Бесплатно Экспресс-аудит сайта:

22.05.2021

Обзор инцидентов безопасности за период с 15 по 21 мая 2021 года

Вымогательское ПО по-прежнему не сходит с первых полос СМИ. Вторая атака на систему здравоохранения Ирландии, выкуп в $40 млн и использование Windows API для перемещения по сети – только малая доля новостей о деятельности кибервымогателей. Об этих и других событиях в мире ИБ за период с 15 по 21 мая 2021 года читайте в нашем обзоре.

Спустя несколько дней после того, как вымогательское ПО зашифровало данные в сетях Национальной службы здравоохранения (HSE) Ирландии, факт кибератаки на свои системы также подтвердило Министерство здравоохранения. Специалисты центра кибербезопасности и полиции полагают , что атака на HSE была совершена группировкой хакеров Wizard Spider, которая, предположительно, базируется в Санкт-Петербурге.

Спустя неделю после атаки на HSE медицинские и персональные данные пациентов ирландских медучреждений были опубликованы в Сети. Информация включает внутренние файлы HSE, время приема пациентов, сведения о приобретении медоборудования и переписку с пациентами.

По данным сразу двух ИБ-компаний, FireEye и Intel 471, киберпреступная группировка DarkSide, стоящая за нашумевшей атакой на американского топливного гиганта Colonial Pipeline, заявила своим партнерам о прекращении деятельности. Как 14 мая сообщал SecurityLab, группировка лишилась доступа к своей инфраструктуре – ее серверы были отключены, а с хакерских форумов удалены все связанные с ней темы. На этой неделе стало известно , что власти США не имеют отношения к отключению инфраструктуры DarkSide.

Жертвой вымогательского ПО стал производитель стеклянной и металлической тары Ardagh Group. В результате кибератаки компании пришлось отключить некоторые системы и приложения. Как отметили в компании, хотя производство продолжалось на всех ее предприятиях, инцидент действительно привел к некоторым задержкам, что повлияло на ряд операций цепочки поставок. Кроме того, Ardagh Group пришлось внедрить альтернативные решения для обеспечения бесперебойной работы.

Отделение французской транснациональной страховой компании AXA в Азии подверглось атаке с использованием программы-вымогателя Avaddon. По словам операторов Avaddon, они украли 3 ТБ данных, включая удостоверения личности, копии паспортов, претензии клиентов, зарезервированные соглашения, сведения об отказах в возмещении средств, платежи клиентам, контракты и отчеты, идентификаторы клиентов и отсканированные документы банковских счетов, медицинские данные о различных заболеваниях.

Другой страховщик, американская компания CNA, заплатила вымогателям $40 млн за восстановление своих систем. CNA, в том числе предлагающая своим клиентам страхование киберрисков, заявила, что, как показало ее внутреннее расследование, киберпреступная группировка Phoenix, которой предположительно был уплачен выкуп, не попадает под действие санкций правительства США.

Во вторник, 18 мая, в работе компьютерных систем американского топливного гиганта Colonial Pipeline снова возникли неполадки. В частности, клиенты компании не могли получить доступ к системе для оформления заказов на поставки топлива через трубопровод, вносить в заявки изменения и отслеживать статус заказа в реальном времени. Как пояснили в Colonial Pipeline, причиной компьютерного сбоя стали действия, предпринимаемые компанией для восстановления от атаки вымогательского ПО ранее в этом месяце.

Команда специалистов MalwareHunterTeam сообщила о новой версии вымогательского ПО MountLocker, которая обзавелась червеобразной функцией. Программа-вымогатель MountLocker теперь способна использовать корпоративные API-интерфейсы Windows Active Directory для перемещения по сетям и шифрования других устройств.

Не обошлось на прошлой неделе и без сообщений о ботнетах. Хотя расследование нашумевшего взлома водоочистной станции в Олдсмаре все еще продолжается, а преступник так и не был пойман, исследователи безопасности выявили еще одно, никак не связанное с ним, проникновение в компьютерные сети этого предприятия. Эксперты связали обнаруженный в сетях образец вредоносного ПО с известным спам-ботнетом Tofsee. По их словам, за последние несколько месяцев вредонос заразил сети не одной водоочистной станции во Флориде.

Исследователи в области кибербезопасности из Morphisec Labs сообщили о текущей вредоносной кампании, операторы которой используют язык скриптов AutoHotkey (AHK) для распространения троянов для удаленного доступа (RAT), таких как Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm. По словам исследователей, с февраля 2021 года было обнаружено как минимум четыре различные версии кампании.