Поиск

Исследователи безопасности из компании Check Point, обнаружили новую кампанию по распространению вредоносной рекламы, в ходе которой заражается порядка 40 тыс. устройств каждую неделю. Как полагают специалисты, операторы данной кампании объединились с рекламной сетью и реселлерами для перенаправления жертв на мошеннические сайты, распространяющие вымогательское ПО, банковские трояны и другие вредоносы. Данная схема получила название Master134 по аналогии с адресом главного С&C-сервера кампании. Согласно докладу, изначально мошенники взламывают сайты WordPress. Исследователи обнаружили более 10 тыс. сайтов, скомпрометированных в ходе данной кампании. На всех взломанных сайтах работает система управления контентом WordPress версии 4.7.1, в которой существует критическая уязвимость, позволяющая злоумышленникам удаленно выполнить код. Взломав сайт, атакующие размещают на нем рекламные объявления, перенаправляющие пользователей на портал Master134. Роль сервиса Master134 заключалась в том, чтобы продвигать рекламные места в рекламной сети AdsTerra под учетной записью издателя. Данные рекламные места затем скупались злоумышленниками для перенаправления жертв на вредоносные ресурсы. По словам исследователей, почти все рекламные места покупались через реселлера AdsTerra. В числе покупателей значатся операторы наборов эксплоитов (RIG, Magnitude, GrandSoft, FakeFlash), систем распределения трафика (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) и мошеннических сайтов, маскирующихся под техподдержку. «Похоже, что сотрудничество между различными группами злоумышленников успешно поддерживается через сторонние рекламные сети, самой крупной из которых является AdsTerra», - отметили специалисты. «Основываясь на наших выводах, мы предполагаем, что злоумышленники платят Master134 напрямую. Master134 затем платит рекламной сети, чтобы перенаправить трафик и, возможно, даже скрыть его происхождение», - добавили они.

Сотрудники китайской полиции арестовали 20 участников преступной группировки, взламывавшей и заражавшей компьютеры пользователей майнерами криптовалют. По данным местных СМИ, за два года злоумышленники, являвшиеся сотрудниками фирмы, специализировавшейся на компьютерных технологиях, заработали более $2 млн в криптовалюте. Хакеры получали доступ к компьютерам с помощью кастомных плагинов, якобы помогающих усилить безопасность устройства или увеличить его производительность. Плагины распространялись посредством всплывающих рекламных объявлений. Преступники предпочли добывать менее известную криптовалюту, в частности, DigiByte, Decred, Siacoin, поскольку для майнинга монет требуется меньше вычислительной мощности. Хакеры рассчитывали на то, что при задействовании менее 50% ресурсов их деятельность останется незамеченной пользователями или антивирусными решениями. В минувшем июне стало известно о пресечении деятельности еще одной группировки, которая взломала более 100 тыс. компьютеров в интернет-кафе 30 городов Китая с целью майнинга криптовалюты Siacoin. Злоумышленникам удалось заработать 5 млн юаней (порядка $800 тыс.).

Группа хакеров взломала более 100 тыс. компьютеров в интернет-кафе 30 городов Китая с целью майнинга криптовалюты Siacoin. Таким способом злоумышленникам удалось заработать 5 млн юаней (порядка $800 тыс.). По данным китайских СМИ, участники группировки предположительно вступили в сговор с местными компаниями, обслуживающими компьютерную технику, которые внедряли разработанный злоумышленниками майнер на компьютеры в интернет-кафе во время стандартного осмотра оборудования. Деньги, полученные от добычи и продажи криптовалюты, делились между хакерами и их сообщниками. Впервые о проблеме стало известно в июле 2017 года, когда администраторы ряда интернет-кафе в городе Жуйянь стали замечать серьезное снижение производительности своих компьютеров – нагрузка на центральный процессор нередко составляла 70% даже после перезагрузки. При этом счета за электричество пострадавших значительно выросли. Заподозрив неладное, владельцы интернет-кафе обратились в правоохранительные органы. В июне 2018 года китайские правоохранители арестовали 16 человек по подозрению в причастности к данной схеме.

Неизвестные взломали старую версию сайта Россотрудничества и опубликовали обращение к Роскомнадзору, в котором обвинили ведомство в разрушительных действиях против Рунета и бессмысленном вандализме. Обращение подписано словом Anonymous.Авторы призвали считать взлом сайта «последним предупреждением» Роскомнадзору. В настоящее время старая версия сайта отключена. Текущая версия Россотрудничества работает в обычном режиме. 16 апреля текущего года Роскомнадзор приступил к блокировке мессенджера Telegram в связи с отказом операторов сервиса передать ФСБ ключи для декодирования переписки пользователей. С этого же дня надзорная служба начала блокировать миллионы IP-адресов Google, Amazon и Microsoft, используемые мессенджером для обхода блокировки. В отдельные дни количество заблокированных IP-адресов превышало 19 миллионов, что стало причиной сбоя в работе сторонних ресурсов и сервисов. В конце апреля Роскомнадзор разблокировал часть подсетей Amazon и OVH, а в начале мая были разблокированы 6 подсетей Google. В настоящее время заблокированными остаются почти 11 млн. IP-адресов различных хостинг-провайдеров. Напомним, 1 мая неизвестные взломали сайт Росприроднадзора и опубликовали картинку, изображающую блокировку Роскомнадзором мессенджера Telegram.

Хакеры взломали десятки камер видеонаблюдения Canon по всей Японии и вставили фразу «I'm Hacked. Bye2» в видеопотоки скомпрометированных устройств. Об этом сообщило издание Sankei. Согласно сообщениям в японских социальных сетях, подобные инциденты происходили в течение нескольких недель, начиная с середины апреля текущего года. По словам чиновников из городов Ятие и Агео, злоумышленники получили доступ к устройствам, использовав пароли по умолчанию. 26 апреля, после первых сообщений о взломе, компания Canon Japan опубликовала рекомендации по безопасности, в которых посоветовала клиентам изменить пароли по умолчанию. Японские пользователи и власти сообщили о взломе камер, расположенных в различных общественных местах, правительственных зданиях, возле путей водного сообщения, на рыбном рынке в Хиросиме, в медицинском центре для инвалидов в Кобе, а также в штаб-квартире одной из компаний в Нахе. Только за 6 мая 2018 года было зафиксировано более 60 инцидентов. По словам экспертов, «умные» камеры и другие IoT-устройства могут использоваться в качестве точек входа в защищенные сети для их последующего взлома. Не измененные дефолтные пароли являются основной причиной взлома IoT-устройств и первым, что ищут IoT-ботнеты во время сканирования интернета на предмет уязвимых гаджетов.

Хакеры атаковали один из крупнейших вьетнамских банков Agribank. Злоумышленникам удалось взломать более 400 счетов его клиентов. В настоящее время известно лишь, что множество владельцев счетов частично лишились своих средств, однако точная сумма ущерба пока не установлена. Служба безопасности Agribank уже ведет расследование инцидента. По словам специалистов вьетнамского Центра реагирования на компьютерные угрозы (ЦРКУ), в последние годы уровень киберпреступности в стране значительно вырос. Злоумышленники все чаще похищают через интернет деньги, персональные данные и интеллектуальную собственность. По данным ЦРКУ, в 2017 году во Вьетнаме было зафиксировано более 40 тыс. кибератак, ущерб от которых превысил $400 млн. Напомним, ранее неизвестные киберпреступники получили доступ к системам индийского банка City Union Bank и осуществили переводы на общую сумму $1,8 млн. Злоумышленникам удалось вывести средства с помощью банковской системы SWIFT.

