Передел на рынке биткоин-вымогателей, взлом ФНС РФ и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Приложения OAuth использовались для автоматизации скрытого майнинга

Исследователи Microsoft обнаружили серию киберинцидентов, в которых приложения OAuth использовались для автоматизации фишинговых атак, компрометации деловой почты и скрытого майнинга криптовалют.

Целью хакеров являлись учетные записи, в которых отсутствовали надежные механизмы аутентификации. Через захваченные аккаунты создавались новые приложения OAuth с высокими привилегиями, что обеспечивало вредоносу постоянный и при этом незаметный для пользователя доступ к системе. 

В одном из случаев группа злоумышленников Storm-1283 с помощью OAuth развернула виртуальные машины для майнинга криптовалют. Ущерб варьировался от $10 000 до $1,5 млн в зависимости от продолжительности атаки.

В совокупности эксперты нашли и удалили около 17 000 вредоносных версий приложения, с помощью которых с июля по ноябрь злоумышленники отправили более 927 000 фишинговых писем. 

ГРУ Украины заявило о взломе налоговой службы РФ

12 декабря киберподразделение Главной разведки Украины сообщило, что взломало 2300 региональных серверов Федеральной налоговой службы РФ посредством заражения их вредоносным ПО.

Согласно заявлению ГРУ, атака привела к полному уничтожению основной базы данных ведомства и ее резервных копий. Также была взломана российская IT-компания Office.ed-it.ru, предоставляющая ФНС услуги центра обработки данных, из-за чего нарушилась связь между территориальными управлениями налоговой и центральным офисом в Москве.

По оценкам украинской стороны, паралич российской налоговой системы сохранится минимум месяц, а ее полное восстановление маловероятно.

Издание Bleeping Computer не смогло независимо подтвердить эту информацию.

В Испании арестовали предполагаемого лидера хакеров Kelvin Security

7 декабря испанская полиция арестовала в Аликанте гражданина Венесуэлы, предположительно являющегося одним из руководителей хакерской группировки Kelvin Security. 

Правоохранители считают, что с 2020 года киберпреступники атаковали не менее 300 правительственных учреждений в 90 странах, включая Испанию, Германию, Италию, Аргентину, Чили, Японию и США. Похищенные данные продавались на хакерских форумах.

Задержанный, по версии следствия, отмывал преступные доходы посредством криптовалют.

Полиция конфисковала компьютерную технику, с помощью которой надеется установить сообщников фигуранта, покупателей данных и других аффилированных с ним лиц.

Сайты двух группировок вымогателей ушли в офлайн

На прошлой неделе серверная инфраструктура банд вымогателей ALPHV (BlackCat) и NoEscape внезапно стала недоступной. 

The leak site of the BlackCat ransomware gang is down from some hours ago…
🤔

— MalwareHunterTeam (@malwrhunterteam) December 7, 2023

Первые, спустя несколько дней, восстановили сайты переговоров и утечек данных, хотя и без контента. Инцидент они объяснили сбоями на стороне хостинга.

We've had a dozen or so people ask us about ALPHV and their sudden website outage.

1. We have NOT heard rumors of them being arrested, we also have NOT heard rumors of their servers being seized. The only mentions of these rumors are from other people asking us about these…

— vx-underground (@vxunderground) December 11, 2023

В свою очередь операторов NoEscape пользователи X заподозрили в экзит-скаме на несколько миллионов долларов.

While rumors about ALPHV are about, it looks like #NoEscape #Ransomware executed an exit scam and has stolen several deposits and possibly payouts from their operators. They have arbitrage complaints on all major hacking forums and appear to be banned on XSS and Exploit at the… pic.twitter.com/c4xwKwHz0X

— AzAl Security (@azalsecurity) December 11, 2023

Между тем ряд независимых источников предположил, что отключение инфраструктур обеих группировок могло произойти после вмешательства правоохранителей США. Издание Bleeping Computer независимо подтвердило эту информацию. 

