Атака на METRO, арест участника Lapsus$ и другие события кибербезопасности

Cybersec_Digest_3
Cybersec_Digest_3

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Торговый гигант METRO заявил о сбое IT-систем после кибератаки.
  • Утечка Microsoft затронула 65 000 организаций по всему миру.
  • В Бразилии арестовали предполагаемого члена группировки Lapsus$.
  • Вымогателей Deadbolt обманом заставили передать ключи дешифрования.

Торговый гигант METRO заявил о сбое IT-систем после кибератаки

Международный оптовый гигант METRO испытывает перебои в IT-инфраструктуре и проблемы с оплатой после недавней кибератаки.

По имеющейся информации, проблема возникла 17 октября и затронула магазины в Австрии, Германии и Франции.

В настоящее время IT-команда компании совместно с внешними экспертами проводит расследование, чтобы выяснить причину продолжающегося сбоя. 

Несмотря на то, что магазины METRO не останавливали работу, оптовый гигант вынужденно отложил обработку онлайн-заказов и перевел платежи в офлайн-режим.

На данный момент компания не уточнила характер кибератаки, однако, по словам экспертов, сбои в работе IT-инфраструктуры обычно связаны с программами-вымогателями.

Утечка Microsoft затронула 65 000 организаций по всему миру

Компания Microsoft предупредила, что некоторая конфиденциальная информация ее клиентов могла быть раскрыта из-за неправильно настроенного сервера.

По данным компании, утечка произошла из-за некорректной настройки некой конечной точки, которая «не используется в экосистеме Microsoft». 

В открытый доступ попали имена, email-адреса, содержимое писем, номера телефонов, а также файлы, связанные с бизнесом между затронутыми клиентами и Microsoft или авторизованным партнером компании.

При этом внутреннее расследование не выявило признаков компрометации учетных записей или систем клиентов.

Проблемный сервер защитили еще 24 сентября после обнаружения утечки специалистами компании SOCRadar. Согласно их отчету, данные, датированные периодом с 2017 по 2022 год, хранились в неправильно настроенном хранилище BLOB-объектов Azure. 

https://twitter.com/socradar/status/1582733456278069249

SOCRadar утверждает, что на сервере Microsoft находилось 2,4 ТБ данных, включая более 335 000 электронных писем, 133 000 проектов и 548 000 пользователей. 

Потенциально инцидент затронул информацию более чем 65 000 компаний из 111 стран мира. В частности, в открытом доступе эксперты обнаружили детали работы партнерской экосистемы, счета-фактуры, прайс-листы продуктов, внутренние комментарии для клиентов, стратегии продаж и документы, связанные с пользовательскими активами.

В свою очередь Microsoft подчеркнула, что SOCRadar «сильно преувеличивает цифры и масштабы проблемы». В компании также осудили решение SOCRadar собрать данные и сделать их доступными для поиска на специальном портале. По ее мнению, это «не отвечает интересам обеспечения безопасности клиентов и потенциально подвергает их ненужному риску».

В Бразилии арестовали предполагаемого члена группировки Lapsus$

Федеральная полиция Бразилии арестовала предполагаемого участника известной хакерской группировки Lapsus$. О подозреваемом известно только, что это может быть подросток.

Арест произвели в рамках расследования кибератак на Министерство здравоохранения и десятки других государственных органов. Это были первые атаки Lapsus$, с помощью которых группа заявила о себе.

В частности, во время атаки на Минздрав злоумышленники удалили файлы и дефейснули сайт ведомства. 

Правоохранители собрали доказательства создания преступной организации, вторжения в компьютерные устройства, нарушения работы связи, а также развращения несовершеннолетних и отмывания денег.

В сентябре британская полиция арестовала подростка, связанного с Lapsus$ и, предположительно, ответственного за взлом Uber и Rockstar Games.

В настоящий момент неизвестно, сколько участников группировки остаются на свободе. Исследователи безопасности считают, что они разбросаны по всему миру и говорят на нескольких языках, включая английский, русский, турецкий, немецкий и португальский.

Фишинговая кампания Ducktail нацелилась на биткоин-кошельки пользователей Facebook

В рамках новой фишинговой кампании Ducktail в сети распространилось ранее неизвестное вредоносное ПО, написанное на PHP и используемое для кражи учетных записей Facebook, данных браузера и криптовалютных кошельков. Об этом сообщила компания Zscaler.

Впервые активность Ducktail зафиксировали исследователи WithSecure в июле 2022 года. Тогда они связали атаки с вьетнамскими хакерами.

Большинство поддельных приманок этой кампании связаны с играми, субтитрами, видео для взрослых и взломанными приложениями MS Office. Они размещаются в ZIP-архивах на легальных файловых хостингах.

Установка вредоноса происходит в фоновом режиме. Параллельно сгенерированный TMP-файл запускает компонент стиллера. Его код расшифровывается в оперативной памяти компьютера, что минимизирует шанс обнаружения.

Атака на METRO, арест участника Lapsus$ и другие события кибербезопасности
Данные: Zscaler.

Целью злоумышленников являются подробные сведения об учетной записи Facebook, хранящяяся в браузерах конфиденциальная информация, cookie-файлы, адреса криптовалютных кошельков, а также основные системные данные.

Новая фишинговая кампания направлена на обычных пользователей Facebook. Если тип учетной записи определен как бизнес-аккаунт, вредоносное ПО попытается получить дополнительную информацию о способах оплаты, потраченных суммах, сведениях о владельце, принадлежащих ему страницах и адресе PayPal.

Вымогателей Deadbolt обманом заставили передать ключи дешифрования

Национальная полиция Нидерландов при содействии исследователей кибербезопасности из Responders.NU получила 150 ключей дешифрования от группы вымогателей Deadbolt.

Правоохранители произвели биткоин-платежи на адреса злоумышленников и отменили транзакции после получения дешифраторов. Благодаря операции жертвы атак смогут бесплатно разблокировать свои зашифрованные данные.

Программы-вымогатели Deadbolt сосредоточены на сетевых хранилищах и уже зашифровали более 20 000 устройств QNAP и Asustor по всему миру. По крайней мере тысяча из них находится в Нидерландах.

Эксперты обнаружили «незаметный» PowerShell-бэкдор

Специалисты компании SafeBreach нашли новый PowerShell-бэкдор, который уже применялся для атак как минимум на 69 целей.

Малварь распространяется посредством фишинга в составе вредоносных документов Word, как правило замаскированных под предложения о работе. Попадая на компьютер жертвы, PowerShell-скрипт создает запланированную задачу, утверждающую, что она является частью обновления Windows.

Атака на METRO, арест участника Lapsus$ и другие события кибербезопасности
Данные: SafeBreach.

Внутри бэкдора находятся два дополнительных скрипта — Script.ps1 и Temp.ps1. Первый отправляет идентификатор жертвы своим операторам и получает от них дальнейшие команды в зашифрованном виде. Второй декодирует полученные команды, выполняет их, а затем шифрует и загружает результат на управляющий сервер.

На момент обнаружения скриптов аналитиками SafeBreach, ни один из антивирусов не определял их как вредоносные.

Расшифровка команд операторов показала, что две трети из них предназначались для хищения данных, а остальные использовались для составления списков файлов, учетных записей и клиентов RDP, а также их удаления.

По данным экспертов, жертвами малвари уже стали не менее 69 компьютеров.

В SafeBreach предполагают, что PowerShell-бэкдор создан ранее неизвестными злоумышленниками. Нехватка данных пока не позволяет установить их личность.

РФ выделит 1,18 млрд рублей на изоляцию интернета

Минцифры РФ внесло изменения в проект федерального бюджета касательно финансирования мероприятий по созданию суверенного рунета.  

В совокупности в течение 2023-2024 годов на программу выделят 1,18 млрд рублей. 

Средства направят на разработку системы мониторинга интернет-трафика и управления сетью связи общего пользования.

Также на ForkLog:

Что почитать на выходных?

Объясняем, как сохранить конфиденциальность общения, в обзоре защищенных мессенджеров.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK