Darknet Methods

2023-12-30 17:03:07 Исследователь нашел три уязвимости в устройствах учета энергоресурсов компании «Энергомера»

Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера» — устройствах для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень систем АСКУЭ, а также для управления и контроля состояния объекта автоматизации. С помощью этих багов потенциальные злоумышленники могли отключить электричество в многоквартирном доме, офисе или на предприятии.

Такое оборудование применяется на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. А с конвейеров производителя ежегодно сходит более 3 млн устройств.

Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимость BDU:2023-04841, получившая почти максимальную оценку по шкале CVSS 3.0 (9,8 балла), позволяла менять параметры оборудования.

Вторая уязвимость — BDU:2023-04842 — давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании (оценка 8,1 балла), а третья — BDU:2023-04843 — позволяла атакующему модифицировать параметр устройства таким образом, чтобы вставить команды ОС, которые будут выполнены при запуске автоматического обновления прикладного ПО (оценка 8,8 балла). Открыть/Комментировать

2023-12-26 17:32:57 Европол обнаружил веб-скиммеры в 443 онлайн-магазинах

Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.

Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.

Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.

Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов). Открыть/Комментировать

2023-12-24 17:03:36 Интерпол сообщил об аресте 3500 киберпреступников и конфискации 300 млн долларов

В ходе международной операции правоохранительных органов HAECHI IV, длившейся с июля по декабрь 2023 года, были арестованы 3500 подозреваемых в различных киберпреступлениях, а также изъято более 300 млн долларов незаконных доходов.

Операцией руководили власти Южной Кореи, которые сотрудничали с правоохранительными органами 34 стран мира, включая США, Великобританию, Японию, Гонконг (Китай) и Индию.

HAECHI IV была направлена против мошенников, занимающихся голосовым фишингом, «романтическим» скамом, «сексуальным вымогательством» (в английском языке для обозначения такой активности используют термин sextortion, образованный от слов “секс” — sex и “вымогательство” — extortion), инвестиционным мошенничеством, отмыванием денег, связанных с незаконными азартными онлайн-играми, BEC-скамом и мошенничеством в области электронной коммерции.

Также сообщается, что с помощью механизма финансовой разведки Интерпола, I-GRIP, было обнаружено и заморожено 82 112 банковских счетов в 34 странах мира, связанных с различными киберпреступлениями и мошенничеством. Открыть/Комментировать

2023-12-22 17:32:41 Даркнет-маркетплейс BidenCash опять раздает бесплатно 1,9 млн банковских карт

Операторы кардерского ресурса BidenCash объявили об очередной щедрой «акции». Ради привлечения новых клиентов, администрация маркетплейса бесплатно раздает 1,9 млн ворованных банковских карт.

Сайт BidenCash был запущен весной 2022 года. Площадка специализируется на продаже кредитных и дебетовых карт, украденных с помощью фишинга или веб-скиммеров. Ресурс предлагает данные ворованных карт со всего мира по цене от 0,15 доллара за штуку и использует автоматические проверки для подтверждения действительности товара, который люди выставляют на продажу.

В настоящее время сайт завоевал немалую популярность среди киберпреступников, чему способствовали неоднократные бесплатные раздачи карт, аналогичные текущей. К примеру, в октябре 2022 года администраторы BidenCash раздали 1,2 млн украденных карт, а в марте 2023 года — еще 2,1 млн.

Следует отметить, что анализ предыдущих дампов показал, что в них содержалось некоторое количество дубликатов, а также недействительных и просроченных карт, поэтому реальные объем таких «бесплатных дампов» были меньше заявленного. Открыть/Комментировать

2023-12-20 18:33:28 Qbot снова активен и атакует гостиничную индустрию

Вредонос QakBot (он же Qbot, Quakbot и Pinkslipbot) снова распространяется с помощью фишинга, хотя минувшим летом ботнет якобы был ликвидирован правоохранительными органами в результате масштабной международной операции «Утиная охота» (Duck Hunt).

Напомним, что тогда ФБР удалось передать зараженным устройствам специальный модуль Windows DLL. Эта DLL выполнила команду, которая ликвидировала Qbot, фактически разрушая инфраструктуру ботнета. Представители Минюста США называли эту операцию крупнейшим в истории США финансовым и техническим ударом по инфраструктуре ботнета.

Новые фишинговые атаки Qbot были замечены 11 декабря 2023 года. По данным аналитиков, эта небольшая кампания была направлена на неназванные компании, работающие в сфере гостиничной индустрии.

К письмам хакеров прилагался PDF-файл, якобы содержащий список гостей. При этом в документе сообщалось, что предварительный просмотр документа недоступен, и жертве предлагалось скачать PDF, чтобы все заработало. Однако при клике на кнопку для скачивания загружался файл MSI, который после установки запускал в памяти DLL Qbot. Открыть/Комментировать

2023-12-18 18:04:49 Пользователи устройств Ubiquiti получили доступ к чужим роутерам и камерам UniFi

На прошлой неделе пользователи устройств Ubiquiti (от маршрутизаторов до камер наблюдения) сообщили, что они имеют полный доступ к чужим девайсам и уведомлениям через облачные сервисы UniFi.

Ubiquiti — крупный производитель сетевых устройств, предоставляющий пользователям облачную платформу UniFi, с помощью которой можно управлять всеми устройствами через единый облачный портал.

Все началось с того, что в середине прошлой недели клиент Ubiquiti пожаловался на Reddit, что по какой-то причине он получил уведомление через UniFi Protect от чужой камеры наблюдения.

Вскоре другой клиент сообщил, что войдя на портал UniFi Site Manager для управления своими устройствами, он увидел в списке 88 устройств, связанных с учетной записью другого человека. Открыть/Комментировать

2023-12-16 17:33:29 Microsoft конфисковала инфраструктуру группы, создавшей 750 млн мошеннических аккаунтов

Компания Microsoft получила судебное распоряжение, разрешающее конфискацию инфраструктуры вьетнамской хак-группы Storm-1152. Эта группировка зарегистрировала около 750 млн поддельных учетных записей Microsoft и заработала миллионы долларов, продавая их другим преступникам через сеть сайтов и страниц в социальных сетях.

Storm-1152 — крупный CaaS-поставщик (Cybercrime-as-a-Service, «Киберпреступление как услуга»), занимающий лидирующие позиции по продаже мошеннических учетных записей Outlook. Также группировка предоставляет другие незаконные «продукты», включая автоматический сервис для решения CAPTCHA, позволяющий обходить Microsoft CAPTCHA (и не только) и массово регистрировать новые учетные записи.

По данным экспертов, услугами Storm-1152 пользовались многочисленные хак-группы, включая операторов шифровальщиков, вымогателей и группы, специализирующиеся на краже данных. Например, среди группировок, которые покупали и использовали учетные записи Storm-1152 в своих атаках, были финансово мотивированные Storm-0252, Storm-0455 и Octo Tempest (она же Scattered Spider). Открыть/Комментировать

2023-12-14 17:03:56 Инженер получил два года тюрьмы за удаление репозиториев своего работодателя

Облачный инженер Миклош Даниэль Броуди (Miklos Daniel Brody) был приговорен к двум годам тюремного заключения и возмещению ущерба в размере 529 000 долларов. Дело в том, что Броуди стер все репозитории с кодом у своего бывшего работодателя, желая отомстить за увольнение из First Republic Bank.

По данным Министерства юстиции США, все началось с того, что 11 марта 2020 года Броуди уволили из First Republic Bank (FRB) в Сан-Франциско, где он занимал должность облачного инженера.

First Republic Bank был коммерческим банком в США, в котором работало более 7000 человек, а годовой доход оборот организации составлял 6,75 млрд долларов США. Банк закрылся 1 мая 2023 года и впоследствии был продан JPMorgan Chase.

Согласно судебным документам, трудовые отношения с Броуди были прекращены после того, как тот нарушил правила компании, подключив к рабочему компьютеру USB-накопитель с порнографией. Однако после увольнения Броуди отказался возвращать рабочий ноутбук, и вместо этого использовал еще действующую учетную запись для доступа к компьютерной сети банка и нанес бывшему работодателю ущерб свыше 220 000 долларов. Открыть/Комментировать

2023-12-02 17:32:40 Вымогатель Cactus использует уязвимости в Qlik Sense для проникновения в сети

Исследователи предупреждают, что вымогательская группа Cactus использует критические уязвимости в решении для визуализации, исследования и мониторинга данных Qlik Sense, получая с их помощью первоначальный доступ к корпоративным сетям.

В конце августа текущего года разработчики Qlik Sense выпустили патчи для двух критических уязвимостей, затрагивающих Windows-версию платформы.

Одна из уязвимостей, CVE-2023-41266, представляет собой path traversal баг и может использовать для создания анонимных сеансов и выполнения HTTP-запросов к неавторизованным конечным точкам.

Вторая проблема получила идентификатор CVE-2023-41265 и оценивается как критическая (9,8 балла по шкале CVSS). Эта уязвимость не требует аутентификации и может использоваться для повышения привилегий и выполнения HTTP-запросов на бэкэнд-сервере, где размещено приложение. Открыть/Комментировать

2023-11-28 17:33:08 У криптовалютной платформы KyberSwap украли 54,7 млн долларов

У децентрализованной биржи KyberSwap похитили почти 54,7 млн долларов в криптовалюте. Компания предложила хакеру вознаграждение в размере 10% от суммы украденных активов за обнаружение уязвимости, однако пока средства не возвращены.

Атака на KyberSwap произошла в конце прошлой недели, и компания уже подтвердила, что злоумышленник совершил «ряд сложных действий», что позволило ему «вывести средства пользователей на собственные кошельки».

В своих сообщениях в X (бывший Twitter) представители KyberSwap подчеркивают, что это самая сложная ситуация, с которой им приходилось сталкиваться с момента основания проекта в 2017 году, а хакер провел «один из самых изощренных взломов», который вообще никто не заметил.

Более того, предстатели KyberSwap рекомендовали пользователям «срочно вывести свои средств», пока длится расследование ситуации. Открыть/Комментировать