Обзор инцидентов безопасности за период с 21 по 27 августа 2021 года

Обзор инцидентов безопасности за период с 21 по 27 августа 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

image

Новые кибервымогатели, серьезные пополнения в арсенале киберпреступных группировок, атаки APT-групп, взломы маршрутизаторов и серверов Microsoft Exchange через нашумевшие уязвимости ProxyShell и PetitPotam – об этих и других событиях в мире ИБ читайте в нашем обзоре.

Менее чем через неделю после инцидента с американским оператором связи T-Mobile на одном из хакерских форумов был выставлен на продажу массив с персональными данными, предположительно принадлежащими 70 млн клиентов крупнейшей в США телекоммуникационной компании AT&T. Стартовая цена базы данных AT&T составляет $200 тыс. с возможностью приобрести ее фрагменты за $30 тыс. Желающие могут купить сразу весь массив за $1 млн. Судя по небольшому фрагменту БД, размещенному на хакерском форуме, данные включают имена клиентов, адреса, номера телефонов, дату рождения и номера социального страхования.

Неделю назад SecurityLab сообщал об уязвимостях в SDK Realtek, затрагивающих сотни тысяч смарт-устройств от 65 вендоров. Теперь стало известно о том, что эти уязвимости уже эксплуатируются операторами нашумевшего DDoS-ботнета Mirai. Как сообщает ИБ-компания SAM, атаки начались спустя три дня после публикации подробностей об уязвимостях специалистами ИБ-компании IoT Inspector.

Новая кибервымогательская группировка LockFile шифрует домены Windows, предварительно взломав серверы Microsoft Exchange через нашумевшие уязвимости ProxyShell и получив доступ к контроллеру домена через уязвимость PetitPotam. В настоящее время о кибервымогательской группировке LockFile известно мало. Впервые вымогатель был зафиксирован в июле 2021 года. На атакованных системах он оставлял записку с требованием выкупа в файле LOCKFILE-README.hta. Однако, начиная с прошлой недели, стали появляться сообщения о вымогателе под названием LockFile. В процессе шифрования файлов вымогатель добавляет к имени файла расширение .lockfile.

Специалисты подразделения Unit 42 компании Palo Alto Networks сообщили сразу о четырех вымогательских группировках, которые могут представлять серьезную угрозу для предприятий и критически важной инфраструктуры. По словам исследователей, группировки LockBit 2.0, HelloKitty, AvosLocker, Hive представляют серьезную угрозу для предприятий и критически важной инфраструктуры.

В свою очередь, Федеральное бюро расследований США опубликовало первое публичное уведомление, в котором подробно описываются методы работы партнера вымогательских группировок. Опубликованное сообщение является важным шагом ФБР в разъяснении того, как на самом деле работает экосистема киберпреступности.

Кибератаке с использованием вымогательского ПО подверглась крупнейшая в Бразилии сеть магазинов одежды Lojas Renner. В результате инцидента некоторые ее IT-системы оказались недоступны. Подробностей об атаке Lojas Renner не раскрывает, но, как сообщает один из бразильских блогов, за ней может стоять кибервымогательская группировка RansomExx.

Кибервымогательская группировка Ragnarok (Asnarök) объявила о завершении своей деятельности и выпустила бесплатную утилиту для восстановления зашифрованных файлов. Бесплатный декриптор со вшитым мастер-ключом для дешифровки был опубликован в четверг, 26 августа, на принадлежащем группировке web-портале в даркнете, где она ранее публиковала данные жертв, отказавшихся платить выкуп. Ряд исследователей безопасности изучили декриптор и подтвердили его подлинность. В настоящее время они проводят подробный анализ инструмента с целью переписать его в безопасный и простой в использовании вариант, который затем будет опубликован на портале NoMoreRansom Европола.

Эксперты «Лаборатории Касперского» рассказали о масштабной кампании по распространению трояна-дроппера, зафиксированной в апреле 2021 года. Дроппер, получивший название Swarez, распространялся под видом 15 популярных видеоигр: Among US, Battlefield 4, Battlefield V, Control, Counter-Strike Global Offensive, FIFA 21, Fortnite, Grand Theft Auto V, Minecraft, NBA 2K21, Need for Speed Heat, PLAYERUNKNOWN'S BATTLEGROUNDS, Rust, The Sims 4, Titanfall 2. Попытки скачать подобные файлы были зафиксированы продуктами компании в 45 странах, в том числе в России.

Исследователи в области кибербезопасности из AT&T Alien Labs сообщили об обнаруженном кластере исполняемых файлов Linux ELF, идентифицированных как модификации бэкдора PRISM с открытым исходным кодом. Злоумышленники использовали бэкдор в ходе нескольких кампаниях на протяжении более трех лет.

Новым бэкдором также обзавелась финансово мотивированная киберпреступная группировка FIN8. Как сообщили специалисты Bitdefender, группировка взломала компьютерную сеть финансовой организации в США и установила в ней новый бэкдор Sardonic. Во время атаки на банк в США бэкдор был развернут и выполнен на атакуемых системах в ходе трехэтапного процесса с использованием скрипта PowerShell, загрузчика на .NET и shell-кода загрузчика. Как пояснили исследователи, скрипт PowerShell копируется на скомпрометированную систему вручную, тогда как загрузчики доставляются автоматически.

Специалисты в области кибербезопасности антивирусной компании ESET обнаружили модульный бэкдор SideWalk, использующийся APT-группировкой под названием SparklingGoblin. Данный бэкдор имеет много общего с бэкдором CROSSWALK, используемым группой. SparklingGoblin в основном нацелена на академический сектор в Восточной и Юго-Восточной Азии, но также проявила усиленный интерес к сфере образования в Канаде, медиакомпаниям в США и по крайней мере к одной неназванной компании по продаже компьютеров в США.

Не обошлось на этой неделе без новых сообщений об инструментах для взлома от израильского производителя коммерческого шпионского ПО NSO Group. В своем новом отчете эксперты исследовательского центра Citizen Lab Университета Торонто рассказали о ранее неизвестной уязвимости в iOS, проэксплуатировать которую можно с помощью всего лишь одного нажатия. Согласно отчету, с февраля 2021 года уязвимость под названием FORCEDENTRY использовалась в атаках на нескольких активистов и диссидентов в Бахрейне.

Специалисты ИБ-компании Trend Micro сообщили о том, что тема коммерческого шпионского ПО Pegasus от NSO Group используется киберпреступниками в фишинговых кампаниях. По словам специалистов, недавно киберпреступная группировка Confucius проводила фишинговую кампанию, нацеленную на пакистанских военных. Вредоносная кампания была обнаружена в ходе более обширного расследования специалистов Trend Micro в отношении Confucius.

Специалисты из Intel 471 приоткрыли завесу над тем, как проводит свои операции киберпреступная группировка ShinyHunters, стоящая за рядом громких утечек данных. Согласно новому отчету Intel 471, группировка внимательно изучает исходный код компаний в GitHub-репозиториях в поисках уязвимостей, которые можно использовать для осуществления более масштабных кибератак.

Журналистка телеканала Fox News Джеки Хайнрик со ссылкой на свой источник, заявила о том, что на Государственный департамент США была совершена кибератака.

«Государственный департамент подвергся кибератаке», — написала журналиста. Она добавила, что хакерская атака, возможно, произошла «пару недель назад». Журналистка заявила, что киберкомандование Пентагона направило уведомление о возможном серьезном взломе. При этом она уточнила, что масштабы хакерской атаки, как и масштаб расследования против предполагаемых преступников, «остаются неясными». Также неизвестно, какие меры были предприняты для смягчения последствий кибератаки, и каковы «текущие риски для операций».

Противники политического режима в Беларуси заявили о весьма дерзкой кибероперации, в результате которой были скомпрометированы десятки баз данных МВД. Хакеры, называющие себя белорусскими киберпартизанами, за последние несколько недель опубликовали немалую часть похищенных данных, по их словам, в том числе содержащих секретную информацию. БД содержат списки информаторов МВД, персональные данные высокопоставленных лиц и разведчиков, видеоизображения, собранные с милицейских дронов и камер видеонаблюдения в исправительных учреждениях, и даже записи тайных телефонных переговоров, сообщает Bloomberg News. Кроме того, похищенные данные включают подробности о приближенных Александра Лукашенко и «верхушки» разведки.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!