Подоспела подборка громких ИБ-инцидентов, которые произошли или стали известны в прошлом месяце. В сентябре прогремели: атаки на ИБ-вендоров, утечки в известных отечественных компаниях, а также слив данных миллионов американцев в открытый доступ.
ИНЖЕНЕР НАОБОРОТ
Что случилось: сотрудник
Как это произошло: 25 ноября 2023 года сотрудники неназванной американской компании получили email с заголовком «Ваша Сеть Была Взломана» (Your Network Has Been Penetrated). В письме было сказано, что все ИТ-администраторы лишились доступа к своим учеткам, а бэкапы серверов были уничтожены.
Еще в письме была угроза. Неизвестный обещал ежедневно отключать по 40 случайных серверов компании в течение 10 дней, если ему не выплатят 20 биткоинов (на тот момент ~$750 тыс.).
В ходе
Используя знание компании и ее систем, он заблокировал 254 корпоративных Windows сервера. Ни админы, ни пользователи банально не могли зайти в систему, т.к. учетки были либо удалены, либо имели пароль, отличный от предыдущего. Доступа к бэкапам тоже не было, Райн их удалил.
Попался злоумышленник на поиске информации. В ФБР установили, что Райн использовал скрытую виртуальную машину и личный ноутбук, чтобы узнать, как стирать учетные записи, очищать логи Windows и изменять пароли для пользователей домена с помощью командной строки.
В итоге Райну предъявлено множество обвинений, которые по совокупности могут привести к 35 годам лишения свободы, а также к штрафу в $750 тыс.
FORTE? NET
Что случилось: ИБ-вендор Fortinet
Как это произошло: 12 сентября неизвестный заявил о взломе Fortinet. В посте на теневом форуме он сообщил, что получил 440 ГБ данных из Sharepoint сервера компании. Еще хакер оставил «креды» для входа в объектное хранилище, в котором якобы находится все украденное, и сообщил, что пытался шантажировать Fortinet, но получил отказ.
В тот же день ИБ-гигант подтвердил утечку, сообщив, что «физическое лицо получило несанкционированный доступ к небольшому количеству клиентских данных, которые хранились на экземпляре стороннего облачного файлового хранилища».
Также в
ВОРОТА ПРОЙДЕНЫ
Что случилось: в страховой компании «Спасские ворота»
Как это произошло: 16 сентября исследователи обнаружили в открытом доступе дамп базы данных страховой компании «Спасские ворота». Он включал в себя номера телефонов, адреса email, хешированные пароли и логи обращения к API на сервере spasskievorota.ru.
Также о принадлежности слитой базы к страховой компании говорит формат дампа. Он совпадает с форматом ранее утекших баз других страховых компаний. На момент публикации «Спасские ворота» не давали никаких комментариев, но от пресс-службы РКН стало известно, что страховая направила соответствующее уведомление об утечке.
ВЛОЖИЛИСЬ В СИЛУ, А НЕ В ИБ
Что случилось:
Как это произошло: в сентябре исследователи обнаружили резервную копию базы данных компании WorldClass в открытом доступе. Она весила больше 146 ГБ и содержала чувствительную информацию: ФИО, адрес проживания, паспортные данные, телефон и email адрес, а также банковские реквизиты и частичный номер банковской карты для некоторых из клиентов.
Компания пока никак не отреагировала на инцидент, но актуальность слитой базы уже была подтверждена данными из прошлой
НЕ ДОРОЖАТ ТЕМ, ЧТО ПОЛУЧИЛИ БЕСПЛАТНО
Что случилось: данные 100 млн американцев
Как это произошло: компания MC2 Data занимается проверкой «бэкграунда». Собирает и компилирует информацию о людях из общедоступных источников, чтобы составить профиль человека. В нем находится вся информация о судимостях, местах работы, родственниках и т.д. Такие профили используют арендодатели и сотрудники СБ/ИБ, чтобы понять – можно сотрудничать с человеком или нет.
Недавнее
На данный момент доступ к базе данных закрыт, а официальной информации от компании пока нет, но предположительно такой инцидент может произойти из-за человеческого фактора и неверной конфигурации системы.
БОЛЬНИЧНЫЙ ДЛЯ ДОКТОРА
Что случилось: Dr.Web
Как это произошло: 14 сентября специалисты Dr.Web зафиксировали целевую атаку на свои ресурсы. По информации из корпоративного блога инцидент был быстро обнаружен и «взят под контроль».
Тем не менее, 16 сентября компания зафиксировала «признаки внешнего неправомерного воздействия на IT-инфраструктуру» и «оперативно отключила серверы, чтобы запустить процесс всесторонней диагностики». Это остановило выпуск обновлений вирусных баз Dr.Web более чем на полтора дня. В итоге инцидент был оперативно устранен, а никто из пользователей Dr. Web не пострадал.
БИНГАНУЛО
Что случилось: криптовалютная биржа BingX
Как это произошло: 9 сентября специалисты по блокчейн-безопасности
В ответ на атаку компания начала переводить активы и приостановила вывод средств, а также
В последствии биржа привлекла специалистов по криптовалютной безопасности, чтобы отследить передвижения украденной валюты. Еще примечательно, что BingX предложила хакеру, взломавшему их, пойти на сотрудничество: перечислить все украденные средства обратно, и тогда BingX прекратит любые преследования, а в качестве благодарности предложит 10% от украденных активов.
БЕДА ПРИХОДИТ ОДНА?
Что случилось: хакер
Как это произошло: 19, 22 и 25 сентября один и тот же хакер выложил на теневой форум три поста с данными компании Dell. Изначально хакер утверждал, что данные взяты из разных взломов, но позже признался, что взлом был только один и он «стратегически сливает данные по частям».
В первом посте были выложены данные почти 11 тыс. сотрудников: полные имена, рабочие статусы и ID. Во втором было 3,5 ГБ разных несжатых данных: таблицы данных Jira, схемы миграции, сведения о конфигурации систем, учетные данные пользователей, информация об уязвимостях в ПО и проблемах в процессе разработки и т.д. В последнем посте
После первого инцидента компания Dell сообщила, что ей известно о проблеме и начала расследование. Однако, на вопросы о последующих взломах комментариев не последовало.
ИБ-совет месяца: осенний бизнес-сезон в самом разгаре, а значит пора запасаться чаем с лимоном и продолжать трудиться: создавать политики, расследовать инциденты, формировать и согласовывать бюджет на следующий год. Последнее может стать задачей «со звездочкой» для многих ИБ-специалистов, так как бизнес и безопасность не всегда говорят на одном языке.
Узнать, как найти этот общий язык, связать бизнес-цели и пользу ИБ, можно на практической конференции