Самым главным событием недели, безусловно, является атака на американского топливного гиганта Colonial Pipeline, из-за которой на всем западном побережье США возник дефицит бензина. Об этом и других громких инцидентах безопасности за период с 8 по 14 мая 2021 года читайте в нашем обзоре.
7 мая компания Colonial Pipeline узнала , что стала жертвой кибератаки с использованием вымогательского ПО DarkSide. Из-за атаки ей пришлось отключить свою компьютерную сеть, а заодно и топливопровод. Поскольку трубопровод Colonial Pipeline ежедневно транспортирует порядка 2,5 млн баррелей очищенного топлива и обеспечивает 45% от всего топлива, потребляемого на восточном побережье США, правительству пришлось ввести режим чрезвычайной ситуации в 18 штатах.
После атаки в СМИ стала появляться информация, будто за ней стоят хакеры, работающие на правительство РФ, однако операторы DarkSide решили публично развеять эту теорию. 10 мая, они опубликовали заявление, согласно которому их группировка является «аполитичной» и не связана с правительством какой-либо страны. Кроме того, хакеры пообещали впредь тщательнее выбирать своих жертв во избежание катастрофических последствий для общества.
Спустя несколько дней после публикации заявления группировки на ее сайте в даркнете DarkSide Leaks появилось краткое изложение документации, предположительно похищенной хакерами еще у трех компаний, но сами данные опубликованы не были. Одна из трех атакованных компаний находится в США, вторая – в Бразилии и третья – в Шотландии, и ни одна из них не задействована в критической инфраструктуре. Все три компании достаточно небольшие, чтобы сбой в их работе не привел к серьезным последствиям для общественности, как это произошло в случае с Colonial Pipeline.
14 мая группировка DarkSide заявила о похищении конфиденциальных данных у французского отделения японской электротехнической корпорации Toshiba. По ее словам, она похитила 740 ГБ информации, в которой содержатся сведения о работе менеджмента и новых бизнес-проектах компании, а также личные данные сотрудников.
Как стало известно 14 мая, серверы Darkside были отключены. С подпольных форумов также будут удалены связанные с группировкой темы. Киберпреступники потеряли доступ к публичной части своей инфраструктуры, в том числе к блогу, платежному серверу и CDN-серверам (Content Delivery Network). Хакеры также ввели новые ограничения на дальнейшие преступные действия. Они не будут атаковать социальный сектор (здравоохранение, образовательные учреждения) и государственные организации. Пострадавшие компании, которые еще не успели заплатить выкуп, получат инструменты для дешифрования своих данных.
Еще одна громкая история, связанная с вымогательским ПО, – публикация персональных данных вашингтонских полицейских группировкой Babuk. Как стало известно в прошлом месяце, вымогатели атаковали Управление полиции столичного округа Колумбия (США) и пригрозила в случае неуплаты выкупа обнародовать данные уголовных расследований и раскрыть полицейских информаторов. 11 мая злоумышленники заявили, что переговоры об уплате выкупа зашли в тупик и опубликовали 20 личных файлов полицейских офицеров.
В рамках судебной тяжбы Apple с Epic Games стали известны подробности о крупной кибератаке на пользователей App Store шесть лет назад, о которой «яблочная» компания умолчала. 21 сентября 2015 года менеджеры Apple обнаружили 2,5 тыс. вредоносных приложений, заразивших устройства 128 млн пользователей. В общей сложности вредоносные программы были загружены 203 млн раз.
Специалисты компании Pradeo предупредили о новом вредоносном ПО для Android, выдаваемом злоумышленниками за приложение Google Chrome. Поддельное приложение является частью сложной гибридной вредоносной кампании, в рамках которой киберпреступники также используют фишинг для похищения у жертв их учетных данных. По словам специалистов, за последние несколько недель поддельный Google Chrome был установлен на сотни тысяч Android-устройств.
В свою очередь, исследователи компании Cleafy выявили банковский троян для Android-устройств, способный похищать учетные данные пользователей и SMS-сообщения. Преступники атакуют пользователей банковских приложений в Испании, Германии, Италии, Бельгии и Нидерландах. Вредоносное ПО, получившее название TeaBot (также известное как Anatsa), находится на ранней стадии разработки.
Не обошлось на прошлой неделе и без сообщений об атаках на критическую инфраструктуру. Организация Water Action Response Network, в которую входят коммунальные предприятия, сообщила своим членам в электронной рассылке о том, что две системы водоснабжения в штате Пенсильвания (США) подверглись «кибервторжению». Согласно письму, хакеры установили в сетях предприятий web-оболочку для удаленного доступа к ним. Атака была обнаружена и остановлена, и ФБР инициировало расследование. Названия предприятий организация не сообщила.
Федеральная служба защиты конституции Германии (Bundesamt für Verfassungsschutz, BfV) обвинила иранских хакеров в кибератаках на немецкие компании, в рамках которых они обманом заставляют своих жертв устанавливать вредоносное ПО. Согласно отчету, атаки являются частью широкомасштабной кампании Ирана по получению доступа к конфиденциальной информации немецких организаций.
Серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти выявили специалисты «Ростелекома» и НКЦКИ. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.