Редакция SecurityLab поздравляет читателей с наступающим 2022 годом!

2021 год доставил немало хлопот ИБ-экспертам и командам безопасности компаний и правительственных организаций, вынужденным справляться со множеством угроз - от взломов, DDoS- атак, спонсируемых государством хакерских кампаний и утечек данных до ставших необычайно агрессивными вымогательских атак. Вымогательские группировки стали чаще атаковать больницы, школы и критическую инфраструктуру, превращаясь из стремящихся заработать киберпреступников в угрозу национальной безопасности.

Одним из ярких тому примеров стала майская атака на американского оператора трубопровода Colonial Pipeline, обеспечивающего топливом почти половину населения восточного побережья США. Атака, осуществленная русскоязычной вымогательской группировкой DarkSide, на несколько дней парализовала работу трубопровода, что спровоцировало рост цен на нефть и вынудило власти США ввести режим чрезвычайной ситуации в регионе. В конечном итоге Colonial Pipeline выплатила вымогателям $4,4 млн.

Вскоре после инцидента группировка DarkSide заявила о прекращении деятельности, а в декабре Госдеп США предложил награду в $10 млн за информацию о лидерах коллектива. Несмотря на активные меры, предпринятые правоохранительными органами, после нескольких месяцев бездействия DarkSide вернулась с новой инфраструктурой и под новым названием – BlackMatter.

Тогда же в мае от инцидента, связанного с вымогательским ПО REvil, пострадал крупнейший в мире производитель мяса JBS SA. Атака нарушила работу заводов JBS в США, Австралии и Канаде, вызвав задержки в поставках продукции. Компания была вынуждена отправить часть сотрудников по домам и вернуть домашний скот фермерам. JBS восстановила работу заводов за счет резервных систем, но приняла решение выплатить вымогателям $11 млн во избежание дальнейших атак.

Впервые появившись на вымогательской сцене два года назад, русскоязычная группировка REvil оказалась весьма “плодовитой” в этом году. Среди ее жертв числятся такие крупные компании, как испанский телекомгигант MasMovil , один из крупнейших банков Чили BancoEstado , ведущая строительная фирма Японии Kajima Corp , французский производитель электронных устройств Asteelflash , фармацевтическая группа Pierre Fabre , производители техники Acer и Quanta Computer и пр.

Однако самый большой резонанс вызвала июльская атака на американскую IT-компанию Kaseya, предоставляющую услуги управления IT-инфраструктурой. Этот инцидент, затронувший примерно 1,5 тыс. компаний по всему миру, вошел в список самых масштабных атак на цепочку поставок. Атакующие проэксплуатировали уязвимость ( CVE-2021-30116 ) инструменте Kaseya Virtual System Administrator, используемом MSP-провайдерами и смогли получить доступ к системам их клиентов.

Операторы REvil преложили приобрести у них универсальный дектриптор для восстановления зашифрованных данных за $70 млн, но затем группировка неожиданно исчезла из поля зрения. В конце июля Kaseya сообщила , что получила ключ дешифрования от «третьей стороны».

В сентябре, спустя несколько месяцев отсутствия, REvil возобновила работу, но уже в октябре сама оказалась мишенью международной спецоперации спецслужб и была вынуждена свернуть деятельность.

Еще одним громким инцидентом стала вымогательская атака на Национальнуюя службу здравоохранения Ирландии (Health Service Executive, HSE), из-за которой ведомство было вынуждено временно отключить свои IT-системы. Организатором атаки стала вымогательская группировка Conti, потребовавшая от HSE выкуп в размере $20 млн. Ведомство отказалось выплачивать выкуп.

Напряженным этот год стал и для американского техногиганта Microsoft в том числе благодаря широкомасштабной кампании по эксплуатации уязвимостей нулевого дня в почтовых серверах Microsoft Exchange. О кампании стало известно в марте нынешнего года, когда Microsoft сообщила об атаках связываемой с КНР хакерской группировки Hafnium, эксплуатировавшей цепочку из четырех уязвимостей нулевого дня (получивших коллективное название “ProxyLogon”) для атак на уязвимые серверы Microsoft Exchange.

По оценкам специалистов, вредоносная кампания затронула порядка 30 тыс. серверов. В последующие месяцы APT и киберпреступные группировки неоднократно эксплуатировали ProxyLogon в различных атаках, в том числе для распространения вымогательского ПО и спама, а также майнинга криптовалюты.

В апреле Федеральное бюро расследований США сообщило , что получило ордер, позволяющий ведомству получить доступ к сотням компьютеров на территории США с уязвимыми версиями Microsoft Exchange Server с целью удаления установленных хакерами бэкдоров.

Еще одним примечательным событием 2021 года стала масштабная утечка данных принадлежащего Amazon видеостримингового сервиса Twitch. В октябре на одном из форумов был опубликован массив проприетарных данных Twitch объемом 128 ГБ, включавший в том числе исходный код платформы и сведения о невыпущенных проектах и о том, сколько зарабатывают ведущие стримеры. Как пояснила администрация Twitch, данные были доступны в интернете из-за ошибки при изменении конфигурации сервера Twitch, которой воспользовались злоумышленники.

