Dixons Carphone признала факт утечки данных 5,9 млн карт

Dixons Carphone признала факт утечки данных 5,9 млн карт

Dixons Carphone признала факт крупнейшей утечки — в руки злоумышленников попали данные 5,9 миллионов платежных карт и 1,2 миллиона персональных данных. В настоящее время компания расследует инцидент со взломом, который имел место в июле прошлого года.

Представители Dixons Carphone заявили, что на данный момент нет никаких доказательств, что какие-либо данные карт использовались в мошеннических целях.

Среди почти 6 миллионов платежных карт оказались 105 000, которые не соответствовали стандарту EMV (международный стандарт для операций по банковским картам с чипом), их данные были скомпрометированы.

По словам Dixons Carphone, киберпреступники пытались получить доступ к одной из систем обработки данных в магазинах Currys PC World и Dixons Travel. В результате данного инцидента акции Dixons Carphone упали более чем на 3 %.

Среди скомпрометированных злоумышленниками персональных данных финансовой информации не оказалось, в основном там были физические адреса, имена и адреса электронной почты.

Несмотря на то, что компания не обнаружила никаких мошеннических действий с помощью украденной информации, она попросила затронутых утечкой пользователей сообщать о подозрительных транзакциях.

Dixons Carphone наняла ведущих ИБ-специалистов для расследования утечки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры используют встроенную в SQL Server утилиту для скрытной разведки

Специалисты Microsoft выявили новую вредоносную кампанию: злоумышленники взламывают серверы SQL и используют легитимную PowerShell-утилиту для закрепления в системе и проведения разведки. Атаки не оставляют следов в виде файлов, и действия хакеров долго остаются незамеченными.

Как сообщает The Hacker News со ссылкой на твиты Microsoft, для получения доступа к системе атакующие используют брутфорс, а затем инициируют запуск sqlps.exe, чтобы обеспечить себе постоянное присутствие. Новую угрозу эксперты классифицируют как трояна и нарекли ее SuspSQLUsage.

Утилита sqlps.exe по умолчанию включена в пакет SQL Server, чтобы можно было запустить агент SQL — Windows-службу для выполнения запланированных заданий средствами подсистемы PowerShell. Авторы атак используют эту PowerShell-оболочку для запуска командлетов, позволяющих провести разведку и изменить режим запуска SQL-сервиса на LocalSystem.

Эксперты также заметили, что тот же вредоносный модуль применяется для создания нового аккаунта в группе пользователей с ролью sysadmin. Такой трюк открывает возможность для захвата контроля над SQL-сервером.

Конечная цель текущих атак пока неизвестна, установить инициаторов тоже не удалось. Штатные средства Windows, в особенности PowerShell и WMI, любят использовать APT-группы, чтобы скрыть вредоносную активность в сети жертвы. Тактика известна как LotL, Living-off-the-Land; непрошеное вторжение при этом трудно выявить традиционными средствами: без непрерывного мониторинга работа легитимного инструмента не вызовет подозрений, сигнатурный анализ бесполезен — артефакты, способные насторожить антивирус, в LotL-атаках обычно отсутствуют.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru