Бесплатно Экспресс-аудит сайта:

18.08.2020

Обзор инцидентов безопасности за период с 10 по 16 августа 2020 года

Новые кибершпионские группировки, предотвращение кибератаки на израильские оборонные предприятия, QR-код-мошенники, хакерские атаки на банки и энергетические компании – это описание не остросюжетного фильма, а вполне рядовой недели из жизни ИБ-специалистов. Об этих и других событиях прошедшей недели читайте в нашем обзоре.

Как стало известно в начале недели, неизвестный киберпреступник или киберпреступники захватили контроль над четвертой частью всех выходных узлов Tor с целью осуществления кибератак на владельцев криптовалютных кошельков. С января 2020 года злоумышленники добавляли в сеть Tor новые серверы, и к маю под их контролем находилось почти 25% от всех выходных узлов. Благодаря этому они могли осуществлять атаки «человек посередине», перехватывать трафик посетителей сайтов, связанных с криптовалютами, и подменять оригинальные биткойн-адреса собственными кошельками. В результате пересылаемая жертвами криптовалюта оказывалась в руках у злоумышленников.

На прошлой неделе в открытом доступе оказалась база данных пользователей сервиса online-бронирования трансферов «Киви-такси» (kiwitaxi.com). БД содержит более 330 тыс. записей с информацией о клиентах и сотрудниках службы, включая имена и фамилии, адреса электронной почты, номера телефонов, должность (для сотрудников сервиса и некоторых других записей), а также хеши паролей (SHA2-512 и SHA1) и соль для хеширования.

На одном из киберпреступных форумов также была выставлена на продажу база данных, содержащая более 7 млн строк с данными пользователей защищенного почтового сервиса VFEmail. Дамп датируется апрелем нынешнего года. БД включает 7 115 459 строк, содержащих логины, адреса электронной почты, хешированные пароли (MD5 и SHA-512) и IP-адреса.

28 тыс. записей с персонально идентифицируемой информацией было похищено у организации SANS Institute, занимающейся обучением специалистов по кибербезопасности. Утечка произошла после того, как один из сотрудников SANS Institute не распознал фишинговое письмо, что привело к взлому его почтового аккаунта. Скомпрометированные данные включают адреса электронной почты, информацию о должности, имена и фамилии, названия компаний, рабочие номера телефонов, адреса, а также сведения о сфере деятельности и стране проживания лиц, зарегистрированных для участия в саммите SANS Digital Forensics & Incident Response (DFIR) Summit.

Неизвестные киберпреступники похитили конфиденциальную информацию о перевозках депутатов немецкого Бундестага. Злоумышленники атаковали центр обработки данных компании BwFuhrparkService GmBH, которая на 75,1% принадлежит Вооруженным силам ФРГ и занимается перевозкой сотрудников парламента. Неизвестным удалось украсть конфиденциальные данные о том, откуда и куда компания перевозила депутатов, о времени и дате поездок, о промежуточных остановках. Проанализировав эту информацию, злоумышленники могут установить места жительства членов парламента.

Что касается других случаев кибершпионажа, то специалисты компании Group-IB рассказали на прошлой неделе о кибершпионской группе RedCurl. Группа активна с 2018 года, и с тех пор осуществила 26 кибератак исключительно на коммерческие организации. Ее жертвами становились строительные, финансовые и консалтинговые компании, банки, страховые, юридические и туристические фирмы в России, Украине, Великобритании, Германии, Канаде и Норвегии. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов, в частности контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др.

Специалисты «Лаборатории Касперского» также раскрыли подробности о недавних атаках китайской киберпреступной группировки CactusPete, также известной как Karma Panda и Tonto Team. Группировка 2013 года, а ее жертвами становятся военные и дипломатические организации, а также объекты инфраструктуры в Азии и Восточной Европе. В ходе новых атак, направленных на военные и финансовые организации в восточной Европе, CactusPete использовала новый вариант бэкдора Bisonal.

Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку, получившую название TinyScouts. Группировка использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

В среду, 12 августа Министерство обороны Израиля сообщило об успешном предотвращении кибератаки из-за рубежа на ведущие израильские оборонные предприятия. Сотрудники предприятий Израиля вдруг начали получать однотипные заманчивые предложения работы в соцсети LinkedIn. Злоумышленники создавали фиктивные профили в LinkedIn, выдавая себя за руководителей и специалистов по найму крупных международных компаний. Они вступали в переписку с израильтянами, работающими в оборонной промышленности, предлагая им высокооплачиваемую работу. В процессе переписки злоумышленники пытались заразить компьютеры жертв вредоносным ПО и проникнуть во внутренние сети предприятий.

Не обошлось на прошлой неделе без сообщений о вымогательском ПО. Операторы программы-вымогателя Avaddon запустили сайт для публикации утечек по примеру своих «коллег» из группировки Maze. В случае неуплаты жертвой выкупа за восстановление данных, зашифрованных вымогательским ПО Avaddon, злоумышленники будут выкладывать на своем сайте похищенные у нее файлы. На прошлой неделе на сайте была только одна публикация – 3,5 МБ данных, похищенных у конструкторского бюро.

В последнее время в России наблюдается рост случаев нового мошенничества с использованием QR-кодов. Работает схема очень просто – злоумышленники обманом заставляют жертву просканировать напечатанный на бумаге QR-код, после чего на ее телефон устанавливается вредоносное ПО.