Кибербезопасность: Взломы, утечки данных и новые угрозы за неделю

• Переписка группировки Black Basta была обработана ChatGPT.
• Утечка данных Gravy Analytics привела к деанонимизации пользователей.
• Украинские хакеры сообщили о взломе CarMoney.

Переписка группировки Black Basta была обработана ChatGPT

11 февраля неустановленный инсайдер выложил в открытый доступ архив с внутренними чатиками группировки Black Basta, использующими приложение Matrix. К этому инциденту привлекли внимание исследователи PRODAFT.

Архив охватывает период с сентября 2023 по сентябрь 2024 года и включает адреса криптобирж, учетные записи жертв, а также системы фишинга и взлома.

Кроме того, в переписке раскрываются некоторые личности участников, включая предполагаемого лидера Олега Нефедова (псевдонимы GG, AA и "Трамп"), а также двух администраторов, известных как Lapa и YY.

Leaked BlackBasta chat logs contain messages spanning from September 18, 2023, to September 28, 2024. Let's analyze the statements disclosed by the leaker:
- Lapa is one of the key administrators of BlackBasta and is constantly busy with administrative tasks. Holding this… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8

— 3xp0rt (@3xp0rtblog) February 20, 2025

Компания Hudson Rock передала более миллиона внутренних сообщений в ChatGPT и запустила BlackBastaGPT для анализа этих данных.

Эксперты предполагают, что утечка могла произойти из-за внутренних конфликтов в группе.

Утечка данных Gravy Analytics привела к деанонимизации пользователей

В январе произошел взлом компании Gravy Analytics, занимающейся отслеживанием местоположений. Данные, собранные через тысячи мобильных приложений, оказались доступны для злоумышленников, что привело к серьезным последствиям для пользователей.

Утекшие данные содержат рекламные идентификаторы IDFA для iOS и AAID для Android. Эти идентификаторы позволяют отслеживать перемещения пользователей и в некоторых случаях деанонимизировать их.

Исследователь Баптист Роберт проанализировал перемещение одного пользователя и сумел узнать о нем множество фактов, включая имя его матери и информацию о его покойном отце, который был ветераном ВВС США.

[media=https://x.com/fs0c131y/status/1877128999240962290?ref_src=twsrc%5Etfw]

Эта утечка данных поставила под сомнение безопасность сектора брокеров данных.

Пользователей Signal атаковали через привязку устройств

Об этом сообщила Google Threat Intelligence Group, указывая на активные попытки российских хакеров взломать учетные записи Signal путем злоупотребления функцией привязки устройств. Жертвам отправляются вредоносные QR-коды, чтобы синхронизировать мессенджер с устройством злоумышленника.

Фишинговые ссылки зачастую маскируются под приглашения в группы Signal или под инструкции по подключению устройств с легитимного сайта. Новый метод атаки представляет опасность, так как не требует полного взлома устройства для подслушивания защищенных разговоров жертвы.

Пользователям Signal рекомендовано обновить приложение до последней версии, где внедрены улучшенные механизмы защиты от таких фишинговых атак.

Эксперты нашли новую малварь из КНДР для подмены криптокошельков

Хакеры из Северной Кореи, известные как Lazarus, использовали новый вид jаvascript-вредоноса Marstech1 в своих атаках на разработчиков блокчейна, сообщают специалисты SecurityScorecard.

[media=https://x.com/security_score/status/1890086318199214458?ref_src=twsrc%5Etfw]

Вредоносное ПО внедряется в сайты или пакеты npm, связанные с различными криптовалютными проектами, ищет в настройки Chromium-браузеров расширения популярных криптокошельков и меняет их под себя.

Впервые Marstech1 был обнаружен в 2024 году, и его жертвами стали как минимум 233 человека в США, странах Европы и Азии.

Исследователи смогли проследить вредоносное ПО до публичного репозитория на GitHub, созданного ныне заблокированным пользователем SuccessFriend.

Украинские хакеры заявили о взломе CarMoney

Группа «Украинский киберальянс» объявила о взломе системы российской микрофинансовой компании CarMoney, в результате чего им стали доступны данные множества заемщиков, включая сотрудников ГРУ и ФСБ.

Для подтверждения своих действий хакеры опубликовали заявления на заем, оформленные на имена военнослужащих Дмитрия Соловьева и Максима Вагина.

Телеканал «Агентство» исследовал утечки и обнаружил, что информация о заемщиках подтверждается другими данными. Тем не менее, независимая проверка данного факта пока не проводилась.

Пресс-служба CarMoney сообщила, что был взломан «один из старых сайтов компании», однако заявила, что персональные данные клиентов и инвесторов оказались в безопасности. Однако для предотвращения негативных последствий все системы были временно отключены.

Основателем CarMoney является Эдуард Гуринович, который представляется эксклюзивным партнером игрового продукта Hamster Kombat в РФ. Журналисты также отмечают собственность Людмилы, бывшей жены Владимира Путина, в этой компании.

На Новый год россияне подверглись крупному заражению криптомайнером

Специалисты «Лаборатории Касперского» сообщили о крупной кампании массового заражения криптомайнером XMRig, начавшейся 31 декабря 2024 года. Атака, названная StaryDobry, осуществлялась через троянизированные версии популярных игр, размещенные на торрент-сайтах.

[media=https://x.com/kaspersky/status/1892886981715099859?ref_src=twsrc%5Etfw]

Вредоносные версии игр BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy были загружены на торрент-трекеры в сентябре 2024 года. Злоумышленники использовали процессы и малый объем дискового пространства для сокрытия своих действий.

Криптомайнер проверял число ядер процессора и не запускался, если их было менее восьми, а сервер майнинг-пула разместили в защищенной инфраструктуре, что затрудняло отслеживание доходов.

Кампания попала под влияние якобы отдельных лиц и организаций по всему миру, включая РФ, Бразилию, Германию, Беларусь и Казахстан.

Также на ForkLog:

• Биржа Bybit потеряла $1,46 млрд в результате взлома.
• Цена токена Pi Network обвалилась на 50% после листинга на CEX.
• Grok назвал Илона Маска главным дезинформатором.
• CTO SafeMoon признал свою вину в мошенничестве на $200 млн.
• В РФ объявили дату подключения банков к сервису анализа криптотранзакций.
• SEC переформатировала структуру, касающуюся криптовалют.
• BestChange разблокировали в РФ.
• Экс-сотрудница payroll-провайдера Bybit приговорена за кражу $5,7 млн.
• zkLend выделит $400 000 для компенсации пострадавшим от взлома.
• Похищенные у Phemex миллионы были переведены на новые адреса.
• Фигуранты санкционных списков получили $15,8 млрд через криптовалюты в 2024 году.
• Подменяющий биткоин-адреса вредонос для macOS улучшил свою скрытность.
• Российские власти отказались от претензий к Виннику.
• Исследователи нашли похититель криптоключей в Steam-игре.
• Отчет: в январе HTX отправила более 380 000 уведомлений о безопасности.
• Пользователи Abstract сообщили о кражах через Cardex, позже командой была названа сумма ущерба.
• Четверых норвежцев обвинили в мошенничестве на $80 млн.
• Глава Binance предупредил о новом скаме с сид-фразами.
• Ethereum-валидаторов призвали обновить клиент Geth «во избежание потерь».
• Дэйв Портной приобрел фейковый LIBRA на сумму $170 000.
• В РФ был задержан администратор Telegram-канала за вымогательство биткоинов.
• Мошенники запустили фейковый мем-коин от имени принца Саудовской Аравии.

Что почитать на выходных?

Разберемся, кто в действительности стоит за серией «президентских» мем-токенов.