Пришло время узнать, что произошло в мире ИБ за время новогодних праздников (и пока все приходили в себя после). Выбрали инциденты, которые нас чем-то зацепили: забавные, нелепые, поучительные или труднообъяснимые. В подборке – мстительные программисты, наигравшиеся хакеры, а также подряд инсайдеров в госорганизации.
Что случилось: программисты пытались зашифровать данные бывших работодателей из мести.
Как это произошло: два похожих случая произошли в Москве и Уфе и стали известны в конце прошлого и начале этого года. Московский мститель преуспел: после шифрования дисков он запросил 27 млн руб. в криптовалюте в качестве выкупа. Но СК России обнаружил злоумышленника. Дело началось еще в 2023, и вот расследование подошло к концу. В скором времени программиста ждет суд.
Уфимский айтишник оказался менее удачлив, его остановила «внутренняя система ИБ» и не дала автоматически распаковать запущенный вирус. Как сообщает ФСБ, факт атаки выявили в ходе ИБ-проверки объектов критической инфраструктуры. Уфимец признал вину и был приговорен к двум годам ограничения свободы.
Что случилось: в Техасской госкомиссии инсайдеры крали государственные пособия.
Как это произошло: в комиссии по здравоохранению и социальным услугам Техаса обнаружили семь инсайдеров. Действовали они в разное время с 2021 по 2024 годы, но каждого обнаружили и уволили за неправомерный доступ к счетам получателей госпомощи, а также за мошенничество.
Комиссия по здравоохранению и социальным услугам Техаса – американское госучреждение, которое занимается выдачей пособий нуждающимся категориям граждан. Чаще всего пособия поступают на банковские счета или электронные карты, которые специально создаются на имя заявителей под их запросы.
За весь процесс отвечают сотрудники комиссии: вносят и передают информацию граждан в систему, могут узнать и поменять пин-код и иные данные от выданных карт. Таким образом, без контроля некоторые сотрудники меняли данные в системе в свою пользу.
Так, например, двоих уволили после того, как они украли $270 тыс. с 500 счетов, на которые поступали госпособия. Другого сотрудника уволили за то, что он нарушил ИБ-политику: переслал информацию своих сограждан из государственной информационной системы на личную почту.
Примерно тем же занимались и остальные инсайдеры. Всех рано или поздно раскрыли и уволили. Некоторым придется не только найти новое место работы, но и предстать перед судом. Поскольку расследование продолжается, точная сумма, в которую обошлись утечки, пока не разглашается, как и количество пострадавших.
Но точно известно, что в ходе последнего инцидента, о котором Генеральная прокуратура Техаса сообщила 6 января, пострадало по меньшей мере 60 тыс. человек.
Что случилось: стало известно о двух громких инцидентах, связанных с компрометацией учетных данных к внутренним ресурсам.
Как это произошло: взломали две крупные компании. Испанского оператора связи Telefónica и разработчика облачного ПО для управления отелями Otelier.
Telefónica подтвердила взлом внутренней системы тикетов после того, как украденные данные опубликовали на хакерском форуме. Злоумышленники сообщили, что под системой тикетов имеется в виду внутренний сервер Jira. Доступ к нему хакеры получили при помощи слитых учетных данных.
Всего утекло 2,3 ГБ тикетов, документов и других данных. В качестве ответной меры компания начала расследование и сбросила пароли на скомпрометированных аккаунтах.
Во втором случае злоумышленники тем же способом проникли на корпоративный сервер Otelier, а оттуда добрались до облачного хранилища Amazon S3. В итоге они получили доступ к 8 ТБ данных, среди которых были как корпоративные документы разработчика, так и данные отелей-клиентов сервиса: от внутренних регламентов до личной информации постояльцев.
Это были данные крупнейших сетей: Hyatt, Hilton и др. Например, данных Marriot было настолько много, что хакеры не смогли определить, кому именно принадлежит взломанное хранилище и потребовали выкуп у Marriot, а не у Otelier.
После инцидента в базе Have I Been Pwned обнаружили 437 тыс. уникальных email-адресов, связанных с утечкой. При этом Трой Хант, основатель сервиса, получил намного больше данных: таблицу бронирований с 39 млн строк и таблицу пользователей с 212 млн. Сейчас компания связывается с пострадавшими, расследует инцидент и заявляет, что несанкционированный доступ прекращен.
Кстати, в январе произошел еще один инцидент, связанный с гостиничным бизнесом и паролями. Вернее, их отсутствием. Более 24 млн записей с личными данными туристов лежали на сервере без пароля. Среди потенциально утекшего: имена, email-адреса, номера телефонов, даты рождения, информация о посещениях гостиниц и т.д. Принадлежность базы пока не подтверждена, но эксперты приписывают ее компании Honotel.
Что случилось: эксперты заявили о возможной опасности техники, купленной на маркетплейсах.
Как это произошло: 19 января Известия написали, что техника, купленная на маркетплейсах, может быть заражена инфостилерами и другими вредоносами. Отметим, что подобное встречалось и раньше, но применительно только к б/у устройствам.
Чуть ранее, 12 января, пользователь одной соцсети сообщил о схожей проблеме. Ему не повезло с RJ45-адаптером, который он приобрел на AliExpress. При этом одни пользователи кинулись утверждать, что автор поста ошибся и «это всего лишь драйвер», а другие заверяют, что не все так однозначно.
Что случилось: мошенники используют сервис контекстной рекламы Google Ads для фишинга.
Как это произошло: в январе появилось сразу две новости об использовании легитимного рекламного инструмента в мошеннических целях. Во-первых, неизвестные распространяли инфостилеры через рекламу. В качестве приманки выступал фишинговый сайт, похожий на веб-ресурс open-source утилиты Homebrew.
В поисковой выдаче, в графе для рекламы «sponsored», отображались легитимные URL-адрес (brew[.]sh), описание страницы и favicon (иконка сайта в поиске), но после клика жертва попадала на мошеннический brewe[.]sh. В итоге вместо легитимного ПО скачивался инфостилер AmosStealer.
Во-вторых, мошенники воровали учетные данные от личных кабинетов Google Ads. Для этого они так же, как и с Homebrew, использовали фишинговые сайты. Только сайт мимикрировал под вход в админку Google Ads. Стоило ввести данные на таком ресурсе, они отправлялись злоумышленникам.
Что случилось: неизвестные слили в даркнет реквизиты доступа к устройствам FortiGate.
Как это произошло: 14 января злоумышленники выложили в свободный доступ на хакерском форуме реквизиты VPN-доступов к устройствам FortiGate. Опубликованный файл весит 1,6 ГБ и содержит IP-адреса, файлы конфигурации устройств, учетные данные для доступа к VPN, приватные ключи, а также пароли в открытом виде.
Эксперты заявили, что слитые реквизиты могут быть связаны с инцидентом 2022 года. Тогда неизвестные использовали уязвимость нулевого дня, чтобы скачивать файлы конфигурации с устройств FortiGate и добавлять вредоносные учетки super_admin с именем fortigate-tech-support.
Видимо, когда злоумышленники получили всю возможную выгоду от этих данных, они выложили их в свободный доступ. Скорее всего, чтобы получить репутацию в сообществе. Несмотря на давность утечки, данные могут быть актуальны и по сей день. Не будет лишим проверить, если вы пользуетесь продукцией FortiGate.
ИБ-совет месяца: салаты съедены, фильмы просмотрены, режим восстановлен, пора возвращаться к работе. При этом важно понимать, что инсайдеры, хакеры и даже случайные вредители трудятся без выходных. Бороться со всеми круглосуточно поможет автоматизация. Например, «СёрчИнформ SIEM» автоматически обнаруживает любые угрозы вне зависимости от времени суток и вашего присутствия на рабочем месте. А при помощи редактора внешних скриптов можно настроить реакции на инциденты, например, заблокировать учетную запись в AD, если пользователь многократно ввел неправильный пароль. Попробовать функционал «СёрчИнформ SIEM» и других наших систем можно бесплатно на 30 дней!
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
