Привіт, діти, і щасливого 2025 року! Тато повернувся після своєї відпустки (так, я маю на увазі себе в третій особі. Карибський бриз робить своє). Здається, ви всі були зайняті, підпалюючи будинок, поки мене не було! МЕНІ ЦЕ ПОДОБАЄТЬСЯ!!
За останні 3 тижні ми отримали: Litecoin Twitter шахрайство, Ivanti знову отримав удар (знову!), Україна сказала "щасливого нового року" російському нафтовому сектору, Medusind хоче, щоб ви робили їх роботу за їхні помилки, ICAO (Міжнародна організація цивільної авіації) сказала, скільки років насправді моєму співзасновнику, і ще багато іншого. Без зайвих слів, я представляю вам —
Зламано акаунти Litecoin та Foresight Ventures на X
Джерело: Twitter/X
11 січня як Foresight Ventures, так і Litecoin стали жертвами злому їх акаунтів на X (колишній Twitter). Їх використовували, як лялькове шоу, для просування фальшивих токенів, причому акаунт Litecoin просував шахрайський токен на основі Solana, а акаунт Foresight Ventures поширював дезінформацію про криптовалюту на основі ШІ. У випадку з Litecoin фальшивий токен короткочасно досягнув капіталізації в $27,000, але потім впав до $3,400. Злом акаунта Foresight Ventures був пов'язаний з підйомом $500,000 через 15 зламаних акаунтів. Відновлення було швидким у обох випадках. Команда Litecoin змогла відновити контроль над акаунтом і видалити шахрайські пости за лічені секунди. Foresight Ventures також швидко відреагували, попередивши своїх підписників і очистивши наслідки.
Бічний коментар: Тобто, уявіть, ваш Twitter-коханий раптом кричить про нову дієту, і тепер у вас чорна діра в гаманці. Я навіть не знав, що таке взагалі може бути… ой, зачекайте?!
Вразливість Ivanti, яку експлуатували зловмисники UNC5337
У нещодавньому інциденті критична вразливість була використана зловмисником з китайським зв'язком на ім'я UNC5321, вважається, що це пов'язано з UNC5221. Цей зловмисник, раніше відомий як UNC5321, викликав серйозні проблеми з безпекою в пристроях Ivanti Connect Secure з січня 2024 року. Вразливість CVE-2025–0283 дозволяє зловмисникам виконувати довільні команди через скомпрометовані інстанції ICS. На даний момент масштаб цієї вразливості залишається невідомим, хоча є повідомлення про додаткові шкідливі програми, націлені на уражені пристрої.
Бічний коментар: Переписуючи автора оригінальної статті: “Якби у мене був нікел за кожен раз, коли Ivanti отримав удар минулого року, я б мав купу нігелів.”
Кіберзлочин на нафтовому секторі Росії від українських розвідників
Джерело: Ukrinform
У нещодавньому кібернападі Головне управління розвідки України (ГУР) провело значний напад на критичну інфраструктуру Росії, зосередивши увагу на нафтовому секторі. Напад, що почався в грудні 2025 року і тривав до 1 січня, скомпрометував цифрові ресурси ЛУКОЙЛу, російської нафтової компанії, що є центральною для військової стратегії Росії. Це торкнулося цифрових систем платформи розумних терміналів ‘Evotor’ та її пов'язаних платформ, включаючи єдину цифрову систему маркування продукції Evotor ‘Chestny Znak’. Вплив на роздрібний сектор був значним, оскільки споживачі зіткнулися з труднощами у доступі до товарів через збої фінансових систем.
Кібернапад, який збігся з святковим сезоном, ще більше посилив незадоволення споживачів серед фінансових установ та постачальників послуг.
Бічний коментар: … ось так можна сказати "щасливого нового року".
Японські авіалінії скасовують до 40 внутрішніх рейсів через кібернапад
Джерело: siliconANGLE
Japan Airlines (JAL) стала жертвою значного кібернападу на свою мережеву інфраструктуру, що призвело до затримки понад 40 внутрішніх рейсів і скасування 2 інших 26 грудня 2024 року. JAL тимчасово призупинили продаж квитків на всі рейси, заплановані на цей день, щоб обмежити поширення ефекту. Вони також вимкнули інші послуги, такі як мобільний додаток, останні оновлення та бронювання вільних місць. Напад підозрюється бути розподіленою атакою відмови в обслуговуванні (DDoS), яка заповнює мережеві пристрої трафіком, щоб порушити обслуговування, а не встановлювати шкідливі програми. Варто відзначити, що напад вдалося локалізувати за 90 хвилин. JAL також підтвердили, що дані клієнтів не були скомпрометовані, і безпека рейсів не була порушена. Тим часом ANA Airlines, інший великий перевізник Японії, не постраждав від цього інциденту.
ICAO розкриває витік даних понад 42 000 заявок на працевлаштування
Джерело: CyberInsider
Технічно це сталося деякий час тому, але тепер ми маємо підсумки. Міжнародна організація цивільної авіації (ICAO) оголосила про найбільший витік даних, що торкнувся понад 42 000 записів заявок на працевлаштування, за який відповідальний зловмисник на ім'я ‘Natohub’, який викрив інформацію з квітня 2016 року по липень 2024 року. ICAO заявила, що витік включає не лише дані про рекрутування, а й відомості про історію працевлаштування, включаючи дати народження та адреси електронної пошти. Вкрадену інформацію було опубліковано на BreachForums, де атакувальники стверджують, що зібрали понад 2 ГБ даних, включаючи 57 240 унікальних електронних адрес та набір урядових ‘gov’ адрес.
