(Не) безопасный дайджест: кибератака на Dr. Web, облачная утечка Fortinet, шантаж от сотрудника

ccc10a6c258da3095064ad881232ce07.png

Подоспела подборка громких ИБ-инцидентов, которые произошли или стали известны в прошлом месяце. В сентябре прогремели: атаки на ИБ-вендоров, утечки в известных отечественных компаниях, а также слив данных миллионов американцев в открытый доступ.

Инженер наоборот

Что случилось: сотрудник заблокировал сервера работодателя и потребовал выкуп.

Как это произошло: 25 ноября 2023 года сотрудники неназванной американской компании получили email с заголовком «Ваша Сеть Была Взломана» (Your Network Has Been Penetrated). В письме было сказано, что все ИТ-администраторы лишились доступа к своим учеткам, а бэкапы серверов были уничтожены.

Еще в письме была угроза. Неизвестный обещал ежедневно отключать по 40 случайных серверов компании в течение 10 дней, если ему не выплатят 20 биткоинов (на тот момент ~$750 тыс.).

В ходе расследования, которое координировало ФБР, выяснилось, что злоумышленником был 57-летний Дэниел Райн. Он работал в той же неназванной компании на должности инженера.

Используя знание компании и ее систем, он заблокировал 254 корпоративных Windows сервера. Ни админы, ни пользователи банально не могли зайти в систему, т.к. учетки были либо удалены, либо имели пароль, отличный от предыдущего. Доступа к бэкапам тоже не было, Райн их удалил.

Попался злоумышленник на поиске информации. В ФБР установили, что Райн использовал скрытую виртуальную машину и личный ноутбук, чтобы узнать, как стирать учетные записи, очищать логи Windows и изменять пароли для пользователей домена с помощью командной строки.

В итоге Райну предъявлено множество обвинений, которые по совокупности могут привести к 35 годам лишения свободы, а также к штрафу в $750 тыс.

Forte? Net

Что случилось: ИБ-вендор Fortinet стал жертвой кибератаки

Как это произошло: 12 сентября неизвестный заявил о взломе Fortinet. В посте на теневом форуме он сообщил, что получил 440 ГБ данных из Sharepoint сервера компании. Еще хакер оставил «креды» для входа в объектное хранилище, в котором якобы находится все украденное, и сообщил, что пытался шантажировать Fortinet, но получил отказ.

В тот же день ИБ-гигант подтвердил утечку, сообщив, что «физическое лицо получило несанкционированный доступ к небольшому количеству клиентских данных, которые хранились на экземпляре стороннего облачного файлового хранилища».

Также в пресс-релизе, опубликованном на сайте Fortinet, говорится, что «инцидент затронул менее 0,3% нашей клиентской базы и что он не был связан с шифрованием данных и доступом к корпоративной сети компании, а также не привел к каким-либо вредоносным действиям, нацеленным на клиентов».

Ворота пройдены

Что случилось: в страховой компании «Спасские ворота» произошла утечка данных

Как это произошло: 16 сентября исследователи обнаружили в открытом доступе дамп базы данных страховой компании «Спасские ворота». Он включал в себя номера телефонов, адреса email, хешированные пароли и логи обращения к API на сервере spasskievorota.ru.

Также о принадлежности слитой базы к страховой компании говорит формат дампа. Он совпадает с форматом ранее утекших баз других страховых компаний. На момент публикации «Спасские ворота» не давали никаких комментариев, но от пресс-службы РКН стало известно, что страховая направила соответствующее уведомление об утечке.

Вложились в силу, а не ИБ

Что случилось: утекли данные клиентов сети фитнес-клубов WorldClass

Как это произошло: в сентябре исследователи обнаружили резервную копию базы данных компании WorldClass в открытом доступе. Она весила больше 146 ГБ и содержала чувствительную информацию: ФИО, адрес проживания, паспортные данные, телефон и email адрес, а также банковские реквизиты и частичный номер банковской карты для некоторых из клиентов.

Компания пока никак не отреагировала на инцидент, но актуальность слитой базы уже была подтверждена данными из прошлой утечки. Напомним, что тогда сотрудник унес клиентские данные на новое место работы.

Не дорожат тем, что получили бесплатно

Что случилось: данные 100 млн американцев оказались в открытом доступе

Как это произошло: компания MC2 Data занимается проверкой «бэкграунда». Собирает и компилирует информацию о людях из общедоступных источников, чтобы составить профиль человека. В нем находится вся информация о судимостях, местах работы, родственниках и т.д. Такие профили используют арендодатели и сотрудники СБ/ИБ, чтобы понять — можно сотрудничать с человеком или нет.

Недавнее расследование показало,  что база данных MC2 Data размером в 2.2 ТБ с более чем 106 млн записей находилась в открытом доступе в интернете без пароля. По оценкам экспертов, утечка затронула данные 100 млн американцев. В ней находилось много разной информации, начиная от базовых ФИО и адресов email, заканчивая правовыми документами и записями о недвижимости. База была обнаружена 7 августа, и сколько она «провисела» открытой неизвестно.

На данный момент доступ к базе данных закрыт, а официальной информации от компании пока нет, но предположительно такой инцидент может произойти из-за человеческого фактора и неверной конфигурации системы.

Больничный для доктора

Что случилось: Dr.Web подвергся хакерской атаке.

Как это произошло: 14 сентября специалисты Dr.Web зафиксировали целевую атаку на свои ресурсы. По информации из корпоративного блога инцидент был быстро обнаружен и «взят под контроль».

Тем не менее, 16 сентября компания зафиксировала «признаки внешнего неправомерного воздействия на IT-инфраструктуру» и «оперативно отключила серверы, чтобы запустить процесс всесторонней диагностики». Это остановило выпуск обновлений вирусных баз Dr.Web более чем на полтора дня. В итоге инцидент был оперативно устранен, а никто из пользователей Dr. Web не пострадал.

Бингануло

Что случилось: криптовалютная биржа BingX потеряла $44 млн в результате кибератаки.

Как это произошло: 9 сентября специалисты по блокчейн-безопасности заметили подозрительную активность — с биржи BingX выводятся миллионы долларов. Как оказалось позже, это была кибератака, которую владельцы биржи попытались скрыть. Они написали в соцсетях о временном отключении из-за «обслуживания кошелька», но позже признали «аномальный доступ к сети, потенциально указывающий на хакерскую атаку на горячий кошелек BingX».

В ответ на атаку компания начала переводить активы и приостановила вывод средств, а также заявила о том, что «произошла незначительная потеря активов, но сумма небольшая и в настоящее время подсчитывается». Однако несколько компаний, в том числе SlowMist, нанятая биржей для аудита, выяснили, что сумма украденного явно серьезнее «небольшой» и варьируется от $44 до $48 млн.

В последствии биржа привлекла специалистов по криптовалютной безопасности, чтобы отследить передвижения украденной валюты. Еще примечательно, что BingX предложила хакеру, взломавшему их, пойти на сотрудничество: перечислить все украденные средства обратно, и тогда BingX прекратит любые преследования, а в качестве благодарности предложит 10% от украденных активов.

Беда приходит одна?

Что случилось: хакер получили доступ к конфиденциальным данным Dell.

Как это произошло: 19, 22 и 25 сентября один и тот же хакер выложил на теневой форум три поста с данными компании Dell. Изначально хакер утверждал, что данные взяты из разных взломов, но позже признался, что взлом был только один и он «стратегически сливает данные по частям».

В первом посте были выложены данные почти 11 тыс. сотрудников: полные имена, рабочие статусы и ID. Во втором было 3,5 ГБ разных несжатых данных: таблицы данных Jira, схемы миграции, сведения о конфигурации систем, учетные данные пользователей, информация об уязвимостях в ПО и проблемах в процессе разработки и т.д. В последнем посте находилось почти 500 МБ изображений, PDF, видео, проектных документов, данных MFA и т.д.

После первого инцидента компания Dell сообщила, что ей известно о проблеме и начала расследование. Однако, на вопросы о последующих взломах комментариев не последовало.

ИБ-совет месяца: осенний бизнес-сезон в самом разгаре, а значит пора запасаться чаем с лимоном и продолжать трудиться: создавать политики, расследовать инциденты, формировать и согласовывать бюджет на следующий год. Последнее может стать задачей «со звездочкой» для многих ИБ-специалистов, так как бизнес и безопасность не всегда говорят на одном языке.

Узнать, как найти этот общий язык, связать бизнес-цели и пользу ИБ, можно на практической конференции RoadShow в вашем городе. Эксперты-практики расскажут, как системы защиты, помимо основных задач, экономят деньги, сохраняют кадры и повышают эффективность компании.

© Habrahabr.ru