Обзор инцидентов безопасности за период с 10 по 16 апреля 2021 года

Обзор инцидентов безопасности за период с 10 по 16 апреля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Уже ставшие привычными атаки вымогательского ПО, постепенно становящиеся трендом атаки на цепочки поставок, утечки данных и новые эксплоиты – об этих и других событиях в мире ИБ за период с 10 по 16 апреля 2021 года читайте в нашем обзоре.

Одна из крупнейших во Франции фармацевтических групп и вторая крупнейшая дермато-косметологическая лаборатория в мире Pierre Fabre стала жертвой вымогательского ПО REvil. Сначала злоумышленники потребовали у нее выкуп в размере $25 млн, но, когда жертва отказалась платить, удвоили сумму.

Атака с использованием вымогательского ПО на компьютерные сети поставщика услуг складского хранения и транспортировки Bakker Logistiek привела к тому, что в супермаркетах Нидерландов закончился сыр. Компания Bakker Logistiek, предоставляющая нидерландским супермаркетам услуги по складированию с кондиционированием воздуха и транспортировке продуктов, не могла принимать заказы от клиентов, находить товары на складах и планировать рейсы.

В последнее время все чаще стали появляться сообщения об атаках на цепочку поставок, когда злоумышленники внедряют в легитимное ПО вредоносный код в целях получения доступа к сетям использующих это ПО организаций. К примеру, в настоящее время специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате взлома инструмента для разработки ПО Codecov Bash Uploader. Инцидент произошел в январе 2021 года, но был обнаружен только 1 апреля. В результате взлома произошла утечка токенов, ключей и учетных данных организаций по всему миру.

Специалисты «Лаборатории Касперского» обнаружили в официальном приложении APKPure вредоносное ПО. Вредонос был встроен в рекламный SDK в версии APKPure 3.7.18. В зависимости от инструкций оператора и схемы монетизации (реклама или плата за установку), ПО способно показывать рекламу каждый раз после разблокирования Android-устройства, повторно открывать web-страницы с рекламой, нажимать на объявления для оформления платных подписок и устанавливать другое потенциально вредоносное программное обеспечение без согласия пользователей.

В менеджере пакетов npm был обнаружен вредоносный пакет, созданный для осуществления атак на NodeJS-разработчиков, использующих операционные системы Linux и macOS. Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся более чем в 356 тыс. репозиториях на GitHub. Web-browserify разработан путем объединения сотен легитимных компонентов с открытым исходным кодом и выполняет разведку на зараженной системе.

Специалисты компании Microsoft выявили вредоносную кампанию, в рамках которой злоумышленники используют контактные формы на легитимных web-сайтах с целью распространения вредоносного ПО IcedID среди различных компаний и предприятий.

Метод атак очень прост и основан на использовании автоматических скриптов для посещения web-сайтов легитимных предприятий и заполнения контактных форм с фиктивными юридическими угрозами.

Что касается нашумевших уязвимостей в Microsoft Exchange, известных как ProxyLogon , то, как стало известно, киберпреступники начали использовать их для установки ПО для майнинга криптовалюты Monero.

Не обошлось на прошлой неделе и без утечки данных. Так, хакеры бесплатно выложили в Сеть данные 1,3 млн пользователей соцсети Clubhouse. Опубликованная информация включает: имя учетной записи, имя пользователя, привязанные аккаунты в Twitter и Instagram, количество подписчиков и подписок, дата создания аккаунта. Кроме того, злоумышленники рассекретили данные, которые указывают на то, кто был приглашен на беседу, и когда пользователь зарегистрировался в Clubhouse.

В очередной раз в открытом доступе оказалась полная база данных мобильного приложения Elector, использовавшегося для регистрации избирателей на парламентских выборах в Израиле, которые прошли 23 марта 2021 марта. База данных содержит информацию 6,5 млн пользователей, в том числе имена и фамилии, номера удостоверений личности, адреса, номера телефонов (не для всех избирателей), электронные адреса (не для всех избирателей), даты рождения и сведения о половой принадлежности.

Группа ученых из Амстердамского свободного университета и Швейцарской высшей технической школы Цюриха представила новый вариант атаки Rowhammer. Метод, получивший название SMASH (Synchronized MAny-Sided Hammering, что можно дословно перевести как «синхронизированная многосторонняя ударная обработка»), позволяет осуществлять атаки с использованием JavaScript на современные модули ОЗУ DDR4 в обход всех мер безопасности, принятых производителями электроники против атаки Rowhammer за последние семь лет.

Индийский исследователь безопасности Раджвардхан Агарвал (Rajvardhan Agarwal) опубликовал PoC-эксплоит для недавно обнаруженной уязвимости, затрагивающей Google Chrome , Microsoft Edge и другие браузеры на движке Chromium, такие как Opera и Brave. По его словам, PoC-эксплоит разработан для уязвимости, эксплуатировавшейся на хакерских соревнованиях Pwn2Own, которые проходили на прошлой неделе.

Через несколько дней исследователи опубликовали еще один PoC-эксплоит, позволяющий выполнение кода в Google Chrome и Microsoft Edge. Авторы эксплоита не предоставили никаких подробностей о его создании, но, скорее всего, они изучили журнал изменений V8 и собрали PoC-код для одной из исправленных уязвимостей, как это сделал Раджвардхан Агарвал.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.