обзор информационная безопасность
Краткий обзор главных событий в мире ИБ за прошедшую неделю.
На прошлой неделе о себе снова напомнили операторы вымогательского ПО. Кроме того, стало известно о новом бэкдоре в платформе для управления IT-ресурсами SolarWinds Orion и новых пострадавших в результате взлома компании SolarWinds. Об этих и других инцидентах безопасности за период с 21 по 27 декабря 2020 года читайте в нашем обзоре.
Начало прошлой недели ознаменовалось сообщением об атаке вымогательского ПО Clop на производителя ароматизаторов Symrise. В результате кибератаки злоумышленники предположительно украли 500 ГБ незашифрованных файлов и зашифровали почти 1 тыс. компьютеров компании. В качестве доказательства взлома операторы Clop разместили скриншоты украденных файлов на своем сайте утечек данных. Утекшие данные включают паспорта, бухгалтерские документы, отчеты аудита, конфиденциальную информацию о косметических ингредиентах и электронные письма.
Киберпреступная группировка REvil похитила данные у крупной сети косметических клиник Hospital Group (также известной как Transform Hospital Group) и пригрозили опубликовать фотографии ее клиентов до и после операций. Как утверждают киберпреступники, они похитили более 900 ГБ снимков пациентов.
От атаки вымогательского ПО Conti пострадал производитель аппаратного и программного обеспечения для VoIP-телефонии Sangoma. Злоумышленники опубликовали на своем сайте утечек более 26 ГБ похищенных у Sangoma данных, в том числе файлы, относящиеся к бухгалтерскому учету, финансам, приобретениям, льготам и зарплате сотрудников, а также юридические документы.
Связываемые с правительством Ирана операторы вымогательского ПО Pay2Key заявили о взломе компьютерных систем израильской ИБ-компании Portnox. Злоумышленники опубликовали документы, связанные с клиентами Portnox, в том числе с такими крупными израильскими компаниями, как Bezeq, Elbit, El Al и Clalit. Согласно заявлению Pay2Key, они похитили почти 1 ТБ данных, но пока опубликовали только 3 ГБ.
Анализируя артефакты, полученные в ходе расследования начавшейся с SolarWinds атаки на цепочку поставок, специалисты Palo Alto Networks и Microsoft выявили еще один бэкдор, получивший название SUPERNOVA. Вредонос представляет собой web-оболочку, внедренную в платформу для мониторинга и управления IT-ресурсами SolarWinds Orion. С его помощью злоумышленники могут запускать произвольный код на системах с вредоносными версиями Orion. По данным US-CERT, SUPERNOVA был внедрен через уязвимость нулевого дня CVE-2020-10148 в SolarWinds Orion API. Компания SolarWinds уже выпустила исправление для данной уязвимости.
Хакеры взломали компьютерные системы корпоративного партнера Microsoft и похитили электронные письма пользователей облачных сервисов компании, а также переписку одной из частных компаний. Стоит отметить, что Microsoft входит в список пострадавших от взлома SolarWinds.
Как стало известно на прошлой неделе, вредоносное обновление для Orion также установили Intel, NVidia, Cisco Systems, VMware, Belkin и Deloitte. Кроме того, преступники получили доступ к Департаменту государственных больниц Калифорнии и Кентскому университету.
В ночь с 23 на 24 декабря криптовалютная биржа Livecoin стала жертвой кибератаки. Хакеры перехватили контроль над инфраструктурой Livecoin, а затем приступили к изменению обменных курсов до гигантских и нереалистичных значений. В сообщении на web-сайте Livecoin администраторы описали инцидент как «тщательно спланированную атаку, которая, предположительно, готовилась в течение последних нескольких месяцев».
На хакерском форуме Raidforum были опубликованы похищенные адреса электронной почты и почтовые адреса пользователей криптовалютного кошелька Ledger. Опубликованный архив содержит два файла с похищенными данными. В одном из них файлов хранятся адреса электронной почты 1 075 382 подписчиков информационного бюллетеня Ledger, а в другом – имена и почтовые адреса 272 853 владельцев аппаратных кошельков Ledger.
Компания Nintendo в очередной раз в нынешнем году стала жертвой утечки данных. Как и предыдущие утечки, информация касательно игровой консоли Nintendo Switch была опубликована на форуме 4chan. В частности, злоумышленники выложили данные по разработке Switch, в том числе 2015 SDK и документацию, связанную с безопасностью консоли.
На прошлой неделе исследователи безопасности из «Лаборатории Касперского» рассказали подробности о двух кибератаках, нацеленных на разработчиков вакцины от коронавирусной инфекции (COVID-19). Эксперты связали эти атаки с северокорейской группировкой Lazarus Group и полагают, что преступники очень заинтересованы в разведданных о COVID-19.
Компания Citrix предупредила о текущей DDoS-атаке на устройства ADC NetScaler. Citrix подтвердила, что текущая вредоносная кампания с использованием DTLS-протокола в качестве вектора усиления нацелена на сетевые устройства Citrix Application Delivery Controller (ADC) с включенным протоколом Enlighted Data Transport UDP (EDT).
Источник: