Дайджест событий в мире кибербезопасности за 2022 год

Масштабы и разнообразие киберпреступлений в 2022 году впечатляют. Редакция DDoS-Guard просмотрела тысячи инфоповодов и сделала подборку с инфографикой.



Январь
2022 год начался с нестандартных краж: киберпреступники похитили NFT-токены со «скучающими обезьянами» на 2,2 млн долларов, получив доступ к облачному хранилищу коллекционера Тодда Крамера.

NFT (non-fungible token — англ.) представляет собой уникальный виртуальный идентификатор, созданный на базе блокчейн-технологий. NFT используют для подтверждения прав на владение цифровыми активами: изображениями, музыкой, игровыми предметами и другими.

• Сразу две финансовые онлайн-платформы стали жертвами взлома. Сначала хакеры увели $80 млн цифровых активов из Qubit. А позже у пользователей криптобиржи Crypto.com украли $15 млн.
• Пожалуй, самая громкая новость января, разлетевшаяся по всему миру, связана с арестом хакерской группировки REvil. В течение многих лет REvil зарабатывала сотни миллионов долларов на корпорациях. Используя специализированное вирусное ПО, злоумышленники сливали и зашифровывали данные компаний, а затем требовали у них выкуп за восстановление.

Февраль
В феврале 2022 мир накрыло неожиданным снегом и заморозками. В Канаде дворовые коты в попытке согреться «атаковали» спутниковую тарелку Starlink и оставили её владельца без интернета. В соцсетях эту ситуацию прозвали «уязвимостью CAT5». Вышло иронично, ведь так называется стандартный интернет-кабель, а котов на тарелке как раз 5 штук.

• За новостью о январском аресте REvil, последовала еще одна: под ликвидацию попала группировка Lurk. Члены группировки проводили масштабные атаки на банковскую систему и госучреждения. За годы «карьеры» они успели внедрить вредоносное ПО в сети крупнейших банков, похитив в сумме 1,26 миллиарда рублей.
• Команда вымогателей Lapsus$ получила несанкционированный доступ к почтовому серверу Nvidia и установила вредоносное ПО, в результате чего завладела 1 ТБ данных компании. Сотрудники компании не смирились с потерей данных — в качестве ответного удара они проникли в систему хакеров и зашифровали украденные данные. Lapsus$ заявили, что у них осталась резервная копия, защищенная от взлома.

• Встречайте одну из крупнейших криптовалютных краж с хэппи-эндом: хакеры увели более $324 млн в криптовалюте из блокчейн-платформы Wormhole, а затем вернули всю сумму. Разработчики Wormhole предложили вознаграждение в $10 млн за подробности об эксплойте и возвращении украденных средств. Похоже, это один из редких случаев, когда хакеры сменили черные шляпы на белые.
• Black hats — хакеры, которые нарушают закон и совершают неправомерные действия в виде взломов и вымогательств.
• White hats — специалисты, которые находят уязвимости, но не выходят за рамки закона и не вымогают деньги. Крупные компании готовы платить за обнаружение критически важного бага десятки и даже сотни тысяч долларов.
• Последний день февраля ознаменовался утечкой данных пользователей «Яндекс.Еды». Миллионы строк с адресами, номерами телефонов, именами и подробностями заказов оказались в руках злоумышленников. Компания подчеркивала, что данные банковских карт не попали в открытый доступ.

