Обзор новостей информационной безопасности с 28 февраля по 6 марта 2025 года

Дайджест Start X № 411

6 марта 2025
10 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Схема кампании
  1. Цель преступников — российские пользователи.
  2. Вредонос распространяют через популярных YouTube-блогеров, которые публиковали ролики с инструкцией по обходу блокировок.
  3. В описание ролика добавлялась ссылка на инструмент для обхода блокировок.
  4. На самом деле по ссылке располагался архив с вредоносным ПО SilentMiner, который после установки использовал компьютер жертвы для майнинга криптовалюты.
  5. Чтобы заставить блогеров опубликовать ссылку на инструмент, им угрожали блокировкой канала за нарушение авторских прав.
Особенности кампании
  1. Атака начинается с электронных писем, в которых говорится, что YouTube меняет правила монетизации, и для продолжения участия в партнёрской программе необходимо подтвердить новые условия.
  2. Письма содержат вышеупомянутое дипфейк-видео, а также ссылка на поддельную страницу (studio.youtube-plus[.]com), где жертвам предлагают войти в свой аккаунт. Страница является фишинговой и была создана исключительно для кражи учётных данных.
  3. Злоумышленники нагнетают срочность, угрожая ограничениями на семь дней для тех, кто не подтвердит новые условия. Ограничения якобы включают запрет на загрузку видео, редактирование контента и получение выплат.
  4. После ввода учётных данных пользователя перенаправляют на страницу с сообщением, что его «канал находится на рассмотрении», а пока ему необходимо открыть документ из описания к видео. Сообщение отображается вне зависимости от того, корректный ли пароль от аккаунта был введён на фишинговой странице.
  5. Пострадавшие пользователи сообщают, что их каналы были захвачены и использовались для трансляции мошеннических криптовалютных стримов.
Как действуют преступники

  1. Гражданину поступает звонок от имени «Почты России» с информацией о заказном письме или посылке.
  2. Звонящий убеждает жертву для уточнения адреса воспользоваться чат-ботом в мессенджере Telegram.
  3. Бот имитирует активную деятельность, но цель его одна — в автоматическом режиме заполучить доступ к аккаунту.
  4. Данные для авторизации, внесенные в предложенную форму, будут переданы злоумышленникам и дадут возможность развивать схему дальше.

Инциденты

Взломав почтовые ящики организаций, с которых велась рассылка приглашений участию в «Военно-патриотическом диктант», спецслужбы разослали по нескольких десяткам образовательных организаций поддельные письма, цель которых — собрать персональные данные подростков для их дальнейшей вербовки и вовлечения в разведывательно-подрывную деятельность против безопасности РФ и совершения терактов на территории России.

Как сообщила ФСБ, «последствия операции ГУР М О Украины были локализованы. Образовательные организации Москвы и Московской области проинформированы о готовящихся украинскими спецслужбами провокациях.
В настоящее время по данному факту продолжается проведение оперативно-разыскных мероприятий".

ФСБ также распространила видео, на котором оперативный сотрудник спецслужбы рассказал, что были установлены адреса электронной почты 42 образовательных организаций, на которые направлялись фальсифицированные письма.
Rubrik специализируется на кибербезопасности, защите, резервном копировании и восстановлении данных. В компании работает более 3000 сотрудников в более чем 22 офисах по всему миру. Клиентами компании являются более 6000 организаций по всему миру, включая такие известные компании, как AMD, Adobe, Pepsico, Home Depot, Allstate, Sephora, GSK, Honda, Trellix и Гарвардский университет.

В официальном заявлении представители Rubrik сообщают, что обнаружили аномальную активность на сервере, где хранятся файлы журналов. После этого сервер немедленно отключили, чтобы снизить возможные риски. Представители компании пояснили, что взлом не был связан с атакой вымогателей, и компания не получала никаких сообщений от злоумышленников.

Расследование показало, что к некоторым логам был получен доступ, поэтому была проведена ротация ключей аутентификации.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
В официальном заявлении POLSA говорится, что после обнаружения взлома «вся сеть POLSA была отключена от интернета, чтобы обеспечить безопасность данных».

