Пришло время узнать, что произошло в мире ИБ за время новогодних праздников (и пока все приходили в себя после). Выбрали инциденты, которые нас чем-то зацепили: забавные, нелепые, поучительные или труднообъяснимые. Под катом – мстительные программисты, наигравшиеся хакеры, а также подряд инсайдеров в госорганизации.

На тебе, шеф, битлокер

Что случилось: программисты пытались зашифровать данные бывших работодателей из мести.

Как это произошло: два похожих случая произошли в Москве и Уфе и стали известны в конце прошлого и начале этого года. Московский мститель преуспел: после шифрования дисков он запросил 27 млн руб. в криптовалюте в качестве выкупа. Но СК России обнаружил злоумышленника. Дело началось еще в 2023, и вот расследование подошло к концу. В скором времени программиста ждет суд.

Уфимский айтишник оказался менее удачлив, его остановила «внутренняя система ИБ» и не дала автоматически распаковать запущенный вирус. Как сообщает ФСБ, факт атаки выявили в ходе ИБ-проверки объектов критической инфраструктуры.

Уфимец признал вину и был приговорен к двум годам ограничения свободы.

Робин Гуды наоборот

Что случилось: в Техасской госкомиссии инсайдеры крали государственные пособия.

Как это произошло: в комиссии по здравоохранению и социальным услугам Техаса обнаружили семь инсайдеров. Действовали они в разное время с 2021 по 2024 годы, но каждого обнаружили и уволили за неправомерный доступ к счетам получателей госпомощи, а также за мошенничество.

Комиссия по здравоохранению и социальным услугам Техаса – американское госучреждение, которое занимается выдачей пособий нуждающимся категориям граждан. Чаще всего пособия поступают на банковские счета или электронные карты, которые специально создаются на имя заявителей под их запросы.

За весь процесс отвечают сотрудники комиссии: вносят и передают информацию граждан в систему, могут узнать и поменять пин-код и иные данные от выданных карт. Таким образом, без контроля некоторые сотрудники меняли данные в системе в свою пользу.

Так, например, двоих уволили после того, как они украли $270 тыс. с 500 счетов, на которые поступали госпособия. Другого сотрудника уволили за то, что он нарушил ИБ-политику: переслал информацию своих сограждан из государственной информационной системы на личную почту.

Примерно тем же занимались и остальные инсайдеры. Всех рано или поздно раскрыли и уволили. Некоторым придется не только найти новое место работы, но и предстать перед судом. Поскольку расследование продолжается, точная сумма, в которую обошлись утечки, пока неизвестна, как и точное количество пострадавших.

Но, например, в ходе последнего инцидента, о котором стало известно 6 января, пострадало по меньшей мере 60 тыс. человек. По заявлению Генпрокуратуры Техаса это крупнейшая утечка в истории комиссии по здравоохранению и социальным услугам.

Знаю пароль, вижу ориентир

Что случилось: стало известно о двух громких инцидентах, связанных с компрометацией учетных данных к внутренним ресурсам.

Как это произошло: взломали две крупные компании. Испанского оператора связи Telefónica и разработчика облачного ПО для управления отелями Otelier.

Telefónica подтвердила взлом внутренней системы тикетов после того, как украденные данные опубликовали на хакерском форуме. Злоумышленники сообщили, что под системой тикетов имеется в виду внутренний сервер Jira. Доступ к нему хакеры получили при помощи слитых учетных данных.

Всего утекло 2,3 ГБ тикетов, документов и других данных. В качестве ответной меры компания начала расследование и сбросила пароли на скомпрометированных аккаунтах.

Во втором случае злоумышленники тем же способом проникли на корпоративный сервер Otelier, а оттуда добрались до облачного хранилища Amazon S3. В итоге они получили доступ к 8 ТБ данных, среди которых были как корпоративные документы разработчика, так и данные отелей-клиентов сервиса: от внутренних регламентов до личной информации постояльцев.

Это были данные крупнейших сетей: Hyatt, Hilton и др. Например, данных Marriot было настолько много, что хакеры не смогли определить, кому именно принадлежит взломанное хранилище и потребовали выкуп у Marriot, а не у Otelier.

После инцидента в базе Have I Been Pwned обнаружили 437 тыс. уникальных email-адресов, связанных с утечкой. При этом Трой Хант, основатель сервиса, получил намного больше данных: таблицу бронирований с 39 млн строк и таблицу пользователей с 212 млн. Сейчас компания связывается с пострадавшими, расследует инцидент и заявляет, что несанкционированный доступ прекращен.

Кстати, в январе произошел еще один инцидент, связанный с гостиничным бизнесом и паролями. Вернее, их отсутствием. Более 24 млн записей с личными данными туристов лежали на сервере без пароля. Среди потенциально утекшего: имена, email-адреса, номера телефонов, даты рождения, информация о посещениях гостиниц и т.д. Принадлежность базы пока не подтверждена, но эксперты приписывают ее компании Honotel.

Скрытая угроза

Что случилось: эксперты заявили о возможной опасности техники, купленной на маркетплейсах.

Как это произошло: 19 января Известия написали, что техника, купленная на маркетплейсах, может быть заражена инфостилерами и другими вредоносами. Отметим, что подобное встречалось и раньше, но применительно только к б/у устройствам.

Чуть ранее, 12 января, пользователь одной соцсети сообщил о схожей проблеме. Ему не повезло с RJ45-адаптером, который он приобрел на AliExpress. При этом одни пользователи кинулись утверждать, что автор поста ошибся и «это всего лишь драйвер», а другие заверяют, что не все так однозначно.

Что конкретно находится «под капотом» адаптера, который купили минимум десять тысяч раз, мы не знаем. Зато знаем точно: если зараженное устройство принесет в корпоративный периметр ваш сотрудник – это угроза рабочим машинам, данным (и нервам ИБ-шников и сисадминов). Обычно такой риск ниже, если компания выделяет работникам корпоративное «железо», вплоть до флешек, и запрещает пользоваться своим. Но «полное обеспечение» не всем по карману, да и не всем удобно. Компромисс – проверять каждое личное устройство «на входе» на вредоносы и уязвимости. Как думаете, насколько эффективна такая практика? Напишите в комментариях!

Не бойся, я друг, я тебя не обижу

Что случилось: мошенники используют сервис контекстной рекламы Google Ads для фишинга.

Как это произошло: в январе появилось сразу две новости об использовании легитимного рекламного инструмента в мошеннических целях. Во-первых, неизвестные распространяли инфостилеры через рекламу. В качестве приманки выступал фишинговый сайт, похожий на веб-ресурс open-source утилиты Homebrew.

В поисковой выдаче, в графе для рекламы «sponsored», отображались легитимные URL-адрес (brew[.]sh), описание страницы и favicon (иконка сайта в поиске), но после клика жертва попадала на мошеннический brewe[.]sh. В итоге вместо легитимного ПО скачивался инфостилер AmosStealer.

Во-вторых, мошенники воровали учетные данные от личных кабинетов Google Ads. Для этого они так же, как и с Homebrew, использовали фишинговые сайты. Только сайт мимикрировал под вход в админку Google Ads. Стоило ввести данные на таком ресурсе, они отправлялись злоумышленникам.  

Поиграли и хватит

Что случилось: неизвестные слили в даркнет реквизиты доступа к устройствам FortiGate.

Как это произошло: 14 января злоумышленники выложили в свободный доступ на хакерском форуме реквизиты VPN-доступов к устройствам FortiGate. Опубликованный файл весит 1,6 ГБ и содержит IP-адреса, файлы конфигурации устройств, учетные данные для доступа к VPN, приватные ключи, а также пароли в открытом виде.

Эксперты заявили, что слитые реквизиты могут быть связаны с инцидентом 2022 года. Тогда неизвестные использовали уязвимость нулевого, чтобы скачивать файлы конфигурации с устройств FortiGate и добавлять вредоносные учетки super_admin с именем fortigate-tech-support.

Видимо, когда злоумышленники получили всю возможную выгоду от этих данных, они выложили их в свободный доступ. Скорее всего, чтобы получить репутацию в сообществе. Несмотря на давность утечки, данные могут быть актуальны и по сей день. Не будет лишим проверить, если вы пользуетесь продукцией FortiGate.