Арест на съучастника на Lazarus, санкции за руския IT сектор и други събития в киберсигурността

Събрахме най-важните новини от света на киберсигурността тази седмица.

Руснак беше арестуван в Аржентина за пране на криптовалута за Lazarus

Аржентинската федерална полиция арестува 29-годишен руски гражданин в Буенос Айрес по обвинение в пране на криптовалути за различни престъпници, включително севернокорейските хакери Lazarus. Аналитична фирма помогна за идентифицирането на нападателя TRM Labs.

Според информацията Нациятаответникът изпира средства чрез обмен на криптовалута и миксери и след това преобразува активите във фиат. Всеки ден в апартамента му идваха хора с чанти.

Освен всичко друго, част от 100-те милиона долара, откраднати от кръстосания мост Horizon от хакери на Lazarus през лятото на 2022 г., са преминали през руснака.

Разследването установи, че към 18 декември 2023 г. ответникът е закупил повече от 1,3 милиона USDT за руски рубли и е направил 2463 превода на криптовалута чрез Binance Pay на обща сума от над 4,5 милиона долара.

Той е под наблюдение от ноември 2023 г. Нападателят сменял апартаменти всеки месец. Информацията, предоставена от борсата Binance, помогна да се определи последното му местоположение.

От апартамента са иззети всички електронни устройства, два портфейла за криптовалута с активи на стойност 121 000 долара, както и 15 милиона долара в брой.

Експерти разбраха самоличността на създателя на Styx Stealer, който изпразва биткойн портфейлите

Изследователите на Check Point успяха да проследят и разкрият разработчика на зловреден софтуер Styx Stealer, насочен към кражба на пароли, системна информация, автоматично попълване от браузъри, данни на Telegram и Discord, както и крипто портфейли. Уязвимите марки включват Armory, Atomic, Bytecoin, Coinomi, Jaxx, Electrum, Exodus и Guarda.

Интересувате ли се как се разкриват киберпрестъпниците? Последните ни изследвания разкриват голям провал на OpSec от страна на разработчика на Styx Stealer, което води до критична информация, която разкрива хакерите зад Styx Stealer и една от кампаниите на Agent Tesla.https://t.co/yLUdOJEcjs

— Check Point Research (@_CPResearch_) 16 август 2024 г

Styx Stealer се разпространява чрез абонамент с плащане в криптовалути. Специалистите на Check Point проследиха осем портфейла, свързани с хакера. Само за два месеца – от април до юни, те са получили общо около 9500 долара в различни монети.

Създателят на зловреден софтуер се оказа турският хакер Sty1x. Той разкри лична информация, докато отстраняваше грешките на крадеца, използвайки токен за бот на Telegram, предоставен от участник в спам кампанията на Agent Tesla.

Изследователите получиха достъп до неговия акаунт в месинджър, имейл и контакти. Те също така идентифицираха 54 клиента, които са използвали зловреден софтуер.

Съединените щати включиха руски компании за киберсигурност в списъка със санкции

OFAC разширена санкции срещу 400 руски юридически и физически лица.

издание “При Дуров” Забелязах, че списъкът включва голям брой компании, свързани с ИТ и киберсигурността:

• Атол;
• Диасофт;
• Цифрово съответствие;
• Услуга за цифрова сигурност;
• Изследователски институт по изкуствен интелект;
• Киберсервис;
• Базалт;
• Рустек ТД;
• Владимирско дизайнерско бюро за радиокомуникации;
• Център за финансови технологии;
• Soft Plus;
• Системи за радиозахранване;
• Радиолайн;
• МТС ЧЕРВЕНО;
• CRT;
• CRT Софт.

Санкции бяха наложени и на над сто компании от Китай, ОАЕ, Турция и Швейцария, което позволи на Руската федерация да заобиколи въведените по-рано ограничения.

Toyota потвърждава, че клиентските данни са били разкрити при изтичане на информация от трета страна

Потребител под псевдонима ZeroSevenGroup публикува безплатно архив с 240 GB данни, за които се твърди, че са получени в резултат на хакване на клон на автомобилния производител Toyota в Съединените щати. Нападателят твърди, че дъмпът съдържа информация за служителите и клиентите на компанията, както и договори и финансова информация.

Според Блеещ компютърфайлове, откраднати или поне създадени на 25 декември 2022 г. Това може да означава, че са получени от някакъв резервен сървър.

В коментар към изданието Toyota потвърди инцидента в неназована трета организация, който косвено засегна нейните клиенти. Оказва се съдействие на всички пострадали и при необходимост се оказва помощ.

Представители на компанията подчертаха, че системите на Toyota Motor North America „не са били хакнати или компрометирани“.

Член на руската група за рансъмуер Каракурт е обвинен в Съединените щати

Министерството на правосъдието на САЩ обвиняем 33-годишният латвийски гражданин Денис Золотарев за пране на пари, електронни измами и изнудване като част от руската група Каракурт.

Бандата започна да действа в средата на 2021 г., като краде данни, без да използва криптиране.

Според материалите по делото Золотарев е използвал прякора Sforza_cesarini и е действал като преговарящ. Той е свързан с най-малко шест епизода на изнудване срещу американски организации от август 2021 г. до ноември 2023 г. Една от тези компании плати на Каракурт откуп от над 1,3 милиона долара.

Самоличността на нападателя е установена чрез проследяване на криптовалута, анализ на комуникациите и данни от Rocket.Chat, получени въз основа на заповедта. Золотарев беше арестуван през декември 2023 г. в Грузия и екстрадиран в САЩ в началото на този месец.

RKN обясни мащабния провал в месинджърите като DDoS атака, но не убеди експертите

На 21 август жители на Руската федерация се оплакаха от огромен проблем с достъпа до Telegram, месинджърите WhatsApp и редица други услуги, включително Discord, Skype, Facebook Messenger, AnyDesk, GitHub, Wikipedia, Steam, Cloudflare и Yandex Cloud.

В коментарите Форбс Представители на Роскомнадзор назоваха причината за повредата DDoS-атака срещу руски оператори. Експертите обаче се усъмниха в изявлението на ведомството.

„Как беше възможно да се организира DDoS срещу всички оператори в Руската федерация? (…) И как тогава можем да обясним, че конкретно месинджърите и няколко други ресурса паднаха, докато останалото (включително VPN, между другото) беше функционално? RKN лъже,” написа автор на телеграм канала „ЗаТелеком“ Михаил Климарев.

23 август катастрофира засегнати Telegram, WhatsApp и Viber. Климарев предполага, че властите са започнали да тестват технология за блокиране на месинджъри.

Също във ForkLog:

Какво да четем този уикенд?

Топ 10 на плача в крипто индустрията, които не бихме искали да си спомняме в предстоящото онлайн конференции ForkLog 100x.

Открихте грешка в текста? Изберете го и натиснете CTRL+ENTER