Подоспела подборка громких ИБ-инцидентов, которые произошли или стали известны в прошлом месяце. В сентябре прогремели: атаки на ИБ-вендоров, утечки в известных отечественных компаниях, а также слив данных миллионов американцев в открытый доступ.
ИНЖЕНЕР НАОБОРОТ
Что случилось: сотрудник сервера работодателя и потребовал выкуп.
Как это произошло: 25 ноября 2023 года сотрудники неназванной американской компании получили email с заголовком «Ваша Сеть Была Взломана» (Your Network Has Been Penetrated). В письме было сказано, что все ИТ-администраторы лишились доступа к своим учеткам, а бэкапы серверов были уничтожены.
Еще в письме была угроза. Неизвестный обещал ежедневно отключать по 40 случайных серверов компании в течение 10 дней, если ему не выплатят 20 биткоинов (на тот момент ~$750 тыс.).
В ходе , которое координировало ФБР, выяснилось, что злоумышленником был 57-летний Дэниел Райн. Он работал в той же неназванной компании на должности инженера.
Используя знание компании и ее систем, он заблокировал 254 корпоративных Windows сервера. Ни админы, ни пользователи банально не могли зайти в систему, т.к. учетки были либо удалены, либо имели пароль, отличный от предыдущего. Доступа к бэкапам тоже не было, Райн их удалил.
Попался злоумышленник на поиске информации. В ФБР установили, что Райн использовал скрытую виртуальную машину и личный ноутбук, чтобы узнать, как стирать учетные записи, очищать логи Windows и изменять пароли для пользователей домена с помощью командной строки.
В итоге Райну предъявлено множество обвинений, которые по совокупности могут привести к 35 годам лишения свободы, а также к штрафу в $750 тыс.
FORTE? NET
Что случилось: ИБ-вендор Fortinet жертвой кибератаки
Как это произошло: 12 сентября неизвестный заявил о взломе Fortinet. В посте на теневом форуме он сообщил, что получил 440 ГБ данных из Sharepoint сервера компании. Еще хакер оставил «креды» для входа в объектное хранилище, в котором якобы находится все украденное, и сообщил, что пытался шантажировать Fortinet, но получил отказ.
В тот же день ИБ-гигант подтвердил утечку, сообщив, что «физическое лицо получило несанкционированный доступ к небольшому количеству клиентских данных, которые хранились на экземпляре стороннего облачного файлового хранилища».
Также в , опубликованном на сайте Fortinet, говорится, что «инцидент затронул менее 0,3% нашей клиентской базы и что он не был связан с шифрованием данных и доступом к корпоративной сети компании, а также не привел к каким-либо вредоносным действиям, нацеленным на клиентов».
ВОРОТА ПРОЙДЕНЫ
Что случилось: в страховой компании «Спасские ворота» утечка данных
Как это произошло: 16 сентября исследователи обнаружили в открытом доступе дамп базы данных страховой компании «Спасские ворота». Он включал в себя номера телефонов, адреса email, хешированные пароли и логи обращения к API на сервере spasskievorota.ru.
Также о принадлежности слитой базы к страховой компании говорит формат дампа. Он совпадает с форматом ранее утекших баз других страховых компаний. На момент публикации «Спасские ворота» не давали никаких комментариев, но от пресс-службы РКН стало известно, что страховая направила соответствующее уведомление об утечке.
ВЛОЖИЛИСЬ В СИЛУ, А НЕ В ИБ
Что случилось: данные клиентов сети фитнес-клубов WorldClass
Как это произошло: в сентябре исследователи обнаружили резервную копию базы данных компании WorldClass в открытом доступе. Она весила больше 146 ГБ и содержала чувствительную информацию: ФИО, адрес проживания, паспортные данные, телефон и email адрес, а также банковские реквизиты и частичный номер банковской карты для некоторых из клиентов.
Компания пока никак не отреагировала на инцидент, но актуальность слитой базы уже была подтверждена данными из прошлой . Напомним, что тогда сотрудник унес клиентские данные на новое место работы.
НЕ ДОРОЖАТ ТЕМ, ЧТО ПОЛУЧИЛИ БЕСПЛАТНО
Что случилось: данные 100 млн американцев в открытом доступе
Как это произошло: компания MC2 Data занимается проверкой «бэкграунда». Собирает и компилирует информацию о людях из общедоступных источников, чтобы составить профиль человека. В нем находится вся информация о судимостях, местах работы, родственниках и т.д. Такие профили используют арендодатели и сотрудники СБ/ИБ, чтобы понять – можно сотрудничать с человеком или нет.
Недавнее показало, что база данных MC2 Data размером в 2.2 ТБ с более чем 106 млн записей находилась в открытом доступе в интернете без пароля. По оценкам экспертов, утечка затронула данные 100 млн американцев. В ней находилось много разной информации, начиная от базовых ФИО и адресов email, заканчивая правовыми документами и записями о недвижимости. База была обнаружена 7 августа, и сколько она «провисела» открытой неизвестно.
На данный момент доступ к базе данных закрыт, а официальной информации от компании пока нет, но предположительно такой инцидент может произойти из-за человеческого фактора и неверной конфигурации системы.
БОЛЬНИЧНЫЙ ДЛЯ ДОКТОРА
Что случилось: Dr.Web хакерской атаке.
Как это произошло: 14 сентября специалисты Dr.Web зафиксировали целевую атаку на свои ресурсы. По информации из корпоративного блога инцидент был быстро обнаружен и «взят под контроль».
Тем не менее, 16 сентября компания зафиксировала «признаки внешнего неправомерного воздействия на IT-инфраструктуру» и «оперативно отключила серверы, чтобы запустить процесс всесторонней диагностики». Это остановило выпуск обновлений вирусных баз Dr.Web более чем на полтора дня. В итоге инцидент был оперативно устранен, а никто из пользователей Dr. Web не пострадал.
БИНГАНУЛО
Что случилось: криптовалютная биржа BingX $44 млн в результате кибератаки.
Как это произошло: 9 сентября специалисты по блокчейн-безопасности подозрительную активность — с биржи BingX выводятся миллионы долларов. Как оказалось позже, это была кибератака, которую владельцы биржи попытались скрыть. Они написали в о временном отключении из-за «обслуживания кошелька», но позже признали “аномальный доступ к сети, потенциально указывающий на хакерскую атаку на горячий кошелек BingX”.
В ответ на атаку компания начала переводить активы и приостановила вывод средств, а также о том, что «произошла незначительная потеря активов, но сумма небольшая и в настоящее время подсчитывается». Однако несколько компаний, в том числе SlowMist, нанятая биржей для аудита, , что сумма украденного явно серьезнее «небольшой» и варьируется от $44 до $48 млн.
В последствии биржа привлекла специалистов по криптовалютной безопасности, чтобы отследить передвижения украденной валюты. Еще примечательно, что BingX предложила хакеру, взломавшему их, пойти на сотрудничество: перечислить все украденные средства обратно, и тогда BingX прекратит любые преследования, а в качестве благодарности предложит 10% от украденных активов.
БЕДА ПРИХОДИТ ОДНА?
Что случилось: хакер доступ к конфиденциальным данным Dell.
Как это произошло: 19, 22 и 25 сентября один и тот же хакер выложил на теневой форум три поста с данными компании Dell. Изначально хакер утверждал, что данные взяты из разных взломов, но позже признался, что взлом был только один и он «стратегически сливает данные по частям».
В первом посте были выложены данные почти 11 тыс. сотрудников: полные имена, рабочие статусы и ID. Во втором было 3,5 ГБ разных несжатых данных: таблицы данных Jira, схемы миграции, сведения о конфигурации систем, учетные данные пользователей, информация об уязвимостях в ПО и проблемах в процессе разработки и т.д. В последнем посте почти 500 МБ изображений, PDF, видео, проектных документов, данных MFA и т.д.
После первого инцидента компания Dell сообщила, что ей известно о проблеме и начала расследование. Однако, на вопросы о последующих взломах комментариев не последовало.
ИБ-совет месяца: осенний бизнес-сезон в самом разгаре, а значит пора запасаться чаем с лимоном и продолжать трудиться: создавать политики, расследовать инциденты, формировать и согласовывать бюджет на следующий год. Последнее может стать задачей «со звездочкой» для многих ИБ-специалистов, так как бизнес и безопасность не всегда говорят на одном языке.
Узнать, как найти этот общий язык, связать бизнес-цели и пользу ИБ, можно на практической конференции в вашем городе. Эксперты-практики расскажут, как системы защиты, помимо основных задач, экономят деньги, сохраняют кадры и повышают эффективность компании.