Появление криптовалюты и криптовалютных бирж стало новым этапом в развитии финансовых услуг, однако прежние риски никуда не исчезли - там, где есть деньги, всегда найдутся желающие их украсть. По оценкам специалистов, в 2021 году хакеры похитили в общей сложности порядка $4,25 млрд в криптовалюте - почти в три раза больше по сравнению с прошлым годом (примерно $1,49 млрд).

В число наиболее громких хищений этого года вошел взлом DeFi-платформы Poly Network и кража $610 млн в криптовалюте, что стало крупнейшей кражей цифровых валют в истории (впоследствии хакер, взломавший проект, вернул похищенное). От злоумышленников также пострадали криптовалютная биржа BitMart , которая лишилась в $150 млн в различной криптовалюте, протокол CreamFinance ($130 млн), DeFi-проекты BadgerDao ($120 млн), bZx ($55 млн), Vee Finance ($35 млн) и Grim Finance ($30 млн), криптовалютная биржа AscendEX ($77 млн).

Компания Facebook, в октябре сменившая название на Meta, в очередной раз оказалась в центре скандала после того, как бывшая сотрудница корпорации Френсис Хауген (Frances Haugen) обнародовала сведения о внутренних механизмах социальной сети Facebook. Компанию обвинили в том, что она не уделяет должного внимания модерации контента и борьбе с дезинформацией, ставит прибыль выше безопасности пользователей и способствует разжиганию ненависти. В ответ вице-президент по международным отношениям Facebook Ник Клегг (Nick Clegg) заявил о том, что компания готова предоставить надзорным органам свои алгоритмы для проверки с целью доказать, что они работают как положено и не вредят пользователям.

Тем не менее, все попытки руководства спасти ситуацию не принесли результата - пользователи назвали Meta худшей компанией 2021 года.

Со шквалом критики столкнулся и израильский производитель коммерческого ПО для шпионажа NSO Group. Компания в основном известна по своему флагманскому продукту Pegasus, который неоднократно фигурировал в расследованиях правозащитных групп. К примеру, в июле французская НКО Forbidden Stories и правозащитная организация Amnesty International обнародовали данные, свидетельствующие о том, что правительства десятков стран используют шпионскую программу Pegasus для слежки за журналистами, правозащитниками и диссидентами.

В ноябре компания Apple подала в суд на NSO Group, обвинив последнюю в злоупотреблении Pegasus для взлома устройств и слежки за невинными жертвами. Техногигант потребовал запретить израильскому производителю использовать устройства и программное обеспечение Apple, а также обновлять Pegasus для поддержки новых версий iOS.

Тогда же власти США внесли NSO Group в черный список компаний, с которыми американским предприятиям запрещено вести бизнес без соответствующей лицензии. На фоне скандала министерство обороны Израиля значительно сократило перечень стран (со 102 до 37), которым израильским технологическим компаниям разрешено продавать кибертехнологии, а также ужесточило контроль за их экспортом.

В этом году правоохранительные структуры не сидели сложа руки, то и дело сообщая о масштабных операциях по поимке операторов вымогательского ПО, разного рода мошенников и обезвреживанию ботнетов. В частности, в январе в результате совместных усилий правоохранительных органов из ряда стран была отключена инфраструктура Emotet - одного из опаснейших ботнетов. В рамках процедуры очистки 25 апреля 2021 года вредоносное ПО Emotet было удалено с устройств, включая ключ реестра автозапуска и завершения процесса. Стоит отметить, что ботнет не исчез бесследно - в ноябре ботсеть вновь начала проявлять активность.

Самым ярким событием декабря смело можно назвать сообщение об уязвимости удаленного выполнения кода ( CVE-2021-44228 ) в библиотеке Java Log4j. Известие об уязвимости, окрещенной Log4Shell, вызвало переполох в ИБ-сообществе в связи с тем, что библиотека Log4j присутствует почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j реализована практически во всех корпоратиых продуктах Apache Software Foundation, таких как Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo. О наличии данной уязвимости в своих продуктах сообщили и Intel, Nvidia и Microsoft.

Поэтому неудивительно, что хакеры (в том числе спонсируемые государством группировки) оперативно взяли на вооружение Log4Shell. В частности, специалисты наблюдали случаи эксплуатации уязвимости с целью установки вредоносов Mirai, Muhstik и Dridex , инструмента Cobalt Strike или вымогательского ПО .

Хотя организация Apache Software Foundation уже выпустила обновления для Log4j, устраняющие уязвимость, эксперты полагают, что на исправление проблемы могут уйти месяцы, если не годы, из-за характера проблемы.

И в заключение итогового обзора хотим поздравить всех читателей с наступающим Новым годом. Пусть 2022 год принесет только хорошие новости!