Обзор инцидентов безопасности за период с 26 июня по 2 июля 2021 года

Новые атаки хакеров, взломавших SolarWinds, утечки данных сотен миллионов пользователей, атаки с эксплуатацией критических уязвимостей в службе диспетчера очереди печати Windows и Cisco ASA, забытые на автобусной остановке секретные документы Минобороны Великобритании – об этих и других громких событиях в мире ИБ за период с 26 июня по 2 июля 2021 года читайте в нашем обзоре.

Команда исследователей безопасности обнаружила в Сети незащищенную базу данных размером более 86 ГБ, содержащую свыше 814 млн записей с именами пользователей, отображаемыми именами, адресами электронной почты и прочими сведениями, относящимися к клиентам управляемого хостинг-провайдера DreamPress. Утекшая база данных включала информацию о WordPress-аккаунтах, размещавшихся или установленных на серверах DreamHost, за период с марта 2018 года по апрель 2021 года.

В открытом доступе также оказались данные 700 миллионов пользователей деловой социальной сети LinkedIn. Поскольку в настоящее время в социальной сети зарегистрировано около 756 млн человек, утечка потенциально затрагивает 92 % пользователей платформы. Продавец утверждает, что база сформирована из данных, собранных с помощью API LinkedIn для сбора загружаемой пользователями информации.

Специалисты компании Mercedes-Benz USA обнаружили утечку данных, затронувшую около тысячи клиентов. Компания провела оценку 1,6 млн записей клиентов, включая имена клиентов, адреса, электронную почту, номера телефонов и некоторую информацию о приобретенных автомобилях, чтобы определить масштаб проблемы. Утечка данных включала информацию о номерах кредитных карт, номерах социального страхования и номерах водительских прав менее 1 тыс. клиентов Mercedes-Benz и потенциальных покупателей, которые в период с 2014 по 2017 год вводили конфиденциальную информацию на web-сайты компании и дилеров Mercedez-Benz.

Самой нашумевшей утечкой данных недели является обнаружение на автобусной остановке в одном из английских графств секретных документов Министерства обороны Великобритании. Среди документов были распечатки электронных писем и презентации PowerPoint одного из высокопоставленных лиц в министерстве, в том числе касающиеся принятия решений о скандальном маневре эсминца типа 45 «Дефендер», осуществленном на прошлой неделе у берегов Крыма. Кроме того, в документах обсуждались кампании по экспорту оружия, краткие сообщения о первых нескольких месяцах президентства Джо Байдена и роль британского спецназа в Афганистане после ухода США.

Традиционно не обошлось без атак с использованием вымогательского ПО. В частности, жертвой вымогателя стала международная христианская благотворительная организация «Армия спасения». Организация отказалась предоставить какую-либо дополнительную информацию, такую ​​как название вымогательской группировки или объем и тип данных, к которым преступники получили доступ.

Неделя также ознаменовалась возвращением киберпреступной группировки Babuk. Группировка создала новый сайт утечек, где уже представлены жертвы, отказавшиеся платить выкуп. По словам самих вымогателей, они продолжают атаковать корпоративные сети с помощью нового варианта вымогательского ПО Babuk.

Операторы вымогательского ПО REvil обзавелись новым шифровальщиком Linux-устройств для осуществления кибератак на виртуальные машины Vmware ESXi. По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, вымогательские группировки все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.

Компания Microsoft официально предупредила об атаках с использованием нашумевшей уязвимости удаленного выполнения кода PrintNightmare в службе диспетчера очереди печати. Уязвимость связана с некорректной обработкой привилегированных файлов и может использоваться для выполнения кода с привилегиями системы.

Microsoft также сообщила об атаках хакерской группировки Nobelium на пользователей из США, Британии, Канады, Германии и еще 32 стран. Как утверждает компания, именно Nobelium стоит за нашумевшим взломом SolarWinds. В Microsoft сообщили всем, кого пытались взломать злоумышленники, что хакеры снова активны. Также корпорация утверждает, что и сама подверглась атаке. Программу, собирающую данные, нашли на компьютере сотрудника компании.

Как стало известно, из-за атаки на SolarWinds пострадал Центробанк Дании. Преступники внедрили в сети банка бэкдор, который оставался работоспособным в течение семи месяцев, пока не был обнаружен американской ИБ-фирмой Fire Eye.

О серии брутфорс-атак на облачные ресурсы частных и государственных организаций предупредили спецслужбы США и Великобритании. Согласно заявлению, опубликованному АНБ США, Агентством по кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и британским центром национальной кибербезопасности, атаки являются делом рук связываемой с РФ хакерской группировки APT28 (Fancy Bear) и продолжаются по меньшей мере с середины 2019 года.

Разработанный АНБ США опасный эксплоит EternalBlue для уязвимости в протоколе Microsoft Server Message Block (SMB) продолжает представлять серьезную угрозу для многих организаций по всему миру более чем через четыре года после выпуска исправления. Последним примером подобной угрозы является вредоносное ПО Indexsinas (также известный как NSABuffMiner) с червеобразными функциями. Вредонос первоначально использовался для атак на организации в Азиатско-Тихоокеанском регионе, но в последнее время начал все чаще применяться против североамериканских организаций в сфере здравоохранения, гостеприимства, образования и телекоммуникаций.

Киберпреступники сканируют Сеть на предмет уязвимых устройств Cisco ASA и активно эксплуатируют уязвимость ( CVE-2020-3580 ) в рамках реальных атак после того, как PoC-эксплоит для нее был опубликован в Twitter. Уязвимость позволяет неавторизованному злоумышленнику выполнить произвольный код скрипта в контексте интерфейса или получить доступ к конфиденциальной информации через браузер.

Как стало известно, в массовом удалении данных с устройств Digital My Book от компании Western Digital повинны две враждующие между собой киберпреступные группировки. Одна из них эксплуатировала старую уязвимость CVE-2018-18472 , а вторая – уязвимость нулевого дня CVE-2021-35941 .

Хакеры взломали сервер одного из крупнейших удостоверяющих центров Монголии MonPass и внедрили бэкдор в официальный клиент установки сертификатов. По данным компании Avast, бэкдор находился в приложении с 8 февраля по 3 марта нынешнего года. Как показало расследование, публичный web-сервер MonPass был взломан восемь раз, на что указывают восемь разных web-шеллов и бэкдоров, найденных специалистами. По их словам, цель злоумышленников заключалась в заражении вредоносным ПО компьютеров в Монголии.