Опрос
|
реклама
Быстрый переход
Северокорейские хакеры научились обходить защиту macOS и захватывать удалённый доступ к Mac
12.11.2024 [19:59],
Сергей Сурабекянц
Киберпреступники использовали платформу Flutter от Google для создания вредоносных программ, скрывающихся под видом криптовалютных приложений, которые в конечном итоге позволяют получить удалённый доступ к компьютеру Apple Mac жертвы. Согласно отчёту Jamf Threat Labs, как минимум три вредоносных приложения для macOS, обнаруженных в Сети, связаны с Северной Кореей. По сообщению AppleInsider, вредоносные приложения были разработаны с использованием платформы Flutter от Google и получили названия New Updates in Crypto Exchange («Новые обновления в Crypto Exchange»), New Era for Stablecoins and DeFi, CeFi, («Новая эра для стейблкоинов и DeFi, CeFi») и Runner («Бегун»). Все они совершенно не соответствуют своим названиям — они включают в себя либо игру «Сапёр», либо выдают себя за приложение для создания заметок. На самом деле в каждом из приложений встроено вредоносное ПО, которое способно преодолевать автоматизированные системы безопасности Apple на устройствах macOS, поскольку создано с легитимным идентификатором разработчика. Вредоносные приложения отправляют сетевые запросы на северокорейский домен для загрузки вредоносных скриптов, которые в конечном итоге могут предоставить хакерам доступ к компьютеру жертвы. Apple уже отреагировала на угрозу и отозвала подписи приложений, поэтому macOS больше не будет считать их безопасными. Тем не менее, эксперты советуют предпринять дополнительные меры предосторожности. Настоятельно рекомендуется использовать двухфакторную аутентификацию и специализированное защищённое приложение для управления паролями, особенно при использовании криптовалюты. А саму крипто-фразу вообще не стоит хранить в цифровом виде даже внутри защищённого паролём приложения. Оптимальный вариант — записать её на бумаге и хранить в запертом ящике, сейфе или другом безопасном месте. На сегодняшний день не предоставлено достоверной информации о пострадавших от северокорейских вредоносных приложений. Тем не менее, эксперты полагают, что их активность является ещё одним признаком нацеленности хакеров Северной Кореи на сектор криптовалют. Аналитики утверждают, что Северная Корея украла миллиарды долларов с помощью криптомошенничества, эксплуатации различных уязвимостей и рассылки жертвам фишинговых писем. Необходимо отметить, что доказательства этих злодеяний северокорейских хакеров в свободном доступе отсутствуют, но, в соответствии с современными тенденциями, даже голословных обвинений хватает для формирования образа смертельно опасного врага. Количество кибератак на российские банки за год выросло в два раза
07.11.2024 [15:57],
Дмитрий Федоров
Количество кибератак на финансовый сектор России в 2024 году увеличилось более чем в два раза по сравнению с прошлым годом. Как сообщает компания RED Security, за первые 10 месяцев текущего года её специалисты зафиксировали почти 17 000 атак на банки. Финансовая отрасль занимает третье место по числу кибератак, уступая первенство промышленности и IT-сектору, которые расположились на первом и втором местах соответственно. По мнению экспертов, такая динамика свидетельствует о возрастающем интересе киберпреступников к банковской сфере. Одним из самых распространённых методов кибератак в 2024 году стал целевой фишинг, направленный против сотрудников банков. Злоумышленники используют ИИ, чтобы создавать более убедительные фишинговые сообщения, что делает их распознавание на ранней стадии сложной задачей. По прогнозам RED Security, в будущем банки начнут активно применять ИИ в целях защиты, чтобы своевременно выявлять угрозы и мониторить сетевую активность. Резкий рост числа атак на финансовые учреждения подтверждают и другие компании, работающие в сфере кибербезопасности. По информации Центра мониторинга кибербезопасности «Лаборатории Касперского», пик активности злоумышленников пришёлся на август 2024 года, когда число атак почти вдвое превысило аналогичный показатель прошлого года. В октябре также наблюдался рост инцидентов: количество атак увеличилось на 17 % по сравнению с октябрём 2023 года, что подчёркивает тревожную тенденцию. Кибератаки на банки подвержены сезонным колебаниям, и летом их число традиционно возрастает. Как пояснил Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского», финансовая сфера остаётся привлекательной мишенью для преступников благодаря высокому потенциальному ущербу, который они могут нанести. В то же время банки обладают серьёзными механизмами защиты, что вынуждает хакеров прибегать к всё более сложным тактикам и технологиям. Согласно данным Центрального банка России, в 2024 году основные векторы атак на финансовые организации остаются почти неизменными по сравнению с прошлым годом. Наиболее частыми являются DDoS-атаки, эксплуатация уязвимостей, атаки через скомпрометированную инфраструктуру подрядчиков и перебор паролей для компрометации аккаунтов сотрудников и клиентов. По словам представителя Центробанка, преступники продолжают совершенствовать свои тактики, стремясь обходить системы безопасности и снижать заметность атак. По мнению аналитиков, рост числа атак напрямую связан с повышением профессионализма хакеров, которые обладают глубокими знаниями IT-инфраструктуры банков и хорошо понимают бизнес-процессы финансовых учреждений. Представитель Россельхозбанка отмечает, что в последние годы возросла политическая мотивация многих атак, что делает сектор финансовых услуг ещё более уязвимым перед киберугрозами. Среднее число атак на банки остаётся стабильно высоким последние два года, однако кардинально новых методов злоумышленники пока не применяют, сообщает Алексей Плешков, заместитель начальника департамента защиты информации Газпромбанка. Особый интерес хакеры проявляют к компонентам банковской инфраструктуры, которые доступны из интернета. Также приобретают популярность так называемые «атаки на цепочки поставок», направленные на проникновение через доверенных партнёров. Ещё одним из наиболее распространённых видов атак стал http-флуд, когда злоумышленники имитируют легитимный трафик, что значительно усложняет процесс его выявления. Руслан Ложкин, директор департамента кибербезопасности «Абсолют банка», отмечает, что для успешного противодействия подобным атакам требуется умение различать настоящий пользовательский трафик. К тому же растёт интерес преступников к методам социальной инженерии через мессенджеры, что создаёт дополнительные риски для безопасности банков. RED Security подчёркивает, что финансовый сектор привлекателен как для «классических» киберпреступников, так и для политически мотивированных хактивистов. Успешные атаки на процессинговые системы банков позволяют преступникам выводить средства на свои счета, а компрометация даже небольшой части клиентских данных может привести к резонансным материалам в СМИ, нанося серьёзный ущерб репутации финансовой организации. Согласно данным RED Security, финансовый сектор занимает второе место по числу высококритичных инцидентов, уступая только промышленности. К таким инцидентам относятся целенаправленные атаки на ключевые банковские системы, включая атаки через подрядчиков, попытки кражи конфиденциальных данных и дестабилизации бизнес-процессов. С начала 2024 года в финансовом секторе зафиксировано более 3 000 подобных инцидентов. Согласно отчёту аналитического отдела компании Servicepipe, количество атак с использованием ботов в 2024 году увеличилось на 20 % по сравнению с аналогичным периодом прошлого года. В отличие от 2023 года, когда большая часть атак была направлена на крупные кредитные организации, в этом году злоумышленники сосредоточили свои усилия на микрофинансовых компаниях, которые зачастую менее защищены от угроз, исходящих от ботов. Арестован хакер, подозреваемый во взломе Ticketmaster и десятков других клиентов Snowflake
05.11.2024 [19:12],
Сергей Сурабекянц
Канадское министерство юстиции сообщило об аресте Александра «Коннора» Мука (Alexander «Connor» Moucka) по запросу правительства США. На судебном заседании 30 октября рассмотрение его дела было отложено до 5 ноября 2024 года. Мука подозревается в краже информации примерно у 165 компаний, использующих облачные хранилища данных Snowflake. В мае материнская компания Ticketmaster Live Nation сообщила, что пострадала от масштабной утечки данных, украденная информация о клиентах была размещена для продажи на хакерских форумах. В дальнейшем стало известно о других случаях взлома в компаниях, использовавших облачные сервисы хранения Snowflake, включая AT&T, Santander Bank, Advanced Auto Parts и дочернюю компанию Lending Tree Quote Wizard. В результате противоправных действий пострадали миллионы клиентов этих компаний. Расследование, проведённое Mandiant, дочерней компанией Google, установило, что «финансово мотивированный субъект угроз» украл «значительный объём данных» у примерно 165 клиентов Snowflake, используя скомпрометированные учётные данные для входа. Никаких доказательств того, что сама компания Snowflake была взломана, обнаружено не было. Сервисы ВГТРК подверглись «беспрецедентной хакерской атаке»
07.10.2024 [14:49],
Владимир Фетисов
В ночь на 7 октября онлайн-сервисы ВГТРК подверглись «беспрецедентной хакерской атаке», которая, тем не менее, не нанесла существенного ущерба работе медиахолдинга. Сообщение об этом появилось в официальном Telegram-канале компании. «Несмотря на попытки прервать вещание федеральных телеканалов, радиостанций холдинга, всё работает в штатном режиме, существенной угрозы нет. Специалисты холдинга ведут работу над устранением последствий этого вредоносного вмешательства», — говорится в сообщении ВГТРК. По данным источника, фиксировались нарушения в работе онлайн-вещания и внутренних сервисов ВГТРК, прерывался доступ к интернету и не работала телефония. В компании об этом инциденте знали как минимум с 06:00 мск, и в настоящее время специалисты работают над устранением проблемы. В сообщении сказано, что злоумышленники «стёрли всё с серверов, включая резервные копии», из-за чего «восстановление займёт много времени». В настоящее время сайт ВГТРК открывается, но полностью не загружается. При попытке просмотра онлайн-эфира какого-либо канала появляется сообщение об ошибке. При этом эфир через платформу «Смотрим», откуда происходит переадресация на сайт «Витрины ТВ», идёт в штатном режиме. Напомним, в состав медиахолдинга ВГТРК входят каналы «Россия-1», «Россия К», «Россия 24», «Россия РТР», «Карусель», радио «Маяк», «Вести FM», «Радио России», «Радио Культура», а также портал «Вести.ru» и платформа «Смотрим». Содержимое памяти ПК растекается на 7 метров вокруг из-за излучения — и это проблема для безопасности
08.09.2024 [19:25],
Анжелла Марина
Специалисты по кибербезопасности из Израиля обнаружили новый способ кражи данных из изолированных компьютерных систем. Эти системы, используемые в таких важных структурах, как военные объекты, госучреждения и атомные электростанции, физически отрезаны от интернета для защиты от внешних угроз. Однако новая атака для перехватывания конфиденциальной информации, получившая название RAMBO, использует электромагнитное излучение, возникающее при работе RAM. Несмотря на отсутствие прямого соединения с интернетом, пишет BleepingComputer, системы с воздушным зазором (Air-gapped) всё равно, как оказалось, подвержены компрометации. Злоумышленники могут внедрить вредоносное ПО через физические носители, например, USB-накопители, или воспользоваться более сложной цепочкой действий для установления связи с ПК. Вредоносное ПО, внедрённое в систему, может незаметно манипулировать компонентами оперативной памяти, генерируя контролируемые электромагнитные импульсы, передающие информацию с компьютеров. Данные кодируются в радиочастотные сигналы, где «1» и «0» представляются как «включено» и «выключено». Для повышения надёжности передачи и снижения ошибок используется Манчестерский код, представляющий из себя абсолютное биимпульсное кодирование двоичным цифровым сигналом исходных двоичных данных. Хакер может перехватывать эти сигналы с помощью недорогих программных радиоприёмников (SDR) и декодировать их обратно в бинарный код. При этом скорость передачи данных при атаке RAMBO (Radiation of Air-gapped Memory Bus for Offense) невелика и достигает 1000 бит в секунду (bps), что эквивалентно 0,125 Кбайт/с. Однако, как отмечают исследователи, «этого достаточно для кражи небольших объёмов данных, таких как текст, нажатия клавиш и небольшие файлы». Например, для кражи пароля требуется от 0,1 до 1,28 секунды, а для 4096-битного зашифрованного ключа RSA — от 4 до 42 секунд. В свою очередь дальность передачи данных зависит от скорости передачи. На максимальной скорости (1000 бит в секунду) сигнал стабилен на расстоянии до 3 метров, но с увеличением расстояния растёт и вероятность ошибок. При снижении скорости до 500 бит в секунду и ниже дальность передачи может достигать 7 метров. Исследователи экспериментировали с более высокими скоростями, но обнаружили, что при скорости выше 5 Кбит/с сигнал становится слишком слабым и не способен надёжно передавать информацию. «Мы обнаружили, что скорость передачи данных не должна превышать 5000 бит в секунду, иначе сигнал становится слишком слабым и содержит много шумов», — сообщают авторы исследования. В опубликованной научной работе предложены несколько способов защиты от атак RAMBO и других подобных методов. К ним относятся усиление физической защиты, подавление электромагнитных излучений, генерируемых оперативной памятью (RAM), внешняя радиочастотная помеха и использование экранирующих корпусов Фарадея для блокировки электромагнитного излучения. Исследователи также проверили эффективность атаки RAMBO на виртуальных машинах и обнаружили, что уязвимость работает даже в этой среде. Однако, взаимодействие оперативной памяти хост-системы с операционной системой и другими виртуальными машинами может привести к сбоям атаки. «Хотя мы показали, что атака RAMBO работает в виртуальных средах, взаимодействие с хост-системой может привести к её сбоям», — поясняют исследователи. Производитель микросхем Microchip приостановил часть бизнес-операций после масштабной кибератаки
21.08.2024 [04:41],
Анжелла Марина
Компания Microchip Technology, один из ведущих поставщиков чипов для оборонной промышленности США, сообщила, что стала жертвой кибератаки, вынудившей её отключить некоторые системы и сократить масштаб операций. Согласно заявлению компании, поданному в регулирующие органы, подозрительная активность в информационных системах была обнаружена 17 августа. Два дня спустя, 19 августа, Microchip подтвердила, что «некоторые серверы и некоторые бизнес-операции» были взломаны, передаёт агентство Bloomberg. «Мы незамедлительно приняли меры для устранения последствий взлома, включая изоляцию затронутых систем, отключение некоторых систем и начало расследования при содействии внешних консультантов по кибербезопасности», — отметили в Microchip. В результате произошедшего производство на данный момент «работает на уровне ниже нормального», что сказывается на способности выполнять заказы клиентов. «Мы прилагаем все усилия, чтобы вернуть затронутые части своих ИТ-систем в обычный режим, восстановить нормальную работу бизнеса и смягчить последствия инцидента», — добавили в Microchip. Bloomberg отмечает, что всего два месяца назад тайваньский производитель компонентов для чипов GlobalWafers также пострадал от кибератаки, затронувшей некоторые части его производства. А в 2022 году на компанию Nvidia была осуществлена хакерская атака со стороны программ-вымогателей. Тогда Nvidia заявила, что её «бизнес и коммерческая деятельность не пострадали». Атака произошла на фоне обострившейся конкуренции между странами за доминирование на рынке чипов, как в целях обеспечения национальной безопасности, так и для предотвращения сбоев в цепочках поставок, с которыми мир столкнулся во время пандемии COVID-19. Пока неясно, окажет ли кибератака существенное влияние на финансовые показатели Microchip. Toyota подтвердила очередной взлом внутренней сети — украденные данные уже опубликованы
20.08.2024 [20:05],
Сергей Сурабекянц
Toyota подтвердила факт взлома своей корпоративной сети после того, как злоумышленник загрузил 240-гигабайтный архив украденных данных на хакерском форуме. По утверждению компании «проблема ограничена по масштабу и не является проблемой всей системы». Компания сотрудничает с теми, кого это коснулось, но пока не сообщила, как злоумышленник получил доступ и сколько людей пострадало в результате инцидента. Киберпреступники из хакерской группировки ZeroSevenGroup утверждают, что взломали филиал Toyota в США и украли 240 Гбайт файлов с информацией о сотрудниках и клиентах Toyota, а также контракты и финансовую информацию. Злоумышленникам удалось, по их словам, получить информацию об инфраструктуре сети, включая учётные данные, с помощью инструмента с открытым исходным кодом AD-Recon, который помогает извлекать огромные объёмы информации из сред Active Directory. «Мы взломали филиал в США одного из крупнейших производителей автомобилей в мире (TOYOTA). Мы очень рады поделиться файлами с вами здесь бесплатно. Размер данных: 240 Гбайт, — написали преступники в комментарии на хакерском форуме. — Содержимое: всё, например, контакты, финансы, клиенты, схемы, сотрудники, фотографии, базы данных, сетевая инфраструктура, электронные письма и много идеальных данных. Мы также предлагаем вам AD-Recon для всей целевой сети с паролями». Хотя Toyota не разглашает дату утечки, по косвенным данным можно предположить, что злоумышленники получили доступ к резервному серверу, не содержащему самой свежей информации, так как украденные файлы имеют дату создания 25 декабря 2022 года. Утечки данных в результате действий киберпреступников преследуют Toyota. Несколько дочерних компаний Toyota и Lexus подверглись взлому в 2019 году. Злоумышленники украли объём данных, который компания описала как «до 3,1 миллиона единиц информации о клиентах». В октябре 2022 года Toyota сообщила о возможной утечке личной информации порядка 296 тыс. клиентов сервиса T-Connect — телематической экосистемы для информирования владельцев автомобилей через смартфон о месторасположении и состоянии их транспортных средств. Утечка коснулась клиентов T-Connect, зарегистрированных в сервисе с июля 2017 года. В декабре прошлого года компания Toyota Financial Services сообщила клиентам об утечке их конфиденциальных личных и финансовых данных в результате атаки вируса-вымогателя Medusa, которая затронула европейские и африканские подразделения японского автопроизводителя в ноябре. В мае 2023 года Toyota сообщила, что информация о местоположении автомобилей 2 150 000 клиентов в течение десяти лет, с 6 ноября 2013 года по 17 апреля 2023 года, попала в публичный доступ из-за неправильной конфигурации базы данных в облачной среде компании. Спустя несколько недель были выявлены ещё две неправильно настроенные облачные службы, через которые персональные данные клиентов Toyota утекали в течение более семи лет. После этих двух инцидентов Toyota внедрила автоматизированную систему для мониторинга облачных конфигураций и настроек баз данных во всех своих средах, чтобы предотвратить подобные утечки в будущем. Судя по всему, принятых мер оказалось недостаточно. Хакеры похитили «почти всю» базу абонентов AT&T — одного из крупнейших сотовых операторов в США
12.07.2024 [19:42],
Владимир Фетисов
Американская телекоммуникационная компания AT&T подтвердила факт взлома своей облачной платформы, в результате чего хакеры получили доступ к номерам телефонов «почти всех» абонентов, а также данным учёта звонков и SMS-сообщений за несколько месяцев. Похищенные данные в основном касаются звонков и сообщений, сделанных в период с мая по октябрь 2022 года, и представляют собой беспрецедентную утечку для AT&T и телекоммуникационной отрасли в целом. В США метаданные, показывающие, с какими номерами взаимодействуют клиенты, обычно доступны только правоохранительным органам и только в рамках установленного юридического процесса при проведении расследований. В данном случае злоумышленникам удалось получить доступ к этой информации и похитить её. В сообщении AT&T отмечается, что полиции уже удалось задержать человека, который, предположительно, причастен ко взлому. «В апреле AT&T узнала, что данные клиентов были незаконно загружены из нашего рабочего пространства на стороннюю облачную платформу. Мы начали расследование и привлекли ведущих экспертов по кибербезопасности, чтобы понять характер и масштаб преступной деятельности. Мы также приняли меры, чтобы закрыть незаконную точку доступа. Расследование показало, что скомпрометированные данные включают в себя файлы, содержащие записи о звонках и текстовых сообщениях AT&T почти всех клиентов сотовой связи AT&T и клиентов операторов мобильных виртуальных сетей (MVNO) в сети AT&T, а также клиентов стационарных линий AT&T, которые взаимодействовали с этими сотовыми операторами в период с 1 мая 2022 года по 31 октября 2022 года», — сказано в заявлении AT&T. В дополнение к этому, некоторые украденные хакерами данные связаны со звонками, которые абоненты AT&T совершали со 2 января 2023 года, но в этом случае речь идёт об «очень небольшом количестве клиентов». В этом случае украденные метаданные не включали в себя временные метки звонков и SMS-сообщений, т.е. хакеры не могут видеть, когда именно абонент набирал тот или иной номер или отправлял сообщения. При этом злоумышленники могут видеть на какие номера совершались звонки и отправлялись сообщения. Данные не включают ФИО абонентов, но зачастую связать номер телефона с определённым человеком можно с помощью общедоступных онлайн-инструментов. В компании также отметили, что не располагают информацией о том, были ли украденные данные опубликованы публично. AMD подтвердила утечку данных и заявила, что хакеры не нанесли существенного ущерба
20.06.2024 [10:20],
Алексей Разин
Компании AMD накануне пришлось признать, что часть принадлежащей ей конфиденциальной информации попала в руки хакерской группировки IntelBroker, которая теперь пытается извлечь из этого инцидента выгоду. Представителям AMD хватило одного дня, чтобы выяснить низкую критичность данного происшествия для способности компании продолжать свою деятельность. В сообщении AMD, на которое ссылается Bloomberg, говорится следующее: «Исходя из проводимого сейчас расследования, мы можем предположить, что с сайта партнёра утекла ограниченная часть информации, описывающей характеристики компонентов, используемых при производстве отдельных продуктов AMD. Мы не склонны считать, что эта утечка данных окажет существенное влияние на наш бизнес или текущую операционную деятельность». Напомним, что первоначальные оценки последствий инцидента упоминали не только об утечке технической документации, имеющей отношение к процессорам Ryzen и EPYC, но и контактные данные как минимум бывших сотрудников AMD, а также исходный код фирменного программного обеспечения и данные о некоторых финансовых транзакциях компании. По всей видимости, характер доставшейся злоумышленникам информации позволяет AMD считать, что инцидент не повлечёт за собой серьёзных последствий для бизнеса. Впрочем, партнёров компании, которые невольно скомпрометировали информационную безопасность AMD, наверняка заставят тщательнее за ней следить. Хакеры похитили у AMD секретную информацию о будущих разработках и не только
