Обзор инцидентов безопасности за период с 5 по 11 октября 2020 года

12 октября 2020 года

Как показывают инциденты безопасности, на прошлой неделе по-прежнему не покладая рук «трудятся» операторы вымогательского ПО, ботнетов и вредоносного ПО, эксплуатирующего нашумевшую уязвимость ZeroLogon. О самых интересных инцидентах безопасности, имевших место на прошлой неделе, читайте в нашем обзоре.

В начале прошлой недели стало известно о новом IoT-ботнете Ttint, который на порядок выше других подобных ботнетов. Вредоносное ПО не просто инфицирует устройства для осуществления DDoS-атак, но также развертывает 12 различных методов удаленного доступа, использует маршрутизаторы в качестве прокси для переадресации трафика, модифицирует настройки межсетевого экрана и DNS и даже позволяет злоумышленникам удаленно выполнять команды на зараженном устройстве.

На прошлой неделе также стало известно о ботнете HEH, способном стирать все данные с зараженного устройства, будь то маршрутизатор, сервер или IoT-гаджет. Вредонос распространяется с помощью брутфорс-атак и атакует любые подключенные к интернету устройства с открытыми портами SSH (23 и 2323).

Что касается вымогательского ПО, то жертвой атаки с использованием программы-вымогателя Clop стала одна из крупнейших в мире компаний по разработке программного обеспечения Software AG. В конце минувшей недели вымогатели опубликовали скриншоты похищенных данных на своем web-сайте. Информация включает сканы паспортов и удостоверений личности сотрудников Software AG, корпоративные письма, финансовые документы и папки из внутренней сети компании.

Атаке вымогательского ПО также подвергся американский поставщик программного обеспечения для здравоохранения eResearchTechnology. Инцидент косвенно затронул исследовательскую организацию IQVIA, помогающую компании AstraZeneca в разработке вакцины против COVID-19, а также фармацевтическую фирму Bristol Myers Squibb, возглавляющую консорциум компаний по разработке быстрого теста на коронавирус.

Примечательно, что операторы вымогательского ПО начали использовать новую тактику в рамках своих кибератак. Теперь они еще и осуществляют DDoS-атаки на web-сайт жертв, пока те не выполнят требования преступников. Например, операторы вымогательского ПО SunCrypt совершили DDoS-атаку на web-сайт компании после того, как переговоры с жертвой не увенчались успехом. Вскоре на сайте для оплаты выкупа появилось сообщение о том, что SunCrypt несет ответственность за DDoS-атаку и продолжит ее, если переговоры не возобновятся.

На прошлой неделе Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупредило об увеличении числа атак, нацеленных на государственные и местные органы власти с помощью трояна Emotet. Как сообщили CISA и Межгосударственный центр обмена информацией и анализа (MS-ISAC), с августа нынешнего года киберпреступники стали чаще атаковать правительства штатов и местные органы власти с помощью фишинговых писем, предназначенных для распространения вредоносного ПО Emotet.

Кроме того, CISA заявило о присутствии некоей злонамеренной хакерской активности в системах поддержки выборов в США. Однако возможности кибератак и причастность их к системе выборов в США специалисты агентства установить не смогли.

Специалисты «Лаборатории Касперского» сообщили о наборе вредоносных модулей MontysThree для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.

Специалисты «Лаборатории Касперского» также обнаружили целевую кампанию кибершпионажа с использованием UEFI буткита. На данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО.

Специалисты Malwarebytes Хуссейн Джази (Hossein Jazi) и Жером Сегура (Jérôme Segura) сообщили о новой вредоносной кампании, предположительно проводимой вьетнамской кибершпионской группировки APT32 (другие названия OceanLotus и SeaLotus). Отличительной чертой данной кампании является внедрение вредоносного кода в легитимную Службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения.

Как сообщает компания Microsoft, иранская кибершпионская группировка MuddyWater (она же MERCURY, SeedWorm и TEMP.Zagros) в течение последних двух недель активно эксплуатирует в своих атаках уязвимость ZeroLogon ( CVE-2020-1472 ).

Как сообщалось на прошлой неделе, жертвами киберпреступников стали порядка двадцати руководителей криптовалютных бирж из Израиля. В начале прошлого месяца злоумышленники взломали их телефоны, похитили все персональные данные и стали отправлять их контактам сообщения с просьбой перевести деньги. За кибератакой предположительно стоят хакеры, работающие на правительство.

Компания Group-IB выявила новую схему мошенничества с использованием сервиса Zoom. Мошенники предлагают компенсацию, для получения которой необходимо перейти по ссылке. Таким образом жертва попадает на мошеннический сайт, после чего в распоряжении преступников оказываются деньги и данные банковской карты. По словам специалистов, злоумышленники используют популярность сервиса Zoom в связи с переходом россиян на дистанционную работу. Аналитики установили, что письма были отправлены не с фейкового домена, а от официального сервиса.