Хакеры, атаковавшие второй по величине в мире сервис денежных переводов MoneyGram, охотились за персональным компроматом
В ходе атаки на сервис MoneyGram в конце сентября хакеры смогли увести неопределенный объем данных о его клиентах. В том числе украдены весьма компрометирующие данные – например, информация об уголовных делах.
И никаких шифровальщиков
Сервис MoneyGram, пострадавший в конце сентября 2024 г. от кибератаки, признал, что злоумышленникам удалось похитить персональную информацию и данные о транзакциях ряда пользователей. Судя по всему, именно они и интересовали злоумышленников: все время, пока у них был доступ к внутренним системам корпорации, они занимались выводом личных данных клиентов сервиса.
Атака на MoneyGram была зафиксирована 27 сентября. За этим последовали пять дней простоя, во время которых MoneyGram силился восстановить нормальную работоспособность. Эксперты по безопасности были уверены в том, что MoneyGram – второй по величине в мире сервис денежных переводов, – пострадал от шифровальщика-вымогателя. И действительно, на это было много косвенных указаний.
Однако сейчас MoneyGram утверждает, что шифровальщик в деле не фигурировал вовсе, а главное, что атака состоялась не 27 сентября, а существенно раньше – между 20 и 22 сентября 2024 г.
Издание Bleeping Computer в конце прошлой недели сообщило со ссылкой на инсайдера, что атака включала социальную инженерию – кто-то сумел злоупотребить излишней доверчивостью работников службы внутренней поддержки и заполучить их реквизиты доступа к службам Windows Active Directory. Однако хакеров удалось обнаружить до того, как они успели нанести значительный ущерб системам. В то же время они все-таки смогли вывести некоторый объем данных.
Информация об уголовных делах
В частности, утекли «имена некоторых пострадавших клиентов, контактная информация (например, номера телефонов, электронные и почтовые адреса), даты рождения, ограниченное количество номеров социального страхования, копии удостоверений личности, выданных государственными органами (таких как водительские удостоверения), другие удостоверяющие документы (например, счета за коммунальные услуги), номера банковских счетов, номера MoneyGram Plus Rewards, информация о транзакциях (таких как даты и суммы транзакций), а также, для ограниченного числа потребителей, информация по уголовным расследованиям (например, связанная с мошенничеством)», – говорится в публикации MoneyGram.
«Последнее предложение позволяет сделать обоснованные предположения, что именно интересовало хакеров или их клиентов, – считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Значимая информация об уголовных делах может принести очень существенный прибыток от их фигурантов. А также создать угрозу потенциальным свидетелям по этим делам, это тоже не стоит скидывать со счетов».
В публикации MoneyGram указывается, что объем угнанной информации разнится от пользователя к пользователю. Вероятнее всего, те лица, чьи интересы были затронуты, в скором времени получат извещения от компании. Будет ли в них включена информация об уголовных расследованиях, неизвестно.
Пока ни одна кибергруппировка не взяла на себя ответственность за произошедшее. На прошлой неделе высказывались предположения, что атаку могли осуществить хакеры из финансово-мотивированной группировки Scattered Spider (также известной как UNC3944, the Com, oktapus и т.д.). Впрочем, на это указывает лишь сходство в способе осуществления атаки – использование социальной инженерии, нацеленной на техподдержку. Но уникальным такой метод назвать нельзя. Расследование инцидента ведет компания CrowdStrike.