Российский хакер выставил на продажу 272 млн паролей от почтовых ящиков

Российский хакер выставил на продажу 272 млн паролей от почтовых ящиков

Российский хакер выставил на продажу 272 млн паролей от почтовых ящиков

4 мая 2016 года компания Hold Security сообщила, что на русскоязычном андеграундном форуме была замечена едва ли не крупнейшая в истории утечка данных о почтовых аккаунтах.  Неназванный хакер выставил на продажу учетные данные 272 млн аккаунтов Gmail, Yahoo, Microsoft и Mail.ru.

Хотя СМИ охотно подхватили эту историю, эксперты в области информационной безопасности полагают, что никаких реальных поводов для беспокойства нет.

Официальный отчет Hold Security гласит, что «парнишка из маленького российского городка» сумел собрать коллекцию, состоящую из более чем 1,17 млрд учетных данных. Для достижения столь впечатляющего результата, хакер якобы скрупулезно собирал данные из самых разных источников, агрегируя различные утечки. По информации Hold Security, 272 000 000 учтенных данных в этой коллекции являются уникальными. Практически все пароли представлены в виде обычного текста, зашифрованных среди них очень мало, сообщает xakep.ru.

Hold Security пишет, что злоумышленник из российской глубинки просил за весь архив всего 50 рублей. По информацииагентства Reuters, которому глава компании — Алекс Холден (Alex Holden) дал комментарий, в базе злоумышленника содержатся учетные данные о 57 млн аккаунтов Mail.ru, 40 млн аккаунтов Yahoo Mail, 33 млн аккаунтов Hotmail и 24 млн аккаунтов Gmail. Также руководитель Hold Security уверяет, что информация о 42 000 000 аккаунтах новая, то есть специалисты компании ранее с ней не встречались.

Несмотря на эти пугающие цифры, паниковать все же рано. Многие эксперты, а также официальные представители компаний, уже опровергли «сенсационность» находки Hold Security.

Для начала стоит отметить, что сам глава Hold Security признает, что «похоже, это коллекция, собранная из различных брешей». Учитывая, что хакер продавал огромный архив по чисто символической цене, можно предположить, что актуальных данных там содержится крайне мало. Более того, в составлении такой базы, где оптом собрано всё, что только нашлось в открытом доступе, нет ничего удивительного. К примеру, подобными базами часто оперируют спамеры. То есть, никто не ломал Gmail, Yahoo, Microsoft и Mail.ru, что бы ни утверждали заголовки газет.

Известный эксперт по безопасности Трой Хант (Troy Hunt), владелец ресурса агрегирующего утечки данных — Have I Been Pwned, тоже сомневается, что означенные 272 млн учетных данных представляют какую-то угрозу.

«Я правда считаю, что это ничем непримечательно событие, которое собрало больше новостных заголовков, чем подтвержденных данных», — сказал Хант журналистам издания Vice Motherboard. — « Знаете, сколько сил мы тратим каждый раз, чтобы установить, подлинна утечка или же нет? Похоже, в данном случае ничего подобного сделано не было».

Также официальный пресс-релиз уже представила компания Mail.ru, и ее заявление еще раз подтверждает надуманность «сенсации» от Hold Security:

«Нам стало известно, что база логинов и паролей, находящаяся в распоряжении эксперта по кибербезопасности Алекса Холдена, содержит ряд логинов пользователей Почты Mail.Ru. Мы связались с Алексом и получили от него данные для анализа. Исследование первой рандомной выборки показало, что она не содержит паролей, подходящих к активным живым аккаунтам. Кроме того, обращает на себя внимание тот факт, что база содержит большое количество одних и тех же логинов с разными паролями, что свидетельствует о том, что она была скомпилирована из фрагментов разных баз, где юзеры использовали в качестве логина свою электронную почту. Мы продолжаем проверку базы и, как только у нас будет больше информации, мы предупредим пользователей, которые могли пострадать».

Стоит отметить, что в 2014 году компания Hold Security уже выявляла утечку 1,2 млрд учетных данных и более 500 млн email-адресов. Тогда компания отказалась предоставить о скомпрометированных ресурсах хоть какие-то подробности, зато поспешила запустить собственный платный сервис: Hold Security предложила любой компании свою защиту от подобных брешей всего за $120 в месяц.

Михал Салат, вирусный аналитик компании Avast:

 

«Если данные Алекса Холдена верны — а их еще должны подтвердить в mail.ru — эта недавняя утечка подвергает риску около 57 миллионов пользователей mail.ru — их личная информация и учетные данные могут оказаться в руках злоумышленников, —  комментирует Михал Салат, вирусный аналитик компании Avast. — Однако, данные 57 миллионов пользователей mail.ru могли «просочиться» не только через сервис электронной почты, но и через другие ресурсы. Проблема всех крупных утечек данных заключается в том, что люди часто используют одни и те же пароли на разных ресурсах и не меняют их. Поэтому такие базы данных как mail.ru, Facebook или Amazon могут быть легко использованы для атаки и взлома пользователей других сервисов. К сожалению, украденные учетные данные являются популярным товаром на черном рынке и продаются большими партиями. Пользователи могут защитить себя от таких типов утечки конфиденциальной информации, если будут создавать надежные, уникальные пароли, а также периодически изменять их». 

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru