Слив данных Сбера, арест биткоин-вымогателей из DoppelPaymer и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

В сеть попали данные пользователей бонусной программы «СберСпасибо»

Хакерская группировка NLB утверждает, что взломала сервис бонусной программы «СберСпасибо». В открытом доступе оказалось два крупных дампа с личными данными клиентов банка.

Один из них на 6,3 млн строк содержит номера телефонов, адреса электронной почты, даты рождения и регистрации, хешированные номера банковских карт и другую служебную информацию за период с 1 апреля 2017 по 7 февраля 2022 года. 

Второй файл состоит из 48,3 млн строк с email-адресами и номерами телефонов.

Несмотря на то, что номера банковских карт хранятся в виде хеша, из-за использования устаревшего метода хеширования SHA1, эксперты считают, что хакеры смогут восстановить их реальные значения прямым перебором всех цифр.

Ранее группировка NLB уже объявляла о взломе внутренних IT-систем Сбера. Тогда в сеть попала база с контактами клиентов и сотрудников «СберЛогистики», а также данные пользователей платформы «СберПраво».

Инцидентом заинтересовался Роскомнадзор. В «СберСпасибо» также начали внутреннюю проверку. 

160 ГБ документов Acer выставлены на продажу на хакерском форуме

Тайваньский производитель компьютерной техники Acer подтвердил утечку более 160 ГБ данных, произошедшую в середине февраля.

Продавец под ником Kernelware выставил дамп на аукцион за криптовалюту Monero.

По его словам, предложивший наибольшую сумму покупатель получит технические руководства, программные инструменты, сведения о серверной инфраструктуре, документацию по моделям продуктов для телефонов, планшетов и ноутбуков, сменные цифровые ключи продукта, образы BIOS, файлы ПЗУ и ISO.

Согласно заявлению Acer, злоумышленник взломал один из ее серверов с электронной документацией для специалистов по ремонту.

Признаков нахождения на этом сервере данных о потребителях компания не обнаружила.

Ботнет Emotet возобновил рассылку спама после перерыва

Малварь Emotet после трехмесячного перерыва снова начала рассылать вредоносный спам. На это обратили внимание специалисты компаний Cofense и Cryptolaemus.

❗𝗕𝗥𝗘𝗔𝗞𝗜𝗡𝗚 𝗡𝗘𝗪𝗦❗#Emotet has resumed activity this morning, sending emails with attached .zip files that are not password protected.

Learn more below ⬇️ https://t.co/kbXBKNGzan

— Cofense (@Cofense) March 7, 2023

Для заражения пользовательских устройств злоумышленники используют письма, имитирующие различные инвойсы. К ним прикреплены ZIP-архивы, содержащие документы Word размером более 500 МБ. Такой объем затрудняет возможность обнаружения вредоноса антивирусами.

При открытии документа встроенные макросы скачивают загрузчик Emotet и запускают его в фоновом режиме. 

Сейчас малварь собирает новые учетные данные, а также ворует информацию из адресных книг для таргетинга. Из-за отсутствия дополнительных полезных нагрузок эксперты предполагают, что таким образом она собирает данные для будущих спам-кампаний.

Предыдущая активность Emotet в ноябре 2022 года продолжалась в течение двух недель.

Вымогателей из DoppelPaymer задержали в Украине и Германии

Правоохранительные органы Германии и Украины задержали двух человек, которые предположительно являются ключевыми участниками вымогательской группировки DoppelPaymer. Об этом сообщил Европол.

Сейчас следователи изучают изъятое у подозреваемых оборудование. 

По данным немецких властей, DoppelPaymer состояла из пяти основных участников, которые поддерживали инфраструктуру, администрировали сайты для утечек данных, развертывали шифровальщика и вели переговоры с жертвами.

Оставшиеся на свободе трое подозреваемых находятся в международном розыске:

• Игорь Гаршин — считается ответственным за разведку, взлом и развертывание малвари в сетях жертв;
• Игорь Турашев — предположительно принимал активное участие в атаках на немецкие компании в качестве администратора инфраструктуры и вредоносных программ;
• Ирина Земляникина — ответственна за начальный этап атаки и рассылку вредоносных писем, также занималась сайтами для утечек данных.

