Бесплатно Экспресс-аудит сайта:

15.04.2022

Обзор инцидентов безопасности за период с 7 по 13 апреля 2022 года

Попытка организовать третий в истории Украины блекаут с помощью вредоносного ПО Industroyer2, кибератака на Panasonic, новые хитроумные вредоносные программы, способные перехватывать телефонные звонки и похищать данные, – об этих и других событиях в мире ИБ за период с 7 по 13 апреля 2022 года читайте в нашем обзоре.

Команда реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA предотвратила попытку кибератаки на объект критической инфраструктуры. Целью атаки было выведение из строя высоковольтных электрических подстанций, компьютеров, серверов, сетевого оборудования и АСУ ТП украинской электроэнергетической компании. Злоумышленники намеревались вывести из строя электроподстанции с помощью вредоносного ПО Industroyer2. Вредоносные действия были запланированы на 8 апреля 2022 года.

ИБ-специалисты сообщили о кибератаках на сети семи индийских государственных диспетчерских центров нагрузки, которые выполняют операции в режиме реального времени для управления сетью и диспетчеризации электроэнергии. По словам экспертов, помимо атак на сетевые активы, вредоносная кампания затронула национальную группу реагирования на чрезвычайные ситуации и индийский филиал логистической компании. В ходе кибератак использовался троян под названием ShadowPad, который, предположительно, связан с подрядчиками, обслуживающими Министерство государственной безопасности Китая.

Украинские сайты были атакованы хакерами, предположительно связанными с Китаем. Как сообщил представитель западной разведки, целью киберпреступников был шпионаж. Хакеры атаковали ряд украинских правительственных и коммерческих организаций, в том числе организации, связанные с ядерной энергетикой. Некоторые западные чиновники полагают, что инцидент был намного крупнее и затронул системы в России, Беларуси и Польше.

За указанный период неоднократно о себе давали знать кибервымгогатели. Так, нашумевшая кибервымогательская группировка BlackCat (ALPHV) снова напомнила о себе, заявив об атаке на Флоридский международный университет (ФМУ). По словам хакеров, им удалось похитить 1,2 ТБ личных документов студентов, преподавателей и сотрудников, в том числе контракты, номера соцстрахования, электронные адреса и пр.

Об утечке данных в связи с кибератакой сообщил американский производитель автомобильных инструментов Snap-on. Обнаружив в своих сетях подозрительную активность в марте нынешнего года, Snap-on был вынужден отключить все свои системы. Хотя производитель не сообщил никаких подробностей о кибератаке, ответственность за нее взяла кибервымогательская группировка Conti, которая уже начала было публиковать на своем сайте утечек похищенные файлы, но затем вдруг убрала Snap-on из списка жертв.

Факт атаки кибервымогателей Conti на свои бизнес-операции в Канаде также подтвердила компания Panasonic. Как утверждают киберпреступники, они украли более 2,8 ГБ данных у Panasonic Canada, включая внутренние файлы, электронные таблицы и документы, принадлежащие отделу кадров и бухгалтерии Panasonic.

Исследователи безопасности предупредили о двух разных вредоносных программах для кражи информации, получивших названия FFDroider и Lightning Stealer. Инфостилеры обладают функциями для сбора конфиденциальной информации со взломанных компьютеров, включая кейлогинг, создание снимков экрана, а также хищение файлов, паролей и cookie-файлов из web-браузеров, которые затем передаются на удаленный домен, контролируемый злоумышленником.

Эксперты компании «Лаборатория Касперского» рассказали о банковском трояне под названием Fakecalls. Помимо обычных шпионских функций, у него есть интересная способность «разговаривать» с жертвой, имитируя общение с сотрудником банка. Fakecalls имитирует мобильные приложения популярных корейских банков, в том числе KB (Kookmin Bank) и KakaoBank. Помимо привычных логотипов создатели трояна выводят на экран Fakecalls номера службы поддержки соответствующих банков.

Специалисты компании ThreatFabric обнаружили новый вариант банковского вредоносного ПО для Android-устройств Octo, который является эволюционировавшим ExoCompact – вредоносом на базе трояна Exo, исчезнувшего с киберпреступной сцены в 2018 году. В отличие от ExoCompact вредоносное ПО Octo оснащено модулем удаленного доступа, позволяющим злоумышленникам удаленно управлять устройством жертвы и выполнять мошеннические действия.

Киберпреступники пытаются «завербовать» банковских сотрудников в рамках новых кибератак на африканский финансовый сектор. В течение последних трех недель злоумышленники рассылают действующим сотрудникам финорганизаций электронные письма и сообщения якобы с предложением работы от банка-конкурента. Однако на самом деле предложение является фиктивным, а сообщение содержит вредоносный «сюрприз».

Киберпреступная группировка AridViper (также известная как APT-C-23, Desert Falcon и Two-tailed Scorpion) организовала кампанию по кибершпионажу против высокопоставленных израильских чиновников. Текущая шпионская кампания под названием Operation Bearded Barbie нацелена на «тщательно отобранных» израильских граждан для взлома их компьютеров и мобильных устройств, слежки за их действиями и кражи конфиденциальных данных. Как полагают исследователи, AridViper предположительно связана с палестинским исламистским движением ХАМАС и работает на благо палестинских властей.

Издатели play-to-earn видеоигры на базе блокчейна WonderHero были вынуждены временно отключить все свои сервисы, поскольку стоимость ее токенов катастрофически снизилась после того, как неизвестный хакер отчеканил токены игры и смог вывести порядка $300 тыс. Представители WonderHero подтвердили факт кибератаки на свой кроссчейн-мост, позволяющий переводить криптовалюту на одном блокчейне в другой. Злоумышленнику удалось получить подпись и отчеканить 80 млн WND (криптовалюта игры). По данным CoinMarketCap, после кибератаки стоимость токена WonderHero (WND) снизилась примерно на 50%.

Блокчейн Juno на базе Cosmos приостановил работу из-за кибератаки на сеть. Разработчики Juno утверждают, что средства пользователей не пострадали. Как сообщается, сбой работы блокчейна произошел из-за уязвимого смарт-контракта, который был замаскирован под программу «Hello World». Неизвестный злоумышленник отправил строку из более чем 400 транзакций в смарт-контракт. Путем проб и ошибок за три дня хакер смог подобрать комбинацию транзакций, которая привела к сбою в сети.