Дайджест Start X № 422

1. Сотрудник получает приглашение в групповой чат в мессенджере (часто Telegram) с названием его реальной организации, филиала или отдела. Название выглядит предельно правдоподобно.
2. В чате могут присутствовать аккаунты, выдающие себя за его коллег, а иногда даже приглашаются настоящие коллеги, не подозревающие о подмене. Это создает иллюзию легитимности.
3. В чате появляется аккаунт, имитирующий руководителя (директора, завуча, главврача и т. д.). От его имени поступает срочное указание, например, зарегистрироваться в определенном «корпоративном» боте для важной задачи или получения данных, обновить учётные данные в «системе», подтвердить доступ к какому-либо ресурсу.
4. Для завершения действия система (часто тот же бот) присылает на телефон сотрудника SMS или push-уведомление с кодом подтверждения.
5. В этот момент поддельные аккаунты «коллег» начинают массово отправлять в чат «свои» коды подтверждения. Затем «руководитель» публично их хвалит за оперативность.
6. Жертва, видя «пример коллег» и «одобрение начальства», находясь в условиях искусственно созданной срочности и группового давления, теряет бдительность и также публично отправляет свой конфиденциальный код в чат.

Мошенники не случайно выбирают эти сферы. Информация о сотрудниках (ФИО, должности, иногда даже фотографии) часто публикуется на официальных сайтах учебных заведений и больниц/поликлиник. Это дает злоумышленникам готовый «справочник» для создания правдоподобных фейковых аккаунтов и персонализации атаки.

Журналисты издания BleepingComputer считают, что на самом деле эти данные были получены в результате взлома AT&T еще в 2021 году группировкой ShinyHunters, которая в итоге пыталась продать информацию за 200 000 долларов США.

В марте 2024 года другой злоумышленник бесплатно опубликовал все украденные у AT&T данные, заявив, что они получены в результате взлома компании в 2021 году, который осуществили ShinyHunters.

Этот дамп включал имена, адреса, номера мобильных телефонов, зашифрованные даты рождения, зашифрованные номера социального страхования и другую внутреннюю информацию об абонентах. Также утечка содержала отдельные файлы, которые помогали сопоставить зашифрованные номера социального страхования и даты рождения с незашифрованными текстовыми строками.

Суммарно утечка содержит 88 320 017 строк, но после удаления дубликатов количество уникальных записей сократилось до 86 017 088. Дальнейшая обработка данных показала, что дамп насчитывает 48 896 044 уникальных телефонных номера с соответствующей информацией о клиенте

Самая крупная база данных содержит информацию о логинах, адресах электронной почты и URL 3,5 миллиарда пользователей из стран, где говорят на португальском языке, 445 миллионов записей касаются «русских».

В руках злоумышленников оказались учётные данные, в том числе для доступа к сервисам Apple, Telegram (60 миллионов записей) и Facebook (соцсеть принадлежит признанной в РФ экстремистской компании Meta). Предполагается, что сведения были получены при помощи стилеров и другого вредоносного ПО.

«Сегодня утром, 19 июня, наша техническая команда обнаружила признаки несанкционированного доступа к части нашей инфраструктуры и горячему кошельку, — говорится в официальном сообщении Nobitex. — Сразу же после обнаружения инцидента все доступы были отозваны, и наши внутренние специалисты по безопасности тщательно расследуют масштабы инцидента».

Вскоре после этого группировка Predatory Sparrow взяла на себя ответственность за атаку. В соцсети X хакеры пообещали вскоре опубликовать исходные коды Nobitex и внутреннюю информацию, похищенную в результате взлома. Атакующие предупреждают, что после публикации данных любые активы, которые останутся на Nobitex, «будут под угрозой».

Predatory Sparrow не пыталась извлечь выгоду из этого взлома. Дело в том, что хак-группа отправила почти всю криптовалюту на vanity-адреса с антиисламскими сообщениями (например, «F*ckIRGCterrorists»).

Для создания таких адресов требуются огромные вычислительные мощности, и создание столь длинных строк в vanity-адресах невозможно технически. То есть хакеры намеренно «сожгли» криптовалюту, чтобы никто не смог получить к ней доступ.

Скомпрометированные данные содержат номера банковских карт, ФИО, номера телефонов, адреса проживания, данные соцсетей, включая идентификаторы и метаданные пользователей WeChat и Alipay. Владельцы данных не имеют реальных способов защиты: ни уведомления, ни компенсации, ни возможности ограничить дальнейшее распространение информации.

Специалисты успели изучить 16 коллекций данных до того, как сервер был отключён. Крупнейшая из них — «wechatid_db» — содержала более 805 млн записей, вероятно, с идентификаторами пользователей мессенджера WeChat. Вторая по размеру коллекция — «address_db» — включала 780 млн записей с адресами проживания и географическими метками. Третья — «bank» — насчитывала свыше 630 млн записей с платёжной информацией, включая даты рождения, номера телефонов и ФИО.

В письмах, разосланных пользователям, Cartier сообщает, что неавторизованная сторона получила временный доступ к нашей системе и завладела ограниченной информацией о клиентах.

Скомпрометированная информация включает имена, адреса электронной почты и данные о странах, где проживают клиенты.

Подчеркивается, что утечка не затронула более конфиденциальные сведения, например, пароли, номера банковских карт и прочие финансовые данные.

Однако компания предупреждает, что похищенная информация может использоваться для таргетированных атак, и просит клиентов сохранять бдительность в отношении любых нежелательных или подозрительных сообщений.

После атаки оказались недоступны и веб-сайт, и мобильное приложение компании. Как сообщили представители Yes24, злоумышленники вывели из строя как основные, так и резервные серверы, прицельно атаковав ключевые внутренние файлы, отвечающие за работу инфраструктуры.

Компания утверждает, что уже восстановила контроль над системным доступом и предпринимает шаги для нормализации работы.

Пользователи и представители индустрии подвергли компанию критике за отсутствие прозрачности. На протяжении более полутора суток после атаки Yes24 утверждала, что проводит «техническое обслуживание», что лишь усилило недовольство фанатов, внезапно потерявших доступ к своим билетам.

Представители авиакомпании заявили, что уже расследуют случившееся совместно с правоохранительными органами, сторонними ИБ-экспертами и Министерством транспорта Канады, а также стремятся ограничить влияние инцидента на IT-инфраструктуру и сервисы компании. Оценка масштабов инцидента еще не завершена.

В настоящее время доступ пользователей к приложению и сайту WestJet восстановлен, но в компании предупреждают, что перебои в их работе все еще возможны.

Пока неизвестно, от какой именно атаки пострадала компания, и сумели ли хакеры похитить какие-либо данные. Также неясно, связан ли этот инцидент с вымогательской атакой.

В официальном сообщении, опубликованном на сайте компании, говорится, что атака нарушила внутренние процессы и повлияла на возможность выполнения заказов. Компания оперативно изолировала часть инфраструктуры, пытаясь сдержать последствия атаки. Однако уже известно, что перебои в работе продолжатся в течение некоторого времени.

Инцидент затронул всех пользователей, которые заходили в почтовый сервис с 2016 года (согласно подсчетам, это 1 023 800 человек). Также были раскрыты контактные данные еще 93 000 пользователей.

В основном Cock. li используют люди, которые не доверяют крупным провайдерам, а также члены ИБ- и опенсорс-сообществ. Кроме того, сервис весьма популярен среди киберпреступников, например, связанных с вымогательскими группировками Dharma и Phobos.

В конце прошлой недели работа Cock. li неожиданно прервалась, и пользователям оставалось только гадать, что произошло.

Вскоре после этого на хак-форуме XSS появилось сообщение от злоумышленника, который заявил, что продает две базы данных с дампом Cock. li, содержащие конфиденциальную информацию о пользователях. Хакер оценил дамп как минимум в один биткоин (около 104 000 долларов по текущему курсу).

Через несколько дней на сайте Cock. li было опубликовано официальное заявление, подтверждающее факт взлома. Сообщается, что хакерам действительно удалось похитить информацию для 1 023 800 учетных записей, включая:
— адреса электронной почты;
— временные метки первого и последнего входа в систему;
— данные о неудачных попытках входа и их количестве;
— языковые настройки;
— сериализованный блоб настроек Roundcube и email-подпись;
— имена контактов (только для 10 400 аккаунтов);
— email-адреса контактов (только для 10 400 аккаунтов);
— vCards (только для 10 400 аккаунтов);
— комментарии (только для 10 400 аккаунтов).

Утром 19 мая все промышленные принтеры на предприятии внезапно начали печатать вымогательские письма. Компьютеры и ноутбуки перестали работать, все внутренние системы оказались недоступны. Уже на следующий день компания не смогла выполнить заказов на сумму более 250 тысяч евро. Общие убытки за две недели составили около 2 миллионов евро. Производство остановилось полностью, сотрудники не получили зарплату за май вовремя, а обычные операции вроде печати накладных стали невозможны.