«Отставка» дрейнера биткоин-кошельков, Baphomet в руках ФБР и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю. Фишинговый сервис по сливу криптокошельков Pink Drainer объявил о завершении работы. В США задержаны члены банды за отмывание $73 млн через USDT. ФБР арестовало админов BreachForums, а также захватило сайт и Telegram-канал форума. В РФ возросло число нелегальных P2P-операций по кошелькам Ozon. Фишинговый сервис по сливу криптокошельков Pink Drainer объявил о завершении работы Разработчики популярного сервиса для слива криптовалютных кошельков Pink Drainer решили свернуть свою инфраструктуру. На это обратил внимание ончейн-исследователь ZachXBT. «Мы достигли нашей цели, и теперь, согласно плану, нам пора уйти в отставку. После публикации этого сообщения мы начнем сворачивать нашу инфраструктуру. Вся сохраненная информация будет стерта и надежно уничтожена», — говорится в сообщении группировки. Pink Drainer работал по схеме PhaaS и предоставлял киберпреступникам инструменты для кражи криптовалют посредством социальной инженерии и распространения фишинговых ссылок. В качестве оплаты разработчики взимали комиссии и процент от украденных средств. По данным ScamSniffer, Pink Drainer причастен к краже цифровых активов на сумму $85 млн у более чем 21 000 жертв. В США задержаны члены банды за отмывание $73 млн через USDT Правоохранительные органы США арестовали двух граждан Китая Дарена Ли и Ичэна Чжана, которые предположительно организовали схему по отмыванию средств, полученных в результате мошенничества с криптовалютными инвестициями. Согласно обвинительному заключению, фигуранты в составе «международного синдиката» вывели более $73 млн через финансовые учреждения США на внутренние и международные банковские счета, а затем конвертировали их в USDT.  Использовавшийся в схеме криптовалютный кошелек получил в общей сложности свыше $341 млн в различных активах. Ли и Чжана обвинили в сговоре и шести эпизодах международного отмывания денег. По каждому из пунктов фигурантам грозит 20 лет тюрьмы. ФБР арестовало админов BreachForums, а также захватило сайт и Telegram-канал форума 15 мая ФБР конфисковало серверы и домены хакерского форума BreachForums, публиковавшего различные утечки. Об этом сообщает Bleeping Computer. Данные: Bleeping Computer. На баннере заглушки изображены аватары двух администраторов сайта под никами Baphomet и ShinyHunters с наложенными на них тюремными решетками.  Кроме того, власти захватили Telegram-канал и чат BreachForums. Соответствующий пост они сделали под учетной записью Baphomet, что может свидетельствовать об изъятии его устройств. Данные: BleepingComputer ФБР продолжает расследовать киберпреступную деятельность на BreachForums и его предшественнике RaidForums и просит всех жертв и свидетелей предоставить информацию по делу.  Правоохранительные органы США закрыли BreachForums в марте 2023 года. Его создатель и администратор Конор Брайан Фитцпатрик (Pompompurin) приговорен к 20 годам условного срока под надзором.  В конце июня ФБР получило контроль над резервным доменом форума в чистой сети. Тем не менее BreachForums все это время продолжал функционировать, меняя сайты. В РФ возросло число нелегальных P2P-операций по кошелькам Ozon Злоумышленники стали активно использовать для нелегальных операций электронные кошельки Ozon. Количество сообщений о покупке и продаже верифицированных аккаунтов маркетплейса для P2P-переводов выросло втрое с февраля по апрель. Об этом сообщает Forbes со ссылкой на Angara Security. Электронные кошельки Ozon свободно продаются в Telegram и в даркнете по средней цене в 2599 рублей.  Помимо этого, злоумышленники продают базы с данными легитимных пользователей, либо пользуются встроенной в сервис возможностью привязать цифровую карту к анонимному счету, для регистрации которого достаточно сим-карты любого оператора. Стоимость доступов к личному кабинету Ozon Банка варьируется в диапазоне 500-10 000 рублей в зависимости от статуса кошелька, метода верификации, вероятности блокировки аккаунта, а также объема получаемых покупателем данных. Американку и украинца обвинили в помощи северокорейским айтишникам  Правоохранители США арестовали американку Кристину Мари Чепмен и украинца Александра Диденко за отдельные факты содействия северокорейским IT-специалистам в трудоустройстве и проведении платежных операций.  Согласно материалам дела Чепмен, с октября 2020 по октябрь 2023 года она управляла «фермой ноутбуков», которыми пользовались граждане КНДР для получения удаленной работы более чем в 300 фирмах на территории США. При этом они предъявляли работодателям фальшивые документы. За период действия схемы иностранцы заработали как минимум $6,8 млн. В свою очередь Диденко контролировал примерно 871 прокси-сервер и предоставлял аккаунты трем платформам по найму внештатных IT-специалистов и трем поставщикам денежных услуг. С июля 2018 года он обработал денежные операции на сумму $920 000. Каждому из фигурантов предъявлены обвинения в заговоре с целью обмана США, краже личных данных при отягчающих обстоятельствах, а также в отмывании денег и различных видах мошенничества. Чепмен грозит до 97,5 лет тюрьмы, Диденко — до 67,5 лет. Эксперты обнаружили у хакеров из РФ новые бэкдоры для атак на европейское правительство Исследователи ESET выявили два новых бэкдора LunarWeb и LunarMail, которые российские хакеры, предположительно группировка Turla, использовали для взлома Министерства иностранных дел неназванной европейской страны с дипломатическими миссиями на Ближнем Востоке. #ESETresearch has discovered the Lunar toolset, two previously unknown backdoors (which we named #LunarWeb and #LunarMail) possibly linked to Turla, compromising a European MFA and its diplomatic missions abroad. https://t.co/VnCsGTidwr 1/6— ESET Research (@ESETresearch) May 15, 2024 Проникновение в целевую систему происходит посредством фишинговой рассылки файлов Word с вредоносным макрокодом. Бэкдоры могут длительное время оставаться незамеченными, наблюдая за действиями пользователя и воруя данные.  По оценке экспертов, LunarWeb и LunarMail действуют как минимум с 2020 года и нацелены на правительственные и дипломатические учреждения. Также на ForkLog: Pump.fun потеряла $1,9 млн в результате инсайдерской атаки. В Binance представили «противоядие» от спуфинг-скама. Два брата в США арестованы за атаку на Ethereum и кражу $25 млн. Хакеры из КНДР отмыли украденные у HTX $147 млн через Tornado Cash. В Украине список сомнительных проектов пополнился майнерами и криптотрейдерами. Журналисты узнали о хакерской атаке на хедж-фонд BlockTower Capital. Участник взломанной DEX Cypher признался в краже части средств. DeFi-протокол Alex Labs в ходе хакерской атаки лишился $4,3 млн. В КНР уничтожили подпольный банк с оборотом $1,9 млрд в USDT. DeFi-проект Sonne Finance взломали на $20 млн. Хакер атаковал пользователей децентрализованной биржи Equalizer. Kimsuky применили новое ПО для атак на криптовалютные компании. ZachXBT предположил взлом биткоин-биржи Rain на $14,8 млн. В Китае раскрыли схему незаконного вывода $295 млн через криптовалюты. Что почитать на выходных? В формате News+ объясняем, какие риски несет EIP-3074 для Ethereum-кошельков и в чем заключается предложенная Виталиком Бутериным альтернатива этому стандарту: https://forklog.com/news/eksperty-otsenili-vliyanie-eip-3074-na-ethereum-koshelki