FemidaChannel

🔐 Представители биотехнологической компании 23andMe официально подтвердили, что в октябре 2023 года хакеры скомпрометировали тысячи аккаунтов и получили доступ к личной информации примерно 6,9 млн пользователей.

🧬 23andMe предлагает ДНК-тестирование и специализируется на использовании генетической информации для медицинских исследований и поиска лекарств, для чего заказчику достаточно предоставить компании образец своей слюны, отправив его по почте.

🌐 Тогда на хак-форуме были опубликованы первые образцы данных, похищенных у компании. Среди украденных данных была информация об оценке происхождения, данные о фенотипе, медицинская информация, пол, возраст, фотографии, идентификационные данные, дата последнего входа в систему и так далее.

🔍 Так, в письме представитель компании сообщил, что хакеры получили доступ к личной информации около 5,5 млн человек, которые пользовались функцией DNA Relatives. Похищенные в итоге данные включали имя, год рождения, информацию о родстве, процент ДНК-совпадений с родственниками, сведения о предках и местоположении (эту информацию пользователи указывали самостоятельно).

🚨 Утечка данных затронула примерно половину всей пользовательской базы 23andMe, которая составляет 14 млн человек.

🎮 Вымогательская атака на Ethyrial: Echoes of Yore — потеряны 17 000 учетных записей

💔 В конце прошлой недели MMORPG Ethyrial: Echoes of Yore пострадала от вымогательской атаки. В результате были уничтожены 17 000 учетных записей игроков, удалены все их внутриигровые предметы и стерт весь прогресс.

🕹 Ethyrial: Echoes of Yore — это условно бесплатная воксельная MMORPG, созданная инди-разработчиками Gellyberry Studios. Игра доступна в Steam в раннем доступе, то есть еще находится в разработке и во многом зависит от ежемесячных подписок и поддержки сообщества.

🔒 На прошлой неделе вымогатели атаковали главный сервер проекта и зашифровали все данные (в том числе включая локальные диски для резервных копий), и потребовали выкуп в обмен на расшифровку данных. Разработчики сказали, что выплата выкупа не гарантирует, что хакеры предоставят ключ для дешифрования данных, поэтому они решили восстанавливать все пострадавшие системы самостоятельно.

🔄 В итоге инцидент затронул всю пользовательскую базу игры, то есть 17 000 учетных записей игроков и их внутриигровых персонажей, которые теперь утрачены. Пострадавшие игроки должны получить обратно все свои предметы, прогресс, титулы и так далее, а также премиум-питомца (в знак благодарности за понимание и поддержку).

🌐 Европол совместно с правоохранительными органами стран Западных Балкан провёл международную операцию по борьбе с распространением детской порнографии в интернете. Инициатива получила название MOZAIK 2023.

🎯 Главной целью были идентификация и арест лиц, использующих онлайн-форумы и мессенджеры для обмена незаконными материалами. Участие в расследовании принимали Албания, Босния и Герцеговина, Косово, Черногория, Северная Македония, Сербия и Словения.

🚨 В ходе операции, которую возглавляла Национальная полиция Словении, были задержаны 39 подозреваемых из восьми стран. С 6 по 17 ноября 2023 года оперативники провели около 40 обысков, в результате которых удалось раскрыть целую криминальную сеть.

💻 Изъято около 200 устройств, включая компьютеры, карты памяти, серверы и мобильные телефоны. Трое подозреваемых уже были под стражей из-за преступлений, связанных с сексуальным насилием над несовершеннолетними.

🛡 Операция обернулась значительным успехом: помимо поимки преступников, удалось спасти двух детей-жертв. Им будет оказана необходимая психологическая помощь для восстановления после пережитого. Все виновные предстанут перед судом.

⚖️ Это не первая подобная операция. Недавно, также в ноябре, был осужден 36-летний житель Оклахомы, который распространял порнографические видео и изображения с участием несовершеннолетних в даркнете. Его приговорили к более чем 21 году тюремного заключения.

🎮 Кибермошенники за год атаковали любителей видеоигр более 4 млн раз. Самыми популярными стали Minecraft, Roblox и Counter Strike: Global Offensive, рассказали в «Лаборатории Касперского».

🔍 На долю Minecraft приходится более 70% выявленных вредоносных программ для ПК и более 90% для смартфонов. Эксперты связали это с тем, что игра позволяет использовать модификации и читы, которые часто распространяются на неофициальных форумах, потому подобное ПО часто содержит вирусы.

🕹 На втором месте по популярности у киберпреступников оказалась Roblox, а на третьем — Counter Strike: Global Offensive. Также некоторые риски нашли для игроков в Hogwarts Legacy и League of Legends.

🚨 На других сайтах, созданных кибермошенниками, пользователям предлагалось скачать популярные игры бесплатно или получить их со скидкой. Но на самом деле мошенники просто выманивали у людей платежные данные и воровали деньги.

💰 К тому же геймерство — это достаточно молодая индустрия, где, помимо прочего, водятся немалые деньги: в погоне за особыми игровыми предметами пользователи порой не обращают внимания на то, кто именно предлагает обмен или покупку, поэтому их гораздо проще обмануть.

🦠 Хакерская группировка Rare Wolf с начала 2023 года совершила 97 атак на российские организации и предприятия, среди которых были в том числе компании, связанные с отраслью тяжелого машиностроения.

🕵️‍♂️ Преступники охотились за информацией о новых разработках организаций, в том числе секретных. Более детальный анализ активности этой группировки позволил выявить более 400 атак, совершенных с 2019 года.

📧 Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. Но на самом деле внутри архива был файл с расширением .scr. Как только жертва открывала файл, на ее компьютер устанавливалась вредоносная программа, которая собирала пароли из браузеров, копировала все файлы Microsoft Word в архив и отправляла злоумышленникам.

🚀 Еще одной целью преступников был доступ к Telegram-аккаунтам сотрудников организаций: в нарушение правил безопасности многие работники предприятий через этот мессенджер посылают служебные документы, которые и становятся добычей хакеров.

🕵️‍♂️ Власти США назвали первого подозреваемого в деле даркнет-ресурса Hydra. Это 30-летний Дмитрий Павлов из Череповца: его американский минюст считает администратором серверов "Гидры" - крупнейшей в России площадки для продажи наркотиков.

🌐 По версии минюста США, сервера площадки администрировал 30-летний россиянин Дмитрий Павлов.
Семье Павлова принадлежит хостинг-провайдер из Череповца "Промсервис", который работал под разными коммерческими именами (в том числе 4x4Host). Американские власти утверждают, что именно эта компания занималась администрированием серверов Hydra, начиная с 2015 года.

💬 "Мы являемся хостинг-компанией и имеем все необходимые лицензии связи Роскомнадзора. Мы не занимаемся администрированием никаких площадок в принципе, а только предоставляем сервера в аренду как посредники (перепродавая услуги). Мы не знаем, что у нас хостится, так как после предоставления доступа к серверу клиенты меняют пароль, и доступ невозможен", - написал он.

🏢 Павлов - уроженец Череповца, но в Петербурге зарегистрирована его компания "Русинмедиа", которая занимается строительством центров обработки данных (выручка в 2021 году - около 2 млн рублей). Из Петербурга и большинство его друзей "ВКонтакте". Но сам он отказался отвечать на вопрос, где живет сейчас.

💊 Хотя основной профиль "Гидры" - торговля наркотиками, известен как минимум один случай, когда через эту площадку фактически было заказано убийство человека - подмосковного следователя Евгении Шишкиной.

🔒 Судя по всему, немецкие сервера, на которых работала "Гидра", арендовала компания Павлова. Но тот уверяет, что немцы никогда не сообщали ему, что на его инфраструктуре работает даркнет-площадка. "Любые инциденты, присланные немецким оператором, разбирались, и сервера удалялись, если были какие то нарушения", - утверждает он.

🚨
В 2015 году Росс Ульбрихт, основатель предшественника Hydra в даркнете - площадки Silk Road - был приговорен американскими властями к пожизненному заключению.

🕵️‍♂️ IT-специалист, работавший в прошлом на канадское правительство, признался в суде штата Флорида в сотрудничестве с российской группой киберпреступников, атаковавшей американские и международные компании, больницы, школы и университеты. Ему грозит 10 лет лишения свободы.

💼 При обыске в квартире 34-летнего Себастьена Вашон-Дежардена в Квебеке полиция обнаружила 27 миллионов долларов, хранящихся в криптовалюте.
📄 Согласно судебным документам, канадец был одним из наиболее преуспевающих хакеров группировки NetWalker. По данным полиции, он совершал атаки в период с апреля по декабрь 2020 года; за это время его жертвами стали 17 канадских компаний и ряд других фирм по всему миру.

🌐 NetWalker предоставляла хакерам доступ к вредоносному ПО, заражающему компьютер или сеть, и блокирующему доступ к системе. За разблокировку киберприступники требовали от жертвы выкуп. Лидеры этой группы, которые находятся на свободе, общаются в интернете на русском языке. Они следят за тем, чтобы их вредоносные программы не заражали компьютерные системы России или стран бывшего СССР.

