Обзор инцидентов безопасности за период с 27 февраля по 5 марта 2021 года
5 марта 2021 года
В течение прошедшей недели сразу несколько организаций сообщили о том, что стали жертвами кибератаки через уязвимость в ПО Accellion, операторы вымогательского ПО продолжали совершенствовать свои инструменты, производитель вакцины против коронавируса стал жертвой кибератаки, а китайские хакеры научились взламывать Gmail с помощью расширения для браузера. Об этих и других событиях в мире ИБ за период с 27 февраля по 5 марта 2021 года читайте в нашем обзоре.
Группа киберпреступников, ответственная за эксплуатацию уязвимости нулевого дня в ПО для обмена файлами FTA от компании Accellion с целью кражи конфиденциальных данных, взяла на себя ответственность за взлом крупного поставщика средств обеспечения безопасности облачных вычислений Qualys. В качестве подтверждения доступа к данным на хакерском сайте группировки Clop были опубликованы документы, якобы содержащие информацию о клиентах Qualys, включая заказы на покупку, счета-фактуры, налоговые документы и отчеты о сканировании.
Связанный с ПО Accellion FTA инцидент безопасности также расследует американская железнодорожная компания CSX Corporation. Компания инициировала расследование после того, как операторы вымогательского ПО Clop опубликовали на своем сайте утечек скриншоты внутренних файлов CSX Corporation. Файлы содержат персональные данные действующих и бывших сотрудников компании.
Атаку на транспортные компании также зафиксировали эксперты "Лаборатории Касперского". С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около 10 организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter. Первичное заражение происходит путем распространения фишинговых писем.
Китайская хакерская группировка APT10 атаковала IT-системы двух индийских производителей вакцин от COVID-19. Злоумышленники обнаружили уязвимости в IT-инфраструктуре и программном обеспечении цепочки поставок индийских биотехнологических компаний Bharat Biotech и Serum Institute of India (SII). Целью APT10 является кража интеллектуальной собственности и получение Китаем конкурентного преимущества перед индийскими фармацевтическими компаниями.
Другая китайская группировка, TA413, в начале 2021 года пыталась атаковать учетные записи Gmail организаций в Тибете с помощью вредоносного расширения для браузера. В январе-феврале нынешнего года группировка доставляла на атакуемые компьютеры расширение FriarFox для браузера Firefox, предоставляющее ей контроль над принадлежащей жертвам почтой Gmail. В ходе атак также использовалось вредоносное ПО Scanbox и Sepulcher, ранее уже связанное ИБ-экспертами с TA413. Компания Groupe Lactalis, являющаяся третьим по величине в мире производителем молочной продукции и лидером по выпуску сыра в Европе, сообщила о кибератаке, в результате которой злоумышленники взломали ряд ее компьютерных систем. Расследование инцидента все еще продолжается, на данный момент свидетельств утечки каких-либо данных не выявлено. Масштабной кибератаке подверглась соцсеть Gab, которую часто называют «Twitter для неонацистов». Среди пострадавших от утечки данных называют экс-президента США, миллиардера Дональда Трампа, члена Конгресса от республиканской партии Марджори Тейлор-Грин и популярного теле- и радиоведущего правого толка Алекса Джонса. Специалисты национального центра реагирования на компьютерные инциденты Франции (CERT-FR) рассказали об обновленном варианте вымогательского ПО Ryuk с возможностями червя, которые позволяют ему автоматически распространяться по сети своих жертв. Предыдущие версии программы-вымогателя не могли автоматически перемещаться по сети. Однако во время расследования одного из инцидентов в начале нынешнего года исследователи обнаружили образец Ryuk с добавленными червеобразными свойствами, которые позволили ему автоматически распространяться по зараженным сетям. Киберпреступная группировка Hotarus Corp взломала компьютерные системы Министерства финансов Эквадора и крупнейшего банка страны Banco Pichincha, похитив конфиденциальные данные. Для шифрования файлов злоумышленники использовали вымогательское ПО Ronggolawe (также известное как AwesomeWare), написанное на языке PHP. Вскоре после атаки злоумышленники опубликовали на хакерском форуме текстовый файл, содержащий 6632 комбинаций логинов и хешей паролей. Сразу две вымогательские программы получили новые функции, позволяющие им атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах. К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь, группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных данных для доступа к серверам vCenter, использующимся для управления ESXi и виртуальными машинами. Не обошлось на прошлой неделе без утечки данных. Так, специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org. Пользовательские базы данных трех популярных VPN-сервисов Android были взломаны, и теперь миллионы пользовательских записей выставлены на продажу в интернете. В общей сложности выставленная на продажу база данных содержит двадцать один миллион записей, содержащих регистрационную информацию пользователей. Помимо учетных данных, БД также включают адреса электронной почты, данные, связанные с платежами, а также дату истечения срока действия премиум-аккаунтов. Как сообщается, злоумышленник также предлагает отсортировать данные по странам для потенциальных покупателей. Жертвами киберпреступников становятся не только легитимные организации, но и их коллеги-хакеры. Так, злоумышленники похитили данные пользователей киберпреступного форума Maza, также известного как Mazafaka. В частности были скомпрометированы ID, имена пользователей, электронные адреса, ссылки на мессенджеры, в том числе Skype, MSN и Aim. Обсуждая взлом, одни пользователи выражают намерение найти другой форум, а другие утверждают, что данные в утечке устарели и не являются полными.
Компания Groupe Lactalis, являющаяся третьим по величине в мире производителем молочной продукции и лидером по выпуску сыра в Европе, сообщила о кибератаке, в результате которой злоумышленники взломали ряд ее компьютерных систем. Расследование инцидента все еще продолжается, на данный момент свидетельств утечки каких-либо данных не выявлено.
Масштабной кибератаке подверглась соцсеть Gab, которую часто называют «Twitter для неонацистов». Среди пострадавших от утечки данных называют экс-президента США, миллиардера Дональда Трампа, члена Конгресса от республиканской партии Марджори Тейлор-Грин и популярного теле- и радиоведущего правого толка Алекса Джонса.
Специалисты национального центра реагирования на компьютерные инциденты Франции (CERT-FR) рассказали об обновленном варианте вымогательского ПО Ryuk с возможностями червя, которые позволяют ему автоматически распространяться по сети своих жертв. Предыдущие версии программы-вымогателя не могли автоматически перемещаться по сети. Однако во время расследования одного из инцидентов в начале нынешнего года исследователи обнаружили образец Ryuk с добавленными червеобразными свойствами, которые позволили ему автоматически распространяться по зараженным сетям.
Киберпреступная группировка Hotarus Corp взломала компьютерные системы Министерства финансов Эквадора и крупнейшего банка страны Banco Pichincha, похитив конфиденциальные данные. Для шифрования файлов злоумышленники использовали вымогательское ПО Ronggolawe (также известное как AwesomeWare), написанное на языке PHP. Вскоре после атаки злоумышленники опубликовали на хакерском форуме текстовый файл, содержащий 6632 комбинаций логинов и хешей паролей.
Сразу две вымогательские программы получили новые функции, позволяющие им атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах. К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь, группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных данных для доступа к серверам vCenter, использующимся для управления ESXi и виртуальными машинами.
Не обошлось на прошлой неделе без утечки данных. Так, специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org.
Пользовательские базы данных трех популярных VPN-сервисов Android были взломаны, и теперь миллионы пользовательских записей выставлены на продажу в интернете. В общей сложности выставленная на продажу база данных содержит двадцать один миллион записей, содержащих регистрационную информацию пользователей. Помимо учетных данных, БД также включают адреса электронной почты, данные, связанные с платежами, а также дату истечения срока действия премиум-аккаунтов. Как сообщается, злоумышленник также предлагает отсортировать данные по странам для потенциальных покупателей.
Жертвами киберпреступников становятся не только легитимные организации, но и их коллеги-хакеры. Так, злоумышленники похитили данные пользователей киберпреступного форума Maza, также известного как Mazafaka. В частности были скомпрометированы ID, имена пользователей, электронные адреса, ссылки на мессенджеры, в том числе Skype, MSN и Aim. Обсуждая взлом, одни пользователи выражают намерение найти другой форум, а другие утверждают, что данные в утечке устарели и не являются полными.
Источники[править]
| Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 27 февраля по 5 марта 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
