Заявка на бесплатную консультацию
Ответим на вопросы и предложим продукт для решения ваших задач.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Заявка на бесплатный пилот
Запустим пилотный проект за 5 рабочих дней.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Обзор новостей информационной безопасности с 7 по 13 февраля 2025 года
Дайджест Start X № 408
13 февраля 2025
7 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич
Обучение навыкам безопасного поведения
Киберкампании
Схема кампании
- Мошенники обзванивают студентов вузов и сообщают, что им якобы необходимо зарегистрироваться в государственной единой системе оценивания студентов (ГЕСОС).
- Затем они говорят студентам, что они вошли в список на тестирование.
- Чтобы начать тестирование, нужно зарегистрироваться и ввести на странице сайта персональные данные, после чего будет предложено ввести код смены пароля, а затем код для входа в учетную запись «Госуслуг».
- При выполнении этих действий пользователем преступники получают доступ к аккаунту в «Госуслугах», после чего могут похитить персональные данные жертв и воспользоваться функционалом платформы в своих целях.
Как действуют преступники
- Жертве звонят с незнакомого номера и сообщают о замене счетчиков, после чего отправляют код для постановки в очередь в СМС.
- После того, как жертва сообщает код, ей приходит сообщение о входе в личный кабинет на «Госуслугах», в котором указан номер, по которому нужно позвонить в случае взлома.
- Когда жертва звонит по указанному номеру, автоинформатор сообщает ей о попытке перевода денег со счета по доверенности на распоряжение всем имуществом, счетами в ЦБ и на любые другие действия. Скриншот доверенности присылают в Telegram.
- Жертве звонит «сотрудника Росфинмониторинга» и сообщает что по имеющимся сведением пенсионерка хотела перевести деньги в поддержку ВСУ, а это пособничество врагу и уголовка.
- Жертве звонит «майор ФСБ» с угрозой ареста жертвы, и её родственников.
- В почтовый ящик жертвы бросают бумажную повестку с вызовом на Лубянку.
- Когда жертва забрала «повестку» из ящика, ей снова позвонили из «Росфинмониторинга» и убедили ехать в банк.
- В случае, описанном FACCT, мошенники даже вызвали жертве такси, чтобы она поехала в банк, сняла деньги и передала их «сотруднику ЦБ». Но по дороге пенсионерка связалась с дочерью, которой удалось остановить мать от передачи денег преступникам.
Как действуют преступники
- Мошенники рассылают письма с требованием легализовать трудовые отношения организациям, утверждая, что они подозревается в использовании нелегальной рабочей силы, и угрожают выездной проверкой, если меры не будут приняты.
- К письму прилагается QR-код для оплаты почтовых расходов.
- В уведомлении сообщается, что документы якобы уже подготовлены и находятся в почтовом отделении.
- На самом деле оплата почтовых расходов — фейк. Данные, введённые для оплаты, могут быть использованы для дальнейших атак.
Инциденты
Игроки жалуются на сложности с подключением к серверам, из-за которых играть стало практически невозможно. В начале текущей недели представители Bohemia Interactive признали наличие проблемы, извинились перед сообществом за сбои и попросили игроков набраться терпения, пока компания работает над их устранением.
Однако сбои продолжаются, и терпение игроков иссякает: многие требуют возврата денег и обвиняют компанию в недостаточной прозрачности.
Некоторые пользователи считают, что злоумышленники потребовали у компании выкуп за прекращение атаки. Однако сами хакеры заявили, что это требование было шуткой.
Другие предполагают, что группировкой движут политические и идеологические мотивы. Якобы атака на Bohemia Interactive связана с тем, что после начала специальной военной операции разработчики поддержали Украину и даже выпустили тематический благотворительный бандл для Arma 3, и поэтому целью атакующих была именно Arma.
Однако сбои продолжаются, и терпение игроков иссякает: многие требуют возврата денег и обвиняют компанию в недостаточной прозрачности.
Некоторые пользователи считают, что злоумышленники потребовали у компании выкуп за прекращение атаки. Однако сами хакеры заявили, что это требование было шуткой.
Другие предполагают, что группировкой движут политические и идеологические мотивы. Якобы атака на Bohemia Interactive связана с тем, что после начала специальной военной операции разработчики поддержали Украину и даже выпустили тематический благотворительный бандл для Arma 3, и поэтому целью атакующих была именно Arma.
В документах содержится важная информация, включая имена политических заключённых и сведения о запрете на выезд для некоторых государственных служащих.
Правительство Талибана опровергло заявление о взломе центральной базы данных. Министерство связи и информационных технологий подтвердило факт утечки, но заявило, что документы, скорее всего, были получены с отдельных компьютеров, не обеспеченных должной защитой.
Среди затронутых ведомств оказались министерства иностранных дел, финансов, юстиции, а также министерства культуры, связи, горнорудной промышленности и многие другие.
В министерстве связи заявили, что эти документы в основном уже были общедоступными и касаются прошлых событий.
Правительство Талибана опровергло заявление о взломе центральной базы данных. Министерство связи и информационных технологий подтвердило факт утечки, но заявило, что документы, скорее всего, были получены с отдельных компьютеров, не обеспеченных должной защитой.
Среди затронутых ведомств оказались министерства иностранных дел, финансов, юстиции, а также министерства культуры, связи, горнорудной промышленности и многие другие.
В министерстве связи заявили, что эти документы в основном уже были общедоступными и касаются прошлых событий.
Кибератака вызвала масштабный сбой в работе одной из крупнейших газетных групп США — Lee Enterprises. Инцидент затронул важные сервисы и серьезно нарушил операционные процессы
Из-за атаки Lee Enterprises была вынуждена отключить множество сетей, что повлекло сбои в печати и доставке десятков газет. Сотрудники компании испытывают трудности с подключением к корпоративной сети, так как VPN-сервисы оказались недоступны, а редакторы и журналисты не могут получить доступ к своим файлам. На сайтах многих изданий Lee Enterprises появились баннеры с сообщением о временных технических работах, влияющих на доступ к подписке и электронным версиям газет.
Компания отказывается раскрывать детали инцидента, ссылаясь на расследование.
Lee Enterprises управляет 77 ежедневными газетами и 350 еженедельными и тематическими изданиями в 26 штатах США. Общий тираж компании превышает 1,2 миллиона экземпляров в день, а цифровая аудитория составляет более 44 миллионов уникальных посетителей.
Компания отказывается раскрывать детали инцидента, ссылаясь на расследование.
Lee Enterprises управляет 77 ежедневными газетами и 350 еженедельными и тематическими изданиями в 26 штатах США. Общий тираж компании превышает 1,2 миллиона экземпляров в день, а цифровая аудитория составляет более 44 миллионов уникальных посетителей.
Один из сотрудников компании неадекватно отреагировал на сообщение о фишинговом URL-адресе на Cloudflare R2: вместо того чтобы заблокировать конкретный эндпоинт, отключил весь сервис R2 Gateway.
«Во время рутинного устранения нарушения были приняты меры в связи с жалобой, в результате которых по ошибке была отключена служба R2 Gateway, а не конкретный эндпоинт/бакет, связанный с жалобой», — пояснили представители Cloudflare в своем отчете об инциденте.
Инцидент длился 59 минут, и помимо самого объектного хранилища R2 он затронул и другие сервисы.
В Cloudflare отмечают, что причиной инцидента стали как человеческий фактор, так и отсутствие защитных мер в виде валидации потенциально опасных действий.
«Во время рутинного устранения нарушения были приняты меры в связи с жалобой, в результате которых по ошибке была отключена служба R2 Gateway, а не конкретный эндпоинт/бакет, связанный с жалобой», — пояснили представители Cloudflare в своем отчете об инциденте.
Инцидент длился 59 минут, и помимо самого объектного хранилища R2 он затронул и другие сервисы.
В Cloudflare отмечают, что причиной инцидента стали как человеческий фактор, так и отсутствие защитных мер в виде валидации потенциально опасных действий.
Хакеры опубликовали образцы файлов, якобы украденных из систем компании, и угрожают «слить» другие данные, если не получат выкуп. Злоумышленники заявили, что в их распоряжении находятся 377 ГБ данных, включая SQL-файлы и документы, похищенные у тайваньской компании.
1 февраля 2025 года на портале Тайваньской фондовой биржи (TWSE) было опубликовано сообщение Unimicron, которое гласило, что работа компании была нарушена в результате атаки программы-вымогателя. Согласно этому заявлению производителя, инцидент произошел 30 января текущего года и затронул как Unimicron Technology (Shenzhen) Corp., так и ее дочернюю компанию в Китае.
В компании подчеркивали, что последствия этой атаки оказались незначительными. Также сообщалось, что Unimicron привлекла внешнюю команду киберкриминалистов для анализа инцидента и помощи в принятии защитных мер.
Представители Unimicron пока не подтверждали факт утечки данных.
1 февраля 2025 года на портале Тайваньской фондовой биржи (TWSE) было опубликовано сообщение Unimicron, которое гласило, что работа компании была нарушена в результате атаки программы-вымогателя. Согласно этому заявлению производителя, инцидент произошел 30 января текущего года и затронул как Unimicron Technology (Shenzhen) Corp., так и ее дочернюю компанию в Китае.
В компании подчеркивали, что последствия этой атаки оказались незначительными. Также сообщалось, что Unimicron привлекла внешнюю команду киберкриминалистов для анализа инцидента и помощи в принятии защитных мер.
Представители Unimicron пока не подтверждали факт утечки данных.
Подпишитесь на дайджест Start X
Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.