Обзор инцидентов безопасности за период с 12 по 18 июня 2021 года
18 июня 2021 года
Уже традиционно в конце недели SecurityLab публикует обзор самых важных и интересных событий в мире инфосека, произошедших за последние семь дней. Новые атаки вымогательской группировки REvil, уход из бизнеса операторов шифровальщика Avaddon, уязвимости нулевого дня в Google Chrome и Apple iOS – об этом и не только читайте в нашем новом выпуске.
Вымогательские группировки продолжают быть объектом пристального внимания как со стороны общественности, так и правоохранительных органов. В связи с давлением некоторые группировки прекращают деятельность, как, например, операторы программы-вымогателя ПО Avaddon, известного по атакам на французскую страховую компанию AXA и государственные лотерейные сайты Мексики. Группировка не только вышла из бизнеса, но и передала специалистам более 2 тыс. ключей дешифрования.
Еще одной интересной новостью недели стала публикация исходного кода вымогательской программы Paradise на хакерском форуме XSS. Активность Paradise впервые была зафиксирована в сентябре 2017 года. Операторы распространяли вымогатель с помощью фишинговых писем, содержащих вредоносные вложения IQY. Со временем было выпущено несколько версий вымогателя, причем первые версии содержали уязвимости, позволившие создать дешифратор Paradise. Однако в новых версиях метод шифрования был изменен на RSA, что препятствовало бесплатному расшифровке файлов.
Команда исследователей в области кибербезопасности SecureWorks Counter Threat Unit (CTU) рассказала об «отличительных» тактиках, приемах и процедурах (TTP), используемых операторами вымогателя Hades. Злоумышленников связывают с финансово-мотивированной киберпеступной группировкой под названием Gold Winter.
По состоянию на конец марта 2021 года операторы Hades атаковали как минимум трех неназванных жертв, включая транспортно-логистическую службу США, американскую организацию по производству потребительских товаров и глобальную производственную организацию. Также была атакована логистическая компания Forward Air. В результате кибератаки с использованием вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн.
Хотя вымогательская группировка DarkSide, известная своей атакой на крупнейшего в США оператора газопровода Colonial Pipeline, прекратила деятельность, ее партнеры осваивают новые виды атак. К примеру, одна из киберпреступных группировок, ранее сотрудничавших с DarkSide, взломала web-сайт поставщика камер видеонаблюдения и внедрила вредоносное ПО в приложение для Windows, которое клиенты компании использовали для настройки и управления своими каналами безопасности. Вредоносное ПО было спрятано внутри настроенной версии приложения Dahua SmartPSS для Windows. После скачивания и установки вредоносное приложение заражало системы компании версией бэкдора SMOKEDHAM.
Группировка REvil продолжает совершать кибератаки, невзирая на ажиотаж. В частности, от ее действий пострадали две американские компании - Sol Oriens, консультирующая Национальное управление по ядерной безопасности Министерства энергетики США, и Invenergy (специализируется на разработке разработке и эксплуатации возобновляемых источников энергии). В первом случае в руки хакеров попали конфиденциальные документы, включая описания проектов исследований и разработок, управляемых оборонными и энергетическими подрядчиками, а во втором группировка похитила 4 ТБ данных, в том числе информацию о контрактах и проектах, а также «очень личные и пикантные» сведения о генеральном директоре Invenergy Майкле Польски (Michael Polsky).
Украинские правоохранители совместно с коллегами из США и Южной Кореи провели операцию, в результате которой были арестованы шесть человек, причастных к вымогательской операции CLOP. В числе жертв хакеров указываются медицинские школы университета Стэнфорда, университета Мэриленда и университета Калифорнии, а также четыре южнокорейских компании. Ущерб от действий преступников оценивается в $500 млн.
На этой неделе техногиганты Apple и Google выпустили обновления для своих продуктов iOS и Chrome. В случае с iOS Apple исправила две уязвимости нулевого дня в браузерном движке WebKit, позволявшие удаленно выполнить код. Обновление Google исправляет уязвимость нулевого дня в WebGL (Web Graphics Library) JavaScript API. Ни Apple, ни Google не предоставили подробную информацию об уязвимостях и не уточнили, когда и в каких атаках они использовались.
Команда Microsoft Security Intelligence предупредила об огромном количестве вредоносных PDF-файлов, распространяемых в интернете разработчиками бэкдора SolarMarker (Jupyter).
Злоумышленники используют известную старую технику «отравления SEO» (SEO poisoning) для наполнения PDF-файлов ключевыми словами и ссылками, перенаправляющими жертв на вредоносное ПО для кражи паролей и учетных данных. Первоначально в качестве хостинга использовался ресурс Google Sites, однако потом злоумышленники перешли на платформы Amazon Web Services (AWS) и Strikingly.
В течение последней недели цифровые художники и создатели невзаимозаменяемых токенов (NFT) оказались в центре вредоносной кампании, в ходе которой злоумышленники пытаются похитить заработанные ими средства.
Используя ряд подставных личностей, злоумышленники выдают себя за создателей NFT, предлагают бизнес-партнерство и обманом заставляют жертв загрузить на свои компьютеры и запустить вредоносный файл (.SCR), устанавливающий на компьютеры жертв инфостилер Redline.
Компания Alibaba Group Holding стала жертвой вредоносной кампании по web-скрепингу (web scraping), в рамках которой преступник собрал около 1,1 млрд пользовательских записей. Злоумышленником оказался консультант, помогавший продавцам в online-центре Taobao от Alibaba.
Преступник использовал вредоносное программное обеспечение для хищения данных на протяжении восьми месяцев с 2019 года. Украденные данные включали идентификаторы пользователей, номера мобильных телефонов и комментарии клиентов.
Суд оштрафовал французское подразделение компании IKEA на миллион евро за незаконный сбор личных данных сотрудников. Бывший глава подразделения Жан-Луи Байо приговорен к двум годам заключения условно и оштрафован на 50 тыс. евро. Жертвами незаконного сбора данных стали около 400 сотрудников магазинов IKEA во Франции в 2009-2012 годах.
Источники
править| Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 12 по 18 июня 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
