обзор информационная безопасность COVID-19
Редакция SecurityLab подготовила итоговый обзор, в котором мы собрали наиболее значимые события 2020 года.
Уходящий 2020-й год стал непростым во всех отношениях, и запомнится в первую очередь пандемией коронавируса COVID-19, поразившей более 80 млн человек по всему миру. Хотя «корона» внесла свои коррективы в повседневную жизнь, неизменным атрибутом которой стали медицинские маски, антисептики, социальная дистанция и всевозможные ограничения, пандемия никак не повлияла на киберпреступность: взломы, вымогательские атаки, хищение и продажа данных, фишинговые и мошеннические кампании, кража личности, активность АРТ-группировок и утечки информации — все эти угрозы стали распространенным явлением в нынешнем году. Редакция SecurityLab подготовила итоговый обзор, в котором мы собрали наиболее значимые события 2020 года.
Январь
Одним из самых громких событий этого месяца стала фишинговая атака на украинскую нефтегазовую компанию Burisma Holdings, которую предположительно организовала киберпреступная группировка Fancy Bear. Атака велась на протяжение шести месяцев, а ее целью стали две дочерние компании Burisma — «КУБ-ГАЗ» и «ЕСКО-ПІВНІЧ», а также связанная с ними «CUB Energy Inc». Злоумышленники использовали похожие домены, чтобы обманом заставить сотрудников компаний ввести свои пароли электронной почты.
В конце января на популярном кардинговом форуме Joker’s Stash были выставлены на продажу платежные данные 30 млн американцев и более 1 млн иностранцев, похищенные в результате взлома американской сети магазинов и автозаправочных станций Wawa, Массив данных получил название BIGBADABOOM-III. Кстати, в декабре 2020 года правоохранители отключили один из доменов Joker’s Stash, частично нарушив работу торговой площадки.
В начале нынешнего года все больше операторов вымогательского ПО стали перенимать практику публикации похищенных данных компаний, отказавшихся платить выкуп, основателем которой стала группировка Maze. Примеру Maze уже последовали операторы вымогательского ПО Sodinokibi (REvil), Nemty , Clop, DoppelPaymer и другие менее известные группировки.
Февраль
Февраль ознаменовался рядом интересных событий, в числе которых известие о том, что Avast продает данные своих пользователей крупнейшим в мире компаниям, кибератака на ООН, в ходе которой злоумышленникам удалось получить доступ к некоторым учетным записям, хакерские атаки на производителей электроники NEC и Electronic Warfare Associates (EWA), а также утечка данных разработчика системы распознавания лиц Clearview AI. В результате инцидента был скомпрометирован список клиентов компании, среди которых есть правоохранительные органы и даже ФБР, а также информация о количестве поданных ими запросов и зарегистрированных учетных записей.
Март
Этот месяц оказался весьма насыщенным различными ИБ-инцидентами, в том числе связанными с коронавирусом. В частности, одна из крупнейших в Чехии лабораторий, занимающихся тестированием пациентов на наличие у них коронавируса, подверглась кибератаке, из-за которой пришлось отложить запланированные операции и перенаправить всех новых пациентов в другие клиники. Помимо этого, ИБ-специалисты сообщили о ряде других кампаний, так или иначе эксплуатирующих тему пандемии.
Так, злоумышленники распространяли фальшивый Android-трекер для отслеживания заражений коронавирусом, который на деле оказался вымогательским ПО CovidLock или отправляли электронные письма с кейлоггером HawkEye от имени генерального директора Всемирной организации здравоохранения Тедроса Адана Гебреисуса.
Еще одним важным событием стала атака на исследовательскую компанию Hammersmith Medicines Research (HMR), занимающуюся разработкой вакцины от коронавируса, которую осуществила вымогательская группировка Maze, несмотря на обещание не атаковать медучреждения в период пандемии. Компания отказалась платить выкуп за разблокировку компьютерных систем, в результате персональные данные тысяч бывших пациентов утекли в Сеть.
Самыми громкими утечками марта стали утечка данных 5,2 млн клиентов сети отелей Marriott, 900 тыс. клиентов компании Virgin Media, а также известие о том, что анонимное приложение Whisper годами раскрывало данные пользователей.
Апрель
Пандемия обусловила переход многих организаций на режим удаленной работы, что спровоцировало рост популярности приложений для конференцсвязи, в частности Zoom, чем не преминули воспользоваться злоумышленники. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
Игровая индустрия также не осталась без внимания злоумышленников. В частности, пользователи Nintendo массово столкнулись со взломом учетных записей, в некоторых случаях хакеры покупали игры Nintendo за чужой счет, но в основном приобретали игровую валюту Fortnite.
Наиболее масштабными утечками апреля стали публикация на хакерских форумах данных 4 млн пользователей торговой площадки Quidd и более 1 млн записей, предположительно принадлежащих клиентам крупнейших банков Китая.
Еще одним громким событием месяца стало сообщение о ранее неизвестных уязвимостях в iOS и атаках с использованием уязвимости нулевого дня в в межсетевых экранах Sophos XG Firewall. Хакеры использовали уязвимость для загрузки вредоносного ПО, похищающего данные из XG Firewall.
Май
Май ознаменовался большим количеством взломов, утечек данных, а также повышенной активностью операторов различного вымогательского ПО. К примеру, жертвами вымогательских атак стали британская энергокомпания Elexon , поставщик банкоматов Diebold Nixdorf и курьерская компания Pitney Bowes .
В числе наиболее значимых взломов и утечек месяца вошли: публикация БД с данными 40 млн пользователей популярного мобильного приложения Wishbone, сообщения о продаже данных сотен тысяч пользователей криптовалютных бирж, платформ и финприложений, более трех десятков баз данных SQL, похищенных у online-магазинов в разных странах, а также взлом японской телекоммуникационной компании NTT Communications, в результате которого в руки злоумышленников попали важные документы, затрагивающие 621 компанию.
Июнь
В июне пристальное внимание СМИ и общественности привлекли две фишинговые атаки, направленные на участников предвыборных кампаний кандидатов в президенты США Дональда Трампа и Джо Байдена. В первом случае персонал избирательного штаба Трампа был целью группы APT35 (Charming Kitten), работающей на правительство Ирана, а штаб Байдена атаковала специализирующаяся на кибершпионаже группа APT31 (Zirconium), предположительно связанная с правительством Китая.
В июне впервые за долгое время проявили себя участники движения Anonymous, опубликовавшие массив персональных данных полицейских, который, впрочем, содержал информацию, уже несколько лет находящуюся в открытом доступе. Кроме того, участники бразильской ветви движения опубликовали персональную информацию президента Бразилии Жаира Болсонару и его приближенных.
Одним из самых резонансных инцидентов месяца стала вымогательская атака группировки Netwalker на Калифорнийский университет в Сан-Франциско (UCSF) — лидера среди разработчиков вакцины против коронавируса в США. Хакеры зашифровали важные академические файлы университета и потребовали выкуп в размере $3 млн. Представителям UCSF удалось договориться с вымогателями и снизить сумму выкупа до $1,14 млн.
Также специалисты команды IBM X-Force обнаружили целенаправленную фишинговую операцию против немецкой компании, которая входит в созданную правительством Германии рабочую группу по обеспечению медицинского персонала средствами индивидуальной защиты (СИЗ). Атакующих предположительно интересовали данные по вакцине против коронавируса.
Июль
Июль стал знаковым благодаря двум громким взломам — соцсети Twitter и производителя навигационных устройств Garmin. В первом случае хакеры взломали учетные записи ведущих политиков, бизнесменов и знаменитостей, включая Илона Маска, Билла Гейтса и Барака Обаму и от их имени опубликовали сообщения о бесплатной раздаче криптовалюты. Основатель и гендиректор Twitter Джек Дорси фразой «тяжелый день для нас» отреагировал на взлом соцсети.
В случае Garmin системы кампании оказались зашифрованы вымогательским ПО WastedLocker. За восстановление систем атакующие требовали выкуп в размере $10 млн, которые производитель заплатил.
Еще одним громким инцидентом месяца стала атака на один из ядерных объектов Ирана в городе Натанз, повлекшая за собой пожар и взрыв. Ответственность за инцидент взяла на себя киберпреступная группировка «Гепарды родины» (Cheetahs of the Homeland).
Кроме того, правительства Великобритании, США и Канады обвинили Россию в попытке украсть данные о вакцине против коронавируса. В атаках заподозрена APT-группа Cozy Bear, часто связываемая со спецслужбами РФ.
Август
Последний месяц лета ознаменовался рядом интересных утечек, затронувших известные технологические компании. Так, в начале августа в открытом доступе оказались 20 ГБ технических материалов, исходного кода и документов Intel, касающихся различных процессоров и чипсетов, а также документация компаний LG и Xerox, обнародованная вымогательской группировкой Maze в связи с тем, что производители техники отказались выплачивать требуемый выкуп. Помимо этого, Maze сообщила о взломе систем южнокорейского производителя микросхем SK hynix и краже 11 ТБ данных компании. В середине августа от вымогательской атаки пострадал и крупнейший в мире круизный оператор Carnival Corporation.
Кроме того, в августе в открытом доступе оказались БД с информацией о более 300 тыс. клиентов сервиса online-бронирования трансферов «Киви-такси», а также базы данных, содержавшие 235 млн профилей пользователей сервисов Instagram, TikTok и YouTube, и более 200 млн записей пользователей сервисов микроблогов Twitter и Weibo. А еще на одном из киберпреступных форумов была выставлена на продажу база данных, содержащая более 7 млн строк с данными пользователей защищенного почтового сервиса VFEmail.
Сентябрь
Сентябрь без преувеличения можно назвать месяцем вымогательских атак. От инцидентов, связанных с программами-шифровальщиками, пострадало значительное количество компаний, включая израильского производителя интегральных схем Tower Semiconductor , Национальное управление миграции Аргентины (первый известный случай, когда вымогательская атака на федеральное ведомство привела к сбою операций на государственном уровне), чилийский банк BancoEstado , пакистанскую энергокомпанию K-Electric , провайдера дата-центров Equinix , производителя волоконных лазеров IPG Photonics, а также университетскую клинику в Дюссельдорфе. В последнем случае атака привела к смерти пациента.
Одной из главных новостей месяца стало сообщение об уязвимости под названием Zerologon (CVE-2020-1472), затрагивающей механизм аутентификации Netlogon в Windows. Стоит ли говорить, что эта уязвимость тут же оказалась взята на вооружение различными киберпреступными группировками, в том числе из Ирана .
В число наиболее значимых инцидентов месяца также вошли утечка данных в крупной украинской ИТ-компании SoftServe, масштабная атака Magecart на сайты под управлением CMS Magento, затронувшая почти 2 млн ресурсов, кибератака на американского поставщика медицинских услуг Universal Health Services, а также вредоносная кампания SilentFade, направленная на пользователей Facebook, в ходе которой атакующие взламывали аккаунты и использовали средства жертвы для покупки рекламы от ее имени. Хотя кампания длилась всего несколько месяцев, преступникам удалось похитить у пользователей более $4 млн.
В сентябре также стало известно, что хакеры пытались взломать компьютеры вирусологов Национального исследовательского центра эпидемиологии и микробиологии им. Н.Ф.Гамалеи, разработавших вакцину против коронавирусной инфекции «Спутник V».
Октябрь
В октябре жертвой атаки с использованием программы-вымогателя Clop стала одна из крупнейших в мире компаний по разработке программного обеспечения Software AG. Хакеры потребовали у компании $20 млн выкупа (один из крупнейших выкупов за всю историю вымогательских атак). Операторы вымогательского ПО начали использовать новую тактику в рамках своих кибератак, включающую проведение DDoS-атак на web-сайт жертв, пока те не выполнят требования.
В начале месяца стало известно, что порядка двадцати руководителей криптовалютных бирж из Израиля пострадали от киберпреступников, которые взломали их телефоны, похитили все персональные данные и отправляли их контактам сообщения с просьбой перевести деньги.
В том же месяце Microsoft нанесла удар по инфраструктуре ботнета Trickbot, заразившего миллионы устройств по всему миру, в сервисе для работы с PDF-документами Nitro произошла утечка данных, затронувшая крупные компании, включая Google, Apple, Microsoft, Chase и Citibank, Норвегия обвинила РФ в хакерской атаке на систему электронной почты Стортинга (национального собрания), а киберпреступная группировка Maze вышла из бизнеса.
Ноябрь
В ноябре список жертв, пострадавших от вымогательского ПО, пополнился производителем напитков Campari Group , Верховным судом Бразилии, производителем игрушек Mattel , тайваньским производителем ноутбуков Compal , а также производителем систем автоматизации Advantech .
Cпециалисты Check Point Research раскрыли мошенническую операцию , организованную палестинскими и египетскими хакерами, в ходе которой за 12 месяцев злоумышленники скомпрометировали VoIP-серверы более 1,2 тыс. организаций в 60 странах мира.
Важными событиями месяца стали сообщения об утечке 10 млн файлов, связанных с постояльцами различных отелей по всему миру, атаках российских и северокорейских АРТ-группировок на компании, разрабатывающие вакцины и лекарства от коронавируса, кибератаке на японского издателя видеоигр Capcom , мошеннической операции, задействовавшей взломанные учетные записи тысяч пользователей соцсети Facebook и обнаружении БД, содержавшей более 380 млн записей, в том числе учетных и других конфиденциальных данных, с помощью которых злоумышленники пытались получить доступ к аккаунтам пользователей Spotify.
Декабрь
Декабрь оказался одним из наиболее резонансных месяцев 2020 года, благодаря ряду событий, всколыхнувших ИБ-сообщество и общественность. В частности, список фирм, пострадавших от вымогательского ПО, пополнился несколькими крупными компаниями, в числе которых южнокорейский торговый гигант E-Land Retail , производитель вертолетов Kopter , авиастроительная компания Embraer , производитель бытовой техники Whirlpool , а также компания по обработке платежных карт Total System Services (TSYS).
На протяжении всего года киберпреступные группировки активно интересовались информацией о разработках и испытаниях вакцин от коронавируса, атакуя различные компании и исследовательские центры, работающие в данном направлении. В декабре жертвой кибератаки стало Европейское агентство лекарственных средств (ЕАЛС), ответственное за сертификацию вакцин против COVID-19. В результате взлома хакеры получили доступ к документам фармацевтических компаний Pfizer, BioNTech и Moderna, связанным с сертификацией их вакцины против COVID-19. Также стало известно о крупной вредоносной кампании, нацеленной на организации, связанные с хранением и транспортировкой вакцин против COVID-19, и организованной северокорейскими хакерами шпионской операции , направленной на производителей вакцин от коронавируса, включая британскую компанию AstraZeneca и американские фирмы Johnson & Johnson и Novavax.
Ну а главным «сюрпризом» декабря стала масштабная атака на производителя ПО SolarWinds, затронувшая десятки фирм и американских правительственных ведомств, включая Минфин, Департамент внутренней безопасности, Министерство энергетики, Национальное управление по ядерной безопасности, а также компании FireEye, Microsoft, Cisco, SAP, Intel, VMWare, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Rakuten, Check Point и прочие.
Первые сообщения об атаке появились в начале декабря, когда ИБ-компания FireEye проинформировала общественность о взломе своей корпоративной сети и краже инструментов для поиска уязвимостей. Дальнейшее расследование показало, что хакеры (предположительно финансируемые иностранным правительством) взломали компьютерные сети американского производителя ПО SolarWinds и внедрили вредоносное обновление, содержащее бэкдор под названием Sunburst, с целью заражения сетей правительственных и коммерческих организаций через платформу SolarWinds Orion. Вредоносное ПО было внедрено в версии Orion от 2019.4 до 2020.2.1, выпущенные марте-июне 2020 года. В общей сложности вредоносное обновление загрузили 18 тыс. клиентов SolarWinds, однако, по словам экспертов, вредоносное ПО второго этапа было загружено на системы только нескольких десятков госорганов, IT-компаний и научных/некоммерческих организаций.
2020 год стал настоящим испытанием для всего мира, последствия которого останутся с нами надолго. Тем не менее, все имеет свойство заканчиваться, и совсем скоро мы будем встречать новый, 2021 год, который, надеемся, станет более спокойным как в сфере информационной безопасности, так и в прочих аспектах нашей жизни. С наступающим Новым годом и Рождеством, берегите себя!
Источник: