+7 (800) 333-17-63

Дайджест событий в мире кибербезопасности за 2022 год

Масштабы и разнообразие киберпреступлений в 2022 году впечатляют. Редакция DDoS-Guard просмотрела тысячи инфоповодов и сделала подборку с инфографикой.

Обложка статьи: дайджест новостей за 2022 год

Январь

2022 год начался с нестандартных краж: киберпреступники похитили NFT-токены со «скучающими обезьянами» на 2,2 млн долларов, получив доступ к облачному хранилищу коллекционера Тодда Крамера.
 

NFT (non-fungible token — англ.) представляет собой уникальный виртуальный идентификатор, созданный на базе блокчейн-технологий. NFT используют для подтверждения прав на владение цифровыми активами: изображениями, музыкой, игровыми предметами и другими.

Иллюстрация Bored Ape Yacht Club
Автор: Bored Ape Yacht Club

Сразу две финансовые онлайн-платформы стали жертвами взлома. Сначала хакеры увели $80 млн цифровых активов из Qubit. А позже у пользователей криптобиржи Crypto.com украли $15 млн.

Пожалуй, самая громкая новость января, разлетевшаяся по всему миру, связана с арестом хакерской группировки REvil. В течение многих лет REvil зарабатывала сотни миллионов долларов на корпорациях. Используя специализированное вирусное ПО, злоумышленники сливали и зашифровывали данные компаний, а затем требовали у них выкуп за восстановление.

Февраль 

В феврале 2022 мир накрыло неожиданным снегом и заморозками. В Канаде дворовые коты в попытке согреться «атаковали» спутниковую тарелку Starlink и оставили её владельца без интернета. В соцсетях эту ситуацию прозвали «уязвимостью CAT5». Вышло иронично, ведь так называется стандартный интернет-кабель, а котов на тарелке как раз 5 штук.

Изображение CAT5 Аарона Тейлора
CAT5 | Фото: Aaron Taylor

За новостью о январском аресте REvil, последовала еще одна: под ликвидацию попала группировка Lurk. Члены группировки проводили масштабные атаки на банковскую систему и госучреждения. За годы «карьеры» они успели внедрить вредоносное ПО в сети крупнейших банков, похитив в сумме 1,26 миллиарда рублей.

Команда вымогателей Lapsus$ получила несанкционированный доступ к почтовому серверу Nvidia и установила вредоносное ПО, в результате чего завладела 1 ТБ данных компании. Сотрудники компании не смирились с потерей данных — в качестве ответного удара они проникли в систему хакеров и зашифровали украденные данные.  Lapsus$ заявили, что у них осталась резервная копия, защищенная от взлома.

Lapsus$ vs Nvidia.png
Источник: Techpowerup

Встречайте одну из крупнейших криптовалютных краж с хэппи-эндом: хакеры увели более $324 млн в криптовалюте из блокчейн-платформы Wormhole, а затем вернули всю сумму. Разработчики Wormhole предложили вознаграждение в $10 млн за подробности об эксплойте и возвращении украденных средств. Похоже, это один из редких случаев, когда хакеры сменили черные шляпы на белые.

Black hats — хакеры, которые нарушают закон и совершают неправомерные действия в виде взломов и вымогательств.   
White hats — специалисты, которые находят уязвимости, но не выходят за рамки закона и не вымогают деньги. Крупные компании готовы платить за обнаружение критически важного бага десятки и даже сотни тысяч долларов.

Последний день февраля ознаменовался утечкой данных пользователей «Яндекс.Еды». Миллионы строк с адресами, номерами телефонов, именами и подробностями заказов оказались в руках злоумышленников. Компания подчеркивала, что данные банковских карт не попали в открытый доступ. 

Март

История с «Яндекс.Едой» получила продолжение: сервис разослал уведомления владельцам скомпрометированных данных, опубликовал пресс-релиз и официальные комментарии с извинениями. В конце марта в сети появился сайт с интерактивной картой и информацией о доставках за последние полгода. Сайт был позже заблокирован, а пользователи «Яндекс.Еды» подали коллективные иски против компании.

Финансовые организации, СМИ и другие проекты, так или иначе связанные с российским правительством, в марте оказались под угрозой массированных кибератак. Многие сайты также подверглись взлому: «Коммерсантъ», «Известия», Forbes, Buro 24/7, РБК, ТАСС, Znak, «Фонтанка.ру» и E1.

Сервис доставки Boxberry подвергся массированной DDoS-атаке, которая вызвала временные перебои в работе сайта и личных кабинетов пользователей. Компания сообщила, что также наблюдались проблемы с оформлением заказов, отправкой и выдачей посылок.

На зарубежных хакерских форумах и в Телеграм-каналах развернулись кампании по организации DDoS-атак на российские сайты. На фоне этих событий специалисты DDoS-Guard зафиксировали феноменальный всплеск вредоносного трафика. 

График атак, зафиксированных системой фильтрации DDoS-Guard
График атак, зафиксированных и нейтрализованных системой фильтрации DDoS-Guard

Апрель

В сети появилась новая хакерская организация Black Cat, которая практикует двойное вымогательство. Сначала хакеры похищают данные и требуют выкуп за предотвращение утечки, а затем требуют оплату за расшифровку.

После введения санкций против «Сбера» из App Store и Google Play удалили официальные приложения банка. На фоне этого мошенники стали распространять поддельные приложения через Телеграм-каналы и чаты в мессенджерах. А после ухода Intel и других зарубежных брендов в рунете появились поддельные онлайн-магазины Apple и Samsung.

Злоумышленники также предлагали услуги посредничества при оплате подписок PlayStation, Youtube, Amazon и Prime. Мы рекомендуем не жалеть времени и внимательно изучать всю информацию о сайтах и товарах, чтобы убедиться в честности магазина и не потерять свои деньги.

Еще один вредоносный тренд был замечен в сегменте NFT-игр. Хакеры взломали мобильную игру Axie Infinity и завладели $625 млн в криптовалюте. А спустя неделю жертвой аналогичного взлома стала игра WonderHero, весь внутриигровой контент которой представляет собой NFT токены. За промежуток времени, когда разработчиком был замечен взлом и отключены игровые серверы, злоумышленникам удалось вывести токенов на сумму $300 000.  
 

Изображение NFT-предметов в игре WonderHero
NFT-предметы в игре WonderHero

Май

Начало месяца принесло новость об очередной утечке данных. В центре внимания оказалась база клиентов лаборатории «Гемотест». Хакеры выставили на продажу более 30 миллионов строк, среди которых ФИО, даты рождения, адреса, паспортные и контактные данные. Позднее появился еще один лот, содержащий более 500 млн. результатов анализов пациентов.

Новая карта с данными 6 млн пользователей Яндекс.Еды, WildBerries, Avito, ГИБДД и других сервисов появилась в интернете. Она пополнилась номерами автомобилей, ссылками на соцсети и списком публичных личностей, имевших аккаунты на скомпрометированных ресурсах.

Изображение карты скомпрометированных данных пользователей
Карта скомпрометированных данных. Источник: Forbes

В сеть также попала информация о курьерах и заказах пользователей Delivery Club. По разным данным, объем базы составил 250 млн строк.

От слива данных не спрятаться даже за сервисами VPN. В сеть выложили данные 21 миллиона пользователей SuperVPN, GeckoVPN и ChatVPN. В базе содержатся полные имена, никнеймы, адреса электронной почты, платежные данные и случайные строки паролей. Мы собрали все риски использования бесплатных VPN и советы по выбору надежного сервиса в специальном материале

Июнь

Встретили лето с новостями об утечке конфиденциальных данных авиакомпании Pegasus Airlines. Массив в 6,5 терабайт содержит 23 млн файлов с исходным кодом корпоративного сервиса, журналами безопасности, информацией о членах экипажа и другими данными, которые попали в сеть из-за некорректной настройки облачного хранилища.

Данные пользователей GeekBrains тоже оказались в открытом доступе:  в обнародованном файле около 100 000 строк с ФИО и контактами. Но это был только тизер — полная версия базы насчитывает 6 млн строк.

«Ростелеком» дважды за месяц оказался в центре внимания: сначала в сеть утекла база сотрудников, а через несколько дней после инцидента в интернете также появились данные пользователей «Умного дома» — сервиса для наблюдения за жильем в целях безопасности.

Блокчейн-мост Horizon потерял $100 млн в результате взлома. Средства выводили в течение трех дней, используя один и тот же алгоритм. Из-за совпадения времени транзакций с часовым поясом Азиатско-Тихоокеанского региона под подозрение попала хакерская группировка Lazarus.

С началом приемной кампании на сайты вузов по всей стране обрушились DDoS-атаки. Портал «Госуслуг» также стал жертвой массированной атаки и в течение нескольких часов работал нестабильно. В DDoS-Guard зафиксировали всплеск вредоносной активности и подвели итоги первого полугодия — наша сеть фильтрации отразила более 500 000 атак. 

Данные по атакам из отчета DDoS-Guard за Q1 2022 года
Данные из аналитического отчета DDoS-Guard за I полугодие 2022 года. 

Июль 

Хакеры взломали базу данных полиции Шанхая и получили доступ к персональным данным 1 миллиарда жителей Китая. За массив с именами, адресами, контактами и национальными идентификаторами общим объемом в 23 Тб злоумышленники хотят получить 10 биткоинов.

В Южной Корее мощная ransomware-атака парализовала работу национальной системы вызова такси. Компании пришлось заплатить выкуп, чтобы получить ключ дешифровки и восстановить свои сервисы.

В результате взлома финансовая площадка Crema Finance потеряла $8,8 млн. Однако позже компании удалось заключить сделку с хакером. Он вернул большую часть суммы и в качестве вознаграждения получил $1,65 млн.

По данным  РБК, за первое полугодие 2022 различные криптоплатформы суммарно потеряли более $670 млн.

В открытом доступе оказались 2,5 млн строк с информацией о пользователях сервиса покупки билетов «Туту.ру». А «Почта России» допустила утечку в 10 млн строк с ФИО, адресами и другими деталями отправлений. 

Август 

Злоумышленники распространили в сети вирусный файл, который выдает себя за приложение DDoS-Guard. Напомним, что у DDoS-Guard нет ПО, которое требовалось бы устанавливать на пользовательские устройства. 

Скриншот окна фейкового приложения
Если вы видите подобный экран, ни в коем случае не вводите код, иначе вы рискуете запустить вредоносную программу и потерять важные данные.

Хакерская группировка Quantum парализовала работу Доминиканского аграрного института. Злоумышленники зашифровали данные и потребовали выкуп в размере $600 000 за расшифровку. От аналогичной программы-вымогателя пострадал и американский производитель одежды HanesBrands. Компания была вынуждена приостановить поставки и потеряла $100 млн.

Блокчейн Solana подвергся масштабной атаке с помощью неизвестного эксплойта. Под удар попало более 7900 кошельков, владельцы которых потеряли $5,8 млн.

Сведения о десятках тысяч клиентов компании «СДЭК» утекли в сеть: имена, адреса электронной почты, телефоны, хешированные пароли и другая информация. База данных 44 млн пользователей онлайн-кинотеатра Start также оказалась в открытом доступе.

Популярный генератор паролей LastPass был взломан. Хакеры похитили фрагменты исходного кода и часть проприетарной технической документации.

Google отразил крупнейшую DDoS-атаку в истории – она длилась чуть более часа и насчитывала 46 млн запросов в секунду.

Сентябрь 

1 сентября в результате атаки на «Яндекс.Такси» десятки машин отправились на вызовы в московский район Фили. Это спровоцировало огромную пробку и временные проблемы с реальными заказами.

Неизвестный хакер получил доступ к внутренним сервисам Uber: корпоративной почте, облачному хранилищу и репозиториям. Злоумышленники с громкими именами также проявили себя в этом месяце:

  • Киберпреступники из KillNet вывели из строя японскую платежную систему JCB, соцсеть Mixi и сервис, аналогичный российским «Госуслугам».
  • Группировка REvil взломала производителя бытовой техники Midea и украла 400 Гб конфиденциальных данных.
  • Команда BlackCat похитила 700 Гб данных у итальянской энергетической компании.

Октябрь

В сеть утекли данные 16 млн пользователей магазина DNS: ФИО, адреса электронной почты, номера телефонов и юзернеймы.

Хакеры из группировки LockBit заявили, что похитили 1,4 ТБ данных у DIY-ритейлера Kingfisher, включая личные данные сотрудников и клиентов.

Группировка KillNet атаковала 14 сайтов американских аэропортов. Из-за DDoS-атаки стала недоступна информация о загруженности и времени ожидания.

Российский хакер взломал платформу JEE, которая используется для проведения объединенного вступительного экзамена в Индии, и решал задачи за студентов.  

