Обзор инцидентов безопасности за период с 20 по 26 марта 2021 года

Пока страсти вокруг атак на цепочку поставок SolarWinds постепенно стихают, заголовки СМИ снова запестрели сообщениями об атаках вымогательского ПО. Об этих и других инцидентах безопасности за период с 20 по 26 марта 2021 года читайте в нашем обзоре.

На прошлой неделе один из крупнейших производителей компьютерной техники, тайваньская компания Acer, стала очередной жертвой вымогательского ПО REvil. Об инциденте стало известно после того, как название компании появилось сайте REvil, где обычно публикуются документы организаций, не заплативших требуемый выкуп. Вымогатели воздержались от публикации украденных файлов, разместив лишь скриншоты внутренних документов в качестве предупреждения о возможных последствиях отказа сотрудничать.

Примечательно, что новые варианты REvil получили функцию шифрования файлов на компьютерах жертв в безопасном режиме Windows (Windows Safe Mode). Вероятно, разработчики вымогателя добавили ее для того, чтобы он мог обходить обнаружение решениями безопасности и эффективнее шифровать файлы.

Операторы вымогательского ПО Black Kingdom добавили в свой арсенал эксплоиты для печально известных уязвимостей в серверах Microsoft Exchange под общим названием ProxyLogon. Жертвы новой вредоносной кампании находятся в США, Канаде, Австрии, Швейцарии, России, Франции, Израиле, Великобритании, Италии, Германии, Греции, Австралии и Хорватии. Black Kingdom шифрует файлы с использованием случайных расширений, а затем создает записку с требованием выкупа decrypt_file.TxT или ReadMe.txt. В записках преступники требуют $10 тыс. в биткойнах и используют один и тот же биткойн-адрес для оплаты.

Вредоносное ПО Purple Fox, ранее распространявшееся с помощью наборов эксплоитов и фишинговых писем, теперь получило червеобразный модуль. Новая функция позволяет вредоносному ПО в ходе атак сканировать и атаковать системы под управлением Windows, доступные в Сети. В настоящее время операторы Purple Fox развернули свою вредоносную программу почти на 2 тыс. взломанных серверов. К пострадавшим устройствам относятся системы под управлением Windows Server, серверы с Microsoft RPC, Microsoft Server SQL Server 2008 R2 и Microsoft HTTPAPI httpd 2.0, а также Microsoft Terminal Service.

Канадский производитель IoT-устройств Sierra Wireless сообщил о том, что на этой неделе его IT-системы были атакованы вымогательским ПО. Из-за кибератаки на предприятиях остановились производственные процессы, но производитель надеется "в скором времени" возобновить производство. В работе сайта и внутренних операциях Sierra Wireless также наблюдались сбои. Однако, как уверяют в компании, инцидент затронул только ее собственные системы, поскольку она "поддерживает четкое разграничение между своими внутренними IT-системами и продуктами и услугами, ориентированными на клиентов".

Операторы вымогательского ПО Babuk (также известного как Babyk) заявили на своем сайте утечек данных о хищении более 700 ГБ конфиденциальной информации у одного из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командование специальных операций США — PDI Group.

От атаки с использованием вымогательского ПО также пострадал крупный производитель отказоустойчивых серверов и программного обеспечения Stratus Technologies. В результате кибератаки компании пришлось отключить отдельные части своей сети и служб, чтобы изолировать инцидент.

От кибератаки восстановился я производитель оборудования для аэрокосмической и энергетической промышленности Honeywell. Как пояснили в компании, вредонос вывел из строя "ограниченное количество" ее компьютерных систем, и к настоящему времени сервисы Honeywell снова заработали. Характер кибератаки, в том числе использовалось ли в ней вымогательское ПО, компания не сообщает.

На этой неделе ИБ-эксперты Facebook рассказали о китайской хакерской группировкой Earth Empusa (другое название Evil Eye), проводившей вредоносные операции с использованием платформы Facebook. По словам специалистов, группировка атаковала активистов, журналистов и диссидентов, являющихся выходцами из Синьцзян-Уйгурского автономного района Китая и проживающих в Турции, Казахстане, США, Сирии, Канаде и Австралии.

Также на этой неделе стало известно об очередной жертве кибератак на цепочку поставок Accellion. Ею оказалась многонациональная группа нефтехимических и энергетических компаний Shell. В ходе атаки злоумышленники получили доступ к информации, принадлежащей крупным акционерам и дочерним компаниям.

Не обошлось на этой неделе и без новостей о SolarWinds. Специалистам швейцарской ИБ-компании Prodaft удалось получить доступ к серверам, использовавшимся хакерской группировкой, связанной со взломом SolarWinds. Благодаря этому они смогли узнать, кого атаковали злоумышленники и как они проводили свои операции. ИБ-экспертам удалось взломать принадлежащую киберпреступникам компьютерную инфраструктуру и изучить подробности масштабной вредоносной кампании, имевшей место с марта по август прошлого года. В ходе кампании злоумышленники атаковали тысячи компаний и правительственных организаций в Европе и США. Целью киберпреступной группировки, названной исследователями SilverFish, был шпионаж и похищение данных.

Помимо прочего, на прошлой неделе сообщалось о первых успешных кибератаках через исправленные уязвимости в F5 BIG-IP, BIG-IQ и ОС Android . Речь идет об уязвимости CVE-2021-22986 , позволяющей удаленно выполнить код и затрагивающей большинство версий программного обеспечения F5 BIG-IP и BIG-IQ, а также CVE-2020-11261 в графическом компоненте Qualcomm, присутствующем во всех Android-устройствах, где используются чипсеты Qualcomm.