Заражение майнером в 164 странах, Израиль под ударом хакеров и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Более 250 000 компьютеров заразились майнером после скачивания торрент-файла.
- Червь-шпион пять лет скрывал свои настоящие функции.
- Турецкие хакеры заявили о взломе систем Минобороны Израиля.
- Под блокировку в РФ попали 167 VPN и свыше 200 почтовых сервисов.
Более 250 000 компьютеров заразились майнером после скачивания торрент-файла
Специалисты Positive Technologies обнаружили кампанию autoit stealer по распространению скрытого майнера через пиратское ПО на торрентах. Она уже заразила более 250 000 компьютеров под управлением Windows в 164 странах.
Подавляющее число пострадавших — более 200 000 — находится в РФ, Украине, Беларуси и Узбекистане.
В основном жертвами становятся обычные пользователи, но встречаются также госструктуры, нефтяные и газовые компании, медучреждения, ритейл и IT-фирмы.
Заражение происходит после скачивания вредоносного торрент-файла с сайта topsoft.space. Попадая на устройство жертвы, малварь собирает информацию о системе, устанавливает майнер XMRig и архивирует содержимое папки Telegram — tdata.
Последнее позволяет злоумышленнику получить доступ к сессии пользователя в мессенджере, незаметно следить за перепиской и выгружать данные из аккаунта. Даже при наличии двухфакторной аутентификации в виде пароля хакер может его успешно сбрутфорсить.
В качестве контрольного сервера выступает Telegram-бот. Проанализировав сообщения из него, Positive Technologies установили предполагаемого оператора вредоноса под ником splokk.
По совокупности данных эксперты считают, что вероятная цель атаки — перепродажа похищенных доступов в Telegram.
Червь-шпион пять лет отвлекал внимание от своих функций встроенным майнером
Вредоносный фреймворк StripedFly с 2017 года выдавал себя за обычный скрытый криптомайнер, однако в реальности оказался сложной малварью с функцией шпионажа. Об этом сообщили исследователи «Лаборатории Касперского».
#StripedFly, it's just another #CryptoMiner, right? That's what we thought as well. However after initial analysis we discovered something much more complex and insidious… 🧵 pic.twitter.com/6sKnpOKd2n
— Securelist (@Securelist) October 26, 2023
StripedFly ориентирован на компьютеры под управлением Windows и Linux. В течение пяти лет его жертвами стали более миллиона пользователей по всему миру.
Свежий анализ показал, что полезная нагрузка из нескольких модулей позволяет вредоносу выступать в роли APT, криптомайнера, программы-вымогателя и шпиона.
Каждые два часа он собирает с зараженного устройства учетные данные для входа на различные сайты и для подключения к Wi-Fi, а также персональную информацию пользователя, включая имя, адрес, номер телефона, место работы и должность.
Малварь может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.
Помимо этого, StripedFly обладает сложной системой маскировки трафика через Tor, автоматически обновляется с доверенных платформ и распространяется по аналогии с червями через кастомную версию эксплойта EternalBlue.
В «Лаборатории Касперского» предупредили, что кампания активна до сих пор, хотя и в меньших масштабах.
Турецкие хакеры заявили о взломе систем Минобороны Израиля
Хакерская группа Ayyıldız Tim из Турции утверждает, что взломала системы министерства обороны Израиля и получила доступ к секретным данным о его деятельности и кадровом составе.
İsrail Savunma Bakanlığa ait çok gizli askeri veriler, tatbikat verileri ve personel verileri Ayyıldız Tim tarafından hacklenip ele geçirilmiştir.
— Ayyıldız Tim 🇹🇷 (@AyyildizTim209) October 22, 2023
Türk’ün gücünü göreceksiniz!
Sessizce nöbetteyiz!#AyyıldızTim 🇹🇷 pic.twitter.com/wRkJur8fZt
В своем Х хакеры также сообщили о планах атаковать фондовую биржу, электроэнергетическую инфраструктуру и системы плотин Израиля «после поступления соответствующего приказа».
Оборонное ведомство не комментировало ситуацию.
В Испании арестовали 34 кибермошенников, отмывавших деньги через криптовалюты
Полиция Испании ликвидировала киберпреступную группировку, которая посредством различных схем похищала конфиденциальные данные и деньги. От ее действий пострадали свыше 4 млн человек.
По данным следствия, злоумышленники занимались телефонным скамом, проводили масштабные фишинговые рассылки под видом поставщиков электроэнергии и сервисов доставки.
Кроме того, они взламывали различные финансовые компании, связывались с их клиентами и просили выплатить кредит, якобы выданный им в результате технической ошибки. Похищенные пользовательские данные также перепродавались другим киберпреступникам.
В общей сложности злоумышленники получили около $3,2 млн и отмывали их в том числе через криптовалюты.
Правоохранители арестовали 34 человека и провели 16 обысков, в ходе которых конфисковали огнестрельное и холодное оружие, четыре люксовых автомобиля, €80 000 наличными, а также компьютеры с базой данных четырех миллионов граждан.
В CCleaner подтвердили утечку из-за инцидента с Cl0p MOVEit Transfer
Разработчики утилиты для очистки файлов CCleaner разослали пользователям письма с информацией о взломе, произошедшем из-за инцидента с Cl0p MOVEit Transfer.
По их словам, злоумышленники смогли похитить данные некоторых сотрудников и клиентов, включая их имя, адрес электронной почты и номер телефона.
Тем не менее CCleaner классифицировала нарушение как утечку с низким уровнем риска.
Компания продолжает проверку и намерена предоставить всем пострадавшим бесплатные услуги мониторинга даркнета для поиска персональной информации.
Атаковавший Cisco хакер модифицировал бэкдор для маскировки
В минувшие выходные количество скомпрометированных из-за уязвимости нулевого дня устройств Cisco под управлением IOS XE резко сократилось с 40 000 до нескольких сотен.
Please note that a potential trace cleaning step is underway to hide the implant (following exploitation of #CVE-2023-20198) 1/2 https://t.co/i9y2MzwpZ5
— CERT Orange Cyberdefense (@CERTCyberdef) October 21, 2023
Как выяснили специалисты Fox-IT NCC Group злоумышленники модифицировали бэкдор для сокрытия от обнаружения во время сканирования. Теперь он отвечает только в случае установки правильного HTTP-заголовка авторизации.
По оценкам экспертов, количество затронутых устройств по-прежнему составляет не менее 37 000, включая промышленные Ethernet-коммутаторы Stratix от Rockwell Automation.
В свою очередь Cisco сообщила об обнаружении новой уязвимости нулевого дня, использованной в атаке для повышения привилегий и получения root-доступа.
Патчи для обеих проблем уже доступны на сайте компании наряду с механизмом проверки рабочей станции на наличие импланта.
Эксперты не исключили, что массовый взлом устройств на IOS XE может оказаться приманкой для сокрытия реальных целей злоумышленников.
Под блокировку в РФ попали 167 VPN и более 200 почтовых сервисов
Роскомнадзор в рамках противодействия угрозам безопасности и устойчивости рунета ограничил работу 167 VPN, более 590 000 информационных ресурсов и свыше 200 почтовых сервисов. Об этом сообщает Интерфакс.
При этом средняя эффективность блокировки VPN оценена в 90%.
Кроме того, РКН заблокировал работу 2000 фишинговых сайтов, 84 приложений и более 20 центров распространения вредоносного ПО.
Курируемая ведомством автоматизированная система безопасности интернета в настоящий момент покрывает «практически 100% трафика операторов связи», который в совокупности превышает 100 Тбит/сек.
Также на ForkLog:
- Создатели «поддельных» токенов BAYC выплатят $1,6 млн Yuga Labs.
- В РФ завели первое дело о госизмене из-за доната в крипте.
- Великобритания приняла законопроект, упрощающий конфискацию криптоактивов.
- Гэри Генслер вновь напомнил об избытке афер в криптоиндустрии.
- Elliptic указали на незначительную долю криптовалют в финансировании ХАМАС.
- Unciphered предложила взломать кошелек экс-CTO Ripple c 7000 BTC.
- Суд в Испании обвинил хакера в консультировании «русской мафии» о биткоине.
- Руководство CipherBlade обвинили в краже активов и «захвате» компании.
- Эксперт обнаружил движение 4800 BTC закрытого даркнет-рынка Abraxas.
- Биткоин-разработчик раскрыл критическую уязвимость Lightning Network.
Что почитать на выходных?
Интервью с победителями хакатона DemHack о том, почему не стоит бояться, что диктатуры умеют пользоваться передовыми технологиями.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!