Новости информационной безопасности

unbreakable

Модератор
Награды
6
Обзор инцидентов безопасности за период с 24 по 30 апреля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Прошедшая неделя выдалась весьма насыщенной событиями для операторов вымогательского ПО Babuk – атака на крупную европейскую сеть магазинов мобильной электроники, шантаж полиции Вашингтона и, наконец, заявление о прекращении деятельности. Об этих и других событиях в мире ИБ за период с 24 по 30 апреля 2021 года.
Начало недели ознаменовалось сообщением об атаке на сеть магазинов мобильных телефонов Phone House в Испании с использованием вымогательского ПО Babuk. Хотя инцидент произошел еще 11 апреля, ранее широкой общественности о нем не сообщалось. По словам злоумышленников, они опубликовали в даркнете данные 13 млн клиентов Phone House.
Далее операторы Babuk «отличились» взломом сервера Управления полиции столичного округа Колумбия (США). В случае неуплаты выкупа они пригрозили обнародовать данные уголовных расследований. Как сообщила группировка, в общей сложности ей удалось похитить более 250 ГБ данных. На уплату выкупа хакеры отвели полиции три дня, и если деньги не будут переведены в срок, они пообещали связаться с местными ОПГ и раскрыть им личности полицейских информаторов.
Вдоволь наигравшись, операторы Babuk вдруг заявили о прекращении своей деятельности. В четверг, 29 апреля, на своем сайте утечек в даркнете они опубликовали короткое сообщение о намерении покинуть бизнес, поскольку уже достигли поставленной цели. В первоначальной версии сообщения вымогатели поясняли, что их конечной целью была атака на полицию Вашингтона, и теперь, когда цель была достигнута, они сворачивают свои операции и выкладывают исходный код вымогательского ПО. Во второй версии сообщения упоминания полиции больше нет.
Babuk – не единственное вымогательское ПО, появлявшееся в заголовках СМИ в течение недели. К примеру, после провала переговоров о выплате выкупа операторы вымогательского ПО DopplePaymer обнародовали большой объем документов, принадлежащих Офису Генерального прокурора штата Иллинойс. Опубликованные файлы включают судебные документы по делам, инициированным генпрокуратурой, конфиденциальные документы, не указанные в публичных записях, а также персонально идентифицируемые данные о заключенных и их делах.
Одна из крупнейших строительных компаний Японии Kajima Construction Corporation предположительно стала жертвой вымогательской группировки REvil. Согласно сообщению на сайте REvil в даркнете, группировка похитила в общей сложности 1 300 000 файлов, принадлежащих компании, в том числе конфиденциальные контракты и чертежи. В качестве доказательства, вымогатели опубликовали ряд скриншотов документов, якобы похищенных у компании.
Как сообщалось на прошлой неделе, REvil взломала компьютеры партнера Apple, компании Quanta Computer, и похитила чертежи будущих ноутбуков MacBook и другой «яблочной» техники. Ранее на своем сайте в даркнете хакеры опубликовали требование выкупа от Quanta Computer в размере $50 млн. В случае неуплаты REvil обещала выложить в открытый доступ более десятка схем и чертежей компонентов MacBook. На этой неделе группировка внезапно удалила со своего сайта все упоминания о похищенных документах. Заплатила ли Apple вымогателям, неизвестно.
Крупнейшая в США буровая компания Gyrodata подтвердила факт атаки вымогательского ПО на свои компьютерные системы, в результате которой произошла утечка данных ее действующих и бывших сотрудников. В ходе атаки злоумышленники могли похитить такие данные, как имена бывших и настоящих сотрудников, адреса, даты рождения, номера водительских удостоверений, номера социального страхования, номера паспортов, данные налоговых деклараций, а также информацию, связанную с планами медицинского страхования.
Из-за серии кибератак на шведского поставщика аппаратов лучевой терапии Elekta его клиенты (в частности, онкологические больницы) до сих пор не могут восстановить нормальный режим работы, поскольку, принимая меры по реагированию на инцидент, компания отключила свои облачные сервисы. Из-за недоступности облачных сервисов Elekta целому ряду онкологических центров в США пришлось приостановить радиотерапию для своих пациентов.
25 апреля 2021 года австралийская организация UnitingCare Queensland, предоставляющая услуги по уходу за пожилыми людьми, людьми с ограниченными возможностями и людьми, находящимися в трудной жизненной ситуации, стала жертвой кибератаки, в результате которой в работе ее компьютерных систем произошел сбой.
Система бронирования авиабилетов компании Radixx Res (дочерняя компания Sabre Corporation) подверглась кибератаке с использованием вредоносного ПО. Инцидент не затронул системы Sabre, и база данных клиентов не была скомпрометирована, однако из-за кибератаки клиенты 20 авиакомпаний не смогли бронировать авиабилеты. В число пострадавших авиакомпаний вошли Peach Aviation, ZIPAIR, Air Belgium, Sky Airlines, Air Transat, Vietravel, Aero K Airlines, Salam Air, FlySafair, Air India Express и Wingo.
Американский провайдер облачной инфраструктуры DigitalOcean разослал своим клиентам письма с предупреждением об утечке их платежных данных. Как сообщили в компании, неизвестные получили доступ к «некоторым платежным данным через уязвимость, которая уже исправлена» в период с 9 по 22 апреля. В результате инцидента в руки злоумышленников попали имена и адреса клиентов, используемые для выставления счетов, а также информация о последних четырех цифрах платежных карт, сроках истечения их действия и названии банка-эмитента карт.
Как установили специалисты Министерства внутренней безопасности США, уязвимости в ПО Pulse Connect Secure от компании Ivanti позволили хакерам взломать как минимум пять федеральных агентств. Названия пострадавших организаций не раскрываются.
О еще одной атаке на цепочку поставок сообщил разработчик корпоративного менеджера паролей Passwordstate компания Click Studios. Неизвестные злоумышленники скомпрометировали механизм обновления менеджера паролей и использовали его для установки вредоносной программы на системы пользователей. Согласно сообщению компании Click Studios, злоумышленники запустили фишинговую кампанию, воспользовавшись тем, что некоторые пользователи разместили в социальных сетях копии разосланных ею электронных писем. В рамках атак злоумышленники рассылают фишинговые письма, имитирующие сообщения Click Studios, с целью заразить системы пользователей новым вариантом инфостилера Moserpass.
Хакер под псевдонимом Monsieur Personne решил доказать, что, несмотря на хвалебные отзывы СМИ о невзаимозаменяемых токенах (non-fungible token, NFT), на самом деле они не являются такими уж уникальными и безопасными. С целью продемонстрировать «абсурдность ситуации с ажиотажем вокруг NFT» хакер подделал NFT цифровой картины Everydays: The First 5000 Days американского художника Beeple, которая была продана в прошлом месяце на аукционе Christie’s за $69,34 млн.
Киберпреступники взламывают корпоративные и правительственные компьютерные системы с целью похищения конфиденциальных данных через две уязвимости в популярном файлообменном сервере. В рамках глобальной вредоносной кампании хакеры уже атаковали офис премьер-министра Японии. Атакующие эксплуатируют уязвимости в популярных сетевых решениях для обмена файлами FileZen от японской компании Soliton. Данная кампания очень похожа на атаки через уязвимости в файлообменном ПО Accellion FTA, обнаруженные хакерами в декабре 2020 года.
Проект децентрализованных финансов Uranium Finance на базе блокчейна Binance Smart Chain стал жертвой кибератаки, в результате которой злоумышленники похитили около $50 млн. Разработчики проекта планировали перевести активы поставщиков ликвидности на новую версию протокола — 2.1. Однако хакеры проэксплуатировали уязвимость в логике модификатора баланса Uranium, увеличили баланс проекта в 100 раз, и получили доступ к средствам пользователей.
Не обошлось на прошлой неделе без сообщений об уязвимостях нулевого дня. Операторы вредоносного ПО Shlayer использовали уязвимость в macOS в атаках в январе 2021 года. Злоумышленники изменяли результаты поисковой системы для демонстрации вредоносных ссылок, которые при нажатии перенаправляют пользователей на web-страницу якобы для загрузки обновления приложения для устаревшего программного обеспечения. Обновление на самом деле являлось bash-скриптом для незаметной установки рекламного ПО Bundlore.
Подробнее: https://www.securitylab.ru/news/519556.php
 

unbreakable

Модератор
Награды
6
Уязвимости в SonicWall эксплуатировались для заражения вымогателем FiveHands

Хакеры эксплуатировали уязвимость до того, как она была исправлена производителем в феврале 2021 года.

image

Преследующие финансовую выгоду киберпреступники эксплуатировали уязвимость в SonicWall SMA 100 Series VPN для развертывания в сетях североамериканских и европейских организаций вымогательского ПО FiveHands. Группировка, отслеживаемая ИБ-компанией Mandiant как UNC2447, использовала уязвимость CVE-2021-20016 до того, как она была исправлена производителем в феврале 2021 года. Эта же уязвимость эксплуатировалась в январе 2021 года для атаки на внутренние системы SonicWall.
По словам специалистов, перед развертыванием вымогательского ПО злоумышленники сохраняли персистентность в атакуемой сети с помощью Cobalt Strike и устанавливали бэкдор SombRAT.
Само вымогательское ПО FiveHands было впервые обнаружено в октябре 2020 года. Вымогатель напоминает вымогательское ПО HelloKitty, которое так же, как и FiveHands, является модифицированной версией DeathRansom. С января 2021 года количество кибератак с использованием HelloKitty начало снижаться, когда на арену вышел вымогатель FiveHands.
В отличие от HelloKitty и DeathRansom новый вымогатель оснащен несколькими дополнительными функциями. Кроме того, с помощью диспетчера перезапуска Windows вымогатель FiveHands способен закрывать используемый в данный момент файл, чтобы его можно было разблокировать и успешно зашифровать.
Как пояснили специалисты Mandiant, UNC2447 монетизирует свои атаки, сначала вымогая у своих жертв выкуп за восстановление зашифрованных FiveHands файлов, а затем оказывая на них агрессивное давление с помощью угроз привлечения внимания СМИ и продажи похищенных данных. Партнеры FiveHands в прошлых атаках также использовали вымогательское ПО Ragnar Locker.
Подробнее: https://www.securitylab.ru/news/519569.php
 

unbreakable

Модератор
Награды
6
Обзор инцидентов безопасности за период с 3 по 9 июля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Уходящая неделя оказалась весьма богатой событиями в мире ИБ – массовые атаки вымогательского ПО REvil, атаки APT-группировок, взлом Национального комитета Республиканской партии и атака на социальную сеть сторонников Дональда Трампа представляют собой только малую толику инцидентов безопасности уходящей недели. Об этих и других событиях за период с 3 по 9 июля 2021 года читайте в нашем обзоре.
Около двух сотен американских компаний пострадали в результате кибератаки на базирующуюся во Флориде IT-компанию Kaseya, предоставляющую услуги управления IT-инфраструктурой. Эксперты считают, что организатором атаки является вымогательская группировка REvil. По данным экспертов Kaseya стала жертвой программы-вымогателя, которая затем распространилась по корпоративным сетям компаний, использующим программное обеспечение Kaseya, в частности, инструмент Virtual System Administrator (VSA). Хакеры требуют от жертв выкуп в размере $45 тыс. в криптовалюте.
По данным специалистов нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure), атакующие проэксплуатировали ранее неизвестную уязвимость в сервере Kaseya VSA. По словам главы DIVD Виктора Геверса (Victor Gevers), Kaseya находилась в процессе исправления уязвимости ( CVE-2021-30116 ), когда подверглась атаке. Как оказалось, о данной уязвимости компании сообщили еще в апреле нынешнего года, но патч для нее не был подготовлен вовремя.
Исследователи в области кибербезопасности из компании Huntress Labs смогли успешно воспроизвести эксплоит, использованный в ходе атак на Kaseya и ее клиентов. Исследователям удалось воспроизвести атаку и продемонстрировать цепочку эксплоитов, предположительно использованную киберпреступниками. Эксплоит включает обход аутентификации, загрузку произвольных файлов и внедрение команд.
Одной из жертв атаки на Kaseya стала крупная сеть супермаркетов в Швеции Coop, которой пришлось закрыть порядка 800 магазинов по всей стране из-за одного из подрядчиков, пострадавшего в результате вымогательской атаки REvil на Kaseya.
Сложившейся вокруг атак на Kaseya и ее клиентов критической ситуацией вовсю пользуются кибермошенники. Злоумышленники рассылают потенциальным жертвам спам-письма с полезной нагрузкой Cobalt Strike, замаскированной под обновления безопасности для Kaseya VSA. Преступники рассылают потенциальным жертвам письма с вредоносным вложением и встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil. Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч от Microsoft, злоумышленники получают постоянный удаленный доступ к ее компьютеру.
Еще одним громким событием недели является потенциальный взлом Национального комитета Республиканской партии США. За атакой стоит известная киберпреступная группа APT 29, также известная как Cozy Bear, которая считается виновной во взломе систем Национального комитета Демократической партии США в 2016 году и атаке на SolarWinds.
Исследователи в области кибербезопасности обнаружили новую фишинговую кампанию, нацеленную на кандидатов на должности инженеров в США и Европе. По словам исследователей, вредоносная кампания организована APT-группировкой Lazarus и была активна в течение последних нескольких месяцев. Хакеры распространяли документы, замаскированные под письма от оборонных подрядчиков и инженерных компаний, таких как Airbus, General Motors (GM) и Rheinmetall. Все письма содержат вредоносные документы.
Другая APT-группировка, SideCopy, атакует госслужащих в Индии. SideCopy действует как минимум с 2018 года и разработала новые трояны для удаленного доступа, некоторые из которых используют плагины для добавления дополнительных функций.
В Польше произошла одна из крупнейших кибератак за последние несколько лет, в результате которой была взломана электронная почта около десятка членов парламента Польши. Инцидент коснулся представителей практически всех оппозиционных фракций парламента. Все пострадавшие были уведомлены о случившемся и прошли тренинг по кибербезопасности.
Неизвестные злоумышленники взломали недавно запущенную социальную сеть GETTR для сторонников Дональда Трампа, похитили персональную информацию около 90 тыс. пользователей и опубликовали ее на хакерском форуме. Хакеры обнаружили незащищенный интерфейс прикладного программирования (API), который позволил им похитить данные 87 973 пользователей GETTR, включая адреса электронной почты, псевдонимы, имена профилей, год рождения, описания профиля, URL-адрес аватара, фоновые изображения, местоположение, личный web-сайт и другие внутренние данные сайта.
Ошибка в программном обеспечении мадридского медицинского регулятора привела к утечке персональной информации тысяч жителей испанской столицы. Среди тех, чья личная информация оказалась раскрыта, значатся проживающие в регионе король Испании Филипп VI, председатель правительства Педро Санчес и другие политические деятели.
Жертвой кибератаки с использованием вымогательского ПО стала Санитарная комиссия пригородов Вашингтона (Washington Suburban Sanitary Commission, WSSC Water). Злоумышленникам удалось получить доступ к внутренним файлам WSSC Water, но никаких манипуляций с водопроводной водой зафиксировано не было.
Подробнее: https://www.securitylab.ru/news/522083.php
 

    SMooKE

    очки: 9.999
    Нет комментариев

Stirik

Воин бога
Награды
6

C сегодняшнего дня, 30 сентября, у пользователей миллионов смартфонов и ноутбуков возникнут проблемы с интернетом из-за окончания действия цифрового сертификата IdenTrust DST Root CA X3, который используется для шифрования данных при обмене между сайтами и устройствами. На это указал эксперт в области информационной безопасности Скотт Хельме в своем блоге.

Он отметил, что проблема коснется в первую очередь пользователей старых устройств, например, iPhone и планшетов iPad, которые невозможно обновить до iOS 10, а также обладателей ноутбуков MacBook с macOS 10.12.0 и Windows XP (Service Pack 3). По словам Хельме, проблемы с соединением могут возникнуть в период между 12.12 и 14.01 по Гринвичу (между 14.12 и 16.01 мск), когда истечет срок действия сертификата.

Провайдер этого сертификата — организация Lets Encrypt. Она занимается выпуском сертификатов, которые соединяют устройства пользователей со всемирной сетью и шифруют их данные в процессе. Как отмечает TechCrunch, миллионы сайтов используют данный вид сертификатов. После истечения срока его действия, компьютеры, смартфоны и прочие приложения, такие как браузеры, просто перестанут «доверять» сертификату шифрования, из-за чего и возникнут проблемы.

Эксперт обратил внимание и на то, что проблема может коснуться Android-пользователей. В связи с этим он рекомендовал пользователям старых версий ОС, например, Lollipop 5.0, пользоваться браузером Firefox, который имеет свой список корневых сертификатов. Также сбоев при соединении с интернетом можно будет избежать при регулярном обновлении ОС или замене устаревшего сертификата на ISRG Root X1, который действует до 2035 года.
 

unbreakable

Модератор
Награды
6
Провайдеры электронной почты подверглись DDoS-атакам с целью вымогательства

Хотя атаки вымогательского ПО затмили вымогательство с помощью DDoS, преступники по-прежнему пользуются этим методом.

image

Как минимум три провайдера электронной почты в разных уголках мира подверглись мощным DDoS-атакам. В частности, инцидент затронул поставщиков защищенных сервисов электронной почты Runbox (Норвегия), Posteo (Германия) и Fastmail (Австралия).
Как сообщили представители Posteo в своем блоге, злоумышленники связались с ними и потребовали деньги за прекращение атаки.
"Мы не заплатили сумму, которую они потребовали. Компании ни при каких обстоятельствах не должны позволять преступникам себя шантажировать, в противном случае они станут для них еще более привлекательной жертвой. К тому же, DDoS-атаки обычно не прекращаются, даже если заплатить", - говорится в блоге Posteo.
В Fastmail и Runbox не сообщили, потребовали ли злоумышленники выкуп за прекращения атаки. Тем не менее, похоже, что за ними стоят те же киберпреступники, что и за атакой на немецкого провайдера, и требования выкупа все же имели место. Об этом порталу The Record сообщил осведомленный источник.
В настоящее время все три сервиса восстановили свою работу.
Одновременно с Runbox, Posteo и Fastmail DDoS-атакам также подверглись британский поставщик сервиса VoIP-телефонии Voipfone и провайдер игровых серверов Sparked, однако ответственность за них лежит на других киберпреступниках.
Несмотря на то, что кибератаки с использованием вымогательского ПО затмили вымогательство с помощью DDoS-атак, киберпреступники по-прежнему активно пользуются этим методом. К примеру, в прошлом месяце попытки вымогательства с помощью DDoS-атак были зафиксированы в отношении ряда интернет-провайдеров и финансовых организаций по всему миру, в том числе в России , Великобритании, США и Новой Зеландии. Некоторые из них были осуществлены с использованием ботнета Meris .
Подробнее: https://www.securitylab.ru/news/525892.php
 

unbreakable

Модератор
Награды
6
Обзор инцидентов безопасности за период с 28 октября по 3 ноября 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Арест организаторов вымогательской атаки на компанию Norsk Hydro, прекращение деятельности кибервымогателей BlackMatter, мошенничество на тему "Игры в кальмара" - об этих и других громких событиях за период с 28 октября по 3 ноября 2021 года читайте в нашем обзоре.
В понедельник, 1 ноября, из-за давления со стороны властей кибервымогательская группировка BlackMatter объявила о прекращении деятельности. Группировка опубликовала объявление о прекращении деятельности на своем портале для партнеров, где киберпреступники обычно регистрируются для получения вымогательского ПО BlackMatter.
Европол сообщил об аресте 12 человек, подозреваемых в осуществлении вымогательских атак на более 1,8 тыс. организаций в 71 стране мира. В атаках был задействован ряд семейств программ-вымогателей, в том числе LockerGoga (использовалась в атаке на норвежского производителя алюминия Norsk Hydro), MegaCortex и Dharma, а также вредонос Trickbot и пост-эксплутационные инструменты, такие как Cobalt Strike. Аресты были произведены в Швейцарии и Украине. В ходе обысков полиция изъяла пять автомобилей класса люкс, электронные устройства и $52 тыс. наличными.
Немецкие правоохранители раскрыли личность, как они полагают, одного из ключевых участников вымогательской группировки REvil, известной благодаря громким атакам на крупные компании по всему миру. Речь идет о некоем Николае К., позиционирующем себя как криптоинвестор и трейдер.
Пока операторам REvil, BlackMatter и LockerGoga ничего больше не остается, как надеяться на лучшее, другие кибервымогатели не сбавляют обороты. Так, операторы вымогательского ПО Conti предположительно атаковали британский ювелирный дом Graff Diamonds и похитили данные его клиентов, в том числе знаменитых. Злоумышленники успели выложить в даркнет 69 тысяч файлов об 11 тысячах клиентов. Среди них - списки клиентов, счета-фактуры, квитанции и другие документы.
Операторы вымогательского ПО Chaos атакуют Windows-устройства через поддельные файлы Minecraft Alt List, распространяющиеся через геймерские форумы. Вредонос распространяется через текстовые файлы, якобы содержащие похищенные учетные данные игроков Minecraft. Данный вариант Chaos настроен таким образом, чтобы находить на зараженных системах файлы различных типов размером менее 2 МБ и шифровать их. Однако, если размер файла превышает 2 МБ, в него будут вставлены случайные байты, что сделает его невосстановимым, даже если будет уплачен выкуп.
Атаке вымогательского ПО подвергся немецкий производитель компонентов для автомобилей Eberspächer Group. Из-за инцидента компания Eberspächer отключила официальные web-сайты, системы электронной почты и производственные системы. В связи с невозможностью координировать производственный процесс и обрабатывать заказы компания отправила часть сотрудников в Германии и Румынии в оплачиваемый отпуск.
Атака вымогательского ПО нарушила работу управления общественного транспорта Торонто и отключила несколько систем, использующихся водителями и пассажирами. Инцидент затронул внутренние системы Транспортной комиссии Торонто (Toronto Transit Commission, TTC), в частности почтовый сервер и систему связи TTC Vision для водителей. В связи с этим водителям общественного транспорта пришлось временно перейти на классическую систему радиосвязи.
Канадская провинция Ньюфаундленд и Лабрадор подверглась кибератаке, которая привела к серьезным сбоям в работе медицинских учреждений и больниц. В результате атаки региональные системы здравоохранения отключили свои сети и отменили тысячи записей к врачам. Сбои в работе затронули системы здравоохранения Central Health, Eastern Health, Western Health и региональные органы здравоохранения Лабрадора-Гренфелла. Отключение IT-систем также повлияло на связь в регионе - люди сообщали о невозможности связаться с медицинскими центрами или службами 911 по телефону.
Министерство финансов Папуа-Новой Гвинеи стало жертвой атаки с использованием программ-вымогателей, заблокировавших доступ к сотням миллионов долларов иностранной помощи. Атака затронула Интегрированную систему финансового управления (IFMS) Министерства финансов.
Национальный банк Пакистана подвергся кибератаке, затронувшей его бэкенд-системы и серверы, использующиеся для связи филиалов банка, внутренней инфраструктуры, контролирующей сеть банкоматов, и мобильных приложений банка. Новость о взломе так испугала клиентов, что они массово кинулись к банкоматам, чтобы снять свои деньги. В настоящее время инцидент расследуется не как атака с использованием вымогательского ПО, а как попытка саботажа.
Операторы вымогательского ПО ищут новые способы инфицирования систем жертв. Одним из таких способов является техника «отравление SEO» (SEO poisoning) для установки полезной нагрузки на системы жертв. Так, исследователи кибербезопасности из компании Menlo Security обнаружили две вредоносные кампании Gootloader и SolarMarket, связанные с операторами программы-вымогателя REvil и использующие данную технику.
Еще один вектор заражения - вредоносные NPM-пакеты. Так, специалисты ИБ-компании Sonatype обнаружили вредоносные NPM-пакеты, распространявшие под видом библиотек Roblox вымогательское ПО и инфостилеры. Речь идет о двух NPM-пакетах - noblox.js-proxy и noblox.js-proxies. Как видно из названия, злоумышленники использовали тайпсквоттинг (использование слов, близких к написанию известных названий в расчете на ошибку пользователей), чтобы убедить жертв, будто это легитимная API обертка Roblox под названием noblox.js-proxied. Вредоносные NPM-пакеты заражали жертв вымогательским ПО MBRLocker, выдаваемым киберпреступниками за нашумевший шифровальщик GoldenEye, trollware-программами (неопасным ПО, главной целью которого является раздражение пользователя и троллинг) и трояном для похищения паролей.
Хакерская группировка Black Shadow, предположительно связанная с Ираном, за неделю успела "отличиться" дважды. В частности, она заявила о взломе серверов израильской хостинговой компании Cyberserve, что повлекло отключение ряда популярных web-сайтов. Кроме того, Black Shadow взломала сайт знакомств израильских секс-меньшинств "Атраф" и потребовала выкуп в $1млн. В противном случае хакеры пригрозили опубликовать персональные данные пользователей сайта, в том числе переписку.
Еще одна иранская хакерская группировка, Moses Staff, опубликовала в открытом доступе в даркнете и Telegram-каналах персональные данные сотен израильских военнослужащих. Опубликованный массив данных содержит информацию о военнослужащих и лицах предпризывного возраста, включая звания, телефонные номера, адреса электронной почты, адреса проживания, служебную переписку, а также сведения о социально-экономическом статусе семей военнослужащих.
В свою очередь, Иран обвинил США и Израиль в кибератаках на АЗС, которые привели к беспорядкам в области обеспечения иранских АЗС топливом.
Национальная стрелковая ассоциация США (NRA) подверглась кибератаке вымогательского ПО Grief. Предполагается, что Grief — это сменившая название хакерская группировка Evil Corp. Хакеры выложили в сеть файлы, которые, как они утверждают, были украдены у NRA. Большинство украденных документов касаются грантов, финансируемых из бюджета стрелковой ассоциации. Если запрашиваемый хакерами выкуп не будет выплачен, киберпреступники грозятся опубликовать и другие украденные файлы.
Специалисты компании Proofpoint обнаружили вредоносную кампанию, в ходе которой киберпреступники из группировки TA575 распространяют вредоносное ПО Dridex с помощью писем на тему популярного сериала Netflix «Игра в кальмара». В письмах содержатся такие сообщения, как «Игра в кальмара возвращается, смотрите новый сезон раньше всех», «Приглашения клиента для доступа к новому сезону», «Предварительный просмотр рекламных роликов нового сезона Игры в кальмара» и пр.
Новая криптовалюта, появившаяся на волне популярности телесериала "Игра в кальмара", привлекла такое количество инвесторов, что всего за несколько дней ее курс взлетел до $2,8 тыс. Однако вскоре ее многообещающее будущее разлетелось в пух и прах - создатели криптовалюты быстренько вывели все деньги и скрылись. Криптовалюта под названием $SQUID продавалась якобы для предстоящей online-игры, основанной на популярном южнокорейском сериале. Всего за несколько дней в прошлом месяце стоимость $SQUID выросла на 310%, однако по состоянию на утро понедельника, 1 ноября, курс новоявленной криптовалюты составлял $0. Сайт $SQUID исчез, а учетная запись в Twitter была заблокирована.
Криптобиржа BXH Exchange подверглась хакерской атаке, в результате которой лишилась цифровых активов на $139 млн. Как установили специалисты по кибербезопасности, злоумышленники похитили средства, завладев ключом администратора. По одной версии, компьютер сотрудника площадки был заражен трояном, которая позволила хакерам получить доступ к конфиденциальной информации. Однако не исключается, что к краже причастен один из работников BXH Exchange.
Специалисты «Лаборатории Касперского» сообщили , что легитимный токен Amazon Simple Email Service (SES), выданный стороннему подрядчику, недавно использовался злоумышленниками в рамках целенаправленной фишинговой кампании, нацеленной на пользователей Microsoft Office 365. Эксперты связали фишинговые кампании с несколькими киберпреступниками, которые использовали два набора инструментов для фишинга - один под названием Iamtheboss, а другой под названием MIRCBOOT.
Подробнее: https://www.securitylab.ru/news/526228.php
 

unbreakable

Модератор
Награды
6
Обзор инцидентов безопасности за период с 18 по 24 ноября 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Масштабная утечка данных клиентов GoDaddy, продажа целой криптовалютной биржи вымогателями LockBit, утечка данных вымогателей Conti - об этих и других событиях в мире ИБ читайте в нашем обзоре.
На сайте утечек кибервымогательской группировки LockBit появилось необычное объявление. На сайте, где LockBit публикует данные жертв, не заплативших выкуп, появилось объявление о продаже исходного кода и базы данных криптовалютной биржи. По словам группировки, благодаря инсайдеру, который все еще работает в компании, ей удалось заполучить исходный код и базу данных криптовалютной биржи BTC-Alpha, и теперь она выставила их на продажу за 100 биткойнов. Однако цена не является окончательной, говорится в объявлении, и LockBit готова торговаться. Группировка заключит сделку с тем, кто предложит наибольшую сумму.
Омская ювелирная компания "Россювелирторг" подверглась атаке кибервымогателей. Злоумышленники смогли сломать систему штрих-кодирования, зашифровать программу, из-за чего слетели все настройки. Кроме того, хакеры внесли изменения в работу интернет-магазина и частично уничтожили базу по маркетингу и аналитике. После проникновения вымогатели потребовали деньги за восстановление доступа к зашифрованным данным. Программисты компании не смогли самостоятельно получить ключи, поэтому ей пришлось заплатить требуемую сумму.
Кибервымогательская группировка Conti сама стала жертвой утечки данных после того, как исследователям безопасности удалось установить реальный IP-адрес одного из ее самых важных серверов и более месяца сохранять консольный доступ к системе. В течение месяца специалисты ИБ-компании Prodaft имели доступ к этому серверу, что дало им возможность осуществлять мониторинг сетевого трафика.
Энергетический гигант из Дании Vestas Wind Systems подвергся кибератаке, в результате которой был вынужден отключить часть систем в ряде своих подразделений. Инцидент произошел 19 ноября нынешнего года и затронул части внутренней IT-инфраструктуры производителя. Компания признала, что в результате инцидента были скомпрометированы данные, но не уточнила, какие именно и в каком объеме.
Специалисты в области кибербезопасности из компании BioBright сообщили о кибератаке на предприятие по производству биопродуктов, в ходе которой использовалось необычное вредоносное ПО под названием Tardigrade. Как обнаружили эксперты, Tardigrade имеет большой функционал и не ограничивается простым блокированием компьютеров по всему объекту. Вредоносная программа может адаптироваться к новой среде, маскироваться и даже работать автономно, когда она отключена от своего управляющего сервера. Сложность вредоноса и другие данные цифрового анализа указывают на хорошо финансируемую и мотивированную APT-группировку.
Group-IB обнаружила следы новых атак хакеров Redcurl, занимающихся коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. На этот раз в фокусе группы оказался российский ритейлер, входящий в топ-20 крупнейших интернет-магазинов России.
Северокорейская хакерская группировка Lazarus Group атаковала китайских исследователей в области кибербезопасности с целью похитить конфиденциальные сведения об их работе. Хакеры отправляли китайским ИБ-экспертам документы-приманки на китайском языке с пометками Securitystatuscheck.zip и _signed.pdf, обманом вынуждая щелкнуть по ним. Документы якобы содержали информацию о кибербезопасности от Министерства общественной безопасности Китая и Национального технического комитета по стандартизации информационной безопасности. Как полагают эксперты, успешные атаки позволили бы хакерам украсть эксплоиты или научиться новым навыкам.
Специалисты связали еще одну северокорейскую хакерскую группировку, известную как Kimsuky, Velvet Chollima, Thallium, Black Banshee, ITG16 и Konni Group, с волной кампаний по краже учетных данных, нацеленных на исследователей, образовательные учреждения, правительство, СМИ и другие организации. Две кампании также были направлены на распространение вредоносного ПО, которое можно было бы использовать для сбора разведданных.
ФБР США обнаружило APT-группировку, эксплуатирующую уязвимость нулевого дня в сетевых устройствах FatPipe MPVPN с целью взлома компьютерных систем компаний и получения доступа к их внутренним сетям. Преступники эксплуатируют уязвимости в FatPipe MPVPN как минимум с мая 2021 года. Уязвимость позволила неназванной хакерской группировке использовать функцию загрузки файлов в прошивке устройства и установить web-оболочку с корневым доступом.
ФБР, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США, Австралийский центр кибербезопасности (ACSC) и Национальный центр кибербезопасности Великобритании (NCSC) предупредили о растущем числе атак иранских группировок с использованием уязвимостей в Fortinet FortiOS ( CVE-2018-13379 , CVE-2020-12812 и CVE-2019-5591 ) и Microsoft Exchange. По словам экспертов, злоумышленники часто запускают вредоносное ПО BitLocker на скомпрометированных компьютерах под управлением Windows для шифрования данных с целью получения выкупа или нарушения работы.
Как стало известно на прошлой неделе, в 2020 году иранские хакеры атаковали крупное американское издательство Lee Enterprises, выпускающее десятки ежедневных газет по всей территории США. Целью злоумышленников было распространение дезинформации о президентских выборах в 2020 году.
Специалисты компании Microsoft предупредили о растущем числе кибератак на цепочки поставок со стороны иранских хакерских группировок. Преступники предпринимают попытки похищения учетные данные у IT-компаний для дальнейшей организации взломов систем их клиентов. По мнению ИБ-экспертов из Microsoft Threat Intelligence Center (MSTIC) и Digital Security Unit (DSU), данная деятельность является частью более широкой шпионской кампании по компрометации объектов, представляющих интерес для иранского режима.
Как сообщило Министерство юстиции США, в период с сентября по ноябрь 2020 года 24-летний Сейед Мохаммад Хосейн Муса Каземи и 27-летний Саджад Кашиан получили информацию о более чем 100 тыс. американских избирателей и использовали ее с целью «посеять раздор среди американцев». Подозреваемые пытались взломать около десятка избирательных web-сайтов штата и обнаружили неправильно настроенный компьютер, который позволил им получить доступ к сведениям об избирателях. Они использовали полученные данные для распространения через социальную сеть Facebook и электронную почту ложной информации о том, что Демократическая партия планирует вмешаться в выборы путем взлома сайтов регистрации избирателей.
Не обошлось без кибератак и на объекты в самом Иране. Так, иранская авиакомпания Mahan Air подверглась кибератаке, однако инцидент не причинил авиаперевозчику никакого ущерба. В Mahan Air пояснили, что хакеры атаковали «внутренние системы» компании. При этом сбоев в организации полетов не было, все рейсы осуществлялись согласно расписанию.
Один из крупнейших в мире регистраторов доменов GoDaddy сообщил , что неизвестный получил доступ к персональным данным более 1,2 млн клиентов его сервиса хостинга WordPress. Согласно документам, поданным в Комиссию по ценным бумагам и биржам США, GoDaddy обнаружила утечку 17 ноября нынешнего года, когда в хостинговой среде Managed WordPress была зафиксирована "подозрительна активность". Как показало последующее расследование, у злоумышленника был доступ к данным в течение более двух месяцев, как минимум с 6 сентября.
Исследователь в области кибербезопасности опубликовал в Сети эксплоит для уязвимости повышения локальных привилегий ( CVE-2021-41379 ) в установщике Windows, эксплуатация которой дает права администратора на системах под управлением Windows 10, Windows 11 и Windows Server. В рамках ноябрьского вторника патчей Microsoft устранила уязвимость, связанную с повышением привилегий установщика Windows. Уязвимость была обнаружена исследователем Абдельхамидом Насери. По его словам, он раскрыл информацию об уязвимости из-за уменьшения выплат компанией Microsoft в рамках программы вознаграждений за обнаружение уязвимостей.
Для недавно исправленной уязвимости нулевого дня в серверах Microsoft Exchange стал доступен PoC-эксплоит. Уязвимость CVE-2021-42321 затрагивает локальные установки Exchange Server 2016 и Exchange Server 2019 (в том числе, если используется режим Exchange Hybrid) и была исправлена Microsoft с выходом плановых ноябрьских обновлений. Успешная эксплуатация позволяет авторизованному злоумышленнику удаленно выполнить код на уязвимых серверах Exchange.
Кроме того, хакеры стали взламывать серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма. Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.
Подробнее: https://www.securitylab.ru/news/526827.php
 
Сверху