Обзор инцидентов безопасности за период с 14 по 20 октября 2021 года

Нерассказанная история крупнейшего взлома в истории Twitch, две подряд атаки на Acer, очередное "увольнение" REvil, ограбление банка с помощью "дипвойса", мошенническая трансляция презентации MacBook Pro - об этих и других громких событиях в мире ИБ за неделю читайте в нашем обзоре.

Одним из самых громких событий за период с 14 по 20 октября 2021 года является очередной "уход" нашумевшей кибервымогательской группировки REvil. Партнер группировки опубликовал сообщение, согласно которому неизвестные захватили контроль над платежным порталом REvil в Tor и ее сайтом утечек.

Жертвой неизвестного вымогательского ПО стала одна из крупнейших в мире сетей отелей Meliá Hotels International. Инцидент затронул в основном операции в отелях Meliá в Испании. Злоумышленники вывели из строя части внутренней компьютерной сети и некоторых web-серверов, включая систему бронирования номеров и общественные web-сайты.

Медицинский центр Хиллель Яффе в Хадере (Израиль) подвергся атаке с использованием программы-вымогателя. В результате атаки сотрудникам больницы пришлось использовать альтернативные системы для лечения пациентов и вручную записывать сведения. Спустя неделю после инцидента медцентр все еще испытывает трудности с восстановлением своих систем, и все результаты осмотров пациентов по-прежнему записываются вручную.

О всплеске атак вымогателей на организации здравоохранения в Израиле предупредили Министерство здравоохранения и Киберуправление полиции. Согласно уведомлению, на прошлых выходных операторы вымогательского ПО попытались атаковать девять медучреждений в Израиле, но их попытки не увенчались успехом благодаря совместным усилиям на уровне государства и своевременным и решительным действиям IT-специалистов.

Жертвой кибератаки с использованием вымогательского ПО стала телекомпания Sinclair Broadcast Group, управляющая десятками телестанций по всей территории США. Как сообщается в официальном заявлении компании, некоторые ее серверы и рабочие станции были зашифрованы вымогательским ПО. Более того, злоумышленники похитили из компьютерной сети часть данных.

Дважды за неделю жертвой кибератак стал тайваньский компьютерный гигант Acer. Сначала хакеры взломали системы послепродажного обслуживания компании в Индии. Хотя Acer не предоставила подробностей касательно злоумышленников, ответственных за атаку, преступники сообщили на одном из хакерских форумов о похищении более 60 ГБ файлов и баз данных с серверов Acer. Спустя несколько дней злоумышленники атаковали серверы компании в Тайвани. По их словам, на этот раз они не требовали выкуп, а взломали системы с одной целью - продемонстрировать уязвимость серверов Acer.

Хорошая новость - ИБ-компания Trustwave выпустила бесплатную утилиту для восстановления данных, зашифрованных вымогательским ПО BlackByte, позволяющую жертвам вымогателя вернуть свои файлы без уплаты выкупа. Скачать утилиту можно с GitHub. Декриптор эксплуатирует уязвимость в процессе шифрования BlackByte. В состоящем из двух частей техническом анализе специалисты Trustwave сообщают, что процесс шифрования BlackByte начинается после загрузки поддельного графического файла forest.png на все компьютеры атакуемой организации.

Власти США опасаются нападений хакеров на системы водоснабжения. Об этом заявили сразу несколько федеральных ведомств, включая ФБР, Агентство по обеспечению инфраструктурной и кибербезопасности, Агентство по охране окружающей среды и Агентство национальной безопасности. В их совместном уведомлении, адресованном соответствующим ведомствам и службам, говорится об "осуществляемой со стороны как известных, так и неизвестных исполнителей злонамеренной киберактивности, нацеленной на информационно-технологические и операционные сети, системы и вспомогательные устройства сектора систем водоснабжения и утилизации сточных вод [WWS]".

Киберпреступная группировка, названная исследователями безопасности LightBasin, уже в течение пяти лет взламывает системы мобильной связи по всему миру. С 2019 года группировка атаковала более десятка телекоммуникационных компаний и сохраняла свое присутствие в их сетях с помощью кастомного вредоносного ПО. Целью хакеров являлся сбор информации абонентов и метаданных для разведслужб. LightBasin активна как минимум с 2016 года и атакует серверы в основном Linux и Solaris, однако при необходимости хакеры также могут взламывать Windows-системы.

