Краткий обзор главных событий в мире ИБ за прошлую неделю, в том числе связанных с пандемией COVID-19.
Самыми громкими инцидентами безопасности на прошлой неделе стали взломы крупной ИБ-компании FireEye и Министерства финансов США. Об этих и других событиях в мире информационной безопасности, имевших место на прошлой неделе, читайте в нашем обзоре.
Во вторник, 8 декабря, американская ИБ-компания FireEye сообщила о кибератаке на свои системы со стороны «государства с наступательными возможностями высочайшего уровня». С помощью «инновационных техник» злоумышленникам удалось похитить инструменты FireEye. Эти инструменты представляют собой реплики сложнейших хакерских инструментов в мире, используемые компанией для поиска уязвимостей в системах своих клиентов. Инцидент уже назвали крупнейшей кражей инструментов кибербезопасности за последние четыре года.
На прошлой неделе киберпреступники также атаковали компьютерные сети Министерства финансов США и Управление телекоммуникаций и информации (NTIA) и похитили конфиденциальную информацию. Как впоследствии сообщили специалисты FireEye, взлом их компании напрямую связан со взломом правительственных ведомств США, и обе атаки являются делом рук одной и той же группировки. По их словам, злоумышленники осуществили атаку на цепочку поставок, взломав сети производителя программного обеспечения SolarWinds. Злоумышленники внедрили вредоносное ПО в обновления для программной платформы Orion, которой пользовались FireEye и Минфин США. По данным источников из ИБ-сообщества, за атаками стоит группировка APT29, часто связываемая с РФ.
Агентство национальной безопасности США выпустило предупреждение о том, что русские хакеры также эксплуатируют недавно обнаруженную уязвимость ( CVE-2020-4006 ) в продуктах VMware. С ее помощью злоумышленники устанавливают в сетях организаций вредоносное ПО для похищения конфиденциальной информации. Какая группировка стоит за атаками, и когда эти атаки начались, АНБ не уточняет.
В прошедшие выходные неизвестные хакеры осуществили кибератаки на десятки компаний, занимающихся доставкой и импортом товаров в Израиле. Как и в случае с FireEye, злоумышленники осуществили атаку на цепочку поставок, взломав системы разработчика ПО Amital. Хакеры не требовали выкуп, поскольку их главной целью являлось причинение ущерба израильской экономике.
Тем не менее, без новостей об операторах вымогательского ПО на прошлой неделе все же не обошлось. Хакеры, в прошлом месяце скомпрометировавшие сеть авиастроительной компании Embraer, опубликовали часть похищенных у компании данных, поскольку она отказалась вести переговоры и решила самостоятельно восстановить системы из резервных копий, не заплатив выкуп. Файлы Embraer были размещены на web-сайте в даркнете, которым управляет киберпреступная группировка RansomExx (также известная как Defray777). Опубликованные данные включали сведения о сотрудниках, контракты, фотографии симуляций полетов и исходный код.
Крупная компания по обработке платежных карт Total System Services (TSYS) стала жертвой кибератаки с использованием вымогательского ПО Ryuk
После инцидента хакеры опубликовали в Сети большое количество украденных у нее данных, и пообещали опубликовать еще больше в ближайшем будущем. По утверждениям злоумышленников, атака была нацелена на бизнес-подразделение Cayan компании TSYS. По их словам, данные банковских карт были скомпрометированы, но TSYS это отрицает.
Как стало известно на прошлой неделе, более 85 тыс. баз данных SQL продаются на хакерском портале в даркнете по цене $550 за одну БД. Киберпреступники используют портал в рамках набирающей популярность вымогательской схемы с базами данных. Схема, начавшая использоваться в начале 2020 года, заключается в следующем: злоумышленники взламывают БД SQL, загружают таблицы и удаляют оригинал, оставляя записку с требованием выкупа. В записке указано, как владелец БД может связаться с вымогателями и договориться о возвращении своих данных.
Компания Microsoft предупредила о новой вредоносной кампании, нацеленной на пользователей Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер на Windows-ПК. По словам исследователей, как минимум с мая нынешнего года неизвестные киберпреступники распространяют семейство модификаторов для браузеров под названием Adrozek, в основном внедряющих рекламу в страницы поисковой выдачи.
Пользователи криптовалютного кошелька MetaMask стали жертвами фишинговой кампании, в рамках которой преступники используют рекламу Google для хищения денежных средств. Пострадавшие потеряли свои накопления после нажатия на мошенническое объявление, продвигаемое в поисковом запросе как сайт MetaMask. Мошенники купили рекламу, чтобы нацелить вредоносную кампанию на пользователей, которые ищут MetaMask в поисковой системе Google.
Кибератаке неизвестного характера подверглось Европейское агентство лекарственных средств (ЕАЛС),ответственное за сертификацию вакцин против COVID-19. Хотя в Сети ходит множество теорий о характере и целях кибератаки, само агентство не сообщает никаких фактов. Тем не менее, американская фармацевтическая компания Pfizer и немецкая биотехнологическая компания BioNTech выпустили совместное уведомление, согласно которому, в ходе атаки на ЕАЛС хакеры получили доступ к некоторым документам, связанным с сертификацией их вакцины против COVID-19.
В свободный доступ попали файлы (Excel, Word, JPG) с персональными данными москвичей, переболевших коронавирусной инфекцией (COVID-19). В Сети оказался архив размером около 940 Мб, содержащий 362 файла. В некоторых Excel-файлах находится более 100 тыс. строк с такой информацией, как ФИО, дата рождения, адрес проживания, телефоны, номера паспортов и пр. Самая «свежая» запись датируется 12.06.2020. Также в открытом доступе оказались ссылки на Google Docs и закрытые Telegram-чаты больниц и поликлиник.
Источник: securitylab