Захват даркнет-маркетплейса Solaris конкурентами, атака ботов на PayPal и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Клиенты PayPal стали жертвами утечки личных данных

Платежная компания PayPal разослала ряду пользователей уведомления об утечке их персональных данных в результате атаки ботов с использованием ранее похищенных пар логинов-паролей. 

Инцидент произошел в период с 6 по 8 декабря 2022 года и затронул 34 942 клиента, не добавивших 2FA в аккаунт. В течение двух дней хакерам были доступны полные имена владельцев счетов, даты рождения, почтовые адреса, номера социального страхования и ИНН.

В PayPal заявили, что своевременно ограничили доступ к платформе и сбросили взломанные пароли пользователей. 

Потенциально хакеры могли ознакомиться с находящимися в учетных записях историями транзакций, выставленными счетами PayPal, а также данными о подключенных банковских картах. Однако в компании подчеркнули, что взломщики не пытались или не смогли провести какие-либо транзакции.

Платежная платформа убеждена, что ее системы не были взломаны, и проводит внутреннее расследование инцидента. Затронутые пользователи в течение двух лет смогут бесплатно использовать идентификационный сервис от Equifax.

Даркнет-маркетплейс Kraken захватил конкурирующую платформу Solaris

Представители даркнет-платформы Kraken объявили о взломе своего крупного конкурента Solaris. 

??2023’s first “Friday the 13th” proved to be unlucky for some in the dark web ecosystem. Solaris, one of the leading dark web drug markets, was taken over by a rival market named Kraken. https://t.co/c86dZftQuW#solaris #crypto #darkweb

— elliptic (@elliptic) January 19, 2023

По их словам, в течение трех дней им удалось захватить инфраструктуру торговой площадки, ее репозиторий на GitLab и все исходные коды проекта благодаря «огромным ошибкам в коде». Kraken также отключил биткоин-сервер Solaris, что подтверждают специалисты Elliptic.

На момент написания Tor-сайт Solaris перенаправляет пользователей на Kraken. Аналитики объясняют произошедшее желанием последнего переманить более широкую аудиторию конкурента.

Администрация Solaris пока не делала никаких заявлений о статусе платформы и обоснованности заявлений Kraken.

Рестораны KFC и Taco Bell атаковала программа-вымогатель 

Yum Brands, материнская компания сетей быстрого питания KFC, Pizza Hut и Taco Bell, подтвердила хищение корпоративных данных в результате атаки программы-вымогателя. 

Инцидент привел к отключению «некоторых IT-систем». Примерно 300 ресторанов в Великобритании вынуждено приостановили работу на 24 часа.

В Yum Brands подчеркнули, что у них нет «доказательств» хищения данных клиентов. 

Пока неизвестно, когда началась атака вымогателей и как были скомпрометированы системы компании. Ведется внутреннее расследование.

Хакеры похитили личную информацию 37 млн клиентов T-Mobile

Оператор связи T-Mobile подтвердил хищение данных из 37 млн учетных записей клиентов через один из своих API. Компания не уточнила, как именно использовался уязвимый интерфейс.

Первая утечка датируется примерно 25 ноября 2022 года, однако T-Mobile обнаружил вредоносную активность только 5 января 2023 года и через день отключил злоумышленнику доступ к API.

В числе скомпрометированных данных оказались имя, платежный адрес, электронная почта, номер телефона, дата рождения, номер учетной записи T-Mobile, а также особенности тарифа.

В компании уточнили, что хакер не получил доступ к водительским удостоверениям, государственным идентификационным номерам, номерам соцстрахования, налоговым идентификаторам, паролям, PIN-кодам, информации о платежной карте или другой финансовой информации об аккаунтах клиентов.

T-Mobile сообщил об инциденте федеральным агентствам США и сейчас расследует нарушение совместно с правоохранителями.

Эксперты зафиксировали атаку через пустые изображения в письмах 

Хакеры научились обходить службу VirusTotal, внедряя вредоносное ПО в пустые изображения в электронных письмах. На это обратили внимание исследователи компании Avanan.

Потенциальная жертва получает мошеннический документ, который ее просят подписать. Ссылка в фишинговом письме ведет на реальную страницу сервиса управления электронными документами DocuSign. 

Непосредственно атака осуществляется посредством вложенного пустого SVG-изображения, закодированного с использованием Base64. Этот файл содержит JavaScript-код, перенаправляющий жертву на вредоносный URL-адрес для дальнейшего заражения.

Пользователям рекомендуют с осторожностью относиться к любым письмам, содержащим вложения в формате HTML или HTM.

Также на :

• В Chainalysis сообщили о значительном падении доходов вымогателей биткоинов.
• Похищенные из протокола Raydium 1774 ETH прошли через Tornado Cash.
• Госфинмониторинг Украины отчитался о блокировке биткоин-обменников РФ.
• Пользователи Waves DEX сообщили о проблемах с выводом USDT и USDC.
• Криптоплатформа Bitzlato заявила о взломе. Ее основателя арестовали в Майами.
• Четверых британцев посадили за отмывание $26 млн в криптовалютах.
• Binance и Huobi заморозили связанные со взломом Harmony One $2,5 млн в BTC.
• Пользователь обвинил в потере цифровых активов вредоносное ПО из рекламы Google.
• Эксперты рассказали о новой схеме кражи Telegram-каналов.

Что почитать на выходных?

Разбираем инцидент с утечкой API-ключей с платформы 3Commas совместно с аналитиками HAPI.