Прямо сейчас хакерская группировка, называющая себя Prosox and Kuroiʼsh, взламывает видеохостинг YouTube и меняет названия у самых популярных музыкальных видеоклипов Vevo. Под «раздачу» уже успел попасть самый просматриваемый ролик – клип на песню «Despacito» пуэрториканских исполнителей Луиса Фонси и Дэдди Янки. Хакеры сначала заменили клип собственным видео, в котором звучат призывы «Освободить Палестину», а затем ролик вообще исчез с площадки видеохостинга. У него было более 5 миллиардов просмотров! Кроме того, в результате хакерской атаки были изменены названия популярных музыкальных клипов таких исполнителей, как Шакира, Тейлор Свифт, Селена Гомес и Дрейк. Все эти ролики выходили на Vevo. На момент написания этой новости все клипы с измененными названиями по-прежнему находятся в ротации и не были удалены или заблокированы YouTube. Руководство YouTube и канала Vevo пока никак не прокомментировало ситуацию со взломом страниц сервиса. Согласно последней информации, предположительно Prosox является одним из активных пользователей французского сайта для геймеров Jeuxvideo.com. На своей странице в «Твиттере» Prosox написал, что сделал это ради веселья. «Это все ради забавы. Я просто использовал скрипт «youtube-поменяй-название-видео» и написал «хакнуто». Не судите меня, я люблю YouTube».

Хакеры получили доступ к компьютерным системам энергетической компании Uttar Haryana Bijli Vitran Nigam (UHBVN) в Индии и зашифровали биллинговые данные ее клиентов. Злоумышленники потребовали 10 млн рупий (около $150 тыс.) в биткоинах за восстановление данных. По данным издания The New India Express, хакеры получили доступ к системам 21 марта 2018 года, а 22 марта на всех компьютерах энергокомпании отображалось сообщение с требованием выкупа. По словам представителей компании, в настоящее время данные восстанавливаются с помощью журналов и других источников. Зашифрованная информация содержала данные о задолженностях, а также текущем количестве потребленной электроэнергии. «База данных была зашифрована, однако информации были восстановлены с помощью резервной копии», - отметили они.

Злоумышленники взломали электронную почту Народного банка Китая (центрального банка страны) для рассылки поддельных уведомлений американским СМИ. Как сообщает издание South China Morning Post, хакеры рассылали фальшивые пресс-релизы от имени народного банка Китая и Управления денежного обращения Гонконга о совместной подготовке мер по борьбе со «всеми аспектами и сервисами биткойн-трейдинга». Согласно уведомлению, 14 февраля в Пекине будут представлены новые законодательные нормы по борьбе с отмыванием денег, направленные на подавление «всех сервисов виртуальных валют и связанной с ними деятельности как частных лиц, так и бизнеса, включая маркетмейкеров, майнеров, биржевые платформы и кошельки». Тем не менее, пресс-службы китайского и гонконгского регулятора отрицают подготовку подобного мероприятия. Приглашение, попавшее в руки к журналистам South China Morning Post , было отправлено с адреса с суффиксом @pbc.gov.cn. Адрес легко принять за настоящий, поскольку он соответствует протоколу электронной почты, используемому Народным банком Китая. Журналисты отправили на этот адрес электронное письмо и получили ответ с приветствием и прикрепленной регистрационной формой для участия в брифинге 14 февраля. Электронная почта, с которой пришел ответ, принадлежит сотруднику отделения Народного банка Китая в округе Хэфэй (провинция Аньхой). По его словам, его учетная запись была взломана, а сам он понятия не имел, что с его адреса идет какая-то рассылка. Как сообщает издание, фальшивые приглашения на брифинг могут быть делом рук предприимчивых трейдеров, желающих сыграть на падении курса криптовалют, в том числе биткойна. За последний год сообщения об ужесточении мер по контролю криптовалют не раз становились причиной снижения курса биткойна.

