Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности

Cybersec_Digest_1
Cybersec_Digest_1

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Uber столкнулась с утечкой из-за взлома стороннего поставщика.
  • Бывший участник банды-вымогателей URSNIF в качестве мести раскрыл личности подельников.
  • Серверы Minecraft атаковал ботнет MCCrash.
  • Государственные сайты Украины взломали с помощью лжеустановщиков Windows 10.

Uber столкнулась с утечкой из-за взлома стороннего поставщика

Uber расследует инцидент со взломом стороннего поставщика трекинговых услуг Teqtivity, который привел к утечке данных из компании.

Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности
Данные: RestorePrivacy.com.

В открытый доступ попали более 77 000 адресов электронной почты сотрудников, отчеты об управлении IT-активами, имена входа в домен Windows, а также другие сведения, включая предполагаемый исходный код платформы управления мобильными устройствами, используемыми Uber и Uber Eats.

В Teqtivity предположили, что хакер смог получить доступ к серверу резервного копирования Teqtivity AWS, на котором хранились исходники и файлы данных, относящиеся к ее клиентам. 

При этом, по словам поставщика, он «не собирает и не хранит конфиденциальную информацию, включая реквизиты банковских счетов или государственные идентификационные номера». 

Компания проводит расследование с привлечением правоохранителей.

По мнению Uber, форум, на котором был выложен архив с данными, относится к хакерской группе Lapsus$. Ее члены несут ответственность за сентябрьский взлом внутренней сети Uber и сервера Slack. Однако компания не обнаружила связь Lapsus$ с новым инцидентом и не заметила вредоносного доступа к своим системам.

Анализ утечки показал, что она связана с внутренней корпоративной информацией Uber и не включает ни одного из ее клиентов. Тем не менее утекшие данные содержат достаточно информации для проведения целевых фишинговых атак в отношении сотрудников компании.

Серверы Minecraft атаковал ботнет MCCrash

Исследователи Microsoft обнаружили гибридный Windows/Linux ботнет MCCrash, который выводит из строя серверы Minecraft, а также выполняет DDoS-атаки на другие платформы.

Название ботнета происходит от одной из исполняемых им команд: ATTACK_MCCRASH. Она вызывает аномальное потребление системных ресурсов сервера и ведет к его сбою.

В дальнейшем MCCrash пытается запустить на устройстве жертвы вредоносный скрипт malware.py, чтобы сделать его частью ботнета.

На данный момент вредонос запрограммирован только для атак на версию 1.12.2 серверного ПО Minecraft. Однако описанный метод также эффективен против версий 1.7.2–1.18.2, на которых работает около половины всех существующих серверов Minecraft. 

«Если вредоносное ПО будет обновлено для атак на все уязвимые версии, его охват может стать значительно шире», — предупредили в Microsoft.

Аналитики установили, что большинство зараженных устройств находится в России. Точное число пострадавших систем не приводится.

Австралийку приговорили к 5,5 годам тюрьмы за мошенничество с удостоверениями личности на $3,3 млн

24-летняя жительница Мельбурна, арестованная в 2019 году за кражу личных данных, получила 5,5 лет тюрьмы. Об этом сообщили в Австралийской федеральной полиции (AFP).

Женщина признала вину в ноябре 2021 года.

По данным AFT, она была частью международного преступного синдиката, занимавшегося крупномасштабными киберпреступлениями. Подсудимая похитила не менее $3,3 млн и отмыла еще $2,5 млн. Помимо этого, преступники пытались украсть у своих жертв $7,5 млн.

Фигурантка покупала похищенные личные данные реальных людей в даркнете и с помощью фиктивных SIM-карт подделывала адреса электронной почты для «захвата личных данных».

Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности
Данные: AFP.

В дальнейшем мошенники использовали эти личности, чтобы открыть более 60 банковских счетов в различных австралийских финансовых учреждениях, а затем украли деньги с пенсионных и торговых счетов жертв.

Похищенные средства перенаправлялись контактному лицу в Гонконге, который приобретал и перепродавал предметы роскоши. Часть отмытой суммы вернулась в Австралию в криптовалютах.

Бывший участник банды-вымогателей URSNIF в качестве мести раскрыл личности подельников

Пользователь Twitter под ником URSNIFleak, утверждающий, что он — бывший участник группировки вымогателей URSNIF, раскрыл реальные личности трех подельников в серии твитов. Об инциденте сообщили на BreachForums.

Хакер опубликовал фрагменты чатов переписки группировки и скриншоты исходного кода некоторых вредоносных программ URSNIF. В сообщениях помимо прочего обсуждались отмывание денег и ситуация в Украине.

Мотив — месть и попытка шантажа вымогателей. Аккаунт URSNIFleak перестал публиковать новый контент только после того, как лидер банды под псевдонимом CAP заплатил ему за молчание.

В последнем твите перед удалением аккаунта хакер написал:

«Я только что заработал больше денег за одну неделю, чем за годы. Платите работникам правильно и у них не будет причин сливать дерьмо».

