ФБР передало 4,3 миллиона адресов электронной почты, собранных ботнетом Emotet, службе Have I Been Pwned (HIBP), чтобы упростить оповещение пострадавших.
HIPB, управляемый австралийским исследователем безопасности Троем Хантом, представляет собой широко пользующийся доверием сервис оповещения о взломах, который лежит в основе собственных уведомлений Mozilla Firefox о взломах.
ФБР собрало адреса электронной почты с серверов Emotet после разборки в январе. Ботнет вредоносного ПО Emotet был заблокирован правоохранительными органами США, Канады и Европы, что нарушило то, что Европол назвал самым опасным ботнетом в мире, который преследовал Интернет с 2014 года.
SEE: Политика безопасности и обучения (TechRepublic Premium)
Emotet отвечал за распространение программ-вымогателей, банковских троянов и других угроз посредством фишинга и спама, содержащего вредоносное ПО.
В январе правоохранительные органы Нидерландов взяли под свой контроль ключевые домены и серверы Emotet, в то время как федеральное полицейское управление Германии Bundeskriminalamt (BKA) выдвинуло обновление примерно на 1,6 миллиона компьютеров, зараженных вредоносным ПО Emotet, которые на этой неделе активировали убийство переключитесь, чтобы удалить это вредоносное ПО.
Хант сообщает в своем блоге, что ФБР передало ему «учетные данные электронной почты, хранящиеся в Emotet для рассылки спама через почтовых провайдеров жертв», а также «учетные данные веб-сайтов, полученные из браузеров, которые сохранили их для ускорения последующих входов в систему».
Адреса электронной почты и учетные данные были загружены в HIPB как единое «нарушение», хотя это не типичное нарушение данных, для которого сайт собирает учетные данные и адреса электронной почты.
HIBP в настоящее время содержит 11 миллиардов «перехваченных» учетных записей в результате ряда утечек данных, произошедших за последнее десятилетие, таких как утечка MySpace и LinkedIn в 2012 году, а также огромные списки заполненных учетных данных, найденные в Интернете, которые используются злоумышленниками для взлома учетных записей с ранее взломанными адресами электронной почты и паролями. Заполнение учетных данных позволяет людям использовать общие пароли, такие как 1234567, или повторно использовать пароли для нескольких учетных записей.
СМОТРЕТЬ: Хакеры активно ищут уязвимости в этих VPN-устройствах. Вот что вам нужно сделать
Хант пометил это нарушение как "конфиденциальное" в HIBP, что означает, что адреса электронной почты не доступны для публичного поиска.
«HIBP позволяет вам узнать, подвергалась ли ваша учетная запись в большинстве утечек данных, путем прямого поиска в системе. Однако некоторые нарушения особенно чувствительны, так как чье-либо присутствие в нарушении может неблагоприятно повлиять на них, если другие смогут обнаружить, что они были участником сайта. Эти нарушения классифицируются как «конфиденциальные» и не могут подвергаться публичному поиску, говорится на сайте в своем определении «конфиденциального нарушения».
«Люди должны будут либо подтвердить контроль над адресом через службу уведомлений, либо выполнить поиск домена, чтобы увидеть, не затронуты ли они», — отметил Хант.
«Я использовал этот подход, чтобы никого не подвергать опасности. "Все затронутые подписчики HIBP уже получили уведомления". ZDNet обратился к Ханту, который был недоступен на момент публикации.
Для частных лиц или организаций, которые d их подробности в данных, Хант предлагает:
- Обновляйте программное обеспечение безопасности, такое как антивирус, с текущими определениями.
- Измените пароль своей учетной записи электронной почты, а также измените пароли и вопросы безопасности для любых учетных записей, которые вы могли сохранить в своем почтовом ящике или в браузере, особенно для таких служб, как банковское дело.
- Для администраторов с затронутыми проблемами пользователи, обратитесь к правилам YARA, выпущенным DFN Cert.