обзор информационная безопасность
На прошлой неделе большую активность проявляли APT-группы, операторы вымогательского ПО и активисты.
На прошлой неделе большую активность по-прежнему проявляли операторы вымогательского ПО. Кроме того, после длительного затишья о себе снова напомнили участники активистского движения Anonymous. Об этих и других инцидентах безопасности, имевших место на прошлой неделе, читайте в нашем обзоре.
Кибератаке с использованием вымогательского ПО подвергся Калифорнийский университет в Сан-Франциско (UCSF), являющийся лидером среди разработчиков вакцины против коронавируса в США. Похоже, злоумышленники зашифровали данные UCSF и потребовали выкуп за их восстановление. Оплата должна быть произведена до 8 июня нынешнего года, в противном случае вымогатели пообещали опубликовать «секретные данные» UCSF. Какая вымогательская программа использовалась в атаке, не уточняется. Предположительно, это могло быть вымогательское ПО Netwalker.
Публикация похищенных данных в случае отказа жертвы платить выкуп в последнее время является популярной практикой среди операторов вымогательского ПО. К примеру, на прошлой неделе группировка REvil опубликовала на своей странице конфиденциальные данные британской электроэнергетической компании Elexon, чьи компьютерные сети были взломаны 14 мая. Опубликованные данные включают 1280 файлов, в том числе паспорта сотрудников Elexon и конфиденциальную информацию компании.
Примечательно, что REvil придумала, как монетизировать утечки, чтобы не остаться без прибыли, если жертва откажется платить выкуп. Группировка запустила сайт-аукцион наподобие eBay, где будет выставлять похищенные данные на продажу. Первыми на аукцион выставлены данные канадской сельскохозяйственной компании, чьи сети были взломаны в прошлом месяце. Стартовая цена составляет $50 тыс. в криптовалюте Monero.
Операторы вымогательского ПО DopplePaymer заявили о взломе одного из IT-подрядчиков NASA. Злоумышленникам удалось взломать сети компании Digital Management Inc. (DMI) в штате Мэриленд, предоставляющей своим клиентам управляемые сервисы безопасности. Судя по всему, они получили доступ к связанной с NASA инфраструктуре DMI и похитили из нее файлы космического агентства.
ИБ-специалисты предупредили компании о новых кибератаках с использованием вымогательского ПО PonyFinal. Вымогатель добавляет к зашифрованным файлам расширение .enc. В настоящее время никаких бесплатных инструментов для их расшифровки не существует.
На прошлой неделе операторы вымогательского ПО Zorab стали распространять поддельный инструмент для восстановления файлов, зашифрованных STOP Djvu. Бесплатный декриптор якобы расшифровывает файлы, но на самом деле шифрует их повторно, еще более усугубляя ситуацию.
После долгого затишья снова напомнить о себе решили участники движения Anonymous. Активисты «отметились» сразу двумя утечками, одна из которых, впрочем, оказалась устаревшей. В начале недели Anonymous заявили , что опубликовали массив персональных данных полицейских, однако, как оказалось, большая их часть находится в свободном доступе уже несколько лет. Затем участники бразильской ветви движения опубликовали персональную информацию президента Бразилии Жаира Болсонару и его приближенных. Дамп данных содержит адреса, личные номера телефонов, а также сведения о доходах и имуществе как самого главы государства, так и челнов его семьи, министров, бизнесменов и политиков.
Активные кампании проводят не только активисты, но и киберпреступные группировки, финансируемые государствами. Специалисты обнаружили сразу две не связанные между собой фишинговые операции, направленные на участников предвыборных кампаний кандидатов в президенты США Дональда Трампа и Джо Байдена. Штаб Байдена атаковала специализирующаяся на кибершпионаже группа APT31 (Zirconium), предположительно связанная с правительством Китая. В свою очередь, персонал избирательного штаба Трампа был целью группы APT35 (Charming Kitten), работающей на правительство Ирана.
Китайская киберпреступная группировка Cycldek (также известная как Goblin Panda или Conimes) разработала вредоносный инструмент USBCulprit для осуществления атак на физически изолированные системы и хищения конфиденциальных данных. Для похищения данных жертвы вредонос использует USB-носители.
Киберпреступники запустили новую масштабную вредоносную кампанию против сайтов под управлением WordPress. Злоумышленники эксплуатируют старые уязвимости межсайтового скриптинга (XSS) в необновленных плагинах и похищают конфигурационные файлы сайтов (wp-config.php), содержащие логины и пароли для доступа к базам данных, сведения о подключениях, уникальные ключи аутентификации и соль.
Японская криптовалютная биржа Coincheck сообщила о кибератаке. Преступники перехватили контроль над учетной записью сервиса регистрации доменов и взломали одно из его доменных имен для осуществления фишинговых атак. По данным службы безопасности биржи, злоумышленники смогли получить доступ к сервису регистрации доменов Oname.com, а затем к электронным письмам клиентов. После обнаружения уязвимости регистрационная информация домена была изменена, а уязвимость исправлена.
Не обошлось на прошлой неделе и без утечек данных. Некто под псевдонимом KingNull опубликовал базу данных Daniel’s Hosting (DH), крупнейшего бесплатного хостинг-провайдера в даркнете. Утечка данных произошла в результате кибератаки на DH в марте нынешнего года. Злоумышленник взломал портал, похитил базу данных, а затем удалил все данные хостинг-провайдера, в результате чего были отключены порядка 7,6 тыс. сайтов.
Разработчики системы управления контентом (CMS) Joomla сообщили об утечке данных. Один из участников команды Joomla Resources Directory (JRD) хранил полную резервную копию сайта JRD (resources.joomla.org) в бакете Amazon Web Services S3, принадлежащем его собственной компании. Как сообщили разработчики Joomla, файл с резервной копией не был зашифрован и содержал данные порядка 2,7 тыс. пользователей, зарегистрировавшихся и создавших профили на сайте JRD.
Источник: