Обзор инцидентов безопасности за период с 29 мая по 4 июня 2021 года

Атаки на Linux-серверы, банковские трояны, замаскированные под антивирусные приложения «Лаборатории Касперского», новое поколение кибервымогательских группировок, перебои с поставками мяса в США из-за кибератаки – об этих и других инцидентах безопасности за период с 29 мая по 4 июня 2021 года читайте в нашем обзоре.

На прошлой неделе атаки с использованием вымогательского ПО чаще всего попадали за заголовки новостей. Самой нашумевшей атакой атакой стала атака на крупнейшего в мире производителя мяса JBS, из-за которой в Австралии и США остановились некоторые процессы про производству мясных продуктов. По данным осведомленных источников, ответственность за инцидент лежит на киберпреступной группировке REvil (Sodinokibi), связываемой многими ИБ-экспертами с Россией.

От рук REvil на этой неделе также пострадал японский транснациональный конгломерат FujiFilm. Из-за атаки компании пришлось отключить часть своей IT-сети, в результате чего некоторые сервисы в ее представительствах по всему миру стали недоступны. Компания инициировала расследование и проводит оценку ущерба.

2 июня неизвестные операторы вымогательского ПО совершили кибератаку на системы американской службы Steamship Authority, являющейся законодательным регулирующим органом для всех паромных перевозок между материковым Массачусетсом и островами Мартас-Винъярд и Нантакет. В результате инцидента было нарушено паромное сообщение между материковой частью США и островами.

Американская сеть больниц UF Health Central Florida стала жертвой кибератаки с использованием вымогательского ПО, в результате которой двум больницам во Флориде пришлось отключить свои IT-сети и перейти на ручной режим работы.

Завершающаяся рабочая неделе также ознаменовалась возвращением нашумевшей кибервымогательской группировки Babuk с новым проектом для «молодых и перспективных» киберпреступников и появлением новых кибервымогательских группировок. Напомним , Babuk объявила о прекращении своей деятельности в конце апреля нынешнего года. Тем не менее, уже через две недели хакеры снова дали о себе знать, представив новый, «по-настоящему крутой» проект. Группировка анонсировала платформу Payload Bin, где молодые, но не имеющие собственного названия и сайта кибервымогатели смогут публиковать свои утечки.

Исследователи обнаружили две новые вымогательские группировки – Prometheus и Grief. Участники Prometheus атакуют предприятия из различных сфер по всему миру. На сегодняшний день Prometheus опубликовала данные 27 жертв, и это, похоже, только начало их «карьеры». Список жертв вымогателей включает газовую компанию Ghana National Gas, Центр передового опыта в области сердечно-сосудистой системы Талсы (Оклахома, США), отель Nyack (Нью-Йорк, США), а также предприятия во Франции, Норвегии, Швейцарии, Нидерландах, Бразилии, Малайзии и ОАЭ. Grief – менее известная кибервымогательская группировка. Как утверждают преступники, они похитили данные 5 организаций.

Операторы нового вымогательского ПО под названием Red Epsilon используют для взлома компьютерных систем уязвимости в серверах Microsoft Exchange. Epsilon Red написан на языке Golang (Go) и содержит набор уникальных PowerShell-скриптов, которые подготавливают устройство для процедуры шифрования файлов. Скрипты способны отключать процессы и службы защитных решений, баз данных, программ резервного копирования, приложений Office и почтовых клиентов, удалять Volume Shadow Copies, похищать файл Security Account Manager (SAM) с хешами паролей, удалять логи событий Windows, отключать Защитника Windows, повышать привилегии на системе и пр.

Не обошлось также без новых сообщений о кибершпионских операциях. Предположительно работающие на китайское правительство хакеры взломали компьютерную систему американской транспортной компании Metropolitan Transportation Authority (MTA), осуществляющей перевозки в 12 округах на юго-западе штата Нью-Йорк и в двух округах на юго-западе Коннектикута. Злоумышленники не преследовали финансовую выгоду, не использовали вымогательское ПО и не требовали выкуп. Атака на компанию была осуществлена в рамках широкомасштабной кибероперации, проводимой хакерами, предположительно работающими на китайское правительство.

Агентство национальной безопасности США использовало свои связи со спецслужбами Дании для слежки за высокопоставленными лицами во Франции, Швеции, Норвегии и Германии. Внутреннее расследование датской разведки, в 2012-2014 годах через датские информационные кабели АНБ США следило за политической «верхушкой» вышеупомянутых государств, в том числе за тогдашним канцлером Германии Ангелой Меркель, Франком-Вальтером Штайнмайером, который в то время занимал пост министра иностранных дел Германии, а ныне является федеральным президентом ФРГ, и экс-министром финансов Пеером Штайнбрюком.

Исследователи обнаружили новое вредоносное ПО под названием SkinnyBoy, которое использовалось в целенаправленных фишинговых атаках. Вредоносную кампанию связывают с русскоязычной хакерской группировкой APT28 (также известной как Fancy Bear, Sednit, Sofacy, Strontium или PwnStorm). Преступники использовали SkinnyBoy для осуществления атак на военные и правительственные учреждения в начале нынешнего года. SkinnyBoy разработан для промежуточного этапа атаки, сбора информации о жертве и получения полезной нагрузки с C&C-сервера.

Управление здравоохранения Швеции (Folkhälsomyndigheten) отключило свою базу данных инфекционных заболеваний SmiNet после ряда попыток взлома. SmiNet, использующаяся также для хранения электронных отчетов и статистики по заболеваемости COVID-19, была отключена на период расследования попыток кибератак. В связи с этим Швеция в течение нескольких дней не получала статистику заболеваемости коронавирусом.

Злоумышленники активно эксплуатируют уязвимость нулевого дня ( CVE-2021-24370 ) в популярном плагине WordPress под названием Fancy Product Designer. С помощью данной уязвимости злоумышленник может добиться удаленного выполнения кода на зараженном web-сайте и полностью перехватить контроль над ним.

Профессиональная киберпреступная группировка атакует Linux-серверы, устанавливая на них руткиты и бэкдоры через уязвимость в web-хостинговом ПО Control Web Panel (старое название CentOS Web Panel). Как минимум с февраля нынешнего года киберпреступная группировка сканирует интернет в поисках установок CWP, с помощью эксплоита для старой уязвимости получает доступ к панели администрирования и устанавливает бэкдор Facefish. Его главным предназначением является сбор информации об устройстве, выполнение произвольных команд и похищение учетных данных SSH с инфицированного хоста.

Злоумышленники распространяют вредоносное ПО под видом популярных Android-приложений от известных компаний. Поддельный плеер VLC, антивирус Касперского, а также поддельные приложения FedEx и DHL устанавливают на устройствах жертв банковские трояны Teabot или Flubot, впервые обнаруженные ранее в этом году. Поддельные приложения не представлены в Google Play Store и распространяются только через сторонние магазины.