Март

• История с «Яндекс.Едой» получила продолжение: сервис разослал уведомления владельцам скомпрометированных данных, опубликовал пресс-релиз и официальные комментарии с извинениями. В конце марта в сети появился сайт с интерактивной картой и информацией о доставках за последние полгода. Сайт был позже заблокирован, а пользователи «Яндекс.Еды» подали коллективные иски против компании.
• Финансовые организации, СМИ и другие проекты, так или иначе связанные с российским правительством, в марте оказались под угрозой массированных кибератак. Многие сайты также подверглись взлому: «Коммерсантъ», «Известия», Forbes, Buro 24/7, РБК, ТАСС, Znak, «Фонтанка.ру» и E1.
• Сервис доставки Boxberry подвергся массированной DDoS-атаке, которая вызвала временные перебои в работе сайта и личных кабинетов пользователей. Компания сообщила, что также наблюдались проблемы с оформлением заказов, отправкой и выдачей посылок.
• На зарубежных хакерских форумах и в Телеграм-каналах развернулись кампании по организации DDoS-атак на российские сайты. На фоне этих событий специалисты DDoS-Guard зафиксировали феноменальный всплеск вредоносного трафика.

Апрель

• В сети появилась новая хакерская организация Black Cat, которая практикует двойное вымогательство. Сначала хакеры похищают данные и требуют выкуп за предотвращение утечки, а затем требуют оплату за расшифровку.
• После введения санкций против «Сбера» из App Store и Google Play удалили официальные приложения банка. На фоне этого мошенники стали распространять поддельные приложения через Телеграм-каналы и чаты в мессенджерах. А после ухода Intel и других зарубежных брендов в рунете появились поддельные онлайн-магазины Apple и Samsung.
• Злоумышленники также предлагали услуги посредничества при оплате подписок PlayStation, Youtube, Amazon и Prime. Мы рекомендуем не жалеть времени и внимательно изучать всю информацию о сайтах и товарах, чтобы убедиться в честности магазина и не потерять свои деньги.
• Еще один вредоносный тренд был замечен в сегменте NFT-игр. Хакеры взломали мобильную игру Axie Infinity и завладели $625 млн в криптовалюте. А спустя неделю жертвой аналогичного взлома стала игра WonderHero, весь внутриигровой контент которой представляет собой NFT токены. За промежуток времени, когда разработчиком был замечен взлом и отключены игровые серверы, злоумышленникам удалось вывести токенов на сумму $300 000.

Май

• Начало месяца принесло новость об очередной утечке данных. В центре внимания оказалась база клиентов лаборатории «Гемотест». Хакеры выставили на продажу более 30 миллионов строк, среди которых ФИО, даты рождения, адреса, паспортные и контактные данные. Позднее появился еще один лот, содержащий более 500 млн. результатов анализов пациентов.
• Новая карта с данными 6 млн пользователей Яндекс.Еды, WildBerries, Avito, ГИБДД и других сервисов появилась в интернете. Она пополнилась номерами автомобилей, ссылками на соцсети и списком публичных личностей, имевших аккаунты на скомпрометированных ресурсах.

• В сеть также попала информация о курьерах и заказах пользователей Delivery Club. По разным данным, объем базы составил 250 млн строк.
• От слива данных не спрятаться даже за сервисами VPN. В сеть выложили данные 21 миллиона пользователей SuperVPN, GeckoVPN и ChatVPN. В базе содержатся полные имена, никнеймы, адреса электронной почты, платежные данные и случайные строки паролей. Мы собрали все риски использования бесплатных VPN и советы по выбору надежного сервиса в специальном материале.

Июнь

• Встретили лето с новостями об утечке конфиденциальных данных авиакомпании Pegasus Airlines. Массив в 6,5 терабайт содержит 23 млн файлов с исходным кодом корпоративного сервиса, журналами безопасности, информацией о членах экипажа и другими данными, которые попали в сеть из-за некорректной настройки облачного хранилища.
• Данные пользователей GeekBrains тоже оказались в открытом доступе: в обнародованном файле около 100 000 строк с ФИО и контактами. Но это был только тизер — полная версия базы насчитывает 6 млн строк.
• «Ростелеком» дважды за месяц оказался в центре внимания: сначала в сеть утекла база сотрудников, а через несколько дней после инцидента в интернете также появились данные пользователей «Умного дома» — сервиса для наблюдения за жильем в целях безопасности.
• Блокчейн-мост Horizon потерял $100 млн в результате взлома. Средства выводили в течение трех дней, используя один и тот же алгоритм. Из-за совпадения времени транзакций с часовым поясом Азиатско-Тихоокеанского региона под подозрение попала хакерская группировка Lazarus.
• С началом приемной кампании на сайты вузов по всей стране обрушились DDoS-атаки. Портал «Госуслуг» также стал жертвой массированной атаки и в течение нескольких часов работал нестабильно. В DDoS-Guard зафиксировали всплеск вредоносной активности и подвели итоги первого полугодия — наша сеть фильтрации отразила более 500 000 атак.

Июль

• Хакеры взломали базу данных полиции Шанхая и получили доступ к персональным данным 1 миллиарда жителей Китая. За массив с именами, адресами, контактами и национальными идентификаторами общим объемом в 23 Тб злоумышленники хотят получить 10 биткоинов.
• В Южной Корее мощная ransomware-атака парализовала работу национальной системы вызова такси. Компании пришлось заплатить выкуп, чтобы получить ключ дешифровки и восстановить свои сервисы.
• В результате взлома финансовая площадка Crema Finance потеряла $8,8 млн. Однако позже компании удалось заключить сделку с хакером. Он вернул большую часть суммы и в качестве вознаграждения получил $1,65 млн.
• По данным РБК, за первое полугодие 2022 различные криптоплатформы суммарно потеряли более $670 млн.
• В открытом доступе оказались 2,5 млн строк с информацией о пользователях сервиса покупки билетов «Туту.ру». А «Почта России» допустила утечку в 10 млн строк с ФИО, адресами и другими деталями отправлений.

Август
Злоумышленники распространили в сети вирусный файл, который выдает себя за приложение DDoS-Guard. Напомним, что у DDoS-Guard нет ПО, которое требовалось бы устанавливать на пользовательские устройства.

• Хакерская группировка Quantum парализовала работу Доминиканского аграрного института. Злоумышленники зашифровали данные и потребовали выкуп в размере $600 000 за расшифровку. От аналогичной программы-вымогателя пострадал и американский производитель одежды HanesBrands. Компания была вынуждена приостановить поставки и потеряла $100 млн.
• Блокчейн Solana подвергся масштабной атаке с помощью неизвестного эксплойта. Под удар попало более 7900 кошельков, владельцы которых потеряли $5,8 млн.
• Сведения о десятках тысяч клиентов компании «СДЭК» утекли в сеть: имена, адреса электронной почты, телефоны, хешированные пароли и другая информация. База данных 44 млн пользователей онлайн-кинотеатра Start также оказалась в открытом доступе.
• Популярный генератор паролей LastPass был взломан. Хакеры похитили фрагменты исходного кода и часть проприетарной технической документации.
• Google отразил крупнейшую DDoS-атаку в истории – она длилась чуть более часа и насчитывала 46 млн запросов в секунду.

Сентябрь

• 1 сентября в результате атаки на «Яндекс.Такси» десятки машин отправились на вызовы в московский район Фили. Это спровоцировало огромную пробку и временные проблемы с реальными заказами.
• Неизвестный хакер получил доступ к внутренним сервисам Uber: корпоративной почте, облачному хранилищу и репозиториям. Злоумышленники с громкими именами также проявили себя в этом месяце:
• Киберпреступники из KillNet вывели из строя японскую платежную систему JCB, соцсеть Mixi и сервис, аналогичный российским «Госуслугам».
• Группировка REvil взломала производителя бытовой техники Midea и украла 400 Гб конфиденциальных данных.
• Команда BlackCat похитила 700 Гб данных у итальянской энергетической компании.

Октябрь

• В сеть утекли данные 16 млн пользователей магазина DNS: ФИО, адреса электронной почты, номера телефонов и юзернеймы.
• Хакеры из группировки LockBit заявили, что похитили 1,4 ТБ данных у DIY-ритейлера Kingfisher, включая личные данные сотрудников и клиентов.
• Группировка KillNet атаковала 14 сайтов американских аэропортов. Из-за DDoS-атаки стала недоступна информация о загруженности и времени ожидания.
• Российский хакер взломал платформу JEE, которая используется для проведения объединенного вступительного экзамена в Индии, и решал задачи за студентов.
• Приятная новость: инженеры Apple исправили ошибку, которая позволяла приложениям подслушивать разговоры с Siri.

Ноябрь
Последний месяц осени принес немало новостей об утечках информации:

• Группировка BlackCat атаковала французскую сеть товаров для дома Conforama и украла 1ТБ конфиденциальных данных компании.
• В открытый доступ попала база данных 2 миллиона пользователей российского сервиса вертикальных видео Yappy: телефоны, никнеймы, информация об устройствах и связанные идентификаторы VK и Google.
• В сеть слили базу из 7 млн уникальных номеров телефонов и других данных пользователей сервиса аренды самокатов Whoosh.
• Авиакомпания AirAsia стала жертвой атаки программы-вымогателя, в результате которой в открытом доступе оказались личные данные 5 млн уникальных пассажиров и всех сотрудников.
• Злоумышленники обнародовали данные 4 млн пользователей провайдера «Дом.ру». База содержит данные абонентов из Санкт-Петербурга: ФИО, дату рождения, ИНН, адреса, банковские реквизиты, а также номера телефонов.
• WhatsApp также не смог предотвратить утечку 500 млн. номеров телефонов пользователей из разных стран.
• Хакеры получили доступ к 130 репозиториям исходного кода DropBox. Помимо этого им стала доступна личная информация клиентов хостинга.
• В результате взлома можно лишиться не только данных, но и денег — так криптобиржа Deribit потеряла около $28 млн.

Декабрь
В Канаде прошел хакерский турнир Pwn2Own Toronto 2022. Участники проявили навыки взлома умных устройств, сетевых хранилищ, маршрутизаторов и мобильных телефонов. Самые успешные увезли домой почти миллион долларов в качестве вознаграждения.

Британский центр правительственной связи (GCHQ) опубликовал рождественскую открытку с ребусом для юных кибершпионов. Он состоит из головоломок по семи направлениям: кибербезопасность, лингвистика, шифрование, анализ, инжиниринг, взлом кода и математика. А чтобы расшифровать итоговое секретное послание, придется проявить нестандартное мышление.

На хакерском форуме опубликовали доступы к аккаунтам более 5 миллионов клиентов криптобиржи Gemini. Представители биржи рекомендуют настроить двухфакторную аутентификацию, чтобы злоумышленники не смогли использовать скомпрометированные данные и вывести средства с частных счетов.

Успешная фишинговая атака привела ко взлому сайта ФБР. Группировка Killnet получила доступ к аккаунтам 10 000 сотрудников и даже к их медицинским картам.

Сразу две австралийские компании сообщили об утечке данных. Страховая компания Medibank не смогла защитить информацию о 9,7 млн своих клиентов, а мобильный оператор Telstra — 130,000.

В сеть слили данные 242 тысяч пользователей онлайн-магазина Вкусвилл. Массив состоит из номеров телефонов, email-адресов и информации о заказах.

В руки злоумышленников также попали контактные данные сотрудников магазинов электроники DNS и персональные данные 900 тысяч пользователей Level.Travel — сервиса подбора путешествий.

Данная подборка не охватывает весь спектр киберпреступлений за 2022 год — мы выбрали ключевые моменты. Похоже, что главным трендом стали утечки данных, и в ближайшем будущем этот тренд продолжит набирать обороты.



Хотим напомнить, что DDoS-атаки остаются популярным инструментом для «прикрытия» взломов и перехвата конфиденциальной информации. Злоумышленники отвлекают внимание администраторов ресурса внезапными всплесками вредоносного трафика, выводят из строя часть инфраструктуры. Параллельно пытаются получить доступ к нужным серверам или внедряют вредоносные скрипты в код веб-приложения.