Дайджест Start X № 405

2. В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга с двумя вложениями: сопроводительным письмом-приманкой на бланке Минпромторга и вредоносным rar-архивом, защищённым паролем.

3. Внутри архива находился документ «список рассылки. docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe».

4. При запуске происходит доставка трояна Ozone RAT, который предоставляет скрытый удалённый доступ к скомпрометированному устройству.

Киберпреступники распространяют в Google вредоносные объявления, замаскированные под платформу Google Ads, чтобы похитить учётные данные пользователей

2. Перейдя по ссылке, пользователь оказывается на фальшивой странице входа, имитирующей официальную платформу. Здесь злоумышленники собирают учётные данные и создают фальшивые аккаунты администраторов.

3. Похищенные аккаунты перепродаются на теневых форумах или используются для дальнейших атак. По словам экспертов, учетные записи Google Ads представляют собой ценный ресурс для киберпреступников.

4. Хотя пользователи могут проверить информацию о рекламодателе через меню с тремя точками, фальшивые объявления все же кажутся легитимными. Часто мошенники используют аккаунты, которые уже имеют большое количество активных легальных объявлений. Например, в одной из кампаний был взломан аккаунт тайваньской компании, производящей электронику.

5. Фишинговые страницы размещаются на платформе Google Sites, что позволяет злоумышленникам создавать ссылки с доменом Google, практически неотличимые от настоящих.

За несколько дней исследователи выявили более 50 мошеннических объявлений.

1. Злоумышленники рассылают или распечатывают вредоносные ссылки в виде QR-кодов.

2. Пользователи переходят по таким ссылкам, размещённым в общественных пространствах, не задумываясь о последствиях.

3. Если пользователь отсканирует код, у него откроется мессенджер и появится сообщение о подключении стороннего устройства. Если установлен второй фактор, то мессенджер попросит его указать. После этого злоумышленникам становятся доступны все контакты и переписка, кроме секретных чатов.

Злоумышленники рассчитывают на невнимательность и невысокую цифровую грамотность граждан.

В утечке содержатся: имена, адреса электронной почты, номера телефонов, даты рождения, коды стран и языков, данные о посещениях отелей, детали пребывания (время заезда, количество ночей, сумма оплаты, количество гостей), баллы лояльности и идентификаторы объектов недвижимости.

Официального виновника утечки установить не удалось, однако по содержащейся в данных строке «SITE HONOTEL» эксперты сделали вывод, что данные могут принадлежать французской компании Honotel Group. Эта группа управляет 135 гостиницами в восьми европейских странах, а стоимость её активов составляет 1,2 млрд евро.

Злоумышленники получили доступ к облачному хранилищу Amazon S3 платформы управления гостиничным бизнесом Otelier и похитили личные данные и информацию о бронированиях миллионов гостей известных гостиничных брендов

Otelier (ранее MyDigitalOffice) предоставляет облачные решения для управления гостиницами, которые используются более чем 10 000 отелей по всему миру. Среди клиентов компании — Marriott, Hilton и Hyatt, данные которых оказались похищены.

Первая компрометация произошла в июле 2024 года, а доступ сохранялся до октября. Хакеры утверждают, что им удалось украсть почти 8 терабайт данных из хранилищ Amazon S3, управляемых Otelier. Компания уже связалась с пострадавшими клиентами и предпринимает меры для усиления защиты систем.

Для взлома использовали учётных данных одного из сотрудников, похищенные с помощью вредоносного ПО. Хакеры получили доступ к серверу Atlassian, где обнаружили дополнительные данные для доступа к хранилищам Amazon S3. Среди украденной информации — отчеты ночного аудита, аудиты смен и бухгалтерские данные.

Marriott подтвердил, что работа автоматизированных сервисов, предоставляемых Otelier, приостановлена до завершения расследования. Hilton и Hyatt, также задействованные в инциденте, пока не комментировали инцидент.

По заявлению Telefónica, речь идёт о несанкционированном доступе к системе Jira, которая используется для управления внутренними задачами и инцидентами. Атака произошла с использованием скомпрометированных учётных данных сотрудников.

Хакеры заявили о краже около 2,3 ГБ данных, включая документы, тикеты и другую информацию. Хотя часть данных была помечена как относящаяся к клиентам, тикеты, предположительно, открывались сотрудниками с корпоративных адресов «@telefonica.com». Один из участников атаки сообщил, что попыток шантажа или связи с компанией не предпринималось.

Сообщают, что пенсионерка Ольга Серова сняла в отделении банка ВТБ и передала мошенникам 350 млн рублей и 800 тысяч долларов США (около 80 млн рублей)

Сотрудники банка заметили подозрительную активность и несколько дней пытались отговорить клиентку от снятия денег, но так и не смогли её убедить.

Пострадавшая отказалась комментировать произошедшее, сославшись на желание не привлекать внимания к инциденту. Известно, что ранее Серова работала помощником бывшего губернатора Самарской области Владимира Артякова. Это один из крупнейших случаев телефонного мошенничества в России.

В качестве доказательства были предоставлены таблицы зарегистрированных пользователей и обращений через форму на сайте, информация в которых датируется 20.09.2024.

В дампах содержится 154 тыс. уникальных адресов эл. почты и 101 тыс. уникальных номеров телефонов.

В компании ответственность за случившееся возложили на внешнего подрядчика и заявили, что «на этих ресурсах не хранятся и не обрабатываются персональные данные частных клиентов, поскольку ресурсы, откуда якобы произошла утечка, не предназначены для обслуживания физических лиц».

Сообщение в официальном телеграм канале Минцифры также подтверждает, что инцидент не затронул ПДн:

«Персональные данные частных клиентов подрядчика также не пострадали. Упомянутые в анонимных сообщениях интернет-ресурсы не предназначены для обслуживания физических лиц. На них не хранятся и не обрабатываются персональные данные. Мы совместно с Ростелекомом уже работаем над усилением защиты этой части инфраструктуры. Все необходимые меры приняты, ведётся подробное расследование».

Как сообщила пресс-служба Роскомнадзора (РКН) Интерфаксу, ведомство не получало уведомления об утечке персональных данных от компании Ростелеком:

«Согласно закону № 152-ФЗ оператор, допустивший утечку персональных данных, обязан в течение 24 часов уведомить об этом Роскомнадзор. По состоянию на 15.30 21 января 2025 года уведомление о данной утечке персональных данных не поступало».

Пресс-служба ПАО Ростелеком заявляет, что утечка данных могла произойти из инфраструктуры подрядчика, при этом утечки персональных данных не было.

Утечка затронула около 5 млн записей с личными данными и более 7,2 млн телефонных номеров, хотя население Грузии составляет около 4 млн человек. В базе данных содержались идентификационные номера, полные имена, даты рождения, номера страховых свидетельств и другая персональная информация.

Вскоре после обнаружения сервер был отключен, и доступ к данным закрыт. Однако риски для граждан Грузии сохраняются — информация может быть использована для кражи личности, финансового мошенничества и социальной инженерии.

Владелец базы данных не установлен.

Компания не предоставила подробностей о характере атаки и не уточнила, был ли связан инцидент с использованием программ-вымогателей или утечкой данных.

Из-за инцидента многие родители и получатели пособий столкнулись с трудностями в связи с задержкой выплат. Сбой повлиял на выплаты, осуществляемые через электронные переводы или EBT-карты, но платежи, производимые через удержания из заработной платы, продолжали поступать и будут обработаны после полного восстановления систем.

Эксперты по кибербезопасности, привлечённые Conduent, подтвердили, что на данный момент в технологической инфраструктуре компании не выявлено признаков вредоносной активности. Однако восстановление систем потребовало значительного времени и привело к многодневным сбоям в работе некоторых операций.