Краткий обзор главных событий в мире ИБ за неделю.
Кража $625 млн из блокчейна игры NFT Axie Infinity, масштабная кибератака на крупного украинского интернет-провайдера, уязвимости нулевого дня в Google Chrome, «утечки» Anonymous – об этих и других инцидентах безопасности за период с 24 по 30 марта 2022 года читайте в нашем обзоре.
На этой неделе произошел крупнейший взлом в истории децентрализованных финансов (DeFi). Неизвестный хакер украл криптовалюту на сумму около $625 млн из блокчейна Ronin, лежащего в основе популярной криптоигры Axie Infinity. Оператор Ronin и Axie Infinity Sky Mavis во вторник раскрыл брешь и заморозили транзакции на кроссчейн-мосту Ronin, который позволяет вносить и выводить средства из блокчейна компании. По наблюдениям исследователя The Block Research Игоря Игамбердиева, часть средств поступила на централизованные биржи FTX и Crypto.com.
Взлом поставщика ПО для управления взаимоотношениями с клиентами (CRM), продаж и маркетинга HubSpot затронул крупные криптовалютные компании. По словам команды HubSpot, злоумышленники похитили только информацию о пользователях, хранящуюся в инструменте, а внутренние данные, такие как пароли, были в безопасности. Многие пользователи пострадавших фирм уже сообщили о фишинговых атаках.
Украинский интернет-провайдер «Укртелеком» подвергся масштабной кибератаке. Как сообщила Государственная служба спецсвязи и защиты информации Украины, к середине дня в понедельник, 28 марта, атака была нейтрализована. Как показывает сервис NetBlocks, отображающий доступность интернета по всему миру, атака затронула пользователей по всей территории Украины. Судя по данным сети, с начала специальной военной операции трафик в стране снизился на 13%.
Хакеры стали взламывать сайты под управлением WordPress с целью внедрения в них вредоносных скриптов, использующих браузеры посетителей для осуществления DDoS-атак на украинские ресурсы. После загрузки JavaScript-код вынуждает браузер пользователя отправлять HTTP GET-запросы каждому сайту в списке (в том числе правительственным, финансовым и научным) с не более 1 тыс. одновременных подключений. Это позволяет скриптам осуществлять DDoS-атаки, в то время как посетитель сайта ни о чем не догадывается.
Украинские организации также стали жертвами китайской хакерской группировки Scarab. Организаторы вредоносной кампании целенаправленного фишинга рассылают архив RAR с исполняемым файлом, предназначенным для скрытной установки вредоносной DLL-библиотеки под названием HeaderTip в фоновом режиме. По словам ИБ-специалистов, участники Scarab действуют в целях сбора геополитической информации. В фишинговых атаках используется документ-приманка, якобы отправленный от имени Национальной полиции Украины.
Хакеры атаковали информационные системы предприятия «ТАВР», которое работает в Ростовской области. Посредством установки вредоносного ПО были атакованы серверы, рабочие станции, информационные системы предприятия. В частности, речь идет о финансово-экономической информации. Работа компании была временно парализована, нанесен значительный экономический ущерб, и в настоящее время деятельность предприятия осуществляется в ограниченном режиме.
Хактивистский коллектив Anonymous усердно «трудился» в течение всей недели. 24 марта «анонимы» заявили о взломе систем Банка России и выложили 35 тыс. файлов, якобы содержащих секретные соглашения финорганизации. Однако, похоже, утечка Центробанка является компиляцией данных из открытых источников.
29 марта Telegram-канал «Авиаторщина» сообщил о предполагаемой кибератаке на Росавиацию, по неофициальным данным в результате которой могли быть утеряны данные. По информации канала, хакеры якобы уничтожили около 65 ТБ данных Росавиации. Пострадал в первую очередь документооборот, а также электронная почта за последние полтора года. «Авиаторщина» утверждает, что хакеры удалили все файлы на серверах ведомства и заодно систему госуслуг.
Проукраинские хакеры якобы взломали информационный сервис на базе «Единой региональной интеграционной платформы аппаратно-программного комплекса „Безопасный город“». Хакеры получили доступ к универсальному медицинскому личному кабинету (УМЛК), созданному весной 2020 года для учета больных COVID-19, контактных лиц, лиц, прошедших тестирование на коронавирус, и приезжих из других регионов, которые должны были оставаться на самоизоляции.
Итальянский государственный железнодорожный оператор Ferrovie dello Stato SpA временно остановил продажу билетов на станциях после обнаружения признаков кибератаки на свои системы. Подозрительные действия в сети компании указывают на киберинцидент, аналогичный атаке с использованием программы-вымогателя CryptoLocker.
Киберпреступники стали распространять бэкдор IcedID через взломанные серверы Microsoft Exchange. Атаки нацелены на энергетические, медицинские, юридические и фармацевтические организации. Хотя эксперты не связывают данную кампанию IcedID с определенной киберпреступной группировкой, в отчете Proofpoint за июнь 2021 года отмечалось, что использовать IcedID в качестве своего вредоносного ПО предпочитают группировки TA577 и TA551.
Ботнет Muhstik, известный тем, что распространяется через уязвимости в web-приложениях, теперь атакует серверы Redis через недавно раскрытую уязвимость обхода песочницы в Lua ( CVE-2022-0543 ). Уязвимость получила 10 из 10 баллов по шкале оценивания опасности и позволяет удаленно выполнить код на системе с уязвимым ПО. Атаки с ее использованием начались 11 марта 2022 года. Впервые задокументированный специалистами китайской ИБ-компании Netlab 360 ботнет Muhstik активный с марта 2018 года и используется для майнинга криптовалюты и осуществления DDoS-атак.
Компания Trustwave предупредила о новых атаках на пользователей Windows с целью кражи данных. Злоумышленники используют шпионскую программу Vidar и распространяют ее через поддельные письма от службы поддержки Microsoft. Vidar – это шпионское ПО для Windows и средство кражи информации, доступное для покупки киберпреступниками. Vidar может собирать данные ОС и пользователя, данные учетных записей онлайн-сервисов и криптовалютной учетной записи, а также информацию о кредитной карте.
Утечка официальных данных министерства финансов Пакистана стала , по-видимому, самым большим нарушением кибербезопасности, с которым когда-либо сталкивалось пакистанское учреждение. В декабре 2021 года неизвестный хакер заявил о взломе компьютерных систем Министерства финансов Пакистана, однако факт кибератаки был опровергнут пресс-секретарем министерства Музаммилом Асламом. Спустя три месяца хакер обнародовал некоторые конфиденциальные данные министерства, включая конфиденциальную информацию, относящуюся к другим странам, международным финансовым организациям, национальным учреждениям, министерствам и ведомствам.
В течение недели стало известно сразу о двух уязвимостях нулевого дня в браузере Chrome, уже эксплуатирующихся в хакерских атаках. Команда специалистов Threat Analysis Group (TAG) компании Google связала две вредоносные кампании, использующие уязвимость CVE-2022-0609, с двумя группировками, поддерживаемыми правительством Северной Кореи. О еще одной уязвимости, CVE-2022-1096, пока известно очень мало.
Источник: securitylab