Бесплатно Экспресс-аудит сайта:

09.12.2021

Обзор инцидентов безопасности за период с 2 по 8 декабря 2021 года

Электроэнергетическая компания лишилась всех данных за 25 лет из-за кибератаки, хакеры протестовали против работы, рассылая спам на принтеры чеков, Иран накрыла волна фишинга, злоумышленники распространяют вредоносное ПО через поддельные загрузчики Viber и WeChat – об этих и других инцидентах безопасности читайте в нашем обзоре.

Блокчейн-стартап MonoX Finance стал жертвой кибератаки, в ходе которой хакер украл $31 млн. Киберпреступник воспользовался уязвимостью в программном обеспечении, которое платформа использует для составления сарт-контрактов.

Порядка $120 млн в биткойнах и эфире похитили хакеры у децентрализованной финансовой (DeFi) платформы Badger, позволяющей пользователям брать и давать взаймы и спекулировать на колебаниях цен на криптовалюту. Компания Badger подтвердила факт взлома в своем заявлении в Twitter и «заморозила» платформу на время проведения расследования. Первыми кражу обнаружили специалисты аналитической компании PeckShield. По их словам, хакерам удалось похитить более 2,1 тыс. биткойнов и 151 эфир из учетных записей пользователей Badger. Более 900 биткойнов (порядка $50,5 млн) было похищено у одного-единственного пользователя.

$150 млн в криптовалюте хакеры похитили у криптовалютной биржи BitMart. Основатель и генеральный директор биржи Шелдон Ся подтвердил инцидент и уточнил, что уязвимость была связана с горячими кошельками Ethereum (ETH) и Binance Smart Chain (BSC).

Однако под прицел злоумышленников попадают не только криптовалютные биржи и организации, но и отдельные лица, у которых есть биткойны, эфир и другие монеты или токены. Так, мошенники рассылают владельцам криптовалютных кошельков кастомные токены и заманивают на фишинговые сайты, созданные с единственной целью – похитить криптовалюту из этих самых кошельков. Одной из первых на проблему обратила внимание разработчица Solidity (языка программирования самовыполняющихся контрактов Ethereum) под псевдонимом Shegenerates. На прошлой неделе она сообщила в Twitter, что кто-то прислал ей токенов якобы на $30 тыс., но на самом деле все оказалось обманом.

Десятки тысяч иранцев стали жертвами мошеннической схемы, в ходе которой хакеры отправляли пользователям Android-устройств текстовые сообщения, выдавая себя за иранское правительство. В текстовых сообщениях мошенники побуждали жертв загружать приложения для Android, которые на самом деле крадут информацию о кредитных картах и ​​коды двухфакторной аутентификации, а зараженные устройства затем используются хакерами в качестве ботов для дальнейшей рассылки фишинговых SMS-сообщений.

Неизвестные злоумышленники отправляют на принтеры чеков в предприятиях по всему миру манифесты «против работы». Неизвестные призывают пользователей обсуждать зарплату и оказывать давление на работодателей. Отправленные на принтеры сообщения предлагают читателю зайти на подфорум Reddit r/Antiwork, на котором пользователи обсуждают рабочие права и призывают бороться с несправедливостью на рабочих местах. Некоторые пользователи Reddit предположили, что сообщения являются фальшивыми и напечатаны обычными людьми с доступом к принтеру чеков, или являются частью сговора с целью опорочить репутацию подфорума r/Antiwork.

ФБР и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредили об активной эксплуатации критической уязвимости ( CVE-2021-44077 ) в продукте Zoho ManageEngine ServiceDesk Plus. Преступники используют уязвимость для развертывания web-оболочек и выполнения вредоносных действий. Эксплуатация уязвимости является вторым этапом вредоносной кампании TiltedTemple, организованной предположительно связанной с КНР группировкой, которую Microsoft отслеживает как DEV-0322.

Кибервымогательская группировка BlackByte взламывает корпоративные сети через уязвимости ProxyShell в серверах Microsoft Exchange. Исследователи безопасности компании Red Canary проанализировали атаки BlackByte и обнаружили, что они осуществляются через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружают на атакуемый сервер бикон Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем используется для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливают инструмент для удаленного доступа к системе AnyDesk и осуществляют боковое перемещение по сети.

Порядка 330 супермаркетов SPAR на севере Англии столкнулись с серьезными операционными проблемами из-за кибератаки, произошедшей на прошлой неделе. В результате инцидента супермаркеты стали принимать только наличные, а некоторые и вовсе закрылись. Хотя инцидент имеет явные признаки атаки с использованием вымогательского ПО, заблокировавшего критические IT-системы, характер кибератаки пока официально не раскрывается.

ФБР сообщило , что в ноябре 2021 года вымогательское ПО Cuba скомпрометировало сети как минимум 49 организаций критической инфраструктуры в США, в том числе в финансовом и государственном секторе, а также в сфере здравоохранения, производства и IT. С начала своей вредоносной кампании на территории США группировка потребовала от своих жертв в общей сложности $74 млн и получила более $40 млн.

Электроэнергетическая компания штата Колорадо Delta-Montrose Electric Association (DMEA) болезненно восстанавливается после разрушительной кибератаки, в результате которой были уничтожены все ее данные за последние 25 лет. Из-за атаки, имевшей место в прошлом месяце, компании пришлось отключить 90% своих внутренних компьютерных систем.

Специалисты компании Cisco Talos сообщили о серии вредоносных кампаний с использованием мошеннической рекламы. Преступники использовали поддельные установщики популярных приложений и игр, таких как Viber, WeChat, NoxPlayer и Battlefield, в качестве приманки, чтобы обманом заставить пользователей загрузить бэкдор и вредоносное расширение для браузера Google Chrome. Вредоносы позволяют хакерам похищать учетные данные и получить постоянный удаленный доступ на скомпрометированных системах.

Киберпреступные APT-группировки из Китая, России и Индии, вооружились новым методом атак, получившую название RTF Template Injection («Внедрение шаблона RTF»). Новый подход позволил преступникам осуществлять более сложные атаки и лучше избегать обнаружения.

Американская фирма по кибербезопасности Mandiant, которая зафиксировала взлом SolarWinds в прошлом году, заверяет , что хакеры, якобы имеющие связь со спецслужбами из России, вероятнее всего вновь предпримут попытки хищения данных, которые «релевантны российским интересам». В Mandiant заметили, что не обладают стопроцентной уверенностью в достоверности подобных утверждений. Тем не менее, американские специалисты полагают, что как минимум за частью выявленной активности стоит сообщество хакеров, которое подозревают в работе на Службу внешней разведки России.

Правительство США также обвинило РФ в причастности к кибератакам на разработки вакцин от коронавируса.

«Только за последний год ряд государств, в том числе КНР, Россия, Иран и КНДР, посредством киберопераций нацеливались на деятельность и исследования, связанные с разработкой в США вакцин от COVID-19», - заявил Минючт США.

Американские дипломаты в Уганде стали объектом слежки при помощи программного инструмента, разработанного израильской фирмой NSO Group. Если факт шпионажа против сотрудников Госдепа США подтвердится, разработчика «отмычек» для iPhone ждут серьезные проблемы.