Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя ознаменовалась публикацией очередного хакерского инструмента ЦРУ, раскрытием масштабной вредоносной кампании в Google Play, волной заражений вирусом Fireball и другими событиями. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 29 мая по 4 июня 2017 года.

На прошлой неделе хакерская группировка The Shadow Brokers представила подробности о своем новом сервисе по предоставлению эксплоитов и утекших данных. В мае текущего года киберпреступники заявили о намерении запустить платный сервис «Wine of Month Club», подписчики которого ежемесячно будут получать новые эксплоиты, и теперь воплощают обещанное в жизнь. За 100 монет Zcash (около $21,5 тыс.) в месяц любой желающий может получать от хакеров свежие инструменты для взлома.

ИБ-эксперты решили запустить кампанию по сбору средств на эксплоиты The Shadow Brokers с целью их изучения и подготовке к будущим атакам. Тем не менее, от этой идеи пришлось отказаться, поскольку многие специалисты выступили против спонсирования киберпреступников даже с благими намерениями.

Исследователи Check Point раскрыли подробности об одной из наиболее масштабных кампаний по распространению вредоносного ПО в Google Play. Эксперты обнаружили рекламный инструмент Judy для «накручивания» кликов в 41 приложении одной из корейских компаний. Вредонос автоматически нажимает на огромное количество рекламных баннеров, тем самым принося прибыль своим создателям.

Эксперты компании также сообщили о вирусе Fireball, на этот раз распространяемом китайским маркетинговым агентством. Вредонос атакует браузеры, запуская код или загружая на компьютер жертвы любые материалы. По данным исследователей, Fireball инфицировал 250 млн компьютеров, 20% от которых составляют корпоративные системы.

Журналист Брайан Кребс рассказал об очередной утечке данных клиентов американской торговой сети Kmart. PoS-терминалы в некоторых магазинах оказались заражены неизвестным вредоносным ПО, которое не обнаруживалось антивирусами. В результате в руках злоумышленников оказались данные банковских карт некоторых покупателей.

Хакерская группировка APT 28 в перерывах между шпионскими операциями решила подзаработать на шантаже. Злоумышленники взломали компьютеры клиники пластической хирургии в Литве, похитили фотографии и личную информацию ее пациентов и потребовали выкуп, пригрозив в случае неуплаты опубликовать похищенные материалы в открытом доступе. Жертвы отказались платить, и 25 тыс. снимков попали в интернет.

Как показала прошлая неделя, киберпреступники атакуют не только легитимные ресурсы, но и сайты даркнета. Хакер под псевдонимом Cipher0007 взломал подпольную торговую площадку Sanctuary Dark Web, проэксплуатировав уязвимость в ее базе данных.

После двухнедельного молчания портал WikiLeaks опубликовал очередной хакерский инструмент из арсенала ЦРУ. Вредоносное ПО Pandemic предназначено для взлома компьютеров с общими папками, откуда пользователи загружают файлы с помощью протокола SMB. Его задачей является прослушивание SMB-трафика и определение попыток пользователей загрузить общие файлы с зараженного компьютера. Pandemic перехватывает запросы на загрузку и отвечает от имени инфицированной системы, но вместо легитимных файлов отправляет пользователю зараженные.