Криптовалютная платформа Poly Network, позволяющая комбинировать работу блокчейнов разного типа, подверглась хакерской атаке. Согласно имеющимся данным, злоумышленникам удалось сгенерировать миллиарды несуществующих криптовалютных токенов в десятках разных блокчейнах.

Источник изображения: Shutterstock

В сообщении Poly Network сказано, что злоумышленники использовали уязвимость, которая позволила манипулировать функцией смарт-контракта в протоколе межсетевого моста. По данным платформы, проблема затронула 57 криптовалютных активов в 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX и Metis. В сообщении не уточняется, какую сумму удалось похитить хакерам.

По оценкам экспертов, хакеры сгенерировали токены BNB на сумму около $100 млн, а также токены BUSD на сумму в $10 млрд. Кроме того, в сети Heco было сгенерировано около 100 трлн токенов мемной криптовалюты Shiba Inu. Значительное количество альткоинов также было выпущено в сетях Polygon и Avalanche. Отмечается, что в какой-то момент в кошельке хакеров оказалось количество криптовалютных токенов, эквивалентное примерно $42 млрд, но им удалось реализовать лишь часть из них из-за ограниченного спроса.

Отметим, что это не первый случай взлома криптовалютной платформы Poly Network. В 2021 году хакер сумел похитить криптовалюту на сумму в $600 млн. Однако позднее он согласился вернуть украденные средства и даже получил от Poly Network солидное вознаграждение.

В результате деятельности хакеров и мошенников в 2022 году владельцы криптовалют лишились активов на общую сумму $11,5 млрд, выяснили аналитики TRM Labs. Несмотря на обвал котировок криптовалют, объём связанных с ними преступлений в долларах почти не изменился с 2021 года. Биткоином киберпреступники пользуются всё реже.

Источник изображения: Pete Linforth / pixabay.com

Не менее $7,8 млрд в криптовалютах за 2022 год было вложено в финансовые пирамиды, а $3,7 млрд украдено. Сумма трат на запрещённые вещества в даркнете составила $1,5 млрд. Примерно $2 млрд было похищено в результате атак на межсетевые мосты — сервисы, предлагающие перевод средств из одного блокчейна в другой. Киберпреступники всё чаще выбирают эту схему атаки, чтобы перемещение активов было труднее отследить.

В среде хакеров и мошенников существенно снизилась популярность биткоина: если в 2016 году на крупнейшую криптовалюту приходились две трети краж, то в 2022 году биткоин принял на себя всего 3 % такой активности. Более популярными у киберпреступников стали блокчейны Ethereum (68 %) и Binance Smart Chain (19 %).

Биткоин теряет свою значимость и в другой криминальной схеме: в 2016 году он был единственной криптовалютой, используемой для финансирования терроризма. А в 2022 году для этой цели используется блокчейн TRON — доля построенных на этой сети активов достигла 92 %. Популярность сети обусловлена низкими комиссионными — по этой же причине здесь происходит большая часть оборота стейблкоина USDT.

В мае 2023 года киберпреступники похитили $71 млн в криптовалюте. А в июне произошёл крупнейший в этом году взлом — у пользователей криптокошелька Atomic Wallet похитили более $100 млн.

Поставщики решений для кибербезопасности фиксируют значительный рост в начале года числа фишинговых сайтов, маскирующихся под порталы официальных брендов. Как правило, они преобладают в поисковой выдаче над официальными ресурсами, поскольку мошенники используют инструменты поисковой оптимизации для увеличения рейтинга сайта. Такие атаки помимо финансовых потерь могут привести к взлому официального сайта организации.

Источник изображения: Arget/unsplash.com

Как сообщает «Коммерсантъ» со ссылкой на исследование Positive Technologies, представленное на ПМЭФ-2023, в первом квартале 2023 года число инцидентов, связанных с кибербезопасностью, увеличилось в годовом выражении на 10 % и на 7 % по сравнению с предыдущим кварталом. «Наиболее частыми последствиями успешных кибератак на организации стали утечки конфиденциальной информации — 51 % инцидентов, причём во втором неполном квартале их число уже превысило первый квартал на 4 %», — расскзал директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Также был отмечен значительный рост (16 % год к году) вредоносной рекламы в поисковых системах, то есть таргетированной выдачи фишинговых сайтов под видом официальных брендов. Для опережения выдачи мошеннического ресурса над законным злоумышленники применяли метод поисковой оптимизации (Search Engine Optimization, SEO), пояснили в Positive Technologies.

«Злоумышленники внедряют во вредоносные сайты ключевые слова и используют популярные темы, поисковые системы считывают это и выдают вредоносный сайт раньше, чем оригинальную страницу», — сообщили исследователи, добавив, что этот тренд будет актуальным на протяжении всего 2023 года на всех популярных поисковых сервисах.

SEO-спам — использование неэтичных методов для увеличения рейтинга сайта в поисковой выдаче — применяется мошенниками сейчас постоянно, подтвердила руководитель направления мониторинга и аналитики Innostage Ксения Рысаева, отметив, что фишинговые сайты могут также содержать вредоносные программы для заражения компьютеров посетителей. «Инструмент распространения вредоносных ресурсов через оптимизацию поисковой выдачи эксплуатирует психологию пользователей, которые интуитивно выбирают первые строки в результатах поиска», — добавил технический руководитель направления анализа защищённости центра инноваций Future Crew компании МТС Red Алексей Кузнецов.

По словам руководителя отдела продвижения продуктов компании «Код безопасности» Павла Коростелева, от подобных атак скорее всего могут пострадать сайты небольших онлайн-бизнесов, которые используются в качестве визитки, а не инструмента заработка.

Директор АНО «Институт развития предпринимательства и экономики» Наталья Назарова выделила три ключевых негативных последствия такого вида мошенничества: во-первых, потеря части доходов, во-вторых, значительные репутационные издержки, и в-третьих, есть риск взлома IT-системы бизнеса, если клиент передал личные данные, со всеми вытекающими последствиями.

Подрядчик одной из подведомственных Министерству энергетики США национальных лабораторий и хранилище радиоактивных отходов, управляемое тем же ведомством, в числе прочих структур стали жертвами масштабной кибератаки. В результате была частично взломана сетевая инфраструктура государственных органов США. Об этом сообщает Bloomberg со ссылкой на источник, знакомый с ситуацией.

Источник изображения: Waste Isolation Pilot Plant

В ходе хакерской кампании пострадали многие американские государственные ведомства — участники атаки использовали уязвимости в программном инструменте для сбора информации. Сообщается, что министерство энергетики приняло оперативные меры для предотвращения дальнейшего распространения угрозы и уведомило об инциденте Агентство по кибербезопасности и защите инфраструктуры США (CISA), а также Конгресс США. В настоящий момент ведомство работает с правоохранительными органами и пострадавшими структурами для расследования инцидента и оценки нанесённого ущерба.

Известно, что подрядчик Национальной лаборатории Ок-Ридж, работающей в сфере ядерной энергетики, стал одной из жертв атаки, но представители организации утверждают, что украденные материалы не имеют к ней отношения.

Кроме того, пострадал опытный завод по изоляции отходов — т.н. Waste Isolation Pilot Plant в штате Нью-Мексико. Здесь на большой глубине хранятся ядерные отходы, в том числе от ядерного оружия.

CISA, подведомственное Министерству внутренней безопасности США, подтвердило атаку на несколько ведомств. По данным Bloomberg, за атакой предположительно стоят русскоговорящие хакеры группы Clop, использовавшие уязвимость в приложении для передачи файлов MOVEit.

Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

В минувшую ночь инфраструктура фонда «Сколково» подверглась хакерской атаке, в результате чего была нарушена работа ряда его сервисов, пишет ТАСС со ссылкой на пресс-службу организации. Злоумышленникам удалось получить частичный доступ к информационным системам, и сейчас специалисты фонда занимаются восстановлением работы сервисов.

Источник изображения: Pixabay

«В ночь с 28 на 29 мая инфраструктура фонда "Сколково" подверглась хакерской атаке. Злоумышленники получили частичный доступ к ряду информационных систем и сетевых ресурсов. Ведётся активная работа по восстановлению работоспособности инфраструктуры фонда "Сколково"», — сообщили в пресс-службе организации, добавив, что на данный момент временно недоступны публичные информационные ресурсы, такие как сайт sk.ru и онлайн-сервисы, и что основная часть сервисов будет восстановлена в течение суток.

В числе первых о взломе систем фонда рассказал Telegram-канал «Утечки информации», отметивший, что среди, файлов, опубликованных хакерами в качестве доказательства взлома, никаких критичных пользовательских данных (и баз данных вообще) не обнаружено.

В свою очередь, «Интерфакс» сообщил со ссылкой на пресс-службу фонда, что хакерам удалось взломать «файлообменник, расположенный на физических мощностях фонда». В настоящее время фонд «Сколково» ведёт изучение и анализ обстоятельств инцидента, к расследованию которого привлечены правоохранительные органы.

В Сеть попала утечка из базы данных, опубликованная хакерами, пишет ТАСС со ссылкой на сообщение Telegram-канала Infosecurity. Утечка содержит 295 915 строк с последней записью от 25 мая 2023 года. Как полагает Telegram-канал, данные могут касаться соискателей на работу в сети ресторанов быстрого питания «Вкусно – и точка».

Источник изображения: Pixabay

Сообщается, что в открытом доступе оказались сведения о кандидатах на вакансии, включая их имена, возраст, гражданство, номер мобильного телефона, дату и источника запроса, а также процент прохождения теста на собеседовании, статус и место работы, вакансии и т.д.

В пресс-службе сети ресторанов быстрого питания «Вкусно – и точка» сообщили ТАСС в субботу, что служба безопасности и IT-департамент сейчас проверяют информацию об утечке данных с сайта для соискателей компании. В случае подтверждения факта утечки конфиденциальных данных компании грозит штраф за нарушение требований ч.1 ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), максимальная сумма которого составляет 100 тыс. рублей.

Напомним, что в этом месяце суд оштрафовал на 60 тыс. рублей компанию VK за утечку данных пользователей почтового сервиса Mail.ru, несмотря на то, что компания утверждала, что её вины в этом нет, так как появление персональных данных пользователей почтового сервиса в открытом доступе связано с утечкой стороннего ресурса.

В минувшую среду Microsoft вместе с западными спецслужбами сделала заявление, согласно которому спонсируемая Китаем хакерская группа ведёт слежку за целым рядом объектов критической инфраструктуры США. Китай отвергает эти обвинения, назвав происходящее «коллективной дезинформационной кампанией» США и их союзников.

Источник изображения: FLY:D/unsplash.com

Базирующаяся в Китае хакерская группа, известная как Volt Typhoon или Bronze Silhouette, по словам Microsoft действует с середины 2021 года, занимаясь «шпионажем и сбором информации». Хакеры стремятся получить доступ к критически важным системам, и как можно дольше затем сохранять доступ, не выдавая своего присутствия. Список целей охватывает секторы связи, производства, коммунальных услуг, транспорта, строительства, морского судоходства, правительства, информационных технологий и образования.

Microsoft признает, что обнаружение и устранение последствий проникновения Volt в различные системы «может оказаться сложной задачей», поскольку для кражи информации группировка использует сочетание разных методов, включая безфайловые вредоносные программы и получение данных учетных записей. Microsoft считает, что целью кампании Volt является разработка возможностей, которые «могут нарушить критически важную инфраструктуру связи между США и Азиатским регионом во время будущих кризисов».

В связи с обнаружением Microsoft активности хакеров Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило рекомендации по кибербезопасности, которые поддержала принадлежащая Dell компания по кибербезопасности Secureworks.

По данным агентства Reuters, Volt Typhoon считается одной из крупнейших известных китайских группировок по кибершпионажу, нацеленных на США, которая также работает и в других регионах. В настоящее время Агентство национальной безопасности (АНБ) США и Федеральное бюро расследований (ФБР) США в сотрудничестве с разведывательным альянсом «Пять глаз», в который входят США, Австралия, Канада, Новая Зеландия и Великобритания, выясняют, не было ли уже проникновений Volt Typhoon в компьютерные системы других стран.

Комментируя эти заявления, официальный представитель министерства иностранных дел Китая Мао Нин (Mao Ning) отметила, что в хакерских атаках виновен Вашингтон и что «Соединённые Штаты — это империя хакерских атак».

Telegram-канал «Утечки информации» исследовательской компании DLBI сообщил о появлении в открытом доступе актуальных на 18 мая данных клиентов сети лабораторий «Ситилаб». В обнаруженных файлах содержатся логины, хешированные пароли, ФИО, пол, дата рождения, дата регистрации, 483 тысячи уникальных адресов электронной почты и 435 тысяч уникальных номеров телефонов.

Источник изображения: pressfoto / freepik.com

Адреса электронной почты реальные — исследователи компании DLBI проверили часть из них через форму восстановления аккаунта на сайте «Ситилаб». Утверждается, что хакерам удалось похитить в общей сложности 14 Тбайт данных. В открытый доступ выложена пока только часть украденной информации объёмом 1,7 Тбайт. Кроме непосредственно данных о клиентах сети лабораторий в свободном доступе оказались около 1000 документов в формате PDF с результатами анализов, исследованиями, договорами и чеками.

Пока комментариев от «Ситилаб» не поступало. Хакеры не первый раз обращают своё криминальное внимание на медицинские лаборатории — в мае 2022 года в даркнете продавалась информация из 30 млн строк личных данных клиентов «Гемотеста». В июле компанию оштрафовали на 60 тысяч рублей за утечку данных пользователей. Вряд ли такой штраф может серьёзно озаботить компанию с внушительными финансовыми оборотами.

Специалисты компании Check Point Research, работающей в сфере информационной безопасности, обнаружили вредоносную прошивку для широкого спектра домашних и корпоративных маршрутизаторов TP-Link. С её помощью хакеры, предположительно поддерживаемые китайскими властями, объединяют заражённые устройства в сеть, трафик внутри которой скрытно передаётся на подконтрольные злоумышленникам серверы.

Источник изображения: Pixabay

По данным Check Point, вредоносная прошивка содержит полнофункциональный бэкдор, позволяющий хакерам устанавливать связь с заражёнными устройствами, передавать файлы, осуществлять удалённое выполнение команд, а также загружать, скачивать и удалять данные на подконтрольных устройствах. Вредоносное программное обеспечение распространяется под видом прошивки для маршрутизаторов TP-Link. Предполагается, что основная цель ПО заключается в скрытой ретрансляции трафика между заражёнными устройствами и подконтрольными хакерам серверами.

Анализ вредоносного ПО показал, что его операторы связаны с группировкой Mustang Panda, которая, по утверждению компаний Avast и ESET, поддерживается китайскими властями. Вредоносная прошивка была обнаружена в ходе расследования серии хакерских атак на европейские внешнеполитические структуры. Главным компонентом ПО является бэкдор, получивший название Horse Shell. Он позволяет осуществлять удалённое выполнение команд на заражённых устройствах, передавать файлы для загрузки на устройства жертв и выгружать данные, а также обмениваться данными между двумя устройствами с использованием протокола SOCKS5.

«Бэкдор может использоваться для ретрансляции данных между двумя узлами. Таким образом, злоумышленники могут создать цепочку узлов, которые будут передавать трафик на подконтрольный сервер. Такой подход позволяет киберпреступникам скрыть конечную точку назначения, поскольку каждый узел в цепочке имеет данные только о предыдущем и следующем узлах, каждый из которых представляет собой заражённое устройство. Лишь несколько узлов будут содержать данные о конечном узле», — говорится в сообщении Check Point.

Один из крупнейших поставщиков аптечных услуг в США — PharMerica — подтвердил, что хакеры из Money Message получили доступ к личным данным почти шести миллионов пациентов. Среди украденных данных оказались как общая информация, так и медицинские данные.

Источник изображения: pixabay

В уведомлении об утечке данных, поданном генеральному прокурору штата Мэн, компания PharMerica сообщила, что 14 марта узнала о подозрительной активности в своей компьютерной сети. Внутреннее расследование показало, что «неизвестная третья сторона» получила доступ к её системам днями ранее и украла личную информацию 5,8 млн пациентов. В письме, отправленном пострадавшим клиентам, компания сообщила, что хакеры получили имена пациентов, даты рождения, номера социального страхования, список лекарств и информацию о медицинском страховании. Однако образцы утекших данных подтверждают, что хакеры также украли защищённую информацию о здоровье по крайней мере 100 пациентов, включая информацию об аллергиях, номера медицинских страховок и подробные диагнозы, включая сведения об употреблении алкоголя, наркотиков и наличии психических заболеваний.

Украденные данные были опубликованы на сайте хакерской группировки Money Message, которые в марте совершили атаку на производителя компьютерных комплектующих MSI. Команда хакеров утверждает, что украла в общей сложности 4,7 Тбайт данных у PharMerica и её материнской компании BrightSpring Health, поставщика медицинских услуг на дому. В заявлении, размещённом на веб-сайте PharMerica, компания сообщила, что предпринимает дополнительные шаги, чтобы помочь снизить вероятность возникновения подобного события в будущем, но не уточнила, какие именно это будут шаги.

Инцидент с PharMerica, в котором пострадали почти шесть миллионов пациентов, стал крупнейшим взломом личных данных пациентов в этом году. Второе по величине преступление связано с медицинской фирмой Regal Medical Group из Южной Калифорнии, которая в январе подтвердила, что был получен доступ к данным более 3,3 миллиона пациентов.

Хакерские группировки, связанные с Северной Кореей, с 2017 года похитили около $2,3 млрд в криптовалюте, в том числе у предпринимателей из Японии — $721 млн. Об этом пишет издание Nikkei Asia со ссылкой на данные исследования компании Elliptic, специализирующейся на анализе платформ на основе блокчейна.

Источник изображения: freepik

В сообщении сказано, что северокорейские хакеры нацелились на криптовалютные активы других стран, чтобы получить доступ к иностранной валюте, необходимой для реализации ракетной программы своей страны. По оценке экспертной группы Совета Безопасности ООН, северокорейские хакеры похитили от $600 млн до $1 млрд в криптовалюте в 2022 году. Это вдвое больше по сравнению с суммой украденных средств за предыдущий год. По подсчётам Elliptic, сумма похищенных средств в 2022 году составила $640 млн.

По данным источника, Северная Корея для кражи криптовалюты не только проводит хакерские атаки, но и использует вымогательское программное обеспечение. Чаще всего целью северокорейских хакеров становятся криптовалютные биржи из Японии. Отмечается, что злоумышленники в основном полагаются на проведение прямых атак, поскольку в случае их успеха можно извлечь большую выгоду, чем при использовании вымогательского ПО, которое далеко не всегда эффективно. В сообщении сказано, что основными целями хакеров были участники быстроразвивающихся криптовалютных рынков Японии и Вьетнама. Как минимум три японские криптобиржи были взломаны северокорейскими хакерами в период с 2018 по 2021 годы.

В Elliptic подсчитали, что в период с 2017 года по конец 2022 года северокорейские хакеры по всему миру похитили около $2,3 млрд в криптовалюте. При этом $721 млн приходится на Японию, ещё $540 млн на Вьетнам, $497 млн на США и $281 млн на Гонконг. По данным Японской организации по развитию внешней торговли, украденные у страны $721 млн в 8,8 раза больше объёма экспорта Северной Кореи в 2021 году.

По данным Роскомнадзора, в первом квартале 2023 года было удалено и заблокировано 7,2 тыс. фишинговых сайтов, тогда как за аналогичный период прошлого года их количество не превышало 2 тыс. единиц. Отмечается, что такие ресурсы в зоне .ru встречаются всё реже, поскольку хакеры активнее используют малоизвестные доменные зоны, такие как .ml, .tk и др.

Источник изображения: freepik

В сообщении сказано, что наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменные зоны .com (52 %), .ru (13), а также .xyz и .site (по 8 %). Мошенники также использовали домены в зонах .top, .io, .net, .pro и .ws. Минцифры занимается блокировкой фишинговых сайтов с помощью системы «Антифишинг», которая начала функционировать в июне прошлого года. В ведомстве отметили, что в зоне .ru «фишинга становится меньше».

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», с начала 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48 %), .ru (12 %) и .ws (6 %).

Специалисты F.A.C.C.T. (бывшая Group IB) отметили изменение зон регистрации используемых для фишинга доменов. По их данным, в зоне .ru количество фишинговых ресурсов год к году сократилось с 5,2 % до 4,8 %. При этом в зоне .com за аналогичный период количество регистраций фишинговых страниц снизилось на 14 % и составило 24 %. Такая тенденция может быть связана с деятельностью по обнаружению и блокировке фишинговых страниц, а также с переездом таких ресурсов в зоны бесплатных доменов. В зоне .tk количество фишинговых сайтов за первый квартал выросло в 20 раз, а в остальных зонах — в 4 раза.

Технический директор направления анализа и защищённости центра инноваций Future Crew МТС RED Алексей Кузнецов напомнил, что количество фишинговых сайтов в российском сегменте исчисляется тысячами, а в сегменте .com — десятками тысяч. «Фишинг продолжает набирать популярность, активно эксплуатируя актуальную повестку, а спрос на доменные имена в экзотических доменных зонах (.ml, .tk, .cf, .ga) растёт», — отметил господин Кузнецов.

Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.

Источник изображения: Pete Linforth / pixabay.com

В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.

Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.

Скриншот с частью похищенных данных. Источник изображения: PCMag

Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.

«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).

Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.

Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.

«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.

К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.