Краткий обзор главных событий в мире ИБ за неделю.
Уходящая неделя оказалась чрезвычайно богатой самыми разными событиями в мире ИБ, начиная от крупнейшего в истории криптовалют ограбления и заканчивая взломом тысяч страниц в Facebook с помощью Android-трояна. Об этих и других событиях в мире ИБ за период с 7 по 13 августа 2021 года читайте в нашем обзоре.
Всего через два дня после раскрытия уязвимости, «потенциально затрагивающей миллионы домашних маршрутизаторов», специалисты Juniper Threat Labs обнаружили свидетельства того, что она уже активно эксплуатируется в хакерских атаках. 3 августа 2021 года исследователь ИБ-компании Tenable Эван Грант (Evan Grant) опубликовал подробности о нескольких уязвимостях в маршрутизаторах от ряда операторов связи, в том числе Verizon и O2, а всего через два дня специалисты Juniper Threat Labs обнаружили, что одну из них ( CVE-2021-20090 ) начали эксплуатировать хакеры.
Киберпреступники также вооружились нашумевшими уязвимостями PrintNightmare и теперь атакуют Windows-серверы с целью развертывания на них вымогательского ПО Magniber. PrintNightmare – класс уязвимостей ( CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print. Как обнаружили исследователи из CrowdStrike, операторы вымогательского ПО Magniber теперь эксплуатируют уязвимости PrintNightmare в атаках на жертв в Южной Корее.
Киберпреступники активно сканируют интернет в поисках доступных установок Microsoft Exchange с неисправленными уязвимостями ProxyShell. Сканирования начались после того, как новые подробности об уязвимостях были представлены на прошлой неделе на конференции Black Hat в Лас-Вегасе.
За подотчетный период появилось сразу несколько сообщений о ботнетах. Так, специалисты из компании Splunk сообщили о возобновлении активности операторов ботнета Crypto. Киберпреступники атакуют виртуальные серверы под управлением Windows Server внутри Amazon Web Services с включенным протоколом удаленного рабочего стола (RDP). После обнаружения уязвимых виртуальных машин злоумышленники осуществляют брутфорс-атаку. В случае успеха хакеры устанавливают инструменты для майнинга криптовалюты Monero.
Исследователи в области кибербезопасности из компании Uptycs сообщили о вредоносной кампании, в ходе которой хакеры используют червь, написанный на языке Golang, для установки криптомайнера на устройства жертв. Криптомайнер изменяет конфигурации ЦП на взломанных Linux-серверах с целью повысить эффективность и производительность своего кода для майнинга криптовалюты. Как сообщили эксперты, это первый случай, когда злоумышленники изменяют моделезависимые регистры (Model-Specific Registers, MSR) процессора для отключения функции Hardware Prefetcher ЦП.
Тайваньский производитель сетевых хранилищ (NAS) Synology предупредил клиентов о вредоносной кампании, в ходе которой операторы ботнета StealthWorker атакуют сетевые устройства хранения данных и заражают их программами-вымогателями. По словам команды специалистов Product Security Incident Response Team (PSIRT) Synology, NAS-устройства Synology, скомпрометированные в результате данных атак, используются в дальнейших попытках взломать другие системы под управлением Linux.
Компания Microsoft предупредила сразу о нескольких вредоносных кампаниях. В частности, она рассказала о вредоносной кампании целенаправленного фишинга, жертвой которой стали многие пользователи Microsoft Office 365. По словам экспертов, многочисленные атаки начались с июля 2020 года. В ходе текущей фишинговой кампании злоумышленники побуждают жертв передать свои учетные данные Office 365 с помощью вложений XLS.HTML.
Команда Microsoft Security Intelligence также сообщила о новой вредоносной кампании BazaCall. В ходе кампании используются поддельные электронные письма с контактной формой о нарушении авторских прав и вредоносные файлы, которые якобы содержат «украденные изображения». Таким образом мошенники пытаются обманом заставить пользователей загрузить вредоносное ПО.
Одним из самых громких событий недели стала атака на транснациональную блокчейн-платформу Poly Network. В результате атаки неизвестному хакеру удалось перевести на свои кошельки более $600 млн в криптовалюте, что сделало ее крупнейшим ограблением за всю историю криптовалют. Однако вскоре после этого некто под псевдонимом «мистер White Hat» начал возвращать похищенные активы. Хакер заявил , что его целью было продемонстрировать уязвимость в Poly Network, и он вернет все похищенные средства.
Хакеры атаковали краудфандинговую платформу DAO Maker и вывели с нее $7 млн в стейблкоинах USDC. Представители платформы DAO Maker сообщили в своем Telegram-канале, что атака затронула только депозитарный смарт-контракт. Токены DAO и активы в стекинге не были затронуты злоумышленниками, заверили представители DAO Maker.
Традиционно не обошлось без атак кибервымогателей. Одной из самых нашумевших стала атака на консалтинговую компанию Accenture, входящую в список Fortune 500. Компания стала жертвой атаки с использованием вымогательского ПО LockBit.
Известный производитель материнский плат, видеокарт и других компьютерных комплектующих компания Gigabyte также подверглась атаке вымогателя. Хакерская группа RansomExx заявила, что в ходе атаки ей удалось украсть 112 гигабайт данных. Злоумышленники угрожают выложить их в Сеть, если Gigabyte откажется им платить.
Разработчик и издатель компьютерных игр Crytek подтвердил , что в октябре 2020 года он стал жертвой вымогательского ПО Egregor. Хакеры зашифровали системы компании, похитили файлы с конфиденциальными данными клиентов и опубликовали их на своем сайте утечек в даркнете. Crytek разослала затронутым пользователям соответствующие уведомления только в августе 2021 года.
Вымогательское ПО eCh0raix получило функцию шифрования сетевых хранилищ (NAS) QNAP и Synology. Вредоносное ПО eCh0raix, также известное как QNAPCrypt, было впервые обнаружено в июне 2016 года. Вымогатель атаковал NAS-устройства QNAP «волнами». Первая «волна» имела место в июне 2019 года, а вторая -–в июне 2020 года. В 2019 году eCh0raix также шифровало устройства производства Synology, предварительно взламывая их с помощью брутфорса. Теперь же у вымогателя появилась функция шифрования обоих семейств устройств.
На хакерском форуме был опубликован загадочный универсальный ключ для расшифровки файлов, зашифрованных вымогательским ПО REvil в ходе атаки на клиентов компании Kaseya. Напомним, 2 июля нынешнего года группировка REvil атаковала поставщиков управляемых сервисов по всему миру через уязвимость нулевого дня в приложении для удаленного управления Kaseya VSA. После атаки вымогатели потребовали $70 млн за универсальный инструмент, который позволил бы восстановить зашифрованные файлы всех клиентов Kaseya. Однако затем группировка REvil таинственным образом прекратила свое существование, а ее кошельки и вся инфраструктура были отключены. 22 июля Kaseya получила универсальный декриптор от загадочной «третьей стороны» и стала распространять его среди своих клиентов. На этой неделе таинственный универсальный ключ был опубликован на одном из хакерских форумов.
Мастер-ключ для пользователей, ставших их жертвами в период с июля 2017-го по начало 2021 года, опубликовала кибервымогательская группировка El_Cometa, ранее известная под названием SynAck. Как сообщили представители SynAck, они решили выпустить мастер-ключ для восстановления файлов, зашифрованных вымогателем в ходе старых операций, поскольку намерены сосредоточиться на новых. Так, в конце прошлого месяца группировка начала новые операции под названием El_Cometa.
Не обошлось в течение недели и без утечек данных. Так, хакеры выставили на продажу секретные документы МИД Литвы. Злоумышленники похитили переписку МИД с посольствами балтийской республики за рубежом и посольствами других стран в Литве. По данному факту проводится расследование.
Европейская комиссия расследует взлом своего проекта Cybersecurity Atlas после того, как копия внутренней базы данных ресурса была выставлена на продажу на подпольном форуме. Неизвестный злоумышленник выставил на продажу украденные данные на подпольном форуме, утверждая, что получил доступ ко всей базе данных Cybersecurity Atlas. Продавец намерен совершить сделку через мессенджер Discord.
Китайская киберпреступная группировка атаковала израильские организации в ходе вредоносной кампании, организованной еще в январе 2019 года. Хакеры часто использовали фальшивые флаги, пытаясь замаскироваться под иранских преступников. По словам специалистов из ИБ-фирмы Mandiant, атаки были нацелены на израильские правительственные учреждения, IT-компании и поставщиков телекоммуникационных услуг. Злоумышленники, которых отслеживают под кодовым именем UNC215, обычно взламывали организации через серверы Microsoft SharePoint, содержащие уязвимость CVE-2019-0604 .
На неделе атакам вредоносного ПО подверглись пользователи соцсетей и мессенджеров. Так, в мессенджере Telegram распространяется вредоносное ПО FatalRAT. Троян удаленного доступа FatalRAT не только крадет данные россиян, но и поражает систему безопасности устройства, на котором установлен мессенджер. Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.
Специалисты ИБ-компании Zimperium обнаружили новую вредоносную кампанию, нацеленную на пользователей Android. В ходе кампании используется вредоносное ПО FlyTrap, взламывающее учетные записи Facebook путем похищения cookie-файлов сеанса. Жертвами вредоноса уже стали более 10 тыс. пользователей в 140 странах мира.
Ладно, не доказали. Но мы работаем над этим