Обзор инцидентов безопасности за период с 4 по 10 сентября 2021 года

Обзор инцидентов безопасности за период с 4 по 10 сентября 2021 года

Краткий обзор громких событий в мире ИБ за последнюю неделю.

Рекордная DDoS-атака на «Яндекс», взлом компьютерной сети ООН, уязвимость нулевого дня в серверах Zoho, утечка паролей для аккаунтов Fortinet VPN, скандал с сервисом Protonmail – это лишь немногие события, которыми запомнится уходящая неделя. Подробнее об этом и многом другом читайте в нашем обзоре.

Компания «Яндекс» столкнулась с крупнейшей в истории рунета DDoS-атакой, которая, однако, не повлияла на работу сервисов интернет-гиганта, данные пользователей также не пострадали. Источником атаки стал новый ботнет под названием Mēris (по-латышски «чума»). Признаки активности ботнета, предположительно состоящего из сетевых устройств, специалисты начали замечать в июне нынешнего года. По оценкам экспертов, в состав ботнета входит более 200 тыс. устройств, а для взаимодействия внутри сети используются обратные L2TP-туннели.

На этой неделе DDoS-атаки временно нарушила роботу крупнейшего в Новой Зеландии банка ANZ и ряда других финансовых организаций, а также национальной почтовой службы страны.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об уязвимости нулевого дня в серверах Zoho ManageEngine, которая уже больше недели активно используется в хакерских атаках.

Проблема ( CVE-2021-40539 ) затрагивает решение по управлению паролями и SSO (single sign-on) Zoho ManageEngine ADSelfService Plus производства индийской компании Zoho Corporation. Уязвимость может использоваться для обхода аутентификации через ADSelfService Plus REST API URL и выполнения вредоносного кода на уязвимом сервере. Проблема исправлена в сборке ADSelfService Plus 6114.

Как стало известно на этой неделе, неизвестные хакеры взломали компьютерную сеть Организации Объединенных Наций и похитили информацию, которая может быть использована для атак на ведомства в составе ООН. Злоумышленники скомпрометировали сеть с помощью украденных учетных данных для аккаунта в Umoja — проприетарной системе ООН для управления ресурсами.

На подпольном форуме RAMP опубликован массив с почти 500 тыс. учетных данных для устройств Fortinet VPN. В общей сложности опубликованный файл содержит учетные данные VPN для 498 908 пользователей 12 856 устройств. Как полагают специалисты, для сбора учетных данных злоумышленники эксплуатировали уязвимость обхода каталога ( CVE-2018-13379 ) в FortiOS SSL VPN.

На русскоязычном хакерском форуме XSS опубликован полный исходный код вымогательской программы Babuk (Babyk), получившей широкую известность после атаки на полицейское управление Вашингтона (США).

Согласно опубликованной на форуме информации, исходный код программы-шифровальщика Babuk выложил непосредственно ее разработчик. Молодой человек заявил, что болен раком, жить ему осталось недолго и на оставшуюся жизнь он обеспечен.

Интересно, что на этой же неделе к жизни вернулся портал вымогательской группы REvil, отключенный в июне нынешнего года после того, как деятельность группировки вызвала пристальное внимание со стороны властей США.

Пока ИБ-эксперты не выявили новых вариантов программы REvil, также неясно, осуществляла ли группировка новые атаки.

Правоохранители в Южной Кореи арестовали россиянина, подозреваемого в сотрудничестве с киберпреступной группой TrickBot. Россиянин провел в Южной Корее 1,5 года из-за пандемии коронавируса и был задержан в аэропорту Сеула при попытке вылететь в РФ.

Вымогательская группировка Ragnar Locker нашла новый способ воздействия на жертв. Теперь группировка угрожает опубликовать данные, похищенные у жертв, если те обратятся за помощью к правоохранительным органам.

Согласно сообщению Ragnar Locker на сайте в даркнете, эта угроза также распространяется на тех, кто привлечет экспертов для восстановления зашифрованных файлов или проведения переговоров о выкупе.

Разработчики Jenkins сообщили о кибератаке, в рамках которой злоумышленники получили доступ к одному из внутренних серверов проекта и установили программу для майнинга криптовалюты Monero.

Согласно уведомлению, хакеры взломали один из использующих Atlassian Confluence серверов, содержавших уязвимость удаленного выполнения кода ( CVE-2021-26084 ). По словам разработчиков, атака не затронула релизы Jenkins, плагины или исходный код проекта.

Как сообщила независимая организация ProPublica, принадлежащий Facebook мессенджер WhatsApp регулярно просматривает личные сообщения пользователей. WhatsApp задействует больше 1 тыс. подрядчиков в США и за рубежом (Ирландия, Сингапур), которые изучают личные сообщения, фото- и видеофайлы пользователей с помощью специального программного обеспечения Facebook и систем ИИ.

Сервис зашифрованной электронной почты ProtonMail оказался в центре скандала после того, как раскрыл IP-адреса ряда своих французских пользователей, связанных с «зеленым» движением Youth for Climate. Данные были предоставлены по запросу властей Франции, после чего эти пользователи оказались под арестом. Это известие вызвало резкую критику общественности, после чего компания удалила пункт о том, что не ведет журналы IP, которые могут быть связаны с анонимной учетной записью электронной почты, из политики конфиденциальности.

Хакеру под псевдонимом SangKancil удалось похитить персональные данные примерно 7 миллионов израильских граждан, взломав базу сайта CITY4U, с которым сотрудничают муниципалитеты и местные советы.

В числе украденной информации удостоверения личности, водительские права, налоговые декларации, уведомления о штрафах, справки о платежах за образование, воду, стоянки и другие документы.

Специалисты компании Anomali сообщили о волне целевых фишинговых атак, использующих вредоносный документ Microsoft Word, эксплуатирующий тему новой ОС Windows 11. Документ служит для распространения JavaScript-бэкдора для сбора информации с зараженных устройств.

Злоумышленники использовали вредоносный документ Word, содержащий изображение, якобы сделанное на устройстве под управлением Windows 11 Alpha. Изображение побуждает пользователя активировать макрос для инициирования второго этапа атаки, предусматривающего выполнение обфусцированного VBA-макроса для загрузки полезной нагрузки JavaScript, которая, в свою очередь, загружает бэкдор.

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на

Источник: Securitylab