СТОК ℹ️

Стало известно, что хакеры из группировки «UHG» "слили" данные предположительно интернет-магазина косметики и парфюмерии «Подружка» (podrygka.ru). Нам на анализ предоставили частичный SQL-дамп из CMS «Bitrix» с таблицей зарегистрированных пользователей, содержащей 2,194,148 строк: имя/фамилия телефон (2 млн уникальных номеров) адрес эл. почты (2 млн уникальных адресов) хешированный пароль пол дата регистрации и последнего захода (с 14.03.2017 по 29.07.2023) Мы выборочно проверили случайные номера телефонов из этой утечки через форму восстановления пароля на сайте podrygka.ru и выяснили, что они действительные. До этого «UHG» взламывали лабораторию «СИТИЛАБ» и сервис по продаже билетов kassy.ru.

​​Известный американский бренд спортивного снаряжения Everlast, специализирующийся на товарах для бокса и смешанных единоборств, подвергся кибератаке . Хакеры из группировки, связанной с крупнейшим в истории онлайн-ограблением банка, тайно похитили данные кредитных карт клиентов интернет-магазина компании. Как выяснили исследователи кибербезопасности, на официальном сайте «everlast.com» злоумышленниками ранее был внедрён вредоносный скиммер, перехватывающий конфиденциальные данные пользователей во время онлайн-оплаты. Уязвимость до сих пор не устранена. Злоумышленники активно использовали скиммер на протяжении как минимум трех недель вплоть до этого понедельника. Вредоносный код был впервые обнаружен 11 июля. Однако он мог действовать и дольше, так как ближайшая сохранённая копия сайта без трояна датирована 7 июнем. Эксперты считают, что за атаку на Everlast ответственны хакеры из группировки Magecart. Судя по всему, эта группировка как-то связана с Cobalt Group, а она, в свою очередь, связана с Carbanak — группой киберпреступников, известной кражами из банкоматов и платёжных систем. Сайт Everlast ежемесячно посещают более 280 тысяч человек, в основном из США (59%), Великобритании (10%), Вьетнама (3%), Франции (3%) и Германии (2%). Бренд принадлежит компании Frasers Group (ранее — Sports Direct International) и представлен более чем в 75 странах. Атака на Everlast состояла из двух этапов. Сначала в код сайта «everlast.com» был внедрён фрагмент, вызывающий загрузку вредоносного JavaScript «bootstrap.js» с другого сайта — «cardkaze.com». Затем, в процессе оплаты товара, загружался уже сам скиммер. Он отслеживал действия пользователя и перехватывал данные карты во время оформления покупки. Эта информация отправлялась злоумышленникам через Telegram и включала следующие данные: электронную почту; имя / фамилию жертвы; номер телефона; полный домашний адрес; номер карты; срок действия карты; трёхзначный CVC-код карты. Хакеры маскировали вредоносный код, загружая его с других сайтов. Кроме того, скрипт сильно зашифрован и обфусцирован. Это затрудняет его обнаружение. @ztok_inform

​​В открытый доступ выложили базу данных с условным названием «Лукойл 2022». База содержит 12,926,400 строк: номер карты лояльности ФИО телефон Мы проверили номера телефонов нескольких известных нам участников программы лояльности и сравнили номера их карт с тем, что содержится в этой базе - вся информация оказалась актуальной.

В открытый доступ выложили базу данных с условным названием «Лукойл 2022». База содержит 12,926,400 строк: номер карты лояльности ФИО телефон Мы проверили номера телефонов нескольких известных нам участников программы лояльности и сравнили номера их карт с тем, что содержится в этой базе - вся информация оказалась актуальной.

Сегодня хакеры сообщили, о взломе клинико-диагностической лаборатории KDL. Для подтверждения был выложен файл размером 290Мб, содержащий более 151.000 строк обращений клиентов, датируемых с 02.10.2021 по 23.03.2023. База содержит персональные данные клиентов, такие как ФИО, контактный email (более 47.000) и телефон (более 51.000) и конечно же текст обращения в лабораторию. @ztok_inform

​​Киберпреступный форум Breached (он же BreachForums), широко известный своими тёмными и незаконными делами, сам недавно стал объектом взлома. База данных форума выставлена на продажу, а данные о его участниках переданы сервису Have I Been Pwned (HIBP). Сервис HIBP, который оповещает пользователей о том, были ли их данные скомпрометированы в результате утечек, объявил, что посетители могут бесплатно проверить, была ли их информация раскрыта в ходе взлома форума Breached. «В результате взлома BreachForums было раскрыто 212 тысяч записей, включая имена пользователей, IP- и электронные адреса, личные сообщения между участниками сайта и пароли, хранящиеся в виде хешей argon2», — сообщили представители HIBP. Как сообщается, база данных имеет размер 2 ГБ и содержит все таблицы, включая те, которые относятся к списку участников, их личным сообщениям и платёжным транзакциям. Злоумышленник сообщил, что он продаст базу данных Breached только одному человеку за 100-150 тысяч долларов, и что база содержит снимок всех данных форума, сделанный 29 ноября 2022 года. Как вскоре сообщил хакер, он уже получил предложение на покупку базы за 250 000 долларов. @stok_inform

​​Международные гиганты, включая аудиторскую компанию Deloitte, сеть детских развлекательных центров и пиццерий Chuck E. Cheese, государственного подрядчика Maximus и телеканал Hallmark Channel, оказались жертвами группировки Clop. Хакеры заявили об успешном взломе систем компаний через уязвимость в ПО для передачи файлов MOVEit Transfer. Хакеры требовали от компаний выкуп за то, чтобы не публиковать их внутренние данные. Группа использовала уязвимость в программном обеспечении для передачи файлов MOVEit Transfer от компании Progress Software, которая была обнаружена в мае 2021 года. Между тем, компания Maximus подтвердила , что хакерам Clop удалось похитить личные данные 11 миллионов человек. По словам Maximus, файлы содержат личную информацию, включая номера социального страхования (SSN), конфиденциальную информацию о состоянии здоровья и другую личную информацию. Компания отмечает, что расходы на восстановление систем составят до $15 млн. Chuck E. Cheese и Hallmark Channel никак не прокомментировали ситуацию. По данным исследователей угроз компании Emsisoft, новые жертвы взлома увеличивают общее число пострадавших организаций до 514 и более чем 36 млн. отдельных лиц. В Emsisoft заявили, что фактический ущерб от инцидента пока остается неизвестным. Возможно, некоторые организации еще не осознали всю серьезность ситуации. @stok_inform

Хакеры похитили данные миллиона клиентов и требуют выкуп, но компания Ranhill решила играть в молчанку.   Малайзийская компания по водоснабжению Ranhill Utilities Berhad стала жертвой кибератаки, которую совершила группа хакеров DESORDEN. Злоумышленники утверждают, что они нарушили безопасность систем компании, похитили сотни гигабайт данных, включая личную информацию миллионов клиентов, и нарушили работу системы управления водой AquaSmart. Компания не отвечает на требования хакеров и не информирует общественность о произошедшем.   @stok_inform

Специалист по блокчейн-безопасности ZachXBT первым обнаружил атаку на горячие кошельки Ethereum, Bitcoin и TRON компании. Эксперты из PeckShield, фирмы, специализирующейся на безопасности блокчейна, подтвердили данные о взломе. Согласно их отчету, злоумышленники украли 6,074 миллиона USDT, 108 тысяч USDC, 100,2 миллиона FTN, 430 тысяч TFL, 2,5 тысячи ETH и 1,700 DAI, переведя все средства на адрес 0x040a. В ходе операции преступники обменяли похищенные стейблкоины на 5,73 ETH, которые затем были конвертированы в BTC через Avalanche Bridge. Также было выведено около 12 миллионов USDT и 5,2 миллиона TRX, последовательно перечисленных на TKSitn и TDoNAZHa7. Поскольку Alphapo предоставляет платежные услуги для ряда известных криптовалютных игровых площадок, включая HypeDrop, Ignition и Bovada, последствия взлома могут быть значительными.

Вчера в свободный доступ был выложен файл, содержащий персональные данные клиентов предположительно сети медицинских лабораторий «Хеликс» (helix.ru). В этом файле содержится 7,344,919 строк: ФИО телефон (879 тыс. уникальных номеров) адрес эл. почты (779 тыс. уникальных адресов) дата рождения пол СНИЛС (не для всех) Кроме этого файла, к нам на анализ попал другой дамп, содержащий записи 4,986,296 зарегистрированных пользователей: адрес эл. почты (4,9 млн уникальных адресов) хешированный (SHA-512 без соли) пароль IP-адрес и строка User-Agent дата регистрации и последнего захода в профиль (с 17.07.2012 по 15.07.2023) Оба дампа датируются 15.07.2023. @stok_inform