Обзор инцидентов безопасности за прошлую неделю

На прошедшей неделе ИБ-эксперты зафиксировали целый ряд кибератак в том числе с использованием новых образцов вредоносного ПО. Предлагаем вашему вниманию краткий обзор основных инцидентов, произошедших с 2 по 8 ноября 2015 года.

Прошлая неделя ознаменовалась обнаружением новых образцов вымогательского ПО, использующегося злоумышленниками для шифрования файлов на компьютерах жертв и требования выкупа за расшифровку. Немецкая компания Botfrei сообщила о вредоносе Chimera, операторы которого в случае неуплаты грозятся не только оставить данные в зашифрованном виде, но также опубликовать их в интернете.

Российские пользователи  стали жертвами «offline-вредоноса», который различными решениями безопасности детектируется как Ransomcrypt.U, Win32.VBKryjetor.wfa и Troj/Ransom-AZT. Его особенностью является тот факт, что для шифрования файлов ему не требуется связь с C&C-сервером.

Специалисты из «Доктор Веб» сообщили о новом вымогательском ПО для Linux и FreeBSD. Вредонос шифрует определенные файлы в каталогах, обычно связанных с администрированием web-серверов, и требует оплатить разблокировку. Кроме того, на прошлой неделе стало известно о появлении новой, усовершенствованной версии трояна-шифровальщика CryptoWall 4.0.

Помимо шифровальщиков, на прошлой неделе в России были зафиксированы инциденты с использованием банковского трояна Tinba. Ранее этот вредонос был связан с атаками на банки и карточные счета в США, Канаде и Европе.

Исследователи из FireEye обнаружили iOS-приложения, зараженные трояном XCodeGhost S, который представляет собой усовершенствованный вариант XCodeGhost. В отличие от оригинальной версии, вредоносом XCodeGhost S заражены приложения не только в Китае, но в Европе и США.

Среди достойных внимания инцидентов стоит отметить взлом форумов компаний Foxit Software и vBulletin, который был осуществлен египетским хакером Мохаммедом Усамой (Mohammed Osama), также известным как Coldroot. В ходе атаки злоумышленник эксплуатировал уязвимость нулевого дня в популярном форумном движке vBulletin. В результате инцидента Усама получил доступ к персональным данным всех зарегистрированных пользователей форумов.

На прошлой неделе масштабной DDoS-атаке подвергся поддерживающий шифрование почтовый сервис Protonmail. Злоумышленники предупредили администрацию ресурса об атаке и потребовали выкуп. Компания Protonmail проигнорировала ультиматум, и киберпреступники привели свою угрозу в действие. DDoS-атака не прекратилась даже после того, как администрация сайта выплатила выкуп в размере 15 биткоинов (около 384 тыс. руб.).

Еще одним нашумевшим инцидентом на прошлой неделе стал взлом электронной почты заместителя директора ФБР Марка Джулиано (Mark Giuliano). Участник хактивистской группировки Crackas With Attitude под псевдонимом Cracka выложил в открытый доступ архив данных, включающий адреса электронной почты и контактные номера телефонов 3,5 тыс. сотрудников правоохранительных органов и военного персонала.