Обзор инцидентов безопасности за период с 5 по 11 октября 2020 года
12 октября 2020 года
Как показывают инциденты безопасности, на прошлой неделе по-прежнему не покладая рук «трудятся» операторы вымогательского ПО, ботнетов и вредоносного ПО, эксплуатирующего нашумевшую уязвимость ZeroLogon. О самых интересных инцидентах безопасности, имевших место на прошлой неделе, читайте в нашем обзоре.
В начале прошлой недели стало известно о новом IoT-ботнете Ttint, который на порядок выше других подобных ботнетов. Вредоносное ПО не просто инфицирует устройства для осуществления DDoS-атак, но также развертывает 12 различных методов удаленного доступа, использует маршрутизаторы в качестве прокси для переадресации трафика, модифицирует настройки межсетевого экрана и DNS и даже позволяет злоумышленникам удаленно выполнять команды на зараженном устройстве.
На прошлой неделе также стало известно о ботнете HEH, способном стирать все данные с зараженного устройства, будь то маршрутизатор, сервер или IoT-гаджет. Вредонос распространяется с помощью брутфорс-атак и атакует любые подключенные к интернету устройства с открытыми портами SSH (23 и 2323).
Что касается вымогательского ПО, то жертвой атаки с использованием программы-вымогателя Clop стала одна из крупнейших в мире компаний по разработке программного обеспечения Software AG. В конце минувшей недели вымогатели опубликовали скриншоты похищенных данных на своем web-сайте. Информация включает сканы паспортов и удостоверений личности сотрудников Software AG, корпоративные письма, финансовые документы и папки из внутренней сети компании.
Атаке вымогательского ПО также подвергся американский поставщик программного обеспечения для здравоохранения eResearchTechnology. Инцидент косвенно затронул исследовательскую организацию IQVIA, помогающую компании AstraZeneca в разработке вакцины против COVID-19, а также фармацевтическую фирму Bristol Myers Squibb, возглавляющую консорциум компаний по разработке быстрого теста на коронавирус.
Примечательно, что операторы вымогательского ПО начали использовать новую тактику в рамках своих кибератак. Теперь они еще и осуществляют DDoS-атаки на web-сайт жертв, пока те не выполнят требования преступников. Например, операторы вымогательского ПО SunCrypt совершили DDoS-атаку на web-сайт компании после того, как переговоры с жертвой не увенчались успехом. Вскоре на сайте для оплаты выкупа появилось сообщение о том, что SunCrypt несет ответственность за DDoS-атаку и продолжит ее, если переговоры не возобновятся.
На прошлой неделе Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупредило об увеличении числа атак, нацеленных на государственные и местные органы власти с помощью трояна Emotet. Как сообщили CISA и Межгосударственный центр обмена информацией и анализа (MS-ISAC), с августа нынешнего года киберпреступники стали чаще атаковать правительства штатов и местные органы власти с помощью фишинговых писем, предназначенных для распространения вредоносного ПО Emotet.
Кроме того, CISA заявило о присутствии некоей злонамеренной хакерской активности в системах поддержки выборов в США. Однако возможности кибератак и причастность их к системе выборов в США специалисты агентства установить не смогли.
Специалисты «Лаборатории Касперского» сообщили о наборе вредоносных модулей MontysThree для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
Специалисты «Лаборатории Касперского» также обнаружили целевую кампанию кибершпионажа с использованием UEFI буткита. На данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО.
Специалисты Malwarebytes Хуссейн Джази (Hossein Jazi) и Жером Сегура (Jérôme Segura) сообщили о новой вредоносной кампании, предположительно проводимой вьетнамской кибершпионской группировки APT32 (другие названия OceanLotus и SeaLotus). Отличительной чертой данной кампании является внедрение вредоносного кода в легитимную Службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения.
Как сообщает компания Microsoft, иранская кибершпионская группировка MuddyWater (она же MERCURY, SeedWorm и TEMP.Zagros) в течение последних двух недель активно эксплуатирует в своих атаках уязвимость ZeroLogon ( CVE-2020-1472 ).
Как сообщалось на прошлой неделе, жертвами киберпреступников стали порядка двадцати руководителей криптовалютных бирж из Израиля. В начале прошлого месяца злоумышленники взломали их телефоны, похитили все персональные данные и стали отправлять их контактам сообщения с просьбой перевести деньги. За кибератакой предположительно стоят хакеры, работающие на правительство.
Компания Group-IB выявила новую схему мошенничества с использованием сервиса Zoom. Мошенники предлагают компенсацию, для получения которой необходимо перейти по ссылке. Таким образом жертва попадает на мошеннический сайт, после чего в распоряжении преступников оказываются деньги и данные банковской карты. По словам специалистов, злоумышленники используют популярность сервиса Zoom в связи с переходом россиян на дистанционную работу. Аналитики установили, что письма были отправлены не с фейкового домена, а от официального сервиса.
Источники
правитьЭта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 5 по 11 октября 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.