Краткий обзор главных событий в мире ИБ за неделю.
Режим чрезвычайной ситуации в Израиле из-за беспрецедентных кибератак, продолжение кибервойны Anonymous против России, новые атаки вымогателей – об этом и не только читайте в нашем обзоре главных событий в мире ИБ за неделю.
Ряд израильских правительственных сайтов были недоступны в результате массированной DDoS-атаки, которая заблокировала доступ к правительственным web-сайтам. Источник в оборонном ведомстве утверждает, что это была крупнейшая кибератака, когда-либо совершенная на Израиль. За атакой предположительно стоит государственный деятель или крупная организация, но кто именно, пока неизвестно. В связи со случившимся в стране был объявлен режим чрезвычайной ситуации.
Anonymous продолжают свою кибервойну против России. На этот раз хактивисты заявили о взломе Роскомнадзора и похищении 820 ГБ данных. Судя по меткам времени, некоторые файлы датированы 5 марта 2022 года. Как утверждается, файлы принадлежат управлению Роскомнадзора республики Башкортостан.
Немецкая дочерняя компания российского нефтяного гиганта «Роснефть» подверглась кибератаке и теперь пытается справиться с ее последствиями. Rosneft Deutschland была предположительно атакована в ночь с 11 на 12 марта, похоже, все теми же Anonymous. Хакеры утверждают, что им удалось получить доступ к серверам Rosneft Germany и скачать более 20 ТБ данных.
16 марта хакеры осуществили массовый взлом сайтов арбитражных судов РФ. Злоумышленники разместили на главных страницах тексты с оскорблениями Владимира Путина и россиян, связанные с операцией на Украине. Вскоре послания исчезли, но информация на сайтах продолжила оставаться недоступной. Атаке подверглись суды Москвы, Приморского, Краснодарского, Хабаровского края и других регионов. Примерно к 6:15 послание пропало, но сайты по-прежнему не открывались.
Специалисты предупредили хактивистов, желающих DDoS’ить российские сайты о том, что они сами могут стать жертвами киберпреступников. По их словам, в Telegram распространяется инструмент якобы для осуществления DDoS-атак на российские ресурсы, который на самом деле крадет криптовалюту у того, кто его использует. Под инструмент для хактивистов Disbalanscer.zip замаскирован известный еще с 2019 года инфостилер Phoenix, похищающий данные криптовалютных кошельков.
Еще один громкий случай недели – шпионский инструмент Агентства национальной безопасности США, которым удалось завладеть Китаю. NOPEN способен получать доступ к чувствительной информации на компьютере жертвы, мониторить и перенаправлять сетевой трафик и удаленно контролировать систему для слежки за объектами за рубежом. Шпионская программа была выявлена на интернет-оборудовании, использующемся по всему миру.
Специалисты обнаружили новое вредоносное ПО для уничтожения данных CaddyWiper, атакующее украинские организации и удаляющее данные со всех систем в скомпрометированных сетях. Новый вредонос стирает пользовательские данные и информацию с разделов съемных дисков. Судя по телеметрии ESET, он заразил несколько десятков систем в ограниченном количестве организаций.
Украинская группа реагирования на компьютерные чрезвычайные ситуации предупредила о злоумышленниках, которые распространяют поддельные обновления антивирусного ПО Windows с целью установки маячков Cobalt Strike и других вредоносных программ. Киберпреступники выдают себя в рассылаемых фишинговых электронных письмах за украинские государственные органы, предлагая способы повышения сетевой безопасности, и советуют получателям загрузить «критические обновления безопасности».
Западные спецслужбы расследуют кибератаку неизвестных хакеров, которые нарушили широкополосный спутниковый доступ к интернету в Украине. Аналитики из Агентства национальной безопасности США, французской правительственной организации по кибербезопасности ANSSI и украинской разведки пытаются выяснить, был ли дистанционный саботаж услуг провайдера спутникового интернета работой российских хакеров.
Крупный украинский интернет-провайдер Triolan был дважды взломан киберпреступниками. Как сообщили источники издания Forbes, первый взлом произошел 24 февраля нынешнего года, а второй — 9 марта. С восстановлением компьютерных систем возникли трудности, поскольку в некоторых случаях специалистам требовался физический доступ, что было невозможно из-за боевых действий в городе.
Компьютерные системы крупной латиноамериканской компании электронной коммерции Mercado Libre были взломаны в ходе кибератаки. В результате инцидента была раскрыта информация 300 тыс. пользователей платформы. Как отметили представители компании, часть ее исходного кода подверглась несанкционированному доступу, что привело к раскрытию пользовательских данных.
Снова о себе напомнила южноамериканская киберпреступная группировка Lapsus$. На этот раз она заявила о взломе крупного производителя компьютерных игр Ubisoft. Сама компания уверяет, что персональные данные игроков в безопасности — пока нет никаких признаков того, что кто-то мог получить доступ к ним. Компания заявляет, что игры и сервисы теперь «работают нормально». Из соображений безопасности компания также «инициировала сброс пароля для всех учетных записей в компании». Lapsus$ подтвердила, что целью взлома не была информация о клиентах Ubisoft.
Хакерская группировка OldGremlin атаковала международный интернет-магазин Wildberries. Хакеры не только нарушили работу сайта, но и захватили над ним контроль. Злоумышленники поместили в данные сайта вирус-шифровальщик, который и стал причиной масштабного сбоя в работе Wildberries.
Крупная японская кинокомпания Toei подверглась кибератаке, которая привела к задержке выхода в эфир новых эпизодов популярных аниме-сериалов, в том числе One Piece и Delicious Party Precure. Согласно заявлению Toei, студия обнаружила несанкционированный доступ к своим системам 6 марта 2022 года. На следующий день компания выпустила уведомление об инциденте, отключила все внутренние системы в качестве меры предосторожности и начала расследование.
Компания Denso, ведущий поставщик Toyota, на прошлой неделе подвергся атаке программ-вымогателей. Японский поставщик заявил, что 10 марта обнаружил несанкционированный доступ к сетям Denso Automotive Deutschland GmbH – группы компаний, которая занимается продажами и инжинирингом в Германии.
Иранская киберпреступная группировка MuddyWater осуществила серию атак на компании и организации в Турции и на Аравийском полуострове с целью развертывания троянов для удаленного доступа на скомпрометированных системах. В ходе вредоносной кампании злоумышленники рассылали фишинговые письма с зараженными файлами Microsoft Excel. В результате успешной атаки на компьютер жертвы устанавливался троян для удаленного доступа под названием SloughRAT (также известный как Canopy), способный выполнять произвольный код и команды от командного сервера.
Источник: securitylab