Относительно слива «Karmsund Maritime Group AS», о котором мы писали утром - еще в середине июля этого года, операторы вируса-вымогателя «Maze» заявили о том, что проникли в сеть этой компании, но никаких данных тогда слито в паблик не было.

Однако, текущий слив явно произошел позднее (в начале августа).

На продажу выставлен дамп базы пользователей “защищенного” 🤣 почтового сервиса «VFEMail.net» (адреса: @vfemail.net, @clovermail.net, @isonews2.com, @mail-on.us, @manlymail.net, @chewiemail.com, @openmail.cc, и др.).

7,115,459 строк, содержащих:

🌵 логин
🌵 адрес эл. почты
🌵 хешированный (MD5 и SHA-512) пароль
🌵 IP-адрес

Дамп датируется апрелем 2020 г.

В феврале 2019 г. данный “защищенный” 🤣 почтовый сервис подвергся хакерской атаке, в результате которой часть данных пользователей была уничтожена (были отформатированы все диски на всех американских серверах). После этого инцидента часть данных была восстановлена из бэкапа. 🙈

В Ростове-на-Дону суд признал виновными сотрудницу офиса продаж оператора сотовой связи Наталью Артамонову и посредницу Стеллу Собчук, которые продали детализацию звонков абонента местному бизнесмену Вадиму Масловскому.

Как было установлено, бизнесмен, являясь учредителем одной из фирм, решил проконтролировать генерального директора своей компании и за деньги заказал “мобильный пробив” у знакомой. За свою услугу посредница получила вознаграждение.

Заказчик и посредница признали свою вину по ч.1 ст.138 УК РФ (нарушение тайны телефонных переговоров) и отделались штрафом в 15 и 10 тыс. рублей соответственно.

Сотрудница оператора сотовой связи признана виновной по ч. 2 ст.138 УК РФ (нарушение тайны телефонных переговоров с использованием своего служебного положения) и ч. 2 ст.272 УК РФ (неправомерный доступ к компьютерной информации, совершенный из корыстной заинтересованности) и получила один год и шесть месяцев условно.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В Пензенской области силами отдела «К» регионального управления МВД и УФСБ России по Пензенской области при участии Управления «К» БСТМ МВД России и ФСБ России пресечена деятельность "хакерской" группировки, известной на теневых форумах под именем «Gods Of Logs». 👇

Перед судом предстали трое участников преступной группы - 21-летний уроженец одной из стран ближнего зарубежья, 27-летний житель города Заречного Пензенской области и 32-летний житель Москвы.

В начале 2019 г. все трое договорились о создании вредоносной программы (HVNC-бот плюс т.н. “стиллер”), предназначенной для похищения логинов/паролей и данных банковских карт с зараженных компьютеров, и последующем её распространении для использования сторонними лицами. Уроженец ближнего зарубежья занимался написанием кода, а задачей двух других было тестирование и продажа вредоносной программы, а также поиск и поддержка клиентов.

После того, как программа была готова к использованию, она стала распространяться на теневых форумах (wwh, xss, skynetzone и др.) по модели подписки (Malware-as-a-Service). В Telegram был создан канал программы (@GodsOfLogs) и бот для ее поддержки (@hvnc_bot). По данным следствия, в период с марта по октябрь 2019 г. доступ к программе оплатили не менее четырёх неустановленных лиц.

Кроме того, злоумышленники и сами использовали свою программу, “заливая” на HVNC-бота американский и европейский трафик, а затем, используя данные банковских карт жертв, “вбивали” на booking.com отели Турции и Грузии, зарабатывая на кешбэке и выводя деньги в биткоины. Тут хочется отметить, что свою деятельность некоторые члены группировки начинали в 2016 г. именно с кардинга и позже даже продавали скиммеры. 😎

В декабре 2019 г. злоумышленники встретились в Пензе, где планировали совместно продолжить работу над вредоносной программой, но были арестованы и помещены под стражу. В ходе обысков были изъяты компьютеры, мобильные телефоны и другие носители информации, содержащие доказательства незаконной деятельности. Кроме того, в квартире, которую злоумышленники арендовали в Пензе, обнаружили и изъяли синтетические наркотики (мефедрон), которые обвиняемые приобрели для личного употребления.

Обвинение было выдвинуто по статье 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) и статье 228 УК РФ (незаконное приобретение и хранение наркотиков). Суд над злоумышленниками состоялся 11 августа и каждому было назначено наказание в виде двух лет лишения свободы условно.

Примеры объявлений, размещенных группировкой «Gods Of Logs» на теневых форумах.

Про «Gods Of Logs» вышел YouTube-ролик с более детальным рассказом. 👇

https://www.youtube.com/watch?v=n-10E5UyGpM

Проанализировали дамп пользователей хостинга “шокирующих” видео-роликов shockgore.com.

Дамп датирован 11.08.2020 и содержит 73,797 строк:

🌵 логин
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 пол
🌵 хешированный (MD5) пароль (59,889 уникальных)
🌵 дата регистрации и последней активности (с 13.05.2018 по 11.08.2020)
🌵 IP-адрес

Из 59,9 тыс. хешей “расшифровано” 38,4 тыс., при этом 92% пар логин/пароль – уникальные и ранее не встречались в других утечках. 👍

В Пензенской области сотрудники полиции и ФСБ России задержали еще одну “хакерскую” группировку (два дня назад мы писали про арест «Gods Of Logs»). На этот раз речь идет о группе «BlowMind», промышлявшей воровством YouTube-каналов. 👇

В июле 2020 г. возбуждено уголовное дело по факту создания и распространения вредоносной компьютерной программы (ч. 2 с. 273 УК РФ). В совершении преступления подозреваются шесть жителей Пензы в возрасте от 17 до 20 лет, которые были задержаны 16.07.2020.

Группировка была создана в январе 2020 г. Злоумышленники договорились о написании “стиллера”, который будет воровать cookies и логины/пароли из браузеров.

В состав группировки вошли: организатор и координатор группы (blackhatqq, bet1sh, estilmate), Python-разработчик (munqush), поддержка (ParatrooperA), “логер” (SwedenOptimaTeen) и др.

Затем были наняты (за процент от последующей продажи украденных каналов) более 200 т.н. “воркеров”, в чьи задачи входил поиск владельцев YouTube-каналов и навязывание им (через методы социальной инженерии) запуска “стиллера”. Для них даже было написано специальное руководство.

“Воркеров” искали через многочисленные теневые форумы. Что интересно, позже на этих форумах стали появляться жалобы на «BlowMind» (жаловались на обман, маленькие выплаты и т.п.). Некоторые аккаунты членов группировки даже были заблокированы за мошенничество. 😂

Жертвам (владельцам YouTube-каналов) “стиллер” засылался под видом легитимного ПО. Под это ПО создавались фейковые сайты и владельцам каналов предлагалось за деньги сделать его обзор (для этого и надо было запустить вредоносный EXE-файл). Размер исполняемого файла “стиллера” специально был раздут до 550 Мб, чтобы его невозможно было загрузить на проверку в virustotal.com.

В ранних версиях “стиллер” фактически поддерживал только браузер Chrome начиная с версии 80 (из Edge/Yandex Browser/Firefox данные не воровались), но позднее была добавлена поддержка всех популярных браузеров и даже не самых популярных (например, Vivaldi).

В результате действий злоумышленников были взломаны и похищены несколько сотен популярных YouTube-каналов. Похищенные таким образом каналы затем перепродавались. 😱

Примеры объявлений, размещенных группировкой «BlowMind» на теневых форумах.

В июле написали, что в Хакасии было утверждено обвинительное заключение по уголовному делу в отношении 23-летнего сотрудника одного из операторов сотовой связи, который в сентябре 2019 г. осуществил неправомерный доступ к сведениям о детализации телефонных переговоров 4-х пользователей мобильного оператора, а затем передал их за деньги третьему лицу.

29 июля 2020 года Абаканским городским судом Республики Хакасия сотруднику оператора сотовой связи вынесен обвинительный приговор и назначено наказание в виде лишения свободы сроком 2 года условно. Приговор вступил в законную силу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В начале июля на теневых форумах появилась в продаже «Таможенная база ВЭД России за 2018 год».

Продавец утверждает, что в базе, формата Cronos, 23 млн. записей и более 70 полей с данными.

Чуть позже, на одном из форумов по бесплатному обмену базами, появились эти же данные (судя по составу полей и размеру) в условно-открытом доступе.

Всего 22,870,294 строк, содержащих:

🌵 данные декларации
🌵 данные отправителя
🌵 данные получателя
🌵 данные товара
🌵 стоимость
🌵 дату
🌵 и многое другое

Ранее мы писали, что был задержан сотрудник таможенной службы, который выгружал данные о таможенном декларировании и системе управления профилями рисков из «Единой автоматизированной системы таможенных органов» (ЕАИС ТО).

В СМИ снова обсуждают очередную псевдо-утечку – в открытом Elasticsearch-сервере найдено 235 млн. профилей пользователей социальных сетей Instagram, TikTok и Youtube. 🤦‍♂️

Данные представляют собой парсинг профилей социальных сетей и фактически содержат только ту информацию, которую оставили о себе сами пользователи. Информация собиралась маркетинговым агентством «Deep Social».

Такие базы регулярно появляются в открытом доступе и никакими утечками они конечно не являются. 😂 Однако, подобный сбор данных профилей пользователей, как правило запрещен лицензионными соглашениями социальных сетей.

В мае система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержались данные собранные парсингом более 300 млн. профилей социальных сетей Facebook, Instagram, Twitter, LinkedIn, Google+, а также пользователей Telegram и некоторых блог-платформ.

В Саратове задержаны два сотрудника Поволжского филиала ПАО «Мегафон».

Установлено, что один из сотрудников имел доступ к информационной системе оператора связи, копировал персональные данные абонентов и передавал их другому сотруднику салона связи «Мегафон», а тот продавал полученную информацию третьим лицам. Проще говоря, сотрудники «Мегафон» занимались т.н. “мобильным пробивом”.

В отношении обоих злоумышленников возбуждены уголовные дела по ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и ч. 3 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

👇В дополнение к вчерашней теме про псевдо-утечку 235 млн. профилей Instagram, TikTok и Youtube.👇

Вчера система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержались данные более 200 млн. пользователей микроблогинговых платформ Twitter и Weibo.

Данные представляют собой парсинг профилей социальных сетей и фактически содержат только ту информацию, которую оставили о себе сами пользователи. Для Twitter собрано 44,028,450 профилей, а для Weibo - 164,575,053. Причем сбор и обновление данных все-еще продолжается. 🔥

Хранение собранных данных обеспечивает кластер из 21 сервера.

Открытый Elasticsearch-сервер принадлежит китайской компании «CYYUN» (www.cyyun.com/product_service_en.htm), поставщику “больших данных”. 😎

В Омске закончилось расследование уголовного дела в отношении 29-летней сотрудницы коммерческого банка, торговавшей данными VIP-клиентов.

В результате “контрольной закупки” полицейские получили от менеджера банка данные о состоянии счета жителя Республики Мордовия. Денежное вознаграждение в размере 8 тыс. рублей было выплачено ей на электронный кошелек.

Далее следователи выяснили, что, используя свой логин, сотрудница осуществила доступ к базе клиентов банка и скопировала информацию на свои носители.

Было возбуждено два уголовных дела по ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и ч. 2 ст. 183 (незаконные разглашение банковской тайны без согласия владельца информации). Материалы направлены в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Новое видео, с разбором того, как группировка «BlowMind» "взламывала" и воровала YouTube-каналы. 👇

https://www.youtube.com/watch?v=Maccq02HDpw

Про «BlowMind» мы писали ранее.

Система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержались данные, собранные очередной компанией-поставщиком “больших данных”. 🤣 На этот раз речь идет о компании «Salestools» (salestools.io, voogy.com), поставщике аналитической платформы для автоматизации продаж.

В открытом доступе оказались более чем 57 млн. профилей пользователей, собранных в основном из социальной сети LinkedIn и обогащенных дополнительной информацией из других источников. 🔥🔥

На момент обнаружения, в индексе «salestools_data_2_people» находилось 57,862,000 строк:

🌵 полное имя
🌵 город, страна (50 тыс. из России)
🌵 ссылка на профиль LinkedIn
🌵 место работы, индустрия, должность, вебсайт

В индексе «salestools_prospector_2_prospects» находилось 19,028,622 строки, представляющих из себя обогащенные данные из предыдущего индекса:

🌵 полное имя
🌵 адрес эл. почты (10,8 млн. из них 2,9 млн. - подтвержденных)
🌵 телефон (4,5 млн.)
🌵 город, страна (99,7 тыс. из России)
🌵 ссылка на профили в социальных сетях (в основном LinkedIn, но попадаются Facebook, Twitter, Xing)
🌵 место работы, индустрия, должность, вебсайт, оборот компании, кол-во сотрудников
🌵 дата создания и обновления записи (с 21.03.2016 по 04.06.2020)

В одном из индексов даже содержался логин и пароль администратора: 🤦‍♂️

"_source": {
"password": "7+Vv*********qd!",
"roles": [
"superuser"
],
"full_name": "Salestools Admin",
"email": "[email protected]",
"metadata": {
"intelligence": 7
}
}

(реальные данные скрыты нами)

Через несколько часов после обнаружения открытого сервера нами, его нашел и уничтожил в нем данные “червь” «meow» («мяу»), про который мы писали ранее.

Пример данных, которые собирает и хранит salestools.io и которые они оставили в открытом доступе.

3 дня назад хакеры Anonymous взломали министерство здравоохранения (MINSA) Никарагуа и выложили в открытый доступ архив с документами.

В архиве 400 файлов (в основном MS Excel), в том числе база данных в формате MS Access, содержащая данные по пациентам (21,172 записи) с COVID-19.

Суд Омска вынес приговор бывшему главному бухгалтеру Омской объединенной технической школы ДОСААФ России, признав ее виновной в совершении преступления, предусмотренного ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом информации, если это деяние повлекло уничтожение, блокирование и копирование компьютерной информации).

В феврале 2019 г., после увольнения, М. Вольхина через интернет в целях возможного последующего шантажа бывшего работодателя осуществила неправомерный доступ к базам данных учреждения. При этом ею на сервере технической школы были сознательно уничтожены важные сведения, содержащие коммерческую тайну, а также персональные данные сотрудников Омской объединенной технической школы ДОСААФ России. 🤦‍♂️

Ей назначено наказание в виде денежного штрафа 200 тыс. руб.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.