Обзор новостей информационной безопасности с 21 по 27 февраля 2025 года

Дайджест Start X № 410

27 февраля 2025
7 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич
Обучение навыкам безопасного поведения

Киберкампании

Схема кампании
  1. В СМС и мессенджерах рассылаются сообщения со ссылкой на фальшивый сайт банка.
  2. При переходе на сайт посетителю предлагают ввести данные «старой» карты.
  3. Если сделать это, деньги и данные банковской карты отправятся к мошенникам.
Особенности кампании
  1. Для оплаты мошенники предлагали перейти по ссылке на один из легитимных сервисов платежей в криптовалюте.
  2. Пользователь попадал на страницу оплаты на платформе, в адресе которой среди прочего содержалось упоминание reg.ru. Далее можно было пополнить баланс на любую сумму.
  3. Для проведения оплаты был доступен только способ donation, то есть добровольная оплата, денежное пожертвование.
  4. Поскольку пользователям предлагалось провести оплату не через фишинговый сайт, а через легитимную платформу для операций в криптовалюте, их платёжные данные оставались в безопасности. Однако деньги в этом случае уходили не на оплату сервисов хостинг-провайдера, а поступали к мошенникам.
  5. В электронных письмах содержался устаревший фирменный стиль и прошлое название компании REG.RU, которое не используется с 2023 года. Оно было изменено на Рег.ру. Кроме того, адрес отправителя никак не был связан с Рег.ру.
Как действуют преступники
  1. Пользователь, которому ранее активно звонили телефонные мошенники, начинает беспокоиться и искать информацию в интернете о том, как защититься от этих атак.
  2. В поиске находятся сайты с поддельными отзывами якобы тех, кто столкнулся с различными способами обмана. За такими отзывами и скрываются злоумышленники.
  3. Под видом заботы и желания помочь они убеждают пользователя, что он действительно контактировал с мошенниками и теперь необходимо срочно спасти его деньги.
  4. Следуя инструкциям, жертва теряет свои средства, самостоятельно переведя накопления неизвестным.

Инциденты

Как сообщили представители Bybit, «инцидент произошел, когда наш холодный multisig-кошелек ETH выполнил перевод на наш тёплый кошелек. К сожалению, эта транзакция была подстроена с помощью сложной атаки, которая изменила интерфейс подписания, отображая правильный адрес и изменяя при этом логику смарт-контракта. В результате злоумышленник сумел получить контроль над затронутым холодным кошельком ETH и перевести средства на неустановленный адрес».

Криптовалютная биржа заявляет, что в настоящее время ее специалисты по безопасности уже занимаются расследованием инцидента, и в этом им помогают внешние киберкриминалисты и блокчейн-аналитики. Bybit призывает всех, кто обладает соответствующим опытом, помочь в отслеживании средств.
Orange подтвердил факт взлома и в настоящее время оценивает ущерб и работает над минимизацией последствий.

Автор сообщения на BreachForums утверждает, что ему удалось получить доступ к тысячам документов, включая более 600 тысяч записей о клиентах румынского подразделения компании. Также были похищены персональные данные сотрудников, информация о контрактах и проектах, а также исходные коды.

Взломщик сообщил журналистам, что он является участником кибергруппы, стоящей за шифровальщиком HellCat, но атака на Orange с этими операциями не связана.

Для получения доступа к системам жертвы использовались скомпрометированные учётные данные, а также уязвимости в Jira и внутренних порталах компании. Злоумышленники более месяца сохраняли доступ и смогли скачать около 12 тысяч файлов общим объёмом почти 6,5 гигабайт.

После кражи в системах была оставлена записка с требованием выкупа, но Orange упорно игнорировала её, и тогда злоумышленники решили обнародовать факт успешной атаки. В подтверждение своих слов собеседник предоставил экспертам образцы похищенных данных.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Компания обнаружила взлом самостоятельно и сразу уведомила финансовые учреждения и правоохранительные органы. В NioCorp также уточнили, что предпринимаются меры по расследованию, локализации и устранению последствий инцидента.

Пока компания считает, что ущерб ограничивается только потерянными деньгами. Специалисты проверяют, не получили ли хакеры доступ к другой конфиденциальной информации или критически важным системам. В официальном заявлении также отмечается, что пока неясно, окажет ли кибератака значительное влияние на финансовое положение компании и операционные результаты.
По заявлению Genea, после обнаружения подозрительной активности в сети были оперативно приняты меры для локализации проблемы и расследования.

14 февраля пациенты начали жаловаться на сбои в приложении MyGenea, доступном для результатов анализов, отслеживания цикла и медицинских форм. В соцсетях выражали тревогу по поводу невозможности получить назначения и консультации. Руководство признало инцидент 21 февраля после вмешательства журналистов.

Пока неизвестно, затронул ли взлом данные пациентов.

Видео сопровождалось надписью «Да здравствует настоящий король», что стало отсылкой к недавнему посту Трампа в социальной сети, где он назвал себя монархом.

Ролик уже успел распространиться в интернете за минувшие выходные, но его трансляция на правительственных мониторах вызвала настоящий переполох. Сотрудники HUD в панике отключали экраны, так как не могли удалить видео обычными способами.

Пресс-секретарь HUD пообещала, что все виновные понесут наказание. Пока неясно, каким образом контент оказался на экранах министерства, но ведомство пообещало выяснить это в ближайшее время.
Среди обнародованных документов числятся списки сотрудников, их личные данные, а также внутренние административные бумаги, включая заявления на отпуск.

Проводится расследование, чтобы установить, действительно ли утечка затронула конфиденциальные данные и были ли они размещены в даркнете.

В результате атаки часть информации на заражённых компьютерах была утрачена, однако в суде предусмотрена система резервного копирования, что позволило сохранить важные документы. После атаки злоумышленники направили сообщение с требованием выкупа.

ВАС сотрудничает с киберспециалистами и правоохранительными органами, чтобы установить масштабы ущерба и причины компрометации систем. Если утечка персональных данных подтвердится, суд понесёт ответственность.

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.