Злиття даних облікових записів компаній-постачальників систем кібербезпеки в Dark Web
Cyble, компанія, що займається аналізом загроз, оголосила, що знайшла тисячі облікових записів компаній-постачальників систем кібербезпеки, дані яких потрапили в Dark Web з початку 2025 року. Ці дані ймовірно були витягнуті з бази даних злочинців і виставлені на продаж на ринку кіберзлочинів за дуже низькою ціною — всього за 10 доларів США. Дані включають як внутрішні облікові записи, так і доступи клієнтів, як до вебсайтів, так і до хмарних середовищ. Це свідчить про те, що постраждали як клієнти, так і співробітники постачальників систем безпеки.
Дослідники Cyble не намагалися перевірити точність конкретних даних, але багато з них стосуються доступу через веб-консолі, одноразову аутентифікацію (SSO) та інші точки доступу до облікових записів через вебсайти. За оцінками дослідників, витік даних ймовірно пов'язаний з внутрішніми системами, що мають важливе значення, такими як менеджери паролів, платформи для перевірки прав доступу, платформи управління пристроями або загальні інтернет-сервіси як Okta, GitHub, AWS, Microsoft Online, Salesforce, SolarWinds, Box, WordPress, Oracle та Zoom.
У звіті зазначається, що серед постачальників послуг кібербезпеки, які постраждали, є принаймні 14 компаній, зокрема CrowdStrike, Exabeam, Fortinet, LogRhythm, McAfee, Palo Alto Networks, Qualys, Rapid7, RSA Security, SentinelOne, Sophos, Tenable, Trend Micro та Zscaler. Кількість витоків вражає: більше 600 випадків у McAfee, понад 300 у CrowdStrike, понад 400 у Palo Alto Networks. Cyble звертає увагу, що, незважаючи на використання багатофакторної аутентифікації (MFA) в деяких випадках, цей витік підкреслює важливість постійного моніторингу даних, що публікуються в Dark Web. Дослідники попереджають, що якщо постачальники кібербезпеки можуть бути ціллю атак, інші організації також знаходяться під загрозою.
Джерело: https://www.infosecurity-magazine.com/news/cybersecurity-vendors-credentials/
CERT-UA попереджає про шахраїв, що використовують підроблені запити AnyDesk
Команда з реагування на комп'ютерні інциденти України (CERT-UA) оголосила попередження про шахраїв, які підробляють запити на підключення через AnyDesk, видаючи себе за CERT-UA з метою перевірки кібербезпеки. Шахраї використовують логотипи CERT-UA та підроблені AnyDesk ID, щоб обманути цілі, використовуючи соціальну інженерію для підвищення довіри.
CERT-UA повідомляє, що атака відбувається, коли зловмисники отримують AnyDesk ID жертви та запускають програму AnyDesk на її пристрої. Це ID може бути отримано через попередній доступ до пристрою або через інші вразливості. Агентство рекомендує використовувати віддалене програмне забезпечення тільки коли це необхідно, підтверджувати використання через офіційні канали та негайно повідомляти про будь-які підозрілі дії для запобігання шкоді.
CERT-UA не змогла підтвердити, чи пов'язана ця атака з російськими APT-групами, такими як UAC-0010, UAC-0050 та UAC-0006, і на даний момент не існує чіткої інформації щодо цілей атаки. Це може допомогти в майбутньому виявити мотивацію та ідентифікувати зловмисників.
Перекладено з: ประจำวันพฤหัสบดีที่ 23 มกราคม 2568