Обзор главных инцидентов безопасности за прошлую неделю

Прошлая неделя ознаменовалась масштабной утечкой данных клиентов производителя детских электронных игрушек Vtech, обнаружением самого сложного на данный момент вредоносного ПО для PoS-терминалов, появлением нового способа распространения трояна-шифровальщика Cryptowall 4.0 и пр. Предлагаем вашему вниманию краткий обзор самых главных событий в сфере информационной безопасности за период 23-29 ноября 2015 года.

В начале прошлой недели стало известно о новом вредоносном ПО для PoS-терминалов ModPOS, получившее название «вредонос на стероидах». На «обезвреживание» одного из трех модулей его ядра экспертам из iSight Partners потребовалось целых три недели. Для сравнения, в случае с Cherry Picker этот процесс занял всего 30 минут. ModPOS долгое время не попадал в поле зрения ИБ-экспертов, хотя появился еще в 2013 году.

По данным исследователей из Trend Micro, после периода затишья возобновил свою активность банковский троян Dridex, также известный как Cridex или Bugat. Троян распространяется через вложенные в фишинговые электронные письма документы Excel и Word. Dridex замечен в многочисленных спам-кампаниях в США, Великобритании, Австралии и Франции.

Прошлая неделя выдалась нелегкой для компании Dell. В течение нескольких дней в новых моделях устройств из серий XPS, Precision и Inspiron одна за другой были выявлены проблемы с безопасностью. Сначала обнаружился предустановленный корневой сертификат eDellRoot, позволяющий осуществить атаку «человек посередине». Не успела Dell выпустить инструкции по удалению eDellRoot, как стало известно о еще одном сертификате – DSDTestProvider. Из-за содержащегося в нем закрытого ключа злоумышленники потенциально могли осуществить MITM-атаку.

Как показало исследование компании Sec Consult, производители домашних маршрутизаторов, IoT-устройств и прочего аппаратного обеспечения практикуют повторное использование небольшого набора неизменяемых ключей. Эксперты изучили 4 тыс. устройств от 70 производителей аппаратного обеспечения и обнаружили значительное количество продуктов, имеющих одинаковые неизменяемые SSH-ключи и SSL-сертификаты. Злоумышленники могут извлечь ключи из прошивки и использовать их для получения доступа к миллионам устройств, перехватывать и расшифровывать HTTPS-трафик и т.д.

На прошлой неделе Amazon сообщил об потенциальном инциденте безопасности. Компания разослала пользователям письма с просьбой изменить пароли, тем самым предотвратив утечку данных.

Не возможная, а вполне реальная утечка данных произошла в китайской компании Vtech, являющейся крупнейшим в мире производителем детских электронных игрушек. Злоумышленникам удалось получить доступ к информации 5 млн взрослых и 200 тыс. детей. По заверению представителей Vtech, инцидент не затронул финансовые данные клиентов.

Еще одной важной новостью на прошлой неделе стало известие о распространении новой, четвертой версии трояна-шифровальщика Cryptowall с помощью набора эксплоитов Nuclear. Ранее вредонос попадал на системы жертв через спам-письма и фишинговые сообщения.

На днях общественность всколыхнула новость о хищении рекордного объема данных. Хакер под псевдонимом mr.grey, который, возможно, является русским, получил доступ к персональной информации 1,2 млрд. пользователей.

На прошлой неделе стало известно о вредоносном ПО для Android под названием Android.Spy.510. Отличительной чертой трояна является установка на мобильные устройства программного модуля, который отображает рекламу поверх приложений. Попав на систему, вредонос собирает и отправляет на C&C-сервер конфиденциальную информацию, в том числе логин пользователя от учетной записи в Google Play, данные о модели смартфона, версии SDK операционной системы, а также сведения о наличии доступа с правами суперпользователя.