Обзор инцидентов безопасности за период с 30 января по 5 февраля 2021 года

Обзор инцидентов безопасности за период с 30 января по 5 февраля 2021 года

Краткий обзор главных событий в мире ИБ за прошедшую неделю.

image

Атаки на суперкомпьютеры, новый червь для серверов Apache, Oracle и Redis, активность операторов вымогательского ПО – об этих и других инцидентах безопасности за период с30 января по 5 февраля 2021 года читайте в нашем обзоре.

Автономная правительственная организация UK Research and Innovation (UKRI) подверглась кибератаке с использованием вымогательского ПО, зашифровавшего ее цифровые ресурсы. Инцидент затронул два сервиса UKRI – информационный ресурс для подписчиков и внутреннюю платформу для экспертной оценки различных подразделений организации. Эти сервисы представляют собой порталы расположенного в Брюсселе управления исследований UK Research Office (UKRO). Поскольку сервисы UKRO насчитывают порядка 13 тыс. подписчиков, теоретически, киберпреступники могли похитить их персональные данные.

Операторы вымогательского ПО Babyk (также известного как Babuk) создали собственный сайт утечек данных для публикации украденных данных жертв в рамках стратегии двойного вымогательства. Преступники также опубликовали список компаний и организаций, которые они не будут атаковать, с некоторыми исключениями. На сайте утечек данных есть список организаций, которые преступники не намерены атаковать, включая больницы, некоммерческие организации, школы и малые предприятия.

В то же время операторы вымогательского ПО Fonix сообщили о прекращении своей киберпреступной активности, а также опубликовали ключ дешифрования, позволяющий жертвам кибератак бесплатно восстанавливать свои файлы. Представитель группировки даже поделился ссылкой на RAR-архив с именем «Fonix_decrypter.rar», содержащий как дешифратор, так и главный закрытый ключ дешифрования.

Несмотря на высокую активность операторов вымогательского ПО, компании все чаще отказываются платить вымогателям. В результате за последние месяцы средняя сумма выкупа в вымогательских атаках уменьшилась почти на треть, говорится в новом отчете компании Coveware. Согласно исследованию, в четвертом квартале 2020 года средняя сумма выкупа снизилась на 34% - с $233 817 до $154 108. Специалисты связывают этот факт с тем, что все больше организаций отказываются поддаваться требованиям операторов вымогательского ПО и платить (обычно в криптовалюте) за ключ дешифрования.

Французская фирма Stormshield, являющаяся крупным поставщиком ИБ-услуг и устройств сетевой безопасности для правительства Франции, сообщила, что злоумышленники получили доступ к одному из порталов службы поддержки клиентов и украли конфиденциальную информацию. Киберпреступникам также удалось похитить часть исходного кода межсетевого экрана Stormshield Network Security (SNS) — продукта, сертифицированного для использования в конфиденциальных правительственных сетях Франции.

Хакерская группировка, предположительно из Китая, скомпрометировала компьютерные системы ряда американских ведомств, используя еще одну уязвимость в ПО SolarWinds. В частности, были взломаны сети Национального финансового центра (NFC) при Министерстве сельского хозяйства США, занимающегося в том числе обработкой ведомостей о зарплате сотрудников более сотни американских госорганов, включая ФБР, Госдеп, Министерство внутренней безопасности и Казначейство. Проэксплуатированная группировкой язвимость не связана с багом, использованным для компрометации клиентов SolarWinds в прошлогодних атаках, в организации которых заподозрены предположительно российские хакеры. По словам источников Reuters, атакующие использовали компьютерную инфраструктуру и инструменты, ранее «засветившиеся» в кампаниях китайских кибершпионов.

Специалисты Citizen Lab и Motherboard рассказали о кибершпионской кампании против пользователей WhatsApp. Злоумышленники заманивают жертвы на сайт, где им предлагается загрузить мессенджер WhatsApp, которое на самом деле является вредоносным приложением. Как показал технический анализ приложения, к его созданию имеет отношение Cy4Gate – итальянский производитель инструментов для сбора информации, предназначенных для спецслужб и правоохранительных органов. Вероятнее всего, атаки являются целенаправленными и направлены на узкий круг избранных жертв.

Исследователи компании ESET рассказали о новом вредоносном ПО, атакующем суперкомпьютеры. Специалисты назвали его Kobalos в честь персонажа древнегреческой мифологии кобалоса – озорного духа, обожающего обманывать и пугать людей. Жертвами вредоноса уже стали крупный азиатский интернет-провайдер и американский поставщик решений безопасности. Kobalos интересен по нескольким причинам. Его кодовая база очень маленькая, но достаточно сложная для того, чтобы атаковать Linux, BSD и Solaris. Более того, столь сложный код – большая редкость для вредоносных программ, созданных под Linux. По мнению специалистов, Kobalos также может подходить для атак на AIX и Microsoft Windows.

Действующая в целях обогащения киберпреступная группировка Rocke атакует уязвимые установки Apache ActiveMQ, Oracle WebLogic и Redis с помощью нового вредоносного ПО для криптоджекинга под названием Pro-Ocean. Переход на использование Pro-Ocean является большим шагом вперед для Rocke, так как вредонос способен распространяться автоматически, подобно червю, пытаясь проэксплуатировать уязвимости на всех попадающихся на его пути машинах. Хотя в арсенале группировки появилось новое вредоносное ПО, ее тактика осталась неизменной – хакеры по-прежнему атакуют облачные приложения и эксплуатируют известные уязвимости для захвата контроля над Oracle WebLogic (CVE-2017-10271) и Apache ActiveMQ (CVE-2016-3088). Кроме того, их интересуют уязвимые установки Redis.

В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!