Обзор инцидентов безопасности за период с 27 июля по 2 августа 2020 года

Обзор инцидентов безопасности за период с 27 июля по 2 августа 2020 года

Поимка взломщиков Twitter, восстановление сервисов Garmin, многочисленные утечки и пр. – коротко о главном за прошлую неделю.

image

О том, как был взломан Twitter, как компания Garmin восстановила свои сервисы, как в открытом доступе оказались базы данных почти двух десятков компаний, и а также о других событиях в мире ИБ за прошлую неделю читайте в нашем обзоре.

Одним из самых громких событий прошлой недели стала поимка хакеров, взломавших Twitter. В пятницу, 31 июля, власти США предъявили обвинения организатору взлома, 17-летнему Грэму Айвену Кларку (Graham Ivan Clark), и двум его сообщникам, 22-летнему Ниме Фазели (Nima Fazeli), и 19-летнему жителю Великобритании Мэйсону Шеппарду (Mason Sheppard). Благодаря опубликованным материалам суда удалось составить полную картину взлома и последовавшего за ним расследования.

Можно смело сказать, что прошедшая неделя прошла под эгидой вымогательского ПО. Похоже, дела у операторов программ-вымогателей идут весьма неплохо – они получают от своих жертв миллионы долларов выкупа. К примеру, как стало известно, за ключ дешифровки для восстановления своих сетей компания Garmin заплатила вымогателям до $10 млн.

Вслед за Garmin жертвой вымогательского ПО стала американская компания по управлению деловыми путешествиями Carlson Wagonlit Travel (CWT). Судя по всему, ее руководство решило не усложнять себе жизнь и заплатить вымогателям. По некоторым данным, за инструмент для расшифровки файлов CWT заплатила $4,5 млн.

Если жертва не платит выкуп, некоторые операторы вымогательского ПО монетизируют похищенные у нее данные, выставляя их на продажу. К примеру, на прошлой неделе операторы вымогательского ПО Nefilim опубликовали незашифрованные файлы, похищенные у дочерней компании Dussmann Group - Dresdner Kühlanlagenbau GmbH. Как утверждают злоумышленники, они зашифровали четыре домена компании и украли около 200 ГБ данных.

Немудрено, что все больше киберпреступников обращаются к вымогательству как к источнику дохода. К примеру, известная северокорейская APT-группа Lazarus обзавелась собственной вымогательской программой VHD для атак на предприятия. Как сообщают специалисты «Лаборатории Касперского», образцы VHD были впервые обнаружены в марте-мае 2020 года в ходе расследования двух инцидентов безопасности.

На прошлой неделе также стало известно о проводимой Lazarus операции Operation North Star, нацеленной на оборонные и аэрокосмические предприятия в США. В отличие от VHD, в рамках данной операции киберпреступники занимались более привычной для себя деятельностью – кибершпионажем.

Прошедшая неделя ознаменовалась сообщениями об атаках на инфраструктуру США еще одной APT-группы. Речь идет об APT28, также известной как Fancy Bear. Как сообщается в уведомлении ФБР, разосланном жертвам вредоносной кампании в мае нынешнего года, операция APT28 продолжалась с декабря 2018-го по, как минимум, май 2020 года.

Китайская киберпреступная группировка RedDelta взломала компьютерные сети Ватикана перед началом переговоров с Пекином. Серия кибератак началась в мае нынешнего года и также была нацелена на учебную миссию Святого престола и Папский институт заграничных миссий (PIME).

Группа иранских хакеров, именующая себя Cyber ​​Avengers, разместила в Telegram-канале, заявление об ответственности за атаки против системы железнодорожного сообщения в Израиле. Группировка опубликовала карту железнодорожной сети Израиля с указанием станций, на которые якобы была направлена атака. Представитель Cyber ​​Avengers заявил, что с 14 по 24 июля группой были атакованы серверы, обеспечивающие функционирование 28 железнодорожных станций в Израиле, включая Иерусалим, Тель-Авивский университет и аэропорт Бен-Гурион.

В среду, 29 июля, в ходе вебинара специалисты «Лаборатории Касперского» рассказали о ранее неизвестной хакерской группировке, предлагающей свои слуги за деньги. Хотя группировка, получившая кодовое название Deceptikons, была обнаружена только сейчас, свой бизнес она ведет уже почти десять лет.

Прошедшая неделя оказалась чрезвычайно урожайной с точки зрения утечек данных. Киберпреступник или киберпреступная группировка, известная как ShinyHunters, наводняет хакерские форумы бесплатными базами данных. С 21 июля нынешнего года он начал публиковать на одной из торговых площадок даркнета базы данных, в общей сложности насчитывающие более 386 млн записей, похищенных у 18 компаний в результате утечек. После того, как об утечках стало известно широкой общественности, затронутые ею компании стали рассылать своим пользователям соответствующие уведомления.

Первой компанией, обвиненной Нью-Йоркским департаментом финансовых услуг (Department of Financial Services, DFS) в нарушении правил кибербезопасности, стал страховщик First American Title Insurance. По словам финансового регулятора, First American Title Insurance небрежно относится к защите своих данных, в результате чего нарушил законы штата о защите непубличной информации. В апреле 2018 года в системах страховщика содержалось около 753 млн документов, 65 млн из которых были помечены как конфиденциальные. В мае 2019 года количество записей возросло до 850 млн. Вся информация находилась в общем доступе в Сети в течение четырех лет из-за уязвимости в системах безопасности.

Компания Ledger, выпускающая аппаратные кошельки для хранения криптовалюты, сообщила на своем официальном сайте об утечке данных миллиона пользователей. Речь идет об именах клиентов, их электронных и почтовых адресах, номерах телефонов и сведениях о приобретенных продуктах. Другая важная информация, например, платежные данные, сведения о банковских картах и криптовалютных счетах остаются в безопасности, подчеркнули в Ledger. В компании пояснили, что хакеры получили доступ к базе данных 25 июня с помощью API-ключа.

Администрация израильского сайта для создания рекламного видео Promo.com сообщила об утечке данных 22 млн своих клиентов. База данных пользователей была опубликована для бесплатного скачивания на одном из киберпреступных форумов хорошо известным продавцом. В ней содержались имена пользователей, электронные адреса, сведения о половой принадлежности и местоположении, а также хеши паролей 2,6 млн пользователей.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.