Заражение майнером в 164 странах, Израиль под ударом хакеров и другие события кибербезопасности

Cybersec_Digest_3
Cybersec_Digest_3

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Более 250 000 компьютеров заразились майнером после скачивания торрент-файла.
  • Червь-шпион пять лет скрывал свои настоящие функции.
  • Турецкие хакеры заявили о взломе систем Минобороны Израиля.
  • Под блокировку в РФ попали 167 VPN и свыше 200 почтовых сервисов.

Более 250 000 компьютеров заразились майнером после скачивания торрент-файла

Специалисты Positive Technologies обнаружили кампанию autoit stealer по распространению скрытого майнера через пиратское ПО на торрентах. Она уже заразила более 250 000 компьютеров под управлением Windows в 164 странах.

Подавляющее число пострадавших — более 200 000 — находится в РФ, Украине, Беларуси и Узбекистане.

1-1-3
Данные: Positive Technologies.

В основном жертвами становятся обычные пользователи, но встречаются также госструктуры, нефтяные и газовые компании, медучреждения, ритейл и IT-фирмы.

Заражение происходит после скачивания вредоносного торрент-файла с сайта topsoft.space. Попадая на устройство жертвы, малварь собирает информацию о системе, устанавливает майнер XMRig и архивирует содержимое папки Telegram — tdata.

Последнее позволяет злоумышленнику получить доступ к сессии пользователя в мессенджере, незаметно следить за перепиской и выгружать данные из аккаунта. Даже при наличии двухфакторной аутентификации в виде пароля хакер может его успешно сбрутфорсить

В качестве контрольного сервера выступает Telegram-бот. Проанализировав сообщения из него, Positive Technologies установили предполагаемого оператора вредоноса под ником splokk.

11-10
Данные: Positive Technologies.

По совокупности данных эксперты считают, что вероятная цель атаки — перепродажа похищенных доступов в Telegram.

Червь-шпион пять лет отвлекал внимание от своих функций встроенным майнером

Вредоносный фреймворк StripedFly с 2017 года выдавал себя за обычный скрытый криптомайнер, однако в реальности оказался сложной малварью с функцией шпионажа. Об этом сообщили исследователи «Лаборатории Касперского».

StripedFly ориентирован на компьютеры под управлением Windows и Linux. В течение пяти лет его жертвами стали более миллиона пользователей по всему миру. 

Свежий анализ показал, что полезная нагрузка из нескольких модулей позволяет вредоносу выступать в роли APT, криптомайнера, программы-вымогателя и шпиона. 

Каждые два часа он собирает с зараженного устройства учетные данные для входа на различные сайты и для подключения к Wi-Fi, а также персональную информацию пользователя, включая имя, адрес, номер телефона, место работы и должность. 

Малварь может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.

Помимо этого, StripedFly обладает сложной системой маскировки трафика через Tor, автоматически обновляется с доверенных платформ и распространяется по аналогии с червями через кастомную версию эксплойта EternalBlue.

В «Лаборатории Касперского» предупредили, что кампания активна до сих пор, хотя и в меньших масштабах.

Турецкие хакеры заявили о взломе систем Минобороны Израиля

Хакерская группа Ayyıldız Tim из Турции утверждает, что взломала системы министерства обороны Израиля и получила доступ к секретным данным о его деятельности и кадровом составе.

В своем Х хакеры также сообщили о планах атаковать фондовую биржу, электроэнергетическую инфраструктуру и системы плотин Израиля «после поступления соответствующего приказа».

Оборонное ведомство не комментировало ситуацию.

В Испании арестовали 34 кибермошенников, отмывавших деньги через криптовалюты

Полиция Испании ликвидировала киберпреступную группировку, которая посредством различных схем похищала конфиденциальные данные и деньги. От ее действий пострадали свыше 4 млн человек.

По данным следствия, злоумышленники занимались телефонным скамом, проводили масштабные фишинговые рассылки под видом поставщиков электроэнергии и сервисов доставки. 

Кроме того, они взламывали различные финансовые компании, связывались с их клиентами и просили выплатить кредит, якобы выданный им в результате технической ошибки. Похищенные пользовательские данные также перепродавались другим киберпреступникам.

В общей сложности злоумышленники получили около $3,2 млн и отмывали их в том числе через криптовалюты.

Правоохранители арестовали 34 человека и провели 16 обысков, в ходе которых конфисковали огнестрельное и холодное оружие, четыре люксовых автомобиля, €80 000 наличными, а также компьютеры с базой данных четырех миллионов граждан.

В CCleaner подтвердили утечку из-за инцидента с Cl0p MOVEit Transfer

Разработчики утилиты для очистки файлов CCleaner разослали пользователям письма с информацией о взломе, произошедшем из-за инцидента с Cl0p MOVEit Transfer.

По их словам, злоумышленники смогли похитить данные некоторых сотрудников и клиентов, включая их имя, адрес электронной почты и номер телефона.

Тем не менее CCleaner классифицировала нарушение как утечку с низким уровнем риска.

Компания продолжает проверку и намерена предоставить всем пострадавшим бесплатные услуги мониторинга даркнета для поиска персональной информации.

Атаковавший Cisco хакер модифицировал бэкдор для маскировки

В минувшие выходные количество скомпрометированных из-за уязвимости нулевого дня устройств Cisco под управлением IOS XE резко сократилось с 40 000 до нескольких сотен.

Как выяснили специалисты Fox-IT NCC Group злоумышленники модифицировали бэкдор для сокрытия от обнаружения во время сканирования. Теперь он отвечает только в случае установки правильного HTTP-заголовка авторизации. 

По оценкам экспертов, количество затронутых устройств по-прежнему составляет не менее 37 000, включая промышленные Ethernet-коммутаторы Stratix от Rockwell Automation.

В свою очередь Cisco сообщила об обнаружении новой уязвимости нулевого дня, использованной в атаке для повышения привилегий и получения root-доступа. 

Патчи для обеих проблем уже доступны на сайте компании наряду с механизмом проверки рабочей станции на наличие импланта.

Эксперты не исключили, что массовый взлом устройств на IOS XE может оказаться приманкой для сокрытия реальных целей злоумышленников.

Под блокировку в РФ попали 167 VPN и более 200 почтовых сервисов

Роскомнадзор в рамках противодействия угрозам безопасности и устойчивости рунета ограничил работу 167 VPN, более 590 000 информационных ресурсов и свыше 200 почтовых сервисов. Об этом сообщает Интерфакс.

При этом средняя эффективность блокировки VPN оценена в 90%.

Кроме того, РКН заблокировал работу 2000 фишинговых сайтов, 84 приложений и более 20 центров распространения вредоносного ПО.

Курируемая ведомством автоматизированная система безопасности интернета в настоящий момент покрывает «практически 100% трафика операторов связи», который в совокупности превышает 100 Тбит/сек.

Также на ForkLog:

Что почитать на выходных?

Интервью с победителями хакатона DemHack о том, почему не стоит бояться, что диктатуры умеют пользоваться передовыми технологиями. 

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK