Обзор инцидентов безопасности за период с 30 ноября по 6 декабря 2020 года

Чаще всего на прошлой неделе сообщалось об активности операторов вымогательского ПО. Примечательно, что злоумышленники не только шифровали данные в сетях атакованных компаний, но также похищали и публиковали конфиденциальную информацию. Об этих и других инцидентах безопасности, имевших место в период с 30 ноября по 6 декабря 2020 года, читайте в нашем обзоре.

Французская многонациональная компания Banijay Group SAS, занимающаяся производством и дистрибуцией популярных телешоу, подверглась кибератаке с использованием вымогательского ПО DoppelPaymer. В результате инцидента злоумышленники похитили конфиденциальную информацию, касающуюся сотрудников и коммерческой деятельности компании. В список брендов Banijay входят «Мастер Шеф», «Большой брат», «Выживший», «Семейство Кардашьян», «Мистер Бин», «Черное зеркало», «Сделка» и пр.

Крупная бразильская авиастроительная компания Embraer также стала жертвой кибератаки, в результате которой могли быть похищены конфиденциальные данные. Судя по всему, Embraer была атакована вымогательским ПО, название которого не раскрывается.

Жертвой кибератаки с использованием вымогательского ПО LockBit стал производитель вертолетов Kopter Group, являющийся дочерней компанией одного из крупнейших в мире военных подрядчиков Leonardo. Когда Kopter отказался вести переговоры с киберпреступниками, операторы LockBit опубликовали часть похищенных файлов компании в блоге в даркнете, включая финансовые документы, внутренние проекты и различные стандарты аэрокосмической и оборонной промышленности.

Операторы вымогательского ПО Clop сообщили о похищении у южнокорейского торгового гиганта E-Land Retail данных 2 млн кредитных карт покупателей. По словам киберпреступников, до того, как в прошлом месяце они развернули в сетях компании вымогательское ПО, у них был доступ к данным в течение года.

После года затишья в строй снова вернулись операторы трояна для похищения данных Gootkit. Киберпреступники стали использовать его вместе с вымогательским ПО REvil в вредоносной кампании, нацеленной на пользователей в Германии.

Помимо операторов вымогательского ПО на прошлой неделе большую активность проявляли кибершпионы. К примеру, группировка BlackShadow осуществила крупную кибератаку на израильскую страховую компанию Shirbit. Злоумышленники получили доступ к информации о многих государственных служащих, часть которой оказалась в открытом доступе.

Киберпреступники, подозреваемые в связях с правительствами Казахстана и Ливана, организовали масштабную вредоносную кампанию по кибершпионажу против организаций целого ряда различных отраслей и используют новую версию бэкдора Bandook 13-летней давности. В частности, злоумышленники атаковали государственные, финансовые, энергетические организации, IT-компании, юридические учреждения, а также предприятия в сфере пищевой промышленности, здравоохранения и образования на Кипре, в Чили, Германии, Индонезии, Италии, Сингапуре, Швейцарии, Турции и США.

В пятницу, 4 декабря, неизвестные хакеры атаковали сеть постаматов PickPoint, что привело к сбою в их работе. В результате кибератаки ящики постаматов вдруг сами открылись, хотя в них находились еще не полученные заказы.

Хакерская группировка из Ирана опубликовала видео, демонстрирующее процесс компрометации автоматизированной системы управления объекта водоснабжения в Израиле. Как сообщили специалисты компании OTORIO, специализирующейся на промышленной кибербезопасности, хакеры получили доступ к человеко-машинному интерфейсу (ЧМИ), который был непосредственно подключен к интернету без всяческой аутентификации или другого защитного механизма. По всей видимости, целью злоумышленников была система оборотного водоснабжения.

Как на прошлой неделе сообщили специалисты Juniper Threat Labs, киберпреступники атакуют потенциально уязвимые серверы Oracle WebLogic с помощью как минимум пяти разных образцов вредоносного ПО. Однако наибольший интерес для исследователей представляет вредоносное ПО DarkIRC, которое можно купить на хакерском форуме всего за $75. Ботнет DarkIRC активно атакует тысячи незащищенных серверов Oracle WebLogic через уязвимость удаленного выполнения кода CVE-2020-14882 , исправленную компанией Oracle два месяца назад.

Не обошлось на прошлой неделе и без утечек данных. Так, из-за нарушения правил хранения учетных данных для доступа к БД бразильского Минздрава в Сеть утекли персональные данные 243 млн бразильцев. В открытом доступе оказались имена, адреса проживания, идентификационные номера налогоплательщиков и номера телефонов как граждан, зарегистрированных в системе государственного медицинского страхования, так и клиентов частных компаний, оформивших медицинскую страховку.

Кроме того, произошла утечка кодов банковского ПО, используемого национальными центральными банками разных стран и фондовыми биржами. Дамп в основном содержит код депозитарного решения DEPO/X от компании CMA, которое, согласно описанию на официальном сайте компании, обладает «богатым функционалом, позволяющим исключить финансовые и операционные риски и повысить эффективность инфраструктуры рынков капитала». Решением пользуются более 20 организаций по всему миру, включая центральные банки, центральные/национальные депозитарии и фондовые биржи.

На закрытом русскоязычном киберпреступном форуме Exploit.in был выставлен на продажу доступ к сотням ящиков электронной почты директоров компаний по всему миру. За $100-1500 за учетную запись (в зависимости от размера компании и должности пользователя) можно приобрести комбинации логинов и паролей пользователей Office 365 и Microsoft. По словам продавца, учетные данные принадлежат президентам компаний, их помощникам и заместителям, а также генеральным, исполнительным, финансовым и техническим директорам и бухгалтерам.

На прошлой неделе специалисты компании Mitiga сообщили о масштабной фишинговой кампании, в рамках которой киберпреступники используют облачные сервисы Oracle и Amazon для кражи учетных данных пользователей Office 365 в США и Австралии. Вредоносная кампания продолжается уже более полугода и использует сеть легитимных web-сайтов, которые были скомпрометированы для работы в качестве прокси-цепочки.

Специалисты IBM X-Force обнаружили вредоносную кампанию, нацеленную на организации, связанные с хранением и транспортировкой вакцин против COVID-19. Эксперты не смогли связать кампанию с какой-то конкретной киберпреступной группировкой, но выявили отличительные признаки, характерные для хакеров, финансируемых правительствами. В ходе атак злоумышленники рассылают своим жертвам фишинговые письма с целью похищения их учетных данных для авторизации в электронной почте и других приложениях.

На прошлой неделе также стало известно, что северокорейские хакеры с августа нынешнего года пытались получить доступ компьютерным системам как минимум шести фармацевтических компаний, разрабатывающих вакцины против COVID-19. Удалось ли киберпреступникам получить доступ к конфиденциальной информации, неизвестно. Представители компаний Shin Poong и Celltrion подтвердили факты атак и отметили, что они осуществлялись через электронную почту.