Източване на лични данни

Нова кампания на руската група за криптоизмами Crazy Evil таргетира инфлуенсъри в областта на технологиите, игрите и криптовалутите.

Тя пренасочва легитимен трафик към злонамерени целеви страници, които разпространяват усъвършенствани зловредни инструменти като Stealc (за Windows) и AMOS (за macOS).

Изследователите по сигурността от Insikt Group са идентифицирали поне 10 активни платформи за криптоизмами на Crazy Evil. Те се популяризират през социалните медии.

Списъкът включва:

• Voxium – фалшив инструмент за децентрализирана комуникация, изграден върху блокчейн инфраструктурата на криптовалутата Solana;
• Rocket Galaxy – фалшива игра, която разпространява злонамерени полезни товари;
• TyperDex – фалшив софтуер за продуктивност, подпомаган от изкуствен интелект;
• DeMeet – фалшива платформа за „развитие на общносттаˮ с функционалности за чат, планиране на събития и лоялност към марката;
• Фалшиви Zoom и WeChat;
• Selenium Finance – фалшива платформа за управление на цифрови активи;
• Gatherum – фалшив AI софтуер за виртуални срещи.

Crazy Evil има над 3000 последователи в публичния си канал в Telegram. Тя е генерирала над 5 млн. долара незаконни приходи и е заразила десетки хиляди устройства със зловреден софтуер по целия свят. Това я прави изключително голяма заплаха.

За да се защитите от подобни групи:

• използвайте усъвършенствани EDR решения за наблюдение и блокиране на изпълнението на известни семейства зловреден софтуер;
• внедрете инструменти за филтриране на уеб страници за блокиране на достъпа до известни злонамерени домейни, както и на подозрителни изтегляния. Това важи с особена сила за кракнат „безплатен“ софтуер;
• актуализирайте редовно знанията си за напредналите киберзаплахи.

Хиляди данни за акаунти на големи доставчици на киберсигурност са изтекли в Dark Web.

Според Cyble от началото на 2025 удостоверителни пълномощни от поне 14 доставчици на услуги за сигурност са били продадени в незаконни онлайн пазари. Те варират от вътрешни акаунти до достъп на клиенти в уеб и облачни среди. Това предполага, че са били компрометирани както самите клиенти, така и служителите на доставчиците на инструменти за киберсигурност.

Данните са откраднати чрез infosteаler от мениджъри на пароли, системи за удостоверяване, платформи за управление на устройства или интернет услуги като GitHub, AWS, Microsoft Online, WordPress, Oracle и Zoom.

Тази новина трябва да вдигне високо червения флаг за всеки един бизнес. Щом най-големите доставчици на услуги за сигурност могат да бъдат засегнати, то това може да се случи и с всяка организация. Киберсигурността трябва да е е основен приоритет за вашата компания, а не нещо пожелателно.

Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

Ако използвате подобно устройство:

• незабавно променете всички пароли и конфигурации;
• инсталирайте версия 7.2.2 на FortiOS или по-нова;
• проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
• редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
• сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
• ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.

Човек трябва да се учи от грешките си, а не да ги повтаря. Това важи с пълна сила и за бизнесите. Затова и големите инциденти на полето на киберсигурността не трябва да се забравят.

В първите дни на 2025 ще обърнем поглед назад, за да си припомним някои от знаковите кибератаки и сривове от предходните 12 месеца.

Пробивът на Internet Archive

На 9 октомври Internet Archive беше засегнат от две различни атаки едновременно. При първата бяха откраднати данните на 33 милиона потребители на сайта. В същото време DDoS атака извади от строя платформата за дни.

Въпреки че и двете бяха извършени в един и същ период, те бяха дело на различни групи.

Лоши актуализации на CrowdStrike сринаха 8,5 милиона устройства с Wndows

На 19 юли 2024 г. рано сутринта на компютрите с Windows беше разпространена дефектна актуализация на CrowdStrike Falcon. Това доведе до срив на драйвера на ядрото на софтуера за киберсигурност в операционната система.

Тази грешка предизвика значителни глобални смущения, засягайки приблизително 8,5 милиона устройства.

Дефектната актуализация предизвика поредица от сривове на системите, включително безкрайни цикли на рестартиране. Те засегнаха както устройствата с Windows, така и тези с Windows 365 Cloud. Смущенията спряха работата на финансови компании, авиопревозвачи, болници и др. по целия свят.

Нещата се влошиха още повече, когато в играта се включиха киберпрестъпниците. Те започнаха да разпространяваха фалшиви инструменти за ремонт на CrowdStrike и ръководства, които прокарваха зловреден софтуер, включително новия infostealer Daolpu.

Кражбата на данни от SnowFlake

През май хакери започнаха да продават критична информация, за която твърдяха, че е открадната от клиенти на Snowflake. Разследването установи, че нападателите не са пробили защитите на облачната платформа, а са използвали компрометирани идентификационни данни, за да влязат в акаунтите на клиентите ѝ.

През юли AT&T разкри, че по време на инцидента са били изложени на риск регистрите на обажданията на 109 млн. нейни клиенти.

TicketMaster също беше засегната, след като бяха откраднати данните на 560 милиона души.

Твърди се, че в рамките на тези атаки хакерите са измъкнали 2,5 млн. долара от засегнатите компании.

Атаката с ransomware срещу UnitedHealth

През февруари дъщерното дружество на UnitedHealth – Change Healthcare – претърпя масирана ransomware атака. Тя предизвика огромни смущения в здравната индустрия на САЩ.

Атаката беше свързана с BlackCat. Групата е използвала откраднати пълномощия, за да пробие услугата за отдалечен достъп Citrix на компанията. Причината – тя не е имала активирана MFA.

Хакерите откраднаха 6 TB данни и криптираха компютрите в мрежата. Това принуди компанията да изключи IT системите си, за да предотврати разпространението на атаката.

UnitedHealth Group призна, че е платила искания откуп в размер на 22 млн. долара. През октомври компанията потвърди, че личните и здравните данни на повече от 100 милиона души са били откраднати. Това е най-големият пробив в здравната индустрия през последните години.

Атаките срещу телеком мрежата в САЩ

Китайската APT група Salt Typhoon атакува множество телекомуникационни компании в световен мащаб. Кампанията ѝ компрометира най-малко девет големи доставчици на телекомуникационни услуги в САЩ, включително AT&T, Verizon и T-Mobile.

Целта на атаките беше кражбата на текстови съобщения, информация за телефонни обаждания и гласова поща от конкретни високопоставени лица. Хакерите успяха да компрометират платформите за подслушване, използвани от правителството на САЩ, което породи сериозни опасения за националната сигурност на страната.

В отговор на атаката, Вашингтон планира да забрани операциите на China Telecom в САЩ.

Пробивът на корпоративната електронна поща на Microsoft от хакери, свързани с Кремъл

През януари Microsoft разкри, че спонсорирани от руската държава хакери са проникнали в корпоративните ѝ имейл сървъри. При пробива бяха откраднат имейли от ръководството, екипите по киберсигурност и правния отдел. Някои от тях са съдържали информация за самата хакерска група, което е позволило на нападателите да научат какво знае Microsoft за тях.

През март 2024 г. Midnight Blizzard отново успяха да проникнат в системите на технологичния гигант. През април CISA потвърди, че при атаката са били откраднати имейли между федерални агенции на САЩ и Microsoft. Те са съдържали информация, която е позволила на хакерите да получат достъп до критични системи на някои нейни клиенти.

В края на миналата година FreedomOnline съобщи за масивна фишинг кампания, компрометирала най-малко 5 разширения за Google Chrome. Вече е ясно, че броят им е значително по-голям – 35 – като те се използват от приблизително 2,6 милиона потребители. Във всички тях хакерите са инжектирали зловреден код за кражба на чувствителна информация.

Атакуващите са използвали фишинг имейли, маскирани като официални известия от Google Chrome Web Store Developer Support. Чрез тях те са подмамили разработчиците да им предоставят OAuth разрешения за техните проекти. По този начин участниците в заплахата са заобиколили мерките за MFA и са получили възможност да качват нови, компрометирани версии.

Засегнатите разширения варират от популярни инструменти за виртуални частни мрежи (VPN) до приставки за производителност. Злонамереният код отвлича потребителски сесии, бисквитки и идентификационни данни за акаунти в социалните медии. Една от основните цели на кампанията са корпоративни профили с достъп до платени рекламни функции.

Ето го и целият списък със засегнати разширения:

Extension Name	Status	Version / Identifier
Where is Cookie?	Not yet addressed	emedckhdnioeieppmeojgegjfkhdlaeo
Web Mirror	Not yet addressed	eaijffijbobmnonfhilihbejadplhddo
ChatGPT App	Not yet addressed	lbneaaedflankmgmfbmaplggbmjjmbae
Hi AI	Not yet addressed	hmiaoahjllhfgebflooeeefeiafpkfde
Web3Password Manager	Not yet addressed	pdkmmfdfggfpibdjbbghggcllhhainjo
YesCaptcha assistant	Not yet addressed	[email protected]
Bookmark Favicon Changer	Addressed	5.1 / [email protected]
Proxy SwitchyOmega (V3)	Not yet addressed	[email protected]
GraphQL Network Inspector	Addressed	2.22.7 / [email protected]
AI Assistant	Removed from store	bibjgkidgpfbblifamdlkdlhgihmfohh
Bard AI chat	Removed from store	pkgciiiancapdlpcbppfkmeaieppikkk
ChatGPT for Google Meet	Removed from store	epdjhgbipjpbbhoccdeipghoihibnfja
Search Copilot AI Assistant for Chrome	Removed from store	bbdnohkpnbkdkmnkddobeafboooinpla
TinaMind	Addressed	2.14.0 / befflofjcniongenjmbkgkoljhgliihe
Wayin AI	Addressed	0.0.11 / cedgndijpacnfbdggppddacngjfdkaca
VPNCity	Not yet addressed	nnpnnpemnckcfdebeekibpiijlicmpom
Internxt VPN	Addressed	1.2.0 / dpggmcodlahmljkhlmpgpdcffdaoccni
Vidnoz Flex	Removed from store	cplhlgabfijoiabgkigdafklbhhdkahj
VidHelper	Not yet addressed	egmennebgadmncfjafcemlecimkepcle
Castorus	Addressed	4.41 / mnhffkhmpnefgklngfmlndmkimimbphc
Uvoice	Not yet addressed	oaikpkmjciadfpddlpjjdapglcihgdle
Reader Mode	Not yet addressed	fbmlcbhdmilaggedifpihjgkkmdgeljh
ParrotTalks	Not yet addressed	kkodiihpgodmdankclfibbiphjkfdenh
Primus	Addressed	3.20.0 / oeiomhmbaapihbilkfkhmlajkeegnjhe
Keyboard History Recorder	Not yet addressed	igbodamhgjohafcenbcljfegbipdfjpk
ChatGPT Assistant	Not yet addressed	bgejafhieobnfpjlpcjjggoboebonfcg
Reader Mode	Removed from store	llimhhconnjiflfimocjggfjdlmlhblm
Visual Effects for Google Meet	Addressed	3.2.4 / hodiladlefdpcbemnbbcpclbmknkiaem
AI Shop Buddy	Not yet addressed	epikoohpebngmakjinphfiagogjcnddm
Cyberhaven V3 Security Extension	Addressed	pajkjnmeojmbapicmbpliphjmcekeaac
Earny	Not yet addressed	oghbgbkiojdollpjbhbamafmedkeockb
Rewards Search Automator	Not yet addressed	eanofdhdfbcalhflpbdipkjjkoimeeod
Tackker	Addressed	ekpkdmohpdnebfedjjfklhpefgpgaaji
Sort By	Not yet addressed	miglaibdlgminlepgeifekifakochlka
Email Hunter	Not yet addressed	mbindhfolmpijhodmgkloeeppmkhpmhc

Ако използвате някое от тях:

• незабавно деинсталирайте или актуализирайте до поправена версия;
• нулирайте паролите и отменете активните сесии;
• прегледайте личните и служебните си акаунти за необичайна активност.

Разработчиците трябва да бъдат бдителни по отношение на опитите за фишинг и да активират надеждни проверки за сигурност на своите приложения.

Критична информация от акаунтите на повече от 3 милиона потребители е изтекла заради огромен пробив в сигурността на платформата за данни Builder.ai.

Популярната услуга позволява на организациите да изграждат свои собствени, персонализирани софтуерни приложения без тежко програмиране.

Изтеклият архив е открит от експерта по киберсигурност Джеремая Фаулър. Той съдържа 1,29 терабайта данни, включително:

• 337 434 фактури. Документите съдържат трансакции между Builder.ai и нейни клиенти;
• 32 810 рамкови споразумения за услуги. В тях има потребителските имена, имейл адреси, данни за IP и оценки на разходите, свързани с конкретни проекти.

Обезпокоително е, че файловете са съдържали ключове за достъп и конфигурации на две системи за облачно съхранение. Попаднали в неподходящи ръце, те биха могли да осигурят на хакерите достъп до още по-чувствителна информация.

Изтичането на подобни данни представлява сериозен риск. Те могат да бъдат използвани за фишинг измами, кражба на самоличност и дори за финансови измами.

Неправилно конфигурираните бази данни, какъвто е случаят тук, са един от постоянните проблеми на цифровата ера. Компаниите трябва да осъзнаят, че носят споделена отговорност за сигурността на потребителската информация, когато става въпрос за облачни услуги.

За бизнесите това трябва да е пореден сигнал за събуждане по отношение на всеобхватните практики за киберсигурност. Те трябва да правят регулярни проверки и да осигурят подходяща защита на базите данни.

Всеки, който е взаимодействал с Builder.ai, пък трябва да следи акаунтите си за странни действия и да е нащрек за фишинг измами.

Най-малко пет разширения за Chrome са били компрометирани при координирана атака. В нейните рамки нападателите са инжектирали код, който краде чувствителна информация от потребителите.

Една от жертвите е компанията за киберсигурност Cyberhaven. Тя предупреди клиентите си, че е претърпяла успешна фишинг атака срещу администраторски акаунт за магазина на Google Chrome. Хакерът е превзел акаунта на служител и е публикувал злонамерена версия (24.10.4) на разширението Cyberhaven. Тя е включвала код, който може да извлича удостоверения за сесии и бисквитки към домейна на нападателя (cyberhavenext.pro).

Компанията е премахнала зловредния пакет в рамките на един час след откриването му. Чиста версия на разширението – v24.10.5 – е публикувана на 26 декември.

Според Nudge Security списъкът с компрометирани разширения при тази атака включва още:

• Internxt VPN – безплатна VPN услуга за сигурно сърфиране (10 000 потребители);
• VPNCity – фокусирана върху поверителността VPN услуга с 256-битово AES криптиране и глобално покритие (50 000 потребители);
• Uvoice – базирана на награди услуга за печелене на точки чрез проучвания и предоставяне на данни за използването на компютъра (40 000 потребители);
• ParrotTalks – инструмент за търсене на информация, специализиран в писане на текст и водене на бележки (40 000 потребители).

Потребителите на тези разширения трябва или да ги премахнат от браузъра, или да преминат към безопасна версия, публикувана след 26 декември. Ако не сте сигурни, че издателят е научил за проблема и го е отстранил, задължително деинсталирайте разширението. Освен това нулирайте паролите за важни акаунти, изчистите данните на браузъра и възстановете първоначалните му настройки по подразбиране.

Китайска група използва хиляди фалшиви онлайн магазини за кражба на данни от банкови карти в САЩ и Европа.

Кампанията на SilkSpecter започва през октомври 2024 г. и предлага големи отстъпки за предстоящия Black Friday и празничния сезон. Според компанията за киберсигурност EclecticIQ към момента групата оперира с 4695 измамни домейна. Те се представят за добре познати брандове като North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA и Gardena.

Сайтовете на SilkSpecter са добре проектирани и обикновено носят името на представяната марка, за да изглеждат автентични. Те обаче използват домейни като „.shop“, „.store“, „.vip“ и „.top“, които не са характерни за големите брандове и надеждните онлайн магазини.

В зависимост от географското местоположение на жертвата сайтовете използват Google Translate, за да коригират автоматично езика. Те интегрират Stripe, легитимен и надежден процесор за плащания, което допринася за привидната им надеждност. На практика обаче крадат критична информация за разплащателни карти.

Когато потребител иска да направи покупка, той се пренасочва към страница за плащане. Тя го подканва да въведе номера на кредитната/дебитната карта, датата на валидност и CVV кода. На последната стъпка се изисква и телефонен номер.

Препоръчваме ви да посещавате само официалните уебсайтове на брандовете и да избягват да кликате върху реклами, връзки от публикации в социалните медии или промотирани резултати в търсачката на Google. Активирайте всички налични мерки за защита на финансовите си сметки, включително MFA и следете редовно извлеченията си.

Нова вишинг атака подлъгва българските потребители. В тази си кампания измамниците се обаждат от името на полицията.

Потребителят получава обаждане от автоматичен глас, който му казва, че неговата лична карта е замесена в схеми за пране на пари.

Самото съобщение е на английски език. Това предполага, че схемата не е разработена от българска група и все още не е добре прецизирана за местна употреба.

Все още не е ясно и каква е целта на измамата, но вишинг кампаниите обикновено са насочени към:

• финансови измами и разкриване на чувствителна информация като данни за банкови сметки или номера на кредитни карти;
• кражба на самоличност чрез получаване на лична информация и използването ѝ за различни измами;
• кражба на идентификационни данни за сигурност – пароли или ПИН кодове – което да позволи неоторизиран достъп до акаунти или системи;
• социално инженерство

При всички случаи е добре да останете бдителни и предпазливи, когато получавате неочаквани телефонни обаждания. Това въжи в още по-голяма степен, ако те изискват предоставянето на лична или финансова информация. Винаги проверявайте самоличността на обаждащия се по официални канали, преди да споделите чувствителни подробности. Не забравяйте, че законните организации никога няма да ви притискат да предоставите информация незабавно по телефона.

Японският гигант в областта на електрониката Casio потвърди, че е претърпял изтичане на критични данни в резултат на кибератака по-рано този месец.

Преди това хакерската група Underground обяви, че е откраднала повече от 200 GB правни документи, информация за заплати и лични данни на служители на компанията.‘

Casio изключи възможността за компрометиране на информация за кредитни карти, като заяви, че услугите Casio ID и ClassPad не са засегнати от пробива.