Обзор инцидентов безопасности за прошлую неделю

На прошлой неделе мир по-прежнему приходил в себя после атак с использованием вредоносного ПО NotPetya. Более того, украинским правоохранителям удалось остановить вторую волну атак. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 3 по 9 июля 2017 года.

Начало прошлой недели ознаменовалось сообщениями сразу о двух инцидентах, затронувших участников Ethereum- и Bitcoin-сообществ. С помощью социальной инженерии неизвестные получили контроль над кошельком Classic Ether Wallet для криптовалюты Ethereum Classic и похитили $300 тыс. у его пользователей.

В тот же день жертвой хакеров стала четвертая по величине биржа криптовалют Bithumb. Злоумышленникам удалось заполучить имена пользователей, их электронные адреса и номера телефонов. Вскоре после взлома пользователи стали жаловаться на похищение средств с их счетов на Bithumb. Как именно хакеры получили контроль над кошельками, не уточняется.

В среду, 5 июля, Департамент Киберполиции Национальной полиции Украины совместно с сотрудниками Службы безопасности Украины (СБУ) пресек второй этап кибератаки NotPetya. Как сообщил министр внутренних дел Украины Арсен Аваков, пик атаки планировался на 16:00, а сама она началась в 13:40. До 15:00 Киберполиция заблокировала рассылку и активацию вируса с сервера обновлений ПО для бухучета «М.e.doc».

Как известно, NotPetya попадал на компьютеры жертв через обновления бухгалтерской программы «М.e.doc» производства украинской компании «Интеллект-сервис». Поначалу руководство компании отрицало какую-либо причастность к атакам, однако затем было вынуждено признать наличие бэкдора в своей продукции.

На прошлой неделе о себе впервые дали знать операторы NotPetya. Вопреки мнению ИБ-экспертов, уверенных в незаинтересованности хакеров в деньгах, они заявили о готовности выпустить инструмент для восстановления зашифрованных вредоносом файлов. Для этого жертвы должны собрать 100 биткойнов (порядка $300 тыс.). В качестве доказательства своей способности расшифровать данные киберпреступники восстановили зашифрованный NotPetya файл, полученный от журналистов Motherboard.

Пока операторы NotPetya пытаются сорвать большой куш, авторы оригинального вымогателя Petya решили уйти из бизнеса. Из-за плохой репутации NotPetya разработчики Janus Cybercrime Solutions предоставили бесплатный мастер-ключ для расшифровки файлов, пострадавших от всех существующих версий Petya (оригинального Petya, Mischa и GoldenEye), кроме NotPetya.

Еще одним громким событием на прошлой неделе стала очередная публикация WikiLeaks. На этот раз в рамках проекта Vault 7 организация обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Первый из них нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSH-сессий. Второй инструмент представляет собой закладку для клиентов OpenSSH на дистрибутивах Linux.

В четверг, 6 июля, издание Bloomberg сообщило о расследовании кибератак на электростанции в США. По словам журналистов, главным подозреваемым является Россия. В частности в числе жертв хакеров значится электростанция Wolf Creek в Канзасе, принадлежащая компаниям Westar Energy, Great Plains Energy и Kansas Electric Power Cooperative.

Не обошлось на прошлой неделе без сообщений об опасных троянах для Android-устройств. К примеру, исследователи Check Point предупредили о новом вредоносном ПО CopyCat, уже заразившем 14 млн гаджетов по всему миру. Всего за два месяца вредонос принес своим операторам $1,5 млн. Кроме того, специалисты Palo Alto Networks сообщили о появлении нового многофункционального трояна SpyDealer. Вредонос может получать доступ к смартфонам с правами суперпользователя, похищать данные из более 40 приложений и отслеживать местонахождение пользователя.