Ликвидация Jewelry Team, массовые утечки в РФ и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

МВД при поддержке F.A.С.С.T. ликвидировало группировку Jewelry Team

Эксперты ИБ-компании F.A.С.С.T. (бывшая Group-IB) вычислили группу мошенников Jewelry Team, которая похищала деньги россиян через популярный сервис поиска попутчиков BlaBlaCar.

Специалисты F.A.С.С.T. помогли МВД вычислить и задержать группу мошенников «Jewelry Team». На протяжении полутора лет злоумышленники похищали деньги у россиян, решивших воспользоваться популярным сервисом поиска попутчиков: https://t.co/RMJ4KlznwU pic.twitter.com/eQZW7ww88C

— F.A.C.C.T. (@F_A_C_C_T_) June 5, 2023

По данным следствия, начиная с сентября 2021 года, участники группировки размещали фейковые объявления от имени водителей. В дальнейшем общение с пользователями переводилось в мессенджер, где им скидывали ссылки на фишинговый ресурс якобы для осуществления предоплаты. 

В результате мошенники получали не только «задаток» в размере от 500 до 1500 рублей, но и данные банковских карт. У одного из пользователей группировка пыталась вывести более 3 млн рублей, однако банк заблокировал этот перевод.

Исследователи предположили, что Jewelry Team создали в январе 2021 года выходцы из скам-команды HAUNTED FAMILY, либо же она была ее самостоятельным подразделением.

В общей сложности F.A.С.С.T. обнаружила три десятка фишинговых сайтов, созданных для получения предоплаты.

МВД сообщило о ликвидации группировки в мае. Открыто уголовное производство по факту хищения денежных средств. Предполагаемый лидер Jewelry Team отправлен под домашний арест, один из его сообщников находится под подпиской о невыезде, другой — в СИЗО.

Неизвестные слили данные клиентов ряда крупных магазинов в РФ

В течение недели в открытом доступе появились данные пользователей нескольких крупных российских магазинов. Об этом сообщил Telegram-канал «Утечки информации».

Первыми в сеть утекли базы торговых сетей «Ашан» и «Твой Дом» на 7,8 млн и более 713 000 строк соответственно.

Затем злоумышленники слили дампы с данными клиентов сети магазинов одежды Gloria Jeans, магазина матрасов «Аскона» и книжного интернет-магазина book24.ru на 2-4 млн строк.

Позднее они выложили базы книжного интернет-магазина «Буквоед» (6,8 млн строк), интернет-магазина одежды «ТВОЕ» (2,2 млн строк), интернет-магазина «Леруа Мерлен» (5,1 млн строк) и сайта кулинарных рецептов «Едим Дома» (более 535 000 строк).

В большинстве слитых файлов присутствовали:

• имя/фамилия;
• логин;
• телефон;
• email-адрес;
• хешированные пароли;
• пол;
• дата рождения;
• номер карты постоянного покупателя;
• адрес доставки или самовывоза;
• IP-адрес;
• дата создания учетной записи и последнего входа в систему.

Ряд компаний, включая «Ашан», Gloria Jeans, «Эксмо-АСТ» (Book24) и «Аскона», подтвердил инцидент и начал внутреннее расследование.

Предположительно информацию слили злоумышленники, ответственные за утечку «Сбера» и других российских компаний.

Слив данных Сбера, арест биткоин-вымогателей из DoppelPaymer и другие события кибербезопасности

В ближайшее время они обещали обнародовать новые данные.

В модах для Minecraft обнаружили малварь Fracturiser

В ряде модов для игры Minecraft найдена самораспространяющаяся малварь Fracturiser, атакующая системы под управлением Windows и Linux. Об этом сообщили представители платформы CurseForge.

We are looking into an incident where a malicious user uploaded projects to the platform. This is relevant only to Minecraft users and we have banned all accounts involved.

CurseForge itself is not compromised in any way! Please follow the thread below for more information 👇

— CurseForge (@CurseForge) June 7, 2023

Именно на ней, согласно первоначальной версии, размещались скомпрометированные учетные записи разработчиков. Также от атаки пострадал сайт Bukkit.org. В свою очередь создатели утилиты Prism Launcher предположили, что речь идет об эксплуатации уязвимости в платформе Overwolf.

Некоторые из вредоносных копий внедрены в популярные модпаки, включая Better Minecraft более чем с 4,6 млн загрузок. 

Первая информация о заражении плагинов и модов появилась еще в середине апреля.

Малварь Fracturiser способна:

• распространяться на все файлы JAR в системе для заражения других модов, загруженных не с CurseForge или BukkitDev;
• похищать файлы cookie и информацию для входа в ряд браузеров;
• подменять криптовалютные адреса в буфере обмена на кошельки хакеров;
• похищать учетные данные Discord, Microsoft и Minecraft.

Представители CurseForge заблокировали все учетные записи, имеющие отношение к атакам. При этом они подчеркнули, что ни один из их администраторов не был взломан.

Пользователей призвали немедленно прекратить загрузку и обновление модов для игры, а также сменить пароли от всех учетных записей. 

Для облегчения поиска индикаторов компрометации расследователи инцидента опубликовали скрипты. CurseForge выпустила руководство по ликвидации заражения.

Исследователи создали робота для извлечения содержимого RAM

Сотрудники Red Balloon Security Анг Цуй и Юаньчжэ Ву представили криомеханического робота, способного извлекать содержимое оперативной памяти DDR3 с помощью низкой температуры.

Такая атака носит название Cold Boot Attack и достигается благодаря эффекту сохранения данных в динамической и статической оперативной памяти после выключения питания.

Устройство стоимостью менее $1000 буквально замораживает одну микросхему оперативной памяти. Чтобы считать данные, извлеченную физическую память помещают в FPGA.

«При таком подходе вы получаете код, все данные, стек и всю физическую память», — рассказали разработчики.

Исследователи полагают, что в случае использования более дорогой платформы для считывания памяти на основе FPGA (стоимостью порядка $10 000) их метод применим к сложным атакам на DDR4 и DDR5.

Противостоять Cold Boot Attack можно с помощью шифрования физической памяти.

В Twitter назвали нового вероятного руководителя BreachForums 

До конца июня хакерский форум BreachForums, закрытый спецслужбами США в марте, может возобновить работу под руководством хак-группы ShinyHunters. Об этом заявили в сообществе Vx-underground без указания источника информации.

BreachedForum will resume its activities later this month.

It has new administration. It will be lead by the infamous ShinyHunters group.

— vx-underground (@vxunderground) June 2, 2023

ShinyHunters известна с 2020 года и отметилась организацией резонансных утечек из T-Mobile и AT&T с убытками в десятки миллионов долларов.

Летом 2022 года силовики арестовали одного из участников группировки, француза Себастьяна Рауля. Позднее двух его сообщников задержали в Марокко. На текущий момент все они экстрадированы в США, где ожидают суда.

По мнению экспертов, за возобновлением работы BreachForums могут стоять американские спецслужбы. 

Злоумышленники создали Telegram-бот для заработка на фейковом поиске интимных фотографий

Эксперты «Лаборатории Касперского» обнаружили в Telegram чат-бот, который якобы основан на коде ChatGPT 4.0 и позволяет находить слитые интимные фотографии.

Пользователям предлагают проверить романтических партнеров, прислав ссылку на их профиль в социальных сетях или номер телефона. 

Затем сервис имитирует процесс поиска и сообщает об «обнаружении страницы в базе». Последняя, по словам авторов бота, состоит более чем из 10 млн фото и видео.

По итогу заказчик получает скриншоты со скрытым изображением и предполагаемой датой слива материалов. 

За разовое снятие блюра авторы бота требуют заплатить 399 рублей, за безлимитный доступ к базе — 990 рублей. Однако по факту пользователь просто теряет деньги и не получает никаких фото.

Также на ForkLog:

• США обвинили «красного админа» WEX во взломе Mt.Gox.
• Гэри Генслер назвал крипторынок полным мошенничества.
• Глава Binance предупредил сотрудников о слежке через мессенджеры.
• Сенаторы США заподозрили Binance в ложных заявлениях.
• SEC потребовала заморозки активов Binance.US, позднее филиал приостановил депозиты в долларах.
• SEC подала в суд на криптобиржу Coinbase. В компании назвали иск «подрывающим конкурентоспособность США», однако отказались менять бизнес-модель.
• СМИ обнаружили в иске SEC к Binance параллели с кейсом FTX.
• Gate.io пригрозила участникам криптосообщества иском из-за слухов о банкротстве.
• SEC подала в суд на Binance и Чанпэна Чжао. Биржа заявила о готовности «решительно защищаться» в суде, однако в этом ей может помешать сложная корпоративная структура.
• Разработчики Multichain устранили неисправность в протоколе.
• Reuters заявило о контроле Binance над счетами независимого филиала в США.
• До Квона выпустили под залог в Черногории. В дальнейшем ему может грозить тюремный срок в двух странах.
• Убытки от взлома кошелька Atomic Wallet превысили $35 млн. Позднее хакер отправил активы в используемый Lazarus Group миксер.
• Метрополитен-музей вернет полученные в качестве донатов от FTX $550 000.
• СМИ: в Москве у следователя обнаружили биткоины на $28 млн.

Что почитать на выходных?

Разбираем, чем чревато для Binance оказание услуг пользователям из России. 

Грозят ли Binance вторичные санкции за обслуживание граждан России?