Дайджест Start X № 421

Посетителей официального сайта встречает следующее сообщение:

«Уважаемые клиенты, мы обнаружили инцидент, связанный с нарушением безопасности, и принимаем меры для его устранения. В качестве меры предосторожности мы закрыли наш сайт и ограничили ряд услуг в магазинах. Наша команда работает круглосуточно, чтобы полностью восстановить работу».

Компания привлекла к расследованию инцидента и устранению последствий внешних ИБ-экспертов. О характере произошедшей атаки пока ничего не сообщается.

Компания АСВТ предоставляет доступ в интернет в нескольких жилых комплексах Москвы и близлежащих районов. Проблемы начались около 8:00 28 мая. Пик жалоб пользователей пришёлся на 18:00. В основном люди жаловались на недоступность сайта компании и предоставляемых услуг.

Компания подтвердила факт атаки в своём официальном телеграм-канале:

«28 мая в 8:10 наша сеть подверглась одной из самых мощных DDoS-атак. Из-за непрекращающихся атак каналы связи перегрузились, что привело к проблемам в работе сервисов, включая внутренние ресурсы. В частности, были недоступны каналы связи с технической поддержкой, личный кабинет и сайт компании».

Для устранения последствий атаки был привлечён Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), который подчиняется Роскомнадзору.

По информации пресс-службы ведомства, мощность атаки составила 70,07 Гбит/с, а интенсивность — 6,92 миллиона пакетов в секунду. Для фильтрации трафика была задействована Национальная система противодействия DDoS-атакам (НСПА).

Одним из наиболее пострадавших стал город Дюрант в штате Огайо. Цифровая инфраструктура города была парализована вымогательским ПО. Официальный сайт города недоступен, жители не могут использовать цифровые платёжные инструменты.

Представители администрации сообщили, что ведётся восстановление с привлечением правоохранительных органов. Полицейское управление города также столкнулось с перебоями в работе коммуникационного центра. Служба 911 остаётся доступной, но в условиях сетевых сбоев время ожидания может быть увеличено.

Причиной для проведения проверки послужили многочисленные звонки, которые начали поступать высокопоставленным государственным деятелям, политикам и представителям деловых кругов.

Возникли подозрения после того, как звонивший задавал вопросы, ответы на которые настоящая Сьюзи Уайлс должна была знать заранее. Кроме того, стиль сообщений отличался от обычного: в них были допущены грубые ошибки.

Примечательно, что звонки и сообщения приходили в то время, когда Уайлс сопровождала Дональда Трампа в его поездке по странам Ближнего Востока.
В одном случае злоумышленники требовали перевести денежные средства от сенатора. Также от имени Уайлс просили составить список лиц, которых президент Трамп мог бы помиловать.

«Недавно Adidas стало известно, что неавторизованная третья сторона получила некоторые данные о покупателях от стороннего поставщика по обслуживанию клиентов, — сообщают представители Adidas. — Мы немедленно приняли меры по локализации этого инцидента и начали расследование, сотрудничая с ведущими экспертами в области информационной безопасности».

Среди похищенной информации не было каких-либо платежных данных или паролей, так как злоумышленники смогли получить доступ только к контактам клиентов.

Пока неизвестно название пострадавшей от атаки компании-подрядчика, дата обнаружения инцидента, количество пострадавших, а также затронул ли этот взлом сеть самой Adidas.

Перебои в работе продолжаются до сих пор. Например, не работает облачный центр, обмен файлами, центр лицензий и магазин MathWorks.
В течение нескольких дней пользователи не могли получить доступ к своим аккаунтам из-за проблем с подписями, но 21 мая MathWorks восстановила работу многофакторной аутентификации и SSO (Single Sign On).

Некоторые пользователи по-прежнему сталкиваются с проблемами, мешающими создавать новые учетные записи. Кроме того, те, кто не входил в систему с 11 октября 2024 года, вообще не могут залогиниться.

Пока MathWorks не раскрыла никакой дополнительной информации об инциденте. Неизвестно, какой именно вымогатель атаковал компанию, и были ли данные клиентов похищены во время атаки. Ни одна хакерская группа не взяла на себя ответственность за этот инцидент.

Пока неизвестно, как хакер проникает в сети жертв, но большинство атак было обнаружено в системах с установленными программами управления интернет-кафе.

Для получения контроля над скомпрометированными системами атакующий использовал малварь Gh0st RAT. Большинство выявленных в сетях интернет-кафе вредоносов представляли собой либо сам Gh0st RAT, либо дропперы для его установки. Также злоумышленник использовал малварь для "патчинга" памяти ПО для управления интернет-кафе. А в конечном итоге на машинах развертывался майнер T-Rex.

Инцидент вынудил Cetus Protocol приостановить работу своего смарт-контракта на время проведения расследования. Вскоре представители проекта подтвердили факт кражи средств и сообщили, что «162 млн скомпрометированных средств были успешно заморожены».

В последующем заявлении представители Cetus Protocol рассказали, что хакер воспользовался неким уязвимым пакетом, однако не раскрыли никаких подробностей произошедшего.

Сообщается, что удалось идентифицировать адрес Ethereum-кошелька и аккаунт злоумышленника, и в настоящее время платформа сотрудничает с третьими сторонами для отслеживания и заморозки украденных средств.

Биржа готова заплатить 5 млн долларов США за любую информацию, которая поможет идентифицировать и арестовать злоумышленника.