Обзор инцидентов безопасности за период с 7 по 13 сентября 2020 года

Обзор инцидентов безопасности за период с 7 по 13 сентября 2020 года

Коротко о главных инцидентах безопасности в мире за прошлую неделю.

image

Согласно данным по раскрытым публично инцидентам безопасности за прошлую неделю, вымогательское ПО продолжает быть одной из самых распространенных угроз кибербезопасности корпоративного сектора. Прошедшая неделя также ознаменовалась сообщением о первой в мире кибератаке на облачную инфраструктуру с использованием легитимного инструмента. Об этих и других инцидентах безопасности за период с 7 по 13 сентября читайте в нашем обзоре.

В начале прошедшей недели SecurityLab сообщил о волне кибератак на сайты под управлением WordPress. Атаки начались 1 сентября, и к 4 сентября их количество достигло 1 млн. Злоумышленники обнаружили в старых версиях WordPress-плагина File Manager уязвимость нулевого дня, позволяющую загружать на сайт неавторизованные файлы, в том числе вредоносные. Выявив на сайте уязвимый File Manager, они эксплуатировали уязвимость, получали доступ к web-оболочке, захватывали контроль над ресурсом и включали его в ботнет.

В начале прошлой недели также стало известно о кибератаке на израильского производителя интегральных схем Tower Semiconductor. В компании не предоставили информацию относительно характера кибератаки (не исключено, что Tower Semiconductor стала жертвой вымогательского ПО) или ее масштаба, но уточнили, что в качестве превентивной меры была приостановлена работа некоторых серверов, а также ряд производственных процессов.

В отличие от Tower Semiconductor, характер кибератаки на Национальное управление миграции Аргентины, о которой сообщалось на прошлой неделе, вполне ясен – ведомство стало жертвой вымогательского ПО Netwalker. Вымогатель временно нарушил работу пограничных контрольно-пропускных пунктов Аргентины – первый известный случай, когда вымогательская атака на федеральное ведомство привела к сбою операций на государственном уровне.

Еще одна латиноамериканская организация, подвергшаяся атаке программы-вымогателя, – чилийский банк BancoEstado. В понедельник, 7 сентября, финорганизация была вынуждена закрыть все свои отделения из-за атаки вымогательского ПО. Подробности об инциденте не раскрываются, однако по некоторым сведениям банк стал жертвой программы-вымогателя ПО REvil (Sodinokibi).

7 сентября атаке вымогательского ПО Netwalker подверглась крупнейшая в Пакистане частная энергетическая компания K-Electric. Инцидент затронул внутренние сервисы компании, но, судя по всему, не повлиял на поставку электроэнергии. Согласно данным на сайте группировки Netwalker в даркнете, злоумышленники потребовали выкуп в размере $3,85 млн. В случае неуплаты выкупа в течение семи дней киберпреступники пригрозили увеличить сумму вдвое.

Об атаке вымогательского ПО на прошлой неделе также сообщил один из крупнейших мировых поставщиков услуг межсетевого соединения и обработки данных, компания Equinix. В компании не раскрывают масштаб атаки или информацию, о каком вымогательском ПО идет речь. Отмечается, что инцидент не затронул дата-центры и сервисы Equinix. Ведется расследование.

Не обошлось на прошлой неделе без очередных обвинений в адрес «русских хакеров». Как сообщила в своем блоге компания Microsoft, хакерская группировка Strontium (также известная как Fancy Bear), якобы действующая из России, «совершила атаки на 200 организаций, включая предвыборные штабы, правозащитные группы, партии и политических консультантов». Кроме того, в Microsoft зафиксировали хакерские атаки из Китая и Ирана. Их целью также было оказать влияние на выборы президента США.

Специалисты компании Intezer обнаружили первую в мире атаку на облачную среду с использованием легитимных инструментов. По их данным, киберпреступная группировка TeamTNT использует легитимный инструмент Weave Scope для обеспечения видимости и управления скомпрометированными облачными средами.

Помимо прочего, на прошлой неделе стало известно о волне кибератак на игроков в Call of Duty: Warzone. Злоумышленники взламывают учетные записи и требуют выкуп в биткойнах за возвращение доступа к ним. Судя по сообщениям некоторых игроков, киберпреступники взламывают учетные записи с помощью ранее утекших логинов и паролей. Как признался один из пострадавших, он использовал одни и те же пароли для доступа к разным сервисам.

Жертвой кибератаки на прошлой неделе также стала словацкая криптовалютная биржа. Злоумышленники взломали шесть online-кошельков, в которых хранились биткойны, эфиры, ERC20-токены, XRP, Tron, Tezos и Algorand. Компания не раскрывает сумму ущерба, но по некоторым данным, она превышает $5 млн.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.