Darknet Methods

2023-10-09 18:03:44 Компания 23andMe допустила утечку генетической информации 1,3 млн человек

После того как хакеры выставили на продажу информацию миллионов человек, биотехнологическая компания 23andMe, специализирующаяся на генетических исследованиях, подтвердила, что допустила утечку данных своих клиентов.

23andMe предлагает ДНК-тестирование и специализируется на использовании генетической информации для медицинских исследований и поиска лекарств, для чего заказчику достаточно предоставить компании образец своей слюны, отправив его по почте.

На прошлой неделе в даркнете были опубликованы образцы данных, похищенных у 23andMe. Один файл, опубликованный злоумышленником, содержал миллион строк данных об ашкенази, а другой — данные более 300 000 пользователей китайского происхождения.

Среди украденных данных была оценка происхождения, данные о фенотипе, медицинская информация, пол, возраст, фотографии, идентификационные данные, дата последнего входа в систему и так далее. Открыть/Комментировать

2023-10-07 18:02:41 Операторы шифровальщика Lorenz случайно раскрыли личности своих жертв

Вымогательская группировка Lorenz случайно раскрыла данные всех людей, которые связывались с ней через онлайн-форму на сайте за последние два года. Среди попавших в открытый доступ данных: имена, адреса электронной почты и темы, введенные пострадавшими в соответствующее поле контактной формы.

Lorenz активна по меньшей мере с 2021 года и занимается обычным двойным вымогательством: не просто шифрует файлы на машинах своих жертв, но и ворует данные пострадавших компаний, а затем угрожает обнародовать их, если не получит выкуп. В прошлом исследователи приписывали этой группе атаку на EDI-провайдера Commport Communications, атаки на VoIP-решения Mitel, а также отмечали активность хакеров в США, Китае и Мексике, где Lorenz атаковала малый и средний бизнес.

Как сообщает издание The Register, утечку данных на сайте хакеров заметил ИБ-исследователь под ником Htmalgae, который извлек информацию с сайта преступников и загрузил в репозиторий на GitHub. Записи охватывают период с 3 июня 2021 года по 17 сентября 2023 года, так как после указанной даты контактная форма группировки сломалась. Открыть/Комментировать

2023-10-05 18:32:51 Компания Sony подтвердила утечку данных тысяч сотрудников

Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация. Также в компании подтвердили, что утечка произошла в результате атаки на 0-day уязвимость в MOVEit Transfer.

Напомним, что минувшим летом платформа для обмена файлами MOVEit Transfer компании Progress Software использовалась в массовых атаках, последствия которых суммарно затронули более 2100 организаций и 62 млн человек.

Тогда хакеры эксплуатировали критическую уязвимость CVE-2023-34362, которую эксперты обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и атаки на них начались еще 27 мая 2023 года, то есть хакеры обнаружили уязвимость даже раньше исследователей. Открыть/Комментировать

2023-10-03 17:02:14 Lazarus атаковала аэрокосмическую компанию в Испании, прикинувшись рекрутером

Северокорейскую хак-группу Lazarus связали с кибершпионской атакой на неназванную аэрокосмическую компанию в Испании. Злоумышленники вышли на связь с сотрудником компании-жертвы, выдавая себя за рекрутера из Meta (признана экстремистской организацией, деятельность запрещена в РФ), и вынудили его установить новый бэкдор LightlessCan.

Как сообщили специалисты ESET, через LinkedIn с сотрудниками аэрокосмической компании связался фальшивый рекрутер и обманом вынудил их открыть вредоносные исполняемые файлы, которые были замаскированы под тестовые задачи по программированию (Quiz1.iso и Quiz2.iso).

Эти ISO-файлы, содержащие вредоносные файлы Quiz1.exe и Quiz2.exe, были загружены и выполнены сотрудником на корпоративном устройстве, что привело к компрометации системы и проникновению хакеров в корпоративную сеть.

В результате атаки в систему проник загрузчик NickelLoader, который позволял злоумышленникам внедрить в память компьютера жертвы любую программу, включая троян удаленного доступа LightlessCan и miniBlindingCan (вариант малвари BLINDINGCAN с урезанной функциональностью, он же AIRDRY.V2). Открыть/Комментировать

2023-10-01 17:32:45 Ворованные учетные данные от GitHub используются для создания фейковых коммитов Dependabot

Аналитики компании Checkmarx обнаружили новую вредоносную кампанию на GitHub. Злоумышленники получают доступ к чужим аккаунтам GitHub и распространяют вредоносные коммиты, замаскированные под активность Dependabot (автоматической системы, предназначенной для проверки зависимостей проекта на актуальность).

Атаки злоумышленников начинаются с того, что они каким-то образом получают личные токены доступа к GitHub, принадлежащие жертвам. Каким образом это происходит, исследователям неизвестно. Но такие токены хранятся локально на компьютерах разработчиков и могут использоваться для входа без двухфакторной аутентификации.

Исследователи предполагают, что кража токенов могла произойти после заражения разработчиков неким вредоносным ПО, которое, вероятно, проникло на их устройства через вредоносный пакет.

Использовав токен для входа, с помощью автоматизированных скриптов, атакующие создают поддельные коммиты с заголовком «fix», которые якобы сделаны пользователем dependabot[bot]. Открыть/Комментировать

2023-09-29 17:32:07 Фишеры угоняют Telegram-аккаунты блогеров

Исследователи из «Лаборатории Касперского» заметили, что злоумышленники атакуют русскоязычных блогеров, маскируясь под рекламодателей и стремясь выманить у них учетные данные от Telegram-аккаунтов.

Таргетированные атаки начинаются с того, что блогеру пишет якобы представитель крупной компании в области онлайн-ретейла и предлагает рекламное сотрудничество. В ходе разговора злоумышленники придерживаются стандартной схемы делового общения для таких взаимодействий. Так, «менеджер» рассказывает, что блогер может выбрать любые позиции, представленные на площадке, устроить распаковку для подписчиков и разместить ссылки на товары у себя в аккаунте.

Дальше обговаривается стоимость рекламной интеграции. Если блогер соглашается на условия и подбирает товары, которые намерен рекламировать, фальшивый представитель бренда заявляет, что отправит информацию на согласование с руководством.

В итоге такая переписка с фиктивным менеджером может длиться несколько дней. Открыть/Комментировать

2023-09-27 18:03:27 СМИ: WhatsApp не будет запускать каналы в России из-за угрозы блокировки

По информации СМИ, разработчики мессенджера WhatsApp отказались от запуска каналов в России. На это решение повлияли заявления представителей комитета Госдумы по информационной политике и Роскомнадзора, которые допускали, что из-за запуска каналов мессенджер будет заблокирован в РФ.

Напомним, что каналы в WhatsApp были представлены широкой публике в середине сентября (изначально их анонсировали еще в июне), и эта функциональность должна заработать для пользователей в 150 странах мира до конца текущего года.

Вскоре после этого анонса замглавы комитета Госдумы по информационной политике Антон Горелкин, а также председатель того же комитета Александр Хинштейн сообщили, что запуск каналов может привести к блокировке месснеджера на территории РФ.

Эту позицию поддержали и представители Роскомнадзора, заявившие, что блокировка WhatsApp в России действительно не исключена, а «появление недружественных каналов с запрещенной информацией незамедлительно повлечет требование об их удалении и при отказе — к блокировке [WhasApp]». Открыть/Комментировать

2023-09-25 17:03:28 Группировка Sandman атакует телекомы модульной малварью LuaDream

Совместное расследование компаний SentinelLabs и QGroup GmbH обнаружило шпионскую кампанию неизвестной ранее группировки Sandman, направленную на поставщиков телекоммуникационных услуг на Ближнем Востоке, в Западной Европе и в субконтиненте Южной Азии. В своих атаках хакеры используют сложный модульный бэкдор, основанный на Lua.

По данным исследователей, атаки группы обычно начинаются с того, что злоумышленники получают доступ к корпоративной сети, используя для этого украденные учетные данные администратора. После этого Sandman применяет атаки типа pass-the-hash для аутентификации на удаленных серверах и в службах через повторное использование NTLM-хэшей, хранящихся в памяти.

Так как в одном из изученных случаев все взломанные рабочие станции принадлежали руководящему персоналу, эксперты считают, что это свидетельствует об интересе злоумышленников к секретной и конфиденциальной информации.

Отмечается, что в своих атаках Sandman использует модульное вредоносное ПО LuaDream, которое применяется для атак типа DLL hijacking на целевые системы. Малварь получила такое название благодаря использованию JIT-компилятора LuaJIT, и исследователи отмечают, что это довольно редкое явление, равно как и использование языка Lua хакерами в целом. При этом подчеркивается, что хакеры лишь применяют LuaJIT как средство для развертывания бэкдоров в целевых организациях. Открыть/Комментировать

2023-09-23 17:31:43 IOActive: критических уязвимостей в автомобилях становится меньше

Эксперты из компании IOActive провели анализ автомобильных уязвимостей за последнее десятилетие. Оказалось, что автомобильная промышленность стала уделять больше внимания кибербезопасности, и количество критических багов резко снизилось.

В исследовании IOActive были рассмотрены уязвимости, обнаруженные за последние 10 лет, но акцент сделан на тенденции 2016, 2018 и 2022 годов. Компания разделила уязвимости на категории и сгруппировала с учетом их потенциального воздействия, вероятности их эксплуатации и общего уровня риска. Причем уровень риска рассчитывался исходя из возможного воздействия и вероятности эксплуатации.

В рамках классификации IOActive, критическими считаются уязвимости, которые могут использоваться удаленно, могут быть легко обнаружены, а последствия от их эксплуатации включают полную компрометацию каких-либо компонентов авто или представляют угрозу безопасности.

К высокорисковым недостаткам относятся те, которые могут быть использованы удаленно и почти не требуют специальной подготовки, а к последствиям их эксплуатации относятся частичный контроль над компонентами, раскрытие конфиденциальной информации и потенциальная угроза безопасности. Открыть/Комментировать

2023-09-21 17:03:55 Хакеры проникли в системы Международного уголовного суда

Международный уголовный суд (МУС) сообщил о кибератаке, в результате которой на прошлой неделе оказались взломаны его системы. В настоящее время инцидент расследуют при содействии голландских властей, так как Международный уголовный суд находится в Гааге.

В связи со случившимся, представители Международного уголовного суда сообщают о планах по улучшению своей киберзащиты, включая ускоренное внедрение облачных технологий.

В настоящее время не сообщается никаких деталей о характере и масштабах кибератаки, о ее воздействии на системы МУС, а также о том, удалось ли злоумышленникам получить доступ к каким-либо данным и файлам в скомпрометированной сети.

Представители МУС лаконично сообщают лишь о том, что «продолжают анализировать и смягчать последствия инцидента», сосредоточившись на «обеспечении продолжения основной работы Суда». Открыть/Комментировать