• Объявления

    • Satuser

      Отключение пакета Триколор   02.04.2018

      Пакет Триколор отключил вещание MPEG-2 и перестал быть доступен для просмотра через кардшаринг. Пакет будет удален всем пользователям в автоматическом режиме с возвратом денег на баланс за оставшиеся дни просмотра.

Поиск сообщества: Показаны результаты для тегов 'инцидентов'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • Cпутниковое ТВ
    • Основной раздел форума
    • Кардшаринг
    • Новости
    • Транспондерные новости, настройка антенн и приём
    • Dreambox/Tuxbox/IPBox/Sezam и др. на базе Linux
    • Ресиверы Android
    • Другие ресиверы
    • Galaxy Innovations (без OS Linux)
    • Обсуждение HD\UHD телевизоров и проекторов
    • DVB карты (SkyStar, TwinHan, Acorp, Prof и др.)
    • OpenBOX F-300, F-500, X540, X560, X590, X-800, X-810, X-820, S1
    • Openbox X-730, 750, 770CIPVR, 790CIPVR
    • OpenBOX 1700(100), 210(8100),6xx, PowerSky 8210
    • Golden Interstar
    • Globo
    • Спутниковый интернет/спутниковая рыбалка
  • IP-TV
    • Обсуждение IPTV каналов
    • IP-TV на телевизорах Smart TV
    • IP-TV на компьютере
    • IP-TV на мобильных устройствах
    • IP-TV на спутниковых ресиверах
    • IP-TV на iptv-приставках
    • Kodi (XBMC Media Center)
  • Общий
    • Курилка
    • Барахолка

Категории

  • Dreambox/Tuxbox
    • Эмуляторы
    • Конфиги для эмуляторов
    • JTAG
    • Picons
    • DM500
    • DM600
    • DM7000
    • DM7020
    • Программы для работы с Dreambox
    • DM7025
    • DM500 HD
    • DM800 HD
    • DM800 HDSE
    • DM8000 HD
    • DM 7020 HD
    • DM800 HD SE v2
    • DM 7020 HD v2
    • DM 500 HD v2
    • DM 820 HD
    • DM 7080
    • DM 520/525HD
    • Dreambox DM 900 Ultra HD
    • Dreambox DM920 Ultra HD
  • Openbox HD / Skyway HD
    • Программы для Openbox S5/7/8 HD/Skyway HD
    • Addons (EMU)
    • Ключи
    • Skyway Light 2
    • Skyway Light 3
    • Skyway Classic 4
    • Skyway Nano 3
    • Openbox S7 HD PVR
    • Openbox S6 PRO+ HD
    • Openbox SX4C Base HD
    • Skyway Droid
    • Skyway Diamond
    • Skyway Platinum
    • Skyway Nano
    • Skyway Light
    • Skyway Classic
    • Openbox S6 HD PVR
    • Openbox S9 HD PVR
    • Skyway Classic 2
    • Openbox S4 PRO+ HDPVR
    • Openbox S8 HD PVR
    • Skyway Nano 2
    • Openbox SX6
    • Openbox S6 PRO HDPVR
    • Openbox S2 HD Mini
    • Openbox S6+ HD
    • Openbox S4 HD PVR
    • Skyway Classic 3
    • Openbox SX4 Base
    • Openbox S3 HD mini
    • Openbox SX4 Base+
    • Openbox SX9 Combo
    • Openbox AS1
    • Openbox AS2
    • Openbox SX4
    • Openbox SX9
    • Openbox S5 HD PVR
    • Formuler F3
    • Openbox Formuler F4
    • Openbox Prismcube Ruby
    • Skyway Droid 2
    • Openbox S2 HD
    • Openbox S3 HD Micro
    • Skyway Air
    • Skyway Virgo
    • Skyway Andromeda
    • Openbox S1 PVR
    • Formuler4Turbo
    • Open SX1 HD
  • Openbox AS4K/ AS4K CI
  • Opticum/Mut@nt 4K HD51
  • Octagon SF4008 4K
  • GI ET11000 4K
  • Formuler 4K S Mini/Turbo
  • VU+ 4K
    • Прошивки VU+ Solo 4K
    • Прошивки VU+ UNO 4K
    • Прошивки VU+ Uno 4K SE
    • Прошивки VU+ Ultimo 4K
    • Прошивки VU+ Zero 4K
    • Эмуляторы VU+ 4K
  • Galaxy Innovations
    • GI 1115/1116
    • GI HD Slim Combo
    • GI HD Slim
    • GI HD Slim Plus
    • GI Phoenix
    • GI S9196Lite
    • GI S9196M HD
    • GI Spark 2
    • GI Spark 2 Combo
    • GI Spark 3 Combo
    • Программы для работы с Galaxy Innovations
    • Эмуляторы для Galaxy Innovations
    • GI S1013
    • GI S2020
    • GI S2028/S2026/2126/2464
    • GI S2030
    • GI S2050
    • GI S3489
    • GI ST9196/ST9195
    • GI S2121/1125/1126
    • GI S6199/S6699/ST7199/ST7699
    • GI S8290
    • GI S8680
    • GI S8120
    • GI S2138 HD
    • GI S2628
    • GI S6126
    • GI S1025
    • GI S8895 Vu+ UNO
    • GI Vu+ Ultimo
    • GI S2238
    • GI Matrix 2
    • GI HD Mini
    • GI S2038
    • GI HD Micro
    • GI HD Matrix Lite
    • GI S1027
    • GI S1015/S1016
    • GI S9895 HD Vu+ Duo
    • GI S8180 HD Vu+ Solo
    • Vu+ SOLO 2
    • Vu+ Solo SE
    • Vu+ Duo 2
    • Vu+ Zero
    • GI ET7000 Mini
    • GI Sunbird
    • GI 2236 Plus
    • GI HD Micro Plus
    • GI HD Mini Plus
    • GI Fly
    • GI HD Slim 2
    • GI HD Slim 2+
  • IPBox HD / Sezam HD / Cuberevo HD
    • Программы для работы с IPBox/Sezam
    • IPBox 9000HD / Sezam 9100HD / Cuberevo
    • IPBox 900HD / Cuberevo Mini
    • IPBox 910HD / Sezam 902HD / Sezam 901HD
    • IPBox 91HD / Sezam 900HD / Cuberevo 250HD
    • Addons
  • HD Box
    • HD BOX 3500 BASE
    • HD BOX 3500 CI+
    • HD BOX 4500 CI+
    • HD BOX 7500 CI+
    • HD BOX 9500 CI+
    • HD BOX SUPREMO
    • HD BOX SUPREMO 2
    • HD BOX TIVIAR ALPHA Plus
    • HD BOX TIVIAR MINI HD
    • HD BOX HB 2017
    • HD BOX HB 2018
    • HD BOX HB S100
    • HD BOX HB S200
    • HD BOX HB S400
  • Star Track
    • StarTrack SRT 100 HD Plus
    • StarTrack SRT 200 HD Plus
    • StarTrack SRT 300 HD Plus
    • StarTrack SRT 400 HD Plus
    • StarTrack SRT 2014 HD DELUXE CI+
    • StarTrack SRT 3030 HD Monster
  • Samsung SmartTV SamyGo
  • DVB карты
    • DVBDream
    • ProgDVB
    • AltDVB
    • MyTheatre
    • DVBViewer
    • Плагины
    • Эмуляторы
    • Списки каналов
    • Рыбалка
    • Кодеки
    • Драйвера
  • Openbox F-300, X-8XX, F-500, X-5XX
    • Программы для работы с Openbox
    • Ключи для Openbox
    • Готовые списки каналов
    • Все для LancomBox
    • Openbox F-300
    • Openbox X-800
    • Openbox X-810
    • Openbox X-820
    • Openbox F-500
    • Openbox X-540
    • Openbox X-560
    • Openbox X-590
  • Openbox X-730PVR, X-750PVR, X-770CIPVR, X-790CIPVR
    • Программы для работы с Openbox
    • Ключи
    • Openbox X-730PVR
    • Openbox X-750PVR
    • Openbox X-770CIPVR
    • Openbox X-790CIPVR
  • OpenBOX 1700[100], 210[8100], 6xx, PowerSky 8210
    • Программы для работы с Openbox/Orion/Ferguson
    • Ключи
    • BOOT
    • OpenBOX 1700[100]
    • OpenBOX 210[8100]
    • OpenBOX X600 CN
    • OpenBOX X610/620 CNCI
    • PowerSky 8210
    • Ferguson Ariva 100 & 200 HD
  • Golden Interstar
    • Программы для работы с Interstar
    • Все для кардшаринга на Interstar
    • BOOT
    • Ключи
    • Golden Interstar DSR8001PR-S
    • Golden Interstar DSR8005CIPR-S
    • Golden Interstar DSR7700PR
    • Golden Interstar DSR7800SRCIPR
    • Golden Interstar TS8200CRCIPR
    • Golden Interstar TS8300CIPR-S
    • Golden Interstar TS8700CRCIPR
    • Golden Interstar S100/S801
    • Golden Interstar S805CI
    • Golden Interstar S770CR
    • Golden Interstar S780CRCI
    • Golden Interstar TS830CI
    • Golden Interstar TS870CI
    • Golden Interstar TS84CI_PVR
    • Golden Interstar S890CRCI_HD
    • Golden Interstar S980 CRCI HD
    • Golden Interstar GI-S900CI HD
    • Golden Interstar S905 HD
    • Box 500
  • Globo
    • Globo HD XTS703p
    • Программы для работы с Globo
    • Ключи для Globo
    • Globo 3xx, 6xxx
    • Globo 4xxx
    • Globo 7010,7100 A /plus
    • Globo 7010CI
    • Globo 7010CR
    • Opticum 8000
    • Opticum 9000 HD
    • Opticum 9500 HD
    • Globo HD S1
    • Opticum X10P/X11p
    • Opticum HD 9600
    • Globo HD X403P
    • Opticum HD X405p/406
    • Opticum X80, X80RF
  • SkyGate
    • Программы для работы с ресиверами SkyGate
    • Списки каналов и ключей
    • SkyGate@net
    • SkyGate HD
    • SkyGate HD Plus
    • SkyGate Gloss
    • Sky Gate HD Shift
  • Samsung 9500
    • Программы для работы с Samsung 9500
    • Программное обеспечение для Samsung 9500
  • Openbox 7200
    • Прошивки
    • Эмуляторы
    • Программы для работы с Openbox 7200
  • Season Interface

Найдено: 64 результата

  1. На минувшей неделе внимание общественности привлекли несколько инцидентов, в том числе взлом учетной записи сервиса Vevo на YouTube, очередные обвинения РФ в кибератаках и таинственное исчезновение 438 биткойнов, принадлежащих клиентам индийской биржи Coinsecure. Подробнее об этих и других событиях в кратком обзоре. В начале прошлой недели хакеры взломали учетную запись музыкального видеохостинга Vevo на YouTube и осуществили дефейс видеороликов ряда исполнителей, в том числе Шакиры, Селены Гомез, Дрейка и Тейлор Свифт. Злоумышленники, именующие себя Prosox и Kuroi'sh, изменили названия и обложки клипов и в ряде случаев заменили некоторые названия видео своими сообщениями, включая собственные псевдонимы наряду с призывом к «освобождению Палестины». По признанию одного из хакеров, дефейс был осуществлен «просто ради веселья». Глава Федеральной службы защиты конституции Германии Ханс-Георг Маасен заявил о «высокой вероятности» причастности российских властей к кибератакам на компьютерные сети правительства ФРГ в декабре минувшего года. При этом чиновник заявил, что у немецких властей нет доказательств причастности к атаке русскоязычной хакерской группировки APT28 (она же Fancy Bear, Sofacy, Pawn Storm и Sednit), подозреваемой в нападении на компьютерные сети нижней палаты Германии в мае 2015 года. Как стало известно в конце прошлой недели, индийская криптовалютная биржа «потеряла» 438 биткойнов (свыше $3 млн), принадлежащих ее пользователям. Согласно пояснению представителей компании, директор по безопасности биржи Амитабх Саксена снял некую сумму с целью перевести деньги клиентам, но «в процессе они куда-то пропали». Инцидент произошел 9 апреля нынешнего года. Пользователи заподозрили неладное, когда сайт Coinsecure внезапно перестал работать, а затем биржа прекратила принимать депозиты, сославшись на установку обновлений. Эксперты компании Menlo Security обнаружили интересную кампанию по распространению вредоносного ПО для хищения паролей FormBook, нацеленную на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Отличительной особенностью данной кампании является использование многоступенчатого метода заражения, не требующего активации макроса в документах Microsoft Word, через которые распространялся вредонос. На прошедшей неделе владельцы серверов, использующих хостинг-панель VestaCP, начали массово сообщать об атаках на свои серверы. Проэксплуатировав уязвимость в VestaCP, злоумышленники осуществляли DDoS-атаки с помощью взломанных виртуальных серверов, направляя на жертв большой поток трафика. Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось перехватить контроль над управляющей инфраструктурой одной из крупных сетей дистрибуции вредоносного ПО EITest. В состав сети вошло свыше 52 тыс. зараженных серверов. Эксперты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.
