Обзор инцидентов безопасности за период с 13 по 19 апреля 2020 года

С точки зрения инцидентов безопасности прошлая неделя оказалась весьма разнообразной – целый ряд крупных утечек данных, кибератаки на промышленные предприятия, банки и медучреждения, крупнейшая мошенническая операция с использованием смарт-телевизоров и пр.

Начало недели ознаменовалось сообщением о взломе двух сайтов аэропорта Сан-Франциско. Инцидент имел место в прошлом месяце, и ответственность за него предположительно лежит на APT-группе Energetic Bear, также известной как DragonFly. Как сообщили специалисты ESET, целью киберпреступников было похищение учетных данных пользователей Windows.

Учетные данные почти 4 млн пользователей торговой площадки Quidd были опубликованы на хакерском форуме. Торговая online-площадка для продажи наклеек, карточек, игрушек и других предметов коллекционирования стала жертвой взлома, и теперь логины ее пользователей, адреса электронной почты и хеши паролей бесплатно распространяются на подпольных форумах.

На хакерском форуме RaidForums также были выставлены на продажу более миллиона записей, предположительно принадлежащих клиентам крупнейших банков Китая. Опубликованные данные включают имена, информацию о доходах, удостоверения личности, адреса и номера телефонов.

В настоящее время на подпольных форумах доступно порядка 500 тыс. взломанных учетных записей пользователей сервиса Zoom. Приобрести их может любой желающий по очень низкой цене, а то и вовсе бесплатно.

Стоит отметить, что в последнее время Zoom переживает нелегкие времена. Несмотря на стремительный рост популярности сервиса в условиях карантина, специалисты компании не покладая рук исправляют навалившиеся проблемы с безопасностью. Помимо утечки данных, на прошлой неделе разработчики Zoom столкнулись с необходимостью исправить две ранее неизвестные уязвимости в клиентах для Windows и macOS, выставленные на продажу на киберпреступных форумах.

Команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub. В ходе кампании, получившей название Sawfish, киберпреступники не только взламывают чужие учетные записи, но сразу же выгружают все содержимое их репозиториев.

Что касается мошенничества, то специалисты компании White Ops обнаружили, по их словам, крупнейшую в мире мошенническую рекламную операцию с использованием смарт-телевизоров ICEBUCKET. С помощью программных ботов злоумышленники заставляют рекламодателей думать, будто проплаченную ими рекламу, транслируемую по смарт-телевизору, просматривают реальные люди. Сумма причиненного рекламодателям ущерба пока не установлена. Однако, по словам исследователей, в пик операции с помощью ботов мошенники могли имитировать более 2 млн просмотров.

В связи с введением пропускного режима в Москве и Подмосковье активизировались мошенники, которые под видом соцработников предлагают «помощь» в получении пропусков и выманивают данные банковских карт.

На прошлой неделе также не обошлось без взломов. К примеру, производитель маршрутизаторов Linksys принудительно сбросил пароли для учетных записей всех пользователей сервиса Linksys Smart Wi-Fi после того, как киберпреступники взломали маршрутизаторы с целью распространения поддельного приложения от Всемирной организации здравоохранения, якобы предоставляющее актуальную информацию о COVID-19.

Жертвой кибератаки также стала датская компания DESMI, специализирующаяся на разработке и производстве насосов для судов и промышленности.

Операторы вымогательского ПО Ragnar Locker зашифровали компьютерные системы португальского транснационального энергетического гиганта Energias de Portugal (EDP) и потребовали выкуп в 1580 биткойнов (примерно $11 млн). Как утверждают злоумышленники, в результате атаки им удалось похитить более 10 ТБ конфиденциальных файлов компании. Вымогатели пригрозили опубликовать украденные данные и уведомить об этом всех клиентов и партнеров EDP, если выкуп не будет выплачен.

О взломе почтовых ящиков своих сотрудников также сообщил старейший в мире итальянский банк Monte dei Paschi di Siena.

В ходе новой вредоносной кампании злоумышленники атакуют испанские банки с помощью трояна Grandoreiro, представляющего собой вредоносное расширение для Chrome. До недавнего времени Grandoreiro атаковал исключительно пользователей в Бразилии, однако теперь его операторы решили расширить границы.

Команда специалистов Unit 42 компании Palo Alto Networks сообщила о новых кибератаках вымогателей, направленных на медицинские учреждения и организации во время пандемии коронавирусной инфекции. Как сообщили эксперты, одними из жертв вымогателей стала канадская правительственная организация здравоохранения и канадский медицинский исследовательский университет.

Операторы ботнетов также проявляли свою активность. По данным исследователей Palo Alto Networks, уже более недели операторы Hoaxcalls активно атакуют IP-телефоны Grandstream UCM6200 через исправленную уязвимость CVE-2020-5722, позволяющую осуществить SQL-инъекцию.