Обзор инцидентов безопасности за прошлую неделю

На прошлой неделе ИБ-эксперты зафиксировали несколько утечек данных, новые варианты вредоносного ПО и ряд кибератак. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ с 11 по 17 апреля 2016 года.

В начале прошлой недели стало известно о взломе сервера сирийского правительства. Хакеры, именуемые себя Cyber Justice Team, опубликовали 10 ГБ (43 ГБ в распакованном виде) данных нескольких сирийских государственных и частных компаний. Эксперты ИБ-компании Risk Based Security проанализировали опубликованный хакерами архив и пришли к выводу, что в основном он состоит из данных, утекших в результате предыдущих атак.

Особенно отличились активисты Anonymous. Участники Anonymous Philippines опубликовали в Сети полную базу данных избирательной комиссии Филиппин (The Commission on Elections, Comelec), содержащую персональную информацию 55 млн граждан страны. Обнародованные данные включают номера паспортов и даты истечения срока их действия, а также изображения отпечатков пальцев граждан.

Итальянские активисты Anonymous Italy и LulzSec Italy взломали более сорока порталов по поиску работы, принадлежащих миланской компании Engitel, и опубликовали в Сети персональные данные владельцев компаний, ищущих сотрудников. Атака была осуществлена в рамках операции #NessunDorma, проводимой активистами в целях привлечь внимание к условиям труда итальянских и иностранных рабочих.

Жертвами утечки данных на прошлой неделе также стали 44 тысячи клиентов Федеральной корпорации по страхованию депозитов США (Federal Deposit Insurance, FDIC). Как сообщает The Washington Post со ссылкой на внутренний документ ведомства, инцидент имел место еще в феврале нынешнего года.

Во вторник, 12 апреля, Замоскворецкий суд Москвы вынес приговор семерым участникам хакерской группировки. Среди них оказался создатель печально известного набора эксплоитов Blackhole 30-летний Дмитрий Федотов, также известный как Paunch. Суд приговорил его к 7 годам лишения свободы в колонии общего режима.

Исследователи компании «Доктор Веб»  обнаружили  новую модификацию банковского трояна Gozi, разработанную на основе исходных кодов, некоторое время назад опубликованных в свободном доступе. Ключевой особенностью вредоноса является возможность создания P2P-сети для обмена данными с другими инфицированными компьютерами. Однако это еще не все. Эксперты из IBM обнаружили новое ПО, разработанное на базе исходников банковских троянов Nymaim и Gozi. С помощью GozNym всего за несколько дней было похищено $4 млн из более чем 24 американских и канадских банков.

Исследователи из Heimdal Security сообщили о появлении нового варианта Citadel, получившего название Atmos. Вредонос заражает жертв вредоносным ПО Teslacrypt. Поскольку он полностью основан на Citadel, для заражения жертв использует те же методы, что и шифровальщик. Злоумышленники внедряют вредоносный код на страницы web-сайтов.

Исследователи компании BAE Systems обнаружили новую версию вредоносного ПО Qbot, используемую злоумышленниками для атак на управления полиции, больницы и образовательные учреждения в различных странах мира. В основном вредонос используется для хищения учетных данных и создания бэкдоров на зараженных системах. Qbot способен распространяться автоматически и не детектируется большинством антивирусных решений.

Помимо банковских троянов, в Сети также был обнаружен новый образец вымогательского ПО. После попадания на систему Jigsaw отображает сообщение с требованием заплатить $150 за расшифровку файлов. Если оплата не была сделана вовремя, вымогатель удаляет по 1 файлу в час. Сразу после запуска Jigsaw в случае перезагрузки компьютера или принудительного завершения работы приложения вредонос удалит сразу 1000 файлов. В настоящий момент неизвестно, как именно Jigsaw попадает на систему жертвы.  

Что касается вымогательского ПО, то на прошлой неделе не только появилась его новая разновидность, но и был опубликован инструмент для восстановления файлов, зашифрованных вымогателем Petya. ИБ-эксперту под псевдонимом Leostone удалось взломать шифрование трояна, использовав генетические алгоритмы. Свои наработки он опубликовал на сайте GitHub.

Большой резонанс на прошлой неделе получил инцидент, случившийся с владельцем хостинговой компании. С помощью одной лишь строки кода Марко Марсала (Marco Marsala) стер с лица земли все признаки существования своей компании и сайтов ее клиентов. Проблемной оказалась команда rm –rf, где rm дает компьютеру команду удалить, r удаляет все в заданной директории, а f (force) дает команду игнорировать стандартные предупреждения, появляющиеся при удалении файлов. Поскольку накопители, на которых хранились резервные копии, были подключены к тому же компьютеру, то код удалил и их тоже.