(Не) безопасный дайджест: кибератака на Dr. Web, облачная утечка Fortinet, шантаж от сотрудника

(Не) безопасный дайджест: кибератака на Dr. Web, облачная утечка Fortinet, шантаж от сотрудника

Подоспела подборка громких ИБ-инцидентов, которые произошли или стали известны в прошлом месяце. В сентябре прогремели: атаки на ИБ-вендоров, утечки в известных отечественных компаниях, а также слив данных миллионов американцев в открытый доступ.



ИНЖЕНЕР НАОБОРОТ

Что случилось: сотрудник заблокировал сервера работодателя и потребовал выкуп.

Как это произошло: 25 ноября 2023 года сотрудники неназванной американской компании получили email с заголовком «Ваша Сеть Была Взломана» (Your Network Has Been Penetrated). В письме было сказано, что все ИТ-администраторы лишились доступа к своим учеткам, а бэкапы серверов были уничтожены.

Еще в письме была угроза. Неизвестный обещал ежедневно отключать по 40 случайных серверов компании в течение 10 дней, если ему не выплатят 20 биткоинов (на тот момент ~$750 тыс.).

В ходе расследования , которое координировало ФБР, выяснилось, что злоумышленником был 57-летний Дэниел Райн. Он работал в той же неназванной компании на должности инженера.

Используя знание компании и ее систем, он заблокировал 254 корпоративных Windows сервера. Ни админы, ни пользователи банально не могли зайти в систему, т.к. учетки были либо удалены, либо имели пароль, отличный от предыдущего. Доступа к бэкапам тоже не было, Райн их удалил.

Попался злоумышленник на поиске информации. В ФБР установили, что Райн использовал скрытую виртуальную машину и личный ноутбук, чтобы узнать, как стирать учетные записи, очищать логи Windows и изменять пароли для пользователей домена с помощью командной строки.

В итоге Райну предъявлено множество обвинений, которые по совокупности могут привести к 35 годам лишения свободы, а также к штрафу в $750 тыс.

FORTE? NET

Что случилось: ИБ-вендор Fortinet стал жертвой кибератаки

Как это произошло: 12 сентября неизвестный заявил о взломе Fortinet. В посте на теневом форуме он сообщил, что получил 440 ГБ данных из Sharepoint сервера компании. Еще хакер оставил «креды» для входа в объектное хранилище, в котором якобы находится все украденное, и сообщил, что пытался шантажировать Fortinet, но получил отказ.

В тот же день ИБ-гигант подтвердил утечку, сообщив, что «физическое лицо получило несанкционированный доступ к небольшому количеству клиентских данных, которые хранились на экземпляре стороннего облачного файлового хранилища».

Также в пресс-релизе , опубликованном на сайте Fortinet, говорится, что «инцидент затронул менее 0,3% нашей клиентской базы и что он не был связан с шифрованием данных и  доступом к корпоративной сети компании, а также не привел к каким-либо вредоносным действиям, нацеленным на клиентов».

ВОРОТА ПРОЙДЕНЫ

Что случилось: в страховой компании «Спасские ворота» произошла утечка данных

Как это произошло: 16 сентября исследователи обнаружили в открытом доступе дамп базы данных страховой компании «Спасские ворота». Он включал в себя номера телефонов, адреса email, хешированные пароли и логи обращения к API на сервере spasskievorota.ru.

Также о принадлежности слитой базы к страховой компании говорит формат дампа. Он совпадает с форматом ранее утекших баз других страховых компаний. На момент публикации «Спасские ворота» не давали никаких комментариев, но от пресс-службы РКН стало известно, что страховая направила соответствующее уведомление об утечке.

ВЛОЖИЛИСЬ В СИЛУ, А НЕ В ИБ

Что случилось: утекли данные клиентов сети фитнес-клубов WorldClass

Как это произошло: в сентябре исследователи обнаружили резервную копию базы данных компании WorldClass в открытом доступе. Она весила больше 146 ГБ и содержала чувствительную информацию: ФИО, адрес проживания, паспортные данные, телефон и email адрес, а также банковские реквизиты и частичный номер банковской карты для некоторых из клиентов.

Компания пока никак не отреагировала на инцидент, но актуальность слитой базы уже была подтверждена данными из прошлой утечки . Напомним, что тогда сотрудник унес клиентские данные на новое место работы.

