Обзор новостей информационной безопасности с 6 по 12 декабря 2024 года

Дайджест Start X № 400

12 декабря 2024
10 минут
эксперт информационной безопасности в Start X
Андрей Жаркевич
эксперт информационной безопасности в Start X
Андрей Жаркевич
Обучение навыкам безопасного поведения

Киберкампании

Схема кампании
1. Злоумышленники публикуют объявления на профильных форумах о ведении бизнеса и бухгалтерском учете, предлагая скачать обновленную версию активатора HPDxLIB.

2. В сообщениях они подробно описывают функциональность по обходу проверки лицензии, делая акцент на обновлениях.

3. В инструкциях содержится просьба отключать защиту и добавлять в исключения вредоносные файлы, ведь без этого пиратские активаторы не работают.

4. Вредоносная версия активатора отличается от «чистой» использованием .NET при разработке, а также наличием нового самоподписанного сертификата. «Чистые» версии активатора написаны на C++ и подписаны валидным сертификатом.

5. После выполнения инструкций начинается загрузка стилера RedLine, который тщательно скрыт внутри активатора.

6. Для атак злоумышленники не используют никакие уязвимости, им нужно лишь убедить жертву воспользоваться активатором и выполнить инструкции.

7. Например, в инструкции к вредоносному активатору пользователя просят подменить легитимную библиотеку techsys. dll на версию из активатора. Этот механизм используют и «чистые» варианты HPDxLIB. Однако в данном случае при запуске пропатченной версии корпоративного ПО легитимный процесс 1cv8. exe загрузит вредоносную библиотеку, которая и запустит стилер.
Как действуют мошенники
1. Злоумышленники рассылают через мессенджеры сообщения со ссылкой якобы на новый заказ, за который предлагается получить аванс.
2. Ссылка ведёт на мошеннический ресурс, мимикрирующий под один из популярных сервисов для поиска специалистов для разных задач. Среди обнаруженных приманок были, например, заказы на транскрибацию аудио в текст или набор текста с рукописных листов.
3. Пользователь видит на странице краткое описание услуги и размер аванса, как правило, до 12 тысяч рублей.
4. Чтобы получить деньги, жертву просят ввести в специальной форме номер банковской карты, свой телефон и ФИО, а потом сообщить одноразовый код из СМС якобы для подтверждения операции.
5. Если карта недействительна или человек не ввёл нужный одноразовый код, его перенаправляют на страницу, где предлагают самостоятельно перевести себе сумму аванса. Для этого жертва должна зайти в своё банковское приложение и перевести сумму аванса по номеру телефона.

Инциденты

В опубликованном фрагменте базы 2128 строк, содержащих:

  • ФИО и телефон получателя;
  • индекс и регион/город получателя;
  • ШПИ (штриховой почтовый идентификатор);
  • вид отправления (категория, вес, размеры и стоимость);
  • дату.
Выборочная проверка случайных записей через сайт pochta.ru/tracking и подтвердила достоверность частичного адреса и типа отправления.
Известно, что полная версия дампа датирована 18 апреля 2024 и содержит свыше 26 млн строк, причём в полной версии БД присутствуют телефоны, названия и ИНН отправителей (для отправлений от организаций и ИП).
Представители «Почты России» сообщили СМИ, что «специалисты компании сейчас проводят аудит безопасности информационных систем и проверяют опубликованный фрагмент на принадлежность к утечке в июне 2022 года».
Основатель DLBI Ашот Оганесян отмечает, что дамп явно не имеет отношения к утечке 2022 года, поскольку содержит информацию об отправлениях его семьи за 2023 и 2024 годы.
Утечка содержит имена, email-адреса, номера телефонов, названия должностей и имена руководителей следующих организаций:

  • Bank of America (288 297 записей),
  • Koch (237 487 записей),
  • Nokia (94 253 записей),
  • JLL (62 349 записей),
  • Xerox (42 735 записей),
  • Morgan Stanley (32 861 записей),
  • Bridgewater (2141 записей).

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Атака вывела из строя систему управления ресурсами (ERP), нарушив ключевые операционные процессы, в том числе бухгалтерский учет. Компании были вынуждены перейти на ручной ввод данных, что существенно замедлило работу. Восстановление системы ожидается не ранее первого квартала 2025 года.
Сложности с IT-системами также затруднили выполнение кредитных обязательств. Компания не смогла предоставить кредиторам актуальные финансовые данные, что стало причиной обвинений в невыполнении условий по долгам.

Согласно поданным 29 ноября 2024 года документам, общий долг компаний составляет 84 млн долларов США.
Сообщается что инцидент произошёл в начале октября, а жертвами утечки стали более 445 тыс. человек.

Похищенные данные содержат имена пациентов, адреса, даты рождения, номера социального страхования, лицензии, медицинские записи, диагнозы, результаты анализов, информация о лечении и страховке, а также финансовые данные. Пострадали и сотрудники клиники — в руки злоумышленников попали их трудовые договоры.
Несанкционированное вмешательство в часть IT-систем Krispy Kreme обнаружили 29 ноября. Компания сразу же привлекла экспертов по кибербезопасности для расследования, устранения и минимизации последствий инцидента.

Магазины сети по всему миру продолжают работу, как и поставки продукции в розничные точки и рестораны, однако онлайн-заказы в США временно остаются недоступными.

Компания заявила, что продолжает активно устранять последствия инцидента, восстанавливая функции онлайн-заказов, и уведомила федеральные правоохранительные органы. Полный масштаб, природа и последствия атаки пока не установлены.

Пресс-секретарь компании отказался уточнить, был ли инцидент вызван атакой вымогателей, затронуты ли данные сотрудников или компании, а также какие конкретные процессы пострадали.
В компании не раскрывали детали и характер атаки, однако в Министерстве энергетики страны сообщили, что Electrica Group стала жертвой вымогателей. Подчеркивалось, что инцидент не затронул системы SCADA, используемые для управления и мониторинга распределительной сети.

Национальное управление Румынии по кибербезопасности (DNSC) сообщило, что ответственность за этот взлом лежит на вымогателе Lynx. К своему сообщению специалисты приложили скрипт YARA, который призван помочь обнаружить признаки возможной компрометации в сетях других компаний.
База принадлежит мексиканской компании Kapital, которая предоставляет финансовые услуги малому и среднему бизнесу.
Информация в облачном хранилище Google Cloud Storage остаётся в открытом доступе уже более трёх месяцев, несмотря на многочисленные попытки уведомления Kapital и обращения в мексиканскую CERT.

Такие документы, как удостоверения избирателей, широко используются для идентификации, доступа к услугам и проведения финансовых операций. Их утечка ставит под угрозу безопасность и конфиденциальность пользователей, открывая возможности для мошенничества и кражи личных данных.
Злоумышленники зашифровали файлы и получили доступ к данным, хранящимся на скомпрометированных системах. В ходе атаки были затронуты корпоративные операции, обработка заказов и доставка продукции.

Компания заявила, что работает над безопасным восстановлением инфраструктуры и проводит анализ возможных обязательств по уведомлению пострадавших сторон.

Большинство нарушений удалось устранить, однако компания ожидает дополнительных расходов, которые не будут покрыты страхованием. Artivion также предупредила о рисках, связанных с задержками в восстановлении систем, что может привести к значительному воздействию на деятельность компании в будущем.

Ответственность за атаку пока не взяла на себя ни одна вымогательская группировка.
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.