Обзор инцидентов безопасности за период с 24 по 30 апреля 2021 года

Обзор инцидентов безопасности за период с 24 по 30 апреля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

Прошедшая неделя выдалась весьма насыщенной событиями для операторов вымогательского ПО Babuk – атака на крупную европейскую сеть магазинов мобильной электроники, шантаж полиции Вашингтона и, наконец, заявление о прекращении деятельности. Об этих и других событиях в мире ИБ за период с 24 по 30 апреля 2021 года.

Начало недели ознаменовалось сообщением об атаке на сеть магазинов мобильных телефонов Phone House в Испании с использованием вымогательского ПО Babuk. Хотя инцидент произошел еще 11 апреля, ранее широкой общественности о нем не сообщалось. По словам злоумышленников, они опубликовали в даркнете данные 13 млн клиентов Phone House.

Далее операторы Babuk «отличились» взломом сервера Управления полиции столичного округа Колумбия (США). В случае неуплаты выкупа они пригрозили обнародовать данные уголовных расследований. Как сообщила группировка, в общей сложности ей удалось похитить более 250 ГБ данных. На уплату выкупа хакеры отвели полиции три дня, и если деньги не будут переведены в срок, они пообещали связаться с местными ОПГ и раскрыть им личности полицейских информаторов.

Вдоволь наигравшись, операторы Babuk вдруг заявили о прекращении своей деятельности. В четверг, 29 апреля, на своем сайте утечек в даркнете они опубликовали короткое сообщение о намерении покинуть бизнес, поскольку уже достигли поставленной цели. В первоначальной версии сообщения вымогатели поясняли, что их конечной целью была атака на полицию Вашингтона, и теперь, когда цель была достигнута, они сворачивают свои операции и выкладывают исходный код вымогательского ПО. Во второй версии сообщения упоминания полиции больше нет.

Babuk – не единственное вымогательское ПО, появлявшееся в заголовках СМИ в течение недели. К примеру, после провала переговоров о выплате выкупа операторы вымогательского ПО DopplePaymer обнародовали большой объем документов, принадлежащих Офису Генерального прокурора штата Иллинойс. Опубликованные файлы включают судебные документы по делам, инициированным генпрокуратурой, конфиденциальные документы, не указанные в публичных записях, а также персонально идентифицируемые данные о заключенных и их делах.

Одна из крупнейших строительных компаний Японии Kajima Construction Corporation предположительно стала жертвой вымогательской группировки REvil. Согласно сообщению на сайте REvil в даркнете, группировка похитила в общей сложности 1 300 000 файлов, принадлежащих компании, в том числе конфиденциальные контракты и чертежи. В качестве доказательства, вымогатели опубликовали ряд скриншотов документов, якобы похищенных у компании.

Как сообщалось на прошлой неделе, REvil взломала компьютеры партнера Apple, компании Quanta Computer, и похитила чертежи будущих ноутбуков MacBook и другой «яблочной» техники. Ранее на своем сайте в даркнете хакеры опубликовали требование выкупа от Quanta Computer в размере $50 млн. В случае неуплаты REvil обещала выложить в открытый доступ более десятка схем и чертежей компонентов MacBook. На этой неделе группировка внезапно удалила со своего сайта все упоминания о похищенных документах. Заплатила ли Apple вымогателям, неизвестно.

Крупнейшая в США буровая компания Gyrodata подтвердила факт атаки вымогательского ПО на свои компьютерные системы, в результате которой произошла утечка данных ее действующих и бывших сотрудников. В ходе атаки злоумышленники могли похитить такие данные, как имена бывших и настоящих сотрудников, адреса, даты рождения, номера водительских удостоверений, номера социального страхования, номера паспортов, данные налоговых деклараций, а также информацию, связанную с планами медицинского страхования.

Из-за серии кибератак на шведского поставщика аппаратов лучевой терапии Elekta его клиенты (в частности, онкологические больницы) до сих пор не могут восстановить нормальный режим работы, поскольку, принимая меры по реагированию на инцидент, компания отключила свои облачные сервисы. Из-за недоступности облачных сервисов Elekta целому ряду онкологических центров в США пришлось приостановить радиотерапию для своих пациентов.

