Обзор инцидентов безопасности за период с 12 по 18 октября 2020 года

Обзор инцидентов безопасности за период с 12 по 18 октября 2020 года

Коротко о главных событиях прошлой недели в мире кибербезопасности.

image

Как показывают события прошлой недели, киберпреступные группировки активно взялись за уязвимость Zerologon, операторы ботнета TrickBot продолжают свою деятельность, несмотря на операцию Microsoft по его ликвидации, а киберпреступная группировка FIN11 изменила свою тактику и вооружилась вымогательским ПО. Об этих и других инцидентах безопасности за период с 12 по 18 октября 2020 года читайте в нашем обзоре.

Начало прошлой недели ознаменовалось предупреждением от компании Microsoft о том, что российская киберпреступная группировка TA505 (она же CHIMBORAZO и Evil Corp) эксплуатирует в своих атаках уязвимость Zerologon ( CVE-2020-1472 ). В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, способные обходить контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe).

Об атаках с эксплуатацией Zerologon также предупредили ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA). По их данным, APT-группировки осуществили ряд атак на правительственные сети в США, проэксплуатировав уязвимости в VPN ( CVE-2018-13379 ) и Windows ( CVE-2020-1472 ). Атаки были нацелены на федеральные, местные, территориальные правительственные сети и критическую инфраструктуру США. Оба агентства заявили, что также были зафиксированы атаки на неправительственные сети.

Компания Microsoft осуществила легальную координированную атаку на ботнет Trickbot – киберугрозу, предлагаемую по бизнес-модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS), заразившую миллионы компьютеров по всему миру и использующуюся для распространения вымогательского ПО. Суд штата Вирджиния разрешил Microsoft получить контроль над множеством серверов, использующихся Trickbot для взаимодействия с зараженными системами. Примечательно, что основанием для судебного решения послужил факт нарушения операторами ботнета авторских прав Microsoft.

Тем не менее, Trickbot не был отключен полностью. Операторы ботнета продолжают свою деятельность и неустанно совершенствуют техники. Долгое время вредонос использовался для взлома корпоративных сетей путем загрузки различных программных модулей для хищения паролей, распространения на другие устройства или кражи баз данных Active Directory. Теперь преступники атакуют корпоративные сети с помощью трояна BazarLoader, а затем загружают вымогательское ПО Ryuk.

На использование вымогательского ПО также перешла финансово мотивированная киберпреступная группировка FIN1. Группировка осуществляет крупномасштабные операции, в последнее время атакуя компании в Северной Америке и Европе из самых разных секторов промышленности с целью похитить персональные данные и загрузить вымогательское ПО Clop. Начиная с августа нынешнего года, киберпреступники атаковали организации в сфере обороны, энергетики, финансов, здравоохранения, фармацевтики, телекоммуникаций, технологий и транспорта.

Судя по всему, вымогательское ПО остается одним из самых прибыльных киберпреступных бизнесов. Все больше крупных компаний по всему миру становятся жертвами программ-вымогателей, и одной из них является крупнейший в США продавец книг Barnes & Noble. 14 октября компания разослала своим клиентам уведомления о том, что 10 октября ее корпоративные компьютерные системы подверглись кибератаке. Согласно сообщению компании, в результате инцидента были скомпрометированы электронные адреса, биллинг адреса, адреса доставки и история покупок пользователей. Хотя Barnes & Noble не раскрывает характер кибератаки, судя по всему, она стала жертвой вымогательского ПО.

Операторы вымогательского ПО Egregor выложили в открытый доступ данные, по их словам, похищенные из внутренних компьютерных сетей двух крупнейших производителей игр – Ubisoft и Crytek. Данные были опубликованы на портале киберпреступной группировки в даркнете в четверг, 15 октября. В случае с Ubisoft киберпреступники опубликовали файлы, свидетельствующие о наличии у них принадлежащего компании исходного кода игры Watch Dogs. Утечка Crytek включает документы, судя по всему, похищенные у отдела разработки игр. В них содержатся ресурсы и сведения о процессе разработки игр Arena of Fate и Warface, а также старой игровой соцсети Gface.

В начале текущего месяца увеличилось количество случаев кибервымогательства несколько другого рода. Злоумышленники присылают компаниям электронное письмо с требованием выкупа, угрожая в противном случае обрушить на их сети мощную DDoS-атаку. Одной из жертв вымогателей стала британская валютная компания Travelex. Компания не заплатила выкуп, и через некоторое время на ее сети была осуществлена мощная DDoS-атака. Спустя два дня злоумышленники осуществили на Travelex еще одну атаку с применением техник усиления DNS, используя DNS-серверы Google.

Власти Ирана заявили , что администрация одного из иранских портов подверглась кибератаке. Атака была нацелена на электронную инфраструктуру портов страны с целью нарушить поток товаров, однако не увенчалась успехом.

Как стало известно на прошлой неделе, Норвегия считает Россию виновной в хакерской атаке на систему электронной почты Стортинга (национального собрания). В сообщении правительства говорится о том, что кибератака на парламент была совершена 24 августа, когда были взломаны электронные ящики ряда политиков.

Не обошлось на прошлой неделе и без утечек данных. Хакерская группировка выставила на продажу доступ более чем к 50 тыс. взломанных домашних камер видеонаблюдения, включая видеозаписи. Злоумышленники предлагают доступ к видеозаписям с камер за единовременную абонентскую плату в размере $150 и утверждают, что уже продали более 3 ТБ клипов. Выборка объемом 700 МБ, содержащая около 4 тыс. видеороликов и фотографий, доступна бесплатно.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.