Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Более 250 000 компьютеров заразились майнером после скачивания торрент-файла
Специалисты Positive Technologies обнаружили кампанию autoit stealer по распространению скрытого майнера через пиратское ПО на торрентах. Она уже заразила более 250 000 компьютеров под управлением Windows в 164 странах.
Подавляющее число пострадавших — более 200 000 — находится в РФ, Украине, Беларуси и Узбекистане.
Данные: Positive Technologies.
В основном жертвами становятся обычные пользователи, но встречаются также госструктуры, нефтяные и газовые компании, медучреждения, ритейл и IT-фирмы.
Заражение происходит после скачивания вредоносного торрент-файла с сайта topsoft.space. Попадая на устройство жертвы, малварь собирает информацию о системе, устанавливает майнер XMRig и архивирует содержимое папки Telegram — tdata.
Последнее позволяет злоумышленнику получить доступ к сессии пользователя в мессенджере, незаметно следить за перепиской и выгружать данные из аккаунта. Даже при наличии двухфакторной аутентификации в виде пароля хакер может его успешно сбрутфорсить.
В качестве контрольного сервера выступает Telegram-бот. Проанализировав сообщения из него, Positive Technologies установили предполагаемого оператора вредоноса под ником splokk.
Данные: Positive Technologies.
По совокупности данных эксперты считают, что вероятная цель атаки — перепродажа похищенных доступов в Telegram.
Червь-шпион пять лет отвлекал внимание от своих функций встроенным майнером
Вредоносный фреймворк StripedFly с 2017 года выдавал себя за обычный скрытый криптомайнер, однако в реальности оказался сложной малварью с функцией шпионажа. Об этом сообщили исследователи «Лаборатории Касперского».
StripedFly ориентирован на компьютеры под управлением Windows и Linux. В течение пяти лет его жертвами стали более миллиона пользователей по всему миру.
Свежий анализ показал, что полезная нагрузка из нескольких модулей позволяет вредоносу выступать в роли APT, криптомайнера, программы-вымогателя и шпиона.
Каждые два часа он собирает с зараженного устройства учетные данные для входа на различные сайты и для подключения к Wi-Fi, а также персональную информацию пользователя, включая имя, адрес, номер телефона, место работы и должность.
Малварь может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.
Помимо этого, StripedFly обладает сложной системой маскировки трафика через Tor, автоматически обновляется с доверенных платформ и распространяется по аналогии с червями через кастомную версию эксплойта EternalBlue.
В «Лаборатории Касперского» предупредили, что кампания активна до сих пор, хотя и в меньших масштабах.
Турецкие хакеры заявили о взломе систем Минобороны Израиля
Хакерская группа Ayyıldız Tim из Турции утверждает, что взломала системы министерства обороны Израиля и получила доступ к секретным данным о его деятельности и кадровом составе.
В своем Х хакеры также сообщили о планах атаковать фондовую биржу, электроэнергетическую инфраструктуру и системы плотин Израиля «после поступления соответствующего приказа».
Оборонное ведомство не комментировало ситуацию.
В Испании арестовали 34 кибермошенника, отмывавших деньги через криптовалюты
Полиция Испании ликвидировала киберпреступную группировку, которая посредством различных схем похищала конфиденциальные данные и деньги. От ее действий пострадали свыше 4 млн человек.
По данным следствия, злоумышленники занимались телефонным скамом, проводили масштабные фишинговые рассылки под видом поставщиков электроэнергии и сервисов доставки.
Кроме того, они взламывали различные финансовые компании, связывались с их клиентами и просили выплатить кредит, якобы выданный им в результате технической ошибки. Похищенные пользовательские данные также перепродавались другим киберпреступникам.
В общей сложности злоумышленники получили около $3,2 млн и отмывали их в том числе через криптовалюты.
Правоохранители арестовали 34 человека и провели 16 обысков, в ходе которых конфисковали огнестрельное и холодное оружие, четыре люксовых автомобиля, €80 000 наличными, а также компьютеры с базой данных четырех миллионов граждан.
В CCleaner подтвердили утечку из-за инцидента с Cl0p MOVEit Transfer
Разработчики утилиты для очистки файлов CCleaner разослали пользователям письма с информацией о взломе, произошедшем из-за инцидента с Cl0p MOVEit Transfer.
По их словам, злоумышленники смогли похитить данные некоторых сотрудников и клиентов, включая их имя, адрес электронной почты и номер телефона.
Тем не менее CCleaner классифицировала нарушение как утечку с низким уровнем риска.
Компания продолжает проверку и намерена предоставить всем пострадавшим бесплатные услуги мониторинга даркнета для поиска персональной информации.
Атаковавший Cisco хакер модифицировал бэкдор для маскировки
В минувшие выходные количество скомпрометированных из-за уязвимости нулевого дня устройств Cisco под управлением IOS XE резко сократилось с 40 000 до нескольких сотен.
Как выяснили специалисты Fox-IT NCC Group злоумышленники модифицировали бэкдор для сокрытия от обнаружения во время сканирования. Теперь он отвечает только в случае установки правильного HTTP-заголовка авторизации.
По оценкам экспертов, количество затронутых устройств по-прежнему составляет не менее 37 000, включая промышленные Ethernet-коммутаторы Stratix от Rockwell Automation.
В свою очередь Cisco сообщила об обнаружении новой уязвимости нулевого дня, использованной в атаке для повышения привилегий и получения root-доступа.
Патчи для обеих проблем уже доступны на сайте компании наряду с механизмом проверки рабочей станции на наличие импланта.
Эксперты не исключили, что массовый взлом устройств на IOS XE может оказаться приманкой для сокрытия реальных целей злоумышленников.
Под блокировку в РФ попали 167 VPN и более 200 почтовых сервисов
Роскомнадзор в рамках противодействия угрозам безопасности и устойчивости рунета ограничил работу 167 VPN, более 590 000 информационных ресурсов и свыше 200 почтовых сервисов. Об этом сообщает Интерфакс.
При этом средняя эффективность блокировки VPN оценена в 90%.
Кроме того, РКН заблокировал работу 2000 фишинговых сайтов, 84 приложений и более 20 центров распространения вредоносного ПО.
Курируемая ведомством автоматизированная система безопасности интернета в настоящий момент покрывает «практически 100% трафика операторов связи», который в совокупности превышает 100 Тбит/сек.
Также на ForkLog:
Что почитать на выходных?
Интервью с победителями хакатона DemHack о том, почему не стоит бояться, что диктатуры умеют пользоваться передовыми технологиями.
