Новости Заражение криптокомпаний через Telegram, «беспрецедентная» DDoS-атака на ВТБ и другие...

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• Хакеры атаковали биткоин-компании через Telegram.
• Ошибка в шифровальщике Cryptonite стирала файлы жертв без возможности восстановления.
• В ВТБ заявили о крупнейшей DDoS-атаке на свою инфраструктуру.
• Названы самые популярные заблуждения россиян относительно кибербезопасности.

Хакеры атаковали биткоин-компании через Telegram


Занимающиеся криптовалютными инвестициями компании стали жертвами неустановленных злоумышленников через Telegram-группы, используемые для связи с VIP-клиентами фирм. Об этом сообщили эксперты Microsoft Security Threat Intelligence.

Microsoft researchers investigated an attack targeting cryptocurrency investment companies. The threat actor, tracked as DEV-0139, identified and gained the trust of targets on chat groups to ultimately deploy a backdoor in the target network. Get details: https://t.co/qjoWE9yRFK

— Microsoft Security Intelligence (@MsftSecIntel) December 6, 2022​

По крайней мере одному из пострадавших хакеры представились сотрудниками биржи OKX и направили ему вредоносную Excel-таблицу под названием «Сравнение VIP-комиссий OKX Binance и Huobi.xls».


Данные: Microsoft Security Threat Intelligence.

После загрузки файла на компьютер жертвы устанавливались вредоносная DLL и бэкдор с XOR-кодированием, предоставляя хакерам доступ к системе.

Хотя Microsoft не приписала эту атаку какой-либо конкретной группе, компания Volexity ранее связала ее с хакерами Lazarus.

.@Volexity details novel tradecraft employed by #Lazarus to deploy #AppleJeus malware using Microsoft Office documents, cryptocurrency applications, and chained DLL side-loading. More details here: https://t.co/cJN2Wqmlfu#dfir #threatintel

— Volexity (@Volexity) December 1, 2022​

Microsoft уведомила клиентов, ставших жертвами этих атак, и поделилась информацией, необходимой для защиты их учетных записей.

В ВТБ заявили о крупнейшей DDoS-атаке на свою инфраструктуру


6 декабря представители ВТБ сообщили, что технологическая инфраструктура банка находится «под беспрецедентной кибератакой из-за рубежа».

Проблемы возникли в работе мобильных приложениях и веб-версии «ВТБ Онлайн».

Анализ DDoS-атаки показал ее спланированный и широкомасштабный характер. Как сообщается, большинство атакующих запросов сгенерированы в зарубежных сегментах интернета, однако часть вредоносного трафика поступила и с российских IP-адресов.

Банк намерен передать эту информацию в правоохранительные органы.

В ВТБ подчеркнули, что основные системы работают в штатном режиме, а данные клиентов защищены от внешнего вмешательства, так как находятся «во внутреннем периметре технологической инфраструктуры банка».

В компании признали инцидент крупнейшим за все время работы.

2 млн пользователей скачали вредоносы из Google Play под видом полезных утилит


Аналитики «Доктор Веб» нашли в Google Play набор вредоносных, фишинговых и рекламных приложений, которые суммарно загрузили более 2 млн человек.

Они распространялись под видом полезных утилит и оптимизаторов.

Одной из таких программ была TubeBox, якобы предлагавшая заработок на просмотре видеороликов и рекламы. По факту пользователи не могли вывести вознаграждение и все деньги забирали мошенники.


Данные: «Доктор Веб».

Среди других приложений:

• Bluetooth device auto connect (bt autoconnect group) — 1 млн загрузок;
• Bluetooth & Wi-Fi & USB driver (simple things for everyone) — 100 000 загрузок;
• Volume, Music Equalizer (bt autoconnect group) — 50 000 загрузок;
• Fast Cleaner & Cooling Master (Hippo VPN LLC) – 500 загрузок.

Эксперты «Доктор Веб» также обнаружили набор приложений, маскирующихся под инвестиционные программы от имени российских банков и сырьевых компаний. Все они были нацелены на хищение персональных данных. В среднем их загрузили по 10 000 раз.

Ошибка в шифровальщике Cryptonite стирала файлы жертв без возможности восстановления


Создатель вымогателя Cryptonite допустил ошибку в коде, из-за чего вредонос не шифровал, а уничтожал данные жертв. Об этом сообщили специалисты Fortinet.

Малварь через GitHub бесплатно распространял пользователь под ником CYBERDEVILZ. На момент написания код вредоноса и его форки уже удалены.

По данным исследователей, программа была очень простой: использовала модуль Fernet для шифрования файлов и заменяла их расширение на .cryptn8. Однако, начиная с последней версии, образец Cryptonite стал блокировал файлы без возможности восстановления.

В Fortinet предположили, что такое деструктивное поведение вряд ли предусматривалось разработчиком и связали это с его низкой квалификацией.

По их данным, ошибки в коде приводят к сбою программы при попытке отобразить записку с требованием выкупа.


Инициализация ключа шифрования. Данные: Fortinet.

Вместе с тем ключ, используемый для шифрования файлов, не передается оператору малвари. Таким образом доступ к файлам жертвы блокируется окончательно.

Данные сотрудников магазинов DNS утекли в сеть


Злоумышленник, ранее опубликовавший данные работников «Билайна», выложил в открытый доступ информацию о сотрудниках розничной сети магазинов электроники DNS из России и Казахстана. Об этом сообщает Telegram-канал «Утечки информации».


Данные: Telegram-канал «Утечки информации».

Текстовый файл с 150 444 записями содержит:

• ФИО;
• 104 820 уникальных адреса электронной почты на различных доменах DNS;
• дату рождения;
• пол;
• рабочий телефон;
• филиал компании;
• страну.

Данные актуальны на 19 сентября 2022 года.

Этот же хакер уже сливал персональную информацию клиентов DNS.

Названы самые популярные заблуждения россиян относительно кибербезопасности


Специалисты «Лаборатории Касперского» провели опрос среди 1008 респондентов с целью выяснить самые распространенные суеверия касательно цифровой безопасности.

75% опрошенных убеждены, что незнакомым людям нельзя говорить по телефону «Да» или «Нет». Якобы они могут записать разговор и использовать ответ, чтобы украсть деньги.

По мнению 60%, если сайт использует протокол HTTPS — это гарантия того, что он официальный.

57% считают достаточным откатить смартфон до заводских настроек для удаления всей информации на нем.

53% полагает, что во время подозрительных роботизированных обзвонов нельзя нажимать «1» или «2» в тональном режиме на смартфоне. Якобы это позволит злоумышленникам заразить устройство.

50% респондентов уверены, что если устройство не подключено к интернету, его невозможно заразить вирусами. Столько же россиян считают признаком взломанного аккаунта поступление на телефон или почту незапрашиваемых кодов подтверждения для авторизации.

32% думает, что режим «Инкогнито» в браузере обеспечивает полную анонимность в интернете.

Также на ForkLog:

• В РФ начали отслеживать недобросовестных владельцев биткоин-кошельков.
• Топ-менеджера «Финико» Эдварда Сабирова задержали в ОАЭ.
• Разработчики перезапустят кроссчейн-мост Nomad после взлома на $190 млн.
• В Украине раскрыли более 600 случаев нелегального использования цифровых активов.
• В ОБСЕ поделились деталями проекта по борьбе с преступным использованием криптовалют в Украине.
• Суд в США обнародовал обвинения против партнера OneCoin.
• Telegram запустил продажи анонимных номеров на Fragment.
• 16 аэропортов в США оснастили системой распознавания лиц.

Что почитать на выходных?


Проблема безопасности является одной из преград для массового распространения цифровых активов. Предлагаем к прочтению материал о том, как криптопроекты защищают своих пользователей.

https://forklog.com/bitkoin-birzhi-i-trendy-kiberbezopasnosti-spasut-li-audity-i-strahovanie-vashi-dengi

Новость Заражение криптокомпаний через Telegram, «беспрецедентная» DDoS-атака на ВТБ и другие события кибербезопасности на сайте CoinProject.info.