По традиции делимся подборкой ярких ИБ-инцидентов прошедшего месяца. В августе успели случиться: кошмар для фанатов League of Legends, крупнейшая утечка в истории США, а также очередной сбой в работе Microsoft.
ПРЕЖДЕВРЕМЕННАЯ ПРЕМЬЕРА
Что случилось: будущие новинки Netflix в сеть из-за атаки на подрядчика.
Как это произошло: 9 августа в соцсетях и на тематических форумах стали появляться еще не вышедшие эпизоды аниме и мультсериалов Netflix. Среди них: Arcane, Terminator Zero, Dandadan, Ranma ½ и другие.
Netflix быстро на утечку, сообщив, что «хакеры взломали одного из наших партнеров по постпродакшну». Это также подтверждается и низким качеством «слитых» видео с водяными знаками «для рабочего пользования».
Медиагигант попытался удалить слитые данные из сети, а также разместил новый сюжетный трейлер самой громкой новинки – второго сезона аниме по игре League of Legends - Arcane, чтобы унять шумиху. Но это не помогло, миллионы фанатов, ожидавших второй сезон, уже увидели главные сюжетные спойлеры.
УПРАВЛЯЙ МЕЧТОЙ, НО НЕ ЗАБЫВАЙ ПРО ИБ
Что случилось: американское подразделение Toyota жертвой кибератаки.
Как это произошло: 16 августа на хакерском форуме появилось 240 ГБ данных калифорнийского подразделения Toyota. Среди утекшего: данные сотрудников и клиентов, внутренние документы и базы данных, а также логины и пароли от админских учеток в открытом тексте.
Примечательно, что злоумышленники не продают данные, а раздают их бесплатно. Это может говорить о том, что атака была актом «хактивизма».
Toyota факт утечки и заверила, что занимается расследованием инцидента, который «носит ограниченный характер». Тем не менее, спустя несколько дней после этого заявления слитые учетки админов были , продолжали работать.
ЗАШЛИ ЧЕРЕЗ ДВОРЕЦКОГО
Что случилось: хакеры крупный сбой в работе индийских банковских приложений.
Как это произошло: злоумышленники атаковали компанию C-Edge Technologies, крупного сервисного провайдера. Из-за этого 1 августа почти на всей территории Индии не работали мобильные банковские приложения.
Инцидент расследовали специалисты . По их информации, C-Edge Technologies взломали из-за неверно настроенного сервера Jenkins. Это автоматизированная система для тестирования и доставки модулей мобильных приложений.
Атакующие начали с отправки POST-запроса на сервер, пытаясь выполнить вредоносную команду. Это удалось, и преступники закрепились на сервере, получили доступ к другим системам компании, а затем внедрили программу-вымогатель.
Примечательно, что помимо неверной конфигурации Jenkins, одна из его частей некорректно обрабатывала POST-запросы, сам сервер не был обновлен до актуальной версии. Это позволило эксплуатировать критичную уязвимость CVE-2024-23897 (оценка CVSS: 9.8/10) и провести атаку.
ХОЛОДНАЯ МЕСТЬ ИЗ ТЕПЛОЙ ИТАЛИИ
Что случилось: бывший подрядчик криптоплатформу Holograph.
Как это произошло: Holograph – криптоплатформа с собственным протоколом токенизации. Хакеры воспользовались уязвимостью в нем и с помощью прокси-кошелька сгенерировали 1 млрд токенов Holograph — HLG.
Общая стоимость сгенерированных токенов составила примерно $15 млн. Из-за такой «криптоинфляции» стоимость HLG токенов за несколько часов упала с $0,014 до $0,0029.
После инцидента началось международное расследование, подозреваемых арестовали на территории Италии. Их имена не разглашаются, однако , что организатор атаки — «недовольный бывший подрядчик», который разбирался в устройстве работы протокола Holograph.
САГА О ПДН: ПРОДАЖА КЛОНОВ
Что случилось: 2,7 млрд записей данных американцев в открытый доступ.
Как это произошло: 6 августа на хакерском форуме появился пост с 2,7 млрд записей с личной информацией американцев. В утечке содержатся имена, номера социального страхования, все известные почтовые адреса, а также возможные псевдонимы пострадавших.
Исследователи считают, что предположительный источник утечки — компания National Public Data. Она собирает ПДн граждан, а затем за оплату предоставляет к ним доступ для проверки судимостей и для работы частных детективов.
По информации , дамп со схожими данными уже продавался весной этого года на том же хакерском форуме. Тогда другой хакер заявил, что взломал National Public Data и получил личные данные граждан США, Великобритании и Канады.
После первоначальной утечки разные хакеры публиковали частичные копии этого дампа, причем в каждой копии фигурировало разное количество записей, а в некоторых случаях различались и сами данные. Последняя же и самая полная версия дампа появилась 6 августа.
Пока точная подлинность утечек-клонов не установлена. Зато выяснилось, что National Public Data собирала данные американцев без их согласия из непубличных источников. В связи с этим компании были обвинения.
ПОЛГОДА ВМЕСТЕ, УЖЕ КАК РОДНЫЕ
Что случилось: Kootenai Health, крупный американский поставщик медицинских услуг, хакеров.
Как это произошло: злоумышленники проникли инфраструктуру компании при помощи программы-вымогателя. Далее они зашифровали файлы и слили ПДн клиентов и сотрудников, включающие: возраст, паспортные данные, номер соцстрахования, водительские права и медицинские документы.
По информации , злоумышленники проникли в компанию еще в феврале 2024 года, но проблему обнаружили лишь в августе 2024 года. В итоге от утечки порядка 500 тыс. человек.
MICROSOFT И НЕОЖИДАННЫЙ ВЫХОДНОЙ
Что случилось: произошел глобальный в работе сервисов Microsoft.
Как это произошло: 30 июля с 14:45 до 23:43 по МСК были недоступны многие сервисы и приложения Microsoft: Azure, Outlook, Minecraft, Entura и Microsoft Intune и т.д. Это нарушило работу многих организаций: судов, коммунальных служб, банков и медицинских учреждений по всему миру!
Microsoft открыто сообщила, что сбой произошел из-за DDoS-атаки, и что их меры безопасности только усилили масштаб атаки, а не смягчили его. Ответственность за атаку взяла ранее неизвестная группа хактивистов.
Также компания что настроила Azure Web Application Firewall, средство защиты от подобных атак. Непонятно только, почему мировой ИТ-гигант не установил межсетевой экран для веб-приложений ранее.
СТЕРЛИ ПОДЧИСТУЮ
Что случилось: хакеры удаленно данные с устройств учеников и студентов по всему миру.
Как это произошло:злоумышленники взломали разработчика MDM-систем для образовательного сектора, компанию Mobile Guardian. Она занимается разработкой кроссплатформенного ПО для фильтрации трафика, контроля деятельности учеников, а также для удаленного управления устройствами.
По сообщениям , 4 августа произошла кибератака, в результате которой хакеры получили доступ к платформе Mobile Guardian. Полученные возможности были использованы не для кражи данных, а для их удаления. Так, например, в Сингапуре данные были удалены с 13 тыс. устройств, а закончилось это контракта с Министерством образования страны.
Компания, увы, сдалась: после атаки она полностью остановила свои сервера управления, из-за этого пользователи не могут войти в Mobile Guardian, а учащиеся ограничены в доступе к своим устройствам.
БОБРЫ АТАКУЮТ!
Что случилось: блокчейн-инфраструктура Nexera была хакерами.
Как это произошло: 7 августа неизвестные злоумышленники систему для управления смарт-контрактами Fundrs, используя вредоносное ПО BeaverTail. Так они смогли украсть 47 миллионов токенов инфраструктуры Nexera — NXRA стоимостью $1,76 миллиона.
15 млн токенов на сумму $450 тысяч злоумышленники обналичили, другие 32 млн команда Nexera успела убрать из оборота. После этого компания торговлю своими токенами на децентрализованных биржах и рекомендовала другим площадкам поступить так же. Однако это привело к падению цены токена на 86%.
ВОТ, ЧТО Я НЕ ЛЮБЛЮ
Что случилось: хакеры около 700$ тыс. у подписчиков McDonald’s.
Как это произошло: хакерская группа взломала Instagram* аккаунт McDonald’s и разместила там рекламу мошеннического криптовалютного токена. Он назывался так же, как и один из маскотов компании, Grimace.
Реклама сделала свое дело, и капитализация токена мгновенно выросла с нескольких тысяч до $25 млн. После этого мошенники продали имеющиеся у них токены, тем самым заработав примерно 700$ тыс. в криптовалюте Solana (SOL). Стоимость же самого токена упала до 65$ тыс.
В итоге компания смогла вернуть свой аккаунт, но в описании его профиля какое-то время «висела» благодарность от хакеров за криптовалюту. McDonald’s извинились перед подписчиками за инцидент.
*Meta Platforms Inc. признана в России экстремистской организацией и запрещена.
ИБ-совет месяца: для предотвращения инцидентов ИБ-специалисту важно уметь говорить на языке бизнеса. Объяснять руководству и коллегам, чем грозит пренебрежение правилами ИБ и средствами защиты. Узнать, как подружить бизнес и ИБ, вы сможете на ежегодной серии практических конференций Road Show SearchInform с 19 сентября по 28 ноября. В программе 27 городов РФ и СНГ, !
