Бесплатно Экспресс-аудит сайта:

28.04.2022

Обзор инцидентов безопасности за период с 21 по 27 апреля 2022 года

Атаки на Коста-Рику, утечки данных T-Mobile и Coca-Cola, взломы банков Пакистана и Израиля и мистическое возвращение сайтов REvil – об этих и других событиях в мире ИБ за период с 21 по 27 апреля 2022 года читайте в нашем обзоре.

Принадлежащие кибервымогательской группировке REvil серверы в сети Tor возобновили работу после нескольких месяцев простоя и теперь переадресовывают посетителей на новую кибервымогательскую операцию, начавшуюся в середине декабря прошлого года. Кто стоит за операцией, неизвестно, однако в списке жертв на новом сайте утечек числятся прошлые жертвы REvil.

Партнер кибервымогательской группировки Hive атаковал серверы Microsoft Exchange, содержащие уязвимости ProxyShell, для установки различных бэкдоров, включая маячки Cobalt Strike. Злоумышленники проводят сетевую разведку, крадут учетные данные администратора, похищают ценную информацию и в конечном итоге устанавливают вымогательское ПО для шифрования файлов.

Программа-вымогатель Quantum, впервые обнаруженная в августе 2021 года, была использована в быстрых сетевых атаках. Злоумышленники использовали вредоносное ПО IcedID в качестве одного из своих первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с помощью Quantum. Атака длилась всего 3 часа 44 минуты с момента первоначального заражения до завершения шифрования устройств.

Один из крупнейший индийских нефтеперерабатывающих заводов Indian Oil стал жертвой атаки программы-вымогателя, которая привела к отключению компьютеров и IT-систем компании. Киберпреступники потребовали выкуп в размере около $7,5 млн.

На прошлой неделе кибервымогатели Conti атаковали целый ряд организаций в Коста-Рике, включая Министерство финансов и электроэнергетическую компанию. В ночь на 18 апреля киберпреступники атаковали серверы Министерства финансов и науки, инноваций, технологий и телекоммуникаций Коста-Рики. В руки хакеров попало более терабайта баз данных, переписок и внутренних документов.

В субботу, 23 апреля, Conti атаковали правительственное агентство JASEC, управляющее электроснабжением в городе Картаго с населением 160 тыс. человек. Злоумышленникам удалось зашифровать серверы, использующиеся для управления сайтом организации, электронной почтой, системой администрирования и пр. В результате атаки пользователи лишились возможности оплачивать счета за электричество и интернет.

Американский оператор связи T-Mobile подтвердил , что кибервымогательская группировка Lapsus$ «несколько недель назад» взломала его сеть, похитила учетные данные и получила доступ к внутренним системам, на которых хранились операционные программные инструменты. В результате взлома хакерам предположительно удалось заполучить проприетарный исходный код T-Mobile.

Крупнейший в мире производитель безалкогольных напитков Coca-Cola также подтвердил факт кибератаки на свои компьютерные сети. Компания начала расследование после того, как киберпреступная группировка Stormous заявила об успешном взломе некоторых из ее серверов и украла 161 ГБ данных. Злоумышленники опубликовали похищенные данные на своем сайте утечек данных и потребовали выкуп в размере 1,65 биткойна (примерно $64 тыс.). Украденные данные включают сжатые документы, текстовые файлы, электронную почту, пароли, ZIP-архивы учетных записей и платежей и другую конфиденциальную информацию.

Киберпреступники ограбили ведущий банк Пакистана United Bank Limited (UBL) через интернет-банкинг, воспользовавшись скомпрометированными данными ряда дебетовых карт для проведения мошеннических финансовых операций в долларах (вместо пакистанских рупий). Киберинцидент вынудил финансовую организацию приостановить услуги международных финансовых транзакций через дебетовые карты почти всех клиентов.

Группа иранских хакеров заявила о взломе Банка Израиля, однако Специалисты из израильского национального кибер-директората опровергают это заявление из-за отсутствия доказательств взлома системы электронных переводов и личных аккаунтов пользователей. В видео, которое группа Hackers of Savior загрузила в понедельник, видно, что злоумышленникам удалось удаленно подключиться к системе IP-адресов, принадлежащей правительству и связанной с Банком Израиля.

Иранская киберпреступная группировка Rocket Kitten активно использует уязвимость удаленного выполнения кода в VMware с целью получить первоначальный доступ к системам и установить бэкдор Core Impact. Критическая уязвимость CVE-2022-22954 получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает VMware Workspace ONE Access и Identity Manager. Хотя проблема была исправлена ​​поставщиком услуг виртуализации 6 апреля 2022 года, компания предупредила пользователей о подтвержденной эксплуатации уязвимости в реальных атаках.

Журналисты американского новостного сайта о Северной Корее NK News разоблачили атаки группы APT37 (она же Ricochet Chollima, Reaper, Group123 и ScarCruft) на журналистов КНДР с помощью новой вредоносной программы. NK News с помощью исследователей из Stairwell обнаружили новое вредоносное ПО GOLDBACKDOOR.

В пятницу, 22 апреля, операторы Emotet начали новую операцию по рассылке спама с вложенным ZIP-файлом, защищенным паролем. Однако из-за ошибки в установщике вредоносное ПО не выполнялось на атакуемых системах. Обнаружив проблему, операторы Emotet прекратили операцию в пятницу ночью. Тем не менее, они быстро исправили ошибку и уже в понедельник снова запустили рассылку спама.

API-интерфейсы Docker на Linux-серверах стали мишенью крупномасштабной кампании по добыче криптовалюты Monero со стороны операторов ботнета LemonDuck. Вредоносное ПО получает доступ к открытым API-интерфейсам Docker и загружает и запускает майнер криптовалюты XMRig.

Неизвестные злоумышленники взломали страницу в Instagram известной коллекции невзаимозаменяемых токенов (NFT) Bored Ape Yacht Club и опубликовали ссылку на фишинговый сайт, благодаря которому им удалось похитить у попавшихся на удочку пользователей NFT на сумму $3 млн.

Специалисты из канадской компании eSentire сообщили о новой волне фишинговых атак с использованием вредоносного ПО more_eggs. Киберпреступники атаковали корпоративных менеджеров по подбору персонала с помощью поддельных резюме.