Каждая третья строка слитых в мире БД пришлась на российскую компанию

Каждая третья строка слитых в мире БД пришлась на российскую компанию

Каждая третья строка слитых в мире БД пришлась на российскую компанию

311 баз или 1,4 млрд строк: в Group-IB подсчитали точное количество баз данных российских компаний, оказавшихся в открытом доступе в 2022 году. Это в два раза больше, чем насчитал Роскомнадзор. Основной тренд — публиковать объявления о слитых базах в Telegram.

Аналитики Group-IB Threat Intelligence подвели итоги утечек 2022 года. Общее количество баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в прошлом году составило 311 штук, рассказали в пресс-службе компании.

Пик пришелся на лето — в руки злоумышленников попало 140 баз. Это в 2 раза больше, чем летом 2021 года.

Больше всего предложений о ворованных сведениях публиковали на форумах — 241 база, в Telegram появилось 70 баз.

Массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными, добавляют эксперты.

За год выяснилось, что от утечек не защищена ни одна сфера российского бизнеса. Жертвами злоумышленников становились финансовые, страховые и ИТ-компании, сервисы доставки, мобильные операторы, онлайн-магазины и кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, социальные сети. Не меньше страдали энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.

Почти все данные в украденных базах относились к 2022 году. Чаще всего речь шла о ФИО клиентов, их телефонах, адресах и датах рождения. В архивах мог содержаться пароль, паспортные данные, подробности заказов и другая чувствительная информация.

Общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд. Для сравнения в 2021 году их насчитывалось всего 33 млн.

Таким образом каждая третья строка из мировых баз данных, выложенных в 2022 году, приходилась именно на российские компании, сделали вывод в Group-IB.

“Публикация утечек баз данных стала одной из актуальных киберугроз для бизнеса в прошлом году, и эти риски остаются в текущем году”, — подчеркивает руководитель отдела исследования киберпреступности Group-IB Threat Intelligence Олег Дёров.

По его словам, одной из причин такого вала инцидентов была “недостаточная защищенность цифровых активов бизнеса, а также увеличение количества кибератак, вызванных текущем мировым кризисом”.

Добавим, в понедельник Роскомнадзор представил свою статистику по утечкам 2022 года. По данным регулятора, было зафиксировано 150 крупных утечек персональных данных. При этом ведомство не уточняет, исход какого количества данных за периметр оно считает существенным. Штрафов за утечки в этом году заплатили на 1 млн рублей.

2023 год, вполне вероятно, сможет претендовать на новый рекорд. Уже в январе на даркнет попали данные участников авиасалона МАКС, 3,5 млн записей с ID и телефонами пользователей Mail.ru, базы, предположительно, “Почты России” и других компаний. Накануне, 1 февраля, хакеры выложили в Сеть платежные данные 1 млн пользователей Best2Pay и 160 тыс. строк информации о клиентах и партнерах компании АТОЛ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru