обзор информационная безопасность
Краткий обзор главных событий в мире ИБ за прошедшую неделю.
На прошлой неделе традиционно СМИ сообщали об атаках с использованием вымогательского ПО и активности APT-групп. Об этих и других инцидентах безопасности читайте в нашем обзоре.
Жертвой вымогательского ПО LockBit стало крупнейшее индийское информационное агентство Press Trust of India (PTI). Вредонос зашифровал все данные и приложения организации, что привело к прекращению доставки новостей ее подписчикам. По словам представителя PTI, в течение 11 часов IT-инженеры работали над поэтапным восстановлением систем информагентства, и платить выкуп не пришлось.
Во второй раз за год атаке вымогательского ПО подверглась многонациональная энергетическая компания Enel Group. Программа-вымогатель Netwalker зашифровала сети компании и потребовала выкуп в размере $14 млн за ключ для их восстановления. В случае отказа платить операторы Netwalker пригрозили опубликовать украденные данные. По словам преступников, они похитили у Enel Group около 5 ТБ данных и готовы обнародовать их часть в течение недели.
Как стало известно в начале прошлой недели, операторы вымогательского ПО Ryuk запланировали кибератаки на сотни медицинских учреждений в США. Пока что известно о кибератаках Ryuk только на несколько медучреждений. На прошлой неделе жертвами вымогательского ПО стали медцентр Sky Lakes в Орегоне и несколько больниц в округе Сент-Лоренс.
Специалисты компании FireEye рассказали о ряде вредоносных кампаний с использованием вымогательского ПО, в рамках которых использовалось новые загрузчики KEGTAP (также известный как BEERBOT), SINGLEMALT (также известный как STILLBOT) и WINEKEY (также известный как CORKBOT). В некоторых случаях развертывание вымогателей происходило в течение 24 часов после взлома. В качестве вектора заражения киберпреступники использовали фишинговые письма.
Операторы вымогательского ПО Maze прекратили свою вредоносную деятельность. Вымогатель больше не атакует новых жертв и пытается получить выкуп от последних атакованных. Многие партнеры Maze предположительно перешли к операторам нового вымогательского ПО под названием Egregor. Вымогатель начал работу в середине сентября, когда группировка Maze прекратила свои операции.
На прошлой неделе стало известно о том, что в начале нынешнего года APT-группа Fancy Bear пыталась атаковать электронную почту региональных представительств Демократической партии США в Индиане и Калифорнии. Согласно сообщению Демократической партии Индианы, ей ничего не известно «ни о каких успешных вторжениях». Председатель Демократической партии Калифорнии Расти Хикс (Rusty Hicks) признал факт атаки, но не уточнил, что за ней стоит именно Fancy Bear. По его словам, «усилия иностранной организации не увенчались успехом».
В преддверии выборов президента США хакеры атакуют не только Демократическую, но и Республиканскую партию. Как сообщил председатель Висконсинской Республиканской партии Эндрю Хитт (Andrew Hitt), 22 октября нынешнего года в компьютерных сетях партии была обнаружена подозрительная активность, и руководство обратилось в ФБР. Как оказалось, киберпреступники похитили со счета Висконсинской Республиканской партии $2,3 млн, использовавшиеся в предвыборной кампании Дональда Трампа.
Исследователи консалтинговой компании Accenture обнаружили вредоносную кампанию против иностранного правительства в Европе, проходившую с июня по октябрь нынешнего года. APT-группа Turla использовала в атаках свои классические вредоносные программы, однако все они имели значительные обновления. Одним из обновленных инструментов является бэкдор на основе удаленного вызова процедур (RPC) HyperStack.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA), ФБР и Киберкомандование США предупредили о вредоносной кампании, организованной северокорейской APT-группировкой Kimsuky. Группировка активна с 2012 года и традиционно атакует признанных экспертов в различных областях, а также аналитические центры и государственные структуры в Южной Корее.
ФБР также в экстренном порядке предупредило о хакерах, похитивших данные у правительственных агентств США и корпоративных организаций через доступные в Сети и неправильно настроенные установки SonarQube. Неправильно настроенные серверы SonarQube активно эксплуатируются злоумышленниками с апреля 2020 года для получения доступа к репозиториям исходного кода данных, принадлежащих как государственным, так и корпоративным организациям. По словам представителей ФБР, в настоящее время зафиксировано несколько подобных инцидентов, в рамках которых злоумышленники активно злоупотребляли неправильно сконфигурированными серверами.
Киберпреступная группировка Phosphorus (также известная как APT35) отправляла поддельные электронные письма бывшим правительственным чиновникам, ученым, руководителям крупных организаций и политикам, выдавая себя за организаторов Мюнхенской конференции по безопасности и саммита Think 20 (T20) в Саудовской Аравии. Как сообщили специалисты компании Microsoft, электронные письма были отправлены с целью кражи паролей и других конфиденциальных данных.
На прошлой неделе злоумышленники активно сканировали Сеть в поисках серверов Oracle WebLogic, содержащих критическую уязвимость. Ее эксплуатация позволяет перехватить контроль над системой без особых усилий и без аутентификации. В ходе атак эксплуатировалась уязвимость CVE-2020-14882, получившая оценку в 9,8 балла из 10 по шкале CVSS.
На прошлой неделе стало известно о масштабной утечке данных в сервисе для работы с PDF-документами Nitro, затронувшей такие крупные компании, как Google, Apple, Microsoft, Chase и Citibank. 21 октября нынешнего года компания Nitro Software направила Австралийской фондовой бирже уведомление об «инциденте безопасности низкого влияния» и уверила в том, что данные пользователей не пострадали. Тем не менее, инцидент оказался серьезнее, чем было заявлено изначально. Киберпреступники уже продают клиентские базы пользователей и документов, а также 1 ТБ документов, по их словам, похищенные у облачного сервиса Nitro. Данные выставлены на аукцион, и начальная стоимость лота составляет $80 тыс.
Тысячи конфиденциальных документов оказались скомпрометированы в результате взлома шведской компании Gunnebo, занимающейся производством продуктов, ПО и сервисов для обеспечения безопасности. Во вторник, 27 октября, Gunnebo подтвердила, что стала жертвой операции по ограблению, которая могла затронуть парламент Швеции и европейские банки. Названия компаний и организаций, пострадавших от кибератаки, не раскрываются.
Источник: