Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Всем привет! Время для нашего традиционного дайджеста самых громких событий информационной безопасности за последний месяц весны. В программе массовые утечки данных крупных компаний в России, крах криптовалюты Luna, злоключения Коста-Рики после атак Conti по следам их распада и многое другое. Добро пожаловать под кат и приятного чтения!
Ни дня без сливов данных в России
Прежде всего, май запомнился многочисленными утечками данных крупных российских компаний. Их массовость привела к околоконспирологическим теориям, что это может быть связано с готовящимся по следам сливов в марте законопроекта, грозящего компаниям штрафом от оборота. Но обо всём по порядку.
Итак, начнём с самого громкого. В середине мая масштабно обновился постоянно меняющий домены сайт, созданный после мартовских утечек из Яндекса. На нём выложили данные клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна» и из других источников.
Компании, естественно, начали всё отрицать. Первым сознался Delivery Club: они признали утечку телефонов и данных заказов, хотя изначально это опровергали. Пока цена слитой базы — глубочайшие извинения, ну и, может, символический штраф от Роскомнадзора. «Мы очень извиняемся. Мы извиняемся. Простите!» — сообщили в Delivery Club.
Авторы же сайта заявили что, это такой своеобразный перфоманс, так как у нас не ценят конфиденциальность, и «множество личных данных было незаконно выложено в сеть». Довольно иронично, не находите? Кто в итоге победит, самопровозглашённые инфосек-Робин Гуды или сотрудники компаний, сливающие базы клиентов за мелкий прайс, — вопрос риторический.
Кроме того, в начале мая в сеть утекли данные клиентов лаборатории «Гемотест». Речь идёт о 31 миллионе записей, включающих в себя имя и фамилию, дату рождения, физический и электронный адрес, телефон, а также серию и номер паспорта. Это жители разных регионов России, включая Москву и Московскую область.
Базу продают на форуме в даркнете с начала весны. Судя по предоставленным торгашом образцам, утечка свежая — данные были выгружены не раньше 22 апреля. Во второй же базе на продажу ещё и 554 миллиона заказов с данными клиентов, датой и составом заказа. Так что речь может идти о до сих пор не исправленной уязвимости в системах лаборатории, и потенциал для мошеннических схем солидный. В общем, если база подлинная, сданный как-то раз в «Гемотесте» ПЦР, как в случае с вашим покорным слугой, ненароком мог стоить утекших в сеть личных данных.
Далее по сливам, в конце месяца в открытом доступе была обнаружена база клиентов образовательной платформы Geekbrains. Имена, адреса почты, телефоны — в базе 6 миллионов записей. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты. Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных от крупных компаний. В преддверии грядущего-то ужесточения закона об утечках, грозящего им штрафом в виде процентов от оборота.
И наконец, в конце мая вновь отметилась сливами «Яндекс.Еда». Теперь в сети оказались огромные базы как их курьеров, так и конкурентов в зелёненьком. Имена, телефоны, почтовые ящики больше полумиллиона человек. Пароли только хешированы, и то добро.
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им пока отсыпят очередной символический штраф и извинений поглубже. И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
Российские гиганты под осадой
Ушедший месяц памятен и падением зубра российского интернета RuTube. Девятого мая на сайт была совершена мощнейшая в истории сервиса атака, наглухо положившая блеклую надежду всея импортозамещения видеохостингов. Некие инсайдерские источники сообщали СМИ, что «90 процентов бэкапов повреждены» и «сервис теперь не подлежит восстановлению». Атака нанесла такой ущерб по репутации сайта, что Group-IB даже выпустила официальное заявление, полностью опровергнув, что продукты компании используются или когда-либо использовались для защиты RuTube от кибератак, будь то офисная или серверной инфраструктура или отдельные приложения видеопортала.
Тем не менее, 11 мая работа RuTube была восстановлена, сервис сообщил о постепенном возвращении функционала и расследовании произошедшего, к которому подключилась компания Positive Technologies. Ответственность за атаку на себя взяли хакеры из Anonymous, изначально также утверждавшие, что они нанесли серьезный ущерб платформе: якобы в ходе атаки пострадали или были уничтожены 75% баз и инфраструктуры основной версии сайта и 90% бэкапов и кластеров для восстановления БД. Впрочем, известная своими громкими, но пустыми заявлениями группировка и в этот раз показала, что кроме сенсационных заголовков для СМИ какие-либо результаты демонстрировать они едва ли способны.
Помимо этого, в мае Сбербанк также отчитался о крупнейшей в его истории DDoS-атаке. В начале месяца по системам банка шёл наброс в 450GB в секунду с 27 тысяч устройств из Тайваня, США, Японии и Великобритании.
По заявлениям представителя банка Сергея Лебедя с конца февраля банк круглосуточно находится под атаками, и злоумышленники используют новые методы. В ход идут вредонос в рекламных скриптах и расширениях для Chrome, заточенные под системы банка docker-контейнеры и другие приблуды. Тем не менее, директор отдела кибербезопасности Сбера утверждает, что они успешно справляются с многократно возросшими угрозами.
На фоне его радужного отчёта майские заявления из Совбеза звучат мрачно. Там официально озвучили, что на трети объектов критической инфраструктуры в России нет подразделений по защите информации, а большинство систем и сетей связи в госорганах уязвимы для массированных атак. Что ж, теперь дело за малым, кхм…
Злоключения Коста-Рики
Две масштабных атаки на государственные компьютерные системы произошли в прошлом месяце в Коста-Рике. Вплоть до того, что восьмого мая власти страны ввели чрезвычайное положение в связи с взломом правительственных учреждений группировкой Conti.
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство финансов. Беглый анализ показал, что в сливах были как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП — согласно обнародованным ими данным, сервисы Министерства финансов были недоступны уже с 18 апреля, что сказалось на работе всего промышленного сектора, в том числе из-за отказа систем электронных подписей и печатей. Такой вот незаслуженный киберпанк, развернувшийся прямо на наших глазах.
Тем не менее, беды Коста-Рики на киберфронтах не закончились после первого появления Conti. Те обещали им гораздо более серьёзные атаки в дальнейшем, и они не заставили себя ждать. Так, сначала страна столкнулась с ЧП после их проделок, а затем в конце мая оффлайн ушла и вся компьютерная сеть системы здравоохранения Коста-Рики. Как показал анализ рансомварь-посланий, за взломом стояли злоумышленники из Hive.
Масштабы атаки пока не разглашаются, но, судя по всему, дело серьёзное. Утром 31 мая все принтеры в сети системы здравоохранения начали разом печатать случайный набор ASCII-символов. Компьютеры отключили от сети и пытаются восстановить системы.
Скорее всего, за взлом также ответственны хакеры из Conti, присоединившиеся к Hive по следам распада группировки в прошлом месяце, о котором читайте ниже. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода, и Hive пользуются доступом и услугами, предоставляемыми пентестерами распавшейся группировки. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Филипа Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
Conti мертва, да здравствует Conti
В мае подошла к концу история громкого бренда Conti. Хакеры объявили, что закрывает свои операции и распределяет членов по другим хакерским группировкам. Большая часть их сервисов ушла оффлайн.
По следам их заявлений эксперты пишут, что нашумевшая атака на правительство Коста-Рики была пиар-ходом, чтобы провернуть ребрендинг. Вслед за этим Conti отключила свои сервисы и объявила, что часть её участников либо вольются в другие группировки, либо будут действовать автономно. Кроме того, они заявили о перехвате управления неназванной хакерской шайкой, под брендом которой будут продолжать работу.
Напомню, громкое имя Сonti пострадало, после того как они объявили о поддержке известно каких геополитических событий и пообещали устраивать атаки в ответ на любые недружественные действия в киберпространстве — один исследователь в их рядах, оказавшийся украинцем, в ответ слил переписки и исходники группировки. Вслед за этим Conti попала под ещё более пристальное внимание и общественности, и спецслужб, а слитые исходники начали использовать другие группировки, что создало Conti ещё больше проблем. Что ж, операцию украинского Штирлица против Conti можно считать успешной. А смогут ли они достичь прежних результатов под новым именем, покажет время.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если ставшего причиной их распада исследователя найдутся в рукаве и козыри с личными данными членов группировки. Особенно с учётом того, что шельмецы из Conti активно продолжают свою деятельность, как показала вторая атака на Коста-Рику. На фоне того, что специалистам удалось с лёгкостью связать её с затаившимися участниками группировки, влившимися в Hive, едва ли спецслужбы откажутся от их поимки.
До Луны и обратно
Ушедший месяц оказался примечателен и турбулентностью, охватившей рынок криптовалют. Его лихорадило так, что почти все цифровые монетки изрядно просели в стоимости. А благодарить за это следует эпичную историю первого криптовалютного МММ Terra-Luna, завершившего в мае свой цикл существования.
Пожалуй, здесь мы избавим читателя от финансовых подробностей произошедшего и пройдёмся по громким инфосек-новостям, связанным с падением волшебного стейблкоина. Итак, по следам его неконтролируемого схода с орбиты в середине мая появилась информация, что резервный фонд обвалившихся криптовалют Terra и Luna бесследно пропал.
Исследователи из Elliptic сообщили, что $3,5 миллиарда в биткоинах были выведены несколькими транзакциями на два кошелька криптобирж Gemini и Binance ещё 9 и 10 мая. Пока соучредитель Terra Ма Вроди, более известный как До Квон, утверждал, что деньги пойдут на корректировку курса. На этом след средств теряется, и обнаружить их не представляется возможным.
После публикации от Elliptic сама Terra заявила, что описанные манипуляции и были безуспешной попыткой продать битки для поддержания курса. На фоне $42 миллиардов потерь держателей монеток Luna и UST за первую неделю мая компания отчиталась о лишь $85 миллионах в крипте, оставшихся для компенсации.
Позже происходящее обросло ещё более занятными подробностями. Так, согласно всплывшим данным из юридических документов, за пару дней до стремительного обвала Luna была проведена ликвидация двух южнокорейских офисов и роспуск корейской корпорации Terraform Labs. В преддверии совершенного неожиданного падения сам финансовый гений До Квон, генеральный директор компании, её попросту ликвидировал.
Как бы то ни было, своими инсайтами с коллегами по бизнесу поделиться он, судя по всему, забыл. На днях сетевой валидатор THORmaximalist выложил скрины переписки команды Luna в день падения, из которых совершенно очевидно, что в компании царил полный хаос и люди попросту не знали, что делать во время краха блокчейна. В итоге их халатность и бездарность на фоне, судя по всему, манипуляций на рынке от крупного игрока во многом и привела к краху Luna и тому, что десятки тысяч людей лишились своих накоплений.
На этом поучительную историю первого криптовалютного МММ можно считать завершённой. Ну, не считая того, что неугомонный властелин доверчивых лунатиков собирается запустить сеть Luna 2.0, продвигаемую под видом форка, и всё пойдёт по новой. Надеюсь, среди наших читателей не найдётся желающих вложиться во вторую итерацию этой цифровой пирамиды. Как говорится, всем всё платится, но не всегда.
Ежегодный DBIR-отчёт и прочие инфосек-тренды
В мае вышел ежегодный DBIR-отчёт по инфобезопасности (Data Breach Investigations Report). В принципе, можно отметить, что за пятнадцать лет с его первой публикации мало что изменилось.
Из примечательного, рансомварь теперь правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года читайте в отчёте.
В свою очередь Касперский рапортует о взрывном росте числа мобильных троянов. Их стали обнаруживать в два раза чаще в сравнении с тем же периодом за прошлый год. Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь теперь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Что ж, остаётся надеяться, что у нас этот тренд не приживётся. С нашей-то коллекторской, кхм, этикой.
И наконец, согласно отчёту ФБР, BEC-атаки (Business Email Compromise) уверенно держат первое место в мире киберпреступности по прибыльности для злоумышленников. Финансовые потери от них с 2019-го года выросли на 65 процентов: за 2021-й год зарегистрировано почти 20 тысяч заявлений на общую сумму $2.4 миллиарда. Ближайший конкурент, мошенничество с инвестициями, за тот же период принесло злоумышленникам на миллиард меньше. Всего же с 2016-го года BEC-атаки стоили их жертвам почти $50 миллиардов. Масштабы впечатляющие.
Популярность BEC-атак обусловлена их технической простотой и эффективностью социнженерии. Так как их невозможно выявить традиционными методами, лучшей защитой по-прежнему остаётся обучать сотрудников тщательно проверять все финансовые письма и выявлять такие атаки. Предупреждён — значит, вооружён, в общем.