Today, RedSense can confirm that #ALPHV aka #BlackCat ransomware gang’s site has been taken down by law enforcement @4D435A pic.twitter.com/ydx5irW86N

— RedSense (@RedSenseIntel) December 8, 2023

В то же время банда вымогателей LockBit, воспользовавшись моментом, объявила о намерении привлечь в свою команду операторов ALPHV и NoEscape.

Данные одной из жертв ALPHV — Немецкого энергетического агентства — уже размещены на сайте утечек LockBit.

@AlvieriD
Lockbit is calling affiliates of #Alphv and #NoEscape to "move to his own ransom program, where they can finish their negotiations" after issues we have saw with both ransom groups…

Also claiming a possible scam on both gangs. pic.twitter.com/dh4D133zNJ

— Who said what (@g0njxa) December 12, 2023

Toyota предупредила клиентов об утечке личной и финансовой информации

Toyota Financial Services, дочерняя компания Toyota Motor Corporation, уведомила клиентов, что третья сторона получила доступ к их конфиденциальным и финансовых данным. Инцидент произошел в ноябре и затронул филиалы в Европе и Африке.

Атаку организовали хакеры Medusa. После того, как им не удалось получить выкуп в размере $8 млн, они слили похищенную информацию на свой сайт утечек.

В число скомпрометированных данных вошли:

• полное имя;
• адрес проживания;
• информация о контракте;
• детали лизинга, покупки;
• IBAN.

Toyota продолжает внутреннее расследование и обещает оперативно проинформировать затронутых клиентов, если выявит дальнейшее раскрытие данных.

В РФ распространились мошеннические схемы с привлечением инвестиций в криптовалюты

С начала 2023 года ИБ-компания F.A.С.С.T. выявила 10 активных мошеннических партнерских программ, привлекающих пользователей из РФ посредством розыгрышей и криптоинвестиций.

Для масштабирования нелегального бизнеса злоумышленники приобретают готовые фишинговые ресурсы и шаблонные страницы с формами для оплаты, а также трафик за долю от украденных у жертв денег.

В основном мошеннические страницы посвящены лотереям с выбором коробочки с призом, инвестициям в криптовалюты и особенно «выгодным» акциям от маркетплейсов. Реже встречаются предложения купить «красивое» доменное имя для сайта.

Ежемесячно одна такая программа может приносить участникам «партнерского сообщества» около 4,3 млн рублей.

Также на ForkLog:

• Более $300 млн похищенных в 2023 году биткоинов прошли через миксеры.
• Взломщик Nirvana Finance согласился вернуть $12,3 млн.
• Пользователи Ledger пострадали от взлома коннектора кошелька с dapps.
• Hitachi и Concordium разработают биометрический криптокошелек.
• CoinList заплатит штраф в $1,2 млн за нарушение санкций против РФ.
• Минюст США предъявил обвинения организаторам криптоскама на $25 млн.
• Yearn Finance потерял $1,4 млн из-за ошибки с транзакцией.
• Отчет: ущерб криптоиндустрии от взломов сократился вдвое за год.
• Предполагаемого оператора шифровальщика Hive арестовали во Франции.
• Сеть «Киевстара» атаковали хакеры. Ответственность за взлом взяла российская группировка «Солнцепек».
• OKX DEX потеряла $430 000 в результате взлома.
• Китай внедрит цифровую идентификацию через блокчейн-платформу.
• Тяжелые времена для Binance: круглосуточный мониторинг и тяжба с SEC.
• HTX столкнулась с выводом $258 млн после хакерской атаки в ноябре.
• Tether заблокировала 161 адрес из санкционного списка США.
• Venus лишился $274 000 из-за сбоя работы оракулов Binance.
• «Биткоин-надписи» внесли в Национальную базу данных уязвимостей США.

Что почитать на выходных?

Рассказываем о специфике этичного хакинга вместе с сотрудниками украинской аналитической компании HAPI.