Эксперты сообщили об использовании «Яндекс.Диска» в кибератаках

В сеть утекла база пользователей портала tutu.ru

Неизвестные хакеры утверждают, что взломали базу данных пользователей портала по бронированию билетов tutu.ru. Первый файл размером 170 мегабайт, якобы содержит 23 миллиона строк. По утверждению хакера, в нем содержатся адреса электронной почты пользователей сайта и хеши паролей.

Второй файл, как утверждается содержит 32 миллиона строк, с информацией о заказах билетов, включая ФИО, дату рождения и паспортные данные. В третьем файле, который был выложен в открытый доступ, размером 2,5 млн строк, содержатся адреса электронной почты, имена пользователей и телефоны.

Судя по названию файла (TutuBusorders) в нем, вероятно, содержатся данные покупателей билетов на автобус (более 2-х миллионов уникальных записей). Никаких доказательств существования двух оставшихся файлов, хакер не привел. Подобная информация, если окажется правдой, может представлять опасность не только утечкой персональных данных, но позволяет отследить передвижения конкретных людей.

Пресс служба Tutu.ru прокомментировала информацию: Днем 2 июля сервис Туту.ру подвергся хакерской атаке из-за рубежа и в ограниченном доступе оказалась таблица, содержащая часть данных о заказах на автобусные билеты, вероятно, сделанных через tutu.ru.

В файле, о котором идёт речь, нет платёжных данных, пунктов прибытия-отправления, дат заказа. Но есть фамилия и имя (не всех пассажиров), телефон и почта для отправки чека. В настоящее время достоверность всех данных проверяется.

Эта утечка может стать рекордной на российском рынке - в Сеть попали данные 25 млн клиентов СДЭК

РБК сообщает о новой утечке данных клиентов компании СДЭК, которая могла коснуться 25 миллионов пользователей и 30 тысяч контрагентов. Появившиеся в сети данные объединены в три файла.Первый содержит более 160 млн записей с данными клиентов, которые включают фамилии, адреса электронной почты, коды пункта самовывоза и названия компании отправителя.

Второй файл включает более 30 миллионов строк с информацией о физических и юридических лицах, третий файл содержит более 90 миллионов строк с телефонами и идентификаторами отправителя/получателя.

Руководитель блока специальных сервисов Infosecurity Сергей Трухачев считает, что вместе с прошлой утечкой у СДЭК в сумме утекли данные десятков миллионов клиентов, что может стать «рекордом на российском рынке». Он предупредил, что в ближайшее время злоумышленники проанализируют и объединят обе утечки и сформируют одну из крупнейших незаконно полученных баз граждан России.

PR-директор СДЭК Анна Иоспа сообщила, что сейчас проводится внутреннее расследование, выясняются обстоятельства. От каких-либо дополнительных комментариев она отказалась. Первая утечка у СДЭК произошла в начале года. Оператор подтвердил потерю данных, обвинив в случившемся хакеров. Тогда же оператор уточнил, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.

Растет угроза кибератак на образовательные учреждения

Согласно исследованию Sophos, угроза вымогательских кибератак на сектор образования стремительно растет, поскольку для киберпреступников это легкая и прибыльная цель. «Школы больше всего страдают от программ-вымогателей. Они являются основными целями для злоумышленников из-за отсутствия надежной киберзащиты и наличия большого количества личных данных, которые они хранят», — сказал Честер Вишневски, главный научный сотрудник Sophos.

Средний выплаченный школами выкуп составил $1,97 млн. Эта цифра может показаться высокой, но работа с крупными школьными округами может быть чрезвычайно прибыльной. Средний выкуп, выплачиваемый университетами, составил $905 тыс., что по-прежнему является хорошим доходом для вымогателей.

Большинство образовательных учреждений платят выкуп, так как программы-вымогатели блокируют их работу. Когда сети зашифрованы, школам трудно проводить занятия, особенно удаленные.Кроме того, академические исследования и ресурсы будут недоступны, что лишит учеников возможности посещать учреждение или получать доступ к необходимым материалам.