Восточноевропейская хакерская группировка FIN7 (также известная как Carbanak) взломала американские правительственные серверы для распространения вредоносных фишинговых писем, якобы отправленных от имени Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC). Об этом сообщили исследователи безопасности из команды Cisco Talos. Проанализировав технологии, использовавшиеся при взломе, эксперты пришли к выводу, что атаки с большой долей вероятности являются делом рук хакерской группировки FIN7. В ходе фишинговой кампании хакеры использовали сложную технику взлома и рассылку, замаскированную под сообщения SEC об утечке финансовой информации из базы данных EDGAR. В письмах содержались вредоносные документы Microsoft Word. По словам исследователя безопасности Крейга Уильямса, данная вредоносная кампания была ориентирована на избранную группу предприятий в США, принадлежащих к различным отраслям, включая финансовую и страховую сферы, а также сектор информационных технологий. В данном случае действия злоумышленников черезвычайно сложно отследить из-за использования многоступенчатой цепочки заражения, эксплуатирующей функцию динамического обмена данными (Dynamic Data Exchange, DDE) в Microsoft Word для удаленного выполнения вредоносного кода. Кроме того, хакеры использовали команды DNS для установки скрытого соединения со скомпрометированным правительственным сервером, настроенном на автоматическую загрузку вредоносного ПО DNSMessenger на инфицированные компьютеры. Вредоносные документы запрашивали файлы с сервера, расположенного в штате Луизиана (сервер был отключен как только стало известно об инциденте). На сервере хранился исходный код, используемый для доставки дополнительных элементов цепочки атак. По словам экспертов, такой метод кибератаки весьма эффективен даже против крупных компаний или правительственных агентств. Несмотря на то, что Microsoft известно о проблемах в протоколе DDE, как правило использующемся для одноразовой передачи данных или непрерывного обмена обновлениями, компания так и не выпустила патч, исправляющий уязвимости. Использование DNSMessenger также является примечательным, поскольку данное ПО запрограммировано на идентификацию администратора скомпрометированной сети, предоставляя злоумышленникам возможность получить информацию о потенциальных объектах атаки. В последнее время FIN7 проявляет усиленную активность, и это только начало целой серии хакерских атак, предполагают эксперты. Считается, что группировка базируется в Восточной Европе и состоит преимущественно из русскоязычных хакеров. Напомним, ранее исследователи безопасности из компании ICEBRG сообщили о появлении в аресенале FIN7 новых техник доставки и обфускации вредоносного ПО.

Хакеры взломали корпоративную базу данных Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) и зарабатывали на инсайдерской информации. Как сообщает Reuters, взлом произошел еще в 2016 году, однако о незаконных сделках с использованием похищенных данных стало известно только в прошлом месяце. Как пояснил регулятор, хакеры проэксплуатировали уязвимость в программном обеспечении и получили доступ к информации, непредназначенной для широкой общественности. SEC хранит большой объем конфиденциальных сведений, которые могут использоваться для инсайдерской торговли или манипулирования фондовым рынком США. База данных Комиссии EDGAR содержит миллионы заявок на раскрытие информации о компаниях, начиная от квартальной прибыли и заканчивая заявлениями о слияниях и поглощениях. Узнав об уязвимости в 2016 году, SEC обновила свои системы, однако, как стало известно в прошлом месяце, уязвимость могла предоставить доступ к данным, использовавшимся затем в инсайдерской торговле. По заверению регулятора, проблема не затронула персонально идентифицируемую информацию и не подвергла риску проводимые им операции. Комиссия по ценным бумагам и биржам США – агентство правительства США. Является главным органом, осуществляющим функции надзора и регулирования американского рынка ценных бумаг. EDGAR (Electronic Data Gathering Analysis and Retrieval) – электронная система подачи заявок. Играет одну из ключевых ролей в операциях SEC, поскольку позволяет инвесторам видеть электронные заявки компаний и рынков. За день с помощью EDGAR в среднем просматривается порядка 50 млн документов. В систему вносится около 1,7 млн документов в год. Инсайдерская торговля – торговля акциями или другими ценными бумагами частными лицами, имеющими доступ к конфиденциальной информации об эмитенте указанных ценных бумаг.

Хакерская группировка из Саудовской Аравии OurMine взяла на себя ответственность за взлом учетных записей в социальной сети Facebook и Twitter официальных страниц телеканала HBO и телесериала «Игра престолов». Хакеры опубликовали следующее сообщение на скомпрометированных страницах: «Привет, здесь OurMine, мы просто проверяем вашу безопасность, команда HBO, пожалуйста свяжитесь с нами, чтобы улучшить свою защиту». OurMine – это хакерская группировка, успешно взломавшая ранее учетные записи первых лиц крупнейших компаний, среди которых учетная запись директора Twitter Джека Дорси, директора Facebook Марка Цукерберга, директора Google Сундар Пичаи. В большинстве случаев хакеры из OurMine заполучали доступ к учетным записям в социальных сетях, используя данные, полученные в ходе крупных утечек пользовательских баз данных. Не смотря на компрометацию учетных записей, OurMine никогда не выходила за пределы демонстрации взлома. Хакеры предлагают свои услуги по обеспечению безопасности социальных сетей компаний по цене в $5000 за сканирование аккаунтов в социальных сетях, поиск уязвимостей на корпоративных сайтах и подобные услуги. HBO удалось восстановить доступ к своим учетным записям и удалить сообщения хакеров. Напомним, в течение последних нескольких недель вокруг HBO разразился скандал, связанный со взломом корпоративной сети компании. Хакерам удалось похитить несколько терабайт данных, включая не вышедшие в эфир серии популярных сериалов и сценарии к новым сериями «Игры престолов». А в пятницу утекла в сеть новая серия «Игры престолов», официальный показ которой запланирован на 21 августа.

Неизвестные хакеры получили контроль над кошельком Classic Ether Wallet для криптовалюты Ethereum Classic (ETC). Согласно сообщению на форуме Reddit, инцидент произошел около полуночи в ночь с 29 на 30 июня текущего года, когда неизвестные обманом заставили персонал службы поддержки хостинг-провайдера 1on1 передать им контроль над доменом. Хакеры сразу же перенаправили его на свой сервер, и все денежные переводы попадали на их кошелек. О взломе стало известно спустя несколько часов, и разработчики ETC рекомендовали воздержаться от использования кошелька. Поскольку вернуть домен в сжатые сроки не представлялось возможным, некоторые даже предлагали осуществить на него DDoS-атаку с целью сделать сервис недоступным для потенциальных жертв мошенников. Однако через некоторое время с помощью экспертов в области криптовалюты команде ETC удалось внести домен в черный список Cloudflare, и посетителям сайта отображалось уведомление об угрозе. Некоторые затронутые атакой пользователи опубликовали на Reddit адреса кошельков, куда были переведены их средства. Одна из жертв лишилась 800 ETC ($14,5 тыс.), а еще одна – 201 ETC ($3,6 тыс.). В общей сложности злоумышленники похитили около $300 тыс. Ethereum Classic – блокчейн-криптоплатформа разработки децентрализованных приложений на базе смарт-контрактов с открытым исходным кодом. Представляет из себя децентрализованную Тьюринг-полную виртуальную машину, Ethereum Virtual Machine (EVM), которая может исполнять программы на публичных узлах сети. Ethereum Classic предоставляет валюту Classic Ether, которая может передаваться от одного участника сети другому и используется для оплаты вычислений, производимых публичными узлами сети, а также возможность создавать собственные цифровые активы (токены) на блокчейне Ethereum Classic.

В результате взлома неизвестными хакерами информационного табло железнодорожного вокзала Юнион-Стейшн в Вашингтоне на экране вместо расписания поездов появилась видеозапись непристойного содержания. По данным телеканала Fox 5, инцидент произошел в понедельник, 15 мая, в вечерний час пик. Спустя несколько минут после запуска видео информационное табло было отключено. Согласно словам представителей службы безопасности вокзала, табло взломали хакеры. По свидетельствам очевидцев, в последнее время подобные инциденты случались уже дважды. Сейчас власти пытаются разобраться, как злоумышленникам удалось получить доступ к информационному табло. Напомним, в начале апреля нынешнего года хакеры взломали систему оповещения о чрезвычайных ситуациях в Далласе (Техас, США) и на полтора часа включили все 156 тревожных сирен.