Приятная новость: инженеры Apple исправили ошибку, которая позволяла приложениям подслушивать разговоры с Siri.

Ноябрь

Последний месяц осени принес немало новостей об утечках информации:

  • Группировка BlackCat атаковала французскую сеть товаров для дома Conforama и украла 1ТБ конфиденциальных данных компании.
  • В открытый доступ попала база данных 2 миллиона пользователей российского сервиса вертикальных видео Yappy: телефоны, никнеймы, информация об устройствах и связанные идентификаторы VK и Google.
  • В сеть слили базу из 7 млн уникальных номеров телефонов и других данных пользователей сервиса аренды самокатов Whoosh.
  • Авиакомпания AirAsia стала жертвой атаки программы-вымогателя, в результате которой в открытом доступе оказались личные данные 5 млн уникальных пассажиров и всех сотрудников.
  • Злоумышленники обнародовали данные 4 млн пользователей провайдера "Дом.ру". База содержит данные абонентов из Санкт-Петербурга: ФИО, дату рождения, ИНН, адреса, банковские реквизиты, а также номера телефонов.
  • WhatsApp также не смог предотвратить утечку 500 млн. номеров телефонов пользователей из разных стран.
  • Хакеры получили доступ к 130 репозиториям исходного кода DropBox. Помимо этого им стала доступна личная информация клиентов хостинга.
  • В результате взлома можно лишиться не только данных, но и денег — так криптобиржа Deribit потеряла около $28 млн. 

Декабрь

В Канаде прошел хакерский турнир Pwn2Own Toronto 2022. Участники проявили навыки взлома умных устройств, сетевых хранилищ, маршрутизаторов и мобильных телефонов. Самые успешные увезли домой почти миллион долларов в качестве вознаграждения.

Британский центр правительственной связи (GCHQ)  опубликовал рождественскую открытку с ребусом для юных кибершпионов. Он состоит из головоломок по семи направлениям: кибербезопасность, лингвистика, шифрование, анализ, инжиниринг, взлом кода и математика. А чтобы расшифровать итоговое секретное послание, придется проявить нестандартное мышление.  

Изображение рождественской открытки с ребусом от GCHQ
Файл с открыткой и решение — на сайте GCHQ

На хакерском форуме опубликовали доступы к аккаунтам более 5 миллионов клиентов криптобиржи Gemini. Представители биржи рекомендуют настроить двухфакторную аутентификацию, чтобы злоумышленники не смогли использовать скомпрометированные данные и вывести средства с частных счетов.

Успешная фишинговая атака привела ко взлому сайта ФБР. Группировка Killnet получила доступ к аккаунтам 10 000 сотрудников и даже к их медицинским картам.

Сразу две австралийские компании сообщили об утечке данных. Страховая компания Medibank не смогла защитить информацию о 9,7 млн своих клиентов, а мобильный оператор Telstra — 130,000.

В сеть слили данные 242 тысяч пользователей онлайн-магазина Вкусвилл. Массив состоит из номеров телефонов, email-адресов и информации о заказах.

В руки злоумышленников также попали контактные данные сотрудников магазинов электроники DNS и персональные данные 900 тысяч пользователей Level.Travel — сервиса подбора путешествий.


Данная подборка не охватывает весь спектр киберпреступлений за 2022 год — мы выбрали ключевые моменты. Похоже, что главным трендом стали утечки данных, и в ближайшем будущем этот тренд продолжит набирать обороты.

Данные за 2022 год, собранные на основе новостей кибербезопасности
Данные за 2022 год, собранные на основе дайджеста новостей кибербезопасности

Хотим напомнить, что DDoS-атаки остаются популярным инструментом для «прикрытия» взломов и перехвата конфиденциальной информации. Злоумышленники отвлекают внимание администраторов ресурса внезапными всплесками вредоносного трафика, выводят из строя часть инфраструктуры. Параллельно пытаются получить доступ к нужным серверам или внедряют вредоносные скрипты в код веб-приложения.

Совсем скоро мы выпустим аналитический отчет о DDoS-атаках за 2022 год и расскажем подробнее о тенденциях.

***

В телеграм-канале DDoS-Guard мы публикуем статьи, истории и советы по кибербезопасности. В конце каждого месяца выходит дайджест о самых громких событиях. Присоединяйтесь!

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться