Transunion, etkilenen 4.5m ihlali açıklar

ABD Kredi Derecelendirme Ajansı Transunion Perşembe günü, bilgisayar korsanlarının 4.46 milyon kişiye ait verileri çaldığını açıkladı.

Çalıntı veriler, Teksas eyaletine yapılan açıklamaya göre isimleri, sosyal güvenlik numaralarını ve doğum tarihlerini içerir. TransUnion, bilgisayar korsanlarının kredi bilgilerine erişmediğini söylüyor. Bir sözcü medyaya verdiği demeçte, “Olay, ABD tüketicilerinin çok küçük bir yüzdesi için sınırlı kişisel bilgilere yetkisiz erişim içeriyordu.” Dedi.

Üç büyük Amerikan kredi derecelendirme bürosundan biri olan firma, kurbanlara bilgisayar korsanlarının “ABD tüketici destek operasyonlarımıza hizmet eden üçüncü taraf bir başvuru” yoluyla erişim elde ettiklerini söylüyor.

Bir şirket sözcüsü, çalınan verilerin, Shinyhunters olarak bilinen bir çocuk hacker topluluğunun hedefi olan Müşteri İlişkileri Yönetimi Yazılımı Salesforce örneğinden gelip gelmediğine dair sorguya yanıt vermedi. Bu yaz başlarında başlayan bir saldırı dalgasında, bilgisayar korsanları BT destek personelini telefon tabanlı vishing saldırılarında taklit ederek çalışanları Salesforce’un Veri Yükleyici Bağlı Uygulamasının kötü niyetli sürümlerini yüklemeye kandırıyor. Mağdurlar Google ve Cisco’yu dahil ettiler (bkz:: Google ve Cisco Raporu CRM yazılımı Vishing aracılığıyla ihlal ediyor).

BleepingComputer, bir Shinyhunters temsilcisi de dahil olmak üzere kaynakların kaynağın bir Salesforce örneği olduğunu doğruladı. Shinyhunters temsilcisi, grubun 13 milyondan fazla rekor çaldığını ve ABD’deki insanlarla ilgili 4.4 milyon kayıt olduğunu iddia etti.

Transunion, kurbanlara Transunion’dan iki yıllık ücretsiz kredi izleme hizmetleri alacaklarını söylüyor.

Bir konut vekil hizmeti, görünüşe göre Amerikalılara dizüstü bilgisayarlara ev sahipliği yapmak ve evlerini bilgisayar korsanları için olası bir çıkış düğümüne dönüştürmek için ayda 250 dolar ödüyor.

Şimdi silinmiş bir yazıda “Sacapoopie” tutamağı olan bir Reddit kullanıcısı, DSLROOT tarafından evine bağlanmış ayrı bir ağda sağlanan dizüstü bilgisayarlara ev sahipliği yapmanın “benim için aptal” olup olmadığını merak etti. Sacapoopie, “Sadece orada oturuyorlar ve ben bunun için para alıyorum. Şirket de internet faturasını ödüyor.”

Reddit posteri, DSLROOT’un evine bir modem ve DSL bağlantı noktasına bağlanmış iki dizüstü bilgisayar gönderdiğini ve birden fazla komut penceresi oluşturan ve giden bağlantılar kuran tescilli bir program yayınladıklarını söyledi. Cihazlar 7/24 tutuldu. Diğer yazılardaki Sacapoopie, ABD Hava Ulusal Muhafızlarının bir üyesi olduğunu söyledi.

DSLROOT, düzenlemeyi doğruladı, Sacapoopie daha sonra Çarşamba günü yaptığı açıklamada, şirketin “resmi yanıtı” olduğunu söylediklerini yeniden üretti. DSLROOT, Sacapoopie’ye 2012’den beri “bölgesel ajanlar” aldığını ve hiç yasal sorun yaşamadığını söyledi.

Konut vekil hizmetleri, reklam doğrulaması veya rekabetçi pazar araştırması gibi meşru uygulamalara sahiptir – ancak bilgisayar korsanlarının konut vekillerini ödüllendirmesi bir sır değildir. Ulus devletleri genellikle operasyonlarını gizlemek için kendi ödün verilen Nesnelerin İnterneti cihazlarının botnetlerini inşa ederler (bkz:: Çinli hackerlar, açılmamış yönlendiricileri Orb casus ağına dönüştürüyor).

Sacapoopie, DSLROOT’un yasadışı faaliyetlere izin vermediğini ve “kredi kartı sahtekarlığı veya diğer aptalca şeyler yapan kişilerin bir paket için 190 $/ay ödemeyeceğini söyledi …. Bunun için çok daha ucuz seçenekler var.” Firma ayrıca vekillerinin “normal ‘statik’ önemsiz botnet vekillerinden çok daha yavaş olduğunu söyledi, bu yüzden kimsenin siber suçlar için ‘pahalı+yavaş+dinamik’ çözümümüzü kullanması için hiçbir neden yok.

Bağımsız siber güvenlik muhabiri Brian Krebs, Dslroot’un kökenlerini Rusya ve Doğu Avrupa’ya bağladı.

Kolluk kuvvetleri, Cuma günü açıklanan Interpol, siber suç ağlarını ve Afrika kıtasında ve ötesinde faaliyet gösteren tehdit aktörlerini bozdu.

Serengeti 2.0 Operasyonu olarak adlandırılan düzenlenmiş bir baskada, 18 Afrika ülkesi de dahil olmak üzere iki düzineden fazla ülke ve Birleşik Krallık, 88.000 kişiyi etkileyen siber suçlara bağlı 1.209 şüpheliyi tutukladı. Yetkililer, Haziran ve Ağustos ayları arasında 97,4 milyon dolar topladıklarını ve “11.432 kötü niyetli altyapı” söndürdüklerini söyledi.

Operasyon, 2024’te benzer bir çabayı takip ediyor. TRM Labs, blockchain analizinin Gana’daki araştırmacıların, Rusça konuşan Conti fidye yazılım grubunun bir dalı olan BL00DY fidye yazılım grubuna bağlı kara para aklama altyapısını belirlemelerini sağladığını söyledi (bakınız: bkz: Conti’nin mirası: Fidye yazılımının en çok aranan ne oldu?).

Zambiya’da yetkililer ayrıntılı bir kripto yatırım scamming platformuna son verdi. Platformun arkasındaki siber suç yüzüğü, yaklaşık 65.000 kurbanı dolandırarak 300 milyon dolar olarak tahmin edilen finansal kayıplar üretiyor. Polis, grubun mülkiyeti arasında sahte pasaportlar, akıllı telefonlar, SIM kartlar ve sunucular buldu.

Angola’daki yetkililer, 60 Çinli vatandaş tarafından korunan 25 yasadışı kriptominasyon tesisini ortaya çıkardı. Basma, 45 onaylanmamış elektrik istasyonu ve 37 milyon dolar değerinde BT ekipmanı tespit etti.

Serengeti 2.0 Operasyonu, Afrika tarihindeki en büyük koordineli siber suç baskılarından birini işaret ediyor. Interpol Sekreteri Valdecy Urquiza, “Her bir interpol koordineli operasyon, son işbirliğini derinleştiren, bilgi paylaşımını artırarak ve üye ülkelerde araştırma becerileri geliştiriyor.” Dedi.

Check Point’teki siber güvenlik araştırmacıları, Mixshell adlı gizli bir bellek içi kötü amaçlı yazılımla tedarik zinciri-kritik endüstrileri hedefleyen Zipline adlı bir sosyal mühendislik kampanyası ortaya çıkardılar.

Tipik kimlik avı kampanyalarından farklı olarak, saldırganlar bir şirketin kamu “Bize Ulaşın” formu aracılığıyla iletişim başlatır ve profesyonel ve güvenilir görünen haftalar süren konuşmalar açar. Mağdurlardan kötü amaçlı bir zip dosyası almadan önce sahte ifşa etme anlaşmaları imzalamaları bile istenir.

Silahlı arşivler, PowerShell Loaders’ı başlatan ve sonunda Mixshell’i dağıtan Windows kısayol LNK dosyaları içerir. Kötü amaçlı yazılımlar, uzaktan komut yürütme, dosya işlemleri, ters vekalet, DNS tünelleme ve HTTP geri dönüşü yoluyla kalıcılığı destekler. Bir PowerShell varyantı, sanal alan kaçırma ve anti-kötü niyetli teknikleri içerir.

Check Point, saldırganların normal trafikle karışmasını sağlayan meşru bir bulut platformu olan Herokuapp’ta birçok kötü amaçlı fermuarın barındırıldığını söyledi. Kampanya ayrıca, meşruiyet eklemek ve güvenlik filtrelerini atlamak için ABD kayıtlı LLC’lerin terk edilmiş alanlarını da kötüye kullanıyor.

Hedefler küresel olarak yayılır, ancak ABD endüstriyel üretim, yarı iletkenler, tüketim malları, biyoteknoloji ve ilaçlara vurgu yaparak. Diğer kurbanlar Singapur, Japonya ve İsviçre’de görüldü.

Araştırmacılar, Zipline’da kullanılan altyapıyı, daha önce Zscaler ve Proofpoint tarafından transferci saldırılarında gözlemlenen UNK_GREENSEC olarak bilinen bir kümeyle ilişkilendirdiler.

İsveç belediyeleri için kilit bir BT sistemleri tedarikçisi olan Miljödata’ya yapılan bir siber saldırı, 200’den fazla bölgede hizmetleri bozdu ve çalınan hassas verilerle ilgili endişeleri artırdı.

İsveç yazılım firması, belediyelerin yaklaşık% 80’i tarafından tıbbi sertifikalar, rehabilitasyon, mesleki yaralanmalar ve olay raporlaması için kullanılan çalışma ortamı ve İK yönetim sistemleri sunmaktadır. Saldırganlar, çalınan bilgi sızmaması karşılığında 1.5 bitcoin – yaklaşık 168.000 dolar – fidye istedi.

Ulusal halka açık televizyon yayıncısı İsveç’in televizyonuna göre, çevre veri CEO’su Erik Hallén olayı 25 Ağustos’ta bildirdi.

Maryland Transit yönetimi, engelli biniciler için paratransit hizmetini bozan bir fidye yazılımı saldırısı geçirdi. Ajans şu anda yeni istekleri işleyemiyor.

MTA yaptığı açıklamada, “belirli sistemlere yetkisiz erişimi” doğruladı ve hizmetleri araştırmak ve geri yüklemek için Maryland Bilgi Teknolojisi Departmanı ile birlikte çalıştığını söyledi. Ajans, çekirdek transit hizmetlerinin etkilenmediğini vurguladı.

Kaydedilen Future’s Insikt Group tarafından TAG-144 olarak izlenen bir siber boyama grubu, Güney Amerika hükümet ajanslarına, özellikle Kolombiya’da operasyonları artırdı. 2018’den beri aktif olan grup, genellikle vergi veya yargı bildirimleri olarak poz veren mızrak aktı e-postaları yoluyla teslim edilen Asyncrat, Remcos ve Xworm gibi emtia uzaktan erişim truva atlarına güvenmektedir.

Gelecekte kaydedilen analistler, 2025’in ortalarından bu yana etkinliğin hızlandığını ve beş farklı kümenin taze altyapı konuşlandırdığı ve meşru internet hizmetlerini sahne kötü amaçlı yazılımlara kötüye kullandığını bildirdi.

İlk erişim genellikle tehlikeye atılmış veya sahte hükümet e -posta hesapları ile kazanılır, kurbanları kötü amaçlı belgeler veya gömülü JavaScript içeren SVG dosyaları açmaya cezbetir. Komut dosyaları Paste.ee veya Discord’un İçerik Dağıtım Ağı gibi hizmetlerden ikinci aşama yükleyicileri indirir. Kaydedilen gelecek, sahte yasal çağrıları dağıtan birden fazla uzlaşmış Kolombiyalı hükümet hesabı belirledi.

TAG-144’ün kampanyaları genellikle Kolombiyalı federal ve belediye ajansları ile kimlik doğrulama, veri açığa çıkma ve gasp ile sonuçlanır. Grup, tanıdık araçlar kullanıyor – dinamik DNS alanları, açık kaynaklı sıçanlar ve çalıntı krykorlar – ancak son zamanlarda steganografi ve alan üretim algoritmalarını benimsedi ve tespiti karmaşıklaştırdı.

Gelişmiş bir teknik, archive.org’da barındırılan JPEG görüntülerinin içinde Base64 kodlu bir .NET montajının gizlenmesini içerir. Kötü niyetli bir PowerShell komut dosyası, gömülü bayt işaretleyicilerini bulur, yükü belleğe çıkarır ve antivirüs algılamasından kaçarak diske yazmadan yürütür. Gibi hizmetler yoluyla dinamik etki alanı çözünürlüğü ile birleştiğinde duckdns.org Ve noip.combu yaklaşım esnek, çevik komuta ve kontrol altyapısı sağlar.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun New Jersey’deki Gregory Sirico ve Kuzey Virginia’daki David Perera’nın raporlarıyla.