25 апреля 2021 года австралийская организация UnitingCare Queensland, предоставляющая услуги по уходу за пожилыми людьми, людьми с ограниченными возможностями и людьми, находящимися в трудной жизненной ситуации, стала жертвой кибератаки, в результате которой в работе ее компьютерных систем произошел сбой.

Система бронирования авиабилетов компании Radixx Res (дочерняя компания Sabre Corporation) подверглась кибератаке с использованием вредоносного ПО. Инцидент не затронул системы Sabre, и база данных клиентов не была скомпрометирована, однако из-за кибератаки клиенты 20 авиакомпаний не смогли бронировать авиабилеты. В число пострадавших авиакомпаний вошли Peach Aviation, ZIPAIR, Air Belgium, Sky Airlines, Air Transat, Vietravel, Aero K Airlines, Salam Air, FlySafair, Air India Express и Wingo.

Американский провайдер облачной инфраструктуры DigitalOcean разослал своим клиентам письма с предупреждением об утечке их платежных данных. Как сообщили в компании, неизвестные получили доступ к «некоторым платежным данным через уязвимость, которая уже исправлена» в период с 9 по 22 апреля. В результате инцидента в руки злоумышленников попали имена и адреса клиентов, используемые для выставления счетов, а также информация о последних четырех цифрах платежных карт, сроках истечения их действия и названии банка-эмитента карт.

Как установили специалисты Министерства внутренней безопасности США, уязвимости в ПО Pulse Connect Secure от компании Ivanti позволили хакерам взломать как минимум пять федеральных агентств. Названия пострадавших организаций не раскрываются.

О еще одной атаке на цепочку поставок сообщил разработчик корпоративного менеджера паролей Passwordstate компания Click Studios. Неизвестные злоумышленники скомпрометировали механизм обновления менеджера паролей и использовали его для установки вредоносной программы на системы пользователей. Согласно сообщению компании Click Studios, злоумышленники запустили фишинговую кампанию, воспользовавшись тем, что некоторые пользователи разместили в социальных сетях копии разосланных ею электронных писем. В рамках атак злоумышленники рассылают фишинговые письма, имитирующие сообщения Click Studios, с целью заразить системы пользователей новым вариантом инфостилера Moserpass.

Хакер под псевдонимом Monsieur Personne решил доказать, что, несмотря на хвалебные отзывы СМИ о невзаимозаменяемых токенах (non-fungible token, NFT), на самом деле они не являются такими уж уникальными и безопасными. С целью продемонстрировать «абсурдность ситуации с ажиотажем вокруг NFT» хакер подделал NFT цифровой картины Everydays: The First 5000 Days американского художника Beeple, которая была продана в прошлом месяце на аукционе Christie’s за $69,34 млн.

Киберпреступники взламывают корпоративные и правительственные компьютерные системы с целью похищения конфиденциальных данных через две уязвимости в популярном файлообменном сервере. В рамках глобальной вредоносной кампании хакеры уже атаковали офис премьер-министра Японии. Атакующие эксплуатируют уязвимости в популярных сетевых решениях для обмена файлами FileZen от японской компании Soliton. Данная кампания очень похожа на атаки через уязвимости в файлообменном ПО Accellion FTA, обнаруженные хакерами в декабре 2020 года.

Проект децентрализованных финансов Uranium Finance на базе блокчейна Binance Smart Chain стал жертвой кибератаки, в результате которой злоумышленники похитили около $50 млн. Разработчики проекта планировали перевести активы поставщиков ликвидности на новую версию протокола — 2.1. Однако хакеры проэксплуатировали уязвимость в логике модификатора баланса Uranium, увеличили баланс проекта в 100 раз, и получили доступ к средствам пользователей.

Не обошлось на прошлой неделе без сообщений об уязвимостях нулевого дня. Операторы вредоносного ПО Shlayer использовали уязвимость в macOS в атаках в январе 2021 года. Злоумышленники изменяли результаты поисковой системы для демонстрации вредоносных ссылок, которые при нажатии перенаправляют пользователей на web-страницу якобы для загрузки обновления приложения для устаревшего программного обеспечения. Обновление на самом деле являлось bash-скриптом для незаметной установки рекламного ПО Bundlore.

Источник: Securitylab