По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В июльской подборке: настойчивые африканские вымогатели, шифровальщик, перечеркнувший вековую историю, и очередная «величайшая утечка в истории».

One shot, one opportunity

Что случилось: хакер получил данные почти 300 тысяч техасцев через одну скомпрометированную учетку.

Как это произошло: в мае Министерство транспорта Техаса зафиксировало подозрительную активность в одной из своих систем. Расследование показало, что неизвестный получил доступ к учетке одного из сотрудников и с ее помощью скачал почти 300 тыс. отчетов о ДТП. В них содержатся имена, адреса, данные страховых полисов, номера водительских прав и машин.

6 июня Министерство признало утечку и сообщило, что заблокировало скомпрометированный аккаунт. Также ведомство предупредило пострадавших и принялось внедрять дополнительные меры безопасности для учетных записей, чтобы предотвратить подобные инциденты в будущем.

Министерство не раскрывает, как именно злоумышленник получил доступ к учетке, но ситуация наглядная: одной точки входа достаточно, чтобы поставить под угрозу всю организацию и ее клиентов. И украденные креды – только полбеды. Ведь слитые ПДн сменой пароля уже не защитишь.

А перезагружать пробовали?

Что случилось: киберпреступники украли данные 20 компаний под видом службы поддержки.

Как это произошло: 5 июня исследователи Google выпустили статью о методах работы хакерской группировки UNC6040. По информации The Register, преступники получили данные примерно 20 крупных транснациональных организаций, среди которых, например, Coca-Cola European Pacific Partners.

Метод работы UNC6040 – голосовой фишинг и социальная инженерия. Мошенники звонят ИТ-специалистам организаций и выдают себя за службу поддержки американской CRM Salesforce. Далее под разными предлогами преступники пытаются получить учетные данные жертвы и специальный код со страницы настройки CRM. Код позволяет подключить Data Loader – приложение для импорта, экспорта и обновления данных из Salesforce, и украсть данные.

Затем киберпреступники используют украденные креды для развития атаки. Например, для получения доступа к другим облачным платформам: Okta, Microsoft 365 и т.д.

Исследование Google призвано предупредить пользователей Salesforce об опасности, чтобы те оставались начеку. Но, как показывает практика, громкие разоблачения редко останавливают мошенников: всегда найдется рядовой (а то и не очень) оператор CRM, который поддастся на уловки. Поэтому стоит постоянно держать коллектив в курсе актуальных угроз и освежать в памяти сотрудников правила ИБ – в теории и на практике. У нас как раз есть подборка эффективных методик, как организовать корпоративное ИБ-обучение – пользуйтесь.

В реку дважды

Что случилось: инсайдеры установили бэкдор в сеть работодателя и дважды пытались шантажировать его.  

Как это произошло: в 2023 году Лаки Эразмус и Феликс Пупу, сотрудники южноафриканской финтех-компании Ecentric, установили в системах работодателя ПО для удаленного доступа. Благодаря этому инсайдеры украли корпоративные документы и потребовали у компании выкуп в размере $534 тыс. за непубликацию данных конкурентам и регуляторам.

Компания проигнорировала требования вымогателей. Эразмуса и Пупу это не устроило, и они снова попытали удачу – еще раз запросили выкуп, повысив его до $1 млн. Правда, этим скомпрометировали себя и вместо денег получили арест.  

Недавно процесс по делу инсайдеров завершился. В ходе разбирательства выяснилось, что кража данных ударила по клиентам Ecentric. Четверо из них потеряли почти 800 тыс. реалов. Это усугубило положение обвиняемых, так что Эразмуса приговорили к восьми годам тюрьмы. Пупу еще предстоит услышать свой приговор.

Мыльная опера

Что случилось: бухгалтер украла $800 тыс. у церкви и еще трех организаций благодаря BEC-атакам.

Как это произошло: Марго Уильямс, 63-летняя бухгалтер и внештатный бизнес-преподаватель, украла и отмыла почти $800 тысяч. За это Уильямс приговорили к 4 годам лишения свободы в 2024 году, а недавно в сети появились подробности дела.

Схема мошенничества работала так: Уильямс нацеливалась на организации, которые были в процессе оплаты счетов. Люди, связанные с выбранной компанией, получали письма, в которых их просили поменять банковские реквизиты для проведения оплаты. Если компания следовала инструкциям, то деньги переходили на подставной счет Уильямс. На такую уловку с декабря 2022 по июль 2023 попались четыре компании.

