Обзор инцидентов безопасности за период с 31 марта по 6 апреля 2022 года

Кража $15 млн у DeFi-проекта Inverse Finance, взломы YouTube-каналов звезд мирового шоу-бизнеса, киберограбление индийского банка, новые «подвиги» Anonymous и Conti – об этих и других событиях в мире ИБ за период с 31 марта по 6 апреля 2022 года читайте в нашем обзоре.

В субботу, 2 апреля, ориентированный на кредитование протокол децентрализованного финансирования Inverse Finance был взломан злоумышленниками, которым удалось похитить криптовалюту на сумму около $15 млн. По данным блокчейна, взлом был совершен сразу после 11:00 по Гринвичу. Потерянные средства были номинированы в ETH, WBTC и DAI. Дальнейшие данные блокчейна указывают на то, что в течение часа после атаки некоторые из украденных ETH были отправлены в популярный миксер транзакций в сети Ethereum под названием Tornado Cash.

Платформа децентрализованного кредитования Ola Finance также сообщила о взломе и похищении около $4,67 млн в криптовалюте. В результате атаки неизвестные похитили 216 964,18 USDC, 507 216,68 BUSD, 200 000,00 fUSD, 550,45 WETH, 26,25 WBTC и 1 240 000,00 FUSE. Средства были украдены в ходе атаки «повторного входа». Хакеры использовали собственные средства в качестве залога для получения первоначального кредита. Затем благодаря уязвимости в смарт-контракте они смогли вывести свои средства из обеспечения кредита. Повторив данное действие несколько раз, хакеры получили ничем не обеспеченный кредит в $3,6 млн.

Неизвестный хакер взломал официальный сервер в Discord, предназначенный для держателей NFT Bored Ape Yacht Club, Mutant Ape Yacht Club и Mutant Ape Kennel Club — трех главных коллекций компании Yuga Labs. Злоумышленник разместил фишинговые ссылки на канале Mutant Ape Kennel Club, чтобы обманом заставить пользователей создавать поддельные NFT.

Неизвестные киберпреступники атаковали компьютерные сети индийского банка Andhra Pradesh Mahesh Co-Operative Urban Bank и похитили денежные средства на сумму в несколько миллионов долларов. По словам сотрудников городской полиции Хайдарабада, у банка не было действующей лицензии на использование межсетевого экрана, надлежащей защиты от фишинга, систем обнаружения вторжений или какой-либо системы для предотвращения кибератак. Атака началась с отправки более 200 фишинговых писем сотрудникам банка в ноябре 2021 года. Как минимум одно из этих писем смогло обмануть сотрудника и привело к установке трояна для удаленного доступа (RAT).

На прошлых выходных владельцы аппаратных криптовалютных кошельков Trezor стали получать по электронной почте поддельные уведомления об утечке данных, в которых их просили загрузить ПО Trezor Suite, являющееся вредоносным и предназначенное для похищения сид-фраз. По словам представителей Trezor, уведомления рассылали злоумышленники в рамках фишинговой атаки. Для этого они использовали новостную рассылку с хостингом на MailChimp.

Директор по информационной безопасности MailChimp Шивон Смайт (Siobhan Smyth) подтвердила, что платформа обнаружила взлом 26 марта 2022 года. Злоумышленники получили доступ к инструменту, использующемуся сотрудниками техподдержки и командой администрирования учетных записей. Сама MailChimp стала жертвой мошенничества с использованием техник социальной инженерии, направленного на ее персонал. В результате мошенникам удалось получить учетные данные одного из сотрудников.

Мобильный платежный сервис Cash App уведомил 8,2 млн нынешних и бывших клиентов в США об утечке данных после того, как бывший сотрудник получил доступ к информации их учетной записи. Компания Block, владеющая Cash App, сообщила в форме 8-K SEC, что взлом произошел 10 декабря 2021 года после того, как бывший сотрудник загрузил внутренние отчеты Cash App. Отчеты включали полные имена клиентов Cash App и номера брокерских счетов, связанные с инвестиционной деятельностью в Cash App.

Хактивисты Anonymous продолжают свои атаки на цели в России. На этот раз они заявили о получении доступа к серверам РПЦ. Хакеры слили 15 ГБ данных благотворительного крыла Русской православной церкви и опубликовали около 57 500 электронных писем через DDoSecrets

Кроме того, Anonymous заявили о взломе базы российского Липецкого механического завода, на котором выпускают компоненты для зенитно-ракетных установок, и другой военной техники. В Сеть выложено 25 ГБ данных.

2 апреля хакеры также взломали сайт компании «Сухой» и опубликовали на нем политические лозунги.

Вымогательская группировка Hive украла 850 тыс. персональных записей у американской медицинской организации Partnership HealthPlan (PHP). Как полагают эксперты из ИБ-фирмы Sentinel Labs, вымогатели применили новую технику, получившую название IPfuscation, маскируя свою полезную нагрузку под безобидную серию легитимных IP-адресов.

Крупный американский производитель гидравлического оборудования Parker Hannifin стал жертвой кибервымгогательской группировки Conti, предположительно похитившей у него гигабайты данных. Согласно поданному на этой неделе заявлению в соответствующие органы, компания обнаружила взлом 14 марта 2022 года, после чего отключила некоторые свои системы и начала расследование. В настоящее время расследование еще продолжается, но производитель подтвердил, что злоумышленникам удалось получить доступ и похитить некоторые данные, включая персональную информацию сотрудников.

Ведущая британская сеть розничной торговли The Works была вынуждена закрыть несколько магазинов и частично остановить свою деятельность после кибератаки. Компания отключила доступ к компьютерным системам, включая электронную почту, в качестве меры предосторожности на время расследования. Платежные данные не были скомпрометированы, однако в настоящее время компания не может установить, в какой степени могли быть затронуты любые другие данные. Предположительно, за атакой стоит вымогательская группировка.

Испанская компания Iberdrola, являющаяся производителем и поставщиком электроэнергии, подверглась кибератаке. Как показало расследование Национального института кибербезопасности (Incibe), в результате инцидента были раскрыты личные данные 1,3 млн клиентов Iberdrola. В частности, злоумышленники получили доступ к информации об удостоверениях личности, домашних адресах, номерах телефонов, электронной почте. Сведения о банковских счетах или кредитных картах клиентов раскрыты не были.

Немецкий производитель ветрогенераторов Nordex был вынужден отключить свои IT-системы на заводах по всему миру в результате кибератаки 31 марта нынешнего года. На прошлой неделе компания сообщила об обнаружении вторжения в свои сети «на ранней стадии» и принятии соответствующих мер.

Новое вымогательское ПО, написанное на языке программирования Python, атакует среды, где используется Jupyter Notebook. Операторы вымогателя получают доступ к серверу жертвы, открывают терминал, загружают набор вредоносных инструментов, в том числе шифровальщик, а затем вручную генерируют Python-скрипт, который выполняет вымогательское ПО. Шифровальщик копирует и шифрует файлы, удаляет весь незашифрованный контент, после чего удаляется сам. Хотя исследователям не удалось отнести вымогательское ПО на счет конкретной киберпреступной группировки, стоящие за ним хакеры им уже известны.

Китайская хакерская группировка Deep Panda атакует серверы VMware Horizon через уязвимость Log4Shell и устанавливает на них новый руткит Fire Chili. Руткит подписан цифровым сертификатом Frostburn Studios (разработчик видеоигр) или Comodo, благодаря чему ему удается избегать обнаружения антивирусным ПО. По мнению экспертов, сертификаты были похищены у вышеупомянутых компаний.

За последние две недели многие пользователи Facebook и WhatsApp стали мишенью новой мошеннической аферы. Мошенники публикуют информацию о том, что счастливчик получит пасхальную корзину с шоколадными угощениями, если победит в специальном конкурсе по поимке «пасхальных яиц». Обманным образом злоумышленники вынуждают жертв кликнуть на ссылку, которая не только запрашивает персональные данные, но также позволяет хакерам похитить контактные данные с мобильного устройства, если жертва использует приложение WhatsApp.

Специалисты предупредили о новой фишинговой кампании, в ходе которой злоумышленники подделывают функцию голосовых сообщений WhatsApp с целью распространения ПО для похищения данных. Инфостилер был отправлен как минимум на 27 655 электронных адресов. Вредоносная кампания проводит жертву через несколько этапов, и в итоге она устанавливает на свое устройство вредоносное ПО, позволяющее злоумышленникам похитить ее учетные данные.

Тем временем, хакерские группировки наживаются на военной спецоперации на территории Украины. В середине марта 2022 года по меньшей мере три различные APT-группировки со всего мира запустили кампании целенаправленного фишинга, воспользовавшись военным конфликтом на территории Украины в качестве приманки для распространения вредоносного ПО и кражи конфиденциальной информации. Кампании, проводимые группировками El Machete, Lyceum и SideWinder, нацелены на различные секторы, включая энергетический, финансовый и государственный секторы в Никарагуа, Венесуэле, Израиле, Саудовской Аравии и Пакистане.

Кроме того, неизвестные мошенники запустили аферу с криптовалютными пожертвованиями для Украины. Эксперты обнаружили фишинговый сайт Ukrainehelp.world с просьбой о пожертвованиях для ЮНИСЕФ. Web-сайт содержит логотип BBC, за которым следует несколько адресов криптокошельков.

Команда специалистов Threat Analysis Group (TAG) компании Google также обнаружила свидетельства того, что несколько хакерских группировок используют тематику военного конфликта на территории Украины для кражи учетных данных через вредоносные электронные письма и ссылки. Речь идет о группировках Curious Gorge, COLDRIVER и Ghostwriter.

Во вторник, 5 апреля, неизвестные взломали целый ряд YouTube-каналов, принадлежащих звездам мирового шоу-бизнеса. Среди пострадавших значатся Джастин Бибер, Дрейк, Эминем, Тэйлор Свифт, Ариана Гранде, Канье Уэст, Майкл Джексон и пр. На многие взломанные каналы злоумышленники загрузили странные видео, которые затем были удалены.