Новости информационной безопасности

unbreakable

Модератор
Награды
6
Обзор инцидентов безопасности за период с 24 по 30 апреля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Прошедшая неделя выдалась весьма насыщенной событиями для операторов вымогательского ПО Babuk – атака на крупную европейскую сеть магазинов мобильной электроники, шантаж полиции Вашингтона и, наконец, заявление о прекращении деятельности. Об этих и других событиях в мире ИБ за период с 24 по 30 апреля 2021 года.
Начало недели ознаменовалось сообщением об атаке на сеть магазинов мобильных телефонов Phone House в Испании с использованием вымогательского ПО Babuk. Хотя инцидент произошел еще 11 апреля, ранее широкой общественности о нем не сообщалось. По словам злоумышленников, они опубликовали в даркнете данные 13 млн клиентов Phone House.
Далее операторы Babuk «отличились» взломом сервера Управления полиции столичного округа Колумбия (США). В случае неуплаты выкупа они пригрозили обнародовать данные уголовных расследований. Как сообщила группировка, в общей сложности ей удалось похитить более 250 ГБ данных. На уплату выкупа хакеры отвели полиции три дня, и если деньги не будут переведены в срок, они пообещали связаться с местными ОПГ и раскрыть им личности полицейских информаторов.
Вдоволь наигравшись, операторы Babuk вдруг заявили о прекращении своей деятельности. В четверг, 29 апреля, на своем сайте утечек в даркнете они опубликовали короткое сообщение о намерении покинуть бизнес, поскольку уже достигли поставленной цели. В первоначальной версии сообщения вымогатели поясняли, что их конечной целью была атака на полицию Вашингтона, и теперь, когда цель была достигнута, они сворачивают свои операции и выкладывают исходный код вымогательского ПО. Во второй версии сообщения упоминания полиции больше нет.
Babuk – не единственное вымогательское ПО, появлявшееся в заголовках СМИ в течение недели. К примеру, после провала переговоров о выплате выкупа операторы вымогательского ПО DopplePaymer обнародовали большой объем документов, принадлежащих Офису Генерального прокурора штата Иллинойс. Опубликованные файлы включают судебные документы по делам, инициированным генпрокуратурой, конфиденциальные документы, не указанные в публичных записях, а также персонально идентифицируемые данные о заключенных и их делах.
Одна из крупнейших строительных компаний Японии Kajima Construction Corporation предположительно стала жертвой вымогательской группировки REvil. Согласно сообщению на сайте REvil в даркнете, группировка похитила в общей сложности 1 300 000 файлов, принадлежащих компании, в том числе конфиденциальные контракты и чертежи. В качестве доказательства, вымогатели опубликовали ряд скриншотов документов, якобы похищенных у компании.
Как сообщалось на прошлой неделе, REvil взломала компьютеры партнера Apple, компании Quanta Computer, и похитила чертежи будущих ноутбуков MacBook и другой «яблочной» техники. Ранее на своем сайте в даркнете хакеры опубликовали требование выкупа от Quanta Computer в размере $50 млн. В случае неуплаты REvil обещала выложить в открытый доступ более десятка схем и чертежей компонентов MacBook. На этой неделе группировка внезапно удалила со своего сайта все упоминания о похищенных документах. Заплатила ли Apple вымогателям, неизвестно.
Крупнейшая в США буровая компания Gyrodata подтвердила факт атаки вымогательского ПО на свои компьютерные системы, в результате которой произошла утечка данных ее действующих и бывших сотрудников. В ходе атаки злоумышленники могли похитить такие данные, как имена бывших и настоящих сотрудников, адреса, даты рождения, номера водительских удостоверений, номера социального страхования, номера паспортов, данные налоговых деклараций, а также информацию, связанную с планами медицинского страхования.
Из-за серии кибератак на шведского поставщика аппаратов лучевой терапии Elekta его клиенты (в частности, онкологические больницы) до сих пор не могут восстановить нормальный режим работы, поскольку, принимая меры по реагированию на инцидент, компания отключила свои облачные сервисы. Из-за недоступности облачных сервисов Elekta целому ряду онкологических центров в США пришлось приостановить радиотерапию для своих пациентов.
25 апреля 2021 года австралийская организация UnitingCare Queensland, предоставляющая услуги по уходу за пожилыми людьми, людьми с ограниченными возможностями и людьми, находящимися в трудной жизненной ситуации, стала жертвой кибератаки, в результате которой в работе ее компьютерных систем произошел сбой.
Система бронирования авиабилетов компании Radixx Res (дочерняя компания Sabre Corporation) подверглась кибератаке с использованием вредоносного ПО. Инцидент не затронул системы Sabre, и база данных клиентов не была скомпрометирована, однако из-за кибератаки клиенты 20 авиакомпаний не смогли бронировать авиабилеты. В число пострадавших авиакомпаний вошли Peach Aviation, ZIPAIR, Air Belgium, Sky Airlines, Air Transat, Vietravel, Aero K Airlines, Salam Air, FlySafair, Air India Express и Wingo.
Американский провайдер облачной инфраструктуры DigitalOcean разослал своим клиентам письма с предупреждением об утечке их платежных данных. Как сообщили в компании, неизвестные получили доступ к «некоторым платежным данным через уязвимость, которая уже исправлена» в период с 9 по 22 апреля. В результате инцидента в руки злоумышленников попали имена и адреса клиентов, используемые для выставления счетов, а также информация о последних четырех цифрах платежных карт, сроках истечения их действия и названии банка-эмитента карт.
Как установили специалисты Министерства внутренней безопасности США, уязвимости в ПО Pulse Connect Secure от компании Ivanti позволили хакерам взломать как минимум пять федеральных агентств. Названия пострадавших организаций не раскрываются.
О еще одной атаке на цепочку поставок сообщил разработчик корпоративного менеджера паролей Passwordstate компания Click Studios. Неизвестные злоумышленники скомпрометировали механизм обновления менеджера паролей и использовали его для установки вредоносной программы на системы пользователей. Согласно сообщению компании Click Studios, злоумышленники запустили фишинговую кампанию, воспользовавшись тем, что некоторые пользователи разместили в социальных сетях копии разосланных ею электронных писем. В рамках атак злоумышленники рассылают фишинговые письма, имитирующие сообщения Click Studios, с целью заразить системы пользователей новым вариантом инфостилера Moserpass.
Хакер под псевдонимом Monsieur Personne решил доказать, что, несмотря на хвалебные отзывы СМИ о невзаимозаменяемых токенах (non-fungible token, NFT), на самом деле они не являются такими уж уникальными и безопасными. С целью продемонстрировать «абсурдность ситуации с ажиотажем вокруг NFT» хакер подделал NFT цифровой картины Everydays: The First 5000 Days американского художника Beeple, которая была продана в прошлом месяце на аукционе Christie’s за $69,34 млн.
Киберпреступники взламывают корпоративные и правительственные компьютерные системы с целью похищения конфиденциальных данных через две уязвимости в популярном файлообменном сервере. В рамках глобальной вредоносной кампании хакеры уже атаковали офис премьер-министра Японии. Атакующие эксплуатируют уязвимости в популярных сетевых решениях для обмена файлами FileZen от японской компании Soliton. Данная кампания очень похожа на атаки через уязвимости в файлообменном ПО Accellion FTA, обнаруженные хакерами в декабре 2020 года.
Проект децентрализованных финансов Uranium Finance на базе блокчейна Binance Smart Chain стал жертвой кибератаки, в результате которой злоумышленники похитили около $50 млн. Разработчики проекта планировали перевести активы поставщиков ликвидности на новую версию протокола — 2.1. Однако хакеры проэксплуатировали уязвимость в логике модификатора баланса Uranium, увеличили баланс проекта в 100 раз, и получили доступ к средствам пользователей.
Не обошлось на прошлой неделе без сообщений об уязвимостях нулевого дня. Операторы вредоносного ПО Shlayer использовали уязвимость в macOS в атаках в январе 2021 года. Злоумышленники изменяли результаты поисковой системы для демонстрации вредоносных ссылок, которые при нажатии перенаправляют пользователей на web-страницу якобы для загрузки обновления приложения для устаревшего программного обеспечения. Обновление на самом деле являлось bash-скриптом для незаметной установки рекламного ПО Bundlore.
Подробнее: https://www.securitylab.ru/news/519556.php
 

unbreakable

Модератор
Награды
6
Уязвимости в SonicWall эксплуатировались для заражения вымогателем FiveHands

Хакеры эксплуатировали уязвимость до того, как она была исправлена производителем в феврале 2021 года.

image

Преследующие финансовую выгоду киберпреступники эксплуатировали уязвимость в SonicWall SMA 100 Series VPN для развертывания в сетях североамериканских и европейских организаций вымогательского ПО FiveHands. Группировка, отслеживаемая ИБ-компанией Mandiant как UNC2447, использовала уязвимость CVE-2021-20016 до того, как она была исправлена производителем в феврале 2021 года. Эта же уязвимость эксплуатировалась в январе 2021 года для атаки на внутренние системы SonicWall.
По словам специалистов, перед развертыванием вымогательского ПО злоумышленники сохраняли персистентность в атакуемой сети с помощью Cobalt Strike и устанавливали бэкдор SombRAT.
Само вымогательское ПО FiveHands было впервые обнаружено в октябре 2020 года. Вымогатель напоминает вымогательское ПО HelloKitty, которое так же, как и FiveHands, является модифицированной версией DeathRansom. С января 2021 года количество кибератак с использованием HelloKitty начало снижаться, когда на арену вышел вымогатель FiveHands.
В отличие от HelloKitty и DeathRansom новый вымогатель оснащен несколькими дополнительными функциями. Кроме того, с помощью диспетчера перезапуска Windows вымогатель FiveHands способен закрывать используемый в данный момент файл, чтобы его можно было разблокировать и успешно зашифровать.
Как пояснили специалисты Mandiant, UNC2447 монетизирует свои атаки, сначала вымогая у своих жертв выкуп за восстановление зашифрованных FiveHands файлов, а затем оказывая на них агрессивное давление с помощью угроз привлечения внимания СМИ и продажи похищенных данных. Партнеры FiveHands в прошлых атаках также использовали вымогательское ПО Ragnar Locker.
Подробнее: https://www.securitylab.ru/news/519569.php
 

unbreakable

Модератор
Награды
6
Обзор инцидентов безопасности за период с 3 по 9 июля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Уходящая неделя оказалась весьма богатой событиями в мире ИБ – массовые атаки вымогательского ПО REvil, атаки APT-группировок, взлом Национального комитета Республиканской партии и атака на социальную сеть сторонников Дональда Трампа представляют собой только малую толику инцидентов безопасности уходящей недели. Об этих и других событиях за период с 3 по 9 июля 2021 года читайте в нашем обзоре.
Около двух сотен американских компаний пострадали в результате кибератаки на базирующуюся во Флориде IT-компанию Kaseya, предоставляющую услуги управления IT-инфраструктурой. Эксперты считают, что организатором атаки является вымогательская группировка REvil. По данным экспертов Kaseya стала жертвой программы-вымогателя, которая затем распространилась по корпоративным сетям компаний, использующим программное обеспечение Kaseya, в частности, инструмент Virtual System Administrator (VSA). Хакеры требуют от жертв выкуп в размере $45 тыс. в криптовалюте.
По данным специалистов нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure), атакующие проэксплуатировали ранее неизвестную уязвимость в сервере Kaseya VSA. По словам главы DIVD Виктора Геверса (Victor Gevers), Kaseya находилась в процессе исправления уязвимости ( CVE-2021-30116 ), когда подверглась атаке. Как оказалось, о данной уязвимости компании сообщили еще в апреле нынешнего года, но патч для нее не был подготовлен вовремя.
Исследователи в области кибербезопасности из компании Huntress Labs смогли успешно воспроизвести эксплоит, использованный в ходе атак на Kaseya и ее клиентов. Исследователям удалось воспроизвести атаку и продемонстрировать цепочку эксплоитов, предположительно использованную киберпреступниками. Эксплоит включает обход аутентификации, загрузку произвольных файлов и внедрение команд.
Одной из жертв атаки на Kaseya стала крупная сеть супермаркетов в Швеции Coop, которой пришлось закрыть порядка 800 магазинов по всей стране из-за одного из подрядчиков, пострадавшего в результате вымогательской атаки REvil на Kaseya.
Сложившейся вокруг атак на Kaseya и ее клиентов критической ситуацией вовсю пользуются кибермошенники. Злоумышленники рассылают потенциальным жертвам спам-письма с полезной нагрузкой Cobalt Strike, замаскированной под обновления безопасности для Kaseya VSA. Преступники рассылают потенциальным жертвам письма с вредоносным вложением и встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil. Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч от Microsoft, злоумышленники получают постоянный удаленный доступ к ее компьютеру.
Еще одним громким событием недели является потенциальный взлом Национального комитета Республиканской партии США. За атакой стоит известная киберпреступная группа APT 29, также известная как Cozy Bear, которая считается виновной во взломе систем Национального комитета Демократической партии США в 2016 году и атаке на SolarWinds.
Исследователи в области кибербезопасности обнаружили новую фишинговую кампанию, нацеленную на кандидатов на должности инженеров в США и Европе. По словам исследователей, вредоносная кампания организована APT-группировкой Lazarus и была активна в течение последних нескольких месяцев. Хакеры распространяли документы, замаскированные под письма от оборонных подрядчиков и инженерных компаний, таких как Airbus, General Motors (GM) и Rheinmetall. Все письма содержат вредоносные документы.
Другая APT-группировка, SideCopy, атакует госслужащих в Индии. SideCopy действует как минимум с 2018 года и разработала новые трояны для удаленного доступа, некоторые из которых используют плагины для добавления дополнительных функций.
В Польше произошла одна из крупнейших кибератак за последние несколько лет, в результате которой была взломана электронная почта около десятка членов парламента Польши. Инцидент коснулся представителей практически всех оппозиционных фракций парламента. Все пострадавшие были уведомлены о случившемся и прошли тренинг по кибербезопасности.
Неизвестные злоумышленники взломали недавно запущенную социальную сеть GETTR для сторонников Дональда Трампа, похитили персональную информацию около 90 тыс. пользователей и опубликовали ее на хакерском форуме. Хакеры обнаружили незащищенный интерфейс прикладного программирования (API), который позволил им похитить данные 87 973 пользователей GETTR, включая адреса электронной почты, псевдонимы, имена профилей, год рождения, описания профиля, URL-адрес аватара, фоновые изображения, местоположение, личный web-сайт и другие внутренние данные сайта.
Ошибка в программном обеспечении мадридского медицинского регулятора привела к утечке персональной информации тысяч жителей испанской столицы. Среди тех, чья личная информация оказалась раскрыта, значатся проживающие в регионе король Испании Филипп VI, председатель правительства Педро Санчес и другие политические деятели.
Жертвой кибератаки с использованием вымогательского ПО стала Санитарная комиссия пригородов Вашингтона (Washington Suburban Sanitary Commission, WSSC Water). Злоумышленникам удалось получить доступ к внутренним файлам WSSC Water, но никаких манипуляций с водопроводной водой зафиксировано не было.
Подробнее: https://www.securitylab.ru/news/522083.php
 

    SMooKE

    очки: 9.999
    Нет комментариев
Сверху