Масштабная блокировка IP-адресов в Туркменистане, активизация хакеров в Telegram и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

В Telegram зафиксировали двукратный рост рынка преступных киберуслуг

Во II квартале 2022 года специалисты Positive Technologies отметили рекордное количество постов на хакерскую тематику — свыше 27 000, что в 2,5 раза больше, чем за аналогичный период прошлого года.

https://twitter.com/ptsecurity/status/1579841774646067214

Эксперты объясняют такой рост возможным массовым переходом пользователей киберпреступных форумов в мессенджеры: 

«Это произошло после выявления в 2020-2021 годах множества критически опасных уязвимостей в движках даркнет-форумов и их последующих взломов».

Большинство проанализированных сообщений посвящены:

• торговле пользовательскими данными и мошенническим операциям — 52%;
• киберпреступным услугам — 29%;
• распространению вредоносного ПО — 15%. 

Среди вредоносов самыми востребованными стали программы для удаленного управления (30%), а также стилеры (16%). Стоимость последних может составлять от $10 до $3500.

На цену готового ВПО влияют тип вредоноса, его функциональные возможности и сроки использования программы. Инструменты для запутывания кода стоят от $20 до $100, ботнет или руководство по его созданию — до $750. Стоимость майнера колеблется от $10 до $1000.

66% сообщений на тему киберпреступных услуг составляют обсуждения обналичивания денежных средств, включая вывод криптовалют. DDoS-атаки оказались вторыми по популярности — 16%. Еще около 9% постов — предложения услуг по взлому ресурсов, в том числе кража почтовых аккаунтов и страниц в соцсетях.

Сообщения об услугах по взлому аккаунтов «ВКонтакте», Telegram, WhatsApp, Viber и других соцсетей и мессенджеров составляют 72% от общего числа публикаций о взломе ресурсов. Компрометация аккаунта «ВКонтакте» обойдется от $10 до $50. Стоимость взлома мессенджера начинается от $350.

Большинство сообщений на тему учетных данных посвящено продаже аккаунтов стриминговых платформ, соцсетей, биткоин-бирж и брокерских контор.

В исследовании также говорится о популярности в Telegram услуг SMS-спама (54%) и массовой почтовой рассылки (32%). Цены обычно рассчитываются в зависимости от длительности рассылки или от количества сообщений. Средняя стоимость для одного почтового адреса — около 50 рублей за час спама или за 1000 писем.

Туркменистан заблокировал почти треть глобальных IP-адресов 

Власти Туркменистана заблокировали более 1,2 млрд 32-битных IP-адресов, что составляет около трети от их общего количества. Об этом сообщают местные СМИ.

Журналисты получили копию госпрограммы по обеспечению кибербезопасности страны на 2022-2025 годы, согласно которой власти намерены создать автономную национальную цифровую сеть посредством изоляции туркменского сектора интернета.

Дополнительно правительство планирует подготовить профильных специалистов, проводить разъяснительные беседы с гражданами и соревнования по кибербезопасности.

На текущий момент в Туркменистане заблокирован доступ к соцсетям Facebook, Twitter, «ВКонтакте», видеохостингу YouTube, а также ко всем западным новостным сайтам и местным независимым изданиям.

В 2022 году страна занимает последнее место в мире по скорости интернета — 0,7 мегабит в секунду.

Помимо этого в Туркменистане блокируют VPN-сервисы, а граждан штрафуют за их использование.

Сервер Minecraft подвергся крупнейшей DDoS-атаке ботнета

Провайдер сетевых услуг Cloudflare остановил DDoS-атаку на сервер Minecraft Wynncraft, запущенную ботнетом Mirai. 

In Q3, Cloudflare automatically detected and mitigated multiple attacks that exceeded 1 Tbps. The largest attack was a 2.5 Tbps DDoS attack launched by a Mirai botnet variant, aimed at the Minecraft server, Wynncraft. https://t.co/IURX75eRk6

— Cloudflare (@Cloudflare) October 14, 2022

Атака длилась около двух минут и состояла из пакетов UDP и TCP, которыми злоумышленники пытались перегрузить сервер, чтобы не допустить на него сотни тысяч игроков. Пиковая мощность доходила до 2,5 Тбит/с.

Эксперты назвали инцидент рекордным с точки зрения битрейта.

Minecraft Wynncraft — самый крупный MMORPG-сервер игры, вошедший в 2017 году в Книгу рекордов Гиннеса.

Toyota сообщила об утечке из-за находившегося в течение пяти лет на GitHub ключа доступа

Производитель автомобилей Toyota Motor Corporation предупредил клиентов о возможной утечке личной информации. 

Корпорация признала, что в течение пяти лет на GitHub размещался ключ доступа к серверу с данным из официального приложения T-Connect. Оно позволяет связать смартфон с информационно-развлекательной системой автомобиля для телефонных звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состоянии двигателя и расходе топлива.

В период с декабря 2017 по сентябрь 2022 года третьи лица потенциально могли получить доступ к адресам электронной почты 296 019 клиентов Toyota. Компания уже сделала репозиторий приватным и сменила ключ для доступа к серверу.

По заявлению корпорации, утечка не затронула имена клиентов, информацию о кредитных картах и номера телефонов, поскольку они не хранились в скомпрометированной базе данных.

Ошибка произошла по вине неназванного стороннего подрядчика по разработке, добавили в Toyota.

Полиция Италии заблокировала 545 пиратских Telegram-каналов

Итальянские власти провели масштабную кампанию по пресечению бесплатного распространения лицензионного контента в Telegram. Об этом сообщили местные СМИ.

Полиции удалось заблокировать 545 ориентированных на итальянскую аудиторию каналов с суммарной аудиторией 430 000 человек. 

Проведены обыски в квартирах восьми потенциальных администраторов, проживавших в Ломбардии, Пьемонте, Венето, Эмилии-Романье и Кампании. Им объявлено о подозрении в пиратстве. 

Монетизация каналов происходила двумя способами:

• классическое размещение рекламы;
• реферальные ссылки на сайтах электронной коммерции.

Правоохранители с 2019 года мониторили Telegram-каналы, которые так или иначе связаны с пиратским контентом. При этом выявлены минимум 6500 пользователей, причастных к незаконному распространению фильмов, телешоу, газет и журналов.

Кардерский сайт BidenCash бесплатно опубликовал данные 1,2 млн банковских карт

Администрация даркнет-ресурса BidenCash выложила в открытый доступ дамп с информацией о 1 221 551 банковской карте со всего мира, позволяя любому желающему загрузить эти данные. На это обратила внимание компания Cyble.

Срок действия карт находится в диапазоне между 2023 и 2026 годами. Большинство принадлежат пользователям из США. Затронуты также банковские клиенты из Индии, Бразилии, Великобритании, Мексики, Турции, Испании, Италии, Австралии и Китая.

Для большинства карт доступны следующие типы данных:

• номер карты;
• срок действия;
• CVV-номер;
• имя владельца;
• название банка;
• тип карты, статус и класс;
• адрес владельца (штат и почтовый индекс);
• адрес электронной почты;
• номер социального страхования;
• номер телефона.

По предположению Cyble, хакеры получили доступ к картам посредством веб-скиммеров — вредоносных скриптов, внедряемых в интернет-магазины. 

Несмотря на то, что в основном дамп оказался переработан и составлен из других утечек, например, из маркетплейса All World Cards, исследователи D3Lab подтвердили реальность 30% данных из нескольких итальянских банков. 

Исходя из этого, примерно 350 000 карт, распространяемых злоумышленниками, могут оказаться действительными. 

При этом итальянские банки-эмитенты уже заблокировали половину из них после обнаружения мошеннической активности. Таким образом ценность для хакеров может представлять около 10% утечки.

Хакеры Polonium использовали семь бэкдоров против организаций Израиля

Исследователи безопасности ESET обнаружили ранее неизвестное вредоносное ПО, используемое ливанской хакерской группировкой Polonium против IT-, юридических, коммуникационных, маркетинговых и страховых израильских организации. На момент написания кампании группы все еще активны.

Впервые деятельность Polonium задокументировала команда Microsoft Threat Intelligence в июне 2022 года, связав хакеров с Министерством разведки и безопасности Ирана.

Согласно имеющимся данным, Polonium занимается исключительно кибершпионажем и не развертывает очистители данных, программы-вымогатели или другие инструменты, повреждающие файлы.

С сентября 2021 года хакеры использовали как минимум семь вариантов пользовательских бэкдоров, в том числе четыре ранее незадокументированных — TechnoCreep, FlipCreep, MegaCreep и PapaCreep.

Часть из них использует легитимные облачные сервисы OneDrive, Dropbox и Mega в качестве серверов управления и контроля (C2). Другие прибегают к стандартному TCP-соединению с удаленными серверами C2 или получают команды для выполнения из файлов, размещенных на FTP-серверах.

Бэкдоры способны фиксировать нажатия клавиш, делать снимки рабочего стола и фотографии с помощью веб-камеры, выгружать файлы с хоста, устанавливать дополнительные вредоносные программы и выполнять команды на зараженном устройстве.

Вредонос PapaCreep является модульным и способен разбивать выполнение команд на мелкие независимые компоненты, что затрудняет его обнаружение.

ESET не удалось обнаружить тактику Polonium по компрометации сети, но Microsoft ранее сообщала, что группа использовала для взлома сетей известные недостатки VPN-сервисов.

Также на ForkLog:

• Хакер согласился вернуть Transit Swap еще $2,74 млн за вознаграждение в $686 000.
• Сложная биткоин-транзакция вызвала сбой Lightning Network.
• Неизвестный вывел с блокчейн-платформы QANplatform более $1 млн.
• Хакер похитил с TempleDAO $2,3 млн.
• DeFi-платформа Mango Markets потеряла более $100 млн из-за манипуляций с ценой нативного токена. Взлом прокомментировал Сэм Бэнкман-Фрид.
• В BNB Chain проведут хардфорк после взлома на $100 млн.
• Chainalysis: октябрь обновил антирекорд по ущербу от хакеров.
• В Москве соберут данные со всех российских камер уличного наблюдения.

Что почитать на выходных?

Предлагаем вспомнить материал о тенденциях снижения уровня свободы в сети.

От хакеров и шифропанков до защитников свободы в онлайне — пять программных манифестов интернета

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.