445 миллионов записей клиентов компании Veeam оказались открытыми в Сети

445 миллионов записей клиентов компании Veeam оказались открытыми в Сети

База данных, чей размер превышал 200 Гб, была обнаружена на открытом для публичного доступа сервере. Оказалось, что эти данные принадлежат клиентам швейцарской компании Veeam, всего в базе было около 445 миллионов записей. Veeam предоставляет услуги управления данными для виртуальных, физических и облачных инфраструктур.

Утечку 5 сентября обнаружил исследователь в области безопасности Боб Дьяченко, база находилась на платформе Amazon. Специалист утверждает, что спустя четыре дня компания прислушалась к нему и предприняла шаги для обеспечения безопасности своего сервера MongoDB.

Точный период, в течение которого база была доступна всем желающим, на данный момент неизвестен, однако IP-адрес сервера был проиндексирован поисковиком Shodan 31 августа.

В базе содержалась личная информация клиентов — имя и фамилия, адрес электронной почты и страна проживания. По словам Дьяченко, также там обнаружились дополнительные данные вроде типа клиента и размера организации, IP-адресов, URL-адресов реферрера и юзерагентов (User Agent). Дьяченко обнаружил записи, которым по меньшей мере четыре года.

База клиентов Veeam насчитывает около 307 000 человек. Среди них Norwegian Cruise Line — компания-оператор трансатлантических и круизных маршрутов, владеющая собственным флотом круизных судов; аэропорт Гатвик; несколько университетов и школ; Scania, производитель грузовых автомобилей, автобусов, промышленных и морских двигателей; медицинские учреждения.

Вся проблема оказалась в неправильно сконфигурированных серверах MongoDB.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

CatDDoS собирает сетевые устройства в ботнет, используя 80 эксплойтов

Утечка исходников бота CatDDoS, он же Aterna, спровоцировала появление множества клонов. За последние три месяца аналитики насчитали свыше 80 эксплойтов, используемых для внедрения зловредов с интенсивностью до 300 атак и более в сутки.

Троян, которого в QiAnXin именуют CatDDoS, впервые объявился в Сети в августе 2023 года. Он создан на основе кода Mirai и заточен под проведение DDoS-атак типа flood (UDP, TCP и проч.); свои коммуникации с C2-сервером вредонос шифрует, используя ChaCha20.

Для распространения DDoS-ботов используются различные уязвимости в сетевых устройствах — в основном роутерах (D-Link, Linksys, NETGEAR, TOTOLINK, TP-Link, ZTE, Zyxel и др.) и серверах (Apache, Hadoop, FreePBX, GitLab, Jenkins, Seagate, SonicWall).

К октябрю прошлого года исследователи из NSFOCUS обнаружили, что созданный на основе CatDDoS ботнет разросся до глобальных масштабов. Наибольшее количество заражений было выявлено в Китае и США.

 

В декабре ботоводы в своем телеграм-канале объявили о закрытии сервиса (по всей видимости, они проводили DDoS-атаки на заказ или сдавали свою сеть в аренду). Исходные коды трояна вначале пытались продать в том же Telegram, но в итоге слили в паблик.

В результате все желающие начали плодить модификации. По свидетельству китайских экспертов, все эти самопальные варианты CatDDoS носят разные имена, но мало чем отличаются друг от друга.

Атаки, нацеленные на их распространение, зафиксированы в США, Франции, Германии, Бразилии и Китае. Список мишеней включает облачных и телеком-провайдеров, НИИ, госорганы, учебные заведения, строительные предприятия. Примечательно, что новоявленные клоны зачастую атакуют уже зараженные устройства и C2-серверы конкурентов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru