ciberataque al Dr. Web, fuga de nube de Fortinet, chantaje de un empleado / Sudo Null IT News

Ha llegado una selección de incidentes de seguridad de la información de alto perfil que ocurrieron o se dieron a conocer el mes pasado. En septiembre se produjeron ataques a proveedores de seguridad de la información, filtraciones en conocidas empresas nacionales y la filtración de datos de millones de estadounidenses al dominio público.

ingeniería inversa

Qué ha pasado: empleado obstruido el servidor del empleador y exigió un rescate.

como sucedió: El 25 de noviembre de 2023, los empleados de una empresa estadounidense anónima recibieron un correo electrónico con el título “Su red ha sido penetrada”. La carta decía que todos los administradores de TI perdieron el acceso a sus cuentas y que se destruyeron las copias de seguridad del servidor.

También había una amenaza en la carta. La persona desconocida prometió cerrar 40 servidores aleatorios de la empresa cada día durante 10 días si no le pagaban 20 bitcoins (en ese momento ~750 mil dólares).

Durante investigacionesque fue coordinado por el FBI, resultó que el atacante era Daniel Rhine, de 57 años. Trabajó para la misma empresa anónima como ingeniero.

Utilizando su conocimiento de la empresa y sus sistemas, bloqueó 254 servidores Windows corporativos. Ni los administradores ni los usuarios podían simplemente iniciar sesión en el sistema, porque… Las cuentas fueron eliminadas o tenían una contraseña diferente a la anterior. Tampoco hubo acceso a las copias de seguridad; Ryan las eliminó.

Un atacante fue sorprendido buscando información. El FBI determinó que Rhine usó una máquina virtual oculta y una computadora portátil personal para aprender a borrar cuentas, borrar registros de Windows y cambiar contraseñas de usuarios de dominio usando la línea de comando.

Como resultado, Rhine enfrenta numerosos cargos, que en conjunto podrían acarrear 35 años de prisión, así como una multa de 750 mil dólares.

¿Forte? Neto

Qué ha pasado: Proveedor de ciberseguridad Fortinet convertirse víctima de un ciberataque

como sucedió: El 12 de septiembre, un desconocido anunció que Fortinet había sido pirateado. En una publicación en un foro oscuro, dijo que recibió 440 GB de datos del servidor Sharepoint de la empresa. El hacker también dejó “credenciales” para ingresar al almacén de objetos, que supuestamente contiene todo lo robado, y dijo que intentó chantajear a Fortinet, pero fue rechazado.

El mismo día, el gigante de la ciberseguridad confirmó la filtración y dijo que “un individuo obtuvo acceso no autorizado a una pequeña cantidad de datos de clientes que estaban almacenados en una instancia de almacenamiento de archivos en la nube de un tercero”.

También en presione soltarpublicado en el sitio web de Fortinet, afirma que “el incidente afectó a menos del 0,3% de nuestra base de clientes y que no estuvo relacionado con el cifrado de datos o el acceso a la red corporativa de la empresa, ni resultó en ninguna actividad maliciosa dirigida a los clientes”.

Puerta pasada

Qué ha pasado: en la compañía de seguros Spasskie Vorota sucedió fuga de datos

como sucedió: El 16 de septiembre, los investigadores descubrieron un volcado de acceso público de la base de datos de la compañía de seguros Spasskie Vorota. Incluía números de teléfono, direcciones de correo electrónico, contraseñas hash y registros de acceso a API en el servidor spasskievorota.ru.

El formato del volcado también indica que la base de datos fusionada pertenece a una compañía de seguros. Coincide con el formato de bases de datos de otras compañías de seguros filtradas anteriormente. En el momento de esta publicación Spasskie Vorota no hizo ningún comentario, pero el servicio de prensa de RKN supo que la compañía de seguros había enviado la correspondiente notificación sobre la filtración.

Invertido en fortaleza, no en seguridad de la información

Qué ha pasado: filtrado datos de clientes de la red de gimnasios WorldClass

como sucedió: En septiembre, los investigadores descubrieron una copia de seguridad de la base de datos WorldClass de la empresa en el dominio público. Pesaba más de 146 GB y contenía información sensible: nombre completo, dirección residencial, datos del pasaporte, dirección de teléfono y correo electrónico, así como datos bancarios y un número parcial de tarjeta bancaria de algunos de los clientes.

La empresa aún no ha respondido al incidente, pero la relevancia de la base de datos filtrada ya ha sido confirmada por datos del anterior fugas. Recordemos que luego el empleado llevó los datos del cliente a un nuevo lugar de trabajo.

No valoran lo que obtuvieron gratis

Qué ha pasado: datos de 100 millones de estadounidenses resultó ser en el dominio público

como sucedió: La empresa MC2 Data realiza verificaciones de antecedentes. Recopila y compila información sobre personas de fuentes disponibles públicamente para crear un perfil de la persona. Contiene toda la información sobre antecedentes penales, lugares de trabajo, familiares, etc. Estos perfiles son utilizados por los propietarios y los agentes de seguridad/seguridad para saber si es posible cooperar con una persona o no.

Reciente investigación mostró que la base de datos MC2 Data de 2,2 TB con más de 106 millones de registros estaba disponible públicamente en Internet sin contraseña. Los expertos estiman que la filtración afectó a los datos de 100 millones de estadounidenses. Contenía mucha información diferente, desde nombres básicos y direcciones de correo electrónico hasta documentos legales y registros inmobiliarios. La base fue descubierta el 7 de agosto y se desconoce cuánto tiempo permaneció abierta.

Por el momento, el acceso a la base de datos está cerrado y aún no hay información oficial por parte de la empresa, pero presumiblemente tal incidente podría ocurrir debido a un error humano y una configuración incorrecta del sistema.

Licencia por enfermedad para un médico

Qué ha pasado: Dr.Web sometido a ataque de piratas informáticos.

como sucedió: El 14 de septiembre los especialistas de Dr.Web registraron un ataque dirigido a sus recursos. Según información del blog corporativo, el incidente fue rápidamente descubierto y “controlado”.

Sin embargo, el 16 de septiembre, la empresa registró “signos de influencia externa inadecuada en la infraestructura de TI” y “apagó rápidamente los servidores para iniciar un proceso de diagnóstico integral”. Esto detuvo durante más de un día y medio la publicación de actualizaciones de la base de virus Dr.Web. Como resultado, el incidente se resolvió rápidamente y ninguno de los usuarios de Dr. La Web no se vio afectada.

Binganulo

Qué ha pasado: Intercambio de criptomonedas BingX perdido 44 millones de dólares como resultado de un ciberataque.

como sucedió: 9 de septiembre, expertos en seguridad blockchain observó Actividad sospechosa: se están retirando millones de dólares del intercambio BingX. Como resultó más tarde, se trataba de un ciberataque que los propietarios del intercambio intentaron ocultar. ellos escribieron a redes sociales sobre una interrupción temporal debido al “mantenimiento de la billetera”, pero luego reconoció que “un acceso anómalo a la red podría indicar un ataque de piratas informáticos a la billetera activa de BingX”.

En respuesta al ataque, la empresa comenzó a transferir activos y suspendió retiros, así como fijado que “ha habido una pérdida patrimonial menor, pero el monto es pequeño y actualmente se está calculando”. Sin embargo, varias empresas, incluida SlowMist, que fue contratada por el intercambio para realizar la auditoría, descubríque la cantidad robada es claramente más grave que “pequeña” y oscila entre 44 y 48 millones de dólares.

Posteriormente, el intercambio contrató especialistas en seguridad de criptomonedas para rastrear los movimientos de la moneda robada. También es digno de mención que BingX invitó al hacker que los hackeó a cooperar: transferir todos los fondos robados de regreso, y luego BingX detendrá cualquier persecución y, como agradecimiento, ofrecerá el 10% de los activos robados.

¿Los problemas vienen solos?

Qué ha pasado: pirata informático recibió acceso a datos confidenciales de Dell.

como sucedió: Los días 19, 22 y 25 de septiembre, el mismo hacker publicó tres publicaciones con datos de la empresa Dell en un foro paralelo. El hacker inicialmente afirmó que los datos fueron tomados de diferentes hacks, pero luego admitió que solo había un hack y que estaba “filtrando los datos estratégicamente en partes”.

La primera publicación contenía datos de casi 11 mil empleados: nombres completos, situaciones laborales e identificaciones. El segundo contenía 3,5 GB de diversos datos sin comprimir: tablas de datos de Jira, patrones de migración, información de configuración del sistema, credenciales de usuario, información sobre vulnerabilidades del software y problemas en el proceso de desarrollo, etc. en la ultima publicacion era casi 500 MB de imágenes, archivos PDF, vídeos, documentos de diseño, datos MFA y más.

Después del primer incidente, Dell dijo que estaba al tanto del problema y comenzó una investigación. Sin embargo, no hubo comentarios cuando se les preguntó sobre hacks posteriores.

Consejo de ciberseguridad del mes: La temporada comercial de otoño está en pleno apogeo, lo que significa que es hora de abastecerse de té con limón y seguir trabajando: creando políticas, investigando incidentes, formando y acordando el presupuesto para el próximo año. Esta última puede ser una tarea “estrella” para muchos especialistas en seguridad de la información, ya que negocios y seguridad no siempre hablan el mismo idioma.

Puede descubrir cómo encontrar este lenguaje común y conectar los objetivos comerciales y los beneficios de la seguridad de la información en una conferencia práctica. Roadshow en tu ciudad. Los expertos en ejercicio le dirán cómo los sistemas de seguridad, además de sus tareas principales, ahorran dinero, retienen al personal y aumentan la eficiencia de la empresa.