Звонок на −$1 млн, РФ недовольна WhatsApp и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• «Zoom-конференция» залезла в криптокошелек.
• ФБР назвало виновников взлома биржи DMM Bitcoin на $308 млн.
• Аналитики узнали о случаях добровольной компрометации биометрии.
• В ООН приняли первую Конвенцию по киберпреступности.

«Zoom-конференция» залезла в криптокошелек 

Несколько пользователей стали жертвами фишингового ПО, замаскированного под приложение Zoom. Злоумышленники уже заработали на этом более $1 млн в различных криптовалютах. Аналитики SlowMist разобрали атаку.

Beware of phishing attacks disguised as Zoom meeting links! Hackers collect user data and decrypt it to steal sensitive info like mnemonic phrases and private keys. These attacks often combine social engineering and trojan techniques. Read our full analysis… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) December 27, 2024

Пострадавшие получали ссылки на видеоконференцию и открывавшаяся страница в точности имитировала интерфейс Zoom. На самом деле она запускала скачивание вредоносного ПО, способного похищать системную информацию, cookie файлы браузера, данные Telegram-аккаунта, сид-фразы и ключи от криптовалютных кошельков.

Изученный экспертами адрес хакера получил более $1 млн в USD0++, MORPHO и ETH. Небольшие суммы он перевел на 8800 связанных кошельков, которые предположительно используются для уплаты комиссий. Большая часть украденных средств — 296,45 ETH — поступила на новый адрес. Его баланс на момент написания составлял 32,81 ETH.

Данные: SlowMist. 

В SlowMist установили, что средства с последнего кошелька поступали на Binance, MEXC, FixedFloat и другие биржи.

IP-адрес сервера хакера находится в Нидерландах и в настоящее время помечен платформами анализа угроз как вредоносный.

ФБР назвало виновников взлома биржи DMM Bitcoin на $308 млн

За майским взломом японской криптовалютной биржи DMM Bitcoin стоят прогосударственные северокорейские хакеры TraderTraitor, также известные как Jade Sleet, UNC4899 и Slow Pisces. Об этом сообщило ФБР.

По данным бюро, атака началась еще в марте, когда один из злоумышленников выдал себя за рекрутера на LinkedIn и связался с сотрудником Ginco, японского разработчика ПО для корпоративных криптокошельков. Последний обладал доступом к системе управления активами работодателя. 

Хакер отправил ему предложение о работе, включающее предварительный тест на GitHub. Сотрудник скопировал предоставленный вредоносный код Python, чем скомпрометировал рабочий компьютер.

В дальнейшем TraderTraitor запросили транзакцию от его имени, что привело к потере 4502,9 BTC ($308 млн на момент атаки).

Северокорейские хакеры похитили в 2024 году криптоактивы на $1,34 млрд

Аналитики узнали о случаях добровольной компрометации биометрии

Хакеры используют для обхода KYС-проверок подлинные биометрические данные, купленные у пользователей. Им уже удалось собрать «значительную коллекцию документов, удостоверяющих личность, и соответствующих изображений лиц», о чем сообщили аналитики iProov. 

EXPOSED: Criminal networks aren't stealing identities anymore. They're buying them. Legally. With cash. And because these are REAL documents freely given, traditional fraud checks are useless. Watch how this works [VIDEO] or Read more: https://t.co/0mX1VSf9my pic.twitter.com/X2KR4tJ61t

— iProov (@iProov) December 23, 2024

Полученные сведения применяют в мошенничестве с различными финансовыми учреждениями. 

Исследователи предупредили, что сочетание легитимных документов и подлинных совпадающих биометрических данных делает «чрезвычайно трудным» обнаружение мошенников с помощью традиционных методов проверки.

Дуэт программ-вымогателей атаковал малый и средний бизнес в РФ

Русскоязычная хакерская группировка Masque, активная с января 2024 года, провела серию атак шифровальщиков на российские компании с требованием выкупа в криптовалютах. Об этом рассказали специалисты F.A.C.C.T. 

Начальным вектором в большинстве случаев являлась реализация уязвимости в публично доступных сервисах, таких как VMware Horizon. Далее на скомпрометированный сервер устанавливались программы-вымогатели LockBit 3 (Black) и Babuk (ESXi).

Для общения с жертвами злоумышленники использовали мессенджер Tox.

Текстовый файл с требованием выкупа. Данные: F.A.C.C.T.

С начала года группировка провела как минимум 10 атак на малый и средний бизнес. Сумма первоначального выкупа составляла 5-10 млн рублей в биткоине или Monero.

Вымогатели Cl0p поставили 66 жертв на счетчик

Операторы вируса-вымогателя Cl0p потребовали от 66 организаций, пострадавших от кражи данных компании Cleo в октябре, заплатить выкуп в течение 48 часов, чтобы избежать утечки информации. Об этом сообщает Bleeping Computer.

Данные: Bleeping Computer.

По словам киберпреступников, с каждой из жертв связались напрямую и пригласили в защищенный чат для переговоров. Также хакеры указали почтовые адреса для связи. 

Неназванное число других пострадавших фирм уже вышло на контакт с Cl0p. 

193 государства-члена ООН приняли историческую Конвенцию по киберпреступности

После пяти лет переговоров Генассамблея ООН приняла первую Конвенцию по киберпреступности. Она позволит быстро, скоординировано и более эффективно отвечать на противоправные действия в сети.

Конвенция регулирует доступ и обмен электронными доказательствами для облегчения расследований и судебного преследования. Государства-участники также получат доступ к круглосуточной оперативной помощи. Сюда входит содействие в расследованиях, идентификации, заморозке, изъятию и возврату доходов от преступлений, а также экстрадиции.

Документ предписывает государствам разработать меры по снижению рисков и угроз киберпреступности. Это включает обучение для государственных и частных секторов, программы реабилитации правонарушителей и помощь жертвам.

В РФ назвали условия для блокировки WhatsApp

Мессенджеру WhatsApp пригрозили блокировкой в РФ в 2025 году, если его руководство не будет соблюдать местные законы. В частности, вопрос касается хранения информации о пользовательских переписках и предоставления ее по просьбе ФСБ. Об этом РИА Новости заявил сенатор Артем Шейкин.

По его словам, на данный момент у сервиса нет «никакого контакта» с российскими правоохранительными органами и власти ждут от него изменений. 

Сенатор отметил, что если WhatsApp выполнит требования Роскомнадзора, то для пользователей ничего не изменится. Ранее WhatsApp принудительно внесли в реестр организаторов распространения информации.

Вопрос блокировки находится в компетенции РКН и на данный момент не обсуждается, уточнили в Госдуме.

Также на ForkLog:

• Не опять, а снова: ChatGPT зафиксировал глобальный сбой.
• Animoca Brands стала новой жертвой взломщиков в соцсети X.
• В РФ начнут отслеживать обмен криптовалют через дропов.
• Взломщик X-аккаунтов заработал на криптоскаме $500 000.
• Бум мем-коинов привлек мошенников в сеть Solana — отчет Hacken.
• СМИ: жителя Черноморска обманули на покупке биткоина за 43 000 гривен.
• Создателей сети S-Group с ущербом в $100 млн арестовали в РФ.
• Nokia подала патент на модуль шифрования цифровых активов.
• Сид-фразы в комментариях на YouTube: аналитики рассказали о новом скаме.
• Киберугрозы из КНДР вызвали чистый отток $249 млн из Hyperliquid.
• Для создателей мошеннических NFT из США запросили 60 лет тюрьмы.
• СМИ выявили факт продажи данных участников биткоин-конференций.
• Пользователи X заподозрили готовящийся взлом Hyperliquid.
• Италия оштрафовала OpenAI на €15 млн за нарушение конфиденциальности.
• Основателя HEX объявили в международный розыск.
• Разработчики Trust Wallet устранили баг, обнуляющий балансы пользователей.

Что почитать на выходных?

Разбираемся, способен ли «щит Сатоши» противостоять квантовой угрозе для биткоина.

В ожидании «Дня Q». Какой ответ квантовым компьютерам готовят разработчики биткоина