В течение прошедшей недели сразу несколько организаций сообщили о том, что стали жертвами кибератаки через уязвимость в ПО Accellion, операторы вымогательского ПО продолжали совершенствовать свои инструменты, производитель вакцины против коронавируса стал жертвой кибератаки, а китайские хакеры научились взламывать Gmail с помощью расширения для браузера. Об этих и других событиях в мире ИБ за период с 27 февраля по 5 марта 2021 года читайте в нашем обзоре.
Группа киберпреступников, ответственная за эксплуатацию уязвимости нулевого дня в ПО для обмена файлами FTA от компании Accellion с целью кражи конфиденциальных данных, взяла на себя ответственность за взлом крупного поставщика средств обеспечения безопасности облачных вычислений Qualys. В качестве подтверждения доступа к данным на хакерском сайте группировки Clop были опубликованы документы, якобы содержащие информацию о клиентах Qualys, включая заказы на покупку, счета-фактуры, налоговые документы и отчеты о сканировании.
Связанный с ПО Accellion FTA инцидент безопасности также расследует американская железнодорожная компания CSX Corporation. Компания инициировала расследование после того, как операторы вымогательского ПО Clop опубликовали на своем сайте утечек скриншоты внутренних файлов CSX Corporation. Файлы содержат персональные данные действующих и бывших сотрудников компании.
Атаку на транспортные компании также зафиксировали эксперты «Лаборатории Касперского». С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около 10 организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter. Первичное заражение происходит путем распространения фишинговых писем.
Китайская хакерская группировка APT10 атаковала IT-системы двух индийских производителей вакцин от COVID-19. Злоумышленники обнаружили уязвимости в IT-инфраструктуре и программном обеспечении цепочки поставок индийских биотехнологических компаний Bharat Biotech и Serum Institute of India (SII). Целью APT10 является кража интеллектуальной собственности и получение Китаем конкурентного преимущества перед индийскими фармацевтическими компаниями.
Другая китайская группировка, TA413, в начале 2021 года пыталась атаковать учетные записи Gmail организаций в Тибете с помощью вредоносного расширения для браузера. В январе-феврале нынешнего года группировка доставляла на атакуемые компьютеры расширение FriarFox для браузера Firefox, предоставляющее ей контроль над принадлежащей жертвам почтой Gmail. В ходе атак также использовалось вредоносное ПО Scanbox и Sepulcher, ранее уже связанное ИБ-экспертами с TA413.
Компания Groupe Lactalis, являющаяся третьим по величине в мире производителем молочной продукции и лидером по выпуску сыра в Европе, сообщила о кибератаке, в результате которой злоумышленники взломали ряд ее компьютерных систем. Расследование инцидента все еще продолжается, на данный момент свидетельств утечки каких-либо данных не выявлено.
Масштабной кибератаке подверглась соцсеть Gab, которую часто называют «Twitter для неонацистов». Среди пострадавших от утечки данных называют экс-президента США, миллиардера Дональда Трампа, члена Конгресса от республиканской партии Марджори Тейлор-Грин и популярного теле- и радиоведущего правого толка Алекса Джонса.
Специалисты национального центра реагирования на компьютерные инциденты Франции (CERT-FR) рассказали об обновленном варианте вымогательского ПО Ryuk с возможностями червя, которые позволяют ему автоматически распространяться по сети своих жертв. Предыдущие версии программы-вымогателя не могли автоматически перемещаться по сети. Однако во время расследования одного из инцидентов в начале нынешнего года исследователи обнаружили образец Ryuk с добавленными червеобразными свойствами, которые позволили ему автоматически распространяться по зараженным сетям.
Киберпреступная группировка Hotarus Corp взломала компьютерные системы Министерства финансов Эквадора и крупнейшего банка страны Banco Pichincha, похитив конфиденциальные данные. Для шифрования файлов злоумышленники использовали вымогательское ПО Ronggolawe (также известное как AwesomeWare), написанное на языке PHP. Вскоре после атаки злоумышленники опубликовали на хакерском форуме текстовый файл, содержащий 6632 комбинаций логинов и хешей паролей.
Сразу две вымогательские программы получили новые функции, позволяющие им атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах. К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь, группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных данных для доступа к серверам vCenter, использующимся для управления ESXi и виртуальными машинами.
Не обошлось на прошлой неделе без утечки данных. Так, специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org.
Пользовательские базы данных трех популярных VPN-сервисов Android были взломаны, и теперь миллионы пользовательских записей выставлены на продажу в интернете. В общей сложности выставленная на продажу база данных содержит двадцать один миллион записей, содержащих регистрационную информацию пользователей. Помимо учетных данных, БД также включают адреса электронной почты, данные, связанные с платежами, а также дату истечения срока действия премиум-аккаунтов. Как сообщается, злоумышленник также предлагает отсортировать данные по странам для потенциальных покупателей.
Жертвами киберпреступников становятся не только легитимные организации, но и их коллеги-хакеры. Так, злоумышленники похитили данные пользователей киберпреступного форума Maza, также известного как Mazafaka. В частности были скомпрометированы ID, имена пользователей, электронные адреса, ссылки на мессенджеры, в том числе Skype, MSN и Aim. Обсуждая взлом, одни пользователи выражают намерение найти другой форум, а другие утверждают, что данные в утечке устарели и не являются полными.