  2. Прошедшая неделя ознаменовалась рядом инцидентов в области безопасности, в числе которых сообщения об атаках на критическую инфраструктуру различных стран, появление нового IoT-ботнета, кибертака на сеть криптовалюты Verge, возможная утечка данных клиентов авиакомпании Delta Air Lines и пр. Об этих и других событиях в кратком обзоре. На минувшей неделе специалисты команды Cisco Talos предупредили об атаках на объекты критической инфраструктуры по всему миру с использованием уязвимости в сетевых коммутаторах Cisco с поддержкой технологии SMI (Smart Install). По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. Первые случаи эксплуатации данной уязвимости были зафиксированы в феврале 2017 года. В пятницу, 6 апреля, хакерская группировка JHT атаковала критическую инфраструктуру ряда стран, включая Иран и Россию, что привело к сбою в работе некоторых интернет-провайдеров, дата-центров и нескольких web-сайтов. Хакеры перезаписывали образ системы Cisco IOS и меняли конфигурационный файл, оставляя в нем сообщение с текстом: «Don't mess with our elections....» (Не вмешивайтесь в наши выборы) и изображением американского флага. Свои действия представители группировки пояснили тем, что «устали от атак поддерживаемых государством хакеров на США и другие страны». 3 апреля в системе управления перелетами Европейской организации по безопасности воздушной навигации (Евроконтроля) произошел масштабный сбой, из-за которого значительное количество рейсов были задержаны. Причины сбоя Евроконтроль не пояснил. На минувшей неделе эксперты Recorded Future сообщили о появлении нового ботнета, состоящего из более чем 13 тыс. устройств, в том числе «умных» телевизоров, web-камер и маршрутизаторов (в основном производства латвийской компании MikroTik). Жертвами ботсети уже стали три финансовые компании. Ботнет является разновидностью IoTroop и используется для осуществления DDoS-атак на финансовые фирмы. Как отметили специалисты, это самая масштабная кибератака со времен атаки ботнета Mirai в сентябре 2016 года. 4 апреля сеть криптовалюты Verge (XVG) подверглась мощной кибератаке, повлекшей за собой проблемы с майнингом у большинства пользователей. Воспользовавшись ошибкой в коде криптовалюты, неизвестный хакер смог обойти ограничение на выпуск блока раз в 30 секунд и добавлять новый блок в сеть каждую секунду. По оценкам пользователей, за три часа злоумышленник смог добыть криптовалюту на сумму более $1 млн, однако разработчики опровергли данное предположение, заявив, что непосредственно в блокчейн попала лишь часть блоков. Крупный авиаперевозчик Delta Air Lines предупредил о возможной утечке небольшой части платежных данных своих клиентов. Информация могла оказаться в руках хакеров в результате атаки на электронные системы одного из партнеров компании в сентябре-октябре 2017 года.
  3. Прошедшая неделя ознаменовалась рядом громких событий: возвращением нашумевшего вымогательского ПО WannaCry, арестом предполагаемого лидера хакерской группировки Carbanak, утечкой данных 150 млн клиентов Under Armour, кибератакой на Антидопинговое агентство Великобритании и пр. Подробнее об этих и других инцидентах в кратком обзоре за период с 26 марта по 1 апреля 2018 года. 28 марта один из крупнейших мировых производителей авиационной, космической и военной техники Boeing стал жертвой кибератаки с использованием вымогательского ПО WannaCry, в 2017 году поразившего огромное количество компьютеров по всему миру. По словам представителей компании, атака затронула лишь небольшое количество систем, были приняты необходимые меры и проблем с производственными процессами или доставкой не возникло. Жертвой хакерской атаки стало и Антидопинговое агентство Великобритании (Ukad). Злоумышленники пытались получить доступ к результатам медосмотров и анализов на допинг звезд большого спорта, но безуспешно. По словам представителей агентства, преступникам не удалось похитить данные. В начале минувшей недели испанская полиция арестовала гражданина Украины, предположительно являющегося лидером киберпреступной группировки Carbanak, также известной как Anunak и Cobalt. Carbanak активна как минимум с 2013 года. С помощью вредоносного ПО Anunak киберпреступники атаковали электронные платежные системы и банки в 40 странах по всему миру. В 2016 году киберпреступники переключились с Anunak на более сложное ПО Carbanak, использовавшееся до 2016 года, а затем вооружились еще более усовершенствованным инструментом, созданным на основе программы для проведения тестов на проникновение Cobalt Strike. С помощью вредоносного ПО злоумышленники заставляли банкоматы выдавать наличные. Одновременно с известием об аресте предполагаемого лидера группировки Департамент киберполиции Украины сообщил об установлении личности еще одного участника Carbanak. Им оказался 30-летний житель Киева. Подозреваемый занимался разработкой и поддержкой используемых в атаках эксплойтов. Сотрудникам киберполиции удалось установить личности остальных участников группировки, в настоящее время они находятся на территории РФ. Американский производитель спортивной одежды Under Armour сообщил об утечке данных порядка 150 млн пользователей разработанного компанией фитнес-приложения MyFitnessPal. В руках у хакеров оказались имена пользователей, электронные адреса и пароли, хешированные с помощью bcrypt. Утечка не коснулась данных платежных карт, так как они собираются и обрабатываются отдельно от остальной информации. В конце прошлой недели эксперты «Лаборатории Касперского» сообщили о новой кампании по распространению банковского трояна Buhtrap через ряд крупных российских новостных сайтов. Названия ресурсов исследователи не раскрыли. По данным ЛК, большинство атакованных пользователей находились в России, попытки заражения были также зафиксированы в Украине и Казахстане. Эксперты в области безопасности сообщили о возросшей активности ботнета Hajime. Теперь ботсеть нацелена на массовое инфицирование устройств MikroTik. По подсчетам специалистов Qihoo 360 Netlab, Hajime провел свыше 860 тыс. сканирований на предмет открытых портов 8291, однако точное число успешных заражений исследователи затруднились назвать. Инфицирование происходит через известную уязвимость под названием Chimay Red в версии прошивки MikroTik RouterOS 6.38.4 и более ранних, позволяющую осуществить код и получить контроль над устройством. Ранее эксплоит Chimay Red входил в хакерский арсенал ЦРУ и был опубликован WikiLeaks в рамках проекта Vault 7.
  4. Кибератака на сайт Минобороны РФ, разоблачение СБУ «прокремлевской» хакерской группировки, утечка данных 880 тыс. клиентов турагентства Orbitz, новые кампании по добыче криптовалюты – об этих и других событиях прошедшей недели в кратком обзоре. На минувшей неделе сайт Министерства обороны РФ подвергся кибератакам во время проходившего на нем финального голосования за названия новейших отечественных вооружений. За день злоумышленники атаковали ресурс семь раз. Атаки осуществлялись с территории Западной Европы, Северной Америки и Украины. Все атаки были успешно отражены. 23 марта Служба безопасности Украины заявила о пресечении деятельности в Киеве «прокремлевской» хакерской группировки, организовывавшей кибератаки на объекты критической инфраструктуры, государственные и банковские организации страны. Согласно сообщению ведомства, преступники по «указу российских спецслужб» использовали так называемые «бот-фермы» для проведения специальных информационных операций против Украины. Пользователей сервиса Telegram захлестнула волна мошенничества с использованием приложения GetContact. С его помощью злоумышленники узнают имена своих жертв, а затем отправляют им сообщение якобы от заказного специалиста по «вскрытию мессенджеров». «Взломщик» сообщает, будто его наняли для взлома учетной записи жертвы, однако он вдруг проникся к ней симпатией и готов выдать своего заказчика. Правда, за это жертва должна выплатить ему небольшое вознаграждение. В надежде заработать киберпреступники продолжают проводить кампании по добыче цифровой валюты. В частности, злоумышленники взломали серверы компании Synopsys, владеющей сервисом Coverity Scan, который применяется десятками тысяч разработчиков для поиска и исправления ошибок в своих проектах, и использовали их для майнинга криптовалют. Исследователи Trend Micro обнаружили еще одну кампанию, в рамках которой киберпреступники распространяли майнер криптовалюты, эксплуатируя уязвимость CVE-2013-2618 в PHP-плагине Weathermap, используемом системными администраторам для визуализации сетевой активности. Данная уязвимость существует уже порядка 5 лет и для нее доступны соответствующие исправления, но, судя по всему, не все организации обновили свои системы. В ходе кампании злоумышленникам удалось добыть порядка $74 тыс. в криптовалюте Monero. На минувшей неделе стало известно об утечке данных 880 тыс. клиентов Orbitz - дочерней компанией американского туристического online-агентства Expedia. Хакеры получили доступ к данным, предоставленным клиентами во время осуществления определенных покупок в период с 1 января 2016 года по 22 декабря 2017 года. В их руках оказались как данные банковских карт, так и персональная информация клиентов компании. Как показывает практика, даже опытные хакеры не застрахованы от ошибок. Как утверждает издание The Daily Beast, экспертам в области кибербезопасности удалось вычислить хакера, использующего псевдоним Guccifer 2.0, который ранее взял на себя ответственность за взлом серверов Национального комитета Демократической партии США и передачу похищенных материалов WikiLeaks в июне 2016 года. Это стало возможно благодаря ошибке, допущенной Guccifer 2.0 – он забыл активировать свой VPN-клиент прежде, чем авторизоваться, и в результате оставил свой настоящий московский IP-адрес на сервере американской соцсети. Согласно источникам издания, хакер якобы является служащим ГРУ, работающим в главном здании спецслужбы на улице Гризодубовой в Москве. Однако настоящую личность Guccifer 2.0 источники не раскрыли.
  5. Скандал вокруг новых уязвимостей в процессорах AMD, официальное обвинение РФ в атаках на электростанции в США, а также заявление премьер-министра Великобритании Терезы Мэй о возможном принятии мер (в числе которых могут быть и кибератаки) в отношении России стали наиболее обсуждаемыми событиями на минувшей неделе. Кроме того, не обошлось без сообщений о новых майнинговых кампаниях и ботнетах. Об этих и других инцидентах в кратком обзоре за период с 12 по 18 марта 2018 года. Не успела слегка утихнуть шумиха вокруг проблем Spectre и Meltdown, как эксперты в области безопасности огорошили общественность известием об обнаружении похожих уязвимостей в процессорах AMD Ryzen и EPYC. Исследователи израильской компании CTS-Labs выявили в чипах 13 уязвимостей, позволяющих получить доступ к высокочувствительной информации и установить вредоносное ПО. При этом исследователи отступили от общепринятой практики и предоставили производителю всего 24 часа на изучение проблемы и выпуск соответствующих патчей, чем вызвали немалое возмущение сообщества, заподозрившего CTS-Labs в обмане. Специалисты компании Trail of Bits, проводившие независимую экспертизу уязвимостей в процессорах AMD, подтвердили , что они действительно существуют, однако представляют меньшую опасность по сравнению со Spectre и Meltdown, так как их эксплуатация - сложный многоступенчатый процесс, который под силу только государственным хакерам, обладающим временем и значительными ресурсами. На минувшей неделе Министерство внутренней безопасности США и Федеральное бюро расследований предупредили об атаках «русских хакеров» на американские правительственные и коммерческие организации, а также на объекты критической инфраструктуры. Согласно отчету, опубликованному на сайте Компьютерной группы реагирования на чрезвычайные ситуации США (US-CERT), «русские хакеры» атакуют американские электростанции и другие объекты критической инфраструктуры по крайней мере с марта 2016 года. При этом ведомства не привели в докладе ни названия пострадавших компаний, ни размер причиненного им ущерба. Премьер-министр Великобритании Тереза Мэй потребовала от России объяснений, каким образом на британскую территорию попало сильнодействующее химическое оружие, использовавшееся в покушении на убийство полковника ГРУ Сергея Скрипаля и его дочери Юлии в Солсбери. Мэй дала России 24 часа на предоставление объяснений, в противном случае Великобритания намерена предпринять соответствующие меры, которые также могут включать в себя кибератаки. Киберпреступники продолжают проводить кампании по добыче криптовалют. В частности, специалисты компании Imperva сообщили о вредоносной кампании, в ходе которой злоумышленники атакуют серверы с СУБД PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве «приманки» они используют изображение голливудской актрисы Скарлетт Йоханссон. Кроме того, исследователи из Avast зафиксировали необычную кампанию, в рамках которой злоумышленники используют копии проектов на портале для разработчиков GitHub для распространения майнера криптовалюты. В Сети замечен новый ботнет, состоящий из порядка 5 млн Android-устройств. Для создания ботсети злоумышленники применяют вредоносное ПО RottenSys. По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными». На прошедшей неделе эксперты Forcepoint зафиксировали новую вредоносную кампанию, нацеленную на организации по всему миру. В ходе атак злоумышленники используют новый опасный троян Qrypter. В общей сложности исследователи выявили три таких кампании, затронувшие 243 организации по всему миру. Qrypter предоставляет злоумышленникам широкий спектр возможностей, в том числе подключение к удаленному рабочему столу, доступ к web-камерам, манипулирование файловой системой, установка дополнительных файлов и управление диспетчером задач. Авторы трояна предлагают вредонос в рамках модели «вредоносное-ПО-как-услуга» (Malware-as-a-Service, MaaS). Стоимость месячной аренды составляет $80. В качестве возможных способов оплаты указаны PerfectMoney, Bitcoin-Cash и Bitcoin. Помимо этого, можно приобрести трехмесячную или годовую подписку по сниженной цене.
  6. Прошедшая неделя запомнится рядом инцидентов, в числе которых очередная рекордная DDoS-атака, масштабная майнинговая кампания, затронувшая российских пользователей, а также уязвимость в агенте передачи сообщений Exim, поставившая под угрозу более полумиллиона почтовых серверов. Предлагаем вашему вниманию краткий обзор наиболее значимых событий за период с 5 по 11 марта 2018 года. Злоумышленники продолжают активно проводить мощные DDoS-атаки с применением метода Memcrashed, предполагающего использование доступных в Сети серверов memcached. В начале марта портал для разработчиков GitHub подвергся рекордной по мощности атаке (1,3 ТБ/с на пике), однако спустя четыре дня рекорд был побит. В этот раз жертвой злоумышленников стал один из американских сервис-провайдеров. По данным экспертов компании Arbor Networks, пиковая мощность данной атаки составляла 1,7 ТБ/с. Согласно прогнозам специалистов Qihoo 360, такими темпами мощность DDoS-атак с использованием memcached вскоре достигнет 2 ТБ/с. Более того, в Сети уже опубликованы PoC-коды для запуска масштабных DDoS-атак с использованием серверов memcached. Первая утилита представляет собой скрипт на Python под названием Memcacrashed.py, сканирующий Shodan в поисках IP-адресов уязвимых серверов memcached и позволяющий в считанные секунды осуществлять DDoS-атаки на выбранную цель. Второй PoC-код написан на C, к нему также прилагается список из 17 тыс. IP-адресов уязвимых серверов memcached. С помощью инструмента злоумышленник может осуществить DDoS-атаку на целевой объект, используя для усиления ее мощности серверы memcached из прилагаемого перечня. На прошлой неделе компания Microsoft сообщила о масштабной майнинговой кампании, в основном затронувшей пользователей из России, Турции и Украины. В рамках кампании злоумышленники распространяли ряд троянов семейства Dofoil (также известно как Smoke Loader), загружавших на компьютер жертвы программу для майнинга криптовалюты. Проанализированные экспертами образцы использовались для добычи Electroneum, но, судя по всему, майнер может добывать и другую криптовалюту. На минувшей неделе исследователь безопасности Мех Чан сообщил об опасной уязвимости в агенте передачи сообщений Exim, используемом в операционных системах семейства Unix, поставившей под угрозу более 500 тыс. почтовых серверов. Уязвимость представляет собой однобайтовое переполнение буфера в функции декодирования base64 и позволяет злоумышленнику обмануть сервер Exim и выполнить вредоносные команды до того, как атакующему потребуется авторизоваться на сервере. Ажиотаж вокруг криптовалют не утихает вот уже на протяжении нескольких месяцев, и киберпреступники не гнушаются использовать различные методы для их добычи. В частности, эксперты IBM обнаружили модификацию банковского трояна TrickBot, подменяющего адрес криптовалютного кошелька жертвы на адрес кошелька злоумышленника, и таким образом ворующего средства пользователей. Майнеры криптовалюты стали более агрессивными. К примеру, исследователь безопасности Ксавье Мертенс обнаружил скрипт Powershell, который не только загружает программу для добычи криптовалюты, но также ищет и «устраняет» майнеров-конкурентов на устройстве пользователя.
  7. Предыдущая неделя оказалась довольно насыщенной в плане различных инцидентов кибербезопасности, в том числе вызвавших большой общественный резонанс, как, например, мощнейшие DDoS-атаки на портал для разработчиков GitHub и крупнейшие web-ресурсы России и Европы. В числе других примечательных событий стоит отметить сообщения об атаках «русских хакеров» на правительственные ресурсы Германии и ряд вредоносных кампаний по добыче криптовалют с использованием торрент-сайтов.Более подробно об этих и прочих инцидентах, имевших место на прошлой неделе, в кратком обзоре. Пожалуй, самым громким событием прошлой недели стала мощная DDoS-атака на портал GitHub, в ходе которой злоумышленники использовали новый метод усиления DDoS-атак под названием Memcrashed. Из-за атаки сайт GitHub был недоступен для пользователей с 20:21 до 20:26 МСК, а затем частично недоступен с 20:26 до 20:30. Атака осуществлялась с более тысячи различных автономных систем через десятки тысяч уникальных конечных точек и на пике достигала 1,35 ТБ/с (126,9 млн пакетов/с). С 23 по 27 февраля исследователи из компании Qrator Labs зафиксировали серию высокоскоростных DDoS-атак на ряд крупнейших web-ресурсов России и Европы, в которых использовалась техника амплификации на основе memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы). По данным экспертов, источником атаки стал ряд интернет-провайдеров, в том числе крупнейший хостинг-провайдер OVH. Взяв на вооружение новый метод усиления DDoS-атак, злоумышленники не только атакуют интересующие их ресурсы, но и занимаются вымогательством. К примеру, компания Akamai сообщила об одном из таких случаев. Вместо того, чтобы отправить жертве UDP-пакеты с произвольными данными, атакующие оставили в них короткое послание с требованием заплатить по указанному адресу 50 Monero (около $17 тыс.). Однако злоумышленники не пообещали прекратить атаку в случае уплаты требуемой суммы, а только намекнули на такую возможность. На прошлой неделе стало известно, что немецкие спецслужбы раскрыли масштабную кибератаку, направленную на правительство Германии. По имеющимся данным, хакеры заразили вредоносным ПО сети МИД и Минобороны Германии. Вредоносы были выявлены в декабре 2017 года, однако по мнению немецких спецслужб, они находились в сетях по меньшей мере с 2016 года. Еще одним громким событием на минувшей неделе стал скандал вокруг поставщика цифровых сертификатов DigiCert и британского реселлера Trustico. Последняя потребовала аннулировать порядка 50 тыс. SSL-сертификатов Symantec, выданных DigiCert (компания приобрела часть бизнеса Symantec по выпуску сертификатов). DigiCert отказалась аннулировать сертификаты, ссылаясь на то, что массовый отзыв возможен только в случае, если имеются свидетельства инцидента безопасности, в результате которого были скомпрометированы закрытые ключи клиентов. В ответ Trustico направила письмо, содержащее более 23 тыс. закрытых ключей для SSL-сертификатов клиентов компании. В итоге DigiCert пришлось отозвать сертификаты, фигурировавшие в письме. Майнеры не прекращают изыскивать новые возможности для добычи криптовалюты. На прошлой неделе эксперты сообщили о двух вредоносных кампаниях, направленных на пользователей торрент-сайтов b-tor.ru и rTorrent. В обоих случаях злоумышленники загружали на компьютеры пользователей программы для добычи криптовалюты.
  8. Прошедшая неделя ознаменовалась рядом событий, наиболее громкими из которых стали очередное обвинение в адрес пресловутых «русских хакеров», обнаружение майнинговой кампании с использованием вычислительных мощностей производителя электромобилей Tesla и хищение порядка $2 млн у индийского банка City Union Bank. Об этих и прочих инцидентах в кратком обзоре. Ситуация вокруг хакерской атаки на компьютеры зимней Олимпиады-2018, прошедшей в южнокорейском Пхенчхане, набирает обороты. Как сообщило издание The Washington Post, по мнению американской разведки, «российские военные хакеры» взломали несколько сотен компьютеров на зимних Олимпийских играх, причем попытались обставить атаку так, чтобы подозрение упало на КНДР. Мотивом атаки представители спецслужб назвали месть за решения Международного олимпийского комитета, отстранившего национальную сборную России от участия в Олимпийских играх. Как полагают эксперты из американских спецслужб, в начале февраля российские военные из ГРУ (Главное разведывательное управление) имели доступ к 300 компьютерам на Олимпиаде в Южной Корее. Добытчики криптовалюты не устают искать новые пути заработка, и все чаще под их прицел попадают крупные компании. В частности, неизвестные хакеры проникли в облачную среду компании Tesla через незащищенную консоль Kubernetes и, воспользовавшись учетными данными для сервисов Amazon Web Service компании, запустили скрипты для тайного майнинга криптовалюты. Как отметили исследователи из RedLock, обнаружившие криптомайнинговую операцию, жертвами майнеров стали не только Tesla, но и крупная британская страховая компания Aviva, а также крупнейший в мире производитель SIM-карт Gemalto. К слову, эксперты израильской компании Votiro обнаружили еще один метод майнинга криптовалюты – с помощью файлов Microsoft Word. Речь идет о функционале, позволяющем добавлять в файлы Word видео из интернета без необходимости встраивать собственно видео в документ. Злоумышленники могут проэксплуатировать этот механизм для загрузки JS-скриптов для майнинга криптовалюты Monero. Невзирая на захлестнувшую мир криптовалютную лихорадку, в сфере основных интересов хакеров по-прежнему остаются банки. В частности, из-за неизвестных киберпреступников индийский банк City Union Bank лишился $1,8 млн. Злоумышленникам удалось вывести средства с помощью банковской системы SWIFT. Мошеннические транзакции были обнаружены 7 февраля в процессе сверки. Один из переводов в размере $500 тыс. удалось своевременно выявить и заблокировать. Однако злоумышленникам удалось успешно провести два других платежа, перечислив средства на счета в банках Турции и Китая. Как стало известно на минувшей неделе, жертвами хакеров стали пользователи дистрибутива Mageia. Злоумышленники скомпрометировали сервер Mageia, похитили базу данных, включавшую логины, хэши паролей и электронные адреса пользователей, и опубликовали ее в Сети. Как именно преступникам удалось прочитать содержимое LDAP-каталога в обход настроек ограничения доступа, в настоящее время неизвестно.
  9. Утечки данных, фишинговые и майнинговые кампании, появление новых ботнетов уже стали привычным явлением – практически ни одна неделя не обходится без сообщений о подобных инцидентах, минувшая также не стала исключением. О наиболее интересных событиях за период с 12 по 18 февраля 2018 года в кратком обзоре. Одним из самых громких событий прошлой недели стали обвинения в организации летних атак с использованием вымогательского ПО NotPetya, выдвинутые в адрес РФ рядом стран. В частности, в четверг, 15 февраля, с таким обвинением выступило правительство Великобритании, вскоре аналогичные заявления опубликовали США, Австралия, Канада и Новая Зеландия. В свою очередь Кремль категорически отверг причастность к атакам, назвав их «беспочвенными и бездоказательными». Эксперты подразделения Cisco Talos раскрыли подробности деятельности группировки Coinhoarder, использовавшей сервис Google AdWords для заработка денег. В рамках фишинговой кампании злоумышленники законно покупали рекламу через платформу Google AdWords и размещали ссылки на фишинговые сайты в результатах поиска Google, связанных с Bitcoin. Таким образом мошенники заманивали пользователей на фишинговые сайты и собирали учетные данные жертв, которые впоследствии использовались для кражи средств с их счетов. С помощью данной схемы участникам группировки удалось заработать порядка $50 млн в биткойнах. Трудятся не покладая рук и охотники за криптовалютой, изобретая все новые способы добычи цифровых средств. К примеру, исследователи из Malwarebytes обнаружили новую кампанию, направленную против пользователей Android-устройств. Преступники заманивают пользователей на свои сайты и пока те вводят CAPTCHA, майнят криптовалюту Monero, используя мощности гаджетов жертв. В Сети продолжают появляться новые IoT-ботнеты. Недавно список пополнил ботнет под названием DoubleDoor, способный обходить межсетевые экраны и защиту модемов с помощью эксплоитов для известных уязвимостей. По данным специалистов, в ходе атаки DoubleDoor сначала использует эксплоит, предназначенный для уязвимости CVE-2015-7755 (бэкдор в Juniper Networks ScreenOS, на базе которой работают межсетевые экраны Netscreen). С помощью первого эксплоита вредонос обходит межсетевой экран, после чего использует второй эксплоит, предназначенный для уязвимости CVE-2016-0401 в модемах ZyXEL PK5001Z. Исследователи Kromtech Security Center обнаружили в открытом доступе данные 119 тыс. клиентов службы доставки FedEx. Утечка стала возможной из-за некорректно настроенного сервера Amazon S3, принадлежащего компании Bongo International LLC, которую FedEx приобрела в 2014 году. Обнаруженная база данных содержала отсканированные копии паспортов, водительских удостоверений и другой документации клиентов FedEx по всему миру, в том числе из США, Мексики, Канады, Австралии, Саудовской Аравии, Японии, Китая и ряда европейских стран. На минувшей неделе Western Union предупредила своих клиентов о возможной утечке конфиденциальной информации, произошедшей в результате хакерской атаки на одного из IT-партнеров компании. Взломанный архив содержал контактные данные клиентов Western Union, названия банков, внутренние идентификационные номера сотрудников компании, суммы денежных переводов, а также время осуществления и идентификационные номера транзакций. Утечка не затронула данные банковских карт клиентов. Внутренние платежные и финансовые системы Western Union скомпрометированы не были.
  10. Минувшая неделя ознаменовалась рядом событий, привлекших пристальное внимание общественности. В их числе разоблачение одной из крупнейших киберпреступных группировок Infraud, хакерская атака на сайт Олимпийских игр, сообщения об очередной кибершпионской кампании «русских хакеров» Fancy Bear, крупнейшая утечка в истории Apple и прочие инциденты, о которых и пойдет речь в сегодняшнем обзоре. В среду, 7 февраля, Министерство юстиции США сообщило о пресечении деятельности международной киберпреступной группировки, осуществлявшей незаконную деятельность на организованной ими подпольной интернет-площадке Infraud.Злоумышленники разработали сложную схему по покупке и продаже номеров социального страхования, данных о днях рождения и паролях, похищенных у пользователей со всего мира. Ущерб от деятельности кибергруппы оценивается в $530 млн. В общей сложности ведомство предъявило очные и заочные обвинения 36 участникам группировки, в том числе россиянину и двоим украинцам, один из которых, предположительно, является организатором Infraud. Еще одним громким событием прошлой недели стала публикация на GitHub исходного кода ключевого компонента iOS – iBoot. Он обеспечивает доверенную загрузку операционной системы. При включении iOS-устройства iBoot загружает ядро ОС, проверяет наличие у него соответствующей подписи Apple, а затем выполняет его. Компания Apple подтвердила подлинность исходного кода загрузчика iBoot, отметив, что его публикация не ставит под угрозу пользователей. Тем не менее, адвокаты компании все равно потребовали удалить исходники с GitHub в связи с нарушением авторских прав. На минувшей неделе СМИ сообщили о любопытной кампании, в рамках которой злоумышленники рассылали американским изданиям поддельные пресс-релизы от имени народного банка Китая и Управления денежного обращения Гонконга о совместной подготовке мер по борьбе со «всеми аспектами и сервисами биткойн-трейдинга». Рассылка производилась со взломанного электронного ящика одного из сотрудников Народного банка Китая (центрального банка КНР). Предположительно, фальшивые приглашения на брифинг могут быть делом рук предприимчивых трейдеров, желающих сыграть на падении курса криптовалют, в том числе биткойна. Хакерская группировка Fancy Bear, предположительно связанная с РФ, продолжает проводить кампании по кибершпионажу.Согласно расследованию, проведенному журналистами Associated Press, группировка похитила конфиденциальную переписку у подрядчиков правительства США, занимающихся разработкой военных технологий. Жертвами Fancy Bear стали по меньшей мере 87 человек, занятых в разработке военных беспилотных летательных аппаратов, ракет, истребителей, облачных вычислительных платформ и других технологий. В числе пострадавших сотрудники как небольших, так и крупных компаний, включая Lockheed Martin, Raytheon, Boeing, Airbus Group и General Atomics. В преддверии зимних Олимпийских игр в Пхенчхане (Южная Корея) эксперты в области кибербезопасности неоднократно предупреждали о возможных хакерских атаках. Судя по всему, их прогнозы начинают сбываться. 9 февраля неизвестные атаковали сайт Олимпиады примерно за 45 минут до начала церемонии открытия игр. В результате кибератаки была нарушена работа цифрового интерактивного телевидения в главном пресс-центре. В целях предотвращения дальнейшего ущерба серверы были отключены, что привело к приостановке работы сайта Олимпиады. Пока серверы и сайт не работали, зрители не могли распечатать приобретенные ими билеты на олимпийские мероприятия. Работа сайта была восстановлена утром в субботу, 10 февраля. Минувшая неделя не обошлась без сообщений об утечках данных. Как стало известно, персональная информация 800 тыс. абонентов швейцарского оператора связи Swisscom оказалась скомпрометирована в результате взлома систем оператора. В руках злоумышленников оказались имена, даты рождения, адреса и номера телефонов клиентов Swisscom.
  11. В последнее время практически ежедневно появляются сообщения об инцидентах, в той или иной мере связанных с криптовалютой. Минувшая неделя также не стала исключением, в частности, в результате действий киберпреступников пострадали пользователи сервиса BeeToken и владельцы криптовалюты IOTA. Прошедшая неделя также не обошлась без сообщений об атаках северокорейских хакеров и утечках данных. Предлагаем вашему вниманию краткий обзор главных событий за период с 29 января по 4 февраля 2018 года. Криптовалюта продолжает оставаться одной из основных сфер интересов киберпреступников. Злоумышленники не только воруют криптовалюту у различных сервисов, но и создают ботнеты для добычи виртуальных денег за счет пользователей. К примеру, исследователи в области кибербезопасности обнаружили два таких ботнета. Первый включает 4,4 тыс. зараженных серверов Redis и OrientDB и используется злоумышленниками для майнинга криптовалюты Monero. С марта 2017 года ботсеть принесла свои операторам $925 тыс. Второй ботнет под названием Smominru (также известен как Ismo) активен по меньшей мере с мая минувшего года и уже успел инфицировать более полумиллиона устройств, основную часть из которых составляют серверы, работающие под управлением уязвимых версий ОС Windows. По данным специалистов Proofpoint, создателям ботнета уже удалось добыть порядка 8,9 тыс. Monero, стоимостью $3,6 млн. Примечательно, что для распространения майнера криптовалюты операторы используют эксплоит EternalBlue из арсенала хакерской группировки Equation Group, утекшего стараниями хакеров The Shadow Brokers в 2017 году. Операторы Smominru – не единственные, кто применяет данный эксплоит для распространения майнеров. Недавно EternalBlue был замечен в атаках WannaMine. Вредоносное ПО WannaMine, предназначенное для тайного майнинга криптовалюты Monero с использованием мощностей зараженных компьютеров, впервые было обнаружено специалистами Panda Security в октябре 2017 года. По сообщению специалистов CrowdStrike, за последние несколько месяцев число заражений WannaMine существенно возросло. На прошедшей неделе стало известно о двух фишинговых кампаниях, направленных на пользователей криптовалют. В ходе одной из них злоумышленники похитили у потенциальных инвесторов платформы BeeToken, позиционирующей себя как сервис для краткосрочной аренды жилья за криптовалюту, более $1 млн в криптовалюте Ethereum. В рамках второй схемы неизвестный хакер создал фишинговый сайт, с помощью которого собрал у жертв закрытые ключи их криптовалютных кошельков и украл хранящиеся в них средства. На момент взлома стоимость похищенной злоумышленником криптовалюты IOTA составляла около $3,94 млн. Как оказалось, жертвами похитителей криптовалюты могут стать не только простые пользователи, но и сами злоумышленники. К примеру, сервис Onion.top, позволяющий получить доступ к сети Тор без установки соответствующего браузера, был замечен в подмене адресов биткойн-кошельков на вымогательских сайтах. Onion.top тайно анализировал загружаемые через портал web-страницы на предмет строк, выглядящих как адреса биткойн-кошельков, после чего заменял их одним из кошельков операторов сервиса. Эксперты заметили подобное поведение на сайтах программ-вымогателей LockeR, Sigma и GlobeImposter. Недавно в Сети был замечен новый IoT-ботнет JenX (производное от Jennifer – названия вредоносного ПО, использующегося для заражения маршрутизаторов), в основном применяющийся для атак на игроков в online-игру Grand Theft Auto на определенных бесплатных серверах. Как полагают эксперты, за созданием ботнета стоит группировка Los Calvos de San Calvicie, которая эксплуатирует уязвимости в прошивках устройств RealTek и Huawei HG532 для пополнения «зомби»-сети. В настоящее время JenX включает в себя небольшие домашние и офисные маршрутизаторы. В качестве побочного бизнеса операторы JenX предлагают мощности ботнета для осуществления DDoS-атак на заказ. Хакеры из Северной Кореи продолжают оттачивать свое мастерство. Как стало известно, злоумышленники атаковали ведущего израильского поставщика электроэнергии – «Электрическую компанию Израиля» (ЭКИ). По словам представителей корпорации, реального ущерба кибератаки не нанесли, однако хакеры использовали серьезное вредоносное ПО, а уровень подготовки атакующих был весьма высоким. Предположительно, данные атаки проводились в учебных целях для отработки новейших технологий и методик взлома, поскольку считается, что ЭКИ имеет одну из лучших в мире систем по защите от киберугроз. Правительство Австралии продемонстрировало , что утечки данных могут случаться не только по вине хакеров, халатности сотрудников или неадекватной защиты компьютерных систем, но и из-за утерянных ключей от картотек. Согласно сообщениям в СМИ, сотрудники австралийского правительства сдали в магазин подержанной мебели два шкафа-картотеки, в которых находились конфиденциальные документы пяти правительств страны, так как потеряли от них ключи. Покупателю шкафов удалось открыть их с помощью электродрели. По заявлению представителей премьер-министра и Кабмина, ведется расследование инцидента.
  12. Прошедшая неделя оказалась довольно насыщенной событиями: в их числе хищение внушительной суммы средств у одной из крупнейших японских криптовалютных бирж Coincheck, хакерская атака на канадскую транспортную компанию Metrolinx, утечка данных более 100 тыс. клиентов канадского оператора связи Bell, появление нового IoT-ботнета и пр. Об этих и других инцидентах краткий обзор за период с 22 по 27 января 2018 года. Самым резонансным событием прошлой недели стал взлом японской криптовалютной биржи Coincheck и хищение 58 млрд иен ($533 млн) в криповалюте NEM (XEM). На сегодняшний день это самая масштабная кража средств за всю историю криптовалютных бирж. Как сообщается, руководство биржи не придавало значения советам об использовании технологии MultiSi. Речь идет о системе из нескольких ключей-паролей, которые нужны для снятия денег со счета. Помимо этого, счета клиентов хранились не на изолированном от интернета компьютере. Злоумышленники продолжают эксплуатировать тему криптовалют с целью заставить пользователей загрузить на свои устройства вредоносное ПО. В частности, исследователи в области безопасности выявили новую мошенническую схему, в рамках которой преступники распространяют вымогательское ПО под видом кошелька для криптовалюты Spritecoin. После установки программа-вымогатель шифрует файлы на компьютере жертвы и требует выкуп в размере 0,3 Monero. Примечательно, если жертва все же заплатит выкуп, на ее компьютер будет установлено дополнительное вредоносное ПО, способное собирать данные, анализировать изображения и активировать web-камеру. Эксперты рассказали о появлении нового IoT-ботнета Hide 'N Seek (HNS), включающего порядка 14 тыс. устройств, в основном IP-камер. В отличие от остальных IoT-ботнетов, появившихся за последние несколько недель, HNS не имеет отношения к Mirai и больше похож на Hajime. По словам исследователей, HNS – вторая после Hajime ботсеть с пиринговой архитектурой. Однако, если у Hajime в основе P2P-архитектуры лежит протокол BitTorrent, то у HNS она базируется на кастомизированном P2P-механизме. Как сообщили СМИ на прошлой неделе, от действий хакеров пострадали сразу две крупные канадские компании – Metrolinx и Bell Canada. В частности, транспортное предприятие Metrolinx стало жертвой северокорейских хакеров, инфицировавших компьютеры компании вредоносным ПО, запущенным через Россию. В результате инцидента ни одна система скомпрометирована не была, утечка данных также не имела место. В целях безопасности подробности атаки не разглашаются. Во втором случае хакеры похитили персональные данные более 100 тыс. клиентов телекоммуникационной компании Bell Canada, включая сведения об именах, адресах электронной почты, номерах телефонов и регистрационных номерах. Финансовая информация клиентов оператора в результате инцидента не пострадала. Минувшая неделя не обошлась и без громких обвинений в адрес РФ. Министр обороны Великобритании Гэвин Уильямсон заявил о том, что в настоящее время Россия якобы изучает британскую критическую инфраструктуру, в частности, как она связана с электростанциями на материке. Это нужно для осуществления атак с целью посеять в стране «панику» и «хаос», отметил министр. В беседе с The Sunday Times источники издания в британской разведке отметили, что в своем заявлении министр мог использовать засекреченные сведения, полученные от союзников Великобритании, а также назвали слова Уильямсона «дилетантскими», так как «никто никогда не заходил так далеко в количественных оценках потенциального риска смерти людей в случае разрушительной атаки на британскую инфраструктуру со стороны России или любой другой враждебно настроенной страны». В конце недели издание deVolkskrant опубликовало материал, в котором утверждалось, что сотрудники нидерландской разведки порядка 2,5 лет шпионили за российской хакерской группировкой Cozy Bear (она же APT29), подозреваемой в атаке на серверы Демократической партии США во время предвыборной кампании в 2016 году. Агенты AIVD проникли в компьютерную сеть Cozy Bear и в период с 2014 по 2017 годы передавали полученную информацию Агентству национальной безопасности (АНБ) и Федеральному бюро расследований (ФБР) США. Как утверждает издание, переданные ФБР данные стали одной из причин, по которой в США было инициировано расследование по поводу предполагаемого вмешательства РФ в президентскую гонку.
  13. Киберпреступники не сидят сложа руки и продолжают организовывать вредоносные кампании, преследующие различные цели. На минувшей неделе стало известно сразу о нескольких подобных операциях, включая кампании по распространению мощного инфостилера для Android и вредоносного ПО Zyklon. После новогоднего затишья также активизировались ботнеты Satori и Necurs, причем последний был замечен в несколько необычной для него деятельности. Об этих и других событиях, произошедших в мире ИБ в период с 15 по 21 января 2018 года, в данном обзоре. В начале минувшей недели исследователи из «Лаборатории Касперского» сообщили об обнаружении мощного шпионского ПО для Android-устройств, окрещенного Skygofree по одному из доменных имен, использовавшихся в кампании. ПО обладает исключительными возможностями, такими как получение прав суперпользователя с помощью нескольких эксплоитов, сложная структура полезной нагрузки, а также нигде ранее не встречавшаяся функция записи звука в заранее определенных местах. Все обнаруженные ЛК кампании по распространению Skygofree проводились исключительно в Италии, а его жертвами стали только итальянские пользователи. Как полагают эксперты, создателем вредоносной программы может быть итальянская компания, специализирующаяся на разработке инструментов для слежения. Исследователи из Trend Micro раскрыли подробности масштабной кампании по распространению вредоносного ПО для Android-устройств, похищающего учетные данные пользователей Facebook и агрессивно отображающего рекламу. Вредонос, названный GhostTeam по одной из обнаруженных в коде строк, распространялся через Google Play Store и мог быть загружен сотнями тысяч ничего не подозревавших пользователей. Во второй половине минувшего года исследователи в области кибербезопасности описали ряд уязвимостей в пакете Microsoft Office, которые киберпреступники немедленно взяли на вооружение. Специалисты FireEye выявили кампанию по распространению бэкдора Zyklon, в рамках которой злоумышленники эксплуатируют сразу три проблемы - CVE-2017-8759 в .NET Framework, CVE-2017-11882 в редакторе формул Microsoft Equation, а также функцию Dynamic Data Exchange (DDE). Вредоносная программа способна записывать нажатия клавиш, собирать пароли, а также загружать и устанавливать дополнительные плагины для майнинга криптовалют и извлечения паролей. Правозащитная организация Electronic Frontier Foundation и компания по кибербезопасности Lookout опубликовали совместный отчет, в котором пролили свет на деятельность группировки Dark Caracal, похитившей сотни гигабайт данных у жертв по всему миру с помощью фишинговых кампаний и несложного вредоносного ПО. Объектами атак ливанских хакеров стали чиновники, военные, сотрудники коммунальных компаний, финансовых учреждений, промышленных компаний, а также оборонные подрядчики. Группировка использовала как хорошо известные вредоносные программы для ОС Windows, так и специальное шпионское ПО FinFisher. Хакеры также разработали собственный вредонос для Android, получивший название Pallas. После праздничного перерыва возобновили свою активность ботнеты Satori и Necurs, причем оба вовлечены в деятельность, связанную с криптовалютой. Новый вариант вредоносного ПО Satori инфицирует оборудование для майнинга криптовалюты с установленным ПО Claymore и заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников. Что касается Necurs, на минувшей неделе ботнет был замечен в распространении огромного количества спама в рамках мошеннической схемы pump-and-dump («накачка и сброс»), продвигающей малоизвестную криптовалюту SwissCoin. Прошедшая неделя не обошлась без кражи средств у очередного криптовалютного сервиса. На сей раз жертвой стал сервис BlackWallet.co, предоставляющий web-кошельки для криптовалюты Stellar Lumen (XLM). Неизвестные взломали DNS-сервер BlackWallet и похитили более $400 тыс. со счетов пользователей. Полицейская служба безопасности Норвегии (Politiets sikkerhetstjeneste, PST) заподозрила хакеров, работающих на иностранные разведслужбы, во взломе компьютерной сети регионального управления здравоохранения в начале января нынешнего года. В ведомстве не уточнили, удалось ли злоумышленникам получить доступ к данным о состоянии здоровья граждан страны или другой конфиденциальной информации.
  14. На минувшей неделе внимание общественности привлек ряд событий, в числе которых публикация хакерской группировкой Fancy Bears переписки нескольких членов Международного олимпийского комитета (МОК), новые кампании по распространению банковских троянов ZeuS и FakeBank и прочие инциденты. Предлагаем вашему вниманию краткий обзор главных происшествий в мире ИБ в период с 8 по 14 января 2018 года. На прошедшей неделе хакерская группировка Fancy Bears вновь заявила о себе громкой публикацией переписки ряда членов Международного олимпийского комитета (МОК). Согласно обнародованным документам, между МОК и Всемирным антидопинговым агентством (World Anti-Doping Agency, WADA) ведется борьба за влияние на мировой спорт. Хакеры также выяснили, что расследование употребления российскими спортсменами допинга носило политический характер и должно было дискредитировать МОК. Вскоре после публикации эксперты ИБ-компании ThreatConnect предупредили о возможных атаках группировки на Олимпиаду-2018 в Пхенчхане (Южная Корея). На минувшей неделе также появилась информация о двух новых кампаниях по распространению банковского вредоносного ПО ZeuS и FakeBank. В рамках первой злоумышленники распространяли одну из разновидностей ZeuS через сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM). Эксперты компании Cisco отметили сходство данного инцидента со взломом серверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте. Вторая кампания, в ходе которой распространялось новое вредоносное ПО FakeBank, была направлена на российских пользователей, в основном клиентов «Сбербанка», «Лето Банка», «ВТБ24» и других российских банков. FakeBank маскируется под набор приложений для управления SMS/MMS и перехватывает SMS-сообщения для последующего хищения средств пользователей. В новом году тема майнинга криптовалюты продолжает быть актуальной. В частности, специалисты компании AlienVault сообщили об обнаружении нового загрузчика, устанавливавшего майнер криптовалюты, который отправлял добытые средства на серверы в Университете имени Ким Ир Сена в Пхеньяне (Северная Корея). Вредоносный загрузчик, впервые выявленный в конце декабря 2017 года, предназначен для установки xmrig – майнера криптовалюты Monero с открытым исходным кодом. Прошедшая неделя не обошлась без обвинений в адрес российских хакеров. Так, в Центральной разведывательном управлении США заподозрили Россию в кибератаке с использованием шифровальщика NotPetya на Украину в июне 2017 года. Тогда от атаки пострадали не только украинские, но и российские компании. Согласно публикации издания The Washington Post, сославшегося на секретные документы ЦРУ, ведомство с «высокой степенью достоверности» считает, что за атакой вируса NotPetya на Украину стоят хакеры российского Минобороны, а именно внешней разведки — Главного управления Генштаба (бывшее ГРУ). По мнению основателя компании по кибербезопасности Rendition Infosec Джейка Уильямса, целью атаки NotPetya был «подрыв финансовой системы Украины».
  15. Минувшая неделя ознаменовалась рядом инцидентов в России и в мире, в числе которых первая в РФ успешная атака на банк с использованием международной межбанковской системы SWIFT, ставшие уже привычными атаки на криптовалютные биржи, арест членов группировки, распространявшей вымогательское ПО, а также масштабные утечки данных. Об этих и других событиях в мире ИБ в период с 18 по 24 декабря 2017 года пойдет речь в кратком обзоре. В начале прошедшей недели в СМИ появилась информация о первой в России успешной кибератаке на банк, в ходе которой хакерская группировка Cobalt для вывода средств использовала международную систему передачи финансовой информации SWIFT. Как выяснилось позже, атака оказалась успешной лишь частично , так как в банке своевременно заметили подозрительные транзакции на большие суммы (в том числе в валюте). «Глобэкс» оказался не единственным банком, оказавшимся под прицелом Cobalt. В минувшие выходные стало известно, что хакеры также атаковали «Севастопольский Морской банк». По одним данным, злоумышленники похитили более 10 млн рублей, по другим - 24 млн рублей. Хакеры не теряют интерес к криптовалюте и всему, что с ней связано. 20 декабря децентрализованная криптовалютная биржа EtherDelta сообщила о хакерской атаке, в результате которой злоумышленникам удалось получить доступ к ее DNS-серверу. Кроме того, возросла активность северокорейских хакеров, в последнее время также переключившихся на криптовалютные биржи и пользователей криптовалюты. В частности, исследователи безопасности из Proofpoint обнаружили новую вредоносную кампанию, направленную против организаций, компаний и частных пользователей, владеющих криптовалютой, в рамках которой злоумышленники загружали на системы жертв бэкдор Gh0st RAT. По мнению экспертов, за атаками стоит киберпреступная группировка Lazarus, предположительно связанная с правительством КНДР. Киберпреступники не устают изобретать новые способы распространения программ для добычи криптовалюты, в одной из кампаний они использовали мессенджер Facebook для установки вредоносного ПО Digminer, предназначенного для майнинга Monero. По данным специалистов Trend Micro, кампания в основном направлена на пользователей из Украины, Азербайджана, Вьетнама, Южной Кореи, Филиппин, Таиланда и Венесуэлы. В рамках другой операции злоумышленники атаковали сайты на WordPress по всему миру в целях установки майнера криптовалюты Monero. Для взлома ресурсов атакующие использовали брутфорс. Согласно словам экспертов компании WordFence, злоумышленники атаковали свыше 190 тыс. сайтов, в рамках кампании им удалось заработать порядка $100 тыс. в криптовалюте. В минувшую среду Европол сообщил об аресте участников группировки, занимавшейся распространением вымогательского ПО CTB-Locker и Cerber. Хакеры арендовали программы по бизнес-модели «вымогательское ПО как услуга» (Ransomeware as-a-Service, RaaS) и распространяли их посредством электронной рассылки, замаскированной под накладные. 70% от суммы выкупа оставалось в руках злоумышленников, остальные 30% они отправляли разработчикам вредоносов. На прошедшей неделе стало известно сразу о нескольких масштабных утечках данных. В частности, из-за некорректно настроенного сервера Amazon S3, принадлежащего компании по сбору и анализу данных Alteryx, в открытом доступе оказалась информация о 123 млн американских домохозяйств. На сервере хранились данные, принадлежащие партнерам Alteryx, в том числе кредитного агентства Experian и Бюро переписи населения США. Некорректно настроенный сервер был расположен на поддомене alteryxdownload. В частности в Сети оказалась маркетинговая база данных Experian ConsumerView и информация переписи населения США 2010 года. 21 декабря японский автопроизводитель Nissan предупредил об утечке персональных данных 1,13 млн своих клиентов. Утечка произошла в результате взлома компьютерной сети финансового отдела канадского подразделения компании. Исследователи безопасности из компании Kromtech сообщили об утечке данных более 19 млн американских избирателей из штата Калифорния. Данные оказались в открытом доступе в Сети из-за некорректно настроенной базы MongoDB и впоследствии были похищены злоумышленниками. Хакеры использовали автоматический скрипт для сканирования интернета на предмет незащищенных баз данных MongoDB, после чего удаляли их содержимое и требовали выкупв размере 0,2 биткойна за восстановление данных. Прошедшая неделя не обошлась и без курьезов. Австралийская федеральная полиция (Australian Federal Police, AFP) случайно транслировала в сервис Periscope обсуждение операции по аресту человека, подозреваемого в шпионаже для северокорейского правительства. Трансляция продлилась около минуты и не содержала подробностей, позволяющих идентифицировать фигуранта расследования, однако журналистам все же удалось услышать ряд важных подробностей брифинга.
