Обзор инцидентов безопасности за период с 27 марта по 2 апреля 2021 года

Прошлая неделя ознаменовалась новыми атаками вымогательского ПО, кибершпионов и криптомайнеров, утечкой данных Государственного департамента США, очередной атакой на цепочку поставок и прочими инцидентами безопасности. Об этих и других событиях в мире ИБ за период с 27 марта по 2 апреля 2021 года читайте в нашем обзоре.

Крупнейший трест лондонских школ Harris Federation был атакован операторами вымогательского ПО. В результате кибератаки были отключены IT-системы, почтовые серверы и телефонные линии в начальных и средних академиях по всему Лондону. Инцидент произошел 27 марта 2021 года и представляет собой крупнейшую известную на сегодняшний день атаку программ-вымогателей против британских образовательных организаций.

Итальянский премиум-бренд мужской одежды Boggi Milano подвергся кибератаке с использованием вымогательского ПО Ragnarok. Представители компании подтвердили факт кибератаки и сообщили, что в настоящее время ведется расследование. По их мнению, инцидент не оказал какого-либо существенного влияния на работу компании. Как сообщила киберпреступная группировка в своем блоге в даркнете, ей удалось похитить 40 ГБ корпоративных данных, в том числе документы из отдела кадров и информация о зарплате сотрудников.

Киберпреступники научились использовать легитимный компонент операционной системы Windows под названием Background Intelligent Transfer Service (BITS) для скрытой установки на нее вредоносного ПО. В 2020 году больницы, медицинские центры и дома престарелых страдали от постоянно меняющейся фишинговой кампании, в ходе которой распространялся бэкдор KEGTAP, открывавший путь для атак вымогательского ПО Ryuk. Недавно специалисты FireEye Mandiant обнаружили ранее неизвестный механизм, позволяющий KEGTAP сохранять персистентность с помощью компонента BITS.

Операторы вымогательского ПО Clop нашли новый рычаг давления на своих жертв – теперь они пишут клиентам пострадавших компаний и просят повлиять на них. Если они хотят, чтобы их конфиденциальные данные не были опубликованы, они должны убедить жертву заплатить вымогателям.

Благодаря работе REvil со средствами массовой информации у партнеров киберпреступной группировки растет доверие к ней, а у крупных компаний – страх, благодаря которому они гораздо охотнее идут на переговоры с вымогателями, заявили киберпреступники. REvil не нуждается в дополнительной рекламе, одних упоминаний в СМИ достаточно для того, чтобы обогнать конкурентов. по словам разработчиков вымогателя, средний чек с одной сети у них составляет $10 млн.

Пока разработчики REvil подсчитывают доходы, операторы вымогательского ПО Ziggy решили вернуть все награбленное своим жертвам. О своем намерении прекратить деятельность киберпреступники объявили еще в феврале, теперь также стало известно, что они готовы возместить причиненный ущерб. Любому, кто заплатил операторам Ziggy выкуп, достаточно просто отправить им электронное письмо с подтверждением оплаты в биткойнах и идентификатором компьютера. После этого деньги будут возвращены на криптовалютный кошелек примерно через две недели.

Северокорейские хакеры, пытавшиеся в прошлом году обманом заманить специалистов по кибербезопасности на вредоносные сайты, возобновили кибератаки. В январе нынешнего года команда ИБ-специалистов Threat Analysis Group компании Google выявила вредоносную кампанию северокорейских хакеров, использующих социальные сети для атак на исследователей безопасности. Злоумышленники предлагали ИБ-специалистам совместно исследовать уязвимости, а затем пытались заразить их компьютеры вредоносным ПО. Атаки связали с киберпреступной группировкой из КНДР под названием ZINC. Теперь эксперты из Google обнаружили web-сайт фиктивной ИБ-фирмы, а также учетные записи на платформах Twitter и LinkedIn, созданные группировкой.

В то время, как ИБ-эксперты оказались под прицелом северокорейских киберпреступников, израильские исследователи в области медицины подвергаются атакам со стороны иранских хакеров. Атаки являются частью длительной вредоносной кампании, организованной в конце 2020 года. В рамках фишинговых атак злоумышленники обманом заманивают медицинских экспертов на поддельные сайты, замаскированные под страницы облачного сервиса OneDrive, с целью кражи учетных данных.

В то же время, китайская хакерская группировка RedEcho, связанная с вредоносной кампанией против энергетического сектора и критически важных объектов инфраструктуры Индии, отключила часть доменов после того, как ее операции были раскрыты в конце февраля 2021 года.

Эксперты «Лаборатории Касперского» рассказали о сложной вредоносной кампании, в ходе которой злоумышленники с помощью бэкдоров похищают данные японских промышленных предприятий. Вредоносная кампания, названная исследователями «A41APT», включает в себя множество атак киберпреступной группировки APT10 (другие названия Stone Panda и Cicada) с использованием ранее недокументированного вредоносного ПО для доставки трех полезных нагрузок, таких как SodaMaster, P8RAT и FYAnti.

Одной из главных новостей на этой неделе стало похищение тысяч официальных электронных писем Государственного департамента США. Хотя инцидент имел место еще в прошлом году, широкой общественности о нем не сообщалось. Взлом стал уже вторым за шесть лет проникновением на почтовые серверы Госдепа хакеров, предположительно имеющих отношение к России (первое произошло в 2014 году).

Стоящие за атаками на цепочку поставок SolarWinds хакеры похитили электронную переписку исполняющего обязанности министра внутренней безопасности США при администрации Дональда Трампа и сотрудников Министерства внутренней безопасности, ответственных в том числе за предотвращение угроз со стороны иностранных государств.

Еще одной утечкой данных стала публикация в даркнете данных 3,5 млн пользователей платежной системы и криптокошелька Mobiwik. Впервые утечку данных обнаружил исследователь безопасности Раджшекхар Раджахария в феврале нынешнего года. Предположительно в Сеть утекло 6 ТБ KYC-данных и дамп mysql размером в 350 ГБ. Компания Mobiwik отрицала сообщения Раджшекхара в то время, однако 29 марта в даркнете была обнаружена ссылка на похищенные данные. По словам пользователей, данные продавались за 1,5 биткойна (около $86 тыс.).

Жертвами хакеров стали не только американские, но и немецкие политики. Неизвестные киберпреступники попытались получить доступ к компьютерам минимум семи членов бундестага и 31 депутата региональных парламентов. Правоохранительные органы ФРГ подозревают в попытке взлома группировку Ghostwriter, деятельность которой связывают с Россией.

Исследователь безопасности Авив Сассон (Aviv Sasson) из подразделения Unit 42 компании Palo Alto Networks обнаружил майнеры для добычи криптовалюты в 30 контейнерах в библиотеке Docker Hub, насчитывающих более 20 млн загрузок.

Киберпреступники взломали официальный Git-репозиторий PHP с целью внедрения двух вредоносных коммитов и изменения кодовой базы.

Злоумышленники добавили коммиты, замаскировавшись под разработчиков языка PHP Расмуса Лердорфа (Rasmus Lerdorf) и Никиту Попова. Хакеры пытались скрыть свою вредоносную деятельность и выдавали внедренные изменения за обычное исправление типографических ошибок. На самом же деле они изменили исходный код PHP для внедрения удаленно управляемого бэкдора.