cybersec news | ИБ и IT

Исследователи заметили новую вредоносную кампанию, в рамках которой злоумышленники атакуют репозитории на GitHub, уничтожают их содержимое, а затем просят жертв связаться с ними через Telegram для «получения дополнительной информации». Первым эти атаки заметил специалист чилийской ИБ-компании CronUp Херман Фернандес. Исследователь пишет, что эта кампания, вероятно, активна еще с февраля текущего года и уже затронула десятки репозиориев. Хакеры, стоящие за атаками, используют ник Gitloker в Telegram и представляются ИБ-аналитиками. По данным издания Bleeping Computer, вероятнее всего, они компрометируют чужие учетные записи на GitHub, используя для этого украденные учетные данные. Сами пострадавшие пишут, что взлом их учетных записей произошел после перехода по вредоносной ссылке в спамерском письме, якобы полученном от рекрутеров GitHub. По данным Фернндеса, злоумышленники использовали для этой кампании два домена: githubcareers(.)online и githubtalentcommunity(.)online. В своих вымогательских посланиях взломщики утверждают, что похитили информацию жертв, создав резервную копию, которая могла бы помочь восстановить удаленные данные. Фактически они очищают и переименовывают репозиторий, а также добавляют в него файл README(.)me, в котором сообщают жертвам, что те должны выйти на связь с хакерами через Telegram. Журналисты напоминают, что после предыдущих атак на пользователей GitHub компания уже советовала им сменить пароли, чтобы защитить учетные записи от несанкционированного доступа. Это должно помочь против такой вредоносной активности как добавление новых ключей SSH, авторизация новых приложений или внесение изменений в список членов команды. Представители GitHub пока не прокомментировали ситуацию с вымогательскими атаками Gitloker.

Поклонники видеоигры Club Penguin взломали сервер Confluence компании Disney и украли 2,5 ГБ внутренних корпоративных данных. Club Penguin – это многопользовательская онлайн-игра, официально существовавшая с 2005 по 2017 год. Игроки могли участвовать в различных мини-играх, заниматься десятками видами деятельности и общаться друг с другом в виртуальном мире. Игра была создана компанией New Horizon Interactive, которую позже приобрела Disney. Хотя официальное закрытие Club Penguin произошло в 2017 году, а её преемника Club Penguin Island — в 2018 году, игра продолжает жить на частных серверах, управляемых поклонниками и независимыми разработчиками. Несмотря на значительные усилия Disney по закрытию более известного ремейка «Club Penguin Rewritten» в 2022 году, повлекшие арест нескольких человек по обвинению в нарушении авторских прав, это не помешало игре существовать дальше и активно развиваться. В настоящее время Club Penguin используется игроками как своеобразная мета-вселенная, где можно встретиться и провести время в непринуждённой обстановке. Иногда в игре даже проводятся разнообразные концерты и фестивали. На этой неделе на популярном западном форуме 4Chan был опубликован анонимный пост со ссылкой на архив с названием «Internal Club Penguin PDFs» и сообщением «Мне это больше не нужно». Ссылка ведёт на архив размером 415 МБ, содержащий 137 PDF-файлов с внутренней информацией о Club Penguin, включая электронные письма, схемы дизайна, документацию и листы персонажей. Все эти данные — весьма старые, им как минимум по семь лет, а может и больше. Это делает их интересными только для ярых поклонников игры. Однако, как выяснило издание BleepingComputer, данные Club Penguin составляют лишь небольшую часть гораздо большего набора данных, украденных с сервера Confluence компании Disney, где хранятся документы для различных внутренних проектов корпорации. По данным анонимного источника, серверы Confluence были взломаны с использованием ранее скомпрометированных учётных данных. Злоумышленники изначально искали данные по Club Penguin, но в итоге скачали 2,5 ГБ информации о корпоративных стратегиях Disney, рекламных планах, Disney+, внутренних инструментах разработчиков, бизнес-проектах и внутренней инфраструктуре компании. Источник сообщил журналистам следующее: «Здесь гораздо больше файлов, включая внутренние API-эндпоинты и учётные данные для таких вещей, как S3-хранилища». Среди украденных данных есть документация по различным инициативам и проектам, а также информация о внутренних инструментах разработчиков, таких как Helios и Communicore, которые ранее не были публично раскрыты. CommuniCore — это «высокопроизводительная асинхронная библиотека сообщений, предназначенная для использования в распределённых приложениях». Helios — инструмент для создания и воспроизведения шоу, который позволяет продюсерам и авторам Disney создавать интерактивные нелинейные сюжеты с использованием реальных данных от сенсоров в парках Disneyland. В документах также содержатся ссылки на внутренние веб-сайты, используемые разработчиками Disney, что может представлять ценность для злоумышленников, желающих атаковать компанию. Хотя данные Club Penguin довольно старые, остальные данные, циркулирующие сейчас по Discord, намного новее, включая информацию из 2024 года. Как сообщил источник, цифровое ограбление медиагиганта состоялось всего несколько недель назад. Компания Disney пока никак не комментировала возможную утечку корпоративных данных из своих сетей.