Турашев уже несколько лет входит в список самых разыскиваемых ФБР преступников. Власти США заочно предъявили ему обвинения в разработке малвари Dridex и участии в группировке Evil Corp.

Шифровальщик DoppelPaymer на базе программы-вымогателя BitPaymer появился в 2019 году. Он распространялся посредством фишинга и спам-писем с вложенными документами, содержащими вредоносный код. Атаки DoppelPaymer активировал ботнет Emotet.

ФБР предупредило о новых схемах кражи криптовалют через игры 

Киберпреступники используют поддельные вознаграждения в мобильных и онлайн-играх на базе концепции play-to-earn, чтобы похищать криптовалюты у пользователей. Об этом предупредили в ФБР.

Чтобы иметь возможность заработка в игре, жертвам предлагают купить криптовалюту и создать кошелек. При этом чем больше депозит, тем якобы выше будет предполагаемое вознаграждение.

Для возврата инвестиций у пользователей зачастую запрашивают оплату дополнительных налогов или сборов. Однако в реальности вывести средства они не могут.

Android-вредонос нацелился на 13 биткоин-кошельков и 400 банков

Вредоносная программа Xenomorph для Android выпустила новую версию, способную похищать учетные данные 400 банков и 13 криптовалютных кошельков. Об этом сообщили специалисты ThreatFabric.

THREAT UPDATE: ThreatFabric discovers a new strain #Xenomorph!
Xenomorph v3 adds a complete #ATS framework capable of Device Take Over (DTO), in addition more than 400 new financial institutions in its target list.https://t.co/7uPbA4HAj8

— ThreatFabric (@ThreatFabric) March 10, 2023

В числе целевых учреждений: Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo и другие банки со всего мира. Потенциально уязвимые криптовалютные кошельки: Binance, BitPay, KuCoin, Gemini и Coinbase.

Троян оснащен ATS-фреймворком, который позволяет ему автоматически извлекать учетные данные, проверять баланс счета, проводить транзакции и красть деньги из целевых приложений без выполнения удаленных действий.

Вредонос также способен регистрировать содержимое сторонних приложений аутентификации, преодолевая многофакторную защиту. Кроме того, встроенный похититель файлов cookie дает операторам возможность перехватывать сеансы жертвы и завладевать ее учетными записями.

По предположению ThreatFabric, разработчики планируют продавать Xenomorph через платформу MaaS. Эту гипотезу подтверждает запуск сайта, рекламирующего новую версию трояна.

В настоящее время Xenomorph v3 распространяется через платформу Zombinder в магазине Google Play, выдавая себя за конвертер валют и переключаясь на использование значка Play Protect после установки вредоносной полезной нагрузки.

Также на ForkLog:

• Hedera подверглась взлому на неназванную сумму.
• Нелегальный обменник с оборотом $34 млн заблокировали на Binance.
• Пришли в движение конфискованные с Silk Road биткоины на $1 млрд.
• Verichains предупредила о критических уязвимостях в Tendermint Core.
• Хакер вернул платформе Tender.fi активы на $1,59 млн за вознаграждение.
• SEC обвинила продавца майнеров Green United в мошенничестве на $18 млн.
• Аферисты «вооружились» ИИ для имитации голосов родственников своих жертв.
• В РФ мошенники объявили о старте инвестиций в «государственную криптовалюту».
• Взломавший Uranium Finance хакер переместил $3,3 млн на Tornado Cash.
• СМИ: криптомошенники в Египте обманули инвесторов на $620 000.
• В феврале DeFi-проекты потеряли от взломов $21 млн.
• Полиция Сингапура начала расследование против До Квона.
• Владельцев биткоин-банкоматов в США заподозрили в мошенничестве и отмывании средств.

Что почитать на выходных?

Совместно с аналитиками ForkLog разобрался, какие из взаимодействовавших с криптообменной платформой Bitzlato компаний могут стать фигурантами новых расследований и как это отразится на их пользователях.