Новости Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• Uber столкнулась с утечкой из-за взлома стороннего поставщика.
• Бывший участник банды-вымогателей URSNIF в качестве мести раскрыл личности подельников.
• Серверы Minecraft атаковал ботнет MCCrash.
• Государственные сайты Украины взломали с помощью лжеустановщиков Windows 10.

Uber столкнулась с утечкой из-за взлома стороннего поставщика


Uber расследует инцидент со взломом стороннего поставщика трекинговых услуг Teqtivity, который привел к утечке данных из компании.


Данные: RestorePrivacy.com.

В открытый доступ попали более 77 000 адресов электронной почты сотрудников, отчеты об управлении IT-активами, имена входа в домен Windows, а также другие сведения, включая предполагаемый исходный код платформы управления мобильными устройствами, используемыми Uber и Uber Eats.

В Teqtivity предположили, что хакер смог получить доступ к серверу резервного копирования Teqtivity AWS, на котором хранились исходники и файлы данных, относящиеся к ее клиентам.

При этом, по словам поставщика, он «не собирает и не хранит конфиденциальную информацию, включая реквизиты банковских счетов или государственные идентификационные номера».

Компания проводит расследование с привлечением правоохранителей.

По мнению Uber, форум, на котором был выложен архив с данными, относится к хакерской группе Lapsus$. Ее члены несут ответственность за сентябрьский взлом внутренней сети Uber и сервера Slack. Однако компания не обнаружила связь Lapsus$ с новым инцидентом и не заметила вредоносного доступа к своим системам.

Анализ утечки показал, что она связана с внутренней корпоративной информацией Uber и не включает ни одного из ее клиентов. Тем не менее утекшие данные содержат достаточно информации для проведения целевых фишинговых атак в отношении сотрудников компании.

Серверы Minecraft атаковал ботнет MCCrash


Исследователи Microsoft обнаружили гибридный Windows/Linux ботнет MCCrash, который выводит из строя серверы Minecraft, а также выполняет DDoS-атаки на другие платформы.

New blog post: A cross-platform botnet that Microsoft tracks as DEV-1028 originates from malicious software downloads on Windows devices, propagates to Linux-based devices, and launches DDoS attacks against private Minecraft servers. Details here: https://t.co/hIB23TfBpc

— Microsoft Security Intelligence (@MsftSecIntel) December 15, 2022​

Название ботнета происходит от одной из исполняемых им команд: ATTACK_MCCRASH. Она вызывает аномальное потребление системных ресурсов сервера и ведет к его сбою.

В дальнейшем MCCrash пытается запустить на устройстве жертвы вредоносный скрипт malware.py, чтобы сделать его частью ботнета.

На данный момент вредонос запрограммирован только для атак на версию 1.12.2 серверного ПО Minecraft. Однако описанный метод также эффективен против версий 1.7.2–1.18.2, на которых работает около половины всех существующих серверов Minecraft.

«Если вредоносное ПО будет обновлено для атак на все уязвимые версии, его охват может стать значительно шире», — предупредили в Microsoft.
​

Аналитики установили, что большинство зараженных устройств находится в России. Точное число пострадавших систем не приводится.

Австралийку приговорили к 5,5 годам тюрьмы за мошенничество с удостоверениями личности на $3,3 млн


24-летняя жительница Мельбурна, арестованная в 2019 году за кражу личных данных, получила 5,5 лет тюрьмы. Об этом сообщили в Австралийской федеральной полиции (AFP).

Женщина признала вину в ноябре 2021 года.

По данным AFT, она была частью международного преступного синдиката, занимавшегося крупномасштабными киберпреступлениями. Подсудимая похитила не менее $3,3 млн и отмыла еще $2,5 млн. Помимо этого, преступники пытались украсть у своих жертв $7,5 млн.

Фигурантка покупала похищенные личные данные реальных людей в даркнете и с помощью фиктивных SIM-карт подделывала адреса электронной почты для «захвата личных данных».


Данные: AFP.

В дальнейшем мошенники использовали эти личности, чтобы открыть более 60 банковских счетов в различных австралийских финансовых учреждениях, а затем украли деньги с пенсионных и торговых счетов жертв.

Похищенные средства перенаправлялись контактному лицу в Гонконге, который приобретал и перепродавал предметы роскоши. Часть отмытой суммы вернулась в Австралию в криптовалютах.

Бывший участник банды-вымогателей URSNIF в качестве мести раскрыл личности подельников


Пользователь Twitter под ником URSNIFleak, утверждающий, что он бывший участник группировки вымогателей URSNIF, раскрыл реальные личности трех подельников в серии твитов. Об инциденте сообщили на BreachForums.

Хакер опубликовал фрагменты чатов переписки группировки и скриншоты исходного кода некоторых вредоносных программ URSNIF. В сообщениях помимо прочего обсуждались отмывание денег и ситуация в Украине.

Мотив — месть и попытка шантажа вымогателей. Аккаунт URSNIFleak перестал публиковать новый контент только после того, как лидер банды под псевдонимом CAP заплатил ему за молчание.

В последнем твите перед удалением аккаунта хакер написал:

«Я только что заработал больше денег за одну неделю, чем за годы. Платите работникам правильно и у них не будет причин сливать дерьмо».
​

Эксперты предполагают, что раздор произошел на почве не самых успешных операций по вымогательству.

Исследователи обнаружили ботнет, нацеленный на WordPress-сайты


Написанная на языке Go малварь GoTrim сканирует интернет в поисках WordPress-сайтов и пытается брутфорсом подобрать пароль администратора, чтобы получить контроль над ресурсом. Об этом сообщили специалисты Fortinet.

#FortiGuardLabs encountered an unreported CMS scanner and brute forcer written in the Go programming language. Read our analysis of the #malware and how this active botnet scans and compromises websites https://t.co/a0RcNCDGYp pic.twitter.com/ZsOQsq5gMq

— FortiGuard Labs (@FortiGuardLabs) December 14, 2022​

Первые атаки ботнета зафиксированы в конце сентября. Несмотря на продолжающуюся разработку, вредонос уже обладает мощными возможностями.

Он подключается к каждому сайту и пытается взломать учетные записи администраторов, перебирая логины и пароли из предоставленного операторами списка.

В случае успеха GoTrim передает информацию о новом заражении на управляющий сервер. Затем малварь извлекает бот-клиент с жестко заданного URL-адреса, после чего удаляет из зараженной системы скрипт и брутфорс-компонент.


Данные: Fortinet.

Управляющий сервер с помощью ботнета может удаленно:

• проверить предоставленные учетные данные для доменов WordPress и OpenCart;
• обнаружить установки CMS WordPress, Joomla!, OpenCart или Data Life Engine в домене;
• ликвидировать малварь.

Если целевой сайт использует плагин CAPTCHA для борьбы с ботами, GoTrim загружает соответствующий решатель.

Стараясь избежать внимания команды безопасности WordPress, ботнет не атакует сайты, размещенные на WordPress.com, нацеливаясь только на порталы с собственными серверами.

Подобный взлом может привести к развертыванию вредоносного ПО, внедрению сценариев кражи кредитных карт, размещению фишинговых страниц и другим атакам, потенциально затрагивающим миллионы людей в зависимости от популярности взломанных сайтов.

Государственные сайты Украины взломали с помощью лжеустановщиков Windows 10


Украинские правительственные учреждения оказались скомпрометированы с помощью троянских ISO-файлов, выдающих себя за легитимных установщиков Windows 10. Об этом сообщили эксперты Mandiant.

https://twitter.com/Mandiant/status/1603518766654144512

Зараженные троянами ISO-образы Windows 10 распространялись через торрент-обменники.

Установщики доставляли на взломанные компьютеры вредоносное ПО, способное собирать и выгружать данные на серверы злоумышленников.

После первоначальной разведки хакеры также развернули бэкдоры Stowaway, Beacon и Sparepart, которые позволили им поддерживать доступ к скомпрометированным системам, выполнять команды, передавать файлы и красть информацию, включая нажатия клавиш.

По заявлению Mandiant, атакованные в ходе этой кампании организации ранее были в списке целей государственных хакеров APT28, связанных с российской военной разведкой.

Вымогатели LockBit атаковали Департамент финансов Калифорнии


Департамент финансов Калифорнии подвергся кибератаке, ответственность за которую взяла банда вымогателей LockBit.

Управление экстренных служб губернатора штата подтвердило инцидент, отметив, что атака не затронула бюджетные средства. Масштабы утечки в ведомстве не уточнили.

По словам хакеров LockBit, они получили доступ к 75,3 ГБ данных, включая конфиденциальную информацию, финансовые и IT-документы.

На сайте утечек банды размещен счетчик. Они угрожают опубликовать все файлы, если не получат выкуп до 24 декабря.


Данные: Bleeping Computer.

Калифорнийский центр интеграции кибербезопасности начал расследование кибератаки.

Данные участников программы InfraGard от ФБР выставили на продажу за $50 000


Хакер USDoD выдал себя за главу неназванного финансового учреждения и обманом получил доступ к базе данных информационно-просветительской программы ФБР InfraGard, насчитывающей более 80 000 участников. Об этом сообщает KrebsOnSecurity.

InfraGard является доверенной сетью обмена информацией о киберугрозах с крупнейшими представителями частного сектора из числа критически важных инфраструктур США, в том числе работающих в атомной энергетике.

База данных выставлена на продажу за $50 000.

Хакер сообщил KrebsOnSecurity, что получил доступ к системе, подав заявку на регистрацию новой учетной записи. Для этого он использовал личные данные и номер соцстрахования главного исполнительного директора неназванной компании, которая соответствует условиям членства в программе ФБР.

От его же лица USDoD общался с участниками портала InfraGard.


Данные: KrebsOnSecurity.

Пользовательские данные хакер получил через API, встроенный в несколько ключевых компонентов сайта.

В качестве гаранта сделки по продаже базы взломщик назначил главного админа BreachForums под ником Pompompurin. Эксперты предполагают, что утечка может быть частью более крупной цели хакера.

Представители ФБР подтвердили, что им известно о потенциально фейковой учетной записи на портале InfraGard. Проводится расследование.

Также на ForkLog:

• AMM-протокол Raydium на базе Solana подвергся взлому.
• The Tor Project не смогла оспорить блокировку сайта в РФ.
• Биржа Gemini сообщила об утечке пользовательских данных.
• CEO FTX обвинил экс-топов в хранении приватных ключей без шифрования.
• SEC обвинила Сэма Бэнкмана-Фрида в мошенничестве с помощью FTX.
• В Китае арестовали 63 подозреваемых в отмывании $1,7 млрд через USDT.
• КНР запретил «угрожающие нацбезопасности» дипфейки.
• В даркнете появились услуги по выводу заблокированных активов с биткоин-бирж.
• В 3Commas опровергли утечку API-ключей пользователей.

Что почитать на выходных?


В этом материале мы рассказываем, что может угрожать безопасности майнеров и как этого избежать.

https://forklog.com/exclusive/kak-obespechit-konfidentsialnost-i-bezopasnost-pri-majninge-bitkoina

Новость Месть хакера из URSNIF, атака на серверы Minecraft и другие события кибербезопасности на сайте CoinProject.info.