Системы саморегистрации от Ariane Systems, установленные в тысячах отелей по всему миру, открывают доступ к личным данным гостей и ключам от номеров. Терминалы саморегистрации позволяют гостям самостоятельно бронировать номера и регистрироваться в отеле, управлять процессом оплаты через POS-систему, печатать счета и получать RFID-ключи от номеров. В марте 2024 года исследователь безопасности из компании Pentagrid Мартин Шоберт обнаружил, что может легко обойти Ariane Allegro Scenario Player, работающий в режиме киоска на терминале саморегистрации, и получить доступ к рабочему столу Windows со всеми данными клиентов. Несмотря на многочисленные попытки сообщить об этом поставщику, исследователь так и не получил должного ответа о версии прошивки, которая устраняет проблему. Шоберт обнаружил, что приложение зависает при вводе одинарной кавычки на экране поиска бронирований. При повторном касании экрана Windows предлагает завершить работу приложения Ariane Allegro Scenario Player. После завершения работы программы отображается рабочий стол. Оттуда можно получить доступ к любым файлам, хранящимся на устройстве, включая данные бронирований с личной информацией гостей. Pentagrid отмечает, что возможность вводить и выполнять программный код позволяет создавать ключи от других номеров, поскольку функциональность создания RFID-транспондеров реализована в терминале. Уязвимые терминалы обычно используются в небольших и средних отелях, где круглосуточное наличие персонала регистрации было бы слишком затратным для бизнеса. По данным Ariane Systems, их решения для саморегистрации используются в 3000 отелей в 25 странах, с общим количеством более 500 000 номеров. Среди клиентов компании – 30 из 100 лучших международных гостиничных сетей. Шоберт неоднократно пытался сообщить о своих находках Ariane с момента обнаружения проблемы в начале марта 2024 года, но получал лишь короткие ответы с утверждениями, что проблемы были устранены. В настоящее время неизвестно, какая версия приложения устраняет проблему, сколько терминалов используют уязвимую версию и какие гостиничные сети затронуты. Ariane Systems заявила, что проблема была исправлена в новой версии Allegro Scenario Player. Отелям рекомендуется убедиться, что установлена актуальная версия ПО, и изолировать терминалы от гостиничной сети, чтобы предотвратить атаки на сеть отеля или домен Windows.

Экспертный центр Positive Technologies (PT ESC) выявил ранее неизвестный бэкдор, написанный на языке Go, который используется киберпреступной группировкой ExCobalt для атак на российские организации. В марте 2024 года специалисты PT ESC в ходе расследования инцидента обнаружили подозрительный файл под названием scrond, сжатый с помощью упаковщика UPX, на одном из Linux-узлов клиента. В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red(.)team/go-red/. Это позволило предположить, что семпл является проприетарным инструментом GoRed. Во время анализа выяснилось, что различные версии GoRed ранее уже встречались при реагировании на инциденты у других клиентов. Дальнейший анализ показал, что данный инструмент связан с группировкой ExCobalt, о деятельности которой PT ESC рассказывала в ноябре прошлого года. ExCobalt известна своими атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и государственного сектора. Группировка занимается кибершпионажем и кражей данных. Новый бэкдор, названный GoRed, обладает множеством функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов коммуникации с C2-серверами. Исследование Positive Technologies показало, что ExCobalt продолжает активно атаковать российские компании, постоянно улучшая свои методы и инструменты. Бэкдор GoRed расширяется для более сложных и скрытных атак и кибершпионажа. Злоумышленники демонстрируют гибкость, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний. Развитие ExCobalt подчеркивает необходимость постоянного совершенствования методов защиты и обнаружения атак для противодействия таким киберугрозам. Специалисты отмечают, что участники группировки демонстрируют высокую степень профессионализма и адаптивности, что делает их атаки особенно опасными.

Symantec провела анализ недавно выявленной программы-вымогателя RansomHub и выяснила, что программа оказалась обновлённой и переименованной версией программы Knight, которая, в свою очередь, является эволюцией другого вымогателя — Cyclops. Knight впервые появился в мае 2023 года и использовал тактику двойного вымогательства, похищая и шифруя данные жертв для получения финансовой выгоды. вирус действует на множестве платформ, включая Windows, Linux, macOS, ESXi и Android. Knight активно рекламировался и продавался на форуме RAMP. Атаки с его участием часто использовали фишинг для распространения вредоносных вложений. Деятельность Knight в качестве RaaS-модели была прекращена в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который решил обновить и перезапустить его под брендом RansomHub. Вирус RansomHub, первая жертва которого была зафиксирована в том же месяце, уже связан с серией недавних атак, среди которых Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае. Компания Symantec отметила, что обе версии вируса написаны на языке Go, а большинство их вариантов скрыты с помощью Gobfuscate. Соответствие в коде между двумя семействами значительно, что затрудняет их различие. Оба вируса имеют идентичные справочные меню, но RansomHub добавил новую опцию sleep, которая позволяет оставаться в режиме ожидания перед выполнением команд. Подобные команды наблюдались и в других вирусах – Chaos/Yashma и Trigona. Сходства между Knight и RansomHub также включают технику скрытия строк, записки с требованиями выкупа и способность перезагружать систему в безопасном режиме перед началом шифрования. Основное различие состоит в наборе команд, выполняемых через cmd.exe, хотя последовательность их вызова остаётся неизменной. Атаки RansomHub используют уязвимости ZeroLogon для получения первоначального доступа и установки инструментов удалённого управления до развертывания вымогателя. По данным Malwarebytes, в апреле 2024 года это RansomHub был связан с 26 атаками. Более того, RansomHub пытается привлечь участников других группировок, включая LockBit и BlackCat. Сообщается, что один из бывших партнёров Noberus, известный как Notchy, уже работает с RansomHub. Кроме того, инструменты, ранее связанные с другим партнёром Noberus, Scattered Spider, были использованы в недавней атаке RansomHub. Быстрое развитие RansomHub указывает на то, что группа, возможно, состоит из опытных хакеров с большими связями в киберпространстве.

Анонимный энтузиаст собрал из 518 источников архивы, в которых содержится информация о телеграм-аккаунтах, украденная с помощью вирусов и фишинговых сайтов. Он составил из 1700 отдельных файлов сводную базу данных и передал её ресурсу Have I Been Pwned, на котором любой желающий может проверить, утекли ли к хакерам или в открытый доступ его логины и пароли от различных сайтов и приложений. Общий объём данных со сведениями о владельцах телеграм-аккаунтов составляет 122 ГБ. База включает в себя более 2 миллиардов строк, где содержится 361 миллион уникальных email-адресов, причём около половины из них ранее не были замечены в каких-либо утечках. К некоторым адресам добавлены пароли для входа в телеграм-аккаунты, также есть сведения о регистрациях на сайтах и в приложениях. Эта база далеко не полная, поскольку она была составлена в основном из демонстрационных фрагментов, которые хакеры открыто выкладывают при продаже собранных данных. Проверить, утекли ли ваши данные, можно на сайте Have I Been Pwned. Если утечки найдутся, обязательно поменяйте пароли и установите двухфакторную аутентификацию там, где это возможно и целесообразно.

Хакеры, предположительно поддерживаемые государством, взломали правительственные системы Британской Колумбии в Канаде. Взлом затронул 22 почтовых ящика, содержащих конфиденциальную информацию о 19 человек. Об атаке сообщил министр общественной безопасности Британской Колумбии Майк Фарнворт. Фарнворт отметил, что на данный момент нет признаков того, что информация была скомпрометирована. Фарнворт не уточнил, к какому министерству были прикреплены почтовые ящики, но сказал, что взлом не коснулся кабинета министров. Атака была осуществлена правительственными хакерами, которые трижды пытались скомпрометировать системы. По словам Фарнворта, хакеры получили доступ к файлам сотрудников за одним исключением — сотрудник, у которого в почтовом ящике была информация о семье. Все пострадавшие уведомлены и получат поддержку – кредитный мониторинг и защиту цифровой личности. Уровень сложности атак привел следователей к выводу, что они были совершены либо непосредственно государственным субъектом, либо организацией, поддерживаемой иностранным государством. На данный момент страна, стоящая за инцидентом, остается неизвестна.

По данным МВД РФ, в 2023 году от преступлений с использованием ИТ пострадало 500 тыс. граждан, четверть из них — пенсионеры. Суммарный ущерб от таких деяний за год и четыре месяца 2024-го составил более 210 млрд рублей. Печальная статистика была озвучена на заседании коллегии МВД, посвященном вопросам противодействия ИТ-преступлениям. По словам министра, число преступных деяний, совершаемых с помощью ИТ, с 2020 года возросло на треть, а их доля в общем объеме приблизилась к 40%.

🗣 Вадим Шелест, Wildberries: Red Teaming – это своего рода экзамен, во время которого можно чему-то научиться, но в большинстве случаев будет уже слишком поздно Вадим Шелест, руководитель группы анализа защищенности Wildberries, автор блога PurpleBear и лауреат премии «Киберпросвет», рассказал порталу Cyber Media о специфике реализации проектов purple team, отличиях от классических редтим-проектов и полезности purple team для обучения команд защитников.

Бывшие топ-менеджер и менеджер по продажам компании Epsilon Data Management LLC (Epsilon) признаны виновными в продаже данных миллионов американцев участникам схем мошенничества с использованием почты. Руководители более 10 лет предоставляли мошенникам целевые списки клиентов компании. Epsilon Data Management LLC — брокерская и маркетинговая компания, специализирующаяся на сборе, анализе и продаже потребительских данных предприятиям для целевых маркетинговых целей. Epsilon использует передовые алгоритмы и обширную базу данных по 100 миллионам домохозяйств в США для прогнозирования поведения потребителей и выявления потенциальных покупателей продуктов и услуг своих клиентов. Обвиняемые работали в Epsilon, где они использовали алгоритмы Epsilon для прогнозирования новых списков потребителей, которые наиболее вероятно отреагируют на фишинговые письма. Списки, включающие полные имена, домашние адреса, адреса электронной почты, возраст, потребительские предпочтения и историю покупок, были проданы мошенникам, которые использовали их для таргетинга отдельных лиц с помощью персонализированных электронных писем. В письмах жертвам обещали крупные призы, ложные астрологические прогнозы на богатство и другие приманки, которые обманом заставляли людей отправлять мошенникам деньги. Министерство юстиции США утверждает, что осужденные поделились этими данными, зная, что они будут использованы для мошенничества в отношении пожилых людей и уязвимых слоев населения. В одном случае сотрудники продали 100 списков одному мошеннику. Схема просуществовала 10 лет, в результате чего сотни тысяч американцев потеряли крупные суммы денег. Хотя компания Epsilon не принимала непосредственного участия в схеме, она урегулировала свою уголовную ответственность в 2021 году соглашением об отсрочке судебного преследования. Резолюция требовала от фирмы выплатить $150 миллионов в качестве штрафов, из которых $122 миллиона были выделены на компенсацию 200 000 жертвам мошенничества.