Обзор инцидентов безопасности за период с 6 по 12 января 2022 года

Хакеры похитили почти $7 млн у криптовалютной биржи LCX, киберпреступная группировка FIN7 отправляла компаниям в США посылки с вредоносными USB-устройствами, участились случаи взлома Windows через уязвимость десятилетней давности, а защитные решения SonicWall столкнулись с «ошибкой 2022». Об этих и других событиях за период с 6 по 12 января 2022 года читайте в нашем обзоре.

Хакеры взломали горячий кошелек зарегистрированной в Лихтенштейне криптовалютной биржи LCX. В ходе атаки были похищены токены стандарта ERC-20 почти на $7 млн. Платформа приостановила ввод и вывод средств на время проведения расследования. Взлом был впервые обнаружен компанией по обеспечению безопасности блокчейна PeckShield на основании подозрительной передачи токенов ERC-20 из LCX в неизвестный кошелек Ethereum (ETH).

Киберпреступная группировка FIN7 последние несколько месяцев отправляла вредоносные USB-устройства американским компаниям с целью заражения их компьютерных систем вымогательским ПО. Преступники отправляли два вида посылок. Одни были якобы отправлены от Министерства здравоохранения и социальных служб США и сопровождались письмами со ссылками на рекомендации на тему коронавирусной инфекции (COVID-19), приложенными к USB-накопителям. Другие посылки были замаскированы под бандероли от Amazon в декоративной подарочной коробке, содержащей поддельное благодарственное письмо, поддельную подарочную карту и USB-устройство. В обоих случаях пакеты содержали USB-устройства марки LilyGO.

Индийская киберпреступная группировка Patchwork (также известная как Dropping Elephant и Chinastrats) использовала новый вариант бэкдора BADNEWS в ходе одной из вредоносных кампаний. Однако хакеры случайно заразили вредоносным ПО один из собственных компьютеров, что позволило исследователям безопасности получить представление об их операциях.

«Группировка использует виртуальные машины и VPN для разработки, отправки обновлений и проверки систем своих жертв. Patchwork, как и некоторые другие восточноазиатские APT, не такие сложные, как их российские и северокорейские аналоги», – отметили эксперты.

Не обошлось и без атак вымогательского ПО. Власти округа Берналилло (США) отправили экстренное уведомление в федеральный суд, поскольку из-за атаки программы-вымогателя исправительное учреждение Metropolitan Detention Center (MDC) потеряло доступ к своим компьютерным системам. Кибератака затронула широкий спектр операций. Вход во многие окружные здания был временно запрещен, а службы были отключены до дальнейшего уведомления. Управляемое округом MDC не смогло получить доступ к камерам видеонаблюдения после кибератаки. Взлом систем ограничил время, которое заключенные могут проводить вне своих камер, а также ограничил доступ к телефонам и планшетам.

Специалисты Palo Alto Networks предупредили о массовых атаках с использованием web-скиммеров. Злоумышленники размещают на сайтах недвижимости вредоносный скрипт, ворующий данные, которые вводят посетители. В ходе атак используется облачный видеохостинг. Киберпреступники внедряют в видео вредоносный JavaScript-код, а когда видео импортируется на другие сайты, скиммер встраивается в эти сайты, заражая их.

Исследователи из Check Point Research сообщили о массовых атаках трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. Жертвами киберпреступников стали почти 2,2 тыс. компьютеров в 111 странах. Атака примечательна тем, что в ней используется уязвимость Windows, исправленная Microsoft еще в 2013 году. Уязвимость позволяет злоумышленникам применять легальное ПО с цифровой подписью Microsoft – добавлять к легитимной программе вредонос, который остается невидимым для защитных систем компьютера.

Операторы вымогательского ПО SFile, также известного как Escal, портировали свою программу Linux. Как на прошлой неделе сообщили специалисты китайской ИБ-компании Rising, атаки с использованием нового варианта SFile были обнаружены в прошлом году. То же самое сообщили их коллеги из MalwareHunterTeam. Первоначальный вариант вымогательского ПО SFile был предназначен только для Windows (атаки с его использованием впервые были зафиксированы в феврале 2020 года).

Защитные решения SonicWall столкнулись с «ошибкой 2022» – проблема Y2K22 вызывала обновления журнала сообщений и сбои в работе раздела «Спам» электронной почты. Пользователи электронной почты и системные администраторы не могли получить доступ к ящику со спамом или удалить недавно полученные электронные письма на уязвимых системах. Пользователи также не могли отслеживать входящие/исходящие электронные письма с помощью журналов сообщений, поскольку они перестали обновляться.

Американский производитель видеоигр Electronic Arts подтвердил , что хакеры воспользовались методами социальной инженерии, чтобы обманом заставить сотрудников техподдержки передать им чужие учетные записи FIFA. Учетные записи были похищены после того, как злоумышленники связались с техподдержкой EA через чат и, притворившись законными владельцами, заявили о смене привязанного электронного адреса. Хотя многие запросы мошенников были проигнорированы, они продолжали настаивать до тех пор, пока один сотрудник техподдержки не пренебрег формальными процедурами и не перепривязал электронные адреса без дополнительной проверки личности пользователей.