Дайджест Start X № 401

1. Злоумышленники массово рассылают популярным Youtube-блогерам поддельные предложений о сотрудничестве и рекламных интеграциях.

2. Письма содержат вредоносные ссылки, замаскированные под вложенные документы Word, PDF или Excel.

3. Файлы размещаются на легитимных облачных платформах (OneDrive, Google) и защищены паролями для обхода антивирусных проверок.

4. При открытии документов на устройство загружается Lumma Stealer — программа для кражи данных.

5. Письма отправляются с поддельных или взломанных адресов, из-за чего они кажутся доверенными.

6. Для сбора адресов используются парсеры, автоматически собирающие адреса электронной почты YouTube-каналов.

7. Массовая отправка фишинговых писем автоматизируется с помощью платформ Murena и Onet.eu.

8. Хакеры применяют шаблоны для создания временных учётных записей и сообщений, маскируя себя под PR- и медийные компании.

9. При запуске вредоносного файла Lumma Stealer загружает дополнительные компоненты и отключает антивирусные решения, а затем собирает пароли, данные криптокошельков и другие конфиденциальные файлы, а также предоставляет удалённый доступ к заражённому устройству.

Доступными для кого угодно были результаты офтальмологических обследований в формате PDF с персональной информацией пациентов, комментариями врачей и изображениями результатов. Также в базе присутствуют файлы .csv и .xls с домашними адресами, уникальными номерами здоровья (PHN) и другой информацией о пациентах.

После уведомления доступ к базе был закрыт на следующий день, однако неизвестно, сколько времени данные находились в открытом доступе, и кто мог ими воспользоваться.

8 июня серверы издательства, в том числе платформы видеостриминга Niconico, подверглись атаке с использованием программы-вымогателя. Позднее стало известно, что произошла утечка данных всех сотрудников Dwango Co., дочерней компании Kadokawa.

Хакеры BlackSuit заявили, что похитили у Kadokawa и зашифровали данные объёмом 1,5 терабайта. Они требовали у операционного директора Dwango выкуп в 8,25 млн долларов США, однако он заявил, что может выделить не более 3 млн долларов США.

В итоге вымогатели согласились на выкуп в размере 44 биткоинов (2,98 млн долларов США) и дали жертве 48 часов для его уплаты. По информации расследования, в указанный срок выкуп поступил на криптовалютный счёт злоумышленников.

Не сообщается, какая именно уязвимость в GitLab была задействована для атаки, однако за последний год разработчики устранили целый ряд проблем, любая из которых могла использоваться в атаке.

Обнаружив инцидент, специалисты компании немедленно отключили платформу, изолировали злоумышленника и обезопасили скомпрометированный сервер.

Компания настаивает, что средства пользователей и их цифровые активы не были скомпрометированы в результате атаки, однако злоумышленники успешно получили доступ к следующей информации:

• полное имя;
• дата рождения;
• физический адрес;
• номер телефона;
• адрес электронной почты;
• удостоверение личности;
• номер социального страхования;
• история транзакций;
• фотографии пользователя.

Эти сведения могут использоваться для атак с заменой SIM-карт (SIM swap), захвата аккаунтов и целевого фишинга.

Дочернее подразделение называется ConnectOnCall и представляет собой платформу для телемедицины и службу круглосуточного приема обращений с автоматизированным отслеживанием звонков пациентов для медицинских учреждений.

Обнаружив утечку, представители Phreesia уведомили об инциденте правоохранительные органы и привлекли к расследованию сторонних специалистов по кибербезопасности. Также Phreesia отключила ConnectOnCall и до сих пор работает над восстановлением систем в новой, более безопасной среде. Отдельно подчеркивается, что другие системы и сервисы Phreesia не пострадали.

В утечку попала информация, которой пациенты обменивались с ConnectOnCall, например, имена и номера телефонов. Также могли быть раскрыты номера медицинских карт, даты рождения, информация о состоянии здоровья, лечении и рецептах, а в некоторых случаях и номера социального страхования пострадавших.

Расследование показало, что хакеры имели доступ к системам кредитного союза с 5 сентября по 4 ноября 2024 года. Завершившееся 22 ноября расследование подтвердило факт утечки данных.

Среди украденной информации оказались имена, номера социального страхования, водительские удостоверения, даты рождения, а также финансовая информация, включая номера счетов, кредитных и дебетовых карт.

SRP Federal Credit Union утверждает, что атака не затронула систему онлайн-банкинга и основные процессы обработки данных. Однако запросы журналистов о комментариях по поводу объёма и точного состава похищенной информации остались без ответа.

Ответственность за кибератаку взяла на себя новая группировка вымогателей под названием Nitrogen, заявившая, что ей удалось похитить 650 ГБ клиентских данных. Вымогательский характер атаки официально пока не подтверждён.