Атака на METRO, арест участника Lapsus$ и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Торговый гигант METRO заявил о сбое IT-систем после кибератаки

Международный оптовый гигант METRO испытывает перебои в IT-инфраструктуре и проблемы с оплатой после недавней кибератаки.

Hier soir, un porte-parole de #Metro me parlait de "panne informatique touchant une partie seulement de nos installations". Une version démentie moins de 14h après par la corp outre-Rhin. #cyberattaque
Le mot #ransomware n'est pas prononcé, mais pas démenti pour autant. pic.twitter.com/xIypZphnbm

— Valéry Rieß-Marchive (@ValeryMarchive) October 20, 2022

По имеющейся информации, проблема возникла 17 октября и затронула магазины в Австрии, Германии и Франции.

В настоящее время IT-команда компании совместно с внешними экспертами проводит расследование, чтобы выяснить причину продолжающегося сбоя. 

Несмотря на то, что магазины METRO не останавливали работу, оптовый гигант вынужденно отложил обработку онлайн-заказов и перевел платежи в офлайн-режим.

На данный момент компания не уточнила характер кибератаки, однако, по словам экспертов, сбои в работе IT-инфраструктуры обычно связаны с программами-вымогателями.

Утечка Microsoft затронула 65 000 организаций по всему миру

Компания Microsoft предупредила, что некоторая конфиденциальная информация ее клиентов могла быть раскрыта из-за неправильно настроенного сервера.

По данным компании, утечка произошла из-за некорректной настройки некой конечной точки, которая «не используется в экосистеме Microsoft». 

В открытый доступ попали имена, email-адреса, содержимое писем, номера телефонов, а также файлы, связанные с бизнесом между затронутыми клиентами и Microsoft или авторизованным партнером компании.

При этом внутреннее расследование не выявило признаков компрометации учетных записей или систем клиентов.

Проблемный сервер защитили еще 24 сентября после обнаружения утечки специалистами компании SOCRadar. Согласно их отчету, данные, датированные периодом с 2017 по 2022 год, хранились в неправильно настроенном хранилище BLOB-объектов Azure. 

https://twitter.com/socradar/status/1582733456278069249

SOCRadar утверждает, что на сервере Microsoft находилось 2,4 ТБ данных, включая более 335 000 электронных писем, 133 000 проектов и 548 000 пользователей. 

Потенциально инцидент затронул информацию более чем 65 000 компаний из 111 стран мира. В частности, в открытом доступе эксперты обнаружили детали работы партнерской экосистемы, счета-фактуры, прайс-листы продуктов, внутренние комментарии для клиентов, стратегии продаж и документы, связанные с пользовательскими активами.

В свою очередь Microsoft подчеркнула, что SOCRadar «сильно преувеличивает цифры и масштабы проблемы». В компании также осудили решение SOCRadar собрать данные и сделать их доступными для поиска на специальном портале. По ее мнению, это «не отвечает интересам обеспечения безопасности клиентов и потенциально подвергает их ненужному риску».

В Бразилии арестовали предполагаемого члена группировки Lapsus$

Федеральная полиция Бразилии арестовала предполагаемого участника известной хакерской группировки Lapsus$. О подозреваемом известно только, что это может быть подросток.

Арест произвели в рамках расследования кибератак на Министерство здравоохранения и десятки других государственных органов. Это были первые атаки Lapsus$, с помощью которых группа заявила о себе.

В частности, во время атаки на Минздрав злоумышленники удалили файлы и дефейснули сайт ведомства. 

Правоохранители собрали доказательства создания преступной организации, вторжения в компьютерные устройства, нарушения работы связи, а также развращения несовершеннолетних и отмывания денег.

В сентябре британская полиция арестовала подростка, связанного с Lapsus$ и, предположительно, ответственного за взлом Uber и Rockstar Games.

В настоящий момент неизвестно, сколько участников группировки остаются на свободе. Исследователи безопасности считают, что они разбросаны по всему миру и говорят на нескольких языках, включая английский, русский, турецкий, немецкий и португальский.

Фишинговая кампания Ducktail нацелилась на биткоин-кошельки пользователей Facebook

В рамках новой фишинговой кампании Ducktail в сети распространилось ранее неизвестное вредоносное ПО, написанное на PHP и используемое для кражи учетных записей Facebook, данных браузера и криптовалютных кошельков. Об этом сообщила компания Zscaler.

Впервые активность Ducktail зафиксировали исследователи WithSecure в июле 2022 года. Тогда они связали атаки с вьетнамскими хакерами.

Большинство поддельных приманок этой кампании связаны с играми, субтитрами, видео для взрослых и взломанными приложениями MS Office. Они размещаются в ZIP-архивах на легальных файловых хостингах.

Установка вредоноса происходит в фоновом режиме. Параллельно сгенерированный TMP-файл запускает компонент стиллера. Его код расшифровывается в оперативной памяти компьютера, что минимизирует шанс обнаружения.

Целью злоумышленников являются подробные сведения об учетной записи Facebook, хранящяяся в браузерах конфиденциальная информация, cookie-файлы, адреса криптовалютных кошельков, а также основные системные данные.

Новая фишинговая кампания направлена на обычных пользователей Facebook. Если тип учетной записи определен как бизнес-аккаунт, вредоносное ПО попытается получить дополнительную информацию о способах оплаты, потраченных суммах, сведениях о владельце, принадлежащих ему страницах и адресе PayPal.

Вымогателей Deadbolt обманом заставили передать ключи дешифрования

Национальная полиция Нидерландов при содействии исследователей кибербезопасности из Responders.NU получила 150 ключей дешифрования от группы вымогателей Deadbolt.

Правоохранители произвели биткоин-платежи на адреса злоумышленников и отменили транзакции после получения дешифраторов. Благодаря операции жертвы атак смогут бесплатно разблокировать свои зашифрованные данные.

Программы-вымогатели Deadbolt сосредоточены на сетевых хранилищах и уже зашифровали более 20 000 устройств QNAP и Asustor по всему миру. По крайней мере тысяча из них находится в Нидерландах.

Эксперты обнаружили «незаметный» PowerShell-бэкдор

Специалисты компании SafeBreach нашли новый PowerShell-бэкдор, который уже применялся для атак как минимум на 69 целей.

SafeBreach researchers have discovered a fully undetectable powershell backdoor that disguises itself as part of the Windows update process—the work of a sophisticated, unknown threat actor. Check out our latest research report to learn more.https://t.co/zpJaVdqrEC

— SafeBreach (@safebreach) October 18, 2022

Малварь распространяется посредством фишинга в составе вредоносных документов Word, как правило замаскированных под предложения о работе. Попадая на компьютер жертвы, PowerShell-скрипт создает запланированную задачу, утверждающую, что она является частью обновления Windows.

Внутри бэкдора находятся два дополнительных скрипта — Script.ps1 и Temp.ps1. Первый отправляет идентификатор жертвы своим операторам и получает от них дальнейшие команды в зашифрованном виде. Второй декодирует полученные команды, выполняет их, а затем шифрует и загружает результат на управляющий сервер.

На момент обнаружения скриптов аналитиками SafeBreach, ни один из антивирусов не определял их как вредоносные.

Расшифровка команд операторов показала, что две трети из них предназначались для хищения данных, а остальные использовались для составления списков файлов, учетных записей и клиентов RDP, а также их удаления.

По данным экспертов, жертвами малвари уже стали не менее 69 компьютеров.

В SafeBreach предполагают, что PowerShell-бэкдор создан ранее неизвестными злоумышленниками. Нехватка данных пока не позволяет установить их личность.

РФ выделит 1,18 млрд рублей на изоляцию интернета

Минцифры РФ внесло изменения в проект федерального бюджета касательно финансирования мероприятий по созданию суверенного рунета.  

В совокупности в течение 2023-2024 годов на программу выделят 1,18 млрд рублей. 

Средства направят на разработку системы мониторинга интернет-трафика и управления сетью связи общего пользования.

Добро пожаловать в суверенный рунет. Чего опасаться россиянам?

Также на ForkLog:

• Сообщество Mango Markets одобрило сделку с хакером на $47 млн. Пострадавшим предложили план по выплатам.
• Взломщик TempleDAO отправил активы в Tornado Cash.
• NFT-коллекция Seven Treasures обрушилась на фоне взлома кошелька LiveArtX.
• Хакеры взломали кошелек Swap от BitKeep. Потери составили $1 млн.
• Взломщики вывели из DeFi-протокола Moola Market свыше $8 млн.

Что почитать на выходных?

Объясняем, как сохранить конфиденциальность общения, в обзоре защищенных мессенджеров.

Как защитить тайну переписки: ТОП-5 приватных мессенджеров

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.