Обзор инцидентов безопасности за период с 13 по 19 апреля 2020 года

С точки зрения инцидентов безопасности прошлая неделя оказалась весьма разнообразной – целый ряд крупных утечек данных, кибератаки на промышленные предприятия, банки и медучреждения, крупнейшая мошенническая операция с использованием смарт-телевизоров и пр.

Начало недели ознаменовалось сообщением о взломе двух сайтов аэропорта Сан-Франциско. Инцидент имел место в прошлом месяце, и ответственность за него предположительно лежит на APT-группе Energetic Bear, также известной как DragonFly. Как сообщили специалисты ESET, целью киберпреступников было похищение учетных данных пользователей Windows.

Учетные данные почти 4 млн пользователей торговой площадки Quidd были опубликованы на хакерском форуме. Торговая online-площадка для продажи наклеек, карточек, игрушек и других предметов коллекционирования стала жертвой взлома, и теперь логины ее пользователей, адреса электронной почты и хеши паролей бесплатно распространяются на подпольных форумах.

На хакерском форуме RaidForums также были выставлены на продажу более миллиона записей, предположительно принадлежащих клиентам крупнейших банков Китая. Опубликованные данные включают имена, информацию о доходах, удостоверения личности, адреса и номера телефонов.

В настоящее время на подпольных форумах доступно порядка 500 тыс. взломанных учетных записей пользователей сервиса Zoom. Приобрести их может любой желающий по очень низкой цене, а то и вовсе бесплатно.

Стоит отметить, что в последнее время Zoom переживает нелегкие времена. Несмотря на стремительный рост популярности сервиса в условиях карантина, специалисты компании не покладая рук исправляют навалившиеся проблемы с безопасностью. Помимо утечки данных, на прошлой неделе разработчики Zoom столкнулись с необходимостью исправить две ранее неизвестные уязвимости в клиентах для Windows и macOS, выставленные на продажу на киберпреступных форумах.

Команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub. В ходе кампании, получившей название Sawfish, киберпреступники не только взламывают чужие учетные записи, но сразу же выгружают все содержимое их репозиториев.

Что касается мошенничества, то специалисты компании White Ops обнаружили , по их словам, крупнейшую в мире мошенническую рекламную операцию с использованием смарт-телевизоров ICEBUCKET. С помощью программных ботов злоумышленники заставляют рекламодателей думать, будто проплаченную ими рекламу, транслируемую по смарт-телевизору, просматривают реальные люди. Сумма причиненного рекламодателям ущерба пока не установлена. Однако, по словам исследователей, в пик операции с помощью ботов мошенники могли имитировать более 2 млн просмотров.

В связи с введением пропускного режима в Москве и Подмосковье активизировались мошенники, которые под видом соцработников предлагают «помощь» в получении пропусков и выманивают данные банковских карт.

На прошлой неделе также не обошлось без взломов. К примеру, производитель маршрутизаторов Linksys принудительно сбросил пароли для учетных записей всех пользователей сервиса Linksys Smart Wi-Fi после того, как киберпреступники взломали маршрутизаторы с целью распространения поддельного приложения от Всемирной организации здравоохранения, якобы предоставляющее актуальную информацию о COVID-19.

Жертвой кибератаки также стала датская компания DESMI, специализирующаяся на разработке и производстве насосов для судов и промышленности.

Операторы вымогательского ПО Ragnar Locker зашифровали компьютерные системы португальского транснационального энергетического гиганта Energias de Portugal (EDP) и потребовали выкуп в 1580 биткойнов (примерно $11 млн). Как утверждают злоумышленники, в результате атаки им удалось похитить более 10 ТБ конфиденциальных файлов компании. Вымогатели пригрозили опубликовать украденные данные и уведомить об этом всех клиентов и партнеров EDP, если выкуп не будет выплачен.

О взломе почтовых ящиков своих сотрудников также сообщил старейший в мире итальянский банк Monte dei Paschi di Siena.

В ходе новой вредоносной кампании злоумышленники атакуют испанские банки с помощью трояна Grandoreiro, представляющего собой вредоносное расширение для Chrome. До недавнего времени Grandoreiro атаковал исключительно пользователей в Бразилии, однако теперь его операторы решили расширить границы.

Команда специалистов Unit 42 компании Palo Alto Networks сообщила о новых кибератаках вымогателей, направленных на медицинские учреждения и организации во время пандемии коронавирусной инфекции. Как сообщили эксперты, одними из жертв вымогателей стала канадская правительственная организация здравоохранения и канадский медицинский исследовательский университет.

Операторы ботнетов также проявляли свою активность. По данным исследователей Palo Alto Networks, уже более недели операторы Hoaxcalls активно атакуют IP-телефоны Grandstream UCM6200 через исправленную уязвимость CVE-2020-5722, позволяющую осуществить SQL-инъекцию.