Обзор инцидентов безопасности за период с 28 октября по 3 ноября 2021 года

Арест организаторов вымогательской атаки на компанию Norsk Hydro, прекращение деятельности кибервымогателей BlackMatter, мошенничество на тему "Игры в кальмара" - об этих и других громких событиях за период с 28 октября по 3 ноября 2021 года читайте в нашем обзоре.

В понедельник, 1 ноября, из-за давления со стороны властей кибервымогательская группировка BlackMatter объявила о прекращении деятельности. Группировка опубликовала объявление о прекращении деятельности на своем портале для партнеров, где киберпреступники обычно регистрируются для получения вымогательского ПО BlackMatter.

Европол сообщил об аресте 12 человек, подозреваемых в осуществлении вымогательских атак на более 1,8 тыс. организаций в 71 стране мира. В атаках был задействован ряд семейств программ-вымогателей, в том числе LockerGoga (использовалась в атаке на норвежского производителя алюминия Norsk Hydro), MegaCortex и Dharma, а также вредонос Trickbot и пост-эксплутационные инструменты, такие как Cobalt Strike. Аресты были произведены в Швейцарии и Украине. В ходе обысков полиция изъяла пять автомобилей класса люкс, электронные устройства и $52 тыс. наличными.

Немецкие правоохранители раскрыли личность, как они полагают, одного из ключевых участников вымогательской группировки REvil, известной благодаря громким атакам на крупные компании по всему миру. Речь идет о некоем Николае К., позиционирующем себя как криптоинвестор и трейдер.

Пока операторам REvil, BlackMatter и LockerGoga ничего больше не остается, как надеяться на лучшее, другие кибервымогатели не сбавляют обороты. Так, операторы вымогательского ПО Conti предположительно атаковали британский ювелирный дом Graff Diamonds и похитили данные его клиентов, в том числе знаменитых. Злоумышленники успели выложить в даркнет 69 тысяч файлов об 11 тысячах клиентов. Среди них - списки клиентов, счета-фактуры, квитанции и другие документы.

Операторы вымогательского ПО Chaos атакуют Windows-устройства через поддельные файлы Minecraft Alt List, распространяющиеся через геймерские форумы. Вредонос распространяется через текстовые файлы, якобы содержащие похищенные учетные данные игроков Minecraft. Данный вариант Chaos настроен таким образом, чтобы находить на зараженных системах файлы различных типов размером менее 2 МБ и шифровать их. Однако, если размер файла превышает 2 МБ, в него будут вставлены случайные байты, что сделает его невосстановимым, даже если будет уплачен выкуп.

Атаке вымогательского ПО подвергся немецкий производитель компонентов для автомобилей Eberspächer Group. Из-за инцидента компания Eberspächer отключила официальные web-сайты, системы электронной почты и производственные системы. В связи с невозможностью координировать производственный процесс и обрабатывать заказы компания отправила часть сотрудников в Германии и Румынии в оплачиваемый отпуск.

Атака вымогательского ПО нарушила работу управления общественного транспорта Торонто и отключила несколько систем, использующихся водителями и пассажирами. Инцидент затронул внутренние системы Транспортной комиссии Торонто (Toronto Transit Commission, TTC), в частности почтовый сервер и систему связи TTC Vision для водителей. В связи с этим водителям общественного транспорта пришлось временно перейти на классическую систему радиосвязи.

Канадская провинция Ньюфаундленд и Лабрадор подверглась кибератаке, которая привела к серьезным сбоям в работе медицинских учреждений и больниц. В результате атаки региональные системы здравоохранения отключили свои сети и отменили тысячи записей к врачам. Сбои в работе затронули системы здравоохранения Central Health, Eastern Health, Western Health и региональные органы здравоохранения Лабрадора-Гренфелла. Отключение IT-систем также повлияло на связь в регионе - люди сообщали о невозможности связаться с медицинскими центрами или службами 911 по телефону.

Министерство финансов Папуа-Новой Гвинеи стало жертвой атаки с использованием программ-вымогателей, заблокировавших доступ к сотням миллионов долларов иностранной помощи. Атака затронула Интегрированную систему финансового управления (IFMS) Министерства финансов.

Национальный банк Пакистана подвергся кибератаке, затронувшей его бэкенд-системы и серверы, использующиеся для связи филиалов банка, внутренней инфраструктуры, контролирующей сеть банкоматов, и мобильных приложений банка. Новость о взломе так испугала клиентов, что они массово кинулись к банкоматам, чтобы снять свои деньги. В настоящее время инцидент расследуется не как атака с использованием вымогательского ПО, а как попытка саботажа.

Операторы вымогательского ПО ищут новые способы инфицирования систем жертв. Одним из таких способов является техника «отравление SEO» (SEO poisoning) для установки полезной нагрузки на системы жертв. Так, исследователи кибербезопасности из компании Menlo Security обнаружили две вредоносные кампании Gootloader и SolarMarket, связанные с операторами программы-вымогателя REvil и использующие данную технику.

Еще один вектор заражения - вредоносные NPM-пакеты. Так, специалисты ИБ-компании Sonatype обнаружили вредоносные NPM-пакеты, распространявшие под видом библиотек Roblox вымогательское ПО и инфостилеры. Речь идет о двух NPM-пакетах - noblox.js-proxy и noblox.js-proxies. Как видно из названия, злоумышленники использовали тайпсквоттинг (использование слов, близких к написанию известных названий в расчете на ошибку пользователей), чтобы убедить жертв, будто это легитимная API обертка Roblox под названием noblox.js-proxied. Вредоносные NPM-пакеты заражали жертв вымогательским ПО MBRLocker, выдаваемым киберпреступниками за нашумевший шифровальщик GoldenEye, trollware-программами (неопасным ПО, главной целью которого является раздражение пользователя и троллинг) и трояном для похищения паролей.

Хакерская группировка Black Shadow, предположительно связанная с Ираном, за неделю успела "отличиться" дважды. В частности, она заявила о взломе серверов израильской хостинговой компании Cyberserve, что повлекло отключение ряда популярных web-сайтов. Кроме того, Black Shadow взломала сайт знакомств израильских секс-меньшинств "Атраф" и потребовала выкуп в $1млн. В противном случае хакеры пригрозили опубликовать персональные данные пользователей сайта, в том числе переписку.

Еще одна иранская хакерская группировка, Moses Staff, опубликовала в открытом доступе в даркнете и Telegram-каналах персональные данные сотен израильских военнослужащих. Опубликованный массив данных содержит информацию о военнослужащих и лицах предпризывного возраста, включая звания, телефонные номера, адреса электронной почты, адреса проживания, служебную переписку, а также сведения о социально-экономическом статусе семей военнослужащих.

В свою очередь, Иран обвинил США и Израиль в кибератаках на АЗС, которые привели к беспорядкам в области обеспечения иранских АЗС топливом.

Национальная стрелковая ассоциация США (NRA) подверглась кибератаке вымогательского ПО Grief. Предполагается, что Grief — это сменившая название хакерская группировка Evil Corp. Хакеры выложили в сеть файлы, которые, как они утверждают, были украдены у NRA. Большинство украденных документов касаются грантов, финансируемых из бюджета стрелковой ассоциации. Если запрашиваемый хакерами выкуп не будет выплачен, киберпреступники грозятся опубликовать и другие украденные файлы.

Специалисты компании Proofpoint обнаружили вредоносную кампанию, в ходе которой киберпреступники из группировки TA575 распространяют вредоносное ПО Dridex с помощью писем на тему популярного сериала Netflix «Игра в кальмара». В письмах содержатся такие сообщения, как «Игра в кальмара возвращается, смотрите новый сезон раньше всех», «Приглашения клиента для доступа к новому сезону», «Предварительный просмотр рекламных роликов нового сезона Игры в кальмара» и пр.

Новая криптовалюта, появившаяся на волне популярности телесериала "Игра в кальмара", привлекла такое количество инвесторов, что всего за несколько дней ее курс взлетел до $2,8 тыс. Однако вскоре ее многообещающее будущее разлетелось в пух и прах - создатели криптовалюты быстренько вывели все деньги и скрылись. Криптовалюта под названием $SQUID продавалась якобы для предстоящей online-игры, основанной на популярном южнокорейском сериале. Всего за несколько дней в прошлом месяце стоимость $SQUID выросла на 310%, однако по состоянию на утро понедельника, 1 ноября, курс новоявленной криптовалюты составлял $0. Сайт $SQUID исчез, а учетная запись в Twitter была заблокирована.

Криптобиржа BXH Exchange подверглась хакерской атаке, в результате которой лишилась цифровых активов на $139 млн. Как установили специалисты по кибербезопасности, злоумышленники похитили средства, завладев ключом администратора. По одной версии, компьютер сотрудника площадки был заражен трояном, которая позволила хакерам получить доступ к конфиденциальной информации. Однако не исключается, что к краже причастен один из работников BXH Exchange.

Специалисты «Лаборатории Касперского» сообщили , что легитимный токен Amazon Simple Email Service (SES), выданный стороннему подрядчику, недавно использовался злоумышленниками в рамках целенаправленной фишинговой кампании, нацеленной на пользователей Microsoft Office 365. Эксперты связали фишинговые кампании с несколькими киберпреступниками, которые использовали два набора инструментов для фишинга - один под названием Iamtheboss, а другой под названием MIRCBOOT.