Обзор инцидентов безопасности за период с 7 по 13 сентября 2020 года

Согласно данным по раскрытым публично инцидентам безопасности за прошлую неделю, вымогательское ПО продолжает быть одной из самых распространенных угроз кибербезопасности корпоративного сектора. Прошедшая неделя также ознаменовалась сообщением о первой в мире кибератаке на облачную инфраструктуру с использованием легитимного инструмента. Об этих и других инцидентах безопасности за период с 7 по 13 сентября читайте в нашем обзоре.

В начале прошедшей недели SecurityLab сообщил о волне кибератак на сайты под управлением WordPress. Атаки начались 1 сентября, и к 4 сентября их количество достигло 1 млн. Злоумышленники обнаружили в старых версиях WordPress-плагина File Manager уязвимость нулевого дня, позволяющую загружать на сайт неавторизованные файлы, в том числе вредоносные. Выявив на сайте уязвимый File Manager, они эксплуатировали уязвимость, получали доступ к web-оболочке, захватывали контроль над ресурсом и включали его в ботнет.

В начале прошлой недели также стало известно о кибератаке на израильского производителя интегральных схем Tower Semiconductor. В компании не предоставили информацию относительно характера кибератаки (не исключено, что Tower Semiconductor стала жертвой вымогательского ПО) или ее масштаба, но уточнили, что в качестве превентивной меры была приостановлена работа некоторых серверов, а также ряд производственных процессов.

В отличие от Tower Semiconductor, характер кибератаки на Национальное управление миграции Аргентины, о которой сообщалось на прошлой неделе, вполне ясен – ведомство стало жертвой вымогательского ПО Netwalker. Вымогатель временно нарушил работу пограничных контрольно-пропускных пунктов Аргентины – первый известный случай, когда вымогательская атака на федеральное ведомство привела к сбою операций на государственном уровне.

Еще одна латиноамериканская организация, подвергшаяся атаке программы-вымогателя, – чилийский банк BancoEstado. В понедельник, 7 сентября, финорганизация была вынуждена закрыть все свои отделения из-за атаки вымогательского ПО. Подробности об инциденте не раскрываются, однако по некоторым сведениям банк стал жертвой программы-вымогателя ПО REvil (Sodinokibi).

7 сентября атаке вымогательского ПО Netwalker подверглась крупнейшая в Пакистане частная энергетическая компания K-Electric. Инцидент затронул внутренние сервисы компании, но, судя по всему, не повлиял на поставку электроэнергии. Согласно данным на сайте группировки Netwalker в даркнете, злоумышленники потребовали выкуп в размере $3,85 млн. В случае неуплаты выкупа в течение семи дней киберпреступники пригрозили увеличить сумму вдвое.

Об атаке вымогательского ПО на прошлой неделе также сообщил один из крупнейших мировых поставщиков услуг межсетевого соединения и обработки данных, компания Equinix. В компании не раскрывают масштаб атаки или информацию, о каком вымогательском ПО идет речь. Отмечается, что инцидент не затронул дата-центры и сервисы Equinix. Ведется расследование.

Не обошлось на прошлой неделе без очередных обвинений в адрес «русских хакеров». Как сообщила в своем блоге компания Microsoft, хакерская группировка Strontium (также известная как Fancy Bear), якобы действующая из России, «совершила атаки на 200 организаций, включая предвыборные штабы, правозащитные группы, партии и политических консультантов». Кроме того, в Microsoft зафиксировали хакерские атаки из Китая и Ирана. Их целью также было оказать влияние на выборы президента США.

Специалисты компании Intezer обнаружили первую в мире атаку на облачную среду с использованием легитимных инструментов. По их данным, киберпреступная группировка TeamTNT использует легитимный инструмент Weave Scope для обеспечения видимости и управления скомпрометированными облачными средами.

Помимо прочего, на прошлой неделе стало известно о волне кибератак на игроков в Call of Duty: Warzone. Злоумышленники взламывают учетные записи и требуют выкуп в биткойнах за возвращение доступа к ним. Судя по сообщениям некоторых игроков, киберпреступники взламывают учетные записи с помощью ранее утекших логинов и паролей. Как признался один из пострадавших, он использовал одни и те же пароли для доступа к разным сервисам.

Жертвой кибератаки на прошлой неделе также стала словацкая криптовалютная биржа. Злоумышленники взломали шесть online-кошельков, в которых хранились биткойны, эфиры, ERC20-токены, XRP, Tron, Tezos и Algorand. Компания не раскрывает сумму ущерба, но по некоторым данным, она превышает $5 млн.