Обзор инцидентов безопасности за период с 29 июня по 5 июля 2020 года

Вымогательство приобретает все большую популярность у киберпреступников, и ярким тому примером служат события прошлой недели. Кроме того, актуальными по-прежнему остаются проблемы утечек данных и кибератак на критическую инфраструктуру. Об этих и других инцидентах безопасности, имевших место с 29 июня по 5 июля нынешнего года, читайте в нашем обзоре.

Как сообщалось на прошлой неделе, жертвой нашумевшего вымогательского ПО Sodinokibi (REvil) стала бразильская электроэнергетическая компания Light S.A. По словам исследователей, атака выглядит очень «профессионально», а на странице, куда ведет представленная в требовании выкупа ссылка, даже присутствует чат для непосредственного общения с операторами вредоноса.

Операторы Sodinokibi отличились на прошлой неделе еще и тем, что выставили на продажу конфиденциальные данные, ранее похищенные у юридической фирмы Grubman Shire Meiselas & Sacks. На этот раз киберпреступники предлагают документы, принадлежащие поп-звездам Мэрайе Кэри и Ники Минаж, а также баскетболисту Леброну Джеймсу. Документы представлены в виде аукцион-лотов, и стартовая цена каждого составляет $600 тыс.

На прошлой неделе неизвестные киберпреступники стали распространять новое вымогательское ПО Avaddon с помощью давно забытой техники. Для непосредственной загрузки на атакуемую систему вредонос использует макросы Excel 4.0. Avaddon шифрует файлы на компьютерах жертв с помощью надежного шифрования, и восстановить их без криптографического ключа невозможно. Как минимум один вариант вымогателя требует выкуп в размере $900.

Помимо вымогательского ПО злоумышленники активно используют еще один способ вымогательства. По данным специалиста GDI Foundation Виктора Геверса (Victor Gevers), неизвестный киберпреступник получил несанкционированный доступ к 29 тыс. баз данных MongoDB, доступных через интернет без какого-либо пароля, и оставил в них записку с требованием выкупа. На выполнение требования жертвам дается два дня, после чего злоумышленник грозится опубликовать похищенные данные (тактика, явно позаимствованная у операторов Sodinokibi) и сообщить об утечке местному органу, ответственному за соблюдение «Общего регламента по защите данных» (GDPR).

Похожую кампанию развернула группировка, называющая себя Cl0ud SecuritY. Злоумышленники взламывают устаревшие сетевые хранилища (NAS) LenovoEMC (в прошлом Iomega), стирают все файлы и требуют $200-275 за их возвращение. По словам киберпреступников, они копируют хранящиеся в сетевых хранилищах данные перед их удалением и намерены опубликовать их в открытом доступе, если выкуп не будет уплачен в течение пяти дней.

На одном из хакерских форумов были выставлены на продажу похищенные базы данных пользователей 14 компаний, которые предположительно были взломаны в 2020 году. Похищенные БД содержат в общей сложности 132 957 579 пользовательских записей, которые могут быть использованы злоумышленниками для осуществления атак.

В Сети в открытом доступе также оказался массив внутренней документации ООО «Медицинско-правовая компания», работающей под брендом «ПризываНет.ру». Информация была размещена на странице в Pastebin, содержащей ссылки на 15 архивов общим объемом примерно 60 ГБ. Документация охватывает период с 2015-го по середину 2020 года и содержит бухгалтерскую информацию, персональные сведения клиентов, в том числе сканы медицинских документов и паспортов, адреса, телефоны, ссылки на страницы в соцсетях и профили в мессенджерах, скриншоты переписки во «ВКонтакте», а также сведения о банковских картах и кредитные договоры.

Специалисты из компании Malwarebytes обнаружили вредоносную кампанию, в рамках которой киберпреступники внедряли скиммеры в EXIF-метаданные фавикона (значка web-сайта) и тайно загружали его на страницы скомпрометированных интернет-магазинов. Некоторые факты указывают на то, что скиммер может быть связан с киберпреступной группировкой Magecart Group 9.

Не обошлось на прошлой неделе и без атак на критическую инфраструктуру. 2 июля один из ядерных объектов Ирана в городе Натанз подвергся кибератаке, повлекшей за собой пожар и взрыв. Ответственность за инцидент взяла на себя киберпреступная группировка «Гепарды родины» (Cheetahs of the Homeland), якобы состоящая из «бывших сотрудников иранских сил безопасности, решивших бороться против властей».