Делимся новой подборкой ИБ-инцидентов. Сегодня расскажем про громкие новости июня: как один клик остановил работу медкомпании, как маркетологи продавали данные хакерам и как утекали данные крупнейших компаний мира.
Это снежинка? Нет, это утечка
Что случилось: крупнейший облачный провайдер Snowflake стал жертвой кибератаки
Как это произошло: неизвестные хакеры взломали Snowflake и получили данные их клиентов. Точное количество пострадавших пока неизвестно. Но предположительно эта утечка может стать одной из крупнейших в истории, так как услугами компании пользуются крупнейшие мировые компании: AT&T, HP, Mastercard и др.
На данный момент хакеры используют украденные логины и пароли клиентов для получения доступа к их облачным аккаунтам без многофакторной аутентификации. По данным СМИ подобных аккаунтов минимум 160. Данные некоторых клиентов, таких как Santander, Ticketmaster и Advance Auto Parts уже были выставлены на продажу.
Изначально Snowflake опровергла взлом и даже потребовала от ИБ-компании Hudson Rock удалить отчёт, утверждающий, что облачный провайдер стал жертвой кибератаки. Позже компания все же признала факт утечки из-за компрометации учетных данных сотрудников посредством инфостилеров.
Двухнедельный перерыв
Что случилось: преступная группировка совершила кибератаку на крупнейшего мирового производителя печатных плат Key Tronic
Как это произошло: в прошлом месяце представители Key Tronic подали заявление в комиссию по ценным бумагам и биржам США (SEC). В нем компания сообщила, что столкнулась с хакерской атакой, которая нарушила их работу. Проблема коснулась бизнес-приложений, а также систем финансовой и операционной отчётности.
Также Key Tronic сообщили, что злоумышленники получили доступ к данным пользователей. Ответственность за атаку взяла группировка Black Basta. Они сообщили, что владеют 530 ГБ корпоративных данных: паспортными данными и номерами соцстрахования сотрудников, финансовыми сведениями, инженерными данными и корпоративными документами.
В итоге Key Tronic была вынуждена приостановить работу в США и Мексике на две недели. На локализацию инцидента и работу ИБ-специалистов было потрачено около $600 тыс.
Преступление и наказание
Что случилось: бывший сотрудник удалил 180 тестовых серверов экс-работодателя и был приговорен к тюремному сроку
Как это произошло: в октябре 2022 года тестировщик Кандула Нагараджу был уволен из National Computer Systems (NCS) за «неудовлетворительную работу». Факт увольнения расстроил бывшего сотрудника, так как он считал, что внес значительный вклад в работу NCS.
О группах риска и методах работы с ними мы рассказывали в чек-листе
После увольнения Нагараджу проверил старые учетные данные к системам NCS, они оказались активны. В начале 2023 он воспользовался ими, чтобы отомстить бывшему работодателю. В выходные с 18 по 19 марта он удалил 180 тестовых серверов компании при помощи скрипта.
В апреле 2023 компания обратилась в суд. Нагараджу и его ноутбук с уликами: скрипт удаления данных и история поиска о применении подобных скриптов, были быстро найдены. В итоге, экс-тестировщик был приговорен к 2 годам и 8 месяцам тюремного заключения. После инцидента NCS заявила, что потратила $678 тыс для восстановления серверов, а учетная запись Нагараджу осталась активной из-за «человеческого фактора».
Не тот ответ
Что случилось: взломан сервис email рассылок GetResponse
Как это произошло: 5 июня ИБ-отдел GetResponse обнаружил несанкционированный доступ к одному из внутренних инструментов клиентской поддержки. Это позволило хакеру получить данные для входа одного из сотрудников и тем самым добраться до учетных записей 10 клиентов.
Одним из скомпрометированных клиентов оказалась криптобиржа CoinGecko. Злоумышленник экспортировал 1 916 596 контактов и их личную информацию из учетной записи биржи и отправил фишинговые письма на 23 723 адреса.
По заверениям компании, атака стала результатом сложной цепочки, в ходе которой использовались уязвимости сторонних поставщиков ПО. После инцидента GetResponse уведомили пострадавших, проинформировали соответствующие инстанции, а также начали проводить аудит всех сторонних приложений.
Верно! Но не работает...
Что случилось: торговая сеть «Верный» подверглась хакерской атаке
Как это произошло: в начале июня магазины сети «Верный» перестали принимать оплату банковскими картами. Также перестали работать терминалы самообслуживания, сайт и приложение компании. Скорее всего компания столкнулась с шифровальщиком.
Ретейлер быстро отреагировал и сообщил о том, что восстановил функциональность 75% систем. По различным подсчетам за каждый день «простоя» компания потеряла от 120-140 млн рублей.
Клик не туда
Что случилось: медицинская организация взломана из-за сотрудника, загрузившего вредоносный файл
Как это произошло: Ascension, крупнейшая частная система здравоохранения США, сообщила, что атака программы-вымогателя в мае 2024 произошла из-за сотрудника, который случайно загрузил вредоносный файл. В компании не считают, что действие было злонамеренным, так как сотрудник действительно считал, что скачивает безопасный файл.
Также Ascension сообщили, что хакеры получили доступ к семи файловым серверам и украли данные, среди которых может быть закрытая медицинская информация и информация, позволяющая установить личность клиентов.
Ascension все еще не полностью восстановилась после кибератаки. Первоначально ей пришлось приостановить некоторые бизнес-процессы, в том числе медицинские и временно перейти на бумажный документооборот.
Цвет утечки - красный
Что случилось: данные компании AMD — крупнейшего производителя электроники, были выставлены на продажу в даркнете
Как это произошло: 17 июня на хакерском форуме появился пост с конфиденциальными данными AMD, выставленными на продажу. Со слов автора поста, «утечка произошла в июне 2024 года и затронула информацию о будущих продуктах, базы данных сотрудников и клиентов, файлы собственности, исходные коды, прошивки и финансовые данные».
Ранее этот злоумышленник продавал данные AT&T, Home Depot, Europol, General Electric и других известных организаций.
AMD заявили, что взлому подвергся сайт стороннего поставщика, на котором хранился «ограниченный объем информации, относящейся к спецификациям, используемый для сборки определенных продуктов AMD» и «компания не считает, что утечка данных окажет существенное влияние на наш бизнес или операционную деятельность».
Рассылки вне морали
Что случилось: раскрыта масштабная схема мошенничества по продаже данных для таргетинга фишинговых писем
Как это произошло: Epsilon Data Management — маркетинговая компания, занимающаяся анализом и продажей данных для маркетинговых целей. У компании есть большой датасет и собственные алгоритмы, которые помогают прогнозировать поведение людей и выявлять возможных покупателей для определенных товаров и услуг.
Бывшие топ-менеджер и менеджер по продажам компании Роберт Регер и Дэвид Литл использовали эти возможности для создания списков людей, которые вероятнее всего отреагируют на фишинговые письма. Эти списки включали в себя полные имена, домашние адреса и email, возраст, потребительские предпочтения и историю покупок.
Созданные списки продавались мошенникам, они использовали их для таргетинга фишинговых писем. В них жертв под различными персонифицированными предлогами обманом заставляли отправлять мошенникам деньги.
Подобная схема просуществовала 10 лет, а недавно Роберт Регер и Дэвид Литл получили 20 лет тюремного заключения. Ранее некоторые сотрудники Epsilon признали себя виновными, а их показания сыграли важную роль в осуждении не признававших вину Регера и Литла.
Инструменты с яблочным привкусом
Что случилось: злоумышленник слил исходный код внутренних инструментов Apple
Как это произошло: 18 июня хакер выложил на форум в даркнете исходный код внутренних инструментов Apple: Apple-HWE-Confluence-Advanced, AppleMacroPlugin и AppleConnect-SSO
О первых двух инструментах почти ничего не известно, в отличии от инструмента быстрой аутентификации AppleConnect-SSO. Он позволяет сотрудникам получать доступ к внутренним системам и сервисам компании, а также iOS-приложениям включая Concierge, MobileGenius, EasyPay, AppleWeb и др.
Также в посте хакер утверждает, что данные утекли в июне по вине самой компании. Производитель электроники пока никак не комментировал информацию об утечке.
CDелKа?
Что случилось: поставщик SaaS-решений для автодилеров CDK Global столкнулся с хакерской атакой
Как это произошло: CDK Global продает автосалонам SaaS-платформу, управляющую всей работой предприятия, начиная CRM, и заканчивая инвентаризацией товара. ПО компании пользуются более 15 000 автосалонов на всей территории Северной Америки.
Но из-за кибератаки компания была вынуждена отключить свои ИТ-системы, телефоны и приложения, чтобы локализовать инцидент. В следствии этого была прервана и работа множества автосалонов, использующих ПО CDK.
По данным СМИ из анонимных источников компания столкнулась с шифровальщиком и теперь ведет переговоры с злоумышленниками, чтобы получить дешифратор и не допустить утечку украденных данных.
ИБ-совет месяца: Лето — сезон вкусной клубники, хорошей погоды и корпоративных инсайдеров. Они используют компьютеры и/или учетки коллег, чтобы незаметно и безопасно для себя сливать данные. Но при помощи DLP можно отправить инсайдеров в бессрочный отпуск! Попробовать можно совершенно бесплатно в течение 30 дней, вот тут подробности.
