Обзор инцидентов безопасности за период с 20 по 26 января 2022 года

Чемпионат по Minecraft лишил интернета целую страну, хакеры таинственным образом взломали популярные YouTube-каналы о криптовалюте, «исследователь» вернул более миллиона долларов в криптовалюте, похищенные у платформы Multichain – об этих и других событиях в мире ИБ за период с 20 по 26 января 2022 года читайте в нашем обзоре.

Министерство иностранных дел и международной торговли Канады на прошлой неделе стало жертвой кибератаки. 19 января ведомство обнаружило признаки кибератаки и начало принимать меры. Никаких свидетельств того, что другие правительственные организации также пострадали от рук хакеров, обнаружено не было. Что стало причиной кибератаки и кто за ней стоит, пока не установлено, ведется следствие.

Центральный банк Республики Индонезия Bank Indonesia подтвердил, что его компьютерные сети подверглись атаке вымогательского ПО. В результате кибератаки злоумышленники похитили «некритические данные», принадлежащие сотрудникам Bank Indonesia, после чего развернули полезную нагрузку программы-вымогателя на более чем десятке систем в сети банка. Хотя руководство банка не связывает атаку с конкретной вымогательской группировкой, ответственность за инцидент взяли на себя операторы Conti. Как утверждают вымогатели, они похитили 13,88 ГБ документов и пригрозили опубликовать сведения, если банк не заплатит выкуп.

Криптовалютная биржа Crypto.com признала , что потеряла более $30 млн в биткойнах и эфире после взлома, который произошел 17 января. Напомним , ранее администрация Crypto.com приостановила вывод средств со своей платформы в ответ на несколько «краж», о которых сообщили клиенты. Создатель криптовалюты Dogecoin (DOGE) Билли Маркус (Billy Markus) зафиксировал ряд подозрительных транзакций с помощью сервиса Etherscan, и его сообщение побудило компанию остановить все транзакции на время проведения расследования.

Хакер, похитивший более $1 млн у пользователей криптовалютной платформы Multichain и пообещавший их вернуть, сдержал свое слово. Хакер, называющий себя исследователем безопасности, опубликовал сообщение в блокчейне Ethereum, попросив жертв прислать ему свои данные для возврата средств. Правда, исследователь вернул только 80% от похищенной суммы, оставив 20% себе в качестве вознаграждения.

В ходе турнира по Minecraft под названием SquidCraft Games неизвестные обрушили серверы единственного интернет-провайдера Андорры с помощью DDoS-атаки. Провайдер не выдержал нагрузки, и все жители европейской страны остались без доступа к интернету. Интернет в Андорре не работал около получаса. Проблему удалось устранить лишь только после дисквалификации стримеров из Team Andorra. Команда NetBlocks, отслеживающая различные сетевые сбои, предположила, что атаки были направлены именно против Team Andorra, чтобы лишить их шансов выиграть главный приз.

В воскресенье, 23 января, хакеры атаковали целый ряд популярных YouTube-каналов, освещающих мир криптовалют, и опубликовали на них мошеннические видео, призывающие зрителей отправлять деньги на их кошелек. В частности, от атак пострадали каналы BitBoy Crypto, Altcoin Buzz, Box Mining, Floyd Mayweather, Ivan on Tech, The Moon и пр. На указанный в видео кошелек Binance Smart Chain было сделано всего девять переводов на общую сумму $850.

Гуманитарная организация «Международный комитет Красного Креста» сообщила о том, что стала жертвой кибератаки, и обратилась к хакерам, взломавшим IT-сеть одного из ее подрядчиков, не публиковать персональную информацию боле 515 тыс. «чрезвычайно уязвимых людей». В результате кибератаки были похищены данные участников программы «Красного Креста» под названием «Восстановление семейных связей», целью которой является воссоединение членов семьи, разделенных из-за вооруженных конфликтов, природных катастроф или миграции.

Злоумышленники, предположительно связанные индийской ИБ-компанией, организовали кибератаки на военные организации, базирующиеся в Южной Азии, включая Бангладеш, Непал и Шри-Ланку. Преступники устанавливают на компьютерные системы жертв различные варианты вредоносного ПО по крайней мере с сентября 2020 года. Специалисты связали данные атаки с хакерской группировкой, известной как DoNot Team.

Киберпреступники активно эксплуатируют уязвимость удаленного выполнения кода, затрагивающую шлюзы SonicWall Secure Mobile Access (SMA). Проблема представляет собой уязвимость переполнения буфера в стеке без проверки подлинности ( CVE-2021-20038 ) и затрагивает устройства серии SMA 100 (включая SMA 200, 210, 400, 410 и 500v), даже когда включен межсетевой экран web-приложений. Успешная эксплуатация может позволить удаленным неавторизованным злоумышленникам выполнить код от имени пользователя «никто» на скомпрометированных устройствах SonicWall. В настоящее время злоумышленники пытаются использовать уязвимость в реальных атаках. Хакеры пытаются проникнуть внутрь сетей, вводя пароли по умолчанию для известных устройств SonicWall.

Специалисты компании Microsoft сообщили подробности о новой уязвимости в программном обеспечении SolarWinds Serv-U. Проблема эксплуатируется злоумышленниками для проведения атак с использованием уязвимости в платформе логирования Apache Log4j на базе Java. Уязвимость ( CVE-2021-35247 ) представляет собой уязвимость проверки вводимых данных, которая позволяет создать запрос с учетом некоторых вводимых данных и отправить этот запрос по сети без очистки. Уязвимость затрагивает версии Serv-U 15.2.5 и старше и была устранена в версии Serv-U 15.3. Остается неизвестным, были ли атаки, обнаруженные Microsoft, простыми попытками использовать уязвимость или они в конечном итоге увенчались успехом.