  16. На минувшей неделе внимание общественности привлекли несколько событий, в том числе кибератака на крупнейшую криптовалютную биржу Bitfinex, предупреждение о возможной атаке на Украину, сообщение о новой криптографической атаке ROBOT, к которой уязвимы более двух десятков популярных сайтов, включая Facebook и PayPal, утечка учетных данных 200 тыс. эстонцев и пр. Предлагаем краткий обзор главных событий в мире ИБ за период с 11 по 17 декабря 2017 года. На фоне стремительного подорожания криптовалюты Bitcoin не ослабевает и интерес злоумышленников к криптовалютным компаниям. В частности, 12 декабря крупнейшая гонконгская криптовалютная биржа Bitfinex сообщила о серии мощных DDoS-атак, приведших к сбоям в работе сервиса. Злоумышленники также запускают фишинговые кампании, ориентированные на трейдеров. Например, специалисты Fortinet зафиксировали новую фишинговую операцию, в рамках которой преступники распространяют троян для удаленного доступа (RAT) Orcus через вредоносную рекламу, предлагающую установить легитимный бот Gunbot, предназначенный для торговли на бирже. На минувшей неделе эксперт Роберт Ли предупредил о возможной кибератаке на энергосистемы Украины, аналогичной инцидентам, произошедшим в 2015 и 2016 годах. В последние несколько недель Ли наблюдал всплеск активности разработчиков вредоносного ПО, использовавшегося в атаке в 2016 году. Как полагает специалист, хакеры могут провести новую атаку в декабре 2017 года. О хакерской атаке на ряд своих клиентов сообщила нидерландская компания Fox-IT. Согласно уведомлению, неизвестный злоумышленник осуществил атаку «человек посередине» и следил за ограниченным числом пользователей. Хакер перехватывал трафик, предназначавшийся для домена Fox-IT, с помощью SSL-сертификата читал передаваемые по HTTPS данные, а затем перенаправлял пользователей на настоящий сервер Fox-IT. На минувшей неделе группа экспертов описала новый вариант криптографической атаки Даниэля Бляйхенбахера, позволяющий получить закрытые криптографические ключи для расшифровки HTTPS-трафика при определенных условиях. К новой атаке под названием ROBOT, уязвимы некоторые продукты ряда производителей, в том числе Cisco, Citrix, F5 и Radware, а также 27 сайтов из рейтинга Alexa Top 10, включая Facebook и PayPal. Прошедшая неделя не обошлась без сообщений об утечках данных. CERT Эстонии (Сomputer Emergency Response Team, компьютерная группа реагирования на чрезвычайные ситуации) заявила об утечке учетных данных, затронувшей порядка 200 тыс. эстонских пользователей. В ходе утечки в Сеть попали адреса электронной почты и пароли для аутентификации на различных online-ресурсах. Большинство взломанных учетных записей составляют аккаунты социальной сети LinkedIn.
  17. Прошедшая неделя ознаменовалась рядом событий, в числе которых ликвидация крупнейшей сети ботнетов Andromeda, взлом сервиса для майнинга криптовалют Nicehash, предупреждение о масштабной кибератаке со стороны мусульманской хакерской группировки Electronic Ghosts, а также утечка данных 31 млн пользователей популярной виртуальной клавиатуры AI.type. С этими и другими событиями предлагаем ознакомиться в кратком обзоре. Стремительный рост курса биткойна вполне ожидаемо повлек за собой повышенный интерес злоумышленников к криптовалютным сервисам. В последнее время практически ни одна неделя не обходится без сообщений о взломе той или иной площадки и краже электронной валюты. Минувшая неделя также не стала исключением, в этот раз жертвой хакеров стал крупнейший web-сервис для майнинга криптовалют Nicehash, лишившийся более 4 тыс. биткойнов. Злоумышленникам удалось похитить только средства, хранящиеся на локальных кошельках NiceHash. Клиенты криптовалютных сервисов могут стать жертвами не только хакеров, но и ошибок со стороны администрации ресурсов. К примеру, криптовалютная биржа Bittrex случайно разослала данные пользователей по электронной почте. В частности, пользователи, прошедшие проверку KYC, но отклоненные самим сервисом Bittrex, получили от службы поддержки электронные письма, содержащие уведомление об отклонении не только их заявки, но и заявок нескольких других пользователей. Также к письму прилагалось вложение в виде изображений документов неодобренных пользователей. На минувшей неделе сотрудники Европола, Евроюста и ФБР при участии ИБ-экспертов пресекли деятельность крупнейшей сети ботнетов Andromeda, распространявшей вредоносное ПО Gamarue, также известное как Wauchos. Сеть состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн компьютеров ежемесячно. В рамках правоохранительной операции было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре. По сообщению пресс-службы Следственного комитета Республики Беларусь, сотрудники правоохранительных органов задержали одного из участников группировки Andromeda, занимавшегося продажей вредоносного ПО на подпольных форумах и являвшегося администратором некоторых из них. Несмотря на усилия правоохранительных органов, в Сети продолжают появляться новые ботнеты. В частности, эксперты компании Qihoo 360 Netlab зафиксировал и всплеск активности ботнета Satori (одного из вариантов Mirai), включающего порядка 280 тыс. активных устройств. Вредоносное ПО Satori сканирует порты 37215 и 52869. Вредонос отличается от предыдущих вариантов Mirai. Если ранее различные версии Mirai заражали уязвимые устройства, а затем загружали компонент Telnet для сканирования интернета на предмет новых жертв, то Satori использует вместо данного компонента два встроенных эксплоита для удаленного подключения к устройствам. Таким образом Satori можно классифицировать как IoT-червя, способного распространяться самостоятельно без необходимости в загрузке отдельных компонентов. Порядка 31 млн пользователей популярной виртуальной клавиатуры AI.type стали жертвами утечки данных из-за разработчика приложения, который не защитил сервер должным образом. Сервер работал без парольной защиты, в результате доступ к клиентской базе данных компании, включавшей свыше 577 ГБ конфиденциальной информации, мог получить кто угодно. Как выяснилось, компания собирает немало конфиденциальной информации о пользователях, в том числе данные о полном имени владельца устройства, номере телефона, названии и модели гаджета, названии мобильной сети, данные о разрешении экрана и установленных языковых пакетах, версии ОС Android, идентификаторах IMSI и IMEI, связанном с номером телефона адресом электронной почты, месте жительства, фотографии, а также ссылки и информацию, связанную с профилями в социальных сетях. В конце минувшей недели участники связанной с ДАИШ (террористическая организация, запрещена в РФ) хакерской группировки Electronic Ghosts заявили о намерении «развязать масштабную войну против врагов Халифата» и провести масштабную кибератаку на правительства и военные ведомства по всему миру 8 декабря 2017 года. Хакеры также добавили, что первой их целью станет США.
  18. Прошедшая неделя ознаменовалась рядом инцидентов и утечек данных, привлекших внимание общественности. В их числе утечки конфиденциальных данных Агентства национальной безопасности (АНБ) США и компании National Credit Federation, таинственное исчезновение $655 тыс. в валюте Verge из универсального криптовалютного кошелька CoinPouch, публикация в Сети 1,3 тыс. паролей армянских пользователей Facebook и пр. Ниже представлен краткий обзор главных событий в мире ИБ за период с 27 ноября по 3 декабря текущего года. Наиболее резонансным событием минувшей недели стало сообщение об обнаружении в открытом доступе на сервере Amazon Web Services конфиденциальных данных АНБ США, относящихся к засекреченному проекту Командования разведки и безопасности Армии США под названием Red Disk. Проект задумывался как легко кастомизируемая облачная система, способная удовлетворить требования масштабных и сложных военных операций. Предполагалось, что система Red Disk должна предоставлять американским солдатам в горячих точках данные прямиком из Пентагона, включая спутниковые снимки и видеотрансляцию с беспилотных летательных аппаратов. Однако в связи с медлительностью системы и сложностями в использовании проект так и не был реализован. Некорректно настроенные серверы Amazon Web Services также стали причиной утечк и 111 ГБ конфиденциальной информации компании National Credit Federation (NCF), в том числе включающей кредитные истории ее клиентов. Утечка затронула сравнительно небольшое число клиентов NCF (40 тыс.), однако на сервере содержались конфиденциальные сведения, в том числе отчеты трех крупных бюро кредитных историй - Equifax, Experian и TransUnion. В начале прошедшей недели эксперт по информационной безопасности Самвел Мартиросян сообщил о публикации в Сети адресов электронной почты и номеров телефонов армянских пользователей соцресурса Facebook. По словам специалиста, скорее всего, хакеры смогли украсть пароли. Хотя злоумышленники заявили о взломе 4 тыс. паролей, в обнародованном списке представлены данные только 1,3 тыс. пользователей. На минувшей неделе также стало известно о краже бывшими сотрудниками Министерства внутренней безопасности США персональной информации (включая имена, номера социального страхования и даты рождения) порядка 246 тыс. служащих ведомства. Данную информацию злоумышленники намеревались использовать для разработки и тестирования поддельной системы для управления делами, которую планировали продавать другим госорганам. Операторы универсального криптокошелька CoinPouch обнародовали некоторые подробности недавнего взлома и хищения электронной валюты Verge (XVG) на общую сумму в размере $655 тыс. История началась в начале ноября нынешнего года, когда один из пользователей сообщил о краже средств из его кошелька. После проведенного расследования команда поддержки Verge пришла к выводу, что речь не идет о взломе. Однако после того, как разработчики CoinPouch приняли меры по обеспечению безопасности узла CoinPouch для криптовалюты Verge (Verge Specific Node), пользователи вновь начали сообщать о некорректной работе кошельков. Как выяснилось в ходе повторного расследования, узел все же был скомпрометирован. Ни разработчикам CoinPouch, ни создателям Verge пока не удалось понять, как именно произошел взлом. На прошлой неделе жертвой хакеров стал крупнейший в мире судовой брокер, британская компания Clarksons. Злоумышленник или группа злоумышленников взломали компьютерные системы, похитили конфиденциальные данные и потребовали выкуп, угрожая в противном случае обнародовать похищенную информацию. Компания отказалась платить шантажистам. В конце недели Европол сообщил о пресечении деятельности международной сети скиммеров и конфискации более 1 тыс. поддельных кредитных карт, принадлежавших злоумышленникам. В ходе совместной операции были арестованы четыре гражданина Болгарии, предположительно являвшихся лидерами группировки. По имеющимся данным, они руководили установкой скиммеров в банкоматы и использовали похищенную информацию для создания фальшивых карт и вывода средств из банкоматов, находящихся за пределами Европы, включая Белиз, Индонезию и Ямайку.
  19. Минувшая неделя запомнится рядом событий в мире ИБ, в числе которых сообщения об опасных уязвимостях в Intel ME, утечке данных 57 млн клиентов и водителей Uber, очередной кибератаке на Украину и пр. Предлагаем вашему вниманию краткий обзор инцидентов безопасности за период с 20 по 26 ноября 2017 года. Пожалуй, наиболее резонансным событием на прошедшей неделе стало известие об утечке данных Uber, затронувшей клиентов и водителей компании. В руках у злоумышленников оказались имена и электронные адреса 50 млн пассажиров и личные данные 7 млн водителей, в том числе 600 тыс. номеров выданных в США водительских прав. По уверению Uber, до номеров соцстрахования, дат рождения, истории поездок и данных банковских карт хакерам добраться не удалось. Хотя инцидент произошел еще в октябре 2016 года, компания скрыла этот факт от общественности и предпочла выплатить $100 тыс. хакерам, угрожавшим опубликовать похищенную информацию. Довольно громким событием стало и сообщение о серии уязвимостей в подсистеме Management Engine (ME) и связанных с ней компонентах Intel Trusted Execution Engine (SPS) и Server Platform Service (TXE). Уязвимости позволяют злоумышленникам загрузить и выполнить произвольный код, вызвать отказ в обслуживании устройства, а также извлекать информацию, обрабатываемую процессором. Проблемы затрагивают более 900 моделей персональных компьютеров и ноутбуков различных производителей. На данный момент патчи доступны только ряда моделей устройств Lenovo и HPE. На минувшей неделе специалисты компании Trend Micro раскрыли некоторые подробности деятельности хакерской группировки Cobalt, известной своими атаками на банки. Если раньше злоумышленники атаковали клиентов банков, то сейчас их целью стали сами финорганизации. Более того, в отличие от других российских или русскоязычных хакерских группировок, как правило, избегающих страны постсоветского пространства, Cobalt, по всей видимости, использует данный регион в качестве тестовой площадки для испытания новых техник и вредоносного ПО. Журналисты BBC опубликовали результаты расследования, связанного с деятельностью хакерской группировки Fancy Bear. Как выяснилось, хакеры в течение трех лет арендовали серверы у британской компании Crookservers, которые использовались для кибератаки на компьютерную сеть немецкого парламента, перехвата трафика сайта нигерийского правительства и взлома устройств Apple. В конце прошлой недели стало известно об утечке данных 8,5 тысяч бывших и нынешних сотрудников Министерства социальных служб Австралии. Скомпрометированными оказались данные кредитных карт, имена служащих, логины, рабочие номера телефонов, рабочие электронные адреса, системные пароли и пр. Как отметили в ведомстве, утечка произошла исключительно по вине подрядчика и не связана с какими-либо нарушениями в работе систем министерства. 24 ноября Киберполиция Украины предупредила об атаках с использованием нового вымогательского ПО Scarab, распространявшегося с помощью одного из самых масштабных ботнетов Necurs. Электронные письма были замаскированы под архивы с отсканированными изображениями. После шифрования файлов на системе жертвы Scarab размещает соответствующее уведомление без указания суммы выкупа за восстановление информации. Однако злоумышленники обращают внимание пострадавшего на то, что сумма выкупа будет увеличиваться до тех пор, пока жертва не свяжется с вымогателями по указанному адресу электронной почты или через BitMessage.
  20. Прошедшая неделя не ознаменовалась громкими инцидентами в области кибербезопасности, однако не обошлась без очередных обвинений в адрес «российских» хакеров и ряда утечек информации. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 13 по 19 ноября текущего года. В начале прошлой недели Национальный центр по борьбе с киберпреступностью Великобритании заявил об атаках «русских хакеров» на электроэнергетические, телекоммуникационные и медиакомпании страны. По словам главы британского Национального центра по борьбе с киберпреступностью (National Cyber Security Centre, NCSC) Киарана Мартина, атаки на британские предприятия осуществлялись в течение года. Минувшая неделя ознаменовалась утечками данных клиентов двух крупных компаний – ритейлера Forever 21 и Австралийской вещательной компании (Australian Broadcasting Corporation, ABC). В первом случае злоумышленникам удалось получить доступ к данным платежных карт клиентов Forever 21, оплачивавших покупки в ряде торговых точек компании. Представители ритейлера не раскрыли информацию о числе пострадавших в результате инцидента, а также о том, какие магазины затронула утечка. Во втором случае компания ABC случайно допустила утечку данных, хранившихся на по меньшей мере двух незащищенных серверах AWS S3. По данным исследователей компании Kromtech Security Center, в открытом доступе находились тысячи электронных писем, логинов и хешей паролей пользователей, запросы на лицензионный контент от продюсеров, закрытые ключи и учетные данные для доступа к другим репозиториям, видеоконтент, а также 1,8 тыс. ежедневных резервных копий базы данных MySQL (с 2015 года по текущее время). В последнее время практически ни одна неделя не обходится без сообщений об обнаружении некорректно сконфигурированных серверов Amazon S3, на которых в открытом доступе хранятся данные тех или иных компаний или ведомств. К примеру, исследователь безопасности Крис Викери обнаружил три некорректно сконфигурированных сервера Amazon S3, принадлежащие Министерству обороны США. Серверы содержали 1,8 млрд публикаций, сделанных в интернете пользователями по всему миру. Несмотря на многочисленные сообщения об утечках данных, компании по-прежнему не уделяют должное внимание собственной безопасности. Так, американская IT-компания DXC Technologies потеряла $64 тыс. после того, как один из сотрудников по ошибке загрузил ее закрытый ключ AWS в открытый репозиторий на GitHub, а ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет были доступны на GitHub. На прошедшей неделе мусульманские активисты Di5s3nSi0N в рамках кампании #silencetheswords атаковали связанное с ДАИШ (террористическая организация, запрещена в РФ) информационное агентство Amaq и опубликовали список, включающий адреса электронной почты почти 2 тыс. подписчиков ресурса, в ответ на заявление информагентства о том, что почтовый сервис Amaq стал практически неуязвим ко взлому. Минувшая неделя не обошлась без «курьезов» - американская ИБ-компания McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой организации. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. Интересно, что данный сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.
  21. На прошлой неделе обошлось без масштабных утечек данных, однако снова появились обвинения в адрес «русских хакеров», а криптовалютное сообщество всколыхнули сразу два серьезных инцидента. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 6 по 12 ноября 2017 года. В начале прошлой недели появились сообщения о кибератаке на сайт британского криптовалютного стартапа Electroneum, сумевшего собрать в ходе краудфандинговой кампании и процедуры ICO порядка $40 млн. Electroneum - криптовалюта, добываемая с помощью смартфонов. Запуск официального сайта и мобильного приложения для майнинга был намечен на 2 ноября, однако его пришлось отложить из-за DDoS-атаки. В ходе работ по восстановлению сервиса более 140 тыс. пользователей не могли войти в свои учетные записи. 6 ноября неизвестный проэксплуатировал уязвимость в исходном коде Ethereum-кошелька Parity, в результате чего хранящаяся на многопользовательских счетах криптовалюта оказалась заблокированной. Уязвимость возникла из-за патча, выпущенного разработчиками Parity 20 июля для другой проблемы безопасности. Эксперты компании ThreatConnect сообщили об атаках хакерской группировки Fancy Bear, часто связываемой с российскими спецслужбами, на экспертно-журналисткую группу Bellingcat. В ходе атак для рассылки фишинговых сообщений киберпреступники использовали принадлежащий Google сервис Blogger (blogspot[.]com). Первые атаки были зафиксированы еще в 2015 году. Кроме того, «русские хакеры» могут быть причастны к скандальным утечкам данных пользователей Yahoo!. Об этом заявила бывший директор компании Марисса Майер. О вмешательстве «русских хакеров» в дела Европейского союза и в частности Испании сообщил испанский министр иностранных дел Альфонсо Дастис. По его словам, задачей киберпреступников была дестабилизация ситуации в Европе. Каких-либо доказательств своим словам министр не привел. С 2015 года в киберпространстве действует хакерская группировка SowBug, атакующая дипломатов в Южной Америке и Юго-Восточной Азии. На прошлой неделе эксперты Symantec опубликовали отчет о деятельности преступников. «Группировка располагает большим количеством ресурсов, способна одновременно атаковать несколько целей и часто работает вне рабочего времени целевых организаций», - говорится в отчете. На прошлой неделе глава «Лаборатории Касперского» Евгений Касперский заявил , что компания не имеет никакого отношения к разработанному ЦРУ вредоносному ПО. «Мы провели расследование после выпуска доклада Vault 8 и подтверждаем, что сертификаты, выпущенные под нашим именем, являются фальшивыми. Наши клиенты, закрытые ключи и сервисы находятся в безопасности и не были затронуты», - сообщил Касперский. Речь идет об опубликованном 9 ноября проекте Vault 8 организации WikiLeaks. В нем описывается разработанная ЦРУ вредоносная платформа Hive, позволяющая незаметно похищать данные с зараженных компьютеров. Малоопытные хакеры, желавшие создать собственный ботнет Reaper, попались на удочку более умелого кибермошенника. По данным компании NewSky Security, в Сети распространяется IP-сканер, для поиска уязвимых устройств, которые потенциально могут стать частью ботнета. Однако, помимо обещанного функционала, инструмент оснащен дополнительными функциями. Как оказалось, с помощью IP-сканера мошенник загружал на системы скачавшего его пользователей вредоносное ПО Kaiten.
  22. С точки зрения кибербезопасности прошедшая неделя оказалась весьма беспокойной. В частности, увеличилось число инцидентов, связанных с майнингом криптовалюты. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 30 октября по 5 ноября 2017 года. Начало прошлой недели ознаменовалось очередными обвинениями в адрес «русских хакеров». Шведский телеканал SVT сообщил об атаках на пользователей по всему миру с применением неназванного вымогательского ПО. Подробности об атаке журналисты не привели, однако сообщили, что в одной лишь Швеции фишинговые вредоносные письма получили 1,6 млн человек. Как показывают недавние исследования, вымогательское ПО может использоваться не только по своему прямому назначению (для получения выкупа от жертв), но также для сокрытия кибершпионских операций. К примеру, программы-вымогатели ONI и MBR-ONI использовались в ходе кампании против ряда японских организаций с единственной целью – уничтожить следы хакеров. На прошлой неделе появились новые сведения о деятельности киберпреступной группировки Fancy Bear (APT 28), часто связываемой с российскими спецслужбами. По данным Associated Press, хакеры пытались взломать электронные ящики украинских политиков, российских оппозиционеров и американских военных подрядчиков. В распоряжении информагентства оказался список объектов для атак, основная часть которых находилась в США, Украине, России, Грузии и Сирии. Список датируется периодом с марта 2015 года по май 2016 года. Помимо прочего, стали известны новые подробности о причастности «русских хакеров» ко взлому Национального комитета Демократической партии США в 2016 году. Напомним, виновной в атаке считается все та же Fancy Bear. Как сообщило издание Wall Street Journal, ФБР собрало доказательства о причастности ко взлому шести представителей российских властей. Как стало известно на прошлой неделе, мошенники зарегистрировали 250 доменных имен от лица компании Trump Organization. В 2013 году хакерам удалось получить доступ к учетной записи Trump Organization в сервисе GoDaddy, используемой организацией для регистрации доменных имен. Мошенники зарегистрировали множество теневых поддоменов, используемых ими для распространения вредоносного ПО. Помимо русских, на прошлой неделе о себе дали знать северокорейские хакеры. Как сообщило информагентство Reuters, в апреле прошлого года киберпреступники взломали базу данных южнокорейской судостроительной компании Daewoo Shipbuilding & Marine Engineering и похитили чертежи военных кораблей. Утечка была обнаружена подразделением Минобороны Южной Кореи, специализирующимся на расследовании киберпреступлений. Вывод о причастности КНДР основывается на использовании в данной атаке методов взлома, применявшихся и в других атаках, с которыми связывают северокорейских хакеров. Говоря об утечках, стоит упомянуть утечку данных абонентов всех крупнейших операторов связи Малайзии. Инцидент, в результате которого неизвестные похитили информацию более 46 млн малазийцев, имел место в 2014-2015 годах. Хакерская группировка The Dark Overlord, ранее взявшая на себя ответственность за компрометацию компьютерной сети Netflix и утечку данных клиентов престижной лондонской клиники пластической хирургии, пригрозила опубликовать клиентскую базу данных голливудской студии звукозаписи Line 204. Список клиентов студии включает Apple, Netflix, Funny or Die, ABC, HBO, Hulu и пр. Хакеры пригрозили опубликовать похищенные данные, если Line 204 не выполнит их требования. Эксперты «Лаборатории Касперского» сообщили о новых целевых атаках на финансовые организации. В основном это российские банки, однако жертвами хакеров также стали некоторые банки в Армении и Малайзии. В атаках используется троян Silence, распространяемый посредством вредоносных электронных писем. Как уже упоминалось выше, прошедшая неделя ознаменовалась рядом инцидентов, связанных с майнингом криптовалюты. В начале недели стало известно о трех приложениях в Google Play, содержащих скрытые майнеры Monero. Как только пользователь открывал приложение, майнер начинал использовать ресурсы его устройства для добычи криптовалюты. Скрытый майнер Monero также был обнаружен на сайте D-Link. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт для генерирования криптовалюты непосредственно в браузере пользователя. Помимо скрытого майнинга за счет чужих ресурсов исследователи безопасности рассказали еще об одной проблеме. По данным «Лаборатории Касперского», троян CryptoShuffler ворует криптовалюту прямиком из кошельков. Целью вредоноса являются Bitcoin, Ethereum, Zcash, Dash, Dogecoin и другие криптовалюты. Киберпреступники научились воровать криптовалюту не только из кошельков. Как сообщают специалисты из Bitdefender, злоумышленники умеют похищать монеты еще до их попадания в кошелек. Киберпреступники сканируют интернет в поисках оборудования для майнинга Ethereum, работающего под управлением ethos с заводскими учетными данными SSH. С помощью этих данных они получают доступ к оборудованию и заменяют адрес Ethereum-кошелька его владельца на свой собственный. В результате вся полученная криптовалюта отправляется не владельцу оборудования, а киберпреступникам.
  23. Последние две недели оказались довольно неспокойными как для общественности, так и для ИБ-экспертов. Если неделей ранее широкий резонанс вызвали серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi, то самым громким событием минувшей недели стала новая волна атак с использованием вымогательского ПО Bad Rabbit, затронувшая средства массовой информации, государственные ведомства и компании в ряде стран мира, в основном в России и Украине. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 23 по 29 октября 2017 года. 24 октября нынешнего года российские и украинские организации подверглись атаке шифровальщика Bad Rabbit. Вредонос атаковал три российских СМИ (в том числе «Интерфакс» и «Фонтанку») и российские банки из топ-20, а также ряд украинских компаний и государственных ведомств. По данным исследователей компании Group-IB, Bad Rabbit распространялся посредством метода drive-by download (некоторые эксперты сообщали, что применялся метод watering hole), для доставки вредоносного ПО использовалось несколько популярных информационных сайтов в России и Украине. Как полагают специалисты, за атаками NotPetya и Bad Rabbit может стоять одна и та же хакерская группировка, не исключено, что речь идет о группе Black Energy. Как выяснили исследователи безопасности из Cisco Talos и F-Secure, для распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного группировкой The Shadow Brokers у группы Equation Group, предположительно связанной с Агентством национальной безопасности США. Спустя два дня после начала атак несколько ИБ-экспертов сообщили о прекращении операции Bad Rabbit. Активисты Anonymous продолжают атаки на испанские правительственные ресурсы в знак протеста против действий испанских властей, направленных на урегулирование каталонского кризиса. В этот раз атаке подвергся сайт официального издания испанского правительства Boletin Oficial del Estado (BOE). На прошедшей неделе хакеры под псевдонимами str0ng и n3tr1x взломали официальный блог одной из самых популярных JavaScript-библиотек - jQuery. Злоумышленники взломали учетную запись одного из разработчиков и осуществили дефейс блога. По всей видимости, для компрометации аккаунта использовался пароль, похищенный в результате утечки данных. К слову, это не единичный случай на минувшей неделе, когда злоумышленники использовали утекшие пароли для доступа к учетной записи.К примеру, неизвестный хакер взломал учетную запись Coinhive в CloudFlare, что позволило ему модифицировать DNS-серверы компании и заменить легитимный код JavaScript, встроенный в тысячи web-сайтов, вредоносной версией. По всей видимости, для доступа к учетной записи атакующий использовал старый пароль, утекший в результате взлома платформы Kickstarter в 2014 году. Минувшая неделя не обошлась без сообщений об утечках данных. В частности, бермудская консалтингово-юридическая компания Appleby предупредила своих клиентов о возможной масштабной утечке конфиденциальной информации. По имеющимся данным, утечка затронула ряд богатейших людей Великобритании. На прошедшей неделе Азиатско-Тихоокеанский сетевой информационный центр (Asia-Pacific Network Information Center, APNIC) принес извинения владельцам сетей за утечку своей базы данных, помимо прочего, содержащей ненадежно хешированные пароли. Любой желающий мог загрузить БД, внести в нее изменения или взломать блоки IP-адресов. На прошлой неделе также стало известно о хакерской атаке на престижную клинику пластической хирургии London Bridge Plastic Surgery (LBPS), в результате которой злоумышленникам удалось похитить персональные медицинские данные знаменитостей, в том числе снимки интимной пластики. Ответственность за атаку взяла на себя группировка The Dark Overlord, ранее уже заявлявшая о причастности ко взломам ряда медицинских центров и школ в США, а также компрометации компьютерной сети Netflix. Как утверждают хакеры, в их распоряжении имеются «терабайты» данных, в том числе сведения о королевской семье. В минувшее воскресенье в СМИ появилась информация о том, что служба безопасности лондонского аэропорта Хитроу проводит расследование возможной утечки данных после того, как безработный мужчина нашел на улице Лондона флеш-накопитель, содержавший незащищенные сведения о системе безопасности воздушной гавани. «Флешка» содержала 76 папок с картами, видеороликами и документами, связанными с обеспечением безопасности крупнейшего лондонского аэропорта и проведения антитеррористических мероприятий. Некоторые данные были помечены как конфиденциальные, но доступ к ним никак не был защищен.
  24. В последнее время все нашумевшие инциденты безопасности можно разделить на две основные категории – утечки данных банковских карт клиентов гостиниц и ресторанов и атаки «русских хакеров». Однако наибольший резонанс на прошлой неделе получили серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 16 по 22 октября 2017 года. Начало прошлой недели ознаменовалось сообщением об уязвимостях в протоколе WPA2, позволяющих осуществить атаку реинсталляции ключей (Key Reinstallation Attack, KRACK). С ее помощью злоумышленник может перехватить трафик и получить доступ к информации, считающейся надежно зашифрованной (номерам кредитных карт, паролям, переписке, фотографиям и пр.). На прошлой неделе появилось сразу два сообщения об атаках с использованием Adobe Flash Player. Компания Adobe выпустила исправление для уязвимости нулевого дня, эксплуатировавшейся несколькими хакерскими группировками. По данным «Лаборатории Касперского», уязвимость использовалась ближневосточной группировкой Black Oasis для доставки на компьютеры жертв шпионского ПО FinSpy. В ходе вредоносной кампании группировка рассылала документы MS Office со встроенным объектом ActiveX, содержащим эксплоит для уязвимости. Как сообщают эксперты из Proofpoint, вышеупомянутая уязвимость также эксплуатировалась хакерами из Fancy Bear – группировки, часто связываемой с российским правительством. Целями злоумышленников были государственные ведомства и частные компании США и Европы, связанные с аэрокосмической промышленностью. С помощью уязвимости в Adobe Flash Player хакеры распространяли вредоносное ПО DealersChoice. На прошлой неделе Fancy Bear «отличилась» еще одной вредоносной кампанией. По данным Cisco Talos, недавно группировка начала рассылать фишинговые письма, связанные с конференцией по вопросам кибервойны CyCon U.S. Мероприятие пройдет в следующем месяце в Вашингтоне при участии представителей НАТО и оборонных сил США. В отличие от других кампаний, на этот раз хакеры из Fancy Bear не эксплуатировали уязвимость нулевого дня, а использовали вредоносный документ Microsoft Word. Вложение содержало макросы, загружающие и устанавливающие на атакуемую систему вредоносное ПО Seduploader. Эксперты из Proofpoint также сообщили о вредоносной кампании, проводимой хакерской группировкой Leviathan. Злоумышленников интересуют предприятия и организации, связанные с кораблестроением и военно-морским флотом. Как и «коллеги» из Fancy Bear, для атак Leviathan использует фишинговые письма с вредоносными документами Microsoft Excel и Word. Министерство внутренней безопасности США совместно с ФБР опубликовало отчет о кибератаках на ряд ядерных, энергетических, авиационных и промышленных предприятий, а также на системы водоснабжения. Атаки осуществлялись по меньшей мере с мая текущего года предположительно хакерской группировкой Dragonfy. На прошлой неделе бывшие сотрудники Microsoft рассказали о взломе корпоративной базы данных компании, содержащей информацию об уязвимостях в продуктах Microsoft. Инцидент произошел в 2013 году. В то время руководство компании приняло решение не раскрывать полный масштаб атаки. Традиционно не обошлось и без утечек данных банковских карт. На этот раз жертвами хакеров стали посетители ресторанов Domino Pizza в Австралии и Pizza Hut в США. Кроме того, крупнейшая за всю историю страны утечка данных произошла в ЮАР. Как сообщает исследователь безопасности Трой Хант, в Сети оказались миллионы персональных записей о гражданах, имеющих выданный в ЮАР идентификационный номер.
  25. Прошедшая неделя прошла под девизом «Даешь утечку данных!». Жертвами утечки стали сразу две консалтинговые компании и сеть отелей класса «люкс», КНДР предположительно похитила военные секреты Южной Кореи и США, группировка APT ALF украла у австралийского правительственного подрядчика документацию о военных самолетах, а данные миллионов пользователей Bitly и Kickstarter оказались в открытом доступе. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 9 по 15 октября 2017 года. В начале прошлой недели стало известно об утечке данных консалтинговой компании Forrester. Злоумышленникам удалось получить доступ к учетным данным для авторизации на сайте компании и похитить заказанные клиентами маркетинговые исследования. Доступ к этим данным позволяет определить используемые клиентами Forrester технологии и готовящиеся к выпуску продукты. Хакеры могут продать информацию подобного рода на черном рынке или конкурентам, либо использовать ее для выбора объектов для будущих атак. Второй консалтинговой компанией, ставшей жертвой утечки, является Accenture. Однако в данном случае инцидент произошел не по вине киберпреступников, а из-за халатности системных администраторов компании. Данные клиентов Accenture находились в открытом доступе на незащищенных облачных серверах Amazon Web Services S3 (AWS). Напомним, ранее кибератаке подверглась одна из крупнейших в мире консалтинговых компаний Deloitte. На прошлой неделе появилась информация о том, что масштабы инцидента гораздо шире, чем предполагалось ранее. В частности, в результате атаки могли пострадать данные Госдепартамента США и трех министерств. Второй раз за два года утечку данных платежных карт своих клиентов допустила сеть отелей класса «люкс» Hyatt. В руках злоумышленников могли оказаться такие сведения, как имена держателей карт, номера карт, даты истечения срока действия и внутренние проверочные коды. Исследователь безопасности Трой Хант обнаружил в открытом доступе данные пользователей Bitly и Kickstarter, скомпрометированные в результате кибератак в 2014 году. В общей сложности была обнаружена информация более 14,2 млн пользователей. Промышленным шпионажем, халатностью сисадминов и жадными до денег киберпреступниками утечки не ограничились. Северокорейские хакеры предположительно похитили большой объем секретных документов, включая оперативный план совместных военных действий США и Южной Кореи. Также стало известно о том, что хакерская группировка APT ALF взломала сеть австралийского военного подрядчика и похитила порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах. Восточноевропейская хакерская группировка FIN7 (также известная как Carbanak) взломала американские правительственные серверы для распространения вредоносных фишинговых писем, якобы отправленных Комиссией по ценным бумагам и биржам США. По словам исследователя безопасности Крейга Уильямса, данная вредоносная кампания ориентирована на избранную группу предприятий в США, принадлежащих к различным отраслям, включая финансовую и страховую сферы, а также сектор информационных технологий. Как бы то ни было, не всех взломщиков интересуют данные. К примеру, хакеры взломали облачные сервисы многомиллионных компаний Aviva и Gemalto с целью использовать их компьютерные мощности для майнинга криптовалюты. При этом данные компаний не пострадали. На прошлой неделе традиционно не обошлось без обвинений в адрес «русских хакеров». На этот раз журналисты CNN заподозрили Россию в попытках использовать игру Pokemon Go для вмешательства в политику США. Исследователи безопасности Palo Alto Networks обнаружили новую фишинговую кампанию, получившую название FreeMilk. В ходе кампании хакеры перехватывают электронную переписку для последующего распространения вредоносного ПО в корпоративных сетях. Подделанные письма выглядят настолько правдоподобно, что жертва не догадывается о подвохе. Жертвами фишеров также стали клиенты ВТБ 24 в России. Преступники действуют очень просто – массово рассылают в Viber уведомления якобы от ВТБ 24 об операции, которую пользователь не совершал. Для того чтобы получить дополнительные сведения, жертва должна позвонить по указанному в сообщении номеру. Когда пользователь звонит, преступники на другом конце называются сотрудниками банка и под предлогом идентификации выманивают у него данные банковской карты. Исследователи Trustwave SpiderLabs сообщили о мошеннической схеме, в результате которой у ряда восточноевропейских банков было похищено в общей сложности более $40 млн. Злоумышленники использовали сложную схему, сочетавшую кибератаки на компьютерные сети банков, манипулирование лимитами овердрафта дебетовых карт и массовый вывод средств из банкоматов. 11-12 октября транспортные управления Швеции стали жертвами DDoS-атак, приведших к задержке поездов. По мнению экспертов, атаки носили тестовый характер, а целью атакующих было выяснить реакцию Швеции на подобные инциденты.