Дайджест Start X № 436

Поздно вечером в пятницу программу регистрации пассажиров MUSE, которую используют многие аэропорты, поразил вымогательский вирус. Электронные стойки «упали», аэропорты в Берлине, Брюсселе и Лондоне перешли на ручную обработку, что привело к очередям и задержкам. На выходных сотни рейсов сбились с графика, а восстановление заняло несколько дней.

Удар пришёлся не по конкретной авиакомпании, а по поставщику софта, поэтому пострадали регистрация, багаж, посадка — всё, что зависит от MUSE. Полиция Британии задержала подозреваемого.

Компании и аэропорты пытаются восстановить систему и предупреждают о возможных сбоях по «эффекту домино». Для пассажиров это — наглядный пример, как одна «поломка в облаке» превращается в проблему для всей Европы.

Автогигант Stellantis (Chrysler, Jeep, Dodge) заявил: сторонний сервис, который помогает с обращениями клиентов в Северной Америке, скомпрометирован. По предварительным оценкам, утекли контактные сведения — имена, телефоны, e-mail, но не платёжные данные.

Расследование продолжается: на фоне недавнего всплеска атак на партнёров по цепочке поставок СМИ вспоминают и другие случаи с автопроизводителями. В ряде публикаций упоминается возможная причастность групп, охотившихся за данными из клиентских систем.

Stellantis просит клиентов следить за уведомлениями и остерегаться фишинга «от поддержки».

Cloudflare рассказал о новом антирекорде: сверхкороткая, но колоссальная волна мусорного трафика — пик 22,2 Тбит/с и 10,6 млрд пакетов в секунду. Цель — один IP европейской инфраструктурной компании. Атаку связывают с ботнетом Aisuru, собранным из взломанных «умных» гаджетов и роутеров.

Атака шла всего десятки секунд, но этого хватает, чтобы «выбить» сервисы и привести к сбоям у клиентов. Cloudflare отразил волну автоматически; источники запросов — сотни тысяч адресов по миру.

Оператор казино Boyd Gaming сообщил регулятору о взломе внутренних систем и несанкционированном доступе к данным. В инциденте пострадала служебная информация и записи сотрудников. Компания расследует масштаб и уведомляет владельцев данных.

Случай неприятный, поскольку казино — это и программы лояльности, и платежи, и документы гостей. Формально речь прежде всего о внутренних ИТ, но такие взломы часто оборачиваются фишингом по базе клиентов.

Компания Volvo Group North America, производитель грузовиков, автобусов и промышленного оборудования, уведомляет нынешних и бывших сотрудников об утечке данных, в которой был замешан сторонний поставщик Miljödata.

Шведская IT-компания Miljödata в августе стала жертвой атаки программы-вымогателя. В ходе атаки хакеры похитили персональные данные из Adato, системы поддержки реабилитации, и Novi, системы поддержки кадровых документов.

Инцидент затронул около 25 частных компаний, в том числе такие крупные, как скандинавская авиакомпания SAS и металлургическая компания Boliden, а также примерно 200 муниципалитетов Швеции, включая столицу страны Стокгольм.

Многие учебные заведения, такие как Университет Буроса, Университет Линчёпинга, Лундский университет, Университет Эребру, Шведский университет сельскохозяйственных наук, также сообщили о последствиях атаки.

Ответственность за инцидент взяла на себя группа вымогателей DataCarry, которая 13 сентября добавила Miljödata на свой сайт утечек на базе Tor, а на следующий день опубликовала данные, предположительно украденные у компании.

16 сентября утекшая информация была добавлена на сайт с уведомлениями об утечке данных Have I Been Pwned, где стало известно, что она включает 870 000 уникальных адресов электронной почты, а также имена, адреса, номера телефонов, государственные идентификаторы, даты рождения и пол.

В некоторых случаях также была скомпрометирована информация о трудоустройстве, идентификационные данные сотрудников, сведения о больничных и другая информация, как сообщили некоторые пострадавшие организации.

В США инициирован иск против банка FinWise и финтех-партнёра: экс-сотрудник, по версии истцов, унёс массив с персональными данными, причём компания якобы долго не замечала проблему. Речь идёт о сотнях тысяч записей клиентов.

Инсайдерские утечки опасны тем, что данные «чистые» и актуальные. Это повышает доверие жертвы к мошеннику.

Co-op подвёл итоги: апрельская атака стоила сетям магазинам и сервисам порядка 80—108 млн фунтов стерлингов операционной прибыли и «съела» 206 млн фунтов стерлингов выручки. Взлом ударил по ИТ, логистике и магазинам — вспоминаем отключённые системы и пустые полки.

Летом компания подтвердила: данные 6,5 млн клиентов оказались у злоумышленников. На этой неделе — обновление по убыткам и мерам защиты. На сайте опубликован FAQ для пострадавших.

Производитель сетевых файрволов подтвердил: злоумышленники через перебор паролей добрались до облачных файлов-настроек части клиентов (менее 5%). Эти бэкапы содержат правила сетей, VPN и учётки — фактически «карту» вашей инфраструктуры. Компания просит всех пострадавших срочно менять пароли и ключи.

В официальном уведомлении SonicWall пишет, что доступ злоумышленников перекрыт, утечек в паблик не нашли, но риски высоки — конфиги помогают обойти защиту. Публикации в профильных СМИ подтверждают: речь не про выкуп, а про «добычу» для дальнейших атак.