+7 (812) 677-17-05

Самые горячие новости инфобеза за январь 2024 года

#

Январь выдался богатым на интересные инфобез-новости. Так, появилась информация о возвращении ZLoader — стоявшие за малварью злоумышленники пустили в ход новую версию. Исследователи связали свежую рансомварь 3AM с выходцами из Conti, и пока последние продолжают киберпреступную деятельность, разработчик TrickBot был приговорён в США. Солидный тюремный срок достался и небезызвестному Pompompurin’у. А чешская Avast ушла из России. Об этом и других громких ИБ-новостях первого месяца года читайте под катом!

Возвращение ZLoader

Возвращение, которого никто не хотел, но некоторые ждали: всплыл новый вариант ZLoader. Спустя почти два года после того как Microsoft перехватила инфраструктуру малвари в апреле 2022-го. Согласно исследователям, новая версия находится в разработке с сентября прошлого года.

Написанный на основе утёкшего кода банковского трояна Zeus ZLoader был активен с 2015-го года и приобрёл известность в 2016-м после атаки по немецким банкам. С 2019-го его обновлённый вариант продвигали под именем «Silent Night». Увы, спустя два года после удара по ботнету ночь перестала быть тихой.

В свежую версию малвари добавили новые методы обфускации, обновлённый алгоритм генерации доменных имён, RSA-шифрование и поддержку 64-битных систем. Из старого всё так же куски мусорного кода и шифрование строк для затруднения анализа. В общем, возвращение ZLoader предвещает череду рансомварь-атак. Подробнее о новой версии старой угрозы читайте в отчёте.

Приключения Conti после Conti

К вопросу о жизни Conti после их неудачной попытки играть в геополитику и последовавшего за этим развала. Исследователи связали свежую рансомварь 3AM с бывшими членами группировки.

Вредонос всплыл в сентябре, но вот инфраструктура, сервера и прочее у него от Conti. Так, используемый 3AM айпишник светился у Conti на доставке Cobalt Strike ещё в 2020-м году. Саму же рансомварь, судя по всему, распространяют её бывшие члены, работающие под брендом Royal, бывшие члены Conti из Team 2.

Помимо старой инфраструктуры у ушедших в тень членов Conti новые методы давления на жертв. Группировка, стоящая за 3AM, использует ботов в eX-Твиттере, чтобы оставлять ссылки на утечки в комментариях популярных аккаунтов. Кроме того, они рассылают информацию о взломе подписчикам жертв в соцсетях. Однако судя по тому, что группировка пока использовала это ноу-хау социальной инженерии только один раз, особого выхлопа оно не принесло.

Аваст попрощалась с Россией

В январе ещё одна крупная IT-компания ушла из России: чешская Avast закрыла доступ к своим продуктам пользователям из РФ. То есть попросту заблокировала их работу на территории России.

29 января юзеры по всей стране столкнулись с отказом софта на ПК и мобильных устройствах. Ни Avast, ни AVG, включая и бесплатную версию последнего под Андроид, больше не функционируют. Ограничения коснулись и популярной утилиты CCleaner. Сайты компании из РФ теперь тоже недоступны. Служба поддержки Avast же доверительно сообщает, что услуги на территории России и Беларуси больше не предоставляет. Ну а при запуске софта пользователя ждёт лишь ехидное окошко «К сожалению, этот продукт не поддерживается в вашем текущем местоположении».

Иными словами, наше положение в пространстве-времени и всё ему сопутствующее чехам не по душе. Желающим продолжать использовать софт придётся подрубать VPN или танцевать с DNS-бубном.

Мать всех утечек

В ушедшем месяце исследователи из Cybernews обнаружили супермассивную чёрную дыру утёкших данных. Тщательно перепакованная и реиндексированная из прежних сливов коллекция получила название «Мать всех утечек». И вполне заслуженно. В массиве 12 терабайт данных. И 26 миллиардов записей.

Всего в сливе 3,800 папок, по одной на каждую вошедшую в него утечку. И высока вероятность, что в нём также ранее не встречавшиеся в сети данные. Сотни миллионов строк с Weibo, Twitter, LinkedIn, VK, Telegram и других площадок. Данные правительственных организаций разных стран. И прочее-прочее.

В общем, потенциально у нас кандидат на беспрецедентное воздействие по всей индустрии, особенно в отношении среднего пользователя с его повторяющимися паролями. Год начинается ярко, прямиком с невиданных ранее рекордов.

Публикация данных пользователей Альфа-Банка

В середине октября проукраинские хакеры заявляли о взломе Альфа-банка и утечке их базы данных. В ней якобы ни много ни мало 38 миллионов клиентов банка. Ну а в январе по следам осенних обещаний взломщики сообщили об обещанной публикации всей базы. В ней по заявлениям злоумышленников ФИО, дата рождения, номера счетов, телефоны физических и юридических лиц. Таблица на 115 миллионов записей с 2004-го года.

Тем не менее, резонансных случаев с кражей денег клиентов банка пока не было, что заставляет усомниться в заявлениях хакеров. Альфа-банк же верен себе и на развёрнутые комментарии каких-то там невнятных сливов не разменивается. Как и в октябре, кратко и довольно косноязычно сообщили следующее: «Это фейк. Сведения скомпилированы из разных источников, где люди оставляют данные про себя». По следам таких заявлений хочется данные про себя более нигде не оставлять, особенно в документах на открытие банковского счёта.

Громкие приговоры января

В прошлом месяце разработчика TrickBot Владимира Дунаева, он же FFX, приговорили к пяти годам и четырём месяцам тюрьмы в Штатах. 40-летний гражданин России был арестован в Южной Корее в сентябре 2021-го и экстрадирован в США. Там его и восьмерых подельников и судили за разработку малвари.

Дунаев начал работу на стоявших за TrickBot злоумышленников в 2016-м году. Небезызвестная малварь функционировала в качестве инфостилера и банковского трояна, ответственного за кражу десятков миллионов долларов. Это уже второй разработчик, обвиняемый в работе над Trickbot, после Аллы Витте.

Между тем в феврале и сентябре прошлого года 18 связанных с TrickBot и Conti человек попали под санкции США. Иными словами, Contigate 2022-го продолжает аукаться всем причастным, и о судах над участниками преступного синдиката, скорее всего, мы услышим ещё не раз.

И наконец, в январе подошла к концу история товарища Pompompurin’a, управлявшего BreachForums. 21-летний Конор Брайан Фицпатрик получил 15 лет тюрьмы. Приговор прокуратура оценила как «достаточный, но не чрезмерный». Pompompurin был арестован в марте прошлого года.

Пока шло следствие, он успел нарушить условия освобождения под залог в $300 тысяч и был повторно задержан ФБР. Помимо же, собственно, киберпреступных дел, этот мегамозг умудрился попасться на хранении детской порнографии, что добавило ему ещё несколько лет срока и сильно усложнило жизнь в тюрьме.

BreachForums, напомню, был возрождённой версией RaidForums и служил главным хабом для сливов украденных данных. Продержался он, впрочем, недолго — всего год. Провожая Pompompurin’a с киберпреступной сцены, можно вспомнить его нашумевший взлом почтового сервера ФБР и обнаруженный на лбу у Брайана Кребса ботнет. Увы, веселье для него закончилось.

07.02.2024 Блог
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных