Производитель компьютерных комплектующих Cooler Master подвергся масштабной кибератаке, в результате которой были украдены личные данные около 500 000 клиентов. Хакер под псевдонимом Ghostr заявил, что ему удалось получить доступ к приватной зоне сайта Cooler Master и похитить 103 Гбайт конфиденциальных данных. Он теперь требует выкуп.

Источник изображения: Cooler Master

Среди похищенной информации — корпоративные данные Cooler Master, данные о поставщиках и продажах, а также личные данные участников программы лояльности Fanzone. В частности, были украдены имена, адреса, даты рождения, номера телефонов и адреса электронной почты клиентов.

По сообщению ресурса Hot Hardware, особенно тревожным является тот факт, что злоумышленники получили доступ к незашифрованным данным банковских карт участников Fanzone. Речь идет о номерах кредитных карт, сроках их действия и трехзначных CVV-кодах, которые используются для подтверждения платежей в интернете. Это позволяет легко похитить деньги с карт.

Хакер грозится выставить все украденные данные на продажу на черном рынке, если Cooler Master не выплатит ему выкуп. Пока компания официально не комментирует инцидент. Однако независимое расследование подтверждает, что часть утёкшей информации является подлинной.

В связи с этим всем клиентам Cooler Master, особенно участникам программы Fanzone, настоятельно рекомендуется усилить бдительность. Необходимо следить за подозрительной активностью на банковских счетах и быть осторожными при использовании личных данных в интернете. Эксперты призывают немедленно связаться с банком в случае обнаружения каких-либо признаков мошенничества. Также рекомендуется сменить пароли и установить мониторинг истории платежей.

Пока неясно, смогла ли компания Cooler Master вовремя обнаружить и заблокировать атаку до того, как злоумышленники успели нанести серьезный ущерб её клиентам. Ожидается официальное заявление компании с разъяснением ситуации и рекомендациями поставщикам и клиентам. Эксперты прогнозируют волну фишинговых атак и других киберпреступлений с использованием украденных данных Cooler Master в ближайшие недели.

Хакерская группировка ShinyHunters выставила на продажу базу клиентов американского сервиса по продаже билетов Ticketmaster. Её объём составляет 560 млн записей, в том числе имена, адреса и частичные платёжные реквизиты. Сама Ticketmaster до сих пор не подтвердила факта взлома своих систем.

Источник изображения: Cliff Hang / pixabay.com

Обычно сведения об утечках данных поступают только после того, как об этом сообщает сама пострадавшая компания. В данном случае впервые об инциденте сообщил специализирующийся на кибербезопасности ресурс Hackread, авторы которого обнаружили базу Ticketmaster на вновь открывшейся хакерской площадке BreachForums. МВД Австралии также сообщило, что «сотрудничает с Ticketmaster, чтобы разобраться в инциденте», и это косвенно подтверждает факт взлома, несмотря на молчание самой компании. Объём базы данных, по словам ShinyHunters, составляет 1,3 Тбайт, и она содержит персональные данные 560 млн клиентов оператора. Хакеры продают её за $500 тыс.

ShinyHunters утверждают, что пытались продать похищенные данные Ticketmaster, прежде чем выставить их на продажу на BreachForums. Администрация платформы, видимо, не отреагировала на попытку вымогательства, и пока трудно сказать, ищет ли группировка нового покупателя или оказывает давление на жертву. Не исключено, что ShinyHunters пытаются заработать очки репутации: две недели назад ФБР закрыла частично подконтрольную группировке площадку BreachForums, которая теперь возродилась с базой клиентов крупного оператора.

В пользу этой гипотезы говорит и тот факт, что хакеры выбрали в качестве жертвы одиозную службу Ticketmaster: среди поклонников певицы Тейлор Свифт (Taylor Swift) и многих других любителей концертов в США к ней сформировалось явно негативное отношение, а Минюст подал против владеющей Ticketmaster компании Live Nation Entertainment антимонопольный иск. Пользователям платформы рекомендовано сменить пароли от учётных записей и проверить, нет ли в них сохранённых данных банковских карт — если да, то лучше эти карты заменить.

