Передел на рынке биткоин-вымогателей, взлом ФНС РФ и другие события кибербезопасности

Cybersec_Digest_2
Cybersec_Digest_2

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • ГРУ Украины заявило о взломе налоговой службы РФ.
  • Сайты двух группировок вымогателей ушли в офлайн.
  • Приложения OAuth использовались для автоматизации скрытого майнинга.
  • В Испании арестовали предполагаемого лидера хакеров Kelvin Security.

Приложения OAuth использовались для автоматизации скрытого майнинга

Исследователи Microsoft обнаружили серию киберинцидентов, в которых приложения OAuth использовались для автоматизации фишинговых атак, компрометации деловой почты и скрытого майнинга криптовалют.

Целью хакеров являлись учетные записи, в которых отсутствовали надежные механизмы аутентификации. Через захваченные аккаунты создавались новые приложения OAuth с высокими привилегиями, что обеспечивало вредоносу постоянный и при этом незаметный для пользователя доступ к системе. 

В одном из случаев группа злоумышленников Storm-1283 с помощью OAuth развернула виртуальные машины для майнинга криптовалют. Ущерб варьировался от $10 000 до $1,5 млн в зависимости от продолжительности атаки.

Figure-1-OAuth-application-for-cryptomining-attack-chain
Данные: Microsoft. 

В совокупности эксперты нашли и удалили около 17 000 вредоносных версий приложения, с помощью которых с июля по ноябрь злоумышленники отправили более 927 000 фишинговых писем. 

ГРУ Украины заявило о взломе налоговой службы РФ

12 декабря киберподразделение Главной разведки Украины сообщило, что взломало 2300 региональных серверов Федеральной налоговой службы РФ посредством заражения их вредоносным ПО.

Согласно заявлению ГРУ, атака привела к полному уничтожению основной базы данных ведомства и ее резервных копий. Также была взломана российская IT-компания Office.ed-it.ru, предоставляющая ФНС услуги центра обработки данных, из-за чего нарушилась связь между территориальными управлениями налоговой и центральным офисом в Москве.

20231212-02-01
Данные: ГРУ.

По оценкам украинской стороны, паралич российской налоговой системы сохранится минимум месяц, а ее полное восстановление маловероятно.

Издание Bleeping Computer не смогло независимо подтвердить эту информацию.

В Испании арестовали предполагаемого лидера хакеров Kelvin Security

7 декабря испанская полиция арестовала в Аликанте гражданина Венесуэлы, предположительно являющегося одним из руководителей хакерской группировки Kelvin Security. 

Правоохранители считают, что с 2020 года киберпреступники атаковали не менее 300 правительственных учреждений в 90 странах, включая Испанию, Германию, Италию, Аргентину, Чили, Японию и США. Похищенные данные продавались на хакерских форумах.

Задержанный, по версии следствия, отмывал преступные доходы посредством криптовалют.

Полиция конфисковала компьютерную технику, с помощью которой надеется установить сообщников фигуранта, покупателей данных и других аффилированных с ним лиц.

Сайты двух группировок вымогателей ушли в офлайн

На прошлой неделе серверная инфраструктура банд вымогателей ALPHV (BlackCat) и NoEscape внезапно стала недоступной. 

Первые, спустя несколько дней, восстановили сайты переговоров и утечек данных, хотя и без контента. Инцидент они объяснили сбоями на стороне хостинга.

В свою очередь операторов NoEscape пользователи X заподозрили в экзит-скаме на несколько миллионов долларов.

Между тем ряд независимых источников предположил, что отключение инфраструктур обеих группировок могло произойти после вмешательства правоохранителей США. Издание Bleeping Computer независимо подтвердило эту информацию. 

В то же время банда вымогателей LockBit, воспользовавшись моментом, объявила о намерении привлечь в свою команду операторов ALPHV и NoEscape.

Данные одной из жертв ALPHV — Немецкого энергетического агентства — уже размещены на сайте утечек LockBit.

Toyota предупредила клиентов об утечке личной и финансовой информации

Toyota Financial Services, дочерняя компания Toyota Motor Corporation, уведомила клиентов, что третья сторона получила доступ к их конфиденциальным и финансовых данным. Инцидент произошел в ноябре и затронул филиалы в Европе и Африке.

letter
Данные: Heise. 

Атаку организовали хакеры Medusa. После того, как им не удалось получить выкуп в размере $8 млн, они слили похищенную информацию на свой сайт утечек.

В число скомпрометированных данных вошли:

  • полное имя;
  • адрес проживания;
  • информация о контракте;
  • детали лизинга, покупки;
  • IBAN.

Toyota продолжает внутреннее расследование и обещает оперативно проинформировать затронутых клиентов, если выявит дальнейшее раскрытие данных.

В РФ распространились мошеннические схемы с привлечением инвестиций в криптовалюты

С начала 2023 года ИБ-компания F.A.С.С.T. выявила 10 активных мошеннических партнерских программ, привлекающих пользователей из РФ посредством розыгрышей и криптоинвестиций.

Для масштабирования нелегального бизнеса злоумышленники приобретают готовые фишинговые ресурсы и шаблонные страницы с формами для оплаты, а также трафик за долю от украденных у жертв денег.

В основном мошеннические страницы посвящены лотереям с выбором коробочки с призом, инвестициям в криптовалюты и особенно «выгодным» акциям от маркетплейсов. Реже встречаются предложения купить «красивое» доменное имя для сайта.

blog1
Партнерские программы мошенников в цифрах. Данные: F.A.С.С.T.

Ежемесячно одна такая программа может приносить участникам «партнерского сообщества» около 4,3 млн рублей.

Также на ForkLog:

Что почитать на выходных?

Рассказываем о специфике этичного хакинга вместе с сотрудниками украинской аналитической компании HAPI.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK