Июль
Утечки данных
Исследователи безопасности обнаружили крупнейшую утечку паролей. Она содержит почти 10 млрд скомпрометированных учетных записей. Опубликовал утечку пользователь с никнеймом ObamaCare на одном из теневых форумов, сопроводив сообщением — «Рождество в этом году пришло пораньше. Готов представить вам список учетных данных rockyou2024, в котором более 9.9 миллиарда паролей».
В тоже время на другом теневом форуме пользователь Kingpin выложил 9600 строк скомпрометированных данных сотрудников Microsoft и Nokia.
15 млн адресов электронной почты пользователей Trello утекли в сеть. Сообщение об этом обнаружили на хакерском форуме.
На фишинговом клоне популярного пиратского сайта Z-Library произошла масштабная утечка данных. В открытом доступе оказалась информация о почти 9 млн пользователях, которая содержит логины, пароли, а также адреса криптовалютных кошельков и платежные данные.
160 тысяч уже купленных билетов на концерты Тейлор Свифт оказались на хакерском форуме. Утечка содержит штрих-коды билетов, а также информацию о том, кто их приобрел. Хакеры требуют выкуп в размере $2 миллиона, чтобы данные полностью не оказались в свободном доступе.
Кибератаки
На устройствах под управлением Windows произошел масштабный сбой, из-за которого по всему миру частично перестали работать системы аэропортов, банков и крупных компаний. Это случилось из-за обновления ПО кибербезопасности от компании CrowdStrike, которая работает на Windows. В некоторых случаях помогала многократная (около 15 раз) перезагрузка устройства. Ущерб от сбоя оценивают в более чем 25 миллиардов долларов.
Крупные российские банки подверглись масштабной DDoS-атаке с 23 по 24 июля, из-за которой возникли проблемы с доступом к банковским приложениям и другим сервисам. Подробно об этом мы написали в статье на Хабре.
Пользователям Android в Telegram начали рассылать фишинговые видео. При попытке воспроизведения появляется пуш, который сообщает, что видео поддерживается только в стороннем плеере. При нажатии кнопки «Открыть» в уведомлении на устройство жертвы загружается вредоносное ПО.
Во Франции вандалы при помощи топоров и болгарок повредили оптоволоконные кабели. Это привело к перебоям работы интернета, мобильной и стационарной связи по всей стране. Вероятно, это была организованная атака, так как кабели повредили в одно время в разных местах: два на севере и четыре на юге вдоль побережья Средиземного моря.
Другие события
Европол провел спецоперацию «Morpheus», в рамках которой ликвидировал почти 600 серверов Cobalt Strike, использовавшихся киберпреступниками.
15 июня у многих пользователей Xiaomi из РФ перестали работать устройства бренда. Смартфоны уходили в бесконечную перезагрузку, умные гаджеты не запускались, фирменные приложения не открывались. Сбой длился около 4-х часов, после чего все заработало как прежде.
В браузере Chrome произошел сбой, из-за которого пользователи не могли сохранить свои пароли в браузере, а также получить доступ к уже сохраненным в менеджере паролей. Google решила проблему спустя 18 часов после ее обнаружения.
Август
Кибератаки
Исследователи ИБ выявили масштабную фишинговую кампанию в Сингапуре, направленную на сеть пиццерий. Злоумышленники создали клон сайта Domino’s Pizza и рекламировали его в поисковых системах при помощи официальных инструментов чтобы вывести в верхние позиции. Пользователи, оформившие заказы на поддельном сайте, потеряли более $20 000.
Киберпреступники захватили более 35 тысяч доменов из-за недостатков конфигурации на уровне регистратора. Для киберсквоттинга (кражи домена) злоумышленникам было достаточно создать учетные записи у DNS-провайдеров и заявить права на домены с истекшим сроком регистрации.
Хакеры атаковали платформу «Mobile Guardian» от Google, которая специализируется на виртуальных классах. Атакующие проникли в системы по всему миру и удалили сведения порядка 13 тысяч учеников.
24 августа пользователи Telegram начали получать рассылку от официального бота поддержки Wallet с предложением перевести криптовалюту на определенные кошельки и получить обратно удвоенные суммы. Модерация Telegram сразу отреагировала на инцидент: поставила на бота метку SCAM, а затем восстановила к нему доступ. Поддержка Wallet заявила, что пострадало всего 10 пользователей, которым возместят утраченные средства.
Хакеры атаковали платформу электронной коммерции Magento, которая используется в онлайн-магазинах . Взлом позволил выполнять вредоносный код на странице оплаты, который считывал данные банковской карты и передавал их на сервер злоумышленников.
Крупнейшая ассоциация радиолюбителей в США ARRL выплатила злоумышленникам $1 млн за дешифратор. В мае хакеры проникли в системы ARRL и зашифровали на них файлы, из-за чего пострадали данные пользователей, веб-ресурсы, электронная почта и другие сервисы. В ассоциации заявили, что большинство расходов компенсировала страховая компания.
В системе аэропортов США обнаружили серьезную уязвимость, которая позволяет проникнуть в базу данных авиаперсонала и добавить туда любого пользователя. Эти действия позволяют проходить на самолет без досмотра по специальной выделенной полосе для персонала по предъявлению штрих-кода. По нему также можно попасть в кабину пилота. Уязвимость уже исправили.
Утечки данных
На BreachForums опубликовали дамп базы данных eToll — сервиса одного из банков Индии для оплаты проездов по платным дорогам. Утечка содержит персональную информацию более миллиона пользователей.
Примерно в это же время на форуме опубликовали украденный дамп американской финансовой холдинговой компании USBank. Утечка содержит более 2.7 млн строк с именами и фамилиями клиентов, их номерами телефонов, ID, сроками действия банковских карт и CVV-кодами.
Еще одной жертвой хакеров стали граждане Казахстана. Злоумышленники обнародовали более 2 млн строк данных, среди которых ФИО, даты рождения, адреса проживания, номера телефонов, ИНН и другие сведения.
Все на том же BreachForums хакер под ником doxbit3306 опубликовал личные данные сотрудников полиции Индонезии: ФИО, номера телефонов, звания, должности, фотографии и не только. Все это хакер приправил внутренними документами других правительственных и банковских структур.
Хакерская группировка ZeroSevenGroup опубликовала 240 ГБ данных Калифорнийского подразделения Toyota. Под удар попали внутренние документы, логины и пароли от рабочих аккаунтов, финансовые отчеты, персональная информация клиентов и не только. Toyota подтвердила утечку и заявила, что проводит расследование.
Другие события
На хакерской конференции DEF CON в Лас-Вегасе вручили премию за самый эпичный провал. Победителем стала компания CrowdStrike, которая обрушила работу Windows по всему миру.
39-летний Джесси Кипф взломал систему регистрации смертей штата Гавайи и создал фиктивное свидетельство о собственной смерти, чтобы не платить алименты. Он также подделал электронную подпись врача, который констатировал смерть, а потом и вовсе решил взломать системы регистрации смертей в других штатах и продать их данные в даркнете. В итоге предприимчивого неуплатчика алиментов «оживили» и приговорили к семи годам тюремного заключения и обязали выплатить штраф на сумму $196 000.
ФБР совместно с британским Национальным агентством по борьбе с преступностью захватили 21 сервер и 9 доменов хакерской группировки Dispossessor, которая занимается разработкой программ-вымогателей. Это приостановило деятельность киберпреступников.
Сентябрь
Кибератаки
Правительство Ирана выплатило злоумышленникам $3 млн за сохранение конфиденциальности украденных данных компании Tosan, предоставляющей цифровые услуги в финансовом секторе.
Хакеры атаковали сайт компании Cisco, на котором продается фирменный мерч. Злоумышленники внедрили на сайт JavaScript. Он перехватывал данные, которые вводили покупатели при оформлении заказа, а передавал в руки хакеров.
Специалисты «Доктор Веб» обнаружили массовое заражение ТВ-приставок на Android. По оценке экспертов заражено около 1.3 миллиона устройств с устаревшим ПО.
Хакеры атаковали сайты федерального удостоверяющего центра по выдаче цифровых электронных подписей «Основание». Из-за инцидента выдачу электронных подписей остановили. Хакеры заявляют, что украли данные пользователей, но «Основание» отрицает эту информацию.
Атаке подверглась одна из крупнейших индонезийских криптовалютных бирж Indodax. Злоумышленники похитили криптовалюту в сумме равной $22 миллионов.
Специалисты из Akamai сообщили, что хакеры эксплуатируют уязвимость в камерах видеонаблюдения AVTECH. Злоумышленники внедряют в устройства скрипт, который загружает вредонос Mirai «Corona». Под атаку попали устройства, ПО которые не обновлялось с 2019 года.
