Пришло время обсудить ИБ-инциденты, которые случились в феврале. Традиционно в дайджесте собрали всё самое впечатляющее – тут и новые сценарии для мошенничества, и утекшие миллионы у очередного ритейлера и даже развязка культового инцидента у компании Ubiquiti.
Уловимый мститель
Что случилось: бывший инженер американской технологической компании Ubiquiti Networks в краже файлов из сети компании и попытке вымогательства денег у своего работодателя.
Как это произошло: в 2021 году компания Ubiquiti сообщила об утечке данных, но заверила пользователей, что их данные не были скомпрометированы. После этого инженер компании Николас Шарп инкогнито связался с известным специалистом по кибербезопасности Брайаном Кребсом и о катастрофических последствиях утечки, которые якобы скрывает Ubiquiti Networks. Инженер рассказал киберэксперту, что неизвестный хакер взломал инфраструктуру Ubiquiti и получил доступ ко всем учетным записям компании. После этого заявления акции Ubiquiti упали на 20%. Но сотруднику этого было мало. Николас Шарп отправил руководству компании анонимное письмо с требованием заплатить 2 миллиона долларов в биткоинах в обмен на украденные файлы и информацию. Но компания отказалась платить выкуп и обратилась в правоохранительные органы.
Долгое время сотрудник оставался вне подозрений у полиции и руководства компании. Потому что еще в первые дни после инцидента руководство Ubiquiti определило его в команду по расследованию утечки. Однако ФБР все же удалось выяснить, кто прячется за маской таинственного хакера. В итоге оказалось, что Николас Шарп злоупотребил полномочиями, изменил права доступа к ресурсам и скачал конфиденциальные данные.
В 2023 году стало известно, что Шарп признал себя виновным в загрузке программы на компьютер, которая причинила ущерб системе, в мошенничестве и даче ложных показаний ФБР. В совокупности обвинения по всем пунктам предусматривают максимальное наказание в виде 35 лет лишения свободы. Окончательный приговор бывшему сотруднику Ubiquiti Networks будет вынесен в мае 2023 года.
Счастливые QRЧто случилось: мошенники QR-коды с предложением получить социальные выплаты.
Как это произошло: зампред Банка России Герман Зубарев сообщил, что злоумышленники начали размещать QR в общественных местах, на стенах домов, остановках и заправках. Известно, что когда жертва мошеннической рекламы сканирует QR-код, то ее перекидывает чат-бот в мессенджере, где и выясняется, что ей положена социальная выплата. После у жертвы запрашивают личные и финансовые данные. Зампред Банка России пояснил, что эта информация необходима мошенникам для кражи денег с карты.
Шалость удаласьЧто случилось: киберэксперт портал поставщиков Toyota и получил доступ к информации о 14 тысячах пользователей.
Как это произошло: киберисследователю, под псевдонимом EatonWorks, удалось взломать GSPIMS – веб-приложение, которое используют сотрудники и поставщики для координации поставок Toyota. EatonWorks рассказал, что обнаружил в системе Toyota лазейку, через которую любой желающий мог получить доступ к учетной записи сотрудника, угадав его e-mail. Так исследовать получил доступ к учетке регионального администратора GSPIMS. В результате тестового вторжения EatonWorks получил доступ к тысячам конфиденциальных документов, внутренним проектам, информации о поставщиках и к данным о 14 тысячах пользователей. О проблемах с защитой у Toyota эксперт рассказал еще 3 ноября 2022 года. Позже производитель заявил, что исправил проблемы.
Утечка со сладким привкусомЧто случилось: у производителя напитков Pepsi-Cola после атаки с использованием вредоносного ПО.
Как это произошло: инцидент произошел еще 23 декабря 2022 году, но «проблемы в ИТ-системах» компания Pepsi Bottling Ventures LLC обнаружила лишь 18 дней спустя. В уведомлении Генеральному прокурору компания пояснила, что неизвестные злоумышленники получили доступ к внутренним ИТ-системам, установили вредоносное ПО и даже получили доступ к конфиденциальной информации. По результатам внутреннего расследования Pepsi оказалось, что киберпреступники могли получить доступ к полным именам, домашним адресам, финансовым данным (включая пароли и PIN-коды), идентификационным номерам, номерам водительских прав, ID картам, номерам соцстрахования, паспортным данным и цифровым подписям. Копания не раскрывает информацию о том, сколько людей пострадало в результате утечки данных. Также пока не понятно, получили злоумышленники доступ к данным клиентов или сотрудников Pepsi.
Инцидент на миллионыЧто случилось: ритейлер спортивной одежды JD Sports данных 10 миллионов клиентов.
Как это произошло: в официальном заявлении компания JD Sports подтвердила, что стала жертвой кибератаки. Злоумышленники получили несанкционированный доступ к таким данным о клиентах ритейлера, как: имена, детали заказов и контактная информация. Утечка затронула данные 10 миллионов клиентов компании, в том числе информацию об онлайн-заказах, оформленных в период с 2018 года по 2020 год. Тем не менее, JD Sports подтвердил, что затронут лишь «ограниченный объем данных», а утечки полных платежных данных не произошло.
Ритейлер уведомил Управление комиссара по информации Великобритании о взломе и заявил, что компания связывается с клиентами, чтобы предупредить их о риске мошенничества и фишинговых атаках.
Что случилось: дочерняя компания корпорации Andersen Corporation личные данные клиентов, в том числе фотографии их домов и адреса.
Как это произошло: исследовательская группа Cybernews обнаружила в хранилище Azure архив с миллионами файлов Renewal by Andersen, дочерней компании многонациональной корпорации Andersen Corporation. Около 300 тысяч документов содержали домашние адреса клиентов компании, контактные данные и заказы на ремонт домов, включая фотографии интерьера домов. Киберэксперты предупредили, что подробная информация о ремонтных работах и фотографии домов могут сделать клиентов компании уязвимыми перед кражами со взломом. Специалисты Cybernews связались с корпорацией Andersen по поводу утечки, а те оперативно закрыли доступ к документам. Но выступили с официальным заявлением о том, что завершили проверку внутренних ИТ-систем и определили, что они не были скомпрометированы
Медицинские утечкиЧто случилось: хакеры получили доступ к информации о 3.3 миллионах клиентов Regal Medical Group.
Как это произошло: известно, что неизвестные взломали калифорнийского поставщика медицинских услуг, используя программу-вымогателя еще 1 декабря 2022 году, но почти неделю оставались незаметными в инфраструктуре компании. По заявлениям СМИ, инцидент даже затронул несколько дочерних компаний Regal Medical Group.
Злоумышленники получили доступ к такой информации о клиентах, как: имена, даты рождения, адреса прописки, номера телефонов и соцстрахования, информация о диагнозе и лечении, номера медицинского страхования, результаты анализов, сведения о рецептах и др. (не список, а мечта социнженера).
1 февраля Regal проинформировал Министерство здравоохранения и социальные службы о том, что инцидент мог затронуть данные боле 3,3 миллионов человек. Также в письме Regal Medical Group сообщили, что обращались к поставщикам, чтобы восстановить доступ к затронутым системам.
ИБ-совет месяца: пускай фатальные инциденты останутся страшилками в нашем февральском дайджесте. Предупредите случайные утечки персданных и защитите ваших клиентов от ловушек социнженеров. Проведите аудит корпоративных хранилищ с помощью DCAP-системы. Мы как раз бесплатно раздаем лицензии нашего FileAuditor до 31 марта.
