Дайджест Start X № 407

В уведомлении об инциденте сообщается, что злоумышленники взломали только часть сервисов, и проблема уже исправлена. Всё это время клиентские сервисы Tata Technologies продолжали работать как обычно. Заказчики компании не почувствовали никаких сбоев.

Специалисты Tata Technologies вместе со следователями выясняют все обстоятельства атаки. Компания планирует поделиться подробностями, как только закончит проверку.

Пока ни одна из известных хакерских групп не взяла на себя ответственность за нападение. Неизвестно, смогли ли злоумышленники украсть какие-либо данные.

Обнаружив подозрительную активность в своей IT-инфраструктуре, специалисты центра отключили некоторые системы, и привлекли экспертов для расследования атаки. Организация восстанавливает работу своих сервисов, продолжая приём доноров.

Из-за инцидента NYBC пришлось отменить часть запланированных донорских мероприятий. И хотя центр продолжает собирать кровь, но предупреждает, что некоторым донорам придётся перенести визиты. Ситуация усугубляется критическим дефицитом запасов крови, который был объявлен в NYBC всего за несколько дней до инцидента.

Неизвестно, была ли похищена персональная или медицинская информация доноров. Пока ни одна группировка не взяла на себя ответственность за взлом.

Компания сообщила, что инцидент повлиял на её внутренние сети по всему миру, но был оперативно изолирован.

Smiths Group разрабатывает сложные инженерные решения: от детекторов взрывчатки в аэропортах до высокоточных медицинских устройств и компонентов для самолетов. Компания присутствует в более чем 50 странах и насчитывает около 15 000 сотрудников.

Компания задействовала планы обеспечения непрерывности бизнес-процессов, чтобы минимизировать последствия атаки и продолжить работу. Для расследования инцидента привлечены специалисты по кибербезопасности. Детали возможной утечки данных пока не разглашаются.

После объявления о кибератаке акции компании на бирже упали на 2%.

Платёжная информация утекала из интернет-магазина Wacom в период с конца ноября 2024 года по начало января 2025 года.

Представители Wacom пообщили, что инцидент произошел между 28 ноября 2024 года и 8 января 2025 года. Проблема, приведшая к инциденту, уже устранена, и сейчас ведется расследование.

Wacom не называет точное количество пострадавших и не сообщает, кто мог стоять за этой атакой. Компании известно как именно была похищена платежная информация пользователей, но детали атаки пока не разглашаются.

Скорее всего, сайт магазина Wacom, работающий под управлением Magento, был заражён веб-скиммером, который в режиме реального времени похищал данные покупателей при оплате покупок.

Удары по инфраструктуре начались вскоре после выпуска модели DeepSeek-R1, предложившей более доступное решение в области генеративного ИИ, чем решения от OpenAI.

Атаки на API-интерфейс DeepSeek были зафиксированы 25, 26 и 27 января. Злоумышленники использовали NTP- и Memcached-рефлексию. Средняя продолжительность атак составила 35 минут, а сами атаки привели к сбоям в работе сервисов компании.

Атаки на чат-систему DeepSeek 20 и 25 января длились более часа. В это же время компания представила свою новую модель, отличающуюся улучшенным процессом обучения с подкреплением и высокой точностью в математических и программных задачах.

28 января команда DeepSeek объявила о масштабной кибератаке, из-за которой пришлось сменить IP-адреса для защиты инфраструктуры. Однако преступники быстро перестроились и запустили новую волну атак, добавив усиление с помощью CLDAP. Пострадавшими вновь стали основные домены DeepSeek, а работа API-платформы оставалась парализованной.

Специалисты отмечают высокую организованность и точность действий злоумышленников. Переключение IP-адресов не спасло от атак, поскольку преступники мгновенно реагировали и корректировали тактику. Атака имеет международный характер: источники угроз находятся в США, Великобритании и Австралии.

Инцидент стал частью масштабной кампании веб-скимминга, которая на данный момент выявлена как минимум на 17 сайтах, работающих на платформе Magento или аналогичных решениях. Вредоносный код был активен на сайте Casio с 14 по 24 января, а 28 января код обнаружили ИБ-специалисты. В течение суток после уведомления компания устранила угрозу.

Вредоносный скрипт был встроен в главный код сайта и отличался от стандартных методов веб-скимминга. Обычно такие атаки направлены на страницу оплаты, но в данном случае вредоносное ПО охватило все страницы сайта, за исключением страницы оплаты. Это позволило мошенникам собирать данные пользователей до перехода к оплате. При попытке оформить заказ через корзину появлялась поддельная форма ввода данных, которая маскировалась под стандартное оформление покупки.

Фальшивая форма запрашивала адрес, телефон, имя, и данные банковской карты. Введённая информация передавалась на удалённый сервер с использованием шифрования. После ввода всех данных пользователь получал сообщение об ошибке и перенаправлялся на настоящий раздел оформления заказа, где ему вновь предлагалось заполнить поля оплаты. Такой метод известен как «Double Entry» и позволяет мошенникам убедиться в подлинности информации.

Хакеры с возмущением сообщили, что представители Apex предложили им выкуп в размере тысячи долларов США, в то время как у владельца компании имеется недвижимость стоимостью более миллиона долларов США. После этого хакеры решили опубликовать похищенные данные.

29 января 0mid16B заявили, что до сих пор имеют доступ к системе Apex. Хакеры подчеркнули, что программное обеспечение компании не соответствует базовым требованиям безопасности и не прошло аудита перед запуском. Злоумышленник, обладая таким доступом, мог бы, например, подменить назначение лекарств, что могло привести к опасным последствиям.

1 февраля 0mid16B сдержали обещание и опубликовали код программного обеспечения Apex для контроля оборота препаратов, а также часть учётных данных сотрудников Cardinal Health, включая пароли в открытом виде.

Уязвимость обнаружили специалисты по кибербезопасности из UpGuard, которые уведомили компанию о проблеме более недели назад. Однако AngelSense устранила проблему только в понедельник.

Решения AngelSese рекомендуют для обеспечения безопасности людей с аутизмом, деменцией и другими особенностями. Однако из-за ошибки в конфигурации сервер AngelSense оказался доступен без пароля, что позволяло любому человеку с IP-адресом базы данных получить к ней доступ.

Cреди утекших сведений оказались:

• имена, адреса и номера телефонов клиентов,
• GPS-координаты отслеживаемых лиц,
• cостояние здоровья пользователей (например, диагнозы),
• электронная почта, пароли и токены доступа к аккаунтам,
• частичная информация о кредитных картах.

База данных могла находиться в открытом доступе с 14 января — именно тогда ее зафиксировал поисковик уязвимых систем Shodan. Однако точный срок утечки неизвестен.

Генеральный директор AngelSense заявил, что сервер был отключён сразу после звонка от UpGuard и признал, что компания проигнорировала первое уведомление, посчитав его спамом.

Злоумышленники использовали классическую двухэтапную схему с подставными звонками от «ФСБ России» и «Росфинмониторинга». Они сообщили Гинодману, что с его банковского счета пытаются вывести деньги на территорию Украины, а затем убедили его снять 10 млн рублей наличными, чтобы избежать уголовного преследования.

Деньги Гинодман передал курьерам лично: 7 млн рублей в Санкт-Петербурге и еще 3 млн — в Москве.