Дайджест Start X № 419

Группировка Luna Moth, также известная как Silent Ransom Group, атакует юридические и финансовые организации в США с использованием фишинговых звонков. Её цель — получение доступа к внутренним системам с последующим вымогательством через угрозу утечки данных.

Эксперты F6 обнаружили новый сценарий обмана от имени государственного фонда «Защитники Отечества». Злоумышленники используют бренд фонда для рекламы инвестиционного мошенничества.

Взлом произошел 22 апреля 2025 года и оказал значительное влияние на работу 1400 магазинов компании, также вынудив M&S полностью прекратить прием онлайн-заказов.

За этой атакой стоят операторы DragonForce, использовавшие для взлома Marks & Spencer тактики социальной инженерии, схожие с группировкой Scattered Spider (она же Octo Tempest). В итоге злоумышленники успешно зашифровали виртуальные машины VMware ESXi, размещенные на серверах компании.

Похищенная информация включает:

• полное имя;
• адрес электронной почты;
• домашний адрес;
• номер телефона;
• дата рождения;
• историю онлайн-заказов;
• информацию о домохозяйстве;
• номера Sparks Pay;
• «замаскированные» данные платежных карт.

Интернет-провайдер «Сибсети» столкнулся с DDoS-атакой. Под ударом оказались филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях», атака началась около 10:00 по местному времени. Сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения «Мои Сибсети», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.
Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Эксперты обнаружила в открытом доступе некорректно настроенный экземпляр Firebase — облачной базы данных приложения. Ошибки конфигурации привели к утечке. Несмотря на многократные попытки связаться с разработчиками Second Phone Number, брешь в защите остается открытой.

В момент обнаружения уязвимости исследователи получили доступ к более чем 700 SMS-сообщениям. Среди раскрытой информации оказались не только тексты, но и телефонные номера отправителей с получателями, а также имена адресатов.

Эксперты считают, что истинный размах утечки может быть гораздо больше. Firebase функционирует как временное хранилище, а значит, реальный объем проходящих через сервис данных многократно превышает моментальный срез.

Злоумышленники разместили информацию о взломе государственного портала южноамериканской страны в даркнете и дали властям страны шесть дней на уплату выкупа.

Чиновники, однако, заявляют, что никакой хакерской атаки не было — возникли лишь технические неполадки в работе сайта. Между тем главный государственный портал Перу Gob. pe действительно недоступен.

Масштаб возможной утечки серьёзный — на правительственном портале Перу, страны с населением более 33 миллионов человек, хранятся данные общенационального значения. Среди них: информация паспортного учета, налоговые сведения, база медицинского страхования, полицейские досье, документация о трудоустройстве граждан.

Хакеры из Rhysida выставили якобы похищенные данные на продажу за 5 биткоинов (около 488 тысяч долларов США). При этом точный объём украденной информации не раскрывается.

«26 апреля 2025 года компания Hitachi Vantara столкнулась с вымогательским инцидентом, который привел к нарушению работы некоторых наших систем, — сообщили в Hitachi Vantara. — Обнаружив подозрительную активность, мы немедленно запустили протоколы реагирования на инциденты и привлекли сторонних профильных экспертов для проведения расследования и устранения последствий. Кроме того, мы заблаговременно перевели наши серверы в автономный режим, чтобы локализовать инцидент».

Журналисты сообщили, что за взломом стоит группировка Akira. Знакомый с ситуацией источник сообщил, что хакеры похитили файлы из сети Hitachi Vantara и оставили на взломанных машинах записки с требованием выкупа.

Похищена в том числе информация о рейсах, задействованных в скандальном деле с депортацией венесуэльцев, в момент когда юристы пытались её остановить через суд.

На сайте авиакомпании опубликовано сообщение от имени Anonymous, в котором говорилось: «Anonymous решил исполнить приказ судьи, раз вы и ваша подхалимская команда игнорируете законные постановления, мешающие вашим фашистским планам». В финале текста была фраза: «Ты снова проиграл, Донни».

Хакеры предоставили журналистам копии похищенных данных за период с 19 января по 1 мая. Внутри — детальные сведения по каждому рейсу: расписания, списки пассажиров с паспортными данными, информация о маршрутах и номерных рейсах.

Дом моды Dior столкнулся с утечкой персональных данных клиентов, хранящихся в базе данных Dior Fashion and Accessories. В результате атаки пострадали пользователи из Южной Кореи и Китая.

Несанкционированный доступ к информации был зафиксирован 7 мая 2025 года. Вскоре после инцидента компания инициировала меры по его сдерживанию и подключила сторонних специалистов по информационной безопасности для оценки масштабов и устранения последствий. Подчёркивается, что платёжные данные и пароли клиентов хранились в другой базе данных, которая не пострадала.

В утечке содержится полное имя, пол, номер телефона, адрес электронной почты, почтовый адрес, история покупок и предпочтения. На корейской версии сайта Dior появилось официальное сообщение, подтверждающее факт инцидента, а также призывающее клиентов соблюдать осторожность в отношении возможных фишинговых атак.

Исследователи предположили, что инцидент может быть связан со взломом PaaS-компании Twilio и ее продукта Verify API. Однако представители компании заявили, что не выявили в своих системах никаких признаков компрометации, а в Valve сообщили, что вообще не пользуются услугами Twilio.

Представители компании Valve поспешили успокоить общественность и опубликовали официальное заявление:

«Вероятно, вы видели информацию об утечке старых текстовых сообщений, которые ранее были отправлены пользователям Steam. Мы изучили фрагмент данных и пришли к выводу, что системы Steam НЕ БЫЛИ взломаны.

Пока мы пытаемся определить источник утечки. Ситуация осложняется тем, что при доставке SMS-сообщения находятся в незашифрованном состоянии и проходят через разных провайдеров, прежде чем попасть в ваш телефон.

Утечка состоит из старых текстовых сообщений с одноразовыми кодами, действительными лишь в течение 15 минут, и номеров телефонов, на которые они отправлялись. Утекшие данные не позволяют определить аккаунт, пароль, платежную информацию и другие личные данные пользователей Steam по номеру телефона. С помощью старых текстовых сообщений нельзя взломать ваш аккаунт Steam. Кроме того, каждый раз, когда вы используете SMS-коды для смены своего email-адреса или пароля в Steam, вам приходит подтверждение через электронную почту и/или защищенные сообщения в Steam.

Из-за данного инцидента вам не нужно менять свои пароли или номера телефонов. Однако это хорошее напоминание о том, что к любым сообщениям о безопасности аккаунта, которые вы не запрашивали, следует относиться с подозрением. Рекомендуем регулярно проверять безопасность своего аккаунта Steam по этой ссылке.

Кроме того, рекомендуем настроить Steam Mobile Authenticator, если вы его не используете, так как это лучший способ получения защищенных сообщений об аккаунте и его безопасности".

Несмотря на заявления компании о постепенном восстановлении поставок, сотрудники магазинов и покупатели по всей стране продолжают сталкиваться с нехваткой товаров.

В апреле компания Co-op сообщила о том, что были приняты меры для предотвращения несанкционированного доступа к их информационным системам. Однако позже генеральный директор компании официально подтвердила, что были значительные перебои в работе и компрометация данных клиентов и членов кооператива. Подробности атаки не были раскрыты, но источники утверждают, что злоумышленники всё ещё могут иметь доступ к внутренней сети.

Из-за отключения некоторых ИТ-сервисов логистика Co-op была нарушена. Отгрузки из распределительных центров снизились до менее чем 20% от обычного объёма. Это напрямую повлияло на заполненность магазинов. Особенно остро ощущается нехватка продуктов животного происхождения, таких как мясо, птица, молоко и яйца. Эти товары компания старается доставлять в приоритетном порядке из-за строгих требований по утилизации просроченной продукции. В то же время многие магазины страдают от отсутствия свежих фруктов, овощей, консервов и табачных изделий.

Один из сотрудников Co-op выразил мнение, что не ожидает восстановления стабильности до июня.

Во вторник власти штата Индиана признали факт распространения фальшивых писем якобы от имени госструктур. В этих письмах получателю сообщалось о якобы неуплаченных дорожных сборах, а внутри содержалась ссылка, ведущая на вредоносный сайт. Рассылка велась с официального адреса, связанного с Центром реагирования на чрезвычайные ситуации штата, что усиливало доверие к сообщению. При переходе по ссылке жертва попадала на поддельную копию сайта службы взимания дорожных сборов Техаса — TxTag. На сайте предлагалось ввести личные данные, включая имя, адрес и данные банковской карты.

Атака стала возможной из-за компрометации аккаунта подрядчика, который ранее работал с системой оповещения, но контракт с ним был завершён ещё в декабре 2024 года. При этом Granicus, компания, ответственная за платформу GovDelivery, якобы не удалила учётную запись штата даже после окончания сотрудничества. Представители Granicus подтвердили факт взлома пользовательского аккаунта, но заявили, что их собственные системы не пострадали. Компания отказалась назвать число пострадавших, однако подтвердила, что имеет техническую возможность его определить.