В начале мая была совершена кибератака на компьютерные сети известного лондонского аукционного дома Christie’s, ответственность за которую взяла на себя хакерская группа Ransomhub, пишет ресурс Security Boulevard. Хакеры требуют выкуп под угрозой опубликовать данные примерно 500 тыс. клиентов Christie’s в случае отказа.

Источник изображения: TheDigitalArtist/Pixabay

Скриншот заявления хакеров был опубликован в соцсети X исследователем по безопасности Домиником Алвиери (Dominic Alvieri). В нём сообщается, что они пытались договориться с Christie’s о «разумном решении», но аукционный дом «прервал общение на полпути».

Злоумышленники предупредили, что публикация конфиденциальных данных клиентов Christie’s повлечёт за собой «значительные штрафы в соответствии с GDPR» и нанесёт ущерб репутации аукционного дома.

По словам Ransomhub, ею похищена «конфиденциальная личная информация» как минимум о 500 000 частных клиентов Christie’s по всему миру, включая полные имена, пол, даты рождения, место рождения и национальность. В качестве доказательства хакеры опубликовали некоторые образцы данных. Киберпреступники запустили обратный отсчёт на сайте, свидетельствующий об их намерении опубликовать данные в начале июня в случае невыполнения Christie’s требования о выкупе.

Согласно публикации Bloomberg, из-за кибератаки Christie's был вынужден отключить свой сайт 9 мая, за несколько дней до важного весеннего аукциона в Нью-Йорке. В результате аукцион был проведён через альтернативный веб-сайт, а основной сайт был недоступен в течение 10 дней.

Представитель Christie's признал в интервью New York Times, что было похищено «ограниченное количество личных данных некоторых клиентов», отметив, что нет никаких доказательств того, что финансовые или транзакционные данные были скомпрометированы. Газета напомнила, что в преддверии весеннего аукциона Christie's назвал случившееся «проблемой технологической безопасности», преуменьшив масштабы взлома.

Представитель Christie’s сообщил, что компания работает с правоохранительными органами по этому поводу и что в ближайшее время уведомит пострадавших от взлома клиентов.

«Если говорить о высокопоставленных клиентах, которых обслуживает Christie’s, легко понять, насколько большой ущерб может нанести им, а также репутации Christie’s публикация данных», — отметил Рэй Келли (Ray Kelly), эксперт по безопасности Synopsys Software Integrity Group.

Ани Чаудхури (Ani Chaudhuri), гендиректор разработчика ПО Dasera, заявил, что этот инцидент свидетельствует о растущей смелости и изощрённости киберпреступников. Высокий статус аукционного дома подразумевает, что в число его клиентов входят состоятельные люди, для которых утечка личных данных грозит далеко идущими последствиями как в личном, так и в профессиональном плане. «Выплата выкупа только придаёт смелости киберпреступникам, побуждая их совершать новые атаки, — говорит Чаудхури. — Нет никакой гарантии, что выплата выкупа приведёт к безопасному возврату данных».

Известный хакерский форум BreachForums, на котором злоумышленники размещали для продажи похищенные данные пользователей и организаций, взят под контроль ФБР в сотрудничестве с правоохранительными органами других стран, сообщил ресурс BleepingComputer.

Со среды на веб-сайте BreachForums отображается баннер с сообщением о том, что ФБР взяло под свой контроль его и внутренние данные, что указывает на то, что агентство конфисковало как серверы, так и домены сайта.

«Этот веб-сайт был закрыт ФБР и Министерством юстиции при содействии международных партнёров, — говорится в сообщении. — Мы проверяем серверные данные этого сайта. Если у вас есть информация о киберпреступной деятельности на BreachForums, свяжитесь с нами». В верхней части баннера размещены изображения профилей двух администраторов сайта, Baphomet и ShinyHunters, находящихся за тюремной решёткой.

ФБР также наложило арест на Telegram-канал сайта и другие каналы, принадлежащие Baphomet. Также сообщается об его аресте, что подтверждается тем, что некоторые сообщения правоохранительных органов поступали с его аккаунта.

В специальном поддомене на портале IC3 ФБР указано, что расследование ведётся по хакерским форумам BreachForums и Raidforums. «С июня 2023 года по май 2024 года BreachForums, управляемый ShinyHunters, работал как открытая рыночная площадка, где киберпреступники могли покупать, продавать и обменивать контрабанду, в том числе украденные устройства доступа, средства идентификации, инструменты взлома, взломанные базы данных и другие незаконные услуги», — сообщило ФБР.

Агентство отметило, что ранее, с марта 2022 года по март 2023 года отдельная команда BreachForums управляла аналогичным хакерским форумом, который был закрыт, а его создатель арестован и приговорён в январе этого года к тюремному заключению сроком на 20 лет.

Предшественник обеих версий BreachForums — хакерский форум Raidforums — работал с начала 2015 года по февраль 2022 года.

За последний год скорость проникновения хакеров в IT-инфраструктуру российских компаний значительно выросла. Как сообщает издание «Коммерсантъ», если раньше на взлом требовались недели или месяцы, то сейчас этот процесс может занимать от одного до трех дней, а в отдельных случаях всего несколько часов.

Источник изображения: Copilot

Эксперты компании «Информзащита» оценивают рост скорости взломов примерно на 30 % по сравнению с началом 2023 года. При этом время от первоначального проникновения хакеров до получения ими контроля над системами в некоторых случаях сократилось до 72 часов. Под ударом чаще всего оказываются крупные государственные организации и промышленные предприятия, которые уже внедрили серьезные средства защиты информации. Однако даже это не спасает от взлома.

Одной из причин ускорения кибератак является большое количество вредоносных программ и инструментов для взлома, которые, по словам директора технологической практики «ТеДо» Юрия Швыдченко, свободно распространяются в даркнете. Это позволяет даже начинающим хакерам автоматизировать процесс поиска уязвимостей в системах жертвы.

Еще один фактор заключается в массовой замене импортного ПО и оборудования на российские аналоги. Спешка с импортозамещением приводит к появлению множества дыр в системах информационной безопасности, и хакерские группировки активно этим пользуются.

Например, в 2022 году злоумышленникам удалось взломать ряд крупных российских IT-компаний и интеграторов, получив доступ к данным для подключения к их заказчикам. А в начале 2023 года произошла громкая кража данных в агрокомплексе им. Н.И. Ткачева, когда хакеры зашифровали все файлы на компьютерах холдинга.

Эксперты также отмечают, что хакерские группировки получают все больше финансирования из недружественных России стран, что позволяет им расширять свои возможности и ресурсы для кибератак.

Несмотря на предпринимаемые усилия по защите информационных систем, российские компании и госорганы по-прежнему остаются уязвимыми для быстро прогрессирующих киберугроз. Число взломов растет, а их скорость увеличивается. Эксперты прогнозируют дальнейшее обострение ситуации в сфере кибербезопасности.

Международная коалиция правоохранительных органов, возглавляемая Национальным агентством по борьбе с преступностью (NCA) Великобритании, объявила во вторник, что раскрыла личность администратора и разработчика программы-вымогателя LockBit. По данным правоохранителей, им является 31-летний гражданин России, уроженец Воронежа Дмитрий Юрьевич Хорошев, известный под никами LockBit и LockBitSupp.

Источник изображения: TheDigitalArtist/Pixabay

«Сегодня мы делаем ещё один шаг вперёд и обвиняем человека, который, как мы утверждаем, разработал и реализовал эту вредоносную киберсхему, целью которой стали более 2000 жертв и украдено более $100 млн в виде платежей с помощью программ-вымогателей», — заявил генеральный прокурор США Меррик Б. Гарланд (Merrick B. Garland).

На сайте Минюста США объявлено о вознаграждении в $10 млн за информацию, которая поможет властям арестовать Хорошева. Ему предъявляется обвинение по 26 пунктам, вынесенное большим жюри присяжных округа Нью-Джерси (США). До этого, в феврале правоохранительными органами США, Европы, Австралии и Японии была проведена совместная операции «Хронос» (Operation Cronos), в результате которой была взломана часть ресурсов, принадлежащих хакерской группировке LockBit.

