Назад в тень: Разоблачение хакеров, утечка данных и кибертревоги недели в кибербезопасности

Мы собрали основные события недели в области кибербезопасности.

11 февраля неизвестный инсайдер разместил в открытом доступе архив внутренней переписки группировки вымогателей Black Basta, использующей приложение Matrix. Данный материал привлек внимание специалистов по киберугрозам из PRODAFT.

Переписка охватывает период с сентября 2023 года по сентябрь 2024 года и включает адреса криптокошельков, профили пострадавших, а также описания фишинговых схем и методов взлома.

Также были раскрыты имена некоторых участников группы, включая предполагаемого лидера Олега Нефедова (известного под псевдонимами GG, AA, «Трамп»), а также двух администраторов с никами Lapa и YY.

Содержимое переписки охватывает сообщения с 18 по 28 сентября 2023 года, в которых сообщается, что Lapa занимает важную позицию в BlackBasta и постоянно занимается административными обязанностями.

Компания Hudson Rock проанализировала более миллиона внутренних сообщений с помощью чат-бота ChatGPT и запустила публикацию открытого проекта под названием BlackBastaGPT.

Эксперты полагают, что утечка могла быть спровоцирована внутренними конфликтами в группировке.

В январе произошел взлом американской компании Gravy Analytics, занимающейся отслеживанием геолокации, что спровоцировало массовую утечку данных пользователей, охватывающую страны от России до США. Компания продавала данные о местоположении, полученные из множества мобильных приложений.

Утечка связана с рекламными идентификаторами IDFA для iOS и AAID для Android, что позволило бы отслеживать передвижения людей и, в некоторых случаях, их идентифицировать.

Исследователь Баптист Роберт, используя открытые источники, реконструировал маршрут одного из пользователей от площади Колумбус-Серкл в Нью-Йорке до его дома в Теннесси, а на следующий день — до места жительства его родителей. Он узнал много личной информации о нем, включая имя его матери и информацию о погибшем отце — ветеране ВВС США.

Взлом Gravy Analytics поставил под сомнение безопасность индустрии брокеров данных.

В Google Threat Intelligence Group сообщили о попытках российских хакеров скомпрометировать аккаунты Signal, используя функцию привязки устройств. Жертв заставляют сканировать вредоносные QR-коды для связи их мессенджера с устройством злоумышленника.

Эти фишинговые атаки скрываются под маской приглашений в группы Signal или инструкциями по сопряжению устройств с легитимных источников.

Новое направление атак опасно, поскольку не требует полного взлома устройства для получения доступа к защищённым сообщениям жертвы.

Пользователям Signal советуют обновить программное обеспечение до последней версии, которая включает улучшенные меры защиты от фишинга, обнаруженные Google.

Северокорейские хакеры из группировки Lazarus применяли ранее неизвестный вредонос Marstech1 в атаках на разработчиков блокчейна. Специалисты SecurityScorecard сообщили об этом.

Малварь встраивается в сайты или пакеты npm, связанные с различными проектами в криптовалютной сфере. После попадания на устройство жертвы, она ищет расширения криптовалютных кошельков в браузерах Chromium и изменяет их настройки.

Marstech1 впервые был замечен в 2024 году и уже подмяла под себя не менее 233 жертв в США, Европе и Азии.

Исследователи нашли вредонос в публичном репозитории на GitHub, созданном заблокированным профилем SuccessFriend.

Хакеры из «Украинского киберальянса» сообщили о взломе системы российской микрофинансовой компании CarMoney с целью получения доступа к данным большого числа заемщиков. В их числе оказались представители ГРУ, ФСБ и военные формирования.

Группировка опубликовала в подтверждение своих слов два займа, оформленных на имена военнослужащих Дмитрия Соловьева и Максима Вагина.

Telegram-канал «Агентство» опубликовал информацию о том, что среди утечек присутствуют данные людей с аналогичными именами, датами и местами рождения. Однако средства массовой информации не смогли верифицировать информацию, предоставленную хакерами.

Пресс-служба CarMoney на своей странице в ВКонтакте сообщила о том, что был взломан «один из устаревших сайтов компании» и что личные данные клиентов и инвесторов не подверглись угрозе. Тем не менее для предотвращения последствий система была временно отключена на время проверки.

Основателем CarMoney является Эдуард Гуринович, который считает себя эксклюзивным партнером игры Hamster Kombat в России. СМИ, ссылаясь на издание «Собеседник», напоминают о том, что доля в CarMoney принадлежит Людмиле, бывшей жене президента Владимира Путина.

Специалисты «Лаборатории Касперского» обнаружили, что 31 декабря 2024 года киберпреступники запустили массовую кампанию по распространению криптомайнера XMRig через троянизированные версии популярных игр на торрент-сайтах. Операция StaryDobry продолжалась целый месяц.

Злоумышленники заранее создали вредоносные версии игр BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy и загрузили их на торрент-трекеры в сентябре 2024 года. Среди них были популярные симуляторы и песочницы, требующие минимального объема дискового пространства.

Криптомайнер, попадая на устройство, анализировал количество процессорных ядер и не запускался, если их было менее восьми. Кроме того, сервер для майнингового пула размещался в частной инфраструктуре, что затрудняло отслеживание доходов.

Кампания затронула пользователей и компании по всему миру, включая Россию, Бразилию, Германию, Беларусь и Казахстан.

Пытаемся разобраться, кто стоит за серией мем-токенов, связанных с «президентами».