Например, одной из жертв стала церковь Сидар-Рапидс. Организация занималась реконструкцией своего комплекса. Злоумышленники добыли email архитектора проекта и от его имени вели переписку с представителями церкви. В результате организация перевела более $466 тыс. долларов на подставной счет Уильямс. Далее бухгалтер начала отмывать деньги – переводить их со счета на счет.

В суде в деле обнаружился неожиданный поворот. Преступница заявила, что мошенничала по указанию известного британского актера, с которым у нее были романтические отношения. Это заставило суд усомниться, не стала ли сама Уильямс жертвой мошенников, которые использовали ее для отмывания денег. Поэтому прямых обвинений во взломах Уильямс не предъявили. Еще одна возможная версия – что бухгалтер пользовалась услугами хакеров по найму. Как думаете, что вероятней?

Кто ищет, тот всегда найдет

Что случилось: ИБ-исследователи обнаружили в свободном доступе сразу два огромных массива данных.

Как это произошло: 3 июня специалисты Cybernews и ИБ-исследователь Боб Дьяченко заявили, что обнаружили БД весом 631 ГБ. Она хранилась в интернете без какой-либо защиты и содержала около 4 млрд записей с информацией граждан Китая. Среди них: имя, адрес, номер телефона, финансовые данные, реквизиты WeChat и Alipay и т.д.

Специалисты не смогли до конца исследовать базу или установить ее владельцев, потому что ее удалили из сети. Тем не менее, Cybernews удалось просмотреть шестнадцать наборов данных. Например, набор wechatid_db содержал больше 800 млн записей и информацию из китайского супераппа WeChat. В наборе address_db нашлось больше 750 млн строк и данные о месте жительства граждан Китая.

О второй утечке стало известно 18 июня. Тогда специалисты Cybernews сообщили о том, что обнаружили 30 незащищенных наборов данных, в сумме содержащих 16 миллиардов записей. Они имели четкую структуру – URL-адрес, логин, пароль.

Новость молниеносно разлетелась в СМИ под кликбейтными заголовками: находку окрестили крупнейшей утечкой мира. На деле данные оказалась логами инфостилеров и компиляцией старых сливов. Точно узнать масштаб угрозы не получилось, но специалисты уверяют, что внутри потенциально находятся данные для входа в аккаунты Apple, Google, Twitch, GitHub и т.д.

Исследовать базу подробнее, узнать количество дублей записей и затронутых владельцев кредов пока не удалось. Но, предположительно, база утекла у киберпреступников. Скорее всего, «награбленное» оказалось в открытом доступе по чьей-то халатности. Все-таки и хакерам ничто человеческое не чуждо.

Бумажный беспредел

Что случилось: хакеры за пару недель обанкротили компанию Fasana – производителя салфеток с более чем столетней историей.

Как это произошло: 19 мая рабочий день для 240 сотрудников фабрики Fasana начался не с кофе, а с послания от неизвестных хакеров. Все принтеры на производстве вдруг распечатали один и тот же документ: с требованиями о выкупе. Из документа стало ясно, что компания стала жертвой атаки с использованием программы-вымогателя.

Один из сотрудников рассказал журналистам, что кибератака парализовала корпоративную ИТ-инфраструктуру – не работали компьютеры, ноутбуки и серверы. Из-за этого производство остановилось. Уже на следующий день после атаки компания не смогла выполнить заказы на сумму свыше €250 тыс.

Руководство Fasana привлекло внешних ИТ-специалистов для восстановления парализованной инфраструктуры. Но уже через две недели убытки производителя превысили €2 млн, а привлеченные специалисты лишь частично восстановили работу. Компания все еще не могла в полном объеме выполнять заказы и задерживала зарплату сотрудников.

1 июня производитель подал заявление о банкротстве и сообщил, что ищет нового покупателя для бизнеса. Примечательно, что совсем недавно – 25 марта, компанию приобрела более крупная организация Powerparc AG. Но новая «материнская» структура не смогла помочь «дочке» ни защитой, ни деньгами на восстановление. Чтоб такого не произошло с вами, делимся юз-кейсом, как контролировать ИБ в «дочках» и отдаленных филиалах (и при этом не разориться самим).