Обзор инцидентов безопасности за период с 21 по 27 октября 2021 года

Повторные атаки на Olympus и Gigabyte, взлом социальной сети Дональда Трампа, троллинг СМИ кибервымогателем Groove и горькие слезы вымогателей BlackMatter - об этих и других громких событиях в мире ИБ за период с 21 по 27 октября 2021 года читайте в нашем обзоре.

Один из лидирующих производителей системных плат, видеокарт и прочей компьютерной техники компания Gigabyte в очередной раз подверглась атаке с использованием вымогательского ПО. Это уже вторая атака на компанию за последние три месяца. На сей раз об атаке на Gigabyte заявили вымогатели AvosLocker, в качестве доказательства разместившие некоторые из украденных файлов на своем сайте утечек. Какой объем информации хакерам удалось похитить и какую сумму они требуют от компании, пока неизвестно.

Японский техногигант Olympus тоже второй раз за два месяца стал жертвой вымогательского ПО. На этот раз атака была осуществлена киберпреступной группировкой Evil Corp. Атака на Olympus с использованием нового варианта вредоносного ПО под названием Macaw началась 10 октября 2021 года. Вредонос зашифровал системы компании в США, Канаде и Южной Америке. Macaw является вариантом вымогательского ПО WastedLocker, а разработчиком обеих программ является киберпреступная группировка Evil Corp.

В то время, как после ухода REvil фаворитом на киберпреступной арене стали LokBit, купающиеся в лучах славы и раздающие интервью, нашумевшая группировка BlackMatter подверглась online-гонениям. Учетные данные для авторизации на портале, где группировка ведет переговоры с жертвами об уплате выкупа оказались в открытом доступе, в результате чего на преступников обрушилась волна яростных оскорблений. В итоге BlackMatter была вынуждена отключить свой портал.

Кроме того, после отключения ресурсов REvil спецслужбами США DarkSide/BlackMatter стала выводить биткойны со своих криптовалютных кошельков. Из кошельков было переведено примерно 107 биткойнов (около $6,8 млн). Средства были переведены на 7 кошельков (по 7-8 биткойнов), остальная часть (38 биткойнов) хранится в отдельном кошельке.

Пока оскорбленные BlackMatter дуются в углу, некто, выдающий себя за кибервымогательскую группировку Groove, призвал коллег "по цеху" прекратить конкурировать и сообща атаковать госсектор США, якобы в отместку за ликвидацию REvil. Позднее он заявил, что никакой Groove на самом деле не существует, а проект был задуман с целью троллинга западных СМИ, обожающих раздувать громкие истории с участием кибервымогателей.

Целый ряд кибервымогательских группировок стали эксплуатировать уязвимость нулевого дня в EntroLink VPN после публикации на хакерском форуме эксплоита в сентябре 2021 года. Уязвимость затрагивает устройства EntroLink PPX-AnyLink, популярные в южнокорейских компаниях и использующиеся в качестве шлюзов для аутентификации пользователей и VPN, которые обеспечивают сотрудникам удаленный доступ к сетям и внутренним ресурсам их компаний. Изначально эксплоит продавался на другом форуме за $50 тыс., но затем был опубликован бесплатно администратором нового киберпреступного форума в качестве промо-акции.

Операторы вымогательского ПО также взяли на вооружение уязвимость в различных версиях популярного биллингового решения BQE Software BillQuick. По сообщению специалистов компании Huntress Labs, эта уязвимость эксплуатировалась в вымогательской атаке на некую американскую инжиниринговую компанию, в частности, для получения начального доступа к системам жертвы. Хотя производитель уже устранил CVE-2021-42258 , еще восемь уязвимостей, обнаруженных в ходе расследования, все еще остаются неисправленными.

Помимо вымогательского ПО еще одним популярным методом кибервымогательства являются DDoS-атаки. Как минимум три провайдера электронной почты в разных уголках мира подверглись мощным DDoS-атакам. В частности, инцидент затронул поставщиков защищенных сервисов электронной почты Runbox (Норвегия), Posteo (Германия) и Fastmail (Австралия). Как сообщили представители Posteo в своем блоге, злоумышленники связались с ними и потребовали деньги за прекращение атаки.

Сбой в работе государственной системы, регулирующей продажу топлива населению по квотам, привел к перебоям в работе автозаправок по всей территории Ирана. По сообщениям иранских государственных телеканалов, на автозаправках в Тегеране выстроились очереди автомобилей, при этом сами заправки не работают. По данным иранского информационного агентства ИСНА, речь идет о кибератаке.

В понедельник, 25 октября, жители Южной Кореи столкнулись с массовым сбоем в работе крупнейшей в стране телекоммуникационной компании KT, в результате которого многие лишились возможности выполнять ежедневные задачи. Online-обучение прервалось, поставщики продуктов питания лишились доступа к заказам, а больницы - к данным пациентов. Продолжавшийся в течение часа сбой был вызван кибератакой, пишет The Korea Herald.

Работа крупнейшей в Великобритании сети продуктовых магазинов Tesco была парализована в течение двух дней из-за кибератаки. Покупатели не могли делать или менять заказы ни на web-сайте компании, ни в мобильном приложении. Согласно сообщению Tesco, инцидент затронул поисковый механизм, а злоумышленники пытались "вмешаться в работу систем".

Хакерская группировка Nobelium, которая считается организатором нашумевшей кибератаки на американского производителя ПО SolarWinds, продолжает атаковать организации, связанные с глобальными цепочками поставок IT. В период с 1 июля по 19 октября нынешнего года Microsoft зафиксировала более 22 тыс. атак Nobelium на 609 своих клиентов, однако большая часть нападений была неуспешной.

Соцсеть экс-президента США Дональда Трампа Truth Social подверглась хакерской атаке еще до запуска. Злоумышленники утверждают, что через несколько часов после объявления о создании Truth Social они смогли получить доступ к бета-версии платформы. Киберпреступники создали фейковые учетные записи от имени Трампа и его бывшего помощника Стива Бэннона. На фальшивой странице экс-президента США они разместили фотографию испражняющейся свиньи и нецензурные высказывания в адрес основателя Twitter Джека Дорси.

Децентрализованный протокол PancakeHunny подвергся атаке с помощью мгновенного кредита и потерял 388 BNB и 1,7 млн TUSD (примерно $1,9 млн). Взлом был осуществлен благодаря ошибке в системе инфляции. Она позволяла использовать небольшое количество токенов ALPACA для стейкинга и получения большого количества TUSD. Затем эти токены использовались для выпуска большого количества токенов HUNNY.

В четверг, 21 октября, неизвестный злоумышленник взломал сервер Discord NFT-проекта Creature Toadz и обманом заставил участников сообщества отправить ему деньги. В общей сложности хакеру удалось выманить у пострадавших более 88 ETH (свыше $340 тыс. по курсу на момент совершения преступления). Выдавая себя за модератора, злоумышленник поделился веб-ссылкой, по которой члены сообщества якобы могли чеканить Creature Toadz. Примечательно, что позднее хакер вернул все деньги. Некоторые считают, что у него изначально не было намерения поживиться за чужой счет, но специалисты уверены, что он просто испугался последствий после того, как его инкогнито было раскрыто.

Все больше и больше стримеров на Twitch жалуются на похищение денежных средств из своих кошельков. По словам пострадавших, хакеры получили доступ к их учетным записям и переадресовали платежи на подконтрольный им кошелек PayPal. Представители же Twitch только разводят руками - вернуть "успешно" прошедшие платежи они не в силах.