В Штатах добрались до представителей «Лаборатории Касперского», занимающих высшие руководящие должности. В общей сложности Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против 12 лиц.

Как уточнили в OFAC, данные санкции не коснулись основателя и бессменного руководителя Kaspersky Евгения Касперского.

С сегодняшнего дня мобильные операторы начали блокировать звонки от абонентов компаний, не подключённых к системе «Антифрод», в соответствии с требованием Роскомнадзора.

ФГУП «Главный радиочастотный центр» оповестило операторов связи о необходимости блокировки звонков от абонентов, номера которых не внесены в базу системы «Антифрод». Если оператор не подключён к этой системе, то его абоненты не смогут звонить другим людям.

В РКН отметили, что к «Антифроду» уже подключено более 95% операторов. Ведомство считает, что такие меры направлены на борьбу с мошенниками и вымогателями, которые звонят с подменных номеров.

Несколько легитимных плагинов WordPress подверглись атаке с внедрением вредоносного кода, который позволяет создавать несанкционированные учётные записи администраторов, что даёт возможность злоумышленникам выполнять произвольные действия.

Исследователь безопасности Wordfence сообщила, что вредоносное ПО пытается создать новую учётную запись администратора и затем отправляет эти данные на сервер, контролируемый атакующими. Кроме того, угроза включает добавление вредоносного JavaScript в футер сайтов, что приводит к распространению SEO-спама.

Учётные записи администраторов имеют имена «Options» и «PluginAuth», а информация о них передаётся на IP-адрес 94.156.79[.]8.

Как злоумышленникам удалось скомпрометировать плагины, пока неизвестно, но первые признаки атаки датируются 21 июня 2024 года.

Сейчас данные плагины удалены из каталога WordPress для проведения проверки:

- Social Warfare 4.4.6(.)4 — 4.4.7(.)1 — более 30 000 установок;
- Blaze Widget 2.2.5 — 2.5.2 — более 10 установок;
- Wrapper Link Element 1.0.2 — 1.0.3 — более 1 000 установок;
- Contact Form 7 Multi-Step Addon 1.0.4 — 1.0.5 — более 700 установок;
- Simply Show Hooks 1.2.1 — более 4 000 установок.

Пользователям данных плагинов рекомендуется проверить свои сайты на наличие подозрительных учётных записей администраторов и удалить их, а также устранить любой вредоносный код.

На прошлой неделе в российских вузах заработали приемные комиссии, и абитуриенты стали оценивать шансы поступления на бюджет. В этом им помогают боты-парсеры, и их вклад в трафик на сайтах уже достиг 30% — против 10% годом ранее.

Эти специализированные программы почти поминутно собирают данные: сколько поступающих с высокими баллами ЕГЭ, какие у них приоритеты при выборе профиля обучения и т.п. Автоматизация позволяет абитуриенту следить за ходом конкурса и вовремя перебросить документы в другой колледж или вуз.

Бот-активность на сайтах учебных заведений обычно становится заметной к середине приемной кампании. В этом году резкий всплеск наблюдался уже в первые дни.

Подобные программы вполне легально предлагаются к продаже или пишутся на заказ перед стартом приемных кампаний.

Большого вреда они не наносят, хотя и создают риск перегрузки сервиса, грозящий техническим сбоем. Намного опаснее происки злоумышленников, которые никогда не упускают шанс воспользоваться ажиотажем для распространения вредоносных подделок или фишинга.

Исследователи из США обратили внимание на малоизвестную программу Почтовой службы под названием «mail covers program». Как сообщает Washington Post, эта практика уже длительное время позволяет правоохранительным органам получать информацию о почтовых отправлениях некоторых американцев.

Согласно официальному определению, «mail covers program» — следственное мероприятие, в ходе которого фиксируются данные, указанные на внешней стороне почтового отправления.

Хотя процедура не дает доступа к содержимому писем, информация с конверта или упаковки может быть весьма информативной. Имена и адреса отправителей и получателей, даты отправки, а также другие внешние пометки могут предоставить следователям ценные сведения о связях и активности человека, находящегося под наблюдением.

Среди ведомств, запрашивающих информацию, числятся ФБР, Налоговая служба, Министерство внутренней безопасности, а также собственная следственная служба Почтовой службы — U.S. Postal Inspection Service. Washington Post также сообщает, что программой пользуются полицейские силы штатов и местные правоохранительные органы. Примечательно, что для получения данных не требуется ни судебного ордера, ни разрешения судьи.

Масштабы использования программы впечатляют: за четырехлетний период Почтовая служба одобрила более 158 000 запросов на получение различных сведений. Более того, по последним данным, полицейские ведомства ежегодно делают в среднем около 6 700 запросов.

Эта ситуация вызвала обеспокоенность у ряда законодателей, включая сенаторов Рона Уайдена и Элизабет Уоррен. Они требуют большей прозрачности и усиления контроля над программой.

Однако «mail covers program» меркнет по сравнению с другой известной инициативой по отслеживанию почты — Mail Isolation Control and Tracking. Почтовая служба США автоматически фотографирует внешнюю сторону каждого отправления, проходящего через систему. Официально эта процедура предназначена для оптимизации сортировки и доставки корреспонденции. Однако, как сообщало агентство Associated Press, фотографии также могут использоваться правоохранительными органами в ходе расследований.

Ситуация вызывает беспокойство у граждан, некоторые из которых утверждают, что стали объектами наблюдения несмотря на то, что никогда не совершали ничего противозаконного. В то же время официальные лица настаивают, что программа используется исключительно для расследования преступной деятельности, в крайних случаях.

Журналисты обратились за комментариями в Министерство юстиции и Почтовую службу США, но ответа пока не получили.

Основателя WikiLeaks Джулиана Ассанжа освободили из-под стражи, и он покинул тюрьму строгого режима Белмарш, где провел 1901 день, сообщают представители Wikileaks в X. Ассанжа освободили в результате сделки с Министерством юстиции США, которая еще не завершена официально, так как пока Ассанж освобожден под залог.

Так, 26 июня Ассанж должен предстать перед судом на Северных Марианских островах, на острове Сайпан и признать себя виновным по одному из 18 пунктов обвинения, а именно в сговоре с целью получения и распространения информации, связанной с национальной обороной США.

Отметим, что обвинение в сговоре с целью получения и распространения информации, связанной с национальной обороной США фигурировало еще в заменяющем обвинительном заключении, выдвинутом прокуратурой США в 2022 году, наряду с обвинениями в сговоре с целью совершения компьютерных преступлений.

После признания вины, в рамках соглашения, Ассанжа приговорят к 62 месяцам заключения, которые он уже отбыл в британской тюрьме. Затем судья на острове Сайпан зафиксирует договоренности между Ассанжем и Министертсвом юстиции США, после чего Ассанж будет окончательно отпущен на свободу.

Остров Сайпан был выбран властями «с учетом несогласия обвиняемого ехать в континентальную часть США для признания своей вины и близости этого федерального окружного суда США к стране гражданства обвиняемого, Австралии, куда, как мы ожидаем, он вернется по окончании процесса», — говорится в письме Отдела национальной безопасности Министерства юстиции США от 24 июня текущего года.

Напомним, что до заключения в тюрьму Белмарш, около семи лет Ассанж прожил в посольстве Эквадора в Лондоне, где ему предоставили убежище, чтобы он мог избежать экстрадиции в Швецию. В Швеции против него были выдвинуты обвинения в изнасиловании, которые он отрицал и которые, как он опасался, в конечном итоге будут использованы для его экстрадиции в США.

В 2019 году власти Эквадора лишили Ассанжа убежища в посольстве, аннулировали полученное им эквадорское гражданство и передали британской полиции, после чего он оказался в тюрьме строгого режима, откуда много лет противостоял попыткам экстрадиции со стороны США, где ему грозило до 175 лет тюремного заключения. Позже в том же году Швеция прекратила расследование в отношении Ассанжа.

Журналисты TechCrunch опубликовали статью, в которой высказываются опасения в безопасности Telegram. Опрошенные изданием эксперты считают, что команда разработчиков слишком мала, шифрованию подвергаются не все чаты, а с учётом того, что все данные хранятся в небезопасном месте, возможна их утечка.

Основные опасения ИБ-экспертов:

— Слишком маленькая команда разработчиков
— Владелец — всего один человек
— Сквозное шифрование в переписках по умолчанию отсутствует, оно есть лишь в секретных чатах
— Сервера Telegram расположены в ОАЭ
— Telegram хранит огромный объём пользовательских данных, в том числе всю переписку, голосовые сообщения, видеосообщения, фотографии и прочие файлы, которыми обмениваются пользователи
— Отсутствие инфраструктуры для борьбы со злоупотреблениями и модерации контента
— Отсутствие достаточных ресурсов, чтобы противостоять хакерам, особенно спонсируемым государтсвами
— Отсутствие команды юристов, которые эффективно противостояли бы юридическим запросам на выдачу пользовательских данных

Основные доводы экспертов сводятся к тому, что маленькая команда разработчиков не способна справляться с авральными задачами, такими как массированные попытки взлома или общение с властями госорганами разных стран для решения юридических вопросов и претензий.

Представитель Telegram в комментарии изданию «Код Дурова» опроверг некоторые из этих доводов. В частности, он сказал, что у мессенджера нет серверов в ОАЭ, в этой стране лишь базируется штаб-квартира Telegram, разработчики и Павел Дуров. Кроме того, команда Telegram не такая маленькая, как говорят журналисты и ИБ-эксперты — она насчитывает примерно 60 человек, 30 из которых отвечают за разработку и инфраструктуру, но также есть отдельные команды по модерации и борьбе со злоупотреблениями. Ранее Павел Дуров рассказывал, как им удаётся держать пользовательские данные в безопасности: они распределены по серверам в нескольких странах с разными юрисдикциями, поэтому их невозможно выдать властям и кому-бы то ни было ни технически, ни с юридической точки зрения.

Банковский троян Medusa для Android, также известный как TangleBot, вновь появился в поле зрения исследователей после почти года бездействия. Новые кампании с его использованием были зафиксированы в таких странах, как Франция, Италия, США, Канада, Испания, Великобритания и Турция.

Активность Medusa была замечена с мая текущего года. Новые версии трояна стали компактнее, требуют меньше разрешений и обладают новыми функциями для инициирования транзакций прямо с зараженного устройства.

Впервые троян Medusa был обнаружен в 2020 году как MaaS-операция. Он предоставляет атакующим возможности для записи нажатий клавиш, управления экраном и манипуляций с SMS. Несмотря на сходство в названии, этот троян не связан с одноименными группировками, занимающимися вымогательством и DDoS-атаками.

Исследователи из компании Cleafy, специализирующейся на выявлении онлайн-мошенничества, сообщили о новых вариантах Medusa. Они стали легче, требуют меньше разрешений и включают такие функции, как наложение на весь экран и захват скриншотов.

Cleafy обнаружила 24 вредоносных кампании, использующих троян, и приписала их пяти различным ботнетам (UNKN, AFETZEDE, ANAKONDA, PEMBE и TONY). UNKN, например, управляется отдельной группой злоумышленников, которые нацелены на страны Европы, в частности Францию, Италию, Испанию и Великобританию. В последнее время в атаках использовались поддельные приложения, такие как фейковый браузер Chrome, приложение для 5G-соединения и поддельное приложение для стриминга под названием 4K Sports.

Cleafy отмечает, что все кампании и ботнеты управляются центральной инфраструктурой Medusa, которая динамически получает URL-адреса для C2-серверов из публичных профилей в социальных сетях.

Авторы Medusa сократили количество запрашиваемых разрешений, чтобы вызывать у жертв меньше подозрений, но по-прежнему требуют доступа к службам специальных возможностей Android. Кроме того, троян всё так же имеет доступ к списку контактов жертвы и функции отправки SMS, что является ключевым методом распространения угрозы.

Согласно анализу Cleafy, из новой версии трояна были удалены 17 команд и добавлены 5 новых, среди которых:

- destroyo: удаление определённого приложения;
- permdrawover: запрос разрешения «Поверх других приложений»;
- setoverlay: наложение чёрного экрана;
- take_scr: создание скриншота;
- update_sec: обновление пользовательского секрета.

Особенно важной является команда «setoverlay», позволяющая злоумышленникам выполнять обманные действия, такие как создание видимости заблокированного устройства для маскировки вредоносной активности, что идеально работает в паре с OLED-экранами, которые не излучают свет, отображая чёрные пиксели.

Новая возможность захвата скриншотов предоставляет злоумышленникам дополнительные пути для кражи конфиденциальной информации с заражённых устройств. Операция Medusa продолжает расширять масштабы и становиться более скрытной, что может привести к большему количеству жертв.

Несмотря на то, что Cleafy пока не наблюдала поддельные приложения на Google Play, с увеличением числа киберпреступников, использующих MaaS, стратегии распространения будут становиться всё более разнообразными и изощрёнными.

Для защиты от Medusa и схожих угроз следует проявлять бдительность при установке приложений и тщательно проверять запрашиваемые разрешения. Избегайте перехода по подозрительным ссылкам в сообщениях и будьте особенно осторожны с приложениями, требующими доступ к специальным возможностям Android. Соблюдение этих правил цифровой гигиены существенно снизит риск стать жертвой банковских троянов и прочего вредоносного ПО.

Эксперты компании Forcepoint раскрыли новую схему распространения опасного трояна Remcos RAT. Теперь вредоносная программа проникает в компьютеры через обычные документы Microsoft Word, содержащие короткие ссылки.

Атака начинается с того, что пользователь получает письмо с вложением в формате «.docx». После скачивания и запуска файла потенциальная жертва обнаруживает внутри сокращённую веб-ссылку. При нажатии на эту ссылку происходит загрузка вредоносного ПО. Троян использует уязвимость в редакторе формул Word для установки, а вредоносный код маскируется с помощью сложного шифрования.

Remcos RAT обладает широкими возможностями, позволяющими злоумышленникам получить полный контроль над заражённым компьютером. Троян может получать доступ к файловой системе, управлять процессами, создавать скриншоты, записывать звук и видео с микрофона и веб-камеры. Кроме того, он способен красть пароли и финансовые данные, а также устанавливать дополнительные вредоносные программы.

Признаки заражения могут включать появление странных программ, замедление работы компьютера, самопроизвольный запуск программ и окон. При подозрении на заражение необходимо немедленно проверить устройство антивирусом.

Чтобы защититься от подобных атак, следует соблюдать осторожность при работе с электронной почтой. Не открывайте вложения из писем от незнакомых отправителей и не переходите по подозрительным ссылкам. Важно регулярно обновлять программное обеспечение и антивирусные программы.

Хакеры постоянно совершенствуют методы атак, поэтому крайне важно оставаться бдительными. Внимательность к подозрительным письмам и файлам — ключевой фактор в защите ваших данных от киберугроз.

Группы кибершпионажа начали активно применять программы-вымогатели не только для финансовой выгоды, но и для усложнения атрибуции атак, отвлечения защитников и запутывания следов.

Аналитики из SentinelLabs и Recorded Future представили отчет, в котором описывается деятельность APT-группы ChamelGang, подозреваемой в связи с Китаем. Группа использует программу-вымогатель CatB в атаках на крупные организации по всему миру.

ChamelGang в период с 2021 по 2023 годы нацеливалась на правительственные организации и объекты критической инфраструктуры. Группа применяет сложные методы для первоначального доступа, разведки, бокового перемещения и эксфильтрации конфиденциальных данных.

В ноябре 2022 года злоумышленники атаковали администрацию президента Бразилии, скомпрометировав 192 компьютера. В конечном итоге в сети была развернута программа-вымогатель CatB и оставлены записки с требованием выкупа.

Изначально атаку приписывали группе TeslaCrypt, но SentinelLabs и Recorded Future представили новые доказательства, указывающие на ChamelGang.

Исследователи считают, что ChamelGang также стоит за атаками на правительственное учреждение в Восточной Азии и авиационную организацию в Индийском субконтиненте. В данных случаях использовались известные тактики, техники и процедуры, а также собственное вредоносное ПО BeaconLoader.

Отдельный кластер активности, выявленный SentinelLabs и Recorded Future, для шифрования файлов использует Jetico BestCrypt и Microsoft BitLocker вместо CatB. Инциденты затронули 37 организаций в Северной Америке, Южной Америке и Европе. Сравнивая данные с отчетами других ИБ-компаний, исследователи обнаружили пересечения с прошлыми инцидентами, связанными с подозреваемыми китайскими и северокорейскими APT-группами.

BestCrypt обычно использовался для шифрования серверов, тогда как BitLocker применялся к рабочим станциям. В атаке использовались веб-оболочка China Chopper и контроллеры домена Active Directory в качестве точек опоры. Аналитики отмечают, что атаки длились в среднем 9 дней, хотя некоторые завершались всего за несколько часов, что свидетельствует о хорошем знании атакуемой среды.

Применение программ-вымогателей в кибершпионаже может приносить стратегические и оперативные преимущества, размывая границы между деятельностью APT-групп и киберпреступников, что может привести к ошибочной атрибуции атак или скрыть истинную цель злоумышленников — сбор данных.

Приписывание прошлых инцидентов с использованием программ-вымогателей группе ChamelGang показывает, что атакующие меняют тактику, чтобы скрыть свои следы и при этом достигать своих целей.

Новый вектор атаки на Android-устройства, в котором фигурирует вредоносное приложение Snowblind, использует защитную функциональность операционной системы для обхода установленных ограничений и кражи конфиденциальных данных.

Задача Snowblind в этой схеме — перепаковать атакуемое приложение, чтобы последнее не смогло детектировать использование специальных возможностей Android.

В результате вредонос может перехватывать пользовательский ввод, в котором могут содержаться учётные данные. Помимо этого, операторам открывается удалённый доступ к устройству, чтобы они могли запускать вредоносные команды.

Что отличает Snowblind от других вредоносов: вредоносная программа использует функцию ядра Linux «seccomp», которая применяется для проверки подлинности софта.

У исследователей из компании Promon была возможность изучить образец Snowblind. В отчёте специалисты подчёркивают, что операторы зловреда используют новую технику, помогающую уйти от детектирования на целевом устройстве.

Как уже отмечалось выше, в этом им помогает функция «seccomp», которую представили в Android 8. Она работает в процессе Zygote, который по умолчанию является родительским для всех других в ОС.

Чтобы перехватить конфиденциальную информацию, Snowblind внедряет нативную библиотеку, задача которой — запуститься до защитного кода. Далее идёт установка фильтра seccomp, перехватывающего системные вызовы вроде «open() syscall».

Специалисты считают, что на сегодняшний день большинство приложений не смогут защищаться от Snowblind, поскольку вредонос использует необычные методы.

26 июня компания TeamViewer сообщила об обнаружении аномалии в своей внутренней корпоративной IT-среде. Была активирована группа реагирования и начато расследование совместно с ведущими мировыми экспертами по кибербезопасности. Были также предприняты необходимые меры по устранению последствий инцидента.

TeamViewer уверяет, что корпоративная IT-среда полностью изолирована от среды продуктов компании, и на данный момент нет свидетельств того, что данные клиентов пострадали в результате инцидента. Подробности о том, кто мог стоять за взломом и каким образом он был осуществлен, не разглашаются, но TeamViewer обещает предоставлять обновления по мере поступления новой информации.

Несмотря на декларируемую прозрачность, страница с заявлением о взломе содержит метатег <meta name="robots" content="noindex">, блокирующий индексацию документа поисковыми системами. Это существенно затрудняет доступ пользователей к информации и противоречит заявленным принципам открытости.

Первое сообщение о взломе появилось на Mastodon от ИБ-специалиста Jeffrey, который поделился частью оповещения от команды NCC Group, размещённого на Dutch Digital Trust Center — веб-портале, который используется правительством, экспертами по безопасности и голландскими корпорациями для обмена информацией об угрозах кибербезопасности. В оповещении говорится, что платформа TeamViewer подверглась взлому со стороны APT-группы.

NCC Group сообщила, что ввиду широкого распространения TeamViewer, это предупреждение было разослано всем клиентам программы. Кроме того, сообщество Health-ISAC также сообщило, что услуги TeamViewer активно используются хакерами для получения удаленного доступа. Health-ISAC рекомендовала проверить журналы на наличие необычного трафика удалённого рабочего стола.

Хотя предупреждения от обеих компаний появились одновременно с сообщением TeamViewer об инциденте, не ясно, связаны ли они между собой. NCC Group и TeamViewer сообщили о взломе корпоративной среды, в то время как оповещение от Health-ISAC больше фокусируется на целевых атаках на подключения TeamViewer. Представители NCC Group и TeamViewer отказались предоставить дополнительные комментарии, заявив, что продолжают расследование инцидента.

Группировка Unfurling Hemlock проводит массированные атаки, доставляя на системы жертв до 10 видов вредоносного ПО одновременно, распространяя сотни тысяч вредоносных файлов в системах по всему миру.

Такой метод заражения называется «кассетной бомбой вредоносного ПО». Суть метода в том, что один образец вредоносного ПО распространяет дополнительные на скомпрометированной машине. Среди распространяемых вредоносных программ – стилеры, ботнеты и бэкдоры.

Кампанию обнаружили специалисты KrakenLabs и сообщили, что эта деятельность ведётся с февраля 2023 года. KrakenLabs выявили более 50 000 кассетных вредоносных файлов с уникальными характеристиками, связывающими их с группой Unfurling Hemlock.

Атаки Unfurling Hemlock начинаются с выполнения файла WEXTRACT.EXE, который попадает на устройства жертв через вредоносные письма или загрузчики, к которым Unfurling Hemlock имеет доступ благодаря контракту со своими партнерами. Вредоносный исполняемый файл содержит вложенные сжатые CAB-файлы, каждый уровень которых содержит образец вредоносного ПО и ещё один сжатый файл.

На каждом этапе распаковки на машину жертвы устанавливается очередной вариант вредоносного ПО. Когда достигается финальная стадия, файлы выполняются в обратном порядке – сначала запускается последняя извлечённая вредоносная программа.

KrakenLabs наблюдали от 4 до 7 этапов, то есть количество шагов и объём доставляемого вредоносного ПО в атаках варьируется. Анализ показал, что более половины атак группы были направлены на системы в США, при этом значительная активность также наблюдалась в Германии, Турции, Индии и Канаде.

Доставка множества вредоносных программ на скомпрометированной системе обеспечивает высокий уровень избыточности, предоставляя киберпреступникам больше возможностей для сохранения присутствия и монетизации.

Несмотря на риск обнаружения, многие злоумышленники следуют такой агрессивной стратегии, рассчитывая, что хотя бы часть их вредоносных программ уцелеет после очистки системы.

В ходе атаки Unfurling Hemlock аналитики KrakenLabs наблюдали следующее вредоносное ПО и утилиты:

- Redline: популярный стиллер, похищающий чувствительную информацию, такую как учетные данные, финансовые данные и криптокошельки. Может красть данные из веб-браузеров, FTP-клиентов и почтовых клиентов;
- RisePro: новый стиллер, специализирующийся на краже учетных данных и эксфильтрации данных. Еацелен на информацию из браузера, криптовалютные кошельки и другие личные данные;
- Mystic Stealer: работает по модели Malware-as-a-Service, способный красть данные из различных браузеров, криптовалютных кошельков и приложений Steam и Telegram;
- Amadey: специальный загрузчик для скачивания и выполнения дополнительных вредоносных программ;
- SmokeLoader: универсальный загрузчик и бэкдор, широко используемый в киберпреступности. Часто используется для загрузки других типов вредоносного ПО и может маскировать свой трафик C2, имитируя запросы к легитимным сайтам.
- Protection disabler: утилита для отключения Защитника Windows и других средств безопасности.
- Enigma Packer: инструмент для упаковки и сокрытия вредоносных полезных нагрузок.
- Healer.exe: утилита, нацеленная на отключение защитных мер, в частности Защитника Windows.
- Performance checker: утилита для проверки и регистрации производительности выполнения вредоносного ПО, сбора статистической информации о системе жертвы и успешности процесса заражения;
- Прочие утилиты, использующие встроенные инструменты Windows для сбора системной информации.

