Атака на METRO, арест участника Lapsus$ и другие события кибербезопасности

Делитесь и голосуйте:

Содержание статьи:

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Торговый гигант METRO заявил о сбое IT-систем после кибератаки.
  • Утечка Microsoft затронула 65 000 организаций по всему миру.
  • В Бразилии арестовали предполагаемого члена группировки Lapsus$.
  • Вымогателей Deadbolt обманом заставили передать ключи дешифрования.

Международный оптовый гигант METRO испытывает перебои в IT-инфраструктуре и проблемы с оплатой после недавней кибератаки.

По имеющейся информации, проблема возникла 17 октября и затронула магазины в Австрии, Германии и Франции.

В настоящее время IT-команда компании совместно с внешними экспертами проводит расследование, чтобы выяснить причину продолжающегося сбоя. 

Несмотря на то, что магазины METRO не останавливали работу, оптовый гигант вынужденно отложил обработку онлайн-заказов и перевел платежи в офлайн-режим.

На данный момент компания не уточнила характер кибератаки, однако, по словам экспертов, сбои в работе IT-инфраструктуры обычно связаны с программами-вымогателями.

Компания Microsoft предупредила, что некоторая конфиденциальная информация ее клиентов могла быть раскрыта из-за неправильно настроенного сервера.

По данным компании, утечка произошла из-за некорректной настройки некой конечной точки, которая «не используется в экосистеме Microsoft». 

В открытый доступ попали имена, email-адреса, содержимое писем, номера телефонов, а также файлы, связанные с бизнесом между затронутыми клиентами и Microsoft или авторизованным партнером компании.

При этом внутреннее расследование не выявило признаков компрометации учетных записей или систем клиентов.

Проблемный сервер защитили еще 24 сентября после обнаружения утечки специалистами компании SOCRadar. Согласно их отчету, данные, датированные периодом с 2017 по 2022 год, хранились в неправильно настроенном хранилище BLOB-объектов Azure. 

SOCRadar утверждает, что на сервере Microsoft находилось 2,4 ТБ данных, включая более 335 000 электронных писем, 133 000 проектов и 548 000 пользователей. 

Потенциально инцидент затронул информацию более чем 65 000 компаний из 111 стран мира. В частности, в открытом доступе эксперты обнаружили детали работы партнерской экосистемы, счета-фактуры, прайс-листы продуктов, внутренние комментарии для клиентов, стратегии продаж и документы, связанные с пользовательскими активами.

В свою очередь Microsoft подчеркнула, что SOCRadar «сильно преувеличивает цифры и масштабы проблемы». В компании также осудили решение SOCRadar собрать данные и сделать их доступными для поиска на специальном портале. По ее мнению, это «не отвечает интересам обеспечения безопасности клиентов и потенциально подвергает их ненужному риску».

Федеральная полиция Бразилии арестовала предполагаемого участника известной хакерской группировки Lapsus$. О подозреваемом известно только, что это может быть подросток.

Арест произвели в рамках расследования кибератак на министерство здравоохранения и десятки других государственных органов. Это были первые атаки Lapsus$, с помощью которых группа заявила о себе.

В частности, во время атаки на Минздрав злоумышленники удалили файлы и дефейснули сайт ведомства. 

Правоохранители собрали доказательства создания преступной организации, вторжения в компьютерные устройства, нарушения работы связи, а также развращения несовершеннолетних и отмывания денег.

В сентябре британская полиция арестовала подростка, связанного с Lapsus$ и, предположительно, ответственного за взлом Uber и Rockstar Games.

В настоящий момент неизвестно, сколько участников группировки остаются на свободе. Исследователи безопасности считают, что они разбросаны по всему миру и говорят на нескольких языках, включая английский, русский, турецкий, немецкий и португальский.

В рамках новой фишинговой кампании Ducktail в сети распространилось ранее неизвестное вредоносное ПО, написанное на PHP и используемое для кражи учетных записей Facebook, данных браузера и криптовалютных кошельков. Об этом сообщила компания Zscaler.

Впервые активность Ducktail зафиксировали исследователи WithSecure в июле 2022 года. Тогда они связали атаки с вьетнамскими хакерами.

