Криптоскам с угоном имен в X, арест подельника Conti из Киева и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Владельцам даркнет-маркетплейса Empire Market предъявлены множественные обвинения

Федеральные прокуроры Чикаго выдвинули обвинения в отношении Томаса Пейви и Рахайма Гамильтона, которых называют владельцами даркнет-маркетплейса Empire Market с оборотом $430 млн. 

Согласно материалам дела, с 2018 по 2020 год фигуранты продавали через площадку наркотики, украденную информацию, фальшивую валюту и вредоносные компьютерные программы. Оплату они получали в криптовалютах и за период своей деятельности провели более 4 млн транзакций.

Им инкриминируют сговор для участия в незаконном обороте наркотиков, компьютерном мошенничестве, отмывании и подделке денег. У обвиняемых изъяли наличные, драгоценные металлы и цифровые активы на сумму более $75 млн.

Ранее Пейви и Гамильтону предъявили обвинения в продаже поддельной валюты на даркнет-маркетплейсе AlphaBay.

Старый никнейм сотрудника a16z использовали для кражи $245 000 в криптовалютах

Неизвестный злоумышленник похитил у пользователя средства в Ethereum и LinqAI на общую сумму $245 000 под видом сотрудника американской венчурной компании Andreessen Horowitz (a16z). Об этом сообщил ончейн-исследователь ZachXBT.

1/ Here is an overview of one of the better executed scams I have seen in recent times so I figured I would share with the community as a cautionary tale.

A few weeks ago I received a DM from a follower who lost $245K after accidentally downloading malware onto their computer. pic.twitter.com/gVQEO52XOU

— ZachXBT (@zachxbt) June 12, 2024

Пострадавшему предложили провести совместный подкаст якобы от имени представителя a16z Питера Лаутена. На руку злоумышленнику сыграло то, что реальный Лаутен недавно сменил никнейм в X с «peter_lauten» на «lauten», однако в официальном аккаунте его компании по-прежнему упоминалось старое имя.

Жертва не заметила подвоха и скачала присланное хакером приложение Vortax, которое являлось вредоносным ПО. Оказавшись на компьютере, оно вывело все криптовалютные активы на кошельки злоумышленника. В дальнейшем средства переместились на ряд бирж.

В Киеве арестовали предполагаемого разработчика шифровальщика для Conti и LockBit

Киберполиция Украины сообщила об аресте 28-летнего жителя Киева, которого подозревают в сотрудничестве с группировками вымогателей Conti и LockBit и проведении как минимум одной атаки на голландскую транснациональную корпорацию.

По данным следствия, задержанный разрабатывал для хакеров специальные шифровальщики, чтобы затруднить обнаружение их вредоносного ПО на компьютерах жертв.  

Кроме того, полиция Нидерландов подтвердила по крайней мере один случай организации фигурантом атаки с использованием полезной нагрузки Conti в 2021 году.

В ходе обысков в Киеве и Харьковской области изъято компьютерное оборудование, мобильные телефоны и рукописные заметки.

Разработчику предъявлено обвинение в несанкционированном вмешательстве в информационные системы. Ему грозит до 15 лет тюрьмы. Расследование продолжается.

В РФ обнаружили криптомошенничество с ENS-доменами

Специалисты компании F.A.C.C.T. предупредили держателей криптовалют из РФ о новой мошеннической схеме с использованием доменов ENS.

С жертвой связываются под предлогом продажи цифровых активов для дальнейшего инвестирования в драгоценные металлы. Чтобы вызвать доверие, аферисты могут организовать видеозвонок с демонстрацией поддельных документов.

Затем жертву якобы с целью проверки чистоты активов убеждают перевести криптовалюту на принадлежащий скамерам адрес с «.eth» в конце.

Полученную в ходе «тестовой» транзакции сумму мошенники в ручном режиме возвращают отправителю. Однако после полной оплаты «услуг» они исчезают вместе с активами.

Власти Сингапура предупредили местные компании об активизации биткоин-вымогателей

Предприятия Сингапура все чаще становятся жертвами программы-вымогателя Akira. Местное Агентство кибербезопасности перечислило способы обнаружения, сдерживания и нейтрализации этих атак. 

It highlights the observed Tactics, Techniques and Procedures (TTPs) employed by Akira threat group to compromise their victims’ networks and provides some recommended measures for organisations to mitigate the threat posed.

— CSA (@CSAsingapore) June 8, 2024

Как правило, операторы Akira требуют платежей в криптовалютах за восстановление пострадавших компьютерных систем. Однако власти попросили бизнес игнорировать эти требования и немедленно оповещать их о подобных инцидентах.

Оплата выкупа не только не гарантирует дешифровку данных, но и провоцирует злоумышленников на проведение повторных атак.

За год операторы Akira похитили $42 млн более чем у 250 организаций в Северной Америке, Европе и Австралии.

Также на ForkLog:

• Череда взломов: атака на Holograph, фейк-биржа и награда от UwU Lend.
• Исследователи нашли недостатки в настройках безопасности OKX. Биржа прокомментировала ситуацию.
• Протокол UwU Lend взломан дважды за неделю на $24 млн. 
• Нескольких валидаторов Solana исключили за участие в «сэндвич-атаках». Большинство из них оказались россиянами.
• Криптобиржа Lykke остановила работу после взлома на $22 млн.
• Хакер Orbit отправил активы на $32 млн в Tornado Cash.
• Проект Gemholic из экосистемы zkSync обвинили в rug pull на $3,4 млн.

Что почитать на выходных?

В разделе «Крипториум» рассказываем, как распознать rug pull и не стать его жертвой.