Неизвестные факты: Слив переписки хакеров, утечка данных и новые угрозы в мире кибербезопасности

Мы подготовили обзор самых актуальных событий в области кибербезопасности за последнюю неделю.

11 февраля произошел инцидент, когда неизвестный инсайдер выложил в сеть архив внутренней переписки хакерской группировки Black Basta из приложения Matrix. О данном событии сообщили исследователи из PRODAFT.

Эти сообщения охватывают период с сентября 2023 года по сентябрь 2024 года и включают данные о криптокошельках, учетные записи жертв, а также подробности фишинговых атак и методов взлома.

Кроме того, в переписке упоминаются личности некоторых членов группировки, включая предполагаемого лидера Олега Нефедова (псевдонимы GG, AA, “Трамп”) и двух возможных администраторов под никами Lapa и YY.

Компания Hudson Rock обработала более миллиона полученных внутренний сообщений через ChatGPT и запустила открытый BlackBastaGPT для их анализа.

По оценкам экспертов, утечка данных могла произойти из-за внутреннего конфликта внутри группировки.

Кража данных, произошедшая в январе с американской компанией Gravy Analytics, привела к серьезной утечке информации пользователей по всему миру — от России до США. Брокер продавал данные о геолокации, которые были собраны с тысячами мобильных приложений.

Утекшая информация связанна с рекламными идентификаторами IDFA для iOS и AAID для Android, что может позволять отслеживать передвижения пользователей, а в некоторых случаях даже устанавливать их личность.

Исследователь Баптист Роберт в своем эксперименте проследил путь одного из пользователей от площади Колумбус-Серкл на Манхэттене до его дома в Теннесси, а на следующий день — до квартиры его родителей. Используя только данные OSINT, он узнал множество деталей о человеке, включая имя его матери и что его покойный отец служил в ВВС США.

Пример деанонимизации:
— 29 декабря, 19:08: замечен на площади Колумбус, Нью-Йорк.
— Позже: вернулся домой в город в Теннесси, где зарегистрирован бизнес по ремонту замков.
— На следующий день: посетил свою мать, Карол. Его отец был ветераном ВВС США и умер 3 года назад.

Да, вас можно отслеживать. pic.twitter.com/MtViWTbpgf

Утечка данных Gravy Analytics вызвала серьезные опасения по поводу защиты личных данных в сфере брокеров.

В Google Threat Intelligence Group сообщили, что российские хакеры активно пытаются взломать учетные записи Signal, используя метод обмана для привязки устройств. Пользователей обманом заставляют сканировать вредоносные QR-коды для синхронизации мессенджера с устройством злоумышленника.

Для проведения таких атак, фишинговые ссылки маскируют под приглашения в группы в Signal или инструкции по сопряжению устройств с легитимных источников.

Данный способ атаки опасен тем, что не требует полного контроля над устройством жертвы для перехвата защищенных разговоров.

Пользовательские Signal настоятельно рекомендуют обновить приложение до последней версии, которая включает улучшенные защитные механизмы против известных фишинговых атак, выявленных Google.

Хакеры из Северной Кореи, группа Lazarus, применили ранее неизвестный JavaScript-эксплойт под названием Marstech1 в атаках на разработчиков блокчейна, согласно заявлению специалистов из SecurityScorecard.

Вредоносное ПО встраивается в сайты и пакеты npm, связанные с различными проектами в области криптовалют. После проникновения на устройство жертвы, оно ищет расширения кошельков MetaMask, Exodus и Atomic Wallet в каталогах браузера Chromium и изменяет их настройки.

Marstech1 впервые был обнаружен в 2024 году, его жертвами стали как минимум 233 человека из США, Европы и Азии.

Исследователи смогли отследить вредоносное ПО до открытого репозитория на GitHub, созданного сейчас недоступным профилем SuccessFriend.

Взломщики из “Украинского киберальянса” заявили о компрометации инфраструктуры российской микрофинансовой компании CarMoney и получении доступа к данным множества заемщиков. Среди них есть сотрудники ГРУ, ФСБ и различные военные подразделения.

В качестве доказательства группировка опубликовала, среди прочего, два кредита, оформленных на имена военнослужащих Дмитрия Соловьева и Максима Вагина.

Telegram-канал «Агентство» провел анализ утечек и нашел информацию о людях с аналогичными именами, датами и местами рождения. Тем не менее, независимая проверка информации, представленная хакерами, так и не была осуществлена.

Пресс-служба CarMoney на странице во «ВКонтакте» оповестила, что взлом затронул «один из устаревших сайтов компании», и уверила, что личные данные клиентов и инвесторов не подверглись риску. Тем не менее, для «предотвращения последствий» компания приняла решение временно отключить все системы и провести мониторинг.

Основателем услуг кредитования CarMoney является Эдуард Гуринович, представляющий себя эксклюзивным партнером игры Hamster Kombat в России. Журналисты также упомянули, что доля в CarMoney принадлежит Людмиле, бывшей жене президента Владимира Путина.

Специалисты «Лаборатории Касперского» обнаружили, что 31 декабря 2024 года киберпреступники развернули кампанию массового распространения криптомайнера XMRig через троянизированные версии популярных игр, размещенные на торрент-сайтах. Атака, названная StaryDobry, длилась месяц.

Новый год не был единственным, кого #StaryDobry поразил.

31 декабря наши эксперты узнали о запущенной массовой инфекции, скрывающей #XMRig криптомайнеров под маской троянских игр. Со сложной цепочкой выполнения и попытками избежать обнаружения… pic.twitter.com/ZGdtKWD1Ni

Вредоносные версии игр BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy были подготовлены заранее и загружены на торрент-трекеры примерно в сентябре 2024 года. Среди скомпрометированных установок были востребованные симуляторы и игры с открытым миром, которые требуют минимального объема памяти.

После установки криптомайнер проверял количество ядер процессора и не активировался, если их трудилось меньше восьми. Также злоумышленники разместили сервер пула для майнинга в своей инфраструктуре, а не на публичной платформе, что усложняет отслеживание их доходов.

Атака затронула частных лиц и компании по всему миру, включая Россию, Бразилию, Германию, Беларусь и Казахстан.

Разберемся, кто на самом деле стоит за серией «президентских» мем-токенов.