НЕ ДОРОЖАТ ТЕМ, ЧТО ПОЛУЧИЛИ БЕСПЛАТНО

Что случилось: данные 100 млн американцев оказались в открытом доступе

Как это произошло: компания MC2 Data занимается проверкой «бэкграунда». Собирает и компилирует информацию о людях из общедоступных источников, чтобы составить профиль человека. В нем находится вся информация о судимостях, местах работы, родственниках и т.д. Такие профили используют арендодатели и сотрудники СБ/ИБ, чтобы понять – можно сотрудничать с человеком или нет.

Недавнее расследование показало, что база данных MC2 Data размером в 2.2 ТБ с более чем 106 млн записей находилась в открытом доступе в интернете без пароля. По оценкам экспертов, утечка затронула данные 100 млн американцев. В ней находилось много разной информации, начиная от базовых ФИО и адресов email, заканчивая правовыми документами и записями о недвижимости. База была обнаружена 7 августа, и сколько она «провисела» открытой неизвестно.

На данный момент доступ к базе данных закрыт, а официальной информации от компании пока нет, но предположительно такой инцидент может произойти из-за человеческого фактора и неверной конфигурации системы.

БОЛЬНИЧНЫЙ ДЛЯ ДОКТОРА

Что случилось: Dr.Web подвергся хакерской атаке.

Как это произошло: 14 сентября специалисты Dr.Web зафиксировали целевую атаку на свои ресурсы. По информации из корпоративного блога инцидент был быстро обнаружен и «взят под контроль».

Тем не менее, 16 сентября компания зафиксировала «признаки внешнего неправомерного воздействия на IT-инфраструктуру» и «оперативно отключила серверы, чтобы запустить процесс всесторонней диагностики». Это остановило выпуск обновлений вирусных баз Dr.Web более чем на полтора дня. В итоге инцидент был оперативно устранен, а никто из пользователей Dr. Web не пострадал.

БИНГАНУЛО

Что случилось: криптовалютная биржа BingX потеряла $44 млн в результате кибератаки.

Как это произошло: 9 сентября специалисты по блокчейн-безопасности заметили подозрительную активность — с биржи BingX выводятся миллионы долларов. Как оказалось позже, это была кибератака, которую владельцы биржи попытались скрыть. Они написали в соцсетях о временном отключении из-за «обслуживания кошелька», но позже признали “аномальный доступ к сети, потенциально указывающий на хакерскую атаку на горячий кошелек BingX”.

В ответ на атаку компания начала переводить активы и приостановила вывод средств, а также заявила о том, что «произошла незначительная потеря активов, но сумма небольшая и в настоящее время подсчитывается». Однако несколько компаний, в том числе SlowMist, нанятая биржей для аудита, выяснили , что сумма украденного явно серьезнее «небольшой» и варьируется от $44 до $48 млн.

В последствии биржа привлекла специалистов по криптовалютной безопасности, чтобы отследить передвижения украденной валюты. Еще примечательно, что BingX предложила хакеру, взломавшему их, пойти на сотрудничество: перечислить все украденные средства обратно, и тогда BingX прекратит любые преследования, а в качестве благодарности предложит 10% от украденных активов.

БЕДА ПРИХОДИТ ОДНА?

Что случилось: хакер получили доступ к конфиденциальным данным Dell.

Как это произошло: 19, 22 и 25 сентября один и тот же хакер выложил на теневой форум три поста с данными компании Dell. Изначально хакер утверждал, что данные взяты из разных взломов, но позже признался, что взлом был только один и он «стратегически сливает данные по частям».

В первом посте были выложены данные почти 11 тыс. сотрудников: полные имена, рабочие статусы и ID. Во втором было 3,5 ГБ разных несжатых данных: таблицы данных Jira, схемы миграции, сведения о конфигурации систем, учетные данные пользователей, информация об уязвимостях в ПО и проблемах в процессе разработки и т.д. В последнем посте находилось почти 500 МБ изображений, PDF, видео, проектных документов, данных MFA и т.д.

После первого инцидента компания Dell сообщила, что ей известно о проблеме и начала расследование. Однако, на вопросы о последующих взломах комментариев не последовало.

ИБ-совет месяца: осенний бизнес-сезон в самом разгаре, а значит пора запасаться чаем с лимоном и продолжать трудиться: создавать политики, расследовать инциденты, формировать и согласовывать бюджет на следующий год. Последнее может стать задачей «со звездочкой» для многих ИБ-специалистов, так как бизнес и безопасность не всегда говорят на одном языке.

Узнать, как найти этот общий язык, связать бизнес-цели и пользу ИБ, можно на практической конференции RoadShow в вашем городе. Эксперты-практики расскажут, как системы защиты, помимо основных задач, экономят деньги, сохраняют кадры и повышают эффективность компании.

информационная безопасность утечки дайджест Searchinform
Alt text

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.