Бесплатно Экспресс-аудит сайта:

19.06.2021

Обзор инцидентов безопасности за период с 12 по 18 июня 2021 года

Уже традиционно в конце недели SecurityLab публикует обзор самых важных и интересных событий в мире инфосека, произошедших за последние семь дней. Новые атаки вымогательской группировки REvil, уход из бизнеса операторов шифровальщика Avaddon, уязвимости нулевого дня в Google Chrome и Apple iOS – об этом и не только читайте в нашем новом выпуске.

Вымогательские группировки продолжают быть объектом пристального внимания как со стороны общественности, так и правоохранительных органов. В связи с давлением некоторые группировки прекращают деятельность, как, например, операторы программы-вымогателя ПО Avaddon, известного по атакам на французскую страховую компанию AXA и государственные лотерейные сайты Мексики. Группировка не только вышла из бизнеса , но и передала специалистам более 2 тыс. ключей дешифрования.

Еще одной интересной новостью недели стала публикация исходного кода вымогательской программы Paradise на хакерском форуме XSS. Активность Paradise впервые была зафиксирована в сентябре 2017 года. Операторы распространяли вымогатель с помощью фишинговых писем, содержащих вредоносные вложения IQY. Со временем было выпущено несколько версий вымогателя, причем первые версии содержали уязвимости, позволившие создать дешифратор Paradise. Однако в новых версиях метод шифрования был изменен на RSA, что препятствовало бесплатному расшифровке файлов.

Команда исследователей в области кибербезопасности SecureWorks Counter Threat Unit (CTU) рассказала об «отличительных» тактиках, приемах и процедурах (TTP), используемых операторами вымогателя Hades. Злоумышленников связывают с финансово-мотивированной киберпеступной группировкой под названием Gold Winter.

По состоянию на конец марта 2021 года операторы Hades атаковали как минимум трех неназванных жертв, включая транспортно-логистическую службу США, американскую организацию по производству потребительских товаров и глобальную производственную организацию. Также была атакована логистическая компания Forward Air. В результате кибератаки с использованием вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн.

Хотя вымогательская группировка DarkSide, известная своей атакой на крупнейшего в США оператора газопровода Colonial Pipeline, прекратила деятельность, ее партнеры осваивают новые виды атак. К примеру, одна из киберпреступных группировок, ранее сотрудничавших с DarkSide, взломала web-сайт поставщика камер видеонаблюдения и внедрила вредоносное ПО в приложение для Windows, которое клиенты компании использовали для настройки и управления своими каналами безопасности. Вредоносное ПО было спрятано внутри настроенной версии приложения Dahua SmartPSS для Windows. После скачивания и установки вредоносное приложение заражало системы компании версией бэкдора SMOKEDHAM.

Группировка REvil продолжает совершать кибератаки, невзирая на ажиотаж. В частности, от ее действий пострадали две американские компании - Sol Oriens , консультирующая Национальное управление по ядерной безопасности Министерства энергетики США, и Invenergy (специализируется на разработке разработке и эксплуатации возобновляемых источников энергии). В первом случае в руки хакеров попали конфиденциальные документы, включая описания проектов исследований и разработок, управляемых оборонными и энергетическими подрядчиками, а во втором группировка похитила 4 ТБ данных, в том числе информацию о контрактах и ​​проектах, а также «очень личные и пикантные» сведения о генеральном директоре Invenergy Майкле Польски (Michael Polsky).

Украинские правоохранители совместно с коллегами из США и Южной Кореи провели операцию, в результате которой были арестованы шесть человек, причастных к вымогательской операции CLOP. В числе жертв хакеров указываются медицинские школы университета Стэнфорда, университета Мэриленда и университета Калифорнии, а также четыре южнокорейских компании. Ущерб от действий преступников оценивается в $500 млн.

На этой неделе техногиганты Apple и Google выпустили обновления для своих продуктов iOS и Chrome. В случае с iOS Apple исправила две уязвимости нулевого дня в браузерном движке WebKit, позволявшие удаленно выполнить код. Обновление Google исправляет уязвимость нулевого дня в WebGL (Web Graphics Library) JavaScript API. Ни Apple, ни Google не предоставили подробную информацию об уязвимостях и не уточнили, когда и в каких атаках они использовались.

Команда Microsoft Security Intelligence предупредила об огромном количестве вредоносных PDF-файлов, распространяемых в интернете разработчиками бэкдора SolarMarker (Jupyter).

Злоумышленники используют известную старую технику «отравления SEO» (SEO poisoning) для наполнения PDF-файлов ключевыми словами и ссылками, перенаправляющими жертв на вредоносное ПО для кражи паролей и учетных данных. Первоначально в качестве хостинга использовался ресурс Google Sites, однако потом злоумышленники перешли на платформы Amazon Web Services (AWS) и Strikingly.

В течение последней недели цифровые художники и создатели невзаимозаменяемых токенов (NFT) оказались в центре вредоносной кампании, в ходе которой злоумышленники пытаются похитить заработанные ими средства.

Используя ряд подставных личностей, злоумышленники выдают себя за создателей NFT, предлагают бизнес-партнерство и обманом заставляют жертв загрузить на свои компьютеры и запустить вредоносный файл (.SCR), устанавливающий на компьютеры жертв инфостилер Redline.

Компания Alibaba Group Holding стала жертвой вредоносной кампании по web-скрепингу (web scraping), в рамках которой преступник собрал около 1,1 млрд пользовательских записей. Злоумышленником оказался консультант, помогавший продавцам в online-центре Taobao от Alibaba.

Преступник использовал вредоносное программное обеспечение для хищения данных на протяжении восьми месяцев с 2019 года. Украденные данные включали идентификаторы пользователей, номера мобильных телефонов и комментарии клиентов.

Суд оштрафовал французское подразделение компании IKEA на миллион евро за незаконный сбор личных данных сотрудников. Бывший глава подразделения Жан-Луи Байо приговорен к двум годам заключения условно и оштрафован на 50 тыс. евро. Жертвами незаконного сбора данных стали около 400 сотрудников магазинов IKEA во Франции в 2009-2012 годах.