Дайджест событий в мире кибербезопасности за третий квартал 2024 года

Обложка: Инфографика дайджеста за Q3 2024

Собрали все самые яркие события и киберинциденты, которые произошли за третий квартал 2024 года. Также дополнили их нашей собственной аналитикой и готовы рассказать, какие изменения в поведении DDoS-атак наблюдаем за последние три месяца.

Утечки данных

Исследователи безопасности обнаружили крупнейшую утечку паролей. Она содержит почти 10 млрд скомпрометированных учетных записей. Опубликовал утечку пользователь с никнеймом ObamaCare на одном из теневых форумов, сопроводив сообщением — «Рождество в этом году пришло пораньше. Готов представить вам список учетных данных rockyou2024, в котором более 9.9 миллиарда паролей».

Скриншот № 1 поста с утечкой на хакерском форуме
Пост с утечкой на хакерском форуме

В тоже время на другом теневом форуме пользователь Kingpin выложил 9600 строк скомпрометированных данных сотрудников Microsoft и Nokia.

15 млн адресов электронной почты пользователей Trello утекли в сеть. Сообщение об этом обнаружили на хакерском форуме.

Скриншот № 2 поста с утечкой на хакерском форуме
Пост с утечкой на хакерском форуме


На фишинговом клоне популярного пиратского сайта Z-Library произошла масштабная утечка данных. В открытом доступе оказалась информация о почти 9 млн пользователях, которая содержит логины, пароли, а также адреса криптовалютных кошельков и платежные данные.

160 тысяч уже купленных билетов на концерты Тейлор Свифт оказались на хакерском форуме. Утечка содержит штрих-коды билетов, а также информацию о том, кто их приобрел. Хакеры требуют выкуп в размере $2 миллиона, чтобы данные полностью не оказались в свободном доступе.

Кибератаки

На устройствах под управлением Windows произошел масштабный сбой, из-за которого по всему миру частично перестали работать системы аэропортов, банков и крупных компаний. Это случилось из-за обновления ПО кибербезопасности от компании CrowdStrike, которая работает на Windows. В некоторых случаях помогала многократная (около 15 раз) перезагрузка устройства. Ущерб от сбоя оценивают в более чем 25 миллиардов долларов.

Изображение информационных экранов после сбоя в одном из аэропортов
Информационные экраны после сбоя в одном из аэропортов

Крупные российские банки подверглись масштабной DDoS-атаке с 23 по 24 июля, из-за которой возникли проблемы с доступом к банковским приложениям и другим сервисам. Подробно об этом мы написали в статье на Хабре.

Пользователям Android в Telegram начали рассылать фишинговые видео. При попытке воспроизведения появляется пуш, который сообщает, что видео поддерживается только в стороннем плеере. При нажатии кнопки «Открыть» в уведомлении на устройство жертвы загружается вредоносное ПО.

Во Франции вандалы при помощи топоров и болгарок повредили оптоволоконные кабели. Это привело к перебоям работы интернета, мобильной и стационарной связи по всей стране. Вероятно, это была организованная атака, так как кабели повредили в одно время в разных местах: два на севере и четыре на юге вдоль побережья Средиземного моря.

Другие события

Европол провел спецоперацию «Morpheus», в рамках которой ликвидировал почти 600 серверов Cobalt Strike, использовавшихся киберпреступниками.

15 июня у многих пользователей Xiaomi из РФ перестали работать устройства бренда. Смартфоны уходили в бесконечную перезагрузку, умные гаджеты не запускались, фирменные приложения не открывались. Сбой длился около 4-х часов, после чего все заработало как прежде.

В браузере Chrome произошел сбой, из-за которого пользователи не могли сохранить свои пароли в браузере, а также получить доступ к уже сохраненным в менеджере паролей. Google решила проблему спустя 18 часов после ее обнаружения.


Кибератаки

Исследователи ИБ выявили масштабную фишинговую кампанию в Сингапуре, направленную на сеть пиццерий. Злоумышленники создали клон сайта Domino’s Pizza и рекламировали его в поисковых системах при помощи официальных инструментов чтобы вывести в верхние позиции. Пользователи, оформившие заказы на поддельном сайте, потеряли более $20 000.

Киберпреступники захватили более 35 тысяч доменов из-за недостатков конфигурации на уровне регистратора. Для киберсквоттинга (кражи домена) злоумышленникам было достаточно создать учетные записи у DNS-провайдеров и заявить права на домены с истекшим сроком регистрации.

Хакеры атаковали платформу «‎Mobile Guardian» от Google, которая специализируется на виртуальных классах. Атакующие проникли в системы по всему миру и удалили сведения порядка 13 тысяч учеников.

24 августа пользователи Telegram начали получать рассылку от официального бота поддержки Wallet с предложением перевести криптовалюту на определенные кошельки и получить обратно удвоенные суммы. Модерация Telegram сразу отреагировала на инцидент: поставила на бота метку SCAM, а затем восстановила к нему доступ. Поддержка Wallet заявила, что пострадало всего 10 пользователей, которым возместят утраченные средства.

Скриншот профиля бота Wallet в Telegram с пометкой SCAM

Хакеры атаковали платформу электронной коммерции Magento, которая используется в онлайн-магазинах . Взлом позволил выполнять вредоносный код на странице оплаты, который считывал данные банковской карты и передавал их на сервер злоумышленников.

Крупнейшая ассоциация радиолюбителей в США ARRL выплатила злоумышленникам $1 млн за дешифратор. В мае хакеры проникли в системы ARRL и зашифровали на них файлы, из-за чего пострадали данные пользователей, веб-ресурсы, электронная почта и другие сервисы. В ассоциации заявили, что большинство расходов компенсировала страховая компания.

В системе аэропортов США обнаружили серьезную уязвимость, которая позволяет проникнуть в базу данных авиаперсонала и добавить туда любого пользователя. Эти действия позволяют проходить на самолет без досмотра по специальной выделенной полосе для персонала по предъявлению штрих-кода. По нему также можно попасть в кабину пилота. Уязвимость уже исправили.

Утечки данных

На BreachForums опубликовали дамп базы данных eToll — сервиса одного из банков Индии для оплаты проездов по платным дорогам. Утечка содержит персональную информацию более миллиона пользователей.

Примерно в это же время на форуме опубликовали украденный дамп американской финансовой холдинговой компании USBank. Утечка содержит более 2.7 млн строк с именами и фамилиями клиентов, их номерами телефонов, ID, сроками действия банковских карт и CVV-кодами.

Еще одной жертвой хакеров стали граждане Казахстана. Злоумышленники обнародовали более 2 млн строк данных, среди которых ФИО, даты рождения, адреса проживания, номера телефонов, ИНН и другие сведения.

Все на том же BreachForums хакер под ником doxbit3306 опубликовал личные данные сотрудников полиции Индонезии: ФИО, номера телефонов, звания, должности, фотографии и не только. Все это хакер приправил внутренними документами других правительственных и банковских структур.

Хакерская группировка ZeroSevenGroup опубликовала 240 ГБ данных Калифорнийского подразделения Toyota. Под удар попали внутренние документы, логины и пароли от рабочих аккаунтов, финансовые отчеты, персональная информация клиентов и не только. Toyota подтвердила утечку и заявила, что проводит расследование.

Скриншот поста об утечке данных Toyota на теневом форуме
Утечка данных Toyota на теневом форуме

 

Другие события

На хакерской конференции DEF CON в Лас-Вегасе вручили премию за самый эпичный провал. Победителем стала компания CrowdStrike, которая обрушила работу Windows по всему миру.

Фотография с вручения награды президенту CrowdStrike
Вручение награды президенту CrowdStrike

39-летний Джесси Кипф взломал систему регистрации смертей штата Гавайи и создал фиктивное свидетельство о собственной смерти, чтобы не платить алименты. Он также подделал электронную подпись врача, который констатировал смерть, а потом и вовсе решил взломать системы регистрации смертей в других штатах и продать их данные в даркнете. В итоге предприимчивого неуплатчика алиментов «оживили» и приговорили к семи годам тюремного заключения и обязали выплатить штраф на сумму $196 000.

ФБР совместно с британским Национальным агентством по борьбе с преступностью захватили 21 сервер и 9 доменов хакерской группировки Dispossessor, которая занимается разработкой программ-вымогателей. Это приостановило деятельность киберпреступников.


Кибератаки

Правительство Ирана выплатило злоумышленникам $3 млн за сохранение конфиденциальности украденных данных компании Tosan, предоставляющей цифровые услуги в финансовом секторе.

Хакеры атаковали сайт компании Cisco, на котором продается фирменный мерч. Злоумышленники внедрили на сайт JavaScript. Он перехватывал данные, которые вводили покупатели при оформлении заказа, а передавал в руки хакеров.

Специалисты «Доктор Веб» обнаружили массовое заражение ТВ-приставок на Android. По оценке экспертов заражено около 1.3 миллиона устройств с устаревшим ПО.

Хакеры атаковали сайты федерального удостоверяющего центра по выдаче цифровых электронных подписей «Основание». Из-за инцидента выдачу электронных подписей остановили. Хакеры заявляют, что украли данные пользователей, но «Основание» отрицает эту информацию.

Атаке подверглась одна из крупнейших индонезийских криптовалютных бирж Indodax. Злоумышленники похитили криптовалюту в сумме равной $22 миллионов.

Специалисты из Akamai сообщили, что хакеры эксплуатируют уязвимость в камерах видеонаблюдения AVTECH. Злоумышленники внедряют в устройства скрипт, который загружает вредонос Mirai «Corona». Под атаку попали устройства, ПО которые не обновлялось с 2019 года.

Утечки данных

У сети сети фитнес-клубов WorldClass украли данные из крупной базы С1. В открытый доступ попали персональные данные более 2 млн клиентов и юридических лиц, а также 10 тысяч сотрудников.

В открытый доступ попали персональные данные 106 миллионов граждан США. Утечка содержит ФИО, возраст, адреса проживания, номера телефонов, пароли, платежную информацию, юридические документы и не только.

Злоумышленники украли персональные данные более 31 млн клиентов телеком-оператора «Билайн». Утечка содержит ФИО, даты рождения, номера телефонов, адреса проживания и паспортные данные.

Другие события

52-летнему Майклу Смиту суд выдвинул обвинение за то, что он создавал сотни тысяч композиций при помощи ИИ и распространял их через стриминговые сервисы, монетизируя прослушивание. По такой схеме Майкл смог обмануть стриминговые сервисы на сумму более 10 млн долларов.

В России Discord внесли в реестр запрещенных ресурсов из-за наличия запрещенного контента. Пользователи жалуются на частичную недоступность сервиса из-за предположительной блокировки.

Исследователи ИБ выяснили, что некоторые автомобили KIA можно взломать и угнать всего за 30 секунд. Через API дилерского центра можно было создать фиктивный аккаунт и получать токены для доступа к KIA Connect. Как это работает подробно описано тут.

Правоохранительные органы ликвидировали анонимный мессенджер Ghost. Им пользовались преступные группировки на Ближнем Востоке, в Австралии и Южной Корее. В рамках операции по ликвидации были задержаны более 50 преступников.