Цифровое загрязнение для потери криптомонет
Недавние кражи на популярном сервисе криптовалют Coinbase огорчили многих владельцев цифровых активов. Печально и то, что в ряде случаев пропажи больших сумм денег так и не были урегулированы. Все это доказывает, что киберпреступники сегодня достаточно легко взламывают цифровые кошельки пользователей, используя самые разные практики.
По сообщениям отдельных лиц, участники биржи потеряли значительные суммы — от $168 000 до $1 миллиона в разных криптовалютах. А в Better Business Bureau поступило более 1100 жалоб на Coinbase именно из-за краж криптоактивов.
Так происходит потому, что мошенники нашли множество путей вывода средств с криптокошельков. Они применяют метод подмены SIM-карт, чтобы обмануть системы двухфакторной авторизации, используют социальную инженерию, чтобы убедить человека перевести средства, например, для инвестиций. Но самым простым способом остается заражение устройства — компьютера или смартфона при помощи специализированного вредоносного ПО. Учитывая, что перевод крпитоактивов необратим, и назначение транзакции определяется исключительно адресом кошелька получателя, мошенникам остается просто подменить этот адрес в тот момент, когда пользователь сам выполняет перевод денег.
Если у вас есть криптокошельки, в которых размещена хоть сколь-нибудь солидная сумма денег, обязательно установите систему безопасности с функцией обнаружения вредоносного ПО для подмены содержимого буфера обмена (clipboard-swapping). Это поможет защитить средства от кражи через простое заражение компьютера или мобильного устройства незамысловатым вирусом.
200 Гигабайт утекли у авиаперевозчика
В Bangkok Airways работает более 3000 человек, компания имеет представительства в 11 странах. Годовой доход авиаперевозчика превышает $685 миллионов. Такая компания — лакомый кусочек для киберпреступников. И, к сожалению, буквально пару недель назад Bangkok Airways объявила, что стала жертвой атаки Ransomware. Группировка LockBit взяла на себя ответственность за этот инцидент.
Если вы читаете различные дайджесты ИБ, в последнее время имя LockBit стало очень часто мелькать в отчетах аналитиков и в заголовках отраслевой прессы. На сегодня это один из ведущих операторов Ransomware, однако у команды судя по всему так и не выработана генеральна линия поведения. Например, для них характерно постоянно сдвигать дедлайны и не публиковать данные, разглашением которых они угрожают. Недавно они украли и хотели опубликовать 6 Терабайт данных из Accenture...но пока они откладывали этот процесс, сама компания заявила, что ничего ценного в этом архиве не оказалось и платить, в общем-то нечего.
Но в этот раз LockBit, похоже, взялись за дело серьезнее. Они заявляют, что уже опубликовали 200 Гигабайт данных из Bangkok Airways на одном из легитимных сервисов файлшэринга. Информация включает в себя полные имена и национальности пассажиров, их пол, номера телефонов, адреса электронные почты, номера паспортов и прочие конфиденциальные данные.
Что же, такая ситуация может негативно сказаться на деятельности авиакомпании и вряд ли порадует ее пассажиров. Если вы были в их числе — смените пароль на электронной почте. А авиакомпании остается пожелать внедрения более современных и совершенных средств защиты, по крайней мере для баз с персональными данными.
LockFile — новая угроза в мире Ransomware
Те, кто следит за группировками Ransomware, знают, что печально известная банда Ragnarok прекратила свою деятельность. Но недавно из тени вышла новая группа под названием LockFile. Эти операторы Ransomware используют такие уязвимости как PetitPotam и ProxyShell и успешно атакуют жертв по всему миру.
Этот вариант программы-вымогателя использует технику прерывистого (intermittent) шифрования файлов, чтобы избежать обнаружения. Его действия похожи на BlackMatter, LockBit 2.0 и DarkSide. Но в отличие от этих, уже известных версий вредоносного ПО, LockFile шифрует только по 16 байт каждого файла, а следующую “порцию данных” пропускает.
Впервые LockFile был замечен при атаках на финансовые организации в США, и своей стратегией злоумышленники четко дифференцировали себя от других групп Ransomware. Они чаще выбирают в качестве целей для атак организации в США и Азии, но при этом LockFile встречается во всех странах мира без исключения. В сфере интересов группы — финансовые организации, производственные компании, юридические фирмы, туристические агентства, инженерные бюро и провайдеры бизнес-сервисов.
Интересно, что LockFile обнаруживают не все системы защиты. Из-за нетипичного поведения и относительной новизны самого вредоносного ПО, гарантировать безопасность от LockFile позволяют только решения с бихевиористическими модулями обнаружения, использующими ИИ.
Фишинг с переадресацией
Фишинг остается одним из самых эффективных методов работы киберпреступников. По данным исследований около 91% кибератак происходят благодаря заражению компьютеров жертв через вредоносные письма, поступающие на личный или корпоративный ящик электронной почты.
Фишинг позволяет либо украсть учетные данные, либо заставить жертву загрузить вредоносное ПО. И недавно специалисты Microsoft обнаружили целую кампанию по распространению фишинговых писем, которая использует переадресацию, чтобы обойти ограничения систем безопасности. Идея заключается в том, чтобы совершить открытый редирект.
Преступники используют такие известные бренды как, например, ZOOM. Жертва получает ссылку якобы на встречу в сети, но на самом деле URL отправляет его куда-то еще после загрузки первого сайта. Конечная точка назначения также может выглядеть как ZOOM, но эта маскировка делается специально. Даже опытный пользователь может даже не заподозрить, что его учетные данные были украдены. Чтобы убедить своих жертв в легитимности сайта, мошенники нередко отправляют их вводить CAPTCHA. Ведь для большинства людей такая защита сайта говорит о его “серьезных намерениях”. Что же, намерения действительно оказываются серьезными — они хотят украсть ваши имя пользоваться, адрес электронной почты, пароль и другие учетные данные.
Защититься от такого метода взлома сложно, потому что подобные атаки часто происходят целенаправленно и адаптируются под конкретную компанию. Для жертв создают убедительные версии фейков страниц и порталов. В подобных случаях безопасность обеспечивают либо URL-фильтры (по данным наших исследований их используют не более 4% компаний), либо системы защиты электронной почты, которые уже распознают вредоносные ссылки с открытой переадресацией.