05.05.2021 | Обзор инцидентов с участием программ-вымогателей за период с 26 апреля по 3 мая 2021 года |
Минувшая неделя ознаменовалась рядом крупных кибератак с использованием вымогательского ПО. Обслуживающая Ливерпуль и его агломерацию Мерсисайд пригородно-городская скоростная рельсовая система Merseyrail стала жертвой кибератаки с использованием вымогательского ПО Lockbit. Операторы вымогателя использовали систему электронной почты для отправки сотрудникам и журналистам сообщений об атаке под названием Lockbit Ransomware Attack and Data Theft («Атака шифровальщика Lockbit и хищение данных»). Об этом сообщило издание Bleeping Computer. Муниципалитет города Уистлер в Британской Колумбии, Канада, подвергся кибератаке с использованием вымогательского ПО. В результате атаки была отключена сеть, web-сайт, электронная почта и телефонные системы муниципалитета. Операторы вымогательского ПО REvil по неизвестным причинам удалили похищенные схемы Apple со своего сайта утечек данных. Группировка взломала системы компании Quanta Computer (партнера Apple) и похитила чертежи будущих ноутбуков MacBook и других устройств. Хакеры потребовали выкуп от Quanta Computer в размере $50 млн до 27 апреля и угрожали опубликовать в открытом доступе более десятка схем и чертежей компонентов MacBook. Компании Quanta Computer и Apple отказались вести переговоры и группировка REvil удалила все упоминания о взломе и опубликованные схемы. Исследователь безопасности, использующий псевдоним dnwls0719, обнаружил новые версии программы-вымогателя Dharma, которые добавляют расширения .ALNBR и .cum к зашифрованным файлам. Специалисты из компании Coveware в своем ежеквартальном отчете отметили , что в первые три месяца 2021 года сумма выкупа, требуемого вымогательскими группировками, существенно возросла и теперь составляет в среднем $220 298, тогда как в три последних месяца 2020 года этот показатель находился на уровне $154 108. Одна из причин роста заключается в увеличении активности ряда вымогательских группировок, требующих миллионы долларов в биткойнах за ключ для восстановления зашифрованной информации. Исследователь безопасности, использующий псевдоним PCrisk, обнаружил новый вариант программы-вымогателя Phobos, который добавляет расширение .lookfornewitguy. Серверы Microsoft SharePoint теперь присоединились к списку сетевых устройств, которые вымогательские группировки используют для проникновения в корпоративные сети компаний и организаций. Группировка отслеживается экспертами под кодовыми названиями Hello или WickrMe (из-за использования зашифрованного мессенджера Wickr для ведения переговоров с жертвами). атаки Hello/WickrMe обычно связаны с использованием уязвимости ( CVE-2019-0604 ) в серверах совместной работы Microsoft SharePoint. Проблема позволяет злоумышленникам получить контроль над сервером SharePoint и загрузить web-оболочку для установки маяка Cobalt Strike. Маяк запускает автоматизированные PowerShell-скрипты, которые в конечном итоге загружают и устанавливают последнюю программу-вымогатель Hello. Вымогательская группировка REvil атаковала сеть судебной системы бразильского штата Риу-Гранди-ду-Сул, зашифровав файлы на компьютерах, что привело к приостановке работы судов. В сообщении в Twitter представители Tribunal de Justiça do Estado do Rio Grande do Sul (TJRS) уведомили об инциденте и порекомендовали «внутренним пользователям не использовать удаленный доступ к компьютеру и не авторизовываться на компьютерах в сети TJRS». Вымогатели потребовали $5 млн за восстановление данных. Преследующие финансовую выгоду киберпреступники эксплуатировали уязвимость в SonicWall SMA 100 Series VPN для развертывания в сетях североамериканских и европейских организаций вымогательского ПО FiveHands. Группировка UNC2447 использовала уязвимость CVE-2021-20016 до того, как она была исправлена производителем в феврале 2021 года. Эта же уязвимость эксплуатировалась в январе 2021 года для атаки на внутренние системы SonicWall. Клиентам QNAP еще раз настоятельно рекомендуется защитить свои устройства сетевого хранения данных (NAS) для защиты от атак операторов программы-вымогателя Agelocker, нацеленных на их данные. Представитель QNAP PSIRT сообщил , что на устройствах NAS, недавно взломанных программой-вымогателем AgeLocker, использовалась устаревшая прошивка. |
Проверить безопасность сайта