19.06.2024 [10:24],
Алексей Разин
Представители AMD, как сообщает PCMag, подтвердили свою осведомлённость о попытках хакерской группировки IntelBroker продать служебную информацию компании, которой она завладела неправомерно в результате атаки на информационные ресурсы, связанные с деятельностью AMD. Сейчас компания участвует в расследовании и пытается определить, насколько чувствительной была похищенная информация. На одном из форумов хакерской направленности были опубликованы заявления группировки IntelBroker, в которых она утверждает, что якобы осуществила успешный взлом серверных ресурсов с данными AMD. В том числе, якобы была похищена документация по будущим продуктам AMD, данные сотрудников и клиентов компании. Кроме того, там находились фрагменты исходного кода фирменного программного обеспечения и микрокодов для компонентов. Наконец, в руки злоумышленников могла попасть финансовая отчётность AMD. В качестве доказательства наличия у них такой информации хакеры опубликовали снимки экранов с упоминанием служебных адресов электронной почты и номеров телефонов бывших сотрудников AMD. Никаких данных о клиентах компании на этом форуме участниками хакерской атаки выложено не было. Прочие примеры похищенной информации имели отношение к технической документации по процессорам Ryzen и EPYC. Хакеры хотят продать имеющиеся данные за криптовалюту Monero. Данная группировка ранее отметилась в контексте атак на Home Depot, а также информационные ресурсы Европола и американских правительственных организаций. AMD подчеркнула, что к расследованию привлечены представители провайдера, на сервере которого могла храниться похищенная информация компании. Хакеры рассказали, что похитили данные миллионов людей у Snowflake, взломав EPAM Systems
17.06.2024 [16:55],
Анжелла Марина
Хакеры из известной криминальной группировки ShinyHunters, укравшие данные Ticketmaster и других клиентов облачного провайдера Snowflake, утверждают, что смогли получить доступ к личным данным миллионов пользователей, взломав систему подрядной организации EPAM Systems. В результате масштабной кибератаки, нацеленной на клиентов Snowflake, потенциально могли пострадать 165 учётных записей, однако пока удалось идентифицировать лишь некоторые из них. Хакеры завладели информацией о более чем 500 млн пользователей Ticketmaster. Кроме того, о взломе своего аккаунта в Snowflake заявил испанский банк Santander. Согласно опубликованному хакерами сообщению, украденные данные содержат информацию о банковских счетах 30 миллионов клиентов Santander, в том числе 6 миллионов номеров счетов и балансов, 28 миллионов номеров кредитных карт, а также кадровые данные сотрудников банка. Компании Lending Tree и Advance Auto Parts также признали вероятность того, что стали жертвами этой атаки. Snowflake не раскрыла подробности о том, как хакеры получили доступ к учётным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. На днях организация Mandiant, принадлежащая Google и привлечённая Snowflake для расследования инцидентов, сообщила в своём блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило. Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около $4,8 млрд. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учётным записям в Snowflake. В EPAM опровергли свою причастность ко взломам и предположили, что хакер сфабриковал эту историю. Однако группа ShinyHunters существует с 2020 года и с тех пор взяла на себя ответственность за многочисленные кибератаки, связанные с кражей, утечкой или продажей в интернете больших массивов данных. Snowflake является крупной компанией, предоставляющей сервисы по хранению данных в облаке и их аналитической обработке. Согласно информации на её сайте, EPAM занимается разработкой ПО и предоставляет различные управляемые услуги клиентам по всему миру, в первую очередь в Северной Америке, Европе, Азии и Австралии. Около 60 % доходов EPAM приходится на клиентов в Северной Америке. В числе услуг, которые EPAM оказывает клиентам, значится помощь в использовании и управлении учётными записями Snowflake для хранения и анализа данных. По словам хакера, компьютер одного из сотрудников EPAM был заражён вредоносным ПО, с помощью которого злоумышленники получили доступ к данным на этом устройстве. Используя этот доступ, они обнаружили незашифрованные имена пользователей и пароли, с помощью которых сотрудник EPAM получал доступ к учётным записям Snowflake некоторых крупных клиентов компании, в том числе Ticketmaster. Эти данные, по словам хакеров, хранились в системе управления проектами Jira. Используя эти учётные данные, хакеры получили доступ к аккаунтам в Snowflake, поскольку для доступа к ним не требовалась многофакторная аутентификация. В тех случаях, когда необходимые учётные данные отсутствовали в системе сотрудника EPAM, хакеры искали их в уже украденных ранее базах данных. Так, для доступа к аккаунту Snowflake компании Ticketmaster были использованы аккаунты, похищенные в 2020 году опять же с помощью вредоносного ПО. После того, как ресурс Wired предоставил подробную информацию о том, как, по словам хакеров, им удалось получить доступ к системе сотрудника EPAM, представитель компании лишь повторил заявление о том, что он не видит доказательств вовлечённости EPAM в этот инцидент. На дополнительные, конкретно поставленные вопросы, в том числе с указанием имени сотрудника и его учётных данных для доступа к аккаунту Snowflake Ticketmaster, представитель EPAM не ответил. Хотя издание Wired не смогло подтвердить заявления хакеров о взломе компьютера сотрудника EPAM и использовании его данных для доступа к аккаунтам Snowflake, злоумышленники предоставили изданию файл, похожий на список удалённых учётных записей работника EPAM из корпоративного каталога Active Directory, полученный после взлома его рабочей станции. Кроме того, в сообщении компании Mandiant говорится, что хакеры использовали ранее украденные вредоносным ПО учётные данные для компрометации около 80 % выявленных ими аккаунтов Snowflake, что косвенно подтверждает слова группировки ShinyHunters о таком способе доступа к данным жертв. Таким образом, даже если хакеры не взламывали сотрудника EPAM напрямую, они явно использовали украденные учётные данные из скомпрометированных систем этой компании для последующих атак на её клиентов, в том числе владельцев учётных записей в Snowflake. Директор по информационной безопасности Snowflake Брэд Джонс (Brad Jones) также признал, что отсутствие многофакторной аутентификации способствовало взломам. Джонс сказал, что его компания будет работать над этим вопросом. Смартфон нужно выключать как минимум раз в неделю — АНБ дало рекомендации по защите от кибератак
02.06.2024 [23:35],
Анжелла Марина
Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба. Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите. Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных. Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:
Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify. По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак. Хакер похитил данные банковских карт 500 000 клиентов Cooler Master
30.05.2024 [23:50],
Анжелла Марина
Производитель компьютерных комплектующих Cooler Master подвергся масштабной кибератаке, в результате которой были украдены личные данные около 500 000 клиентов. Хакер под псевдонимом Ghostr заявил, что ему удалось получить доступ к приватной зоне сайта Cooler Master и похитить 103 Гбайт конфиденциальных данных. Он теперь требует выкуп. Среди похищенной информации — корпоративные данные Cooler Master, данные о поставщиках и продажах, а также личные данные участников программы лояльности Fanzone. В частности, были украдены имена, адреса, даты рождения, номера телефонов и адреса электронной почты клиентов. По сообщению ресурса Hot Hardware, особенно тревожным является тот факт, что злоумышленники получили доступ к незашифрованным данным банковских карт участников Fanzone. Речь идет о номерах кредитных карт, сроках их действия и трехзначных CVV-кодах, которые используются для подтверждения платежей в интернете. Это позволяет легко похитить деньги с карт. Хакер грозится выставить все украденные данные на продажу на черном рынке, если Cooler Master не выплатит ему выкуп. Пока компания официально не комментирует инцидент. Однако независимое расследование подтверждает, что часть утёкшей информации является подлинной. В связи с этим всем клиентам Cooler Master, особенно участникам программы Fanzone, настоятельно рекомендуется усилить бдительность. Необходимо следить за подозрительной активностью на банковских счетах и быть осторожными при использовании личных данных в интернете. Эксперты призывают немедленно связаться с банком в случае обнаружения каких-либо признаков мошенничества. Также рекомендуется сменить пароли и установить мониторинг истории платежей. Пока неясно, смогла ли компания Cooler Master вовремя обнаружить и заблокировать атаку до того, как злоумышленники успели нанести серьезный ущерб её клиентам. Ожидается официальное заявление компании с разъяснением ситуации и рекомендациями поставщикам и клиентам. Эксперты прогнозируют волну фишинговых атак и других киберпреступлений с использованием украденных данных Cooler Master в ближайшие недели. Курьерская служба СДЭК парализована уже третий день из-за атаки вируса-шифровальщика
28.05.2024 [11:37],
Владимир Фетисов
Сервис доставки посылок СДЭК приостановил работу 26 мая из-за обширного технического сбоя. Ответственность за этот инцидент взяла на себя международная хакерская группировка Head Mare, заявившая об этом в своём аккаунте в соцсети X. Злоумышленники опубликовали скриншоты проникновения в систему СДЭК и «передали привет» российской ИБ-компании Bi.Zone, которая консультирует СДЭК в вопросах кибербезопасности. В сообщении злоумышленников сказано, что в ходе атаки на IT-системы СДЭК они задействовали вирус-шифровальщик. Вредоносное программное обеспечение такого типа шифрует данные, из-за чего жертва атаки теряет к ним доступ. Неназванный источник в СДЭК, а также собеседник в одной из крупных ИБ-компаний, подтвердили, что в ходе атаки на СДЭК использовался шифровальщик. «Мы столкнулись с техническим сбоем и проводим расследование. Есть несколько теорий, и говорить что-либо до получения точной информации считаем непрофессиональным», — прокомментировал данный вопрос официальный представитель СДЭК. При этом в компании не сообщили, когда сервис может возобновить работу. Представители Bi.Zone никак не комментируют данный вопрос. Эксперты отмечают, что шифровальщик может попасть в атакуемую систему разными способами. Чаще всего вирусы такого типа загружают пользователи через электронную почту или другие сообщения. Реже такое происходит в результате взлома системы злоумышленниками. Такие вирусы также принято называть вымогателями, поскольку обычно после завершения работы шифровальщика жертве предлагается заплатить выкуп за восстановление доступа к данным. По подсчётам Российской ассоциации электронной коммерции (РАЭК), количество кибератак с использованием шифровальщиков выросло в 2023 году на 160 % по сравнению с показателем за предыдущий год. Средний размер выкупа за расшифровку данных в 2023 году составил 53 млн рублей. Скорость восстановления работоспособности систем СДЭК зависит от того, как часто компания делала бэкапы (резервные копии данных), и какой шифровальщик использовали злоумышленники. Если речь идёт об уже известном вредоносном ПО, то для него уже может существовать программа-декриптор, которая позволит расшифровать данные. Злоумышленники из Head Mare опубликовали скриншоты уничтожения бэкапов, заявив, что СДЭК делала резервные копии раз в полгода. Однако верить на слово злоумышленникам не стоит, поскольку часто они преувеличивают нанесённый в ходе атак ущерб. Вчера сообщалось, что СДЭК возобновит работу сегодня после обеда. Однако позже стало известно, что произойдёт это несколько позже — курьерская служба уведомила, что в течение понедельника «значительно продвинулась» в восстановлении, но пока не готова возобновить обслуживание. «ПВЗ СДЭК восстановят выдачу отправлений не позднее завтрашнего дня, 29 мая. Мы работаем над полным возобновлением обслуживания, но также заготовили и резервные схемы», — сообщил «Интерфаксу» директор по коммуникациям СДЭК Михаил Берггрен. Dell допустила утечку базы данных с именами и домашними адресами клиентов
09.05.2024 [19:02],
Владимир Фетисов
Компания Dell начала уведомлять клиентов, о том, что их имена, домашние адреса и другие данные попали в руки злоумышленников в результате «инцидента в сфере кибербезопасности». В электронном письме, которое производитель компьютеров рассылает клиентам, сказано, что ведётся расследование «инцидента, связанного с порталом Dell, содержащим базу данных с ограниченными типами информации о клиентах» и информацией об из покупках продукции компании. Согласно имеющимся данным, в руки злоумышленников попали не только имена клиентов и адреса их проживания, но также информация о купленном у Dell оборудовании, детали заказов, в том числе сервисные коды, описания товаров, даты оформления заказов и информация о гарантии. В сообщении Dell не уточняется, является ли утечка данных результатом хакерской атаки или же она стала следствием непреднамеренной ошибки. Отмечается, что в результате утечки не были похищены адреса электронных почтовых ящиков клиентов, номера телефонов, финансовая и платёжная информация или «любые особо конфиденциальные данные о клиентах». Возможно, Dell преуменьшает вероятные последствия утечки, заявляя, что для клиентов нет значительного риска. Более детальную информацию касательно этого инцидента в компании предоставить отказались, сославшись на продолжающееся расследование. |