По сообщениям сетевых источников, злоумышленники стали интересоваться покупкой баз данных, содержащих зашифрованные коды (хеш) паролей для идентификации на российских сайтах и сервисах. Преимущественно их интересуют данные госслужащих и сотрудников крупных компаний, которые могут использоваться для взлома критической информационной инфраструктуры. Об этом пишет «Коммерсантъ» со ссылкой на данные системы мониторинга даркнета DLBI.

Источник изображения: methodshop / pixabay.com

Представители компании DLBI отметили, что спрос на подобный сегмент данных фиксируется впервые, и рост можно оценивать только с нулевой базы. Специалисты DLBI проанализировали ресурсы, используемые для обмена данными, и пришли к выводу, что цель сбора упомянутой информации заключается в сборе логинов и паролей госслужащих и сотрудников крупных компаний для последующего их использования при взломе критической информационной инфраструктуры (ТЭК, финансовые организации, операторы связи). «Рост интереса к этим данным говорит о подготовке масштабной атаки на госсектор в ближайшее время», — считают в компании.

Наличие актуальных паролей пользователей государственных информационных систем у злоумышленников может способствовать проведению атак с повторным использованием (password reuse), когда полученная пара логин/пароль используется для доступа к другим аккаунтам жертвы, включая корпоративные онлайн-сервисы и почту.

По данным источника, за первые шесть месяцев 2022 года в целом число кибератак в России выросло в 15 раз, а в госсекторе — в 17 раз. В качестве примера приводятся успешные атаки, в ходе которых хакеры похитили и опубликовали базу электронных писем Министерства культуры, администрации Благовещенска и аппарата губернатора Тверской области.

Специалисты в сфере информационной безопасности компании Google обнаружили инструмент Hyperscrape, который используется злоумышленниками для кражи данных из взломанных почтовых ящиков Gmail, Microsoft Outlook и Yahoo!. Согласно имеющимся данным, этот инструмент использует иранская хакерская группировка Charming Kitten.

Источник изображения: Gerd Altmann / pixabay.com

Считается, что группировка Charming Kitten, известная также под названием APT35, сотрудничает со спецслужбами Ирана, в том числе с военной разведкой. Представитель подразделения Google Threat Analysis Group Аякс Баш (Ajax Bash) сообщил, что инструмент Hyperscrape использовался хакерами не более двух десятков раз. Несмотря на то, что впервые о нём стало известно ещё в 2020 году, активная разработка Hyperscrape продолжается и сейчас.

Использование этого инструмента для выкачивания данных возможно только после компрометации почтового аккаунта жертвы. Hyperscrape автоматически изменяет язык интерфейса почтового ящика на английский, после чего выкачивает его содержимое в виде отдельных файлов формата .eml. Когда этот процесс завершён, все сообщения помечаются как непрочитанные, а язык интерфейса становится прежним. Отмечается, что в прошлых версиях Hyperscrape присутствовала функция обращения к Google Takeout, что позволяло скачать все данные из скомпрометированного аккаунта Google в виде архива.

Как именно хакеры взламывают почтовые ящики не уточняется. Согласно имеющимся данным, Google уведомила пользователей, аккаунты которых были скомпрометированы хакерами. В прошлом группировка Charming Kitten занималась проведением разного рода хакерских атак, а также распространяла вредоносное программное обеспечение.

Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.

Компания Cisco Systems подтвердила, что в конце мая её корпоративная сеть подверглась атаке хакеров, занимающихся распространением вымогательского программного обеспечения Yanluowang. Отмечается, что злоумышленникам удалось украсть не являющиеся конфиденциальными данные, связанные со скомпрометированной учётной записью одного из сотрудников.

Источник изображения: Bleeping Computer

«В конце мая 2022 года в корпоративной сети Cisco Systems произошёл инцидент безопасности, и мы немедленно приняли меры по сдерживанию и блокировке злоумышленников. Этот инцидент не повлиял на бизнес компании, включая продукты и услуги, конфиденциальные данные клиентов и сотрудников, интеллектуальную собственность и операции в цепи поставок», — прокомментировали данный вопрос в Cisco Systems.

По данным источника, злоумышленники смогли получить доступ к внутренней сети Cisco Systems после того, как им удалось взломать аккаунт Google одного из сотрудников. С помощью обмана им удалось убедить жертву принять push-уведомление многофакторной аутентификации, в результате чего был получен доступ к VPN в контексте целевого пользователя. После проникновения в сеть Cisco Systems злоумышленники скомпрометировали несколько серверов Citrix и получили привилегированный доступ к контроллерам домена. Получив права администратора домена, они осуществили сбор данных и загрузили на скомпрометированные системы вредоносное программное обеспечение, включая бэкдор.

В конечном итоге специалисты Cisco Systems обнаружили присутствие злоумышленников во внутренней сети, после чего они были заблокированы. Отмечается, что в течение последующих нескольких недель хакеры не оставляли попыток восстановить доступ к системам Cisco Systems. При этом в компании не обнаружили никаких признаков того, что хакеры загрузили в сеть ПО для шифрования данных на скомпрометированных системах.

Любопытно, что несколько дней назад один из участников атаки на Cisco Systems связался с порталом BleepingComputer и предоставил доказательства того, что хакерам удалось похитить ценные данные. Он сообщил, что в ходе атаки было украдено около 2,75 Гбайт данных (примерно 3100 файлов), многие из которых представляют собой соглашения о неразглашении, дампы данных и инженерные чертежи.

В первом полугодии 2022 года количество предложений из-за рубежа сотрудникам российских компаний о предоставлении платных услуг, связанных с доступом к внутренним данным или запуском вредоносного кода, увеличилось в четыре раза по сравнению с аналогичным периодом прошлого года. Последние несколько месяцев такие объявления размещаются не только в даркнете, но и в Telegram. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Phishman.

Источник изображения: Pixabay

В сообщении сказано, что ранее подобные предложения можно было встретить исключительно в даркнете, но с весны 2022 года объявления такого характера начали появляться в профильных Telegram-каналах. В компании отметили, что стоимость поиска паспортных данных человека по номеру телефона в базе варьируется от 2 тыс. до 7 тыс. рублей, а отслеживание мобильного устройства стоит от 80 тыс. рублей.

Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко подтвердил рост спроса на инсайдеров в российских компаниях и организациях. По его словам, значительное увеличение количества таких предложений пришлось на весну 2022 года, причём это касается не только даркнета, но и публичного поля. На этом фоне цель хакерских атак уже играет меньшее значение, поскольку на передний план выходит массовость. Отмечается, что квалификация и подкованность инсайдеров в IT-компаниях стали не так важны.

Эксперты не могут дать оценку количества откликов на подобные предложения, поскольку координация действий, как правило, осуществляется в закрытых чатах. При этом господин Коваленко сообщил, что всплеск по числу предложений сопоставим с ростом утечек информации и атак, зафиксированных с весны этого года. Специалисты в сфере информационной безопасности отмечают спад активности злоумышленников в начале второго полугодия из-за сезонности и отсутствия громких геополитических поводов. По их мнению, активность хакеров возрастёт к осени.

По сообщениям сетевых источников, блокчейн-мост Nomad, обеспечивающий переводы между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomed, подвергся хакерской атаке, в результате которой злоумышленникам удалось похитить около $200 млн в криптовалюте.

Источник изображения: Reto Scheiwiller / pixabay.com

Взлом платформы был осуществлён 1 августа, но сначала сотрудники Nomad не подтвердили кражу активов, сославшись на необходимость проведения оперативного расследования. «Нам известно об инциденте, который связан с мостом Nomad. В настоящее время мы проводим расследование и предоставим новую информацию по мере её поступления», — говорилось в сообщении компании.

Позднее разработчики опубликовали запись, которая подтвердила, что злоумышленникам удалось похитить цифровые активы. «Мы круглосуточно работаем над решением сложившейся ситуации, а также уведомили о случившемся правоохранительные органы и привлекли к расследованию ведущие компании по анализу и экспертизе блокчейна. Наша цель — определить вовлечённые средства, отследить и вернуть их», — сказано в сообщении Nomad.

Согласно имеющимся данным, причиной взлома стала ошибка в коде недавнего обновления платформы. Специалисты в области блокчейна сообщили, что любой пользователь, не обладающий навыками программирования, мог воспользоваться этой ошибкой для перевода токенов на свой счёт. Для этого было достаточно скопировать исходные данные транзакции и заменить адрес получателя на свой. По данным источника, на момент совершения хакерской атаки платформа располагала примерно $200 млн в разных криптовалютах, которые и были похищены хакерами.

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными.

Источник изображения: Pixabay

Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше чем в апреле. В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

В случае отсутствия доступа к сайту компании, он опускается в выдаче «Яндекса» или любого другого поисковика, или может исчезнуть из выдачи вообще, если это продолжается длительное время, говорит основатель и гендиректор Qrator Labs Александр Лямин. В свою очередь, в «Яндексе» сообщили, что дообучают алгоритмы, чтобы сайты имели больше времени на восстановление работы.

По словам руководителя группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназа Гатауллина, сейчас большое количество компаний занимаются бизнесом в интернете и при больших оборотах «даже десять минут простоя приводят к колоссальным убыткам».

Японское издательство Bandai Namco в заявлении нескольким профильным игровым порталам, включая Eurogamer и Video Games Chronicle, подтвердило факт хакерской атаки на свою инфраструктуру.

Источник изображения: Bandai Namco

О потенциальном взломе Bandai Namco накануне сообщила хакерская группировка ALPHV (она же BlackCat). По словам злоумышленников, им удалось получить доступ к конфиденциальным файлам компании и потребовать у неё выкуп.

Теперь же Bandai Namco подтвердила взлом и кражу хакерами (группировка не уточняется) информации секретного характера. В издательстве допускают, что в руки могли попасть пользовательские данные.

В частности, речь идёт про связанную с разделами игрушек и хобби в азиатских регионах (не считая Японию) потребительскую информацию, которая хранилась на серверах и компьютерах Bandai Namco.

Вероятно поддельный график релизов Bandai Namco, распространившийся по Сети после заявления ALPHV (источник изображения: ResetEra)

Незаконное проникновение в свою систему третьими лицами Bandai Namco зафиксировала 3 июля. После этого компания заблокировала доступ к серверам, чтобы предотвратить распространение данных.

В настоящее время Bandai Namco оценивает причинённый ущерб и ищет причину произошедшего. Компания извинилась перед всеми затронутыми ситуацией и пообещала усилить защиту (в том числе за счёт сторонних организаций).

Тем временем Bandai Namco до сих пор трудится над устранением лазейки, с помощью которой в трилогии Dark Souls на ПК можно было удалённо выполнять код на чужом компьютере. Сервера всех трёх игр отключены с конца января.