По данным Sophos, только 61% данных восстанавливается после уплаты выкупа, а это означает, что в дополнение к сумме выкупа необходимо потратить время и ресурсы на дальнейшее восстановление сети.

В России во втором квартале несколько раз обновлялся рекорд продолжительности DDoS-атак

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными. Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше, чем в апреле.

В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

Apple исправила 39 уязвимостей в своих продуктах

Группа реагирования безопасности Apple выпустила исправления для 39 уязвимостей в macOS Catalina, iOS и iPadOS. Обновления устраняют недостатки безопасности памяти, некоторые из которых могут привести к удаленному выполнению кода.

В информационном бюллетене Apple не подтвердила использование 0-day уязвимостей в дикой природе. Компания призвала пользователей iPhone и iPad срочно перейти на iOS 15.6 из-за риска опасных кибератак.

39 уязвимостей были устранены в широком спектре компонентов iOS/iPadOS, включая: AppleAVD; AppleMobileFileIntegrity; Apple Neural Engine; CoreText; ImageIO; WebKit. Уязвимости также исправлены в обновлении Apple 2022-005 Catalina. Кроме того, компания опубликовала macOS Big Sur 11.6.8 с исправлениями 32 уязвимостей и обновление macOS Monterey 12.5 с устранением 56 недостатков. Apple также выпустила исправления безопасности watchOS 8.7 и tvOS 15.6.

База Почты России утекла в сеть

Источник, ранее "сливший" данные образовательного портала «GeekBrains», «Школы управления СКОЛКОВО», службы доставки «Delivery Club», сервиса покупки билетов tutu.ru и др., выложил в свободный доступ часть базы данных отправлений предположительно «Почты России».

В выложенном образце ровно 10 млн строк, содержащих:

номер отслеживания (трек-номер отправления)
ФИО (или название компании) отправителя/получателя
телефон получателя
город/индекс отправителя/получателя
вес/статус отправления
дата/время отправления

Выборочная проверка по трек-номерам на сайте pochta.ru показывает достоверность информации в этом дампе.

По фрагменту этого дампа можно предположить, что он имеет актуальность 11.06.2022.

Хакер утверждает, что кроме этого списка, ему также удалось получить дамп таблицы с данными всех клиентов почты.

Французскому студенту грозит 116 лет тюрьмы в США

1 июня 2022 года 21-летний студент-информатик Себастьян Рауль был арестован по возвращении из отпуска в аэропорту Рабата в Марокко. По данным издания OBS, сейчас Рауль находится под стражей в тюрьме Тифлет 2 в Марокко. Рауль уже несколько месяцев находится под прицелом ФБР. Он подозревается в том, что является «одним из важных членов» хакерской группы ShinyHunters, которую американские власти представляют как «продуктивных киберпреступников».

О ShinyHunters стало известно весной 2020 года, когда группа выставила на продажу в дарк-вебе около 200 млн. украденных данных после взлома IT-систем множества компаний по всему миру. США требуют экстрадиции Рауля по обвинениям в «заговоре с целью совершения электронного мошенничества», «электронном мошенничестве» и «краже личных данных».

Согласно расследованию ФБР, преступления могли быть совершены с французских и марокканских IP-адресов, которые могут быть связаны с Себастьяном Раулем. Американские следователи также получили доступ к сообщениям на форумах, приписываемым Раулю, в которых он делился информацией об украденных данных.

В США Себастьяну Раулю грозит 116 лет тюрьмы за приписываемые ему действия. По словам отца Себастьяна, Рауль отрицает все обвинения и утверждает, что его аккаунты использовались без его ведома. «Запрос о передаче студента США фактически является пожизненным заключением, запрещенным статьей 3 ЕКПЧ (Европейская конвенция о правах человека)», — заявил адвокат Рауля Филипп Охайон.

По словам адвоката, во Франции Рауль может получить максимум 5 лет тюрьмы, поэтому Охайон потребовал экстрадиции студента во Францию. 29 июля 2022 года прокурор Республики Эпиналь (Франция) получил запрос адвоката и в ближайшее время примет решение о судьбе Себастьяна Рауля.

Хакеры взломали блокчейн-мост Nomad и украли криптовалюту на $200 млн

По сообщениям сетевых источников, блокчейн-мост Nomad, обеспечивающий переводы между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomed, подвергся хакерской атаке, в результате которой злоумышленникам удалось похитить около $200 млн в криптовалюте.

Взлом платформы был осуществлён 1 августа, но сначала сотрудники Nomad не подтвердили кражу активов, сославшись на необходимость проведения оперативного расследования. «Нам известно об инциденте, который связан с мостом Nomad. В настоящее время мы проводим расследование и предоставим новую информацию по мере её поступления», — говорилось в сообщении компании.

Позднее разработчики опубликовали запись, которая подтвердила, что злоумышленникам удалось похитить цифровые активы. «Мы круглосуточно работаем над решением сложившейся ситуации, а также уведомили о случившемся правоохранительные органы и привлекли к расследованию ведущие компании по анализу и экспертизе блокчейна. Наша цель — определить вовлечённые средства, отследить и вернуть их», — сказано в сообщении Nomad.

Согласно имеющимся данным, причиной взлома стала ошибка в коде недавнего обновления платформы. Специалисты в области блокчейна сообщили, что любой пользователь, не обладающий навыками программирования, мог воспользоваться этой ошибкой для перевода токенов на свой счёт. Для этого было достаточно скопировать исходные данные транзакции и заменить адрес получателя на свой. По данным источника, на момент совершения хакерской атаки платформа располагала примерно $200 млн в разных криптовалютах, которые и были похищены хакерами.

Эксперты сообщили об использовании «Яндекс.Диска» в кибератаках

По информации российских экспертов из компании Positive Technologies, сервис «Яндекс.Диск» приобрёл популярность у хакеров для проведения кибератак — ранее с этой же целью активно использовались зарубежные аналоги вроде OneDrive и Dropbox. Поскольку возможности операторов файлохранилищ по выявлению вредоносного ПО ограничены, подобные площадки становятся базой для размещения программ-вредителей.

По данным Positive Technologies, «Яндекс.Диск» стали использовать представители зарубежной кибергруппировки АРТ31, но российское файлохранилище, по мнению экспертов, злоумышленники используют впервые. Алгоритм заражения прост — получив тем или иным способом ссылку на обычный офисный документ, пользователь открывает его, после чего запускается макрос, загружающий как сам документ, играющий отвлекающее значение, так и исполняемый файл для обращения к вредоносной библиотеке и саму библиотеку.

Как сообщают «Известия» со ссылкой на специалистов по кибербезопасности, с начала 2022 года хакеры уже атаковали с использованием данной технологии ряд СМИ и даже компании топливно-энергетического сектора.

«Яндекс.Диск» используют в том числе и потому, чтобы формирующийся в ходе атаки трафик был похож на легитимный — в таком случае вредоносное ПО «крайне сложно идентифицировать», поскольку трафик практически не отличается от обычного обмена данными между клиентом и сервером. При этом «Яндекс.Диск» не проверяет содержимого папок пользователей во избежание ущерба их конфиденциальности — по такому же принципу работают и другие сервисы.

Альфа-банк не подтвердил утечку данных своих клиентов

Альфа-банк опроверг появившуюся в сети информацию об утечке персональных данных клиентов кредитной организации. "Никаких утечек нет, данные клиентов в безопасности. Данный файл неактуальный", - говорится в сообщении пресс-службы банка. В пресс-службе отметили, что проверяют появляющиеся в сети данные якобы клиентов банка.

"Наша служба безопасности регулярно запрашивает сэмплы так называемых утечек - баз с настоящими данными клиентов нет", - говорится в сообщении. Ранее в СМИ появилась информация о том, что в сети продается информация о двух тысячах клиентов Альфа-банка, в которой представлены, в том числе, ФИО, паспортные данные, номера телефонов и балансы счетов.