Обзор новостей информационной безопасности с 7 по 13 февраля 2025 года

Дайджест Start X № 408

13 февраля 2025
7 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич
Обучение навыкам безопасного поведения

Киберкампании

Схема кампании
  1. Мошенники обзванивают студентов вузов и сообщают, что им якобы необходимо зарегистрироваться в государственной единой системе оценивания студентов (ГЕСОС).
  2. Затем они говорят студентам, что они вошли в список на тестирование.
  3. Чтобы начать тестирование, нужно зарегистрироваться и ввести на странице сайта персональные данные, после чего будет предложено ввести код смены пароля, а затем код для входа в учетную запись «Госуслуг».
  4. При выполнении этих действий пользователем преступники получают доступ к аккаунту в «Госуслугах», после чего могут похитить персональные данные жертв и воспользоваться функционалом платформы в своих целях.
Как действуют преступники
  1. Жертве звонят с незнакомого номера и сообщают о замене счетчиков, после чего отправляют код для постановки в очередь в СМС.
  2. После того, как жертва сообщает код, ей приходит сообщение о входе в личный кабинет на «Госуслугах», в котором указан номер, по которому нужно позвонить в случае взлома.
  3. Когда жертва звонит по указанному номеру, автоинформатор сообщает ей о попытке перевода денег со счета по доверенности на распоряжение всем имуществом, счетами в ЦБ и на любые другие действия. Скриншот доверенности присылают в Telegram.
  4. Жертве звонит «сотрудника Росфинмониторинга» и сообщает что по имеющимся сведением пенсионерка хотела перевести деньги в поддержку ВСУ, а это пособничество врагу и уголовка.
  5. Жертве звонит «майор ФСБ» с угрозой ареста жертвы, и её родственников.
  6. В почтовый ящик жертвы бросают бумажную повестку с вызовом на Лубянку.
  7. Когда жертва забрала «повестку» из ящика, ей снова позвонили из «Росфинмониторинга» и убедили ехать в банк.
  8. В случае, описанном FACCT, мошенники даже вызвали жертве такси, чтобы она поехала в банк, сняла деньги и передала их «сотруднику ЦБ». Но по дороге пенсионерка связалась с дочерью, которой удалось остановить мать от передачи денег преступникам.
Как действуют преступники
  1. Мошенники рассылают письма с требованием легализовать трудовые отношения организациям, утверждая, что они подозревается в использовании нелегальной рабочей силы, и угрожают выездной проверкой, если меры не будут приняты.
  2. К письму прилагается QR-код для оплаты почтовых расходов.
  3. В уведомлении сообщается, что документы якобы уже подготовлены и находятся в почтовом отделении.
  4. На самом деле оплата почтовых расходов — фейк. Данные, введённые для оплаты, могут быть использованы для дальнейших атак.

Инциденты

Игроки жалуются на сложности с подключением к серверам, из-за которых играть стало практически невозможно. В начале текущей недели представители Bohemia Interactive признали наличие проблемы, извинились перед сообществом за сбои и попросили игроков набраться терпения, пока компания работает над их устранением.

Однако сбои продолжаются, и терпение игроков иссякает: многие требуют возврата денег и обвиняют компанию в недостаточной прозрачности.

Некоторые пользователи считают, что злоумышленники потребовали у компании выкуп за прекращение атаки. Однако сами хакеры заявили, что это требование было шуткой.

Другие предполагают, что группировкой движут политические и идеологические мотивы. Якобы атака на Bohemia Interactive связана с тем, что после начала специальной военной операции разработчики поддержали Украину и даже выпустили тематический благотворительный бандл для Arma 3, и поэтому целью атакующих была именно Arma.
В документах содержится важная информация, включая имена политических заключённых и сведения о запрете на выезд для некоторых государственных служащих.

Правительство Талибана опровергло заявление о взломе центральной базы данных. Министерство связи и информационных технологий подтвердило факт утечки, но заявило, что документы, скорее всего, были получены с отдельных компьютеров, не обеспеченных должной защитой.

Среди затронутых ведомств оказались министерства иностранных дел, финансов, юстиции, а также министерства культуры, связи, горнорудной промышленности и многие другие.

В министерстве связи заявили, что эти документы в основном уже были общедоступными и касаются прошлых событий.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Кибератака вызвала масштабный сбой в работе одной из крупнейших газетных групп США — Lee Enterprises. Инцидент затронул важные сервисы и серьезно нарушил операционные процессы
Из-за атаки Lee Enterprises была вынуждена отключить множество сетей, что повлекло сбои в печати и доставке десятков газет. Сотрудники компании испытывают трудности с подключением к корпоративной сети, так как VPN-сервисы оказались недоступны, а редакторы и журналисты не могут получить доступ к своим файлам. На сайтах многих изданий Lee Enterprises появились баннеры с сообщением о временных технических работах, влияющих на доступ к подписке и электронным версиям газет.

Компания отказывается раскрывать детали инцидента, ссылаясь на расследование.

Lee Enterprises управляет 77 ежедневными газетами и 350 еженедельными и тематическими изданиями в 26 штатах США. Общий тираж компании превышает 1,2 миллиона экземпляров в день, а цифровая аудитория составляет более 44 миллионов уникальных посетителей.
Один из сотрудников компании неадекватно отреагировал на сообщение о фишинговом URL-адресе на Cloudflare R2: вместо того чтобы заблокировать конкретный эндпоинт, отключил весь сервис R2 Gateway.

«Во время рутинного устранения нарушения были приняты меры в связи с жалобой, в результате которых по ошибке была отключена служба R2 Gateway, а не конкретный эндпоинт/бакет, связанный с жалобой», — пояснили представители Cloudflare в своем отчете об инциденте.

Инцидент длился 59 минут, и помимо самого объектного хранилища R2 он затронул и другие сервисы.

В Cloudflare отмечают, что причиной инцидента стали как человеческий фактор, так и отсутствие защитных мер в виде валидации потенциально опасных действий.
Хакеры опубликовали образцы файлов, якобы украденных из систем компании, и угрожают «слить» другие данные, если не получат выкуп. Злоумышленники заявили, что в их распоряжении находятся 377 ГБ данных, включая SQL-файлы и документы, похищенные у тайваньской компании.

1 февраля 2025 года на портале Тайваньской фондовой биржи (TWSE) было опубликовано сообщение Unimicron, которое гласило, что работа компании была нарушена в результате атаки программы-вымогателя. Согласно этому заявлению производителя, инцидент произошел 30 января текущего года и затронул как Unimicron Technology (Shenzhen) Corp., так и ее дочернюю компанию в Китае.

В компании подчеркивали, что последствия этой атаки оказались незначительными. Также сообщалось, что Unimicron привлекла внешнюю команду киберкриминалистов для анализа инцидента и помощи в принятии защитных мер.

Представители Unimicron пока не подтверждали факт утечки данных.
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.