Обзор инцидентов с участием программ-вымогателей за период с 5 по 12 июля 2021 года

Большую часть внимания общественности на прошлой неделе привлекла кибератака операторов вымогательского ПО REvil на MSP-провайдера Kaseya. По словам некоторых экспертов, преступники использовали комбинацию из трех уязвимостей нулевого дня для атаки на VSA — уязвимость обхода аутентификации, уязвимость загрузки произвольного файла и уязвимость внедрения кода.

По словам генерального директора компании Фреда Воккола (Fred Voccola), из-за атаки операторов вымогателя были прекращены бизнес-операции от 800 до 1,5 тыс. предприятий по всему миру, включая стоматологические кабинеты, архитектурные бюро, центры пластической хирургии и библиотеки. Одна из крупнейших в Швеции сетей супермаркетов Coop была вынуждена закрыть порядка 800 магазинов по всей стране из-за атаки REvil на Kaseya. Сотрудники магазинов не смогли обрабатывать платежи из-за потери работоспособности кассовых аппаратов и станций самооблуживания.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) США опубликовали руководство для компаний и организаций, пострадавших от атаки операторов вымогательского ПО REvil на MSP-провайдера Kaseya. Федеральные агентства рекомендуют проверить компьютерные системы на наличие признаков взлома с помощью инструмента обнаружения, предоставленного Kaseya, а также включить многофакторную аутентификацию в как можно большем количестве учетных записей.

Сложившейся вокруг атак на Kaseya и ее клиентов критической ситуацией вовсю пользуются кибермошенники. Злоумышленники рассылают потенциальным жертвам спам-письма с полезной нагрузкой Cobalt Strike, замаскированной под обновления безопасности для Kaseya VSA. Преступники рассылают потенциальным жертвам письма с вредоносным вложением и встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil. Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч, злоумышленники получают постоянный удаленный доступ к ее компьютеру.

Атака вымогательской группировки REvil на MSP-провайдера Kaseya и его клиентов должна была быть успешной, однако изменения в типичной тактике и процедурах преступников привели лишь к небольшому количеству выплат выкупа. Причина в том, что резервные копии жертв не удалялись и данные не были украдены, что могло предоставить преступникам рычаг давления на жертв. Об этом сообщило издание Bleeping Computer.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширения .zqqw, .zzla и .pooe к зашифрованным файлам.

Пресс-секретарь Белого дома Джен Псаки заявила , что Россия несет ответственность за воспрепятствование деятельности хакеров на ее территории, даже если само государство не имеет никакого отношения к кибератакам.

«Я подчеркну, что взгляд президента США Джо Байдена и взгляд администрации Соединенных Штатов заключаются в том, что даже несмотря на то, что эти действия против США и американского частного сектора предпринимают криминальные элементы, даже если к этому не причастно правительство России, они все равно несут ответственность», — пояснила Псаки.

Специалисты из компании Sentinel Labs опубликовали отчет об анализе вымогательского ПО Conti. Вымогательское-ПО-как-услуга (Ransomware as a Service, RaaS) зарекомендовала себя среди хакеров как гибкая и эффективная вредоносная программа, способная работать как автономно, так и управляемо, а также с беспрецедентной скоростью шифрования. По состоянию на июнь 2021 года партнеры Conti потребовали несколько миллионов долларов у более чем 400 организаций.

Инвестиционная банковская компания Morgan Stanley сообщила , что личная информация некоторых клиентов была скомпрометирована через стороннего поставщика, который использовал решение Accellion FTA. Украденные файлы были зашифрованы, но злоумышленник «смог получить ключ дешифрования в ходе взлома Accellion FTA». Похищенные данные включали имена, адреса, даты рождения, номера социального страхования и названия компаний.

Старший вице-президент компании Mandiant Чарльз Кармакал (Charles Carmakal) рассказал, что ИБ-эксперты не могут справиться с большим количеством атак операторов вымогательского ПО. Атаки программ-вымогателей сейчас настолько многочисленны, что некоторые компании просто не могут помочь каждой недавно взломанной жертве восстановить свой бизнес.

Исследователь в области кибербезопасности Джек Кейбл (Jack Cable) запустил сайт под названием Ransomwarewhere, представляющий собой открытый краудсорсинговый трекер платежей вымогателям. Сервис позволяет просматривать загружать данные о платежах вымогательским группировкам или сообщать о получении требований со стороны преступников.

Исследователь в области кибербезопасности Майкл Гиллеспи обнаружил новую программу-вымогатель, которая добавляет расширение .nohope к зашифрованным файлам.

Ведущая страховая компания в США CNA Financial Corporation уведомила клиентов об утечке данных после атаки вымогателя Phoenix CryptoLocker, поразившей ее системы в марте нынешнего года. Инцидент затронул 75 349 человек. Украденные данные включают личную информацию клиентов, такую ​​как имена и номера социального страхования.