Коротко о главных событиях прошедшей недели.
В минувший понедельник на одной из крупнейших торговых площадок даркнета появился массив данных, включающий 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов, в том числе Dubsmash, MyFitnessPal, 500px, Armor Games, DataCamp и прочих. Продавец БД, некто под псевдонимом Gnosticplayers, запросил всего $20тыс. в биткойнах. Спустя несколько дней Gnosticplayers выставил на продажу второй архив, включающий 127 млн украденных учетных записей пользователей 8 сайтов, предлагая его по цене 4 биткойна (примерно $14,5 тыс.). О некоторых утечках данных уже было известно ранее, например, MyFitnessPal, однако многие стали сюрпризом не только для сообщества ИБ-специалистов, но и для самих пострадавших компаний.
После публикации массивов об утечке данных сообщили сразу несколько компаний, в том числе популярный фотохостинг 500px и образовательная платформа DataCamp. В первом случае вследствие утечки оказались скомпрометированы имена, логины, адреса электронной почты, хэши паролей, даты рождения, информация о месте проживания и поле пользователей, зарегистрированных до 5 июля или 5 июля 2018 года. Во втором в руки злоумышленников попали адреса электронной почты, логины, пароли, хешированные с помощью алгоритма bcrypt и, возможно, информация о местоположении и образовании, биография и личные фотографии.
Китайский разработчик системы распознавания лиц SenseNets не позаботился о должной защите своей базы данных, в результате чего в открытом доступе оказалась информация о более 2,5 млн жителей Китая, включая номера их идентификационных карт, адреса, даты рождения и места, где они были обнаружены системой SenseNets.
Один из крупнейших мальтийских коммерческих банков Bank of Valletta был вынужден прекратить свои операции в связи с кибератакой. Неизвестные взломали системы финорганизации и перевели 13 млн евро на зарубежные счета. Злоумышленники пытались перевести деньги на счета в Великобритании, США, Гонконге и Чехии, однако их действия были замечены уже через 30 минут. Предположительно, кибератака проводилась из-за рубежа.
Злоумышленники эксплуатируют уязвимость в коммерческом плагине “WP Cost Estimate & Payment Forms Builder” для WordPress с целью компрометации и внедрения бэкдоров на сайты, работающие под управлением данной CMS. Киберпреступники используют взломанные сайты для перехвата входящего трафика с целью его переадресации на другие ресурсы.
Вечером 14 февраля в социальной сети «ВКонтакте» в различных сообществах начала появляться одна и та же запись. В ней говорилось о том, что в сообщениях в соцсети появилась реклама. По имеющимся данным, рассылку организовало сообщество тестировщиков, таким образом отомстивших администрации социальной платформы за невыплату вознаграждений за поиск уязвимостей.
Киберпреступники заражают рабочие станции клиентов поставщиков удаленных услуг вымогательским ПО GandCrab. Для достижения цели атакующие эксплуатируют старую уязвимость в плагине Kaseya для профессионального решения по автоматизации сервисов ConnectWise Manage, который используют многие MSP. Атаки начались две недели назад. От действий злоумышленников уже пострадал по меньшей мере один поставщик – атакующие взломали сеть провайдера и заразили вымогателем GandCrab системы 80 его клиентов.
Неизвестные взломали расположенные в США серверы почтового провайдера VFEmail и удалили все хранящиеся на них данные пользователей. Как сообщили представители сервиса, атакующие отформатировали все диски на каждом сервере, в результате были потеряны все виртуальные машины, резервные копии и файловые серверы. При этом злоумышленники не оставили требование о выкупе. Судя по всему, целью атаки являлось именно уничтожение данных.
