Обзор инцидентов безопасности за период с 25 сентября по 1 октября 2021 года

1 октября 2021 года

Атаки кибервымогателей на больницы, хакерские атаки на российские банки и сразу две уязвимости нулевого дня в Chrome - об этих и других событиях в мире ИБ за период с 25 сентября по 1 октября 2021 года читайте в нашем обзоре.

Калифорнийская сеть медучреждений United Health Centers подверглась кибератаке с использованием вымогательского ПО, приведшей к сбоям в работе всех ее центров и утечке данных пациентов. Атаковавшая организацию группировка Vice Society опубликовала файлы, предположительно похищенные у нее в ходе атаки. В них содержится чувствительная информация, в том числе о пациентах-льготниках, финансовые документы, результаты анализов и осмотров.

Как сообщается в новом исследовании специалистов Ponemon Institute, почти четверть организаций здравоохранения, пострадавших от атак вымогательского ПО за последние два года, признались, что у них увеличилась смертность. 70% респондентов ответили, что из-за атак вымогателей пациенты были вынуждены дольше лежать в больнице, а анализы и процедуры были отложены. Вдобавок, 36% опрошенных столкнулись с побочными эффектами от медицинских процедур.

Первым заслуживающим доверия публичным заявлением о том, что кибератака, в результате которой хакеры удаленно заблокировали работу компьютеров в больнице с целью вымогательства, хотя бы частично повинна в смерти человека, стал иск жительницы штата Алабама. Тейранни Кидд (Teiranni Kidd) подала в суд на медицинский центр Спрингхилла за то, что, когда она приехала рожать ребенка, администрация не предупредила о неработающих из-за кибератаки компьютерных сетях больницы. В результате женщине была оказана крайне ограниченная помощь. Из-за кибератаки врачи и медсестры не провели ряд ключевых тестов, которые показали бы, что шею младенца обвила пуповина. Это привело к травме мозга малыша и его смерти девятью месяцами спустя.

От разрушительной кибератаки с использованием вымогательского ПО пострадало латиноамериканское и испанское подразделение компании Covisian под названием GSS. В результате инцидента была выведена из строя большая часть его IT-систем и заблокирована работа колл-центров, обслуживающих испаноговорящих клиентов. В числе затронутых сервисов оказались Vodafone Spain, интернет-провайдер MasMovil, мадридская компания водоснабжения, телестудии и множество частных компаний.

Из-за хакеров власти штата Луизиана не смогли провести online-заседание, посвященное ликвидации последствий урагана "Ида". Обсуждение сбоев в телефонной связи и электроснабжении пришлось остановить из-за кибератаки. Во время заседания несколько пользователей стали делиться своими экранами и транслировали «откровенную» порнографию.

О рекордной по мощности кибератаке сообщил ВТБ. За месяц банк успешно отразил свыше 80 угроз - больше, чем за восемь месяцев с начала года. Зафиксировано несколько "рекордов": до 350 Гбит/с по мощности и до шести часов длительности DDoS-атак. Основной целью злоумышленников было сделать online-сервисы банка недоступными. В первую очередь злоумышленники стремились вывести из строя сайт и интернет-банк, а также сервисы 3ds.

Как сообщил первый замглавы департамента Банка России по информационной безопасности Артем Сычев, в августе и начале сентября кибератакам подверглись порядка 15 российских банков. По его словам, это было несколько DDoS-атак. Большая часть таких атак была в автоматизированном режиме отражена теми средствами, которые есть у финансовых организаций, отметил Сычев.

Специалисты экспертного центра безопасности Positive Technologies выявили новую, ранее неизвестную APT-группировку, получившую название ChamelGang. Основными ее целями в России пока являются организации топливно-энергетического комплекса и авиационной промышленности, а интерес злоумышленников направлен на хищение данных из скомпрометированных сетей.

С отрывом в несколько дней были исправлены три уязвимости нулевого дня в Chrome, эксплуатирующиеся в хакерских атаках. Первый экстренный патч исправляет уязвимость использования после освобождения в системе навигации по web-страницам Portals API ( CVE-2021-37973 ). Второе исправление предназначено для CVE-2021-37975 и CVE-2021-37976.

Специалисты компании Microsoft рассказали подробности о вредоносном ПО FoggyWeb, оператором которого является хакерская группировка Nobelium (также известная, как APT29, The Dukes или Cozy Bear), ответственная за атаку на цепочку поставок SolarWinds в декабре прошлого года. Вредонос использовался в атаках для установки дополнительной полезной нагрузки и кражи конфиденциальной информации с серверов Active Directory Federation Services (AD FS).

В свою очередь "Лаборатория Касперского" сообщила о связанном с Nobelium бэкдоре Tomiris. Первые образцы вредоноса Tomiris были обнаружены в феврале 2021 года, за месяц до того, как FireEye обнаружила и связала с Nobelium «сложный бэкдор второго уровня» Sunshuttle. Tomiris был обнаружен при расследовании серии атак с перехватом DNS-запросов, нацеленных на несколько правительственных структур одного из государств СНГ в период с декабря 2020 года по январь 2021 года. Атаки позволили злоумышленникам перенаправить трафик с государственных почтовых серверов на свои устройства.

Специалисты «Лаборатории Касперского» также обнаружили новую версию шпионского ПО FinSpy, которое перехватывает контроль и заменяет загрузчик Windows UEFI для заражения компьютерных систем. Данный метод позволил злоумышленникам установить буткит без необходимости обходить проверки безопасности прошивки.

Исследователи безопасности из компании Morphisec рассказали об эволюции Jupyter - инфостилера, написанного на языке программирования.NET и известного тем, что атакует исключительно медицинские и образовательные организации. Обнаруженная в сентябре 2021 года новая цепочка заражения не только свидетельствует о продолжающейся активности вредоноса, но и демонстрирует, «как злоумышленники продолжают развивать свои атаки, чтобы сделать их более эффективными и неуловимыми».

Киберпреступники вооружились новым упрощенным инструментом атаки, основанным на скриптах мессенджера Telegram, который позволяет создавать ботов для кражи учетных данных с помощью одноразового пароля, перехватывать контроль над учетными записями пользователей и похищать банковские средства. Как сообщили эксперты из ИБ-компании Intel 471, злоумышленники используют бот-скрипт под названием SMSRanger для отправки автоматических сообщений людям якобы от имени банка, PayPal или других популярных финансовых приложений.

Специалисты из Zimperium zLabs обнаружили новую вредоносную кампанию, в ходе которой более 10 млн Android-устройств были заражены трояном GriftHorse. Злоумышленники распространяют троян под видом безобидных Android-приложений, на самом деле подписывающих ничего не подозревающих жертв на премиум-сервисы стоимостью €36 евро в месяц. В ходе кампании используется не менее 200 троянизированных мобильных приложений, что делает ее одной из самых масштабных мошеннических операций, раскрытых в нынешнем году.