10 июля 2020 г.
«Рексофт» предлагает подборку мировых ИБ-инцидентов. Подборка не претендует на полноту картины, в обзоре представлены лишь те инциденты, которые показались специалистам «Рексофт» наиболее интересными.
Автозаправочные станции в Санкт-Петербурге
Мошенники взламывали серверы автозаправочных станций в Санкт-Петербурге и похищали топливо.
Всего им удалось выполнить 417 бесплатных заправок на 15 автозаправочных комплексах и украсть более 2 млн рублей. Для осуществления противоправной деятельности использовалась вредоносная программа, которая дестабилизировала работу серверов на АЗС. В результате сразу после заправки необходимого количества топлива оплаченные денежные средства автоматически возвращались на банковскую карту одного из преступников.
Похищенное топливо злоумышленники заливали в грузовой автомобиль «Газель» с баком на 1 тыс. литров, а затем перепродавали в местах стоянки большегрузного автотранспорта.
LG Electronics
Хакерская группировка Maze, сообщила об успешной атаке на компанию LG Electronics.
В опубликованном пресс-релизе киберпреступники предупреждают, чтобы компания не пыталась восстановить утерянные данные. Для доказательства взлома к пресс-релизу приложены скриншоты со списком файлов прошивок и исходных кодов и sql-дамп одной из баз данных компании.
Honda
Компания Honda сообщила, что стала жертвой кибератаки с использованием ПО «вымогателя», Инцидент повлиял на некоторые операции компании, включая работу производственных систем за пределами Японии.
По предварительным данным, один из внутренних серверов компании был заражен вымогательским ПО Snake. Эта программа блокирует используемые на промышленных предприятиях АСУ от General Electric.
Исследователи обнаружили на VirusTotal образец ПО Snake, который проверяет доменное имя компании Honda «mds.honda.com». Если доменное имя не удается разрешить (определить IP-адрес), работа вымогателя завершается без шифрования каких-либо файлов. По мнению исследователей, это может указывать на целенаправленные действия злоумышленников.
Telegram
В сети появилась база с данными нескольких миллионов пользователей мессенджера Telegram, ее объём составляет примерно 900 Мб.
В пресс-службе Telegram подтвердили факт существования базы, пояснив, что информация собирается через встроенную функцию импорта контактов еще при регистрации пользователя. Представители компании добавили, что ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор.
Сотрудники пресс-службы также подчеркнули, что большинство «слитых» аккаунтов уже неактуальны, а меры, предпринятые компанией в 2019 году, помогают не «светить» свой номер.
Elexon
Киберпреступники из группировки REvil опубликовали на своей странице конфиденциальные данные электроэнергетической компании Elexon, похищенные во время кибератаки 14 мая 2020 года. Опубликованные данные включают 1280 файлов, в том числе паспорта сотрудников Elexon и конфиденциальную информацию компании.
Злоумышленники использовали уязвимость CVE-2019-11510 в устаревшей версии SSL VPN-сервера Pulse Secure, который использовала компания. Предположительно, компания отказались выполнять требования вымогателей и восстановила IT-инфраструктуру из резервных копий. После этого злоумышленники опубликовали конфиденциальную информацию компании.
Postbank
В результате действий инсайдера, похитившего мастер-ключ в одном из центров обработки данных, южноафриканскому Postbank придётся заменить более 12 млн банковских карт. За случившимся стоят собственные сотрудники банка.
Postbank будет вынужден перевыпустить все карты клиентов, когда-либо сгенерированные с помощью этого мастер-ключа. В банке полагают, что это обойдется примерно 58 млн долларов. Заменить придется как обычные платежные карты, так и социальные карты для получения государственных социальных пособий.
Claire и Intersport
Хакерская группировка, которая занимается веб-скиммингом (также известен как Magecart), взломала online-магазины сетей розничной торговли — Claire и Intersport и внедрили вредоносный код, который записывал данные платежных карт, введенные в кассовые формы.
Встроенный киберпреступниками код перехватывал все вводимые в формы пользовательские данные и отправлял на сервер claires-assets(.)com. Домен был зарегистрирован за четыре недели до начала атак специально для этой вредоносной кампании.
Источник: Пресс-служба компании «Рексофт»