Обзор инцидентов безопасности за период с 6 по 12 марта 2021 года

Обзор инцидентов безопасности за период с 6 по 12 марта 2021 года

Краткий обзор главных событий в мире ИБ за прошлую неделю.

В течение последней недели СМИ пестрели заголовками об атаках на серверы Microsoft Exchange - событии, по своим масштабам и последствиям затмившем атаку на цепочку поставок SolarWinds. Об этих и других кибератаках за период с 6 по 12 марта 2021 года читайте в нашем обзоре.

Текущая хакерская операция, в рамках которой злоумышленники массово атакуют серверы Microsoft Exchange по всему миру, за неделю разрослась настолько, что в нее включились и правительственные хакеры, и финансово ориентированные киберпреступники. Злоумышленники атакуют серверы Microsoft Exchange через четыре уязвимости ProxyLogon, в экстренном порядке исправленные Microsoft на прошлой неделе. Совокупная эксплуатация этих уязвимостей позволяет атакующим авторизоваться на сервере с правами администратора и устанавливать вредоносные программы.

В числе жертв кибератак на Microsoft Exchange, среди прочих, оказались Европейское банковское управление (European Banking Authority, EBA) и парламент Норвегии . Поскольку уязвимость связана с почтовыми серверами EBA, злоумышленники предположительно могли получить доступ к конфиденциальной информации через электронные письма.

Согласно заявлению парламента Норвегии, масштабы кибератаки пока неизвестны. После обнаружения инцидента были приняты все необходимые меры, и в настоящее время совместно с правоохранительными органами проводится расследование. Как выяснилось на данном этапе расследования, в результате кибератаки произошла утечка данных.

По оценкам специалистов, от атак с использованием уязвимостей в Microsoft Exchange могли пострадать более 60 тыс. организаций по всему миру.

В начале марта стало известно, что уязвимости ProxyLogon активно эксплуатируются работающей на китайское правительство APT-группировкой Hafnium. Вслед за ней уязвимости стали использовать китайские группировки APT27, Bronze Butler/Tick и Calypso. Теперь же стало известно , что помимо них уязвимостями также вооружились группировки Winnti Group, Tonto Team, Mikroceen и недавно обнаруженная вредоносная кампания Websiic.

Хотя атаки на серверы Exchange затмили атаку на цепочку поставок SolarWinds, исследователи безопасности продолжают свои расследования. В декабре 2020 года, когда только стало известно о взломе компании SolarWinds, специалисты Microsoft предупредили о второй киберпреступной группе, атакующей локальные установки платформы SolarWinds Orion и не связанной с атакой на цепочку поставок. Теперь экспертам удалось установить , что этой группой является SPIRAL, предположительно связанная с Китаем.

В ответ на атаку на цепочку поставок SolarWinds, в которой правительство США обвиняет Россию, администрация президента Джо Байдена работает над новыми экономическими санкциями и кибератаками против РФ. По словам чиновника Белого дома, оба ответа на противоправные действия Москвы будут осуществлены синхронно «в течение ближайших трех недель».

Помимо вышеупомянутых кибератак, традиционно не обошлось без атак с использованием вымогательского ПО. Так, правительство Испании стало жертвой атаки вымогательского ПО Ryuk, нарушившего работу IT-систем ведомства Servicio Público de Empleo Estatal (SEPE), которое управляет и выплачивает государственные пособия по безработице. Инцидент затронул серверные системы и общедоступный web-сайт госструктуры. Персоналу SEPE в 710 офисах по всей Испании пришлось отменить и перенести встречи с безработными после того, как доступ к центральным систем был заблокирован. Пятьдесят две телематические системы самообслуживания также вышли из строя в результате атаки.

Как стало известно, обнаруженный в прошлом году ботнет z0Miner теперь атакует серверы Jenkins и ElasticSearch для майнинга криптовалюты Monero (XMR). Вредоносное ПО z0Miner для майнинга криптовалюты было обнаружено в ноябре прошлого года. Майнер заразил тысячи серверов, взламывая их через уязвимости в Oracle WebLogic (CVE-2020-14882 и CVE-2020-14883). Однако согласно новому отчету специалистов подразделения Network Security Research Lab компании Qihoo 360, вредонос начал попытки эксплуатации уязвимостей, исправленных в 2015 году и ранее. В частности, ботнет пытается проэксплуатировать уязвимость удаленного выполнения кода в ElasticSearch и старые уязвимости в Jenkins.

После полуторагодичного перерыва вредоносную деятельность возобновила киберпреступная группировка FIN8, вернувшаяся с более мощной версией бэкдора BADHATCH. Бэкдор обладает расширенными возможностями, включая захват экрана, прокси-туннелирование, кражу учетных данных и бесфайловое выполнение. Новая вредоносная кампания нацелена на компании в сфере страхования и розничной торговли, а также в технологической и химической промышленности в США, Канаде, Южной Африке, Пуэрто-Рико, Панаме и Италии.

Киберпреступники отправляют тысячи фишинговых писем пользователям Microsoft Office 365 в рамках текущей вредоносной кампании с целью кражи учетных данных. Злоумышленники придают кампании вид легитимности, используя поддельную систему Google reCAPTCHA и целевые страницы доменов верхнего уровня, на которых размещены логотипы компаний жертв.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!