Большинство поддельных приманок этой кампании связаны с играми, субтитрами, видео для взрослых и взломанными приложениями MS Office. Они размещаются в ZIP-архивах на легитимных файловых хостингах.

Установка вредоноса происходит в фоновом режиме. Параллельно сгенерированный TMP-файл запускает компонент стиллера. Его код расшифровывается в оперативной памяти компьютера, что минимизирует шанс обнаружения.

Данные: Zscaler.

Целью злоумышленников являются подробные сведения об учетной записи Facebook, хранящяяся в браузерах конфиденциальная информация, cookie-файлы, адреса криптовалютных кошельков, а также основные системные данные.

Новая фишинговая кампания направлена на обычных пользователей Facebook. Если тип учетной записи определен как бизнес-аккаунт, вредоносное ПО попытается получить дополнительную информацию о способах оплаты, потраченных суммах, сведениях о владельце, принадлежащих ему страницах и адресе PayPal.

Национальная полиция Нидерландов при содействии исследователей кибербезопасности из Responders.NU получила 150 ключей дешифрования от группы вымогателей Deadbolt.

Правоохранители произвели биткоин-платежи на адреса злоумышленников и отменили транзакции после получения дешифраторов. Благодаря операции жертвы атак смогут бесплатно разблокировать свои зашифрованные данные.

Программы-вымогатели Deadbolt сосредоточены на сетевых хранилищах и уже зашифровали более 20 000 устройств QNAP и Asustor по всему миру. По крайней мере тысяча из них находится в Нидерландах.

Специалисты компании SafeBreach нашли новый PowerShell-бэкдор, который уже применялся для атак как минимум на 69 целей.

Малварь распространяется посредством фишинга в составе вредоносных документов Word, как правило замаскированных под предложения о работе. Попадая на компьютер жертвы, PowerShell-скрипт создает запланированную задачу, утверждающую, что она является частью обновления Windows.

Данные: SafeBreach.

Внутри бэкдора находятся два дополнительных скрипта — Script.ps1 и Temp.ps1. Первый отправляет идентификатор жертвы своим операторам и получает от них дальнейшие команды в зашифрованном виде. Второй декодирует полученные команды, выполняет их, а затем шифрует и загружает результат на управляющий сервер.

На момент обнаружения скриптов аналитиками SafeBreach, ни один из антивирусов не определял их как вредоносные.

Расшифровка команд операторов показала, что две трети из них предназначались для хищения данных, а остальные использовались для составления списков файлов, учетных записей и клиентов RDP, а также их удаления.

По данным экспертов, жертвами малвари уже стали не менее 69 компьютеров.

В SafeBreach предполагают, что PowerShell-бэкдор создан ранее неизвестными злоумышленниками. Нехватка данных пока не позволяет установить их личность.

Минцифры РФ внесло изменения в проект федерального бюджета касательно финансирования мероприятий по созданию суверенного рунета.  

В совокупности в течение 2023-2024 годов на программу выделят 1,18 млрд рублей. 

Средства задействуют на разработку системы мониторинга интернет-трафика и управления сетью связи общего пользования.

Также на :

Объясняем, как сохранить конфиденциальность общения, в обзоре защищенных мессенджеров.

 http://forklog.com

Государство и общество

Ждем новостей

Нет новых страниц

Следующая новость

Весь контент, предоставляемый сайтом, гиперссылки, связанные приложения, форумы, блоги, социальные сети и другая информация взята из сторонних источников и предназначена только для ознакомления. Мы не даем никаких гарантий в отношении нашего контента, включая, но не ограничиваясь точностью и актуальностью. Никакая часть предоставляемого нами контента не является финансовой консультацией, юридической консультацией или любой другой формой консультации, предназначенной для какой-либо вашей личной цели. Любое использование нашего контента осуществляется исключительно на ваш страх и риск. Вы должны провести свои собственные исследования, обзор, анализ и проверку нашего контента, прежде чем полагаться на них. Торговля-очень рискованная деятельность, которая может привести к крупным потерям, поэтому проконсультируйтесь с вашим финансовым консультантом перед принятием любого решения. Никакой контент на нашем сайте не является публичной офертой или приглашением к действию.

Настоящий ресурс может содержать материалы 18+

© 2016-2024