Обзор инцидентов безопасности за период с 3 по 9 июля 2021 года

Уходящая неделя оказалась весьма богатой событиями в мире ИБ – массовые атаки вымогательского ПО REvil, атаки APT-группировок, взлом Национального комитета Республиканской партии и атака на социальную сеть сторонников Дональда Трампа представляют собой только малую толику инцидентов безопасности уходящей недели. Об этих и других событиях за период с 3 по 9 июля 2021 года читайте в нашем обзоре.

Около двух сотен американских компаний пострадали в результате кибератаки на базирующуюся во Флориде IT-компанию Kaseya, предоставляющую услуги управления IT-инфраструктурой. Эксперты считают, что организатором атаки является вымогательская группировка REvil. По данным экспертов Kaseya стала жертвой программы-вымогателя, которая затем распространилась по корпоративным сетям компаний, использующим программное обеспечение Kaseya, в частности, инструмент Virtual System Administrator (VSA). Хакеры требуют от жертв выкуп в размере $45 тыс. в криптовалюте.

По данным специалистов нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure), атакующие проэксплуатировали ранее неизвестную уязвимость в сервере Kaseya VSA. По словам главы DIVD Виктора Геверса (Victor Gevers), Kaseya находилась в процессе исправления уязвимости ( CVE-2021-30116 ), когда подверглась атаке. Как оказалось, о данной уязвимости компании сообщили еще в апреле нынешнего года, но патч для нее не был подготовлен вовремя.

Исследователи в области кибербезопасности из компании Huntress Labs смогли успешно воспроизвести эксплоит, использованный в ходе атак на Kaseya и ее клиентов. Исследователям удалось воспроизвести атаку и продемонстрировать цепочку эксплоитов, предположительно использованную киберпреступниками. Эксплоит включает обход аутентификации, загрузку произвольных файлов и внедрение команд.

Одной из жертв атаки на Kaseya стала крупная сеть супермаркетов в Швеции Coop, которой пришлось закрыть порядка 800 магазинов по всей стране из-за одного из подрядчиков, пострадавшего в результате вымогательской атаки REvil на Kaseya.

Сложившейся вокруг атак на Kaseya и ее клиентов критической ситуацией вовсю пользуются кибермошенники. Злоумышленники рассылают потенциальным жертвам спам-письма с полезной нагрузкой Cobalt Strike, замаскированной под обновления безопасности для Kaseya VSA. Преступники рассылают потенциальным жертвам письма с вредоносным вложением и встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil. Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч от Microsoft, злоумышленники получают постоянный удаленный доступ к ее компьютеру.

Еще одним громким событием недели является потенциальный взлом Национального комитета Республиканской партии США. За атакой стоит известная киберпреступная группа APT 29, также известная как Cozy Bear, которая считается виновной во взломе систем Национального комитета Демократической партии США в 2016 году и атаке на SolarWinds.

Исследователи в области кибербезопасности обнаружили новую фишинговую кампанию, нацеленную на кандидатов на должности инженеров в США и Европе. По словам исследователей, вредоносная кампания организована APT-группировкой Lazarus и была активна в течение последних нескольких месяцев. Хакеры распространяли документы, замаскированные под письма от оборонных подрядчиков и инженерных компаний, таких как Airbus, General Motors (GM) и Rheinmetall. Все письма содержат вредоносные документы.

Другая APT-группировка, SideCopy, атакует госслужащих в Индии. SideCopy действует как минимум с 2018 года и разработала новые трояны для удаленного доступа, некоторые из которых используют плагины для добавления дополнительных функций.

В Польше произошла одна из крупнейших кибератак за последние несколько лет, в результате которой была взломана электронная почта около десятка членов парламента Польши. Инцидент коснулся представителей практически всех оппозиционных фракций парламента. Все пострадавшие были уведомлены о случившемся и прошли тренинг по кибербезопасности.

Неизвестные злоумышленники взломали недавно запущенную социальную сеть GETTR для сторонников Дональда Трампа, похитили персональную информацию около 90 тыс. пользователей и опубликовали ее на хакерском форуме. Хакеры обнаружили незащищенный интерфейс прикладного программирования (API), который позволил им похитить данные 87 973 пользователей GETTR, включая адреса электронной почты, псевдонимы, имена профилей, год рождения, описания профиля, URL-адрес аватара, фоновые изображения, местоположение, личный web-сайт и другие внутренние данные сайта.

Ошибка в программном обеспечении мадридского медицинского регулятора привела к утечке персональной информации тысяч жителей испанской столицы. Среди тех, чья личная информация оказалась раскрыта, значатся проживающие в регионе король Испании Филипп VI, председатель правительства Педро Санчес и другие политические деятели.

Жертвой кибератаки с использованием вымогательского ПО стала Санитарная комиссия пригородов Вашингтона (Washington Suburban Sanitary Commission, WSSC Water). Злоумышленникам удалось получить доступ к внутренним файлам WSSC Water, но никаких манипуляций с водопроводной водой зафиксировано не было.