Киберпреступность , Борьба с мошенничеством и киберпреступность , Программы-вымогатели
Также: Хакеры Скрудж The North Face Праздничные поставки
Праджит Наир (англ.@prajeetspeaks) •
21 декабря 2023 г.
Каждую неделю Information Security Media Group освещает инциденты и нарушения кибербезопасности по всему миру. На этой неделе: MongoDB заявила, что за несанкционированным доступом к ее корпоративной среде стояло фишинговое письмо, производитель одежды VF Corp. заявили, что хакеры нарушили доставку в праздничные дни, британский оператор энергосистемы National Grid отказался от китайского поставщика, власти Германии расправились с криминальным онлайн-базаром, власти США выпустили рекомендацию по группе программ-вымогателей Play, а правоохранительные органы по всему миру работали вместе, чтобы атаковать киберпреступность, арестовывая 3500 и конфисковав 300 миллионов долларов США.
Обновление об инциденте безопасности в MongoDB
MongoDB, производитель систем управления базами данных, в субботу объявила о начале расследования инцидента безопасности, связанного с несанкционированным доступом к определенным корпоративным системам, что привело к раскрытию метаданных учетных записей клиентов и их контактных данных.
Смотрите также: По запросу | Понимание человеческого поведения: решение проблемы АТО и предотвращения мошенничества в розничной торговле
Компания заявила, что немедленно инициировала процесс реагирования на инцидент после обнаружения несанкционированного доступа к корпоративным системам 13 декабря. Вторжение «требуется некоторое время, прежде чем оно будет обнаружено», заявили в компании. В результате инцидента были раскрыты метаданные учетной записи клиента и контактная информация.
Компания неоднократно заявляла, что не обнаружила никаких доказательств несанкционированного доступа к кластерам MongoDB Atlas или системе проверки кластеров Atlas. В среду компания заявила, что хакер использовал фишинговую атаку, чтобы получить доступ к корпоративной среде.
Инцидент со взломом нарушил поставки North Face и других брендов
Производитель парусиновой обуви и верхней одежды VF Corp. сообщила в понедельник, что инцидент с хакерством лишил ее возможности выполнять заказы на праздничные покупки.
Производитель одежды и обуви из Колорадо, в который входят Vans, Supreme, The North Face и Timberland, сообщил в пятницу федеральным регулирующим органам США, что 13 декабря он обнаружил злоумышленника в своих цифровых системах. В компании заявили, что хакеру удалось зашифровать некоторые ИТ-системы и украсть данные, в том числе персональные.
Розничные магазины компании работают в обычном режиме, и потребители могут размещать онлайн-заказы на большинство брендов компании, говорится в сообщении. «Однако способность компании выполнять заказы в настоящее время ограничена».
Представитель не уточнил, получала ли корпорация требование выкупа. Новости о подаче заявления резко снизили цену акций в первые часы торгов на этой неделе, закончившись в понедельник падением акций на 7%, хотя в середине недели цена акций несколько восстановилась.
Компания объявила об инциденте в тот же день, когда Комиссия по ценным бумагам и биржам США вступила в силу предписание крупным и средним публичным компаниям раскрывать «существенные инциденты кибербезопасности» в течение четырех рабочих дней с момента определения существенности. У малых предприятий есть дополнительные 180 дней, прежде чем они должны будут выполнить это правило (см.: SEC проголосовала за требование раскрытия информации о существенных событиях в течение 4 дней).
Денверская компания заработала в прошлом году доход в $11,6 млрд и владеет 12 брендами, включая рюкзаки JanSport и спортивную одежду Dickies.
Британская National Grid отказывается от китайского поставщика
Британский оператор электросетей National Grid начал удаление компонентов, поставляемых британской дочерней компанией китайской Nari Technology Co. из сети вещания, сообщает Financial Times.
Решение, принятое в апреле после того, как National Grid проконсультировалась с Национальным центром кибербезопасности, было мотивировано проблемами кибербезопасности, что подчеркивает растущие опасения Запада по поводу участия китайских технологий в уязвимостях критической инфраструктуры.
В газете говорится, что британское правительство в 2022 году дважды использовало новые полномочия, позволяющие ему ограничивать прямые иностранные инвестиции, вмешиваясь с целью ограничить участие китайских компаний в электросети Великобритании.
В 2020 году Великобритания запретила оборудование китайского производителя Huawei после давления со стороны США, которые поместили производителя телекоммуникационного оборудования из Шэньчжэня в черный список национальной безопасности (см.: Федеральная комиссия по связи (FCC) оставила в силе решение о том, что Huawei представляет угрозу национальной безопасности).
Сайт даркнета Рынок Королевства закрыт
Федеральное управление уголовной полиции Германии и прокуратура Франкфурта ликвидировали даркнет-рынок Kingdom Market. Власти Германии заявили в среду, что на криминальном базаре было выставлено на продажу более 42 000 товаров.
Англоязычный нелегальный центр, действующий с марта 2021 года, является центром обмена наркотиками, вредоносным ПО и поддельными документами. На торговой площадке зарегистрированы десятки тысяч клиентов и несколько сотен аккаунтов продавцов.
Федеральная прокуратура США арестовала гражданина Словакии по имени Алан Билл, также известного как «Vend0r» и «Чиновник королевства», и обвинила его в помощи в создании и управлении Kingdom Market. В отредактированном обвинительном заключении, обнародованном в среду, Биллу предъявлено обвинение в 10 уголовных преступлениях, включая распространение контролируемых веществ, кражу личных данных и заговор с целью отмывания денег. Прокуроры в четверг попросили федерального судью не освобождать Билла до суда, назвав жителя Братиславы риском побега.
Десятки тысяч клиентов и сотни продавцов совершали транзакции с использованием таких криптовалют, как Bitcoin, Litecoin, Monero и Zcash. Операторы получали комиссию в размере 3% за обработку продаж нелегальных товаров на платформе.
Немецкие власти заявили, что работают с коллегами из США, Швейцарии, Молдовы и Украины над демонтажем объекта.
Участники игры, занимающиеся вымогательством, нацелены на около 300 организаций
Согласно сообщению, полученному в понедельник правоохранительными органами США и Австралии, а также кибер-агентствами, злоумышленники, стоящие за программой-вымогателем Play, также известной как Playcrypt, атаковали около 300 организаций в Северной Америке, Южной Америке и Европе.
Тактика Playcrypt, действующая как закрытая группа, включает в себя злоупотребление действительными учетными записями для получения первоначального доступа и модель двойного шантажа, в которой жертвы вынуждены связываться с злоумышленниками по электронной почте, что добавляет атаке психологический аспект.
Группа вымогателей Play несет ответственность за кибератаки на город Окленд, атаку на судебную систему Кордовы в Аргентине и немецкую сеть отелей H Hotels. TrendMicro заявила, что деятельность группы очень похожа на деятельность групп, занимающихся вымогательством Hive и Nokoyawa, что предполагает возможную связь.
Группа также эксплуатирует уязвимости в общедоступных приложениях, такие как известные уязвимости в FortiOS, отслеживаемые как CVE-2018-13379 и CVE-2020-12812. Он также использовал уязвимость Microsoft Exchange, известную как ProxyNotShell, отслеживаемую как CVE-2022-41040 и CVE-2022-41082.
Сложные методы группы распространяются на обнаружение и уклонение от обнаружения с использованием таких инструментов, как AdFind и Grixba, для запросов Active Directory и онлайн-списков.
Участники Playcrypt используют ряд инструментов, таких как GMER и IObit, для отключения антивирусного программного обеспечения и удаления журналов, а также отдают предпочтение сценариям PowerShell, ориентированным на Microsoft Defender.
Операция Хэчи IV под руководством Интерпола
Правоохранительные органы 34 стран объединили свои усилия для операции «Хэчи IV», в результате которой было арестовано 3500 человек и конфисковано украденных средств на сумму 300 миллионов долларов. Шестимесячная операция была нацелена на семь киберугроз, в том числе «голосовой фишинг, романтическое мошенничество, онлайн-вымогательство, инвестиционное мошенничество, отмывание денег, связанных с незаконными азартными играми в Интернете, мошенничество с коммерческими расчетами по электронной почте и мошенничество в электронной коммерции».
Сотрудничество между филиппинскими и корейскими властями привело к аресту известного преступника, занимающегося азартными онлайн-играми, в Маниле после двухлетнего розыска. Интерпол заявляет, что в ходе операции были заблокированы 82 112 подозрительных банковских счетов, что привело к конфискации 199 миллионов долларов в твердой валюте и 101 миллион долларов в виртуальных активах.
Интерпол работал вместе с различными поставщиками услуг виртуальных активов, которые помогли выявить 367 счетов виртуальных активов, связанных с транснациональной организованной преступностью. Расследование продолжается, поскольку правоохранительные органы по всему миру замораживают эти активы.
Об этом сообщает Михир Багве из Information Security Media Group в Мумбаи, Индия.