Как сообщает Минюст США, Хорошев предположительно выступал в качестве разработчика и администратора группы вымогателей LockBit с момента её создания примерно в сентябре 2019 года по май 2024 года. За этот период LockBit атаковала более 2500 жертв как минимум в 120 странах, включая 1800 жертв в США. Целями хакерской группировки были частные лица, малые предприятия, транснациональные корпорации, больницы, школы, некоммерческие организации, критически важная инфраструктура, а также государственные и правоохранительные органы. По данным Минюста США, Хорошев и его сообщники получили от своих жертв в качестве выкупа не менее $500 млн и нанесли миллиарды долларов ущерба.

Правительство США также объявило о санкциях против Хорошева, которыми запрещается кому-либо заключать с ним сделки, включая выплату выкупа. Нарушение санкций грозит крупными штрафами и судебным преследованием.

После серии глобальных инцидентов, связанных с хакерскими атаками, Microsoft объявила о беспрецедентных мерах по защите данных пользователей и своей корпоративной инфраструктуры. Теперь кибербезопасность — абсолютный приоритет, а топ-менеджеры теперь рискуют бонусами за проблемы в этой области.

Ряд громких инцидентов в сфере кибербезопасности и растущая критика вынудили Microsoft объявить о ряде масштабных изменений по кардинальному улучшению защиты пользовательских данных и корпоративной инфраструктуры. Поводом послужил резкий отчет Американского совета по кибербезопасности, в котором говорится о «неадекватной защите в Microsoft, требующей немедленных изменений».

В ответ на замечания, Microsoft представила глобальный план повышения уровня кибербезопасности. Данный вопрос объявлен абсолютным приоритетом для всей компании, имеющим статус выше разработки новых продуктов и услуг. Также введена система персональной ответственности топ-менеджмента, а часть их вознаграждения будет напрямую зависеть от достижения поставленных целей.

Среди ключевых направлений работы также указывается внедрение принципов «безопасности по умолчанию» и «безопасности на этапе разработки» для всех продуктов, усиление контроля доступа и мониторинга, сокращение времени на устранение уязвимостей. Конечные цели включают защиту пользовательских учетных записей при помощи многофакторной аутентификации, применение модели наименьших привилегий и другие способы защиты.

Реализация обозначенных планов уже ведется при непосредственном контроле высшего руководства Microsoft. К работе подключены различные подразделения, отвечающие за облачные сервисы, операционные системы и офисные приложения. Параллельно идет реорганизация служб информационной безопасности с целью повышения их эффективности.

«Microsoft работает на доверии, которое нужно заработать и поддерживать. Мы осознаём глубокую ответственность за кибербезопасность мира. Это наш приоритет номер один», — заявил вице-президент Чарли Белл (Charlie Bell). Компания, наконец, осознала системный характер проблем в сфере киберзащиты и приступила к масштабным преобразованиям.

Разработчики Microsoft выявили серьезную уязвимость в популярных приложениях для мобильной платформы Android. Данная уязвимость позволяет злоумышленникам удаленно запускать вредоносный код, красть пользовательские данные и токены аутентификации.

Источник изображения: Denny Müller/Unsplash

Согласно отчету Microsoft, уязвимость затрагивает как минимум четыре приложения из магазина Google Play с миллионными скачиваниями. Среди них популярный файловый менеджер от китайской компании Xiaomi и офисный пакет WPS Office. Каждое из этих приложений получило более 500 миллионов установок.

В чем заключается уязвимость? Дело в том, что многие программы для Android используют специальный механизм для безопасного обмена файлами с другими приложениями. Однако при получении файла от стороннего приложения они не проверяют его содержимое и используют имя файла, указанное отправителем, для сохранения во внутреннем хранилище. Этим и пользуются злоумышленники, создавая вредоносные приложения, которые отправляют файлы с опасными именами уже в целевые программы. Например, вредоносное приложение может отправить файл с именем настроек почтового клиента, браузера или мессенджера. Получив такой файл, целевое приложение сохранит его в своей папке и начнет использовать для работы, что приведет к компрометации программного решения и утечке конфиденциальных данных.

По словам экспертов Microsoft, потенциальные последствия могут быть достаточно серьезными. Например, злоумышленники могут перенаправить трафик приложения на свой сервер, получить доступ к пользовательским токенам аутентификации, личным сообщениям и другой ценной информации.

Microsoft проинформировала Google об обнаруженной проблеме. В свою очередь, Google выпустила руководство для разработчиков по выявлению и устранению данной уязвимости в приложениях Android. Кроме того, Microsoft напрямую связалась с поставщиками уязвимого ПО в магазине Google Play. В частности, компании Xiaomi и WPS Office уже выпустили обновления, закрывающие дыру в безопасности.

Тем не менее, в Microsoft полагают, что аналогичным образом может быть уязвимо гораздо большее количество приложений для Android. Компания призывает всех разработчиков тщательно тестировать свои продукты. Для рядовых пользователей дана рекомендация регулярно обновлять приложения до последних версий и устанавливать только проверенные программы из официального магазина Google Play.

Хакеры взломали сервис электронной подписи Dropbox Sign — в результате произошла масштабная утечка личных данных пользователей, в том числе имена, номера телефонов и хешированные пароли.

Источник изображения: Kandinsky

Компания Dropbox, разработчик популярного облачного хранилища файлов, заявила о взломе своего сервиса электронной подписи документов Dropbox Sign, ранее известного как HelloSign. Как сообщается в официальном блоге компании, недавно злоумышленники получили несанкционированный доступ к внутренней инфраструктуре Dropbox Sign. В результате была скомпрометирована информация о пользователях сервиса, включая адреса электронной почты, имена пользователей, номера телефонов, хешированные пароли, а также ключи API, токены доступа и данные для многофакторной аутентификации.

Данные пользователей (адреса электронной почты и имена), которые только получали или подписывали документы через Dropbox Sign, но не регистрировали учётную запись, также были раскрыты. Платёжная информация и содержимое подписанных документов, по заявлению компании, скомпрометированы не были.

По результатам расследования стало известно, что злоумышленники взломали одну из служебных учётных записей, используемых для автоматизированного управления инфраструктурой, и через неё получили доступ к базе данных пользователей Dropbox Sign.

В ответ на инцидент команда безопасности Dropbox сбросила пароли пользователей Dropbox Sign, отозвала маркеры доступа и инициировала ротацию криптографических ключей, а пострадавшим были разосланы инструкции по дополнительной защите их данных.

Как заверили в компании, инцидент затронул только инфраструктуру сервиса Dropbox Sign и не повлиял на другие продукты и сервисы Dropbox, включая популярное облачное хранилище файлов. Тем не менее, данный инцидент ставит перед Dropbox серьезный вопрос по обеспечению безопасности конфиденциальных данных своих клиентов. Компания пообещала провести тщательное расследование произошедшего и принять дополнительные меры для предотвращения подобных инцидентов в будущем.

Американский суд приговорил украинского хакера Ярослава Васинского (Yaroslav Vasinskyi) к 13 годам и 7 месяцам лишения свободы и выплате штрафа в размере $16 млн за участие в деятельности группировки REvil, специализирующейся на распространении вирусов-вымогателей.

Источник изображения: B_A / pixabay.com

24-летний Ярослав Васинский, известный под ником Rabotnik, был членом печально известной группировки киберпреступников REvil и принимал участие более чем в 2500 кибератаках с использованием вирусов-вымогателей, которые, по данным Минюста США, обошлись организациям и частным лицам в более чем $700 млн. «Используя вариант программы-вымогателя REvil, обвиняемый действовал по всему миру и требовал сотни миллионов долларов от жертв в США», — заявила заместитель генпрокурора Лиза Монако (Lisa Monaco).

В 2021 году он был арестован на границе Украины с Польшей, а год спустя экстрадирован в США. В суде Техаса Васинский признал себя виновным по 11 пунктам, включая сговор с целью совершения мошенничества и прочих действий, связанных с компьютерами, взлом защищённых компьютеров и сговор с целью отмывания денег. В 2023 году Минюст конфисковал средства, полученные в качестве выкупов от деятельности вирусов-вымогателей, в том числе 39,89138522 биткоина и $6,1 млн. К этим деньгам, по версии следствия, также имел отношение другой член группировки REvil — россиянин Евгений Полянин (Yevgeniy Polyanin).

Перед шифрованием файлов хакеры похищали данные и угрожали жертвам разглашением информации в случае неуплаты выкупа. Группировка возникла в 2019 году — она считается ответственной за атаки на ресурсы разработчика ПО для управления IT-инфраструктурой Kaseya и крупнейшего в мире производителя мяса JBS Foods.

Агентство по кибербезопасности и защите инфраструктуры (CISA) США заявило, что поддерживаемые российским властями хакеры из группировки Midnight Blizzard использовали доступ к системе электронной почты Microsoft для хищения переписки между американскими чиновниками и софтверным гигантом. Об этом пишет информационное агентство Reuters со ссылкой на соответствующее заявление CISA.

Источник изображения: Boskampi/Pixabay

В директиве CISA говорится, что хакеры используют данные для аутентификации, передаваемые по электронной почте, чтобы проникнуть в системы клиентов Microsoft, включая неопределённое количество правительственных учреждений. Взлом почтовых ящиков ряда сотрудников был обнаружен ещё в январе этого года, и в CISA этот инцидент назвали «серьёзным и неприемлемым риском для ведомств».

Отчёт CISA был обнародован вскоре после оглашения вердикта Совета по обзору кибербезопасности (CSRB) после рассмотрения другого инцидента, связанного с китайскими хакерами, и который, по мнению ведомства, Microsoft могла предотвратить. CSBR также обвинил софтверного гиганта в том, что компания уделяет недостаточно внимания вопросам обеспечения кибербезопасности.

В новой директиве CISA не указано, какие именно ведомства пострадали от действий хакеров. Microsoft лишь сообщила, что взаимодействует со своими клиентами для смягчения последствий атаки и в рамках расследования инцидента. Посольство России в Вашингтоне, ранее отвергавшее причастность страны к кибератакам на правительственные учреждения США, пока никак не прокомментировало данный вопрос.

Компания Microsoft могла бы предотвратить прошлогоднюю хакерскую атаку на свои сервисы, в рамках которой злоумышленникам удалось получить доступ к содержимому почтовых ящиков госслужащих США, в том числе работающих в сфере национальной безопасности. Об этом сказано в опубликованном на этой неделе докладе Совета по оценке кибербезопасности (CSRB) США, входящего в состав Министерства внутренней безопасности (DHS).

Источник изображения: Franz Bachinger / pixabay.com

Речь идёт об инциденте, который описывался как «каскад сбоев в системе безопасности» Microsoft и позволил предположительно китайским правительственным хакерам получить доступ к электронным почтовым ящикам сотрудников 22 государственных организаций. В общей сложности инцидент затронул более 500 госслужащих. В сообщении CSRB сказано, что взлом можно было «предотвратить», а ряд принимаемых внутри Microsoft решений способствовал формированию «корпоративной культуры, не придающей приоритетного внимания инвестированию в корпоративную безопасности и принятию жёстких мер по снижению рисков».

В ходе той атаки злоумышленники задействовали ключ подписи потребительских аккаунтов Microsoft для генерации поддельных токенов, открывающих доступ к аккаунтам в веб-версии почтового сервиса Outlook (OWA) и Outlook.com. В отчёте CSRB сказано, что Microsoft до сих пор точно не установила, как именно хакерам удалось украсть ключ подписи аккаунтов. По одной из версий, он являлся частью аварийного дампа, но специалисты так и не смогли его найти. Не имея доступа к этому дампу Microsoft не может точно установить, как именно был похищен ключ.

«Наша основная гипотеза заключается в том, что в результате операционных ошибок ключ покинул защищённую среду подписания токенов, и позднее к нему был получен доступ в среде отладки через взломанную учётную запись инженера», — говорится в сообщении Microsoft.

«Совет считает, что это вторжение можно было предотвратить и оно не должно было произойти. Совет также пришёл к выводу, что культура безопасности Microsoft не отвечает современным требованиям и требует пересмотра, особенно в свете центральной роли компании в технологической экосистеме и уровня доверия клиентов к компании в плане защиты своих данных и операций», — сказано в заявлении CSRB.

По данным источника, Microsoft работает над пересмотром системы безопасности в своём программном обеспечении, и эта деятельность началась вскоре после инцидента со взломом почтовых ящиков правительственных чиновников в прошлом году. Новая инициатива Microsoft Secure Future Initiative (SFI) призвана полностью изменить методы проектирования, сборки, тестирования и эксплуатации своего программного обеспечения и услуг.

Количество случаев заражения вредоносным программным обеспечением, предназначенным для кражи данных с персональных компьютеров и корпоративных устройств, с 2020 года увеличилось на 643 % и в 2023 году составило около 10 млн по всему миру. Об этом пишут «Ведомости» со ссылкой на данные Kaspersky Digital Footprint Intelligence.

Источник изображения: Pete Linforth / pixabay.com

Чаще всего в 2023 году злоумышленники использовали вредоносное ПО для кражи сведений об устройстве и хранимой в нём информации о логинах и паролях RedLine — на долю вредоноса приходится более 55 % всех краж, подсчитали специалисты «Лаборатории Касперского». В рамках этого исследования специалисты анализировали статистику заражений устройств с Windows. В среднем с одного заражённого устройства злоумышленникам удавалось похитить 50,9 пары логинов и паролей. Учётные данные могут включать логины от социальных сетей, онлайн-банкинга, криптовалютных кошельков и корпоративных онлайн-сервисов.

В «Лаборатории Касперского» отметили, что за последние пять лет злоумышленникам удалось скомпрометировать учётные данные на 443 тыс. веб-сайтов по всему миру. Злоумышленники либо использовали похищенные данные для проведения кибератак, либо для продажи и распространения на теневых форумах и Telegram-каналах. Лидером по количеству скомпрометированных данных является домен .com. В прошлом году было взломано около 326 тыс. пар логинов и паролей для веб-сайтов в этом домене. Следом за ним идут доменная зона Бразилии (.br), в которой злоумышленники скомпрометировали 28,9 млн учётных записей, Индии (.in) — 8,2 млн учётных записей, Колумбии (.co) — 6 млн учётных записей и Вьетнам (.vn) — 5,5 млн учётных записей. Доменная зона .ru заняла 21-е место по количеству взломанных аккаунтов в 2023 году (2,5 млн украденных учётных записей). Количество скомпрометированных учётных записей в зонах .org и .net за тот же период составило 11 млн и 20 млн соответственно.

Источник отмечает, что экспертные оценки масштабов взлома аккаунтов сильно отличаются. По информации F.A.C.C.T. Threat Intelligence (бывшая Group IB), по итогам прошлого года в России было скомпрометировано около 700 тыс. уникальных аккаунтов. Руководитель направления аналитики киберугроз ГК «Солар» Дарья Кошкина считает, что на Россию едва ли приходится 5 % от общего количества украденных учётных данных. «Мы не исключаем, что некоторые учётные данные, скомпрометированные в 2023 году, окажутся в теневом сегменте только в 2024 году. Поэтому реальное число заражений, по нашим оценкам, может достичь 16 млн», — прокомментировал данный вопрос эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель.

Один из крупнейших американских операторов связи AT&T подтвердил утечку данных своих абонентов, хотя в течение нескольких недель отрицал этот факт. Пусть оператор и продолжает утверждать, что нет никаких свидетельств взлома его систем, теперь он раскрыл, что утёкшие данные принадлежат 73 млн его нынешних и бывших клиентов.

Источник изображения: Pixabay

Компания сообщила, что работает с «внешними экспертами по кибербезопасности для анализа ситуации» и что «пока у неё нет доказательств санкционированного доступа» к своим системам. «Исходя из нашего предварительного анализа, набор данных, по-видимому, относится к 2019 году или ранее и затрагивает примерно 7,6 млн текущих владельцев счетов AT&T и примерно 65,4 млн бывших владельцев счетов», — говорится в заявлении AT&T, полученном ресурсом BleepingComputer. На странице сайта AT&T, посвящённой обеспечению безопасности учётных записей, также сообщается, что пароли 7,6 млн клиентов были скомпрометированы в результате взлома и были сброшены компанией.

По словам AT&T, утечка информации «могла включать полное имя, адрес электронной почты, почтовый адрес, номер телефона, номер социального страхования, дату рождения, номер счёта AT&T и пароль». AT&T отметила, что проводит расследование по поводу источника утечки данных, и пока неизвестно, поступили ли они от самой компании или от её партнёров.

