Обзор инцидентов безопасности за период с 18 по 24 ноября 2021 года

Масштабная утечка данных клиентов GoDaddy, продажа целой криптовалютной биржи вымогателями LockBit, утечка данных вымогателей Conti - об этих и других событиях в мире ИБ читайте в нашем обзоре.

На сайте утечек кибервымогательской группировки LockBit появилось необычное объявление. На сайте, где LockBit публикует данные жертв, не заплативших выкуп, появилось объявление о продаже исходного кода и базы данных криптовалютной биржи. По словам группировки, благодаря инсайдеру, который все еще работает в компании, ей удалось заполучить исходный код и базу данных криптовалютной биржи BTC-Alpha, и теперь она выставила их на продажу за 100 биткойнов. Однако цена не является окончательной, говорится в объявлении, и LockBit готова торговаться. Группировка заключит сделку с тем, кто предложит наибольшую сумму.

Омская ювелирная компания "Россювелирторг" подверглась атаке кибервымогателей. Злоумышленники смогли сломать систему штрих-кодирования, зашифровать программу, из-за чего слетели все настройки. Кроме того, хакеры внесли изменения в работу интернет-магазина и частично уничтожили базу по маркетингу и аналитике. После проникновения вымогатели потребовали деньги за восстановление доступа к зашифрованным данным. Программисты компании не смогли самостоятельно получить ключи, поэтому ей пришлось заплатить требуемую сумму.

Кибервымогательская группировка Conti сама стала жертвой утечки данных после того, как исследователям безопасности удалось установить реальный IP-адрес одного из ее самых важных серверов и более месяца сохранять консольный доступ к системе. В течение месяца специалисты ИБ-компании Prodaft имели доступ к этому серверу, что дало им возможность осуществлять мониторинг сетевого трафика.

Энергетический гигант из Дании Vestas Wind Systems подвергся кибератаке, в результате которой был вынужден отключить часть систем в ряде своих подразделений. Инцидент произошел 19 ноября нынешнего года и затронул части внутренней IT-инфраструктуры производителя. Компания признала, что в результате инцидента были скомпрометированы данные, но не уточнила, какие именно и в каком объеме.

Специалисты в области кибербезопасности из компании BioBright сообщили о кибератаке на предприятие по производству биопродуктов, в ходе которой использовалось необычное вредоносное ПО под названием Tardigrade. Как обнаружили эксперты, Tardigrade имеет большой функционал и не ограничивается простым блокированием компьютеров по всему объекту. Вредоносная программа может адаптироваться к новой среде, маскироваться и даже работать автономно, когда она отключена от своего управляющего сервера. Сложность вредоноса и другие данные цифрового анализа указывают на хорошо финансируемую и мотивированную APT-группировку.

Group-IB обнаружила следы новых атак хакеров Redcurl, занимающихся коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. На этот раз в фокусе группы оказался российский ритейлер, входящий в топ-20 крупнейших интернет-магазинов России.

Северокорейская хакерская группировка Lazarus Group атаковала китайских исследователей в области кибербезопасности с целью похитить конфиденциальные сведения об их работе. Хакеры отправляли китайским ИБ-экспертам документы-приманки на китайском языке с пометками Securitystatuscheck.zip и _signed.pdf, обманом вынуждая щелкнуть по ним. Документы якобы содержали информацию о кибербезопасности от Министерства общественной безопасности Китая и Национального технического комитета по стандартизации информационной безопасности. Как полагают эксперты, успешные атаки позволили бы хакерам украсть эксплоиты или научиться новым навыкам.

Специалисты связали еще одну северокорейскую хакерскую группировку, известную как Kimsuky, Velvet Chollima, Thallium, Black Banshee, ITG16 и Konni Group, с волной кампаний по краже учетных данных, нацеленных на исследователей, образовательные учреждения, правительство, СМИ и другие организации. Две кампании также были направлены на распространение вредоносного ПО, которое можно было бы использовать для сбора разведданных.

ФБР США обнаружило APT-группировку, эксплуатирующую уязвимость нулевого дня в сетевых устройствах FatPipe MPVPN с целью взлома компьютерных систем компаний и получения доступа к их внутренним сетям. Преступники эксплуатируют уязвимости в FatPipe MPVPN как минимум с мая 2021 года. Уязвимость позволила неназванной хакерской группировке использовать функцию загрузки файлов в прошивке устройства и установить web-оболочку с корневым доступом.

ФБР, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США, Австралийский центр кибербезопасности (ACSC) и Национальный центр кибербезопасности Великобритании (NCSC) предупредили о растущем числе атак иранских группировок с использованием уязвимостей в Fortinet FortiOS ( CVE-2018-13379 , CVE-2020-12812 и CVE-2019-5591 ) и Microsoft Exchange. По словам экспертов, злоумышленники часто запускают вредоносное ПО BitLocker на скомпрометированных компьютерах под управлением Windows для шифрования данных с целью получения выкупа или нарушения работы.

Как стало известно на прошлой неделе, в 2020 году иранские хакеры атаковали крупное американское издательство Lee Enterprises, выпускающее десятки ежедневных газет по всей территории США. Целью злоумышленников было распространение дезинформации о президентских выборах в 2020 году.

Специалисты компании Microsoft предупредили о растущем числе кибератак на цепочки поставок со стороны иранских хакерских группировок. Преступники предпринимают попытки похищения учетные данные у IT-компаний для дальнейшей организации взломов систем их клиентов. По мнению ИБ-экспертов из Microsoft Threat Intelligence Center (MSTIC) и Digital Security Unit (DSU), данная деятельность является частью более широкой шпионской кампании по компрометации объектов, представляющих интерес для иранского режима.

Как сообщило Министерство юстиции США, в период с сентября по ноябрь 2020 года 24-летний Сейед Мохаммад Хосейн Муса Каземи и 27-летний Саджад Кашиан получили информацию о более чем 100 тыс. американских избирателей и использовали ее с целью «посеять раздор среди американцев». Подозреваемые пытались взломать около десятка избирательных web-сайтов штата и обнаружили неправильно настроенный компьютер, который позволил им получить доступ к сведениям об избирателях. Они использовали полученные данные для распространения через социальную сеть Facebook и электронную почту ложной информации о том, что Демократическая партия планирует вмешаться в выборы путем взлома сайтов регистрации избирателей.

Не обошлось без кибератак и на объекты в самом Иране. Так, иранская авиакомпания Mahan Air подверглась кибератаке, однако инцидент не причинил авиаперевозчику никакого ущерба. В Mahan Air пояснили, что хакеры атаковали «внутренние системы» компании. При этом сбоев в организации полетов не было, все рейсы осуществлялись согласно расписанию.

Один из крупнейших в мире регистраторов доменов GoDaddy сообщил , что неизвестный получил доступ к персональным данным более 1,2 млн клиентов его сервиса хостинга WordPress. Согласно документам, поданным в Комиссию по ценным бумагам и биржам США, GoDaddy обнаружила утечку 17 ноября нынешнего года, когда в хостинговой среде Managed WordPress была зафиксирована "подозрительна активность". Как показало последующее расследование, у злоумышленника был доступ к данным в течение более двух месяцев, как минимум с 6 сентября.

Исследователь в области кибербезопасности опубликовал в Сети эксплоит для уязвимости повышения локальных привилегий ( CVE-2021-41379 ) в установщике Windows, эксплуатация которой дает права администратора на системах под управлением Windows 10, Windows 11 и Windows Server. В рамках ноябрьского вторника патчей Microsoft устранила уязвимость, связанную с повышением привилегий установщика Windows. Уязвимость была обнаружена исследователем Абдельхамидом Насери. По его словам, он раскрыл информацию об уязвимости из-за уменьшения выплат компанией Microsoft в рамках программы вознаграждений за обнаружение уязвимостей.

Для недавно исправленной уязвимости нулевого дня в серверах Microsoft Exchange стал доступен PoC-эксплоит. Уязвимость CVE-2021-42321 затрагивает локальные установки Exchange Server 2016 и Exchange Server 2019 (в том числе, если используется режим Exchange Hybrid) и была исправлена Microsoft с выходом плановых ноябрьских обновлений. Успешная эксплуатация позволяет авторизованному злоумышленнику удаленно выполнить код на уязвимых серверах Exchange.

Кроме того, хакеры стали взламывать серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма. Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.