Обзор инцидентов безопасности за период с 2 по 8 ноября 2020 года

Обзор инцидентов безопасности за период с 2 по 8 ноября 2020 года

Краткий обзор главных событий в мире ИБ за прошлую неделю.

image

Утечки данных, атаки вымогательского ПО и активность APT-групп – об этих и других событиях прошлой недели читайте в нашем обзоре.

Как сообщалось на прошлой неделе, неизвестный злоумышленник выставил на продажу базы данных, содержащие в общей сложности 34 млн пользовательских учетных записей, украденных у 17 компаний, в том числе у Geekie, RedMart, Wongnai и пр. Все выставленные на продажу базы данных были похищены в 2020 году, и самая крупная из них принадлежит компании Geekie (8,1 млн записей).

Неизвестные злоумышленники выставили на продажу на нескольких российских хакерских форумах доступ к сетям 7,5 тыс. образовательных организаций. Они предлагают «удобный доступ» ко взломанным сетям, расположенным в США, Канаде и Австралии, через протокол удаленного рабочего стола (RDP) и утверждают, что доступ к сетям есть только у них. Доступ продается на аукционе, при этом начальная ставка за весь пакет начинается с 25 биткойнов (примерно $330 тыс.), а вариант «Купить сейчас» стоит 75 биткойнов (около $1 млн).

На нескольких хакерских форумах и Telegram-каналах было опубликовано более 23 тыс. взломанных баз данных – инцидент, который специалисты уже назвали крупнейшей утечкой в своем роде. Базы данных утекли из теперь уже отключенного сервиса Cit0Day.in, рекламируемого на киберпреступных форумах. Сервис собирал взломанные базы данных и предоставлял доступ к именам пользователя, электронным адресам, адресам проживания и даже незашифрованным паролям за ежедневную или ежемесячную плату.

Неизвестный злоумышленник опубликовал исходный код продукта GitHub Enterprise Server. Утечка произошла еще несколько месяцев назад по вине инженеров GitHub, случайно отправивших некоторым клиентам необработанный/обфусцированный файл исходного кода. Однако неизвестный опубликовал его под видом исходного кода GitHub.com и GitHub Enterprise от лица главы GitHub Ната Фридмана (Nat Friedman), воспользовавшись уязвимостями, позволявшими неавторизованным сторонам добавлять свой код в чужие проекты под чужим именем. Уязвимости затем были исправлены, и Фридман уверил пользователей в том, что GitHub взломан не был.

Специалисты «Лаборатории Касперского» раскрыли подробности о вредоносной кампании, направленной на промышленные предприятия, в ходе которой злоумышленники используют инструменты для удаленного доступа RMS и TeamViewer. По данным ЛК, вредоносная кампания продолжалась с 2018 года и как минимум до осени 2020 года. В ходе вредоносной кампании киберпреступники рассылали фишинговые письма, замаскированные под деловую переписку между организациями и содержащие вредоносное ПО. Основной целью киберпреступников являлась кража денежных средств атакуемых организаций.

Как стало известно на прошлой неделе, итальянский производитель алкогольных напитков Campari, Cinzano и Appleton, компания Campari Group, подверглась атаке вымогательского ПО RagnarLocker, из-за чего большая часть ее IT-сетей была отключена. Вымогатели зашифровали файлы в компьютерных сетях компании и потребовали выкуп в размере $15 млн за их восстановление. Согласно записке с требованием выкупа, злоумышленники похитили 2 ТБ конфиденциальных данных Campari Group, которые они грозятся выложить в открытый доступ, если деньги не будут уплачены в течение недели после взлома.

Жертвой вымогательского ПО также стал Верховный суд Бразилии. Госорган подвергся кибератаке во время судебных заседаний, проходивших в формате видеоконференции. В результате инцидента были заблокированы базы данных текущих судебных процессов и нарушена работа внутриведомственного почтового сервера. Хотя в официальных заявлениях не упоминается конкретная преступная группировка, ответственная за атаку, записка с требованием выкупа указывает на RansomExx.

Список компаний, пострадавших от вымогательского ПО, на прошлой неделе пополнился одним из крупнейших в мире производителей игрушек, компанией Mattel. Как пояснила Mattel в своем финансовом отчете, инцидент произошел в конце июля нынешнего года. Кибератака, в ходе которой были зашифрованы данные на некоторых компьютерных системах, привела к временному сбою некоторых бизнес-операций. Хотя Mattel не раскрыла информацию о том, какое вредоносное ПО использовалось в кибератаке, по данным источников, в минувшем июле системы компании были заражены трояном TrickBot, использующимся в том числе для развертывания программ-вымогателей Ryuk и Conti.

Японская корпорация Capcom, являющаяся одним из крупнейших в мире разработчиков и издателей компьютерных видеоигр, стала жертвой кибератаки, в результате которой были нарушены бизнес-операции и работа электронной почты. Существует вероятность, что атака была совершена вымогательским ПО. В августе нынешнего года, как и Mattel, Capcom стала жертвой вредоносного ПО TrickBot, которое обычно приводит к атакам программ-вымогателей Ryuk или Conti.

На прошлой неделе специалисты Check Point Research приоткрыли завесу над текущей кибермошеннической операцией, проводимой палестинскими и египетскими хакерами. В ходе операции за 12 месяцев злоумышленники скомпрометировали VoIP-серверы более 1,2 тыс. организаций в 60 странах мира. Хакеры атаковали Sangoma PBX – пользовательский интерфейс с открытым исходным кодом для управления системами VoIP-телефонии Asterisk, в частности серверами Session Initiation Protocol (SIP). Взлом SIP-серверов позволяет злоумышленникам использовать их несколькими способами. Один из самых интересных и сложных способов предполагает осуществление звонков с помощью взломанного сервера для получения финансовой выгоды.

Что касается APT-групп, то специалист компании Sophos Габор Саппанош (Gabor Szappanos) сообщил о APT-группе, атакующей неправительственные организации в Мьянме. Примечательной чертой группировки является использование сложных техник взлома наряду с сообщениями, характерными для малоопытных хакеров (так называемых скрипт-кидди). Это усложняет ИБ-экспертам задачу по идентификации группировки.

Специалисты национального центра реагирования на компьютерные инциденты Республики Беларусь (CERT.BY) раскрыли подробности о фишинговых атаках на белорусских пользователей, фиксирующихся с начала года. По данным экспертов, за атаками стоит ранее неизвестная киберпреступная группировка XDSpy, работающая на правительство некой страны. Уже девять лет она занимается похищением важной информации у правительств и компаний из стран Восточной Европы и Балканского полуострова. Специалисты пока выявили единственный вектор атак, используемый хакерами для компрометации жертв, – целенаправленные фишинговые письма, содержащие как вредоносные вложения, так и ссылки на вредоносные файлы.

Эксперты подразделения Mandiant ИБ-компании FireEye опубликовали отчет о деятельности киберпреступной группировки UNC1945, эксплуатирующей уязвимость нулевого дня в Oracle Solaris для получения доступа к корпоративным сетям. Хотя UNC1945 активна еще с 2018 года, специалисты Mandiant обратили внимание на группировку только в нынешнем году, когда она начала эксплуатировать ранее неизвестную уязвимость в Oracle Solaris ( CVE-2020-14871 ). Уязвимость присутствует в модуле Pluggable Authentication Module (PAM) и позволяет обойти процедуры аутентификации. С ее помощью хакеры UNC1945 устанавливали на подключенные к интернету уязвимые серверы Solaris бэкдор SLAPSTICK. Бэкдор служил точкой входа для проведения разведывательных операций внутри корпоративных сетей и бокового перемещения на другие системы.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.