Пока агентство не раскрывает никаких подробностей о характере инцидента и не связывает произошедшее с какой-либо конкретной хакерской группой.
После компрометации сотрудников попросили использовать для связи телефоны, так как атака затронула почтовый сервис.
Сначала пользователи сообщали о проблемах с мобильным интернетом, невозможности открыть приложение оператора и сайт. Позже у многих пользователей пропала голосовая связь, а некоторые отметили отключение проводного интернета.

«Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) зафиксировал резкий рост обращений абонентов по поводу сбоев в работе ПАО „ВымпелКом“ в Москве и Московской области. Специалисты оператора проводят диагностику и работают над устранением проблемы», — сообщили в Роскомнадзоре.

В пресс-службе «Билайна» заявили, что причиной сбоя стала масштабная DDoS-атака на ряд систем. «Наши специалисты обнаружили проблему и приняли все необходимые меры для восстановления стабильной работы сервисов», — сообщили в компании.
Злоумышленники утверждают, что похитили более 300 гигабайт информации, принадлежащей оркестру. Они планируют опубликовать эти данные 5 марта 2025 года, когда истечёт срок ультиматума, выдвинутого компании Lee Enterprises.

Среди украденных данных есть отчёты о бюджете оркестра за октябрь 2024 года, финансовые документы за май 2024 года, а также стратегический план развития до 2030 года. Также в опубликованных образцах есть списки попечителей и членов совета директоров с персональными данными, включая адреса, телефоны и электронные адреса.

Оркестр пока не прокомментировал ситуацию, и дальнейшее развитие событий остаётся неопределённым.

Вскоре после публикации информации об атаке оркестр исчез из списка на сайте группировки. Возможная причина — переговоры с киберпреступниками о выкупе данных.
Оксана уволилась из театра в 2021 году и редко общалась с его директором Александром Маличем. В начале февраля ей написали якобы от его лица и сообщили, что базу данных театра взломали и скоро ей перезвонят из ФСБ.
Следующий звонивший представился следователем и объяснил, что в России завербованы тысячи банкиров, которые выкупают базы данных, оформляют кредиты и покупают на них дроны для Украины. Оксане пригрозили пожизненным заключением за поддержку ВСУ.

После позвонил «сотрудник Росфинмониторинга». Он объяснил, что нужно остановить перевод денег ВСУ, вернуть их и обезопасить счета. Запуганную Оксану заставили снять все деньги со счетов, купить новый телефон для бесконтактных переводов и отправить деньги на «безопасные счета».

Оксана взяла у знакомых 6 миллионов и перевела всё мошенникам, думая, что спасает жильё. 12 февраля снова позвонил «следователь» и сообщил, что квартира Оксаны продана на чёрном рынке и нужно ещё 10 миллионов, чтобы сохранить недвижимость. Оксана стала искать деньги, в это время к ней пришли друзья, которые заподозрили неладное.

Оксана была настолько загипнотизирована и запугана, что не узнала друзей и была уверена, что к ней пришли бандиты. Из-за страха перед ними она хотела выпрыгнуть из окна. После произошедшего ей позвонил взволнованный отец, и только тогда Оксана стала понимать, что произошло.
Обнаружена утечка данных сталкерского приложения Spyzie. Большинство владельцев взломанных устройств, скорее всего, даже не знают о том, что они скомпрометированы
Анонимный ИБ-исследователь сообщил, что Spyzie уязвимо перед проблемой, обнаруженной в прошлом месяце в приложениях Cocospy и Spyic. Эти два почти идентичных сталкерских приложения, ищеющих одинаковый исходный код и «сливающих» данные о более 2 млн человек. Баг позволяет любому желающему получить доступ к информации со взломанных телефонов, включая сообщения, фотографии и данные о местоположении.

В случае Spyzie уязвимость также раскрывает email-адреса каждого клиента, входившего в Spyzie, чтобы скомпрометировать чужое устройство.

По словам эксперта, он использовал уязвимость для сбора 518 643 уникальных адресов электронной почты из Spyzie и предоставил кеш email-адресов журналистам.
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.