- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Этой весной пользователи Nintendo начали массово сообщать о том, что их учетные записи были взломаны, и неизвестные лица входили в аккаунт из самых разных стран мира. Хуже того, многие пострадавшие теряют деньги в результате таких компрометаций.
Журналисты издания ZDNet пишут, что эта волна взломов берет начало примерно в середине марта 2020 года, а в минувшие выходные она достигла своего пика. Так, в последние дни все больше пользователей получают по почте уведомления о том, что к их профилям получали доступ посторонние лица с подозрительными IP-адресами.
Крупный поставщик ИТ-услуг, американская компания Cognizant, стал жертвой шифровальщика Maze. Атака привела к перебоям в обслуживании некоторых клиентов.
Cognizant предоставляет локальные и облачные услуги для других компаний по всему миру, в том числе технологические, консалтинговые и операционные (специалисты компании дистанционно управляют машинами своих клиентов для установки исправлений, обновления ПО, предоставляют услуги удаленной поддержки и так далее). Штат компания насчитывает около 300 000 сотрудников по всему миру, она занимает 193 место в списке Fortune 500, а среди ее клиентов чистятся крупные банковские организации, компании из сферы здравоохранения, производства и многие другие.
В минувшие выходные ИТ-гигант подтвердил, что пострадал от атаки шифровальщика, сообщив, что системы компании оказались заражены вымогателем Maze. Пока не сообщается, сколько именно систем пострадало, но известно, что инцидент перевел к перебоям в обслуживании некоторых клиентов, а также, в теории, создал для них угрозу.
Представители компании уже обратились в правоохранительные органы и опубликовали индикаторы компрометации для своих клиентов, в том числе IP-адреса серверов и хэши файлов kepstl32.dll, memes.tmp и maze.dll. Перечисленные в этом списке IP-адреса и файлы уже использовались в предыдущих атаках Maze.
Опираясь эти данные, ИБ-эксперт Виталий Кремез подготовил правило Yara, которое можно использовать для обнаружения DLL шифровальщика Maze.
Также журналисты отмечают, что в злоумышленники, вероятно, присутствовали в сети Cognizant много недель и постепенно продвигались все дальше, компрометируя все больше систем. Кроме того, Bleeping Computer напоминает, что перед развертыванием шифровальщика операторы Maze всегда крадут файлы компаний, а затем используют похищенную информацию против пострадавших в качестве дополнительного рычага давления. Так, вымогатели угрожают обнародовать украденные данные, если жертва не заплатит. К сожалению, эти угрозы нельзя назвать пустыми, так как у группировки есть специальный сайт, где действительно публикуются данные компаний, которые отказались платить.
При этом до сих пор неясно, как именно злоумышленники взламывают аккаунты. Возможно, хакеры используют атаки типа credential stuffing, но это лишь одна из теорий. Напомню, что таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
Однако многие пострадавшие уверяют, что использовали для своих учетных записей сложные и уникальные пароли, в том числе созданные с помощью парольных менеджеров. А значит, хакеры могут применять не только credential stuffing и перебирать наиболее распространенные комбинации учтенных данных.
Нередко пострадавшие сообщают и о потере денежных средств в результате взлома. В некоторых случаях хакеры покупают игры Nintendo за чужой счет, но чаще всего злоумышленники приобретают игровую валюту Fortnite через привязанную к профилю Nintendo карту или аккаунт PayPal.
Журналисты издания ZDNet пишут, что эта волна взломов берет начало примерно в середине марта 2020 года, а в минувшие выходные она достигла своего пика. Так, в последние дни все больше пользователей получают по почте уведомления о том, что к их профилям получали доступ посторонние лица с подозрительными IP-адресами.
Крупный поставщик ИТ-услуг, американская компания Cognizant, стал жертвой шифровальщика Maze. Атака привела к перебоям в обслуживании некоторых клиентов.
Cognizant предоставляет локальные и облачные услуги для других компаний по всему миру, в том числе технологические, консалтинговые и операционные (специалисты компании дистанционно управляют машинами своих клиентов для установки исправлений, обновления ПО, предоставляют услуги удаленной поддержки и так далее). Штат компания насчитывает около 300 000 сотрудников по всему миру, она занимает 193 место в списке Fortune 500, а среди ее клиентов чистятся крупные банковские организации, компании из сферы здравоохранения, производства и многие другие.
В минувшие выходные ИТ-гигант подтвердил, что пострадал от атаки шифровальщика, сообщив, что системы компании оказались заражены вымогателем Maze. Пока не сообщается, сколько именно систем пострадало, но известно, что инцидент перевел к перебоям в обслуживании некоторых клиентов, а также, в теории, создал для них угрозу.
Представители компании уже обратились в правоохранительные органы и опубликовали индикаторы компрометации для своих клиентов, в том числе IP-адреса серверов и хэши файлов kepstl32.dll, memes.tmp и maze.dll. Перечисленные в этом списке IP-адреса и файлы уже использовались в предыдущих атаках Maze.
Опираясь эти данные, ИБ-эксперт Виталий Кремез подготовил правило Yara, которое можно использовать для обнаружения DLL шифровальщика Maze.
Журналисты издания Bleeping Computer сообщают, что операторы Maze отказались обсуждать с ними данную атаку и не взяли на себя ответственность за взлом Cognizant. Скорее всего, хакеры не готовы обсуждать этот инцидент, чтобы не осложнять ситуацию, пока идет обсуждения выкупа (подобные прецеденты уже были).
Также журналисты отмечают, что в злоумышленники, вероятно, присутствовали в сети Cognizant много недель и постепенно продвигались все дальше, компрометируя все больше систем. Кроме того, Bleeping Computer напоминает, что перед развертыванием шифровальщика операторы Maze всегда крадут файлы компаний, а затем используют похищенную информацию против пострадавших в качестве дополнительного рычага давления. Так, вымогатели угрожают обнародовать украденные данные, если жертва не заплатит. К сожалению, эти угрозы нельзя назвать пустыми, так как у группировки есть специальный сайт, где действительно публикуются данные компаний, которые отказались платить.
При этом до сих пор неясно, как именно злоумышленники взламывают аккаунты. Возможно, хакеры используют атаки типа credential stuffing, но это лишь одна из теорий. Напомню, что таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
Однако многие пострадавшие уверяют, что использовали для своих учетных записей сложные и уникальные пароли, в том числе созданные с помощью парольных менеджеров. А значит, хакеры могут применять не только credential stuffing и перебирать наиболее распространенные комбинации учтенных данных.
Нередко пострадавшие сообщают и о потере денежных средств в результате взлома. В некоторых случаях хакеры покупают игры Nintendo за чужой счет, но чаще всего злоумышленники приобретают игровую валюту Fortnite через привязанную к профилю Nintendo карту или аккаунт PayPal.
В социальных сетях можно найти множество подобных жалоб. Хотя пока точных данных о количестве взломанных аккаунтов нет, проблема явно имеет немалый размах. Пострадали от атак и известные личности, к примеру, редактор игровых обзоров издания ArsTechnica.
Ссылаясь на собственные источники в ИБ-сообществе, журналисты ZDNet пишут, что обнаружили в интер
