Sber Data Leak, Arrest of DoppelPaymer Bitcoin Extortionists, and Other Cybersecurity Events

We have gathered the week’s most important cybersecurity news.

SberSpasibo Bonus Program User Data Exposed

The hacker group NLB утверждает, что взломала сервис бонусной программы «СберСпасибо».

Two large dumps containing the bank’s customers’ personal data were published publicly.

One of them contains 6.3 million rows with telephone numbers, email addresses, dates of birth and registration, hashed card numbers and other internal data for the period from 1 April 2017 to 7 February 2022.

The second file consists of 48.3 million rows with email addresses and phone numbers.

Although card numbers are stored as hashes, due to the use of the outdated SHA1 hashing method, experts believe the hackers could recover their real values by brute-forcing all digits.

Earlier, the NLB group had already claimed a breach of Sber’s internal IT systems. Then a database with contacts of customers and employees of «СберЛогистики», as well as data of users of the platform «СберПраво» appeared online.

The incident attracted the attention of Roskomnadzor. In SberSpasibo, an internal audit was also initiated .

160 GB Acer Documents Listed for Sale on a Hacker Forum

The Taiwanese computer hardware maker Acer confirmed the leak of more than 160 GB of data that occurred in mid-February.

A seller going by Kernelware listed the dump for sale on an auction for Monero cryptocurrency.

According to him, the bidder offering the highest amount will receive technical manuals, software tools, information about server infrastructure, documentation on product models for phones, tablets and laptops, replacement digital keys, BIOS images, ROM files and ISO files.

According to Acer, the attacker breached one of its servers containing electronic documentation for service technicians.

The company found no signs of customer data on that server.

Emotet Botnet Resumes Spam Campaigns After Break

Emotet malware resumed distributing malicious spam after a three-month hiatus, noted by Cofense and Cryptolaemus.

❗???????? ????❗#Emotet has resumed activity this morning, sending emails with attached .zip files that are not password protected.

Learn more below ⬇️ https://t.co/kbXBKNGzan

— Cofense (@Cofense) March 7, 2023

To infect user devices, attackers use emails that impersonate various invoices. They attach ZIP archives containing Word documents larger than 500 MB. Such size hinders detection by antivirus software.

Opening the document triggers macros that download the Emotet loader and launch it in the background.

The malware is currently collecting new credentials and stealing information from address books for targeting. With no additional payloads, experts believe it is gathering data for future spam campaigns.

Earlier Emotet в ноябре 2022 года activity lasted two weeks.

DoppelPaymer Extortionists Arrested in Ukraine and Germany

German and Ukrainian law enforcement arrested two individuals believed to be key members of the DoppelPaymer ransomware group, Europol said.

Investigators are examining the equipment seized from the suspects.

According to German authorities, DoppelPaymer consisted of five core members who supported the infrastructure, ran data-leak sites, deployed the ransomware and negotiated with victims.

The remaining three suspects at large are wanted internationally:

• Игорь Гаршин — считается ответственным за разведку, взлом и развертывание малвари в сетях жертв;
• Игорь Турашев — предположительно принимал активное участие в атаках на немецкие компании в качестве администратора инфраструктуры и вредоносных программ;
• Ирина Земляникина — ответственна за начальный этап атаки и рассылку вредоносных писем, также занималась сайтами для утечек данных.

Турашев уже несколько лет входит в список самых разыскиваемых ФБР преступников. Власти США заочно предъявили ему обвинения в разработке малвари Dridex и участии в группировке Evil Corp.

Шифровальщик DoppelPaymer на базе программы-вымогателя BitPaymer появился в 2019 году. Он распространялся посредством фишинга и спам-писем с вложенными документами, содержащими вредоносный код. Атаки DoppelPaymer активировал ботнет Emotet.

FBI Warns of New Crypto-Theft Schemes Through Games

Киберпреступники используют поддельные вознаграждения в мобильных и онлайн-играх на базе концепции play-to-earn, чтобы похищать криптовалюты у пользователей. Об этом предупредили в ФБР.

Чтобы иметь возможность заработка в игре, жертвам предлагают купить криптовалюту и создать кошелек. При этом чем больше депозит, тем якобы выше будет предполагаемое вознаграждение.

Для возврата инвестиций у пользователей зачастую запрашивают оплату дополнительных налогов или сборов. Однако в реальности вывести средства они не могут.

Android malware targets 13 Bitcoin wallets and 400 banks

Вредоносная программа Xenomorph для Android выпустила новую версию, способную похищать учетные данные 400 банков и 13 криптовалютных кошельков. Об этом сообщили специалисты ThreatFabric.

THREAT UPDATE: ThreatFabric discovers a new strain #Xenomorph!
Xenomorph v3 adds a complete #ATS framework capable of Device Take Over (DTO), in addition more than 400 new financial institutions in its target list.https://t.co/7uPbA4HAj8

— ThreatFabric (@ThreatFabric) March 10, 2023

Among the targets are: Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo and other banks worldwide. Potentially vulnerable crypto wallets: Binance, BitPay, KuCoin, Gemini and Coinbase.

The Trojan is equipped with an ATS-framework, allowing it to automatically harvest credentials, check balances, conduct transactions and steal money from targeted apps without remote actions.

The malware can also register contents of third-party authentication apps, bypassing multi-factor authentication. In addition, a built-in cookie stealer allows operators to hijack victims’ sessions and take over their accounts.

ThreatFabric believes the developers plan to sell Xenomorph via MaaS. This hypothesis is supported by the launch of a site advertising a new version of the trojan.

Currently, Xenomorph v3 is distributed via the Zombinder platform in the Google Play Store, posing as a currency converter and switching to the Play Protect icon after the malicious payload is installed.

Also on ForkLog:

• Hedera подверглась взлому на неназванную сумму.
• Нелегальный обменник с оборотом $34 млн заблокировали на Binance.
• Пришли в движение конфискованные с Silk Road биткоины на $1 млрд.
• Verichains предупредила о критических уязвимостях в Tendermint Core.
• Хакер вернул платформе Tender.fi активы на $1,59 млн за вознаграждение.
• SEC обвинила продавца майнеров Green United в мошенничестве на $18 млн.
• Аферисты «вооружились» ИИ для имитации голосов родственников своих жертв.
• В РФ мошенники объявили о старте инвестиций в «государственную криптовалюту».
• Взломавший Uranium Finance хакер переместил $3,3 млн на Tornado Cash.
• СМИ: криптомошенники в Египте обманули инвесторов на $620 000.
• В феврале DeFi-проекты потеряли от взломов $21 млн.
• Полиция Сингапура начала расследование против До Квона.
• Владельцев биткоин-банкоматов в США заподозрили в мошенничестве и отмывании средств.

What to Read This Weekend?

Together with ForkLog’s analysts, we looked at which Bitzlato-linked companies could become subjects of new investigations and how this might affect their users.