязвимости Google Chrome, которые в конечном итоге давали хакеру доступ ко всему адресному пространству процесса Chrome.

Так злоумышленники могли получить доступ к файлам cookie, токенам аутентификации, сохраненным паролям и истории просмотров.

Судя по людям, на которых была направлена ​​вредоносная кампания, конечной целью атаки, скорее всего, была кража криптовалюты.


Новое семейство вредоносных программ WarmCookie, также известное как BadSpace, активно распространяется посредством спама и вредоносной рекламы с апреля 2024 года.

Согласно сообщению Cisco, вредоносное ПО обеспечивает постоянный доступ к взломанным сетям и было замечено в качестве первоначальной полезной нагрузки, что часто приводит к развертыванию дополнительных вредоносных программ.

Кампании WarmCookie используют различные темы-приманки, такие как предложения о работе или счета-фактуры, чтобы побудить жертв кликнуть по вредоносным ссылкам.

Эти кампании часто доставляют WarmCookie через вложения электронной почты или встроенные гиперссылки, которые инициируют процесс заражения.

Сама вредоносная программа предлагает обширные функциональные возможности, включая выполнение команд, захват снимков экрана и развертывание полезной нагрузки, что делает ее ценным инструментом для поддержания долгосрочного контроля над скомпрометированными системами.


Исследователи кибербезопасности обнаружили более 1000 новых зарегистрированных вредоносных доменов, предназначенных для эксплуатации общественного интереса к предстоящим выборам в США.

Этот всплеск потенциально вредоносных веб-сайтов представляет значительные риски для безопасности избирателей и целостности избирательного процесса.

Исследование показывает, что с января 2024 года злоумышленники зарегистрировали более 1000 новых доменных имен, следуя шаблонам, включающим термины, связанные с выборами, и упоминания видных политических деятелей.

Эти веб-сайты могут использоваться для различных вредоносных действий, включая фишинговые кампании, распространение дезинформации и запуск кибератак, направленных на влияние на поведение избирателей.

Особую обеспокоенность вызывает обнаружение мошеннических сайтов по сбору средств, имитирующих законные платформы для сбора политических пожертвований.


Вредоносная программа GHOSTPULSE скрывается в пиксельной структуре файла PNG, чтобы избежать обнаружения.

Семейство вредоносных программ GHOSTPULSE значительно эволюционировало с момента его обнаружения в 2023 году.

В последней версии используется сложная технология, заключающаяся в внедрении «конфигурации» и «полезной нагрузки» непосредственно в пиксели изображения.

Этот новый метод использует значения «КРАСНЫЙ», «ЗЕЛЕНЫЙ» и «СИНИЙ» (RGB) каждого пикселя, которые извлекаются «последовательно» с помощью «API-интерфейсов библиотеки GDI+» Windows.

Вредоносная программа создает «байтовый массив» из этих значений и ищет определенную структуру, содержащую ее зашифрованную конфигурацию.

Это делается путем анализа 16-байтовых блоков, и здесь первые 4 байта представляют собой «хэш CRC32», а следующие 12 байт содержат данные, которые необходимо хэшировать.

При обнаружении совпадения «GHOSTPULSE» извлекает «смещение», «размер» и «4-байтовый ключ XOR» для зашифрованной конфигурации, а затем расшифровывает ее.


Transak, ведущий поставщик услуг криптовалютных платежей, пострадал от значительной утечки данных, которая затронула более 92 000 пользователей.

Transak предоставляет некастодиальные шлюзы обмена фиатных денег на криптовалюту для таких крупных платформ, как Binance, MetaMask и Coinbase.

Инцидент произошел в результате сложной фишинговой атаки, которая скомпрометировала ноутбук сотрудника.

Из-за этого была раскрыта конфиденциальная информация 92 554 пользователей, что составляет примерно 1,14% от общей базы Transak.

Скомпрометированные данные включают имена, даты рождения, паспортные данные, информацию о водительских правах и фотографии пользователей.

Группа вымогателей Stormous взяла на себя ответственность за взлом, заявив, что ей удалось получить более 300 гигабайт пользовательских данных.

Группа пригрозила утечкой или продажей оставшихся данных, если ее требования не будут выполнены. Однако Transak заявила, что не рассматривает возможность переговоров с вымогателями.

Показано 20 последних публикаций.