Эксперты предполагают, что раздор произошел на почве не самых успешных операций по вымогательству.

Исследователи обнаружили ботнет, нацеленный на WordPress-сайты

Написанная на языке Go малварь GoTrim сканирует интернет в поисках WordPress-сайтов и пытается брутфорсом подобрать пароль администратора, чтобы получить контроль над ресурсом. Об этом сообщили специалисты Fortinet.

https://twitter.com/FortiGuardLabs/status/1602815637939707904

Первые атаки ботнета зафиксированы в конце сентября. Несмотря на продолжающуюся разработку, вредонос уже обладает мощными возможностями.

Он подключается к каждому сайту и пытается взломать учетные записи администраторов, перебирая логины и пароли из предоставленного операторами списка.

В случае успеха GoTrim передает информацию о новом заражении на управляющий сервер. Затем малварь извлекает бот-клиент с жестко заданного URL-адреса, после чего удаляет из зараженной системы скрипт и брутфорс-компонент.

Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности
Данные: Fortinet.

Управляющий сервер с помощью ботнета может удаленно:

  • проверить предоставленные учетные данные для доменов WordPress и OpenCart;
  • обнаружить установки CMS WordPress, Joomla!, OpenCart или Data Life Engine в домене;
  • ликвидировать малварь.

Если целевой сайт использует плагин CAPTCHA для борьбы с ботами, GoTrim загружает соответствующий решатель.

Стараясь избежать внимания команды безопасности WordPress, ботнет не атакует сайты, размещенные на WordPress.com, нацеливаясь только на порталы с собственными серверами.

Подобный взлом может привести к развертыванию вредоносного ПО, внедрению сценариев кражи кредитных карт, размещению фишинговых страниц и другим атакам, потенциально затрагивающим миллионы людей в зависимости от популярности взломанных сайтов.

Государственные сайты Украины взломали с помощью лжеустановщиков Windows 10

Украинские правительственные учреждения оказались скомпрометированы с помощью троянских ISO-файлов, выдающих себя за легитимных установщиков Windows 10. Об этом сообщили эксперты Mandiant.

Зараженные троянами ISO-образы Windows 10 распространялись через торрент-обменники.

Установщики доставляли на взломанные компьютеры вредоносное ПО, способное собирать и выгружать данные на серверы злоумышленников.

После первоначальной разведки хакеры также развернули бэкдоры Stowaway, Beacon и Sparepart, которые позволили им поддерживать доступ к скомпрометированным системам, выполнять команды, передавать файлы и красть информацию, включая нажатия клавиш.

По заявлению Mandiant, атакованные в ходе этой кампании организации ранее были в списке целей государственных хакеров APT28, связанных с российской военной разведкой.

Вымогатели LockBit атаковали Департамент финансов Калифорнии

Департамент финансов Калифорнии подвергся кибератаке, ответственность за которую взяла банда вымогателей LockBit.

Управление экстренных служб губернатора штата подтвердило инцидент, отметив, что атака не затронула бюджетные средства. Масштабы утечки в ведомстве не уточнили. 

По словам хакеров LockBit, они получили доступ к 75,3 ГБ данных, включая конфиденциальную информацию, финансовые и IT-документы.

На сайте утечек банды размещен счетчик. Они угрожают опубликовать все файлы, если не получат выкуп до 24 декабря.

Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности
Данные: Bleeping Computer.

Калифорнийский центр интеграции кибербезопасности начал расследование кибератаки.

Данные участников программы InfraGard от ФБР выставили на продажу за $50 000

Хакер USDoD выдал себя за главу неназванного финансового учреждения и обманом получил доступ к базе данных информационно-просветительской программы ФБР InfraGard, насчитывающей более 80 000 участников. Об этом сообщает KrebsOnSecurity.

InfraGard является доверенной сетью обмена информацией о киберугрозах с крупнейшими представителями частного сектора из числа критически важных инфраструктур США, в том числе работающих в атомной энергетике.

База данных выставлена на продажу за $50 000.

Хакер сообщил KrebsOnSecurity, что получил доступ к системе, подав заявку на регистрацию новой учетной записи. Для этого он использовал личные данные и номер соцстрахования главного исполнительного директора неназванной компании, которая соответствует условиям членства в программе ФБР.

От его же лица USDoD общался с участниками портала InfraGard.

Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности
Данные: KrebsOnSecurity.

Пользовательские данные хакер получил через API, встроенный в несколько ключевых компонентов сайта. 

В качестве гаранта сделки по продаже базы взломщик назначил главного админа BreachForums под ником Pompompurin. Эксперты предполагают, что утечка может быть частью более крупной цели хакера.

Представители ФБР подтвердили, что им известно о потенциально фейковой учетной записи на портале InfraGard. Проводится расследование.

Также на ForkLog:

Что почитать на выходных?

В этом материале мы рассказываем, что может угрожать безопасности майнеров и как этого избежать.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK