Обзор инцидентов безопасности за период с 23 по 29 января 2021 года

Уходящая неделя оказалась очень беспокойной с точки зрения инцидентов безопасности. ИБ-эксперты продолжают «расхлебывать» последствия кибератаки на SolarWinds, киберпреступники продолжают атаковать любителей эротики и интернет-знакомств, а операторы вымогательского ПО находят новые, необычные способы заражения. Об этих и других инцидентах безопасности за период с 23 по 29 января 2021 года читайте в нашем обзоре.

Команда исследователей безопасности «Лаборатории Касперского» сообщила , что сотни промышленных организаций установили вредоносное ПО под названием Sunburst в результате атаки на цепочку поставок SolarWinds. Результаты расследования атаки на компанию SolarWinds показали, что около 18 тыс. пользователей могли получить троянизированные обновления для ПО Orion. Обновления содержали бэкдор Sunburst, который давал злоумышленникам доступ к системам жертв, позволяя развертывать другие полезные загрузки и похищать конфиденциальную информацию. О связанных с SolarWinds, в частности, сообщили четыре поставщика систем безопасности: Mimecast, Palo Alto Networks, Qualys и Fidelis.

О новых способах распространения вымогательского ПО рассказали специалисты из Sophos Rapid Response. В частности, операторы программы-вымогателя Nemty (также известной как Nefilim) используют учетные записи умерших сотрудников компаний для распространения программ-вымогателей. В одном из расследуемых специалистами случаев взломанная учетная запись администратора принадлежала бывшему сотруднику, скончавшемуся примерно за три месяца до кибератаки. Вместо того, чтобы отозвать доступ и закрыть «аккаунт-призрак», фирма решила оставить ее активной и открытой, «потому что были службы, для которых она использовалась».

Новые техники также осваивают фишеры. К примеру, специалисты FireEye Email Security зафиксировали волну фишинговых атак на пользователей в Европе, Северной и Южной Америке, в ходе которых злоумышленники используют обфускацию вредоносного кода с помощью шифра подстановки на базе WOFF и Telegram-каналы для связи.

Киберпреступники продолжают атаковать пользователей сайтов «для взрослых» и приложений для знакомств. Так, в продаже на киберпреступном форуме были обнаружены данные 2 млн платных подписчиков сайта «для взрослых» MyFreeCams. По утверждению продавца, база данных попала в его распоряжение недавно в результате успешной SQL-инъекции, и с ее помощью можно похищать деньги премиум-подписчиков.

Хакер(ы), известный(е) как ShinyHunters, бесплатно опубликовал (и) на общедоступном хакерском форуме данные более чем 2,28 млн пользователей, зарегистрированных на web-сайте знакомств MeetMindful. База данных содержит обширную информацию, которую пользователи предоставили при настройке профилей на сайте MeetMindful и мобильных приложениях, включая настоящие имена, адреса электронной почты, сведения о городе, штате и почтовом индексе, сведения о внешности, предпочтения при свиданиях, семейный статус, даты рождения, IP-адреса, хеши паролей учетных записей Bcrypt, ID пользователей Facebook и токены аутентификации Facebook.

На одном из киберпреступных форумов также был выставлен на продажу доступ к базе данных с телефонными номерами пользователей Facebook. Для большего удобства продавец также предлагает покупателям осуществлять поиск по этим номерам с помощью автоматизированного Telegram-бота. Данные были собраны через уязвимость в Facebook, исправленную в августе 2019 года. Хотя этой информации несколько лет, она по-прежнему представляет угрозу безопасности и конфиденциальности пользователей, поскольку номера телефонов меняются нечасто. По словам продавца, в его распоряжении есть данные 533 млн человек.

Киберпреступная группировка ShinyHunters, ранее связанная с продажей украденных баз данных компаний, опубликовала на хакерском форуме имена, адреса электронной почты, номера телефонов, записи транзакций в криптовалюте и банковские реквизиты около 325 тыс. пользователей криптовалютой биржи BuyUcoin.

Команда ИБ-специалистов Threat Analysis Group компании Google выявила текущую кампанию, нацеленную на исследователей безопасности, которые изучают уязвимости в ПО. По словам экспертов, кампания продолжается уже несколько месяцев, а за атаками стоит «поддерживаемая правительством организация, базирующаяся в Северной Корее». Преступники обычно используют социальную инженерию, чтобы вызвать доверие у жертв. Как сообщили в Microsoft, хакеры нацелены на специалистов по тестированию на проникновение, исследователей безопасности и сотрудников технических и охранных компаний. Другие исследователи отслеживают эту хакерскую группировку под названием Lazarus.

Помимо северокорейских, продолжали свою деятельность и ливанские кибершпионы. Киберпреступная группировка Lebanese Cedar, связанная с ливанской военизированной организацией Хезболла, взломала целый ряд операторов связи и интернет-провайдеров в США, Великобритании, Израиле, Египте, Саудовской Аравии, Ливане, Иордании, ОАЭ и Палестинской национальной администрации. Обнаруженная специалистами ИБ-компании Clearsky вредоносная операция стартовала в начале 2020 года и продолжалась почти год.

Неизвестные киберпреступники атаковали IT-системы ведущего производителя кранов и подъемных устройств Palfinger. Как сообщил производитель, в настоящее время невозможно оценить масштабы и последствия атаки.

Техногигант Intel стал жертвой кибератаки, в ходе которой злоумышленник похитил финансовую конфиденциальную информацию с ее корпоративного web-сайта. Американский производитель компьютерных чипов считает, что преступник получил доступ к подробной информации о прибылях и убытках компании, отчет о которых Intel должна была опубликовать после закрытия фондовой биржи. Обнаружив взлом, компания опубликовала финансовый отчет раньше запланированного срока.

Жертвой хакеров также стал американский оператор связи USCellular. Злоумышленники обманом заставили сотрудников розничных магазинов USCellular загрузить на компьютеры вредоносное ПО и получили доступ к системе управления взаимоотношениями с клиентами (CRM). При просмотре учетных записей клиентов USCellular в CRM-системе злоумышленники могли видеть их имена, адреса, PIN-коды, номера сотовых телефонов, тарифные планы и отчеты о биллинге и использовании. Номера соцстрахования и данные банковских карт не были видны киберпреступникам, уверил оператор.

Производитель аппаратных решений безопасности SonicWall опубликовал срочное уведомление о проникновении хакеров в его внутренние системы через уязвимость нулевого дня в его же VPN-продуктах. В своем уведомлении SonicWall, специализирующийся на производстве межсетевых экранов, VPN-шлюзов и решений сетевой безопасности корпоративного уровня, сообщил, что злоумышленники проэксплуатировали ранее неизвестную уязвимость в VPN-устройстве Secure Mobile Access (SMA) и VPN-клиенте NetExtender для осуществления «сложной» атаки на его внутренние системы.

Исследователь безопасности из компании ESET Лукас Стефанко (Lukas Stefanko) сообщил о новом вредоносном ПО для Android-устройств, автоматически распространяющемся через сообщения в WhatsApp. Главное предназначение вредоносного ПО заключается в том, чтобы заставить пользователей попасться на мошенничество с рекламным ПО или подпиской.