Исследователи в области кибербезопасности из компании Proofpoint обнаружили вредоносную кампанию по рассылке электронных писем, нацеленную на пользователей в Германии и Австрии. ИБ-эксперты связали текущую кампанию с киберпреступной группировкой TA505, участники которой в прошлых атаках использовали банковский троян Dridex и такие инструменты, как FlawedAmmyy, FlawedGrace, ботнет Neutrino и вымогательское ПО Locky.

Операторы набора эксплоитов Magnitude добавили в него поддержку цепочки атак на браузер Chrome. Это событие является из ряда вон выходящим, поскольку в настоящее время активные наборы эксплоитов - большая редкость, да и то, они в основном нацелены на Internet Explorer. Эксплоиты предназначены для двух уязвимостей. Исправленная в апреле нынешнего года уязвимость в Chrome (CVE-2021-21224) позволяет обходить песочницу браузера, а исправленная в июне уязвимость повышения привилегий в Windows (CVE-2021-31956) позволяет атаковать операционную систему.

Злоумышленник взломал IT-сеть правительства Аргентины и украл данные удостоверений личности всего населения страны. Взлом был нацелен на национальный реестр лиц Registro Nacional de las Personas (RENAPER). Информация, доступная злоумышленникам, включает полные имена, домашние адреса, даты рождения, информацию о поле, дате выдачи и истечения срока действия ID-карты, трудовые идентификационные коды, номера Trámite, номера граждан и правительственные удостоверения личности с фотографией.

Специалисты ИБ-компании Sophos раскрыл и международную кибермошенническую схему, в ходе которой с помощью Tinder и поддельных iOS-приложений злоумышленники похитили у жертв $1,4 млн в биткойнах. Мошенническая схема, получившая название CryptoRom, впечатляет высоким уровнем профессионализма с точки зрения как программирования, так и психологии.

Неизвестный вывел из пулов ликвидности DeFi-проекта Indexed Finance активы на сумму около $16 млн. Как утверждают разработчики, целью атаки стали два индекса — DEFI5 и CC10. Злоумышленник воспользовался уязвимостью ребалансировки пулов.

Преступники ограбили банк в ОАЭ на сумму в $35 млн, подделав голос с помощью технологий искусственного интеллекта. Используя дипфейк-голос, злоумышленники обманули сотрудника банка, убедив его отправить им деньги. Сам сотрудник был уверен, что переводит средства в рамках легитимной бизнес-транзакции.

Издание Motherboard рассказало о крупнейшем взломе в истории Twitch, произошедшем в 2014 году, всего через несколько месяцев после покупки сервиса компанией Amazon почти за $1 млрд. Атака была настолько серьезной, что компания приняла решение признать скомпрометированными практически все серверы. Проще было постепенно мигрировать на новые серверы, чем разбираться со старыми. В итоге Twitch пришлось перестраивать большую часть инфраструктуры кода.

Исследователи Juniper Threat Labs отметили новую активность Python-ботнета FreakOut также известного как Necro и N3Cr0m0rPh, который нацелился на устройства для цифровой видеозаписи (видеомагнитофоны) Visual Tools DVR, используемые в профессиональных системах видеонаблюдения. Ботнет активно использует некоторые сервисы, в том числе эксплойт для Visual Tools DVR VX16 4.2.28.0. После эксплуатации уязвимости ботнет запускает в системе майнер Monero.

Неофициальная YouTube-трансляция презентации новых продуктов Apple в понедельник, 18 октября, привлекшая десятки тысяч пользователей, в результате оказалась криптовалютным мошенничеством.

YouTube-трансляцию, проходившую до официального ивента Apple, посмотрели 30 тыс. человек. Мошенническая схема очень простая. Пользователям сообщалось, что, если они переведут определенную сумму в биткойнах на указанный кошелек, в ответ "через AirDrop" им придет Ethereum. Конечно же, никакой криптовалюты Ethereum попавшиеся на удочку пользователи не получали.

Китайские исследователи безопасности завоевали в общей сложности $1,88 млн на главных в стране хакерских соревнованиях "Кубок Тяньфу" (Tianfu Cup), взломав самое популярное в мире ПО, в том числе Windows 10, iOS 15, Ubuntu, Chrome и пр.