Обзор инцидентов безопасности за период с 9 по 15 декабря 2021 года

Волна кибератак на WordPress, появление первой кибервымогательской группировки, использующей язык программирования Rust, атаки вымогателей на Hellmann Worldwide Logistics, Kronos и Volvo, а также посеявшая панику уязвимость в Log4j – об этих и других инцидентах безопасности за период с 9 по 15 декабря 2021 года читайте в нашем обзоре.

Самым громким событием в мире ИБ за последнее время стало обнаружение уязвимости в популярной утилите журналирования Log4j ( CVE-2021-44228 ), позволяющей через интернет захватывать контроль над серверами и приложениями. Проблема, получившая название Log4Shell, усугубляется повсеместным использованием утилиты – она присутствует почти во всех основных корпоративных приложениях и серверах на базе Java.

По словам специалистов, хакеры уже эксплуатируют Log4Shell в атаках. Как сообщили специалисты Netlab 360, с помощью Log4Shell хакеры устанавливают на уязвимые устройства вредоносные программы Mirai и Muhstik. По данным Microsoft Threat Intelligence Center, уязвимость также использовалась для установки Cobalt Strike.

Хотя большинство атакованных через Log4Shell устройств работают под управлением Linux, специалисты Bitdefender также зафиксировали попытки хакеров использовать уязвимость для доставки вымогательского ПО Khonsari на Windows-системы и загрузки трояна для удаленного доступа (RAT) Orcus. В свою очередь, Mandiant и Crowdstrike сообщили о том, уязвимостью Log4Shell уже заинтересовались киберпреступники, работающие на правительство Китая.

Еще один громкий инцидент – утечка данных об исследованиях и разработках автопроизводителя Volvo. Компания признала факт утечки не сразу. Поначалу она описывала инцидент как «потенциальную кибератаку», хотя утекшие данные стали просачиваться online еще 30 ноября нынешнего года. На этой неделе Volvo признала , что атака действительно имела место и может быть намного опаснее, чем казалось поначалу.

Жертвой кибервымогателей стала одна из крупнейших в мире логистических компаний Hellmann Worldwide Logistics. В качестве меры предосторожности компания немедленно отключила все подключения к центральному центру обработки данных.

Крупной кибератаке с использованием вымогательского ПО подверглись web-сайты Министерства здравоохранения Бразилии. В результате инцидента миллионы граждан лишись доступа к данным о вакцинации от COVID-19. Атака началась в пятницу, 10 декабря, когда рухнули все сайты бразильского Минздрава, в том числе ConecteSUS, отслеживающий траекторию граждан в системе общественного здравоохранения. Помимо прочего, пользователи лишились доступа к своим цифровым сертификатам о вакцинации от COVID-19 через приложение ConecteSUS. Ответственность за инцидент взяла на себя группировка Lapsus$ Group. По словам хакеров, они похитили у Минздрава 50 ТБ данных и удалили их.

Жертвой вымогательского ПО также стал производитель решений для управления персоналом Kronos. Атака, вероятно, вывела из строя облачные продукты Kronos на многие недели. Инцидент затронул решения UKG, использующие Kronos Private Cloud.

Участники нашумевшей REvil, похоже, так и не покинули киберпреступную арену и сформировали новую группировку – ALPHV (BlackCat). ALPHV является первой кибервымогательской группировкой, использующей язык программирования Rust. Новое вредоносное ПО рекламируется на двух подпольных форумах и уже используется в реальных атаках. Функции вредоноса включают возможность шифрования данных на системах под управлением Windows, Linux и VMWare eSXI. Партнерам предлагается доход в размере от 80% до 90% окончательного выкупа.

Специалисты ИБ-компании Accenture Security рассказали о группе высокопрофессиональных хакеров, активизировавших свою деятельность в третьем квартале нынешнего года. Хакеры, преследующие финансовую выгоду и называющие себя Karakurt, попали в поле зрения исследователей в июне 2021 года, когда зарегистрировали два домена и завели страницу в Twitter. Основной деятельностью группировки является похищение данных и вымогательство, при этом ПО для шифрования файлов она не использует. По словам самих хакеров, с сентября по ноябрь 2021 года они взломали сети более 40 жертв и опубликовали похищенные файлы на своем сайте.

Специалисты компании Symantec сообщили о кампании кибершпионажа иранской APT-группировки MuddyWater, нацеленной на операторов связи, IT-компании и коммунальные предприятия на Ближнем Востоке и в других частях Азии. В рамках новой кампании, которую исследователи Symantec отслеживали в течение последних шести месяцев, злоумышленники атаковали многочисленные организации в Израиле, Иордании, Кувейте, Лаосе, Пакистане, Саудовской Аравии, Таиланде и Объединенных Арабских Эмиратах. В ходе атак использовались легитимные инструменты, тактика living-off-the-land и общедоступные образцы вредоносных программ.

Новый вариант вредоносного ПО Agent Tesla используется в ходе текущей фишинговой кампании. По словам специалистов из компании Fortinet, злоумышленники рассылают корейским пользователям электронные письма, якобы содержащие подробности «заказа». Письма содержат вредоносные документы Microsoft PowerPoint.

Аналитики компании Wordfence на этой неделе зафиксировали огромную волную атак на 1,6 млн сайтов под управлением WordPress. Атаки исходят с 16 тыс. IP-адресов. Злоумышленники атакуют четыре плагина WordPress и 15 тем Epsilon Framework, и для одной из них исправление безопасности еще не выпущено.

Фаворитом у злоумышленников стали устройства MikroTik, использующиеся для осуществления DDoS-атак, туннелирование трафика, в качестве C&C и пр. С увеличением числа пользователей, работающих из дома, появилось множество легко обнаруживаемых уязвимых устройств, которые могут предоставить преступникам доступ как к домашним устройствам сотрудников, так и к устройствам и ресурсам предприятия. Устройства MikroTik содержат уязвимости и часто поставляются со встроенными учетными данными администратора. Кроме того, функция автоматического обновления MikroTik редко включается, поэтому многие девайсы никогда не получают патчи. У них также невероятно сложный интерфейс настройки, из-за чего пользователи легко совершают ошибки. Все это приводит к ситуации, когда в интернете обнаруживаются тысячи уязвимых и EOL-устройств с истекшим сроком поддержки более десяти лет назад.

Операторы ботнета Dark (также известного как MANGA) эксплуатируют уязвимость удаленного выполнения кода в популярном домашнем маршрутизаторе TP-Link TL-WR840N EU V5 ( CVE-2021-41653 ). Компания TP-Link исправила проблему с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Исследователь в области безопасности Матек Камильо (Matek Kamillo), обнаруживший уязвимость, опубликовал PoC-код для эксплуатации RCE-уязвимости, в результате чего злоумышленники начали использовать ее в своих атаках. По словам экспертов из Fortinet, операторы Dark начали свои атаки всего через две недели после того, как TP-Link выпустила обновление прошивки.

Хакеры получили доступ к 148 кошелькам пользователей NFT-маркетплейса Vulcan Forged и вывели с них 4,5 млн токенов PYR (общей стоимостью более $103 млн). В сообщении маркетплейса сказано, что злоумышленники могли завладеть приватными ключами пользователей.

Торговая криптовалютная платформа AscendEX, ранее известная как BitMax, сообщила в Twitter, что 11 декабря подверглась кибератаке. По информации аналитической фирмы PeckShield, в результате кибератаки из горячих кошельков криптобиржи были похищены активы на $77 млн, из которых $60 миллионов на Ethereum, $9.2 миллиона на BSC и $8.5 миллиона на Polygon.