💰 После того, как жертва совершает оплату, члены группировки и сотрудничающие с ними хакеры делят полученный выкуп. В случае, если жертва отказывается платить, вымогатели продают ее личные данные в интернете.
💻 Оказалось, что в состав группировки NetWalker входило около 100 человек, включая аффилированных с ней IT-специалистов, которым удалось получить от своих жертв по меньшей мере 40 миллионов долларов.
🚨 В одном из случаев хакерам удалось получить выкуп на сумму более миллиона долларов у одного из университетов США, занимавшегося разработкой вакцины от коронавируса.

💻 Полиция конфисковала дома у Вашон-Дежардена десятки компьютеров и жестких дисков, более 700 биткоинов на сумму около 27 млн долларов и 790 тысяч канадских долларов наличными (более 610 тысяч долларов США).

🌐 Европол объявил о ликвидации на территории Украины крупной группировки хакеров-вымогателей, жертвами которой стали компании из 71 страны. Речь идёт о многомиллионном ущербе.

🔒 Злоумышленники зашифровали более 250 серверов, принадлежащих крупным корпорациям, в результате чего убытки превысили несколько сотен миллионов евро. Операция, в ходе которой были арестованы 32-летний руководитель группировки и четверо его ближайших сообщников, была проведена еще 21 ноября. К обыскам и арестам, прошедшим на 30 объектах в Киевской, Черкасской, Ровенской и Винницкой областях, оперативники готовились более двух лет.

🤖 Для проведения атак использовались программы-вымогатели LockerGoga, MegaCortex, HIVE и Dharma. Уже оказавшись в инфраструктуре компании-жертвы, они закреплялись в сети с помощью вредоносов TrickBot, Cobalt Strike и PowerShell Empire.

🔍 Ранее в «Лаборатории Касперского» предупредили россиян о том, что киберпреступники в 2024 году будут применять более продвинутые технологии, в том числе искусственный интеллект, для организации фишинговых кампаний.

🕵️‍♂️ Группировка AgainstTheWest (она же BlueHornet) заявляет, что заполучила огромный дамп объемом 790 Гб, успешно взломав TikTok и WeChat. Хакерам якобы удалось похитить пользовательские данные, статистику платформы, исходные коды, файлы cookie, токены аутентификации, информацию о сервере и многое другое.

🔄 При этом исследователи отмечают, что название группировки может ввести в заблуждение. Хотя буквально название AgainstTheWest переводится как «Против Запада», и создается впечатление, что группа нацелена на западные страны, на самом деле злоумышленники утверждают, что они наоборот атакуют только страны и компании, враждебные интересам Запада.

❓ Потенциальная утечка вызвала много вопросов и сомнений у ИБ-экспертов. Хотя WeChat и TikTok – это китайские компании, первая принадлежит Tencent, а вторая — ByteDance. Скорее всего, незащищенная база данных была собрана сторонним парсером или брокером данных, который объединил общедоступные данные обоих сервисов и собрал их в единую базу.

🛡 Украинские правоохранительные органы сообщили о нейтрализации хакерской группы, действовавшей из Львова. Группировка специализировалась на продаже учетных записей и продала в даркнете более 30 млн аккаунтов, принадлежавших гражданам Украины и стран ЕС.

💻 Чужие учетные записи хакеры воровали при помощи неназванной малвари, для продаж использовали анонимные маркетплейсы в даркнете, а деньги получали через платежные системы «ЮМани», Qiwi и WebMoney, которые запрещены в Украине. По предварительным данным, хакеры продали около 30 млн аккаунтов и получили “прибыль” в размере почти 14 млн гривен (около 380 000 долларов).

🕵️‍♂️ Во время обысков в домах преступников полиция обнаружила и конфисковала несколько жестких дисков с украденными личными данными, а также многочисленные компьютеры, SIM-карты, мобильные телефоны и флешки.

🚨 Полиция лондонского Сити сообщила об аресте 17-летнего подростка, чье имя не раскрывается, его подозревают в причастности к кибератакам.

🔍 Подросток был арестован в Оксфордшире, в рамках расследования некого взлома, которое проводится при поддержке Национального агентства по борьбе с преступностью и Национального подразделения по борьбе с киберпреступностью. ИБ-эксперты уверены, что задержанный ответственен за взломы компаний Uber и Rockstar Games. Из-за атаки на Rockstar Games в сеть утекли десятки видео с геймплеем GTA VI и куски исходных кодов компании.

🛑 В минувшие выходные британские правоохранители заявили об аресте. Чуть позже стало известно, что подростка обвиняют в двух случаях нарушения условий освобождения под залог, а также в двух компьютерных преступлениях.

💻 Задержанный стоял за недавними громкими взломами компаний Uber и Rockstar Games.

🌐 Представители Uber официально заявили, что связывают эту атаку с хак-группой Lapsus$, которая прославилась серией взломов крупных компаний. В начале текущего года эти пар­ни шан­тажиро­вали Nvidia, слили исходные коды Ubisoft, Microsoft и Samsung, и ском­про­мети­рова­ли Okta.

🔐 Криптовалютный маркетмейкер Wintermute объявил, что пострадал от хакерской атаки, в ходе которой злоумышленники сумели похитить более 160 миллионов долларов.

👨‍💼 Глава Wintermute Евгений Гаевой заявил, что в компании готовы рассматривать случившееся как whitehat-инцидент. То есть представители маркетмейкера готовы выплатить взломщику вознаграждение за успешное обнаружение уязвимости без юридических последствий. Пока неясно, заинтересован ли сам злоумышленник в возвращении украденных у Wintermute средств.

💰 Известно, что в кошельке хакера в настоящее время хранятся активы на сумму около 47,7 миллионов долларов. Остальные средства выведены в пул ликвидности Curve Finance «3CRV», где их будет трудно отследить или заморозить.

🕹 Американского издателя игр 2K Games взломали. Скомпрометированная поддержка компании начала рассылать игрокам тикеты, содержащие ссылки на малварь RedLine, предназначенную для кражи информации.

🔍 К сообщению мошенников прилагался файл с именем «2K Launcher_zip», размещенный непосредственно на 2ksupport_zendesk_com. Мошенники выдавали его за новый лаунчер для игр.

🦠 По данным VirusTotal и Any.Run, этот исполняемый файл представляет собой известного вредоноса RedLine. Это весьма мощная малварь, предназначенная для кражи информации. Она способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков.

💼 Блокчейн-аналитики, ФБР и правительство США объявили, что им удалось изъять криптовалюту на сумму 30 млн долларов, весной текущего года похищенную северокорейской группой Lazarus у разработчиков NFT-игры Axie Infinity.

🎮 Атака на Axie Infinity и сайндчейн Ronin произошла в марте 2022 года. Тогда хакеры похитили у NFT-игры более 600 млн долларов с помощью всего двух транзакций: 173 600 ETH (на сумму около 591 242 019 долларов) и стейблкоин USDC (на сумму 25,5 миллиона долларов).

🚨 Так как общий ущерб от атаки Lazarus на Axie Infinity оценивался в 600+ млн долларов, возмещенная сумма составляет лишь около 5% этих средств, они постепенно вернутся в казну Axie Infinity и обратно игрокам, но этот процесс может занять несколько лет.

🕵️‍♂️ Разработчики «хакерского тамагочи» Flipper Zero рассказали, что уже два месяца не могут вернуть 1,3 млн долларов, которые остались на заблокированном без объяснения причин PayPal-аккаунте проекта.

💸 В 2020 году на Kickstarter собрали рекордные 4 882 784 доллара на производство «хакерского тамагочи» и крайне интересного мультитула Flipper Zero. В начале 2023 года участники Kickstarter-кампании начали получать свои гаджеты, а в июне текущего года наконец стартовала открытая продажа Flipper Zero. О блокировке бизнес-аккаунта PayPal, которая произошла вскоре после этого, разработчики сообщили в официальном Twitter проекта.

🚫 За этим последовало еще несколько запросов от PayPal, на которые разработчики так же ответили, но в итоге они получили лишь сообщение о перманентном бане бизнес-аккаунта Flipper Zero.

🕵️‍♂️ Вымогательская группировка Hive взяла на себя ответственность за кибератаку на одну из крупнейших энергетических компаний в Индии, Tata Power Company Limited. Операторы Hive начали публиковать данные, якобы украденные у компании, так как переговоры о выкупе, очевидно, не увенчались успехом.

🔓 Напомню, что о взломе Tata Power Company Limited стало известно на прошлой неделе. В заявлении, которое компания подала в адрес Национальной фондовой биржи Индии, сообщалось, что инцидент затронул только «некоторые из ИТ-систем», а критическая инфраструктура не пострадала.

🔍 Индийский ИБ-исследователь Ракеш Кришнан поделился с журналистами скриншотами украденных данных, которые содержат личную информацию сотрудников Tata Power, номера национальных карт Aadhar, номера налоговых счетов PAN, данные о зарплатах и так далее. Кроме того, дамп данных содержит конструкторские чертежи, финансовые и банковские документы, а также информацию о клиентах компании.

🌐 Организация по атомной энергии Ирана (ОАЭИ) сообщила, что почтовые серверы одного из ее дочерних подразделений были взломаны. Ранее хакерская группа Black Reward опубликовала украденные у организации данные в сети, заявив, что в общей сложности похитила более 100к сообщений и 50ГБ информации.

🕵️‍♂️ Ответственность за эту атаку ранее взяла на себя хакерская группировка Black Reward, которая называет себя иранской, но выступает против текущего правительства страны. В конце прошлой недели группа выступила с заявлением в своем Telegram-канале, сообщив, что ей удалось взломать ОАЭИ и извлечь данные из 324 почтовых ящиков организации, в которых содержалось более 100 000 сообщений и 50 ГБ информации.

⚖️ В конце своего послания хакеры упоминают 22-летнюю иранку Махсы Амини, которая была задержана местной полицией нравов из-за неправильно надетого хиджаба в конце сентября и вскоре умерла в центре задержания. После смерти Амини в социальных сетях распространилась инфа о том, что девушку пытали сотрудники полиции, и страну захлестнула волна антиправительственных протестов, символом которых стала Амини. Сообщение хакеров так же заканчивается словами: «за женщин, жизнь, свободу».

🕵️‍♂️ Британские власти сообщили, что 22-летний Adrian Kwiatkowski приговорен к 18 месяцам тюремного заключения. Хакер похищал неизданные и не публиковавшиеся официально записи всемирно известных музыкантов, а затем продавал украденные треки в даркнете за криптовалюту.

🎤 Расследование, приведшее к аресту хакера, было начато окружной прокуратурой Манхэттена, после поступления нескольких обращений от компаний, представляющих интересы пострадавших артистов. Когда стало ясно, что подозреваемый находится в Великобритании, информация о нем была передана местным правоохранителям, которые провели обыски и осуществили задержание.

🎶 Ранее правоохранительные органы не раскрывали, какие именно лауреаты многочисленных музыкальных премий пострадали от действий подростка (на момент ареста Адриану Квятковски было 19 лет). Теперь же сообщается, что хакер пытался продать за криптовалюту две неизданные песни британского поп-исполнителя Эда Ширана и еще 12 неизданных песен американского рэпера Лила Узи Верта. В общей сложности при обыске на ноутбуке преступника обнаружили 565 украденных аудиофайлов, включая треки Верта и Ширана.

🔒 На прошлой неделе Королевский суд британского города Ипсвич приговорил хакера к 18 месяцам лишения свободы.

🚗 Власти Франции, Латвии и Испании арестовали 31 подозреваемого, которые занимались угонами автомобилей двух французских производителей. Известно, что преступники нацеливались только на машины, которые оснащались бесключевым доступом и могли заводиться без ключа, так как злоумышленники могли отпирать двери и запускать двигатели без использования брелоков.

🔐 Известно, что в «набор угонщика» входили планшет, все необходимые разъемы и само программное обеспечение. Также киберспециалисты Национальной жандармерии Франции захватили домен, через который осуществлялись продажи оборудования для взлома авто. Однако в пресс-релизе Европола не упоминается URL сайта или домен, на котором он был размещен. Известно лишь, что сайт хостился Франции и был связан с несколькими зарегистрированными в стране компаниями.

⚖️ В результате скоординированных действий, был арестован 31 подозреваемый. Всего было проведено 22 обыска, во время которых изъяты преступные активы на сумму более 1 098 500 евро. Среди арестованных есть разработчики программного обеспечения, его реселлеры и непосредственно похитители автомобилей, которые применяли этот инструмент для угонов.

💳 Кардерский даркнет-ресурс BidenCash снова устроил громкую «рекламную акцию». Администрация сайта бесплатно опубликовала огромный дамп, содержащий информацию о 1 221 551 банковской карте, позволяя любому желающему загрузить эти данные.

🌐 Сайт BidenCash был запущен весной 2023 года и почти сразу заявил о себе аналогичной акцией: операторы BidenCash решили бесплатно раздать всем желающим CSV-файл, содержащий имена, адреса, номера телефонов, адреса электронной почты и номера банковских карт, и таким образом прорекламировать свою платформу.
Суммарно дамп содержит информацию о 1,2 млн карт со всего мира, со сроком действия между 2023 и 2026 годами. Большинство, похоже, принадлежат пользователям из США.

🔒 Около 30% карт оказались «свежими». Если экстраполировать этот результат на весь дамп, порядка 350 000 карт, распространяемых злоумышленниками, могут оказаться действительными. При этом исследователи говорят, что примерно 50% итальянских карт уже могут быть заблокированы, поскольку банки-эмитенты обнаружили мошенническую активность.