«Компания активно общается с теми, кто пострадал, и будет предлагать кредитный мониторинг за наш счёт, где это возможно», — говорится в заявлении AT&T. Компания планирует уведомить всех пострадавших клиентов о мерах, которые ею предпринимаются для обеспечения безопасности их персональных данных.

Несколько пользователей устройств Apple сообщили, что стали жертвами новой разновидности фишинга — на их устройства злоумышленниками отправлялись десятки системных запросов о смене пароля, не позволявших пользоваться устройством, пока они все не будут закрыты с согласием или отказом. Затем мошенники звонили жертвам, представляясь службой поддержки Apple, и утверждали, что их учётная запись находится под атакой и нужно «проверить» одноразовый код.

Источник изображения: Nahel Abdul Hadi / unsplash.com

Один из пострадавших — Парф Патель [Parth Patel], предприниматель и основатель стартапа в сфере ИИ. 23 марта он рассказал в Twitter/X об атаке, обычно называемой пуш-бомбингом или «MFA-усталостью». Злоумышленники используют уязвимости многофакторной системы аутентификации (MFA), чтобы засыпать устройство запросами о смене логина или пароля.

«Все мои устройства разом сошли с ума: часы, ноутбук, телефон. Эти уведомления выглядели системными запросами подтвердить сброс пароля учётной записи Apple, но я не мог пользоваться телефоном, пока не закрыл их все, а их было больше сотни», — рассказал Патель в интервью KrebsOnSecurity.

Источник изображения: Parth Patel / Twitter/X.

После отправки серии уведомлений, злоумышленники звонят жертве, подменяя телефонный номер реально используемым техподдержкой Apple.

«Отвечая на звонок, я был крайне насторожен и спросил, могут ли они назвать мои данные, и после быстрого перестука клавиш они выдали мне абсолютно точные данные», — вспоминает Патель. Кроме настоящего имени. По словам Пателя, ему назвали имя, которое он однажды видел среди выставленных на продажу данных на сайте PeopleDataLabs.

Цель злоумышленников — выманить отправляемый на устройство пользователя одноразовый код сброса Apple ID. Заполучив его, они могут сбросить пароль учётной записи и заблокировать пользователя, а также удалить все данные со всех его устройств.

Патель — не единственная жертва. О такой же атаке в конце февраля сообщил другой пользователь, владеющий криптовалютным хедж-фондом.

«Я отказался от смены пароля, но на меня тут же свалилось ещё 30 уведомлений. Я подумал, что случайно нажал какую-то кнопку и отклонил их все», — рассказал он. По его словам, злоумышленники атаковали его несколько дней, но в какой-то момент ему позвонили из службы поддержки Apple. «Я сказал, что сам перезвоню в Apple. Я так и сделал, и мне сказали, что Apple никогда не звонит клиентам, если только те сами не запросят звонок».

Третьему пользователю при звонке в службу поддержки Apple посоветовали активировать ключ восстановления учётной записи Apple ID — это должно было остановить поток уведомлений раз в несколько дней. Однако и это ему не помогло. Вполне вероятно, что для атаки используется сайт восстановления пароля Apple. Чтобы отправить системное уведомление о смене пароля, достаточно ввести привязанный к Apple ID номер телефона и решить капчу.

«Какая нормально спроектированная система аутентификации отправит десятки запросов на смену пароля в секунду, когда пользователь не отреагировал на предыдущие?» — вопрошает Брайан Кребс (Brian Krebs) из KrebsOnSecurity.

Экран сброса пароля.

Исследователь безопасности и инженер-любитель Кишан Багария (Kishan Bagari) уверен, что проблема на стороне Apple. В 2019 году Багария сообщил Apple об ошибке, позволявшей рассылать на все ближайшие устройства под управлением iOS системный запрос с предложением обменяться файлами посредством AirDrop. Через четыре месяца Apple исправила ошибку, поблагодарив Багарию в бюллетене безопасности. По его словам, суть исправления заключалась в ограничении количества запросов, поэтому возможно, что кто-то придумал способ обойти его при сбросе пароля.