Бічний коментар: Я особисто не переживаю, що хтось стежить за кількістю заявок, які я подаю, але коли ви кажете, що я народився до динозаврів, ну серйозно, чоловіче.
Хакери націлилися на розширення Cyberhaven для Chrome під час кібернападу на Різдво
В ніч на Різдво Cyberhaven стала жертвою фішингової атаки, що скомпрометувала доступ одного з працівників до Google Chrome Web Store, що призвело до випуску шкідливої версії (24.10.4) їхнього розширення для Chrome. Команда безпеки швидко виявила і нейтралізувала загрозу протягом години після виявлення 25 грудня. Атака була обмеженою, вона торкнулася лише тих, хто здійснив автоматичне оновлення в конкретний період 25-26 грудня, при цьому шкідливий код потенційно викрадав cookies та дані сесій для цільових соціальних мереж та платформ ШІ. Cyberhaven відреагували, повідомивши клієнтів, видаливши скомпрометовану версію, розгорнувши безпечне оновлення, залучивши сторонній аналіз і співпрацюючи з правоохоронними органами.
Вони порадили постраждалим користувачам оновити своє розширення до версії 24.10.5, змінити паролі та перевірити журнали на наявність підозрілої активності, при цьому зобов’язавшись до прозорості та подальших заходів безпеки.
Medusind повідомляє про великий витік даних, що торкнувся 360,934 осіб у Флориді та Мені
Джерело: BleepingComputer
Medusind, великий постачальник послуг медичних рахунків для організацій охорони здоров'я, випустив повідомлення про витік даних, щоб попередити понад 360,934 пацієнтів та їх постачальників у Флориді та Мені. Компанія виявила витік даних, що стосується 360,934 осіб, де кіберзлочинці отримали чутливу інформацію, включаючи записи про медичне страхування та рахунки. Інцидент, який був повідомлений в Міністерство охорони здоров’я та соціальних служб США (HHS), виявив, що витік стався понад рік тому після виявлення підозрілих активностей у мережі Medusind. Компанія надає два роки безкоштовного моніторингу ідентичності для постраждалих осіб і надає рекомендації щодо виявлення потенційного крадіжки особистих даних та шахрайської діяльності. Крім того, компанія закликає пацієнтів та постачальників уважно стежити за своїми звітами по рахунках на ознаки потенційного шахрайства.
Бічний коментар: Нічого не кричить "охорона здоров'я" так, як "ви попали через наші помилки, тепер вам потрібно робити роботу, щоб уникнути ще більших помилок, хоча ви й не мали вибору користуватися нами".
Атака програм-вимагачів на Піттсбурзький регіональний транспортний сервіс у ранкові години
Ранком 26 грудня в Піттсбурзі, штат Пенсільванія, сталася атака програм-вимагачів, яка вплинула на роботу легкорейкових перевезень і систему обслуговування клієнтів. Цей інцидент спочатку було приписано технічному збою, але він тривав більше години, поки систему не було відновлено близько 7 ранку. Багато транспортних послуг, включаючи використання Senior та Kid’s ConnectCards, зазнали перебоїв до пізнішого часу. Інцидент змусив PRT активувати свою команду реагування на кіберінциденти, залучити експертів з кібербезпеки для розслідування потенційного витоку даних і повідомити правоохоронним органам про триваючі розслідування. Хоча більшість послуг продовжують функціонувати нормально і не постраждали, PRT запевнили пасажирів, що постраждалі послуги мають стійкість. Поки триває розслідування, влада активно працює над визначенням мотивів атаки та оцінкою вразливостей, підкреслюючи зобов'язання PRT до прозорості в цьому критичному процесі.
Досвід PowerSchool з кіберзагрозами: Захист даних учнів K-12
PowerSchool зазнав витоку безпеки, який торкнувся понад 60 мільйонів учнів і 18,000 клієнтів через кібернапад, в результаті якого були розкриті чутливі дані учнів та вчителів K-12. Згідно з повідомленнями, витік стався минулого місяця (грудень), коли була скомпрометована платформа для інформації про учнів (SIS). Компанія спочатку повідомила постраждалих користувачів 28 грудня 2024 року, заявивши, що проводиться розслідування з кібербезпеки і вживаються негайні заходи для виправлення ситуації. Хоча не всі дані були вкрадені, деяка чутлива інформація, така як номери соціального страхування та персональні дані (PII), ймовірно, були скомпрометовані.
Незважаючи на витік, PowerSchool прагне зберегти роботу своїх операцій, пропонуючи послуги моніторингу кредитних записів постраждалим особам.
… і це, можливо, не останній інцидент, але точно найменш важливий, у сьогоднішньому епізоді 💩, який нікому не цікавий —
Витік даних у онлайн-магазині Green Bay Packers розкриває дані кредитних карток
Онлайн-магазин Packers був зламаний, і 8,514 фанатів тепер мають свої дані кредитних карток у вільному доступі. Це насправді старий інцидент з початку жовтня, але їм знадобилося більше 2 місяців, щоб завершити "розслідування". Але на більш позитивній ноті: у Packers стільки фанатів?!
На цій ноті — до наступного тижня ✌️
PS
- LinkedIn | GitHub | Espresso
- Остання стаття в цій серії: Звіт про витоки: 9 грудня — 15 грудня
Перекладено з: The Breach Report: My Top Picks from Xmas — Jan 12, 2025