Утечки данных
У сети сети фитнес-клубов WorldClass украли данные из крупной базы С1. В открытый доступ попали персональные данные более 2 млн клиентов и юридических лиц, а также 10 тысяч сотрудников.
В открытый доступ попали персональные данные 106 миллионов граждан США. Утечка содержит ФИО, возраст, адреса проживания, номера телефонов, пароли, платежную информацию, юридические документы и не только.
Злоумышленники украли персональные данные более 31 млн клиентов телеком-оператора «Билайн». Утечка содержит ФИО, даты рождения, номера телефонов, адреса проживания и паспортные данные.
Другие события
52-летнему Майклу Смиту суд выдвинул обвинение за то, что он создавал сотни тысяч композиций при помощи ИИ и распространял их через стриминговые сервисы, монетизируя прослушивание. По такой схеме Майкл смог обмануть стриминговые сервисы на сумму более 10 млн долларов.
В России Discord внесли в реестр запрещенных ресурсов из-за наличия запрещенного контента. Пользователи жалуются на частичную недоступность сервиса из-за предположительной блокировки.
Исследователи ИБ выяснили, что некоторые автомобили KIA можно взломать и угнать всего за 30 секунд. Через API дилерского центра можно было создать фиктивный аккаунт и получать токены для доступа к KIA Connect. Как это работает подробно описано тут.
Правоохранительные органы ликвидировали анонимный мессенджер Ghost. Им пользовались преступные группировки на Ближнем Востоке, в Австралии и Южной Корее. В рамках операции по ликвидации были задержаны более 50 преступников.
Тенденции DDoS-атак в третьем квартале 2024 года
Наблюдаем общее снижение числа DDoS-атак на 14% по сравнению со вторым кварталом 2024 года. Однако медианная продолжительность атаки выросла с 20 до 33 минут. Мы предполагаем, что такая тенденция говорит о более конкретизированном выборе цели и сосредоточении большего количества атакующих ресурсов на ней. Другими словами, если раньше мы видели множество краткосрочных всплесков (один из примеров на графике ниже), теперь же они стали более длительными, но не менее мощными.
В минувшем квартале особый интерес атакующие проявили к игровой индустрии. Однако наиболее заметными снова стали атаки на финансовый сектор. Основная их масса пришлась на июль, этим и обусловлена такая значительная разница на диаграмме ниже.
“При взгляде со стороны может создаваться впечатление, будто атакующие переходят от одного банка к другому как по цепочке. Однако это не совсем так: тут скорее происходит параллельный удар сразу по всей сфере, иногда «цепляющий» смежные сферы.
Делается это для большего ущерба, медийности и заметности. Информация о будущих жертвах собирается заранее, затем в час X под атакой оказываются сразу все они.
Нестабильно работающие сайты и приложения сразу нескольких банков в течение 2-3 дней — гораздо более заметное явление, чем полностью выведенный из строя вчера банк «А», сегодня банк «Б», а завтра банк «В»” — о том, как организованы атаки на банки, подробно рассказали в статье на Хабре.
В рамках самой распределенной атаки было задействовано почти 700 тысяч уникальных IP-адресов — это в 13 раз больше, чем в прошлом квартале. Такой значительный прирост в числе уникальных IP может говорить о присоединении тысяч зараженных устройств к ботнетам.
Исследователи кибербезопасности регулярно сталкиваются с новыми ботнетами. Исходя из текущих тенденций, можно предположить, что уже в течение ближайшего года-двух количество зараженных устройств, составляющих ботнеты, вырастет на 1000%. Среди наиболее уязвимых — камеры видеонаблюдения, маршрутизаторы Mikrotik и разнообразная «умная» техника.
В августе 2024 года специалисты Akamai обнаружили уязвимость нулевого дня в камерах видеонаблюдения, созданных тайваньской компанией AVTECH. Эта ошибка может быть использована злоумышленниками для заражения всей техники AVTECH и включения ее в один из крупнейших ботнетов в мире Mirai.
Система защиты DDoS-Guard готова справиться с ростом числа и мощности атак, с новыми ботнетами и паттернами. Кроме того, теперь мы анализируем и фильтруем трафик еще лучше, поскольку успешно внедрили свои новые разработки. Следите за новостями, мы уже готовим большой технический материал об этом решении.