KrakenLabs предполагает, что Unfurling Hemlock продает логи стиллеров и начальный доступ другим злоумышленникам. На основе собранных данных исследователи с уверенностью считают, что Unfurling Hemlock базируется в одной из стран Восточной Европы.

KrakenLabs рекомендует пользователям проверять загруженные файлы с помощью актуальных антивирусных инструментов перед их выполнением, так как всё вредоносное ПО, распространяемое в данной кампании, хорошо задокументировано и имеет известные сигнатуры.

В даркнете растет число объявлений о продаже аккаунтов Госуслуг «для миграционного учета».

Доступ к личным кабинетам на «Госуслугах» позволяет мошенникам регистрировать приезжих без ведома владельца жилья. Купля-продажа ключей осуществляется через боты Telegram.

По данным DLBI, некоторые выставленные на продажу «аккаунты под миграционный учет» раздобыты с помощью купленных у телеоператора симок б/у.

По данным Reuters, в начале 2024 года хакеры из России проникли в компьютерные системы Microsoft и шпионили за почтовыми ящиками сотрудников компании, а также перехватывали электронные письма её клиентов. Об этом в Microsoft рассказали примерно через полгода после того как хакерская атака была раскрыта.

Те же хакеры из группировки Midnight Blizzard, как указывает Microsoft, пытались атаковать специалистов по кибербезопасности, которые расследовали их действия. Сейчас компания уведомляет своих клиентов о произошедшем и предоставляет им подробную информацию о масштабах утечки. Сколько клиентов пострадало в ходе атаки, не раскрывается.

В январе компания Mirosoft говорила, что группировка Midnight Blizzard получила доступ к «очень небольшому проценту» корпоративных почтовых ящиков. Спустя четыре месяца сообщалось, что хакеры всё ещё пытаются проникнуть в систему, что встревожило многих клиентов Mirosoft. Эти вторжения стали причиной слушаний в Конгрессе в начале этого месяца — на них президент Microsoft заявил, что компания работает над пересмотром своих методов обеспечения безопасности.

Президент Индонезии распорядился провести аудит государственных центров обработки данных после выявления отсутствия резервных копий для большей части хранящейся информации. Это упущение обнаружилось в результате масштабной хакерской атаки на Временный национальный центр обработки данных.

Злоумышленники использовали новую версию вируса-вымогателя LockBit под названием Brain Cipher. Заместитель министра связи и информации сообщил, что вредоносное ПО зашифровало все файлы на атакованных серверах. Хакеры требуют выкуп в размере 131 миллиарда рупий за разблокировку данных.

Правительство Индонезии отказывается выполнять требования киберпреступников. Министр коммуникаций и информатики Буди Ари Сетиади заявил журналистам, что власти не намерены платить выкуп. Вместо этого специалисты пытаются самостоятельно расшифровать захваченную информацию.

Ситуация вызвала острую реакцию в парламенте страны. Глава Национального агентства по кибербезопасности и шифрованию признал, что 98% данных в одном из двух скомпрометированных дата-центров не имели резервных копий. Председатель Первой комиссии Совета народных представителей высказалась о серьезности ситуации, назвав отсутствие резервных копий национальных данных проблемой управления.

По словам министра Буди, возможность создания резервных копий была доступна государственным учреждениям, но ее использование оставалось необязательным. Большинство ведомств отказывались от бэкапов из-за бюджетных ограничений. В будущем создание резервных копий станет обязательным требованием.

Вице-президент Индонезии сообщил, что масштаб ущерба от атаки связан с недавней централизацией данных различных учреждений и министерств. Он отметил, что после централизации, взлом одной системы повлиял на всех. Вице-президент также признался, что не представлял себе столь разрушительных последствий хакерской атаки в прошлом.

Компания TeamViewer утверждает, что за недавним киберинцидентом, в ходе которого злоумышленникам удалось проникнуть в корпоративную ИТ-инфраструктуру, стоит российская киберпреступная группировка Midnight Blizzard.

В TeamViewer также отметили, что инцидент произошёл 26 июня, но продуктовая среда при этом никак не пострадала. Для проникновения в сеть использовались учётные данные одного из сотрудников.