Обзор инцидентов безопасности за период с 3 по 9 апреля 2021 года

Обзор инцидентов безопасности за период с 3 по 9 апреля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

Масштабные утечки данных пользователей Facebook и LinkedIn, атаки на Еврокомиссию и НАТО, новые атаки вымогательского ПО – об этих и других инцидентах безопасности за период с 3 по 9 апреля 2021 года читайте в нашем обзоре.

Неизвестные киберпреступники взломали один из официальных интернет-ресурсов НАТО и опубликовали от имени альянса сообщение о начале военной операции против Украины. Согласно сообщению, Киев не оставил НАТО иного выхода, и Украина должна быть уничтожена. При этом приносятся извинения «мистеру Зеленскому». Завершается публикация эмоциональным высказыванием: «Боже, храни Америку и Россию!».

Также стало известно о кибератаке на IT-инфраструктуру Еврокомиссии и нескольких организаций Европейского союза. Характер инцидента и кто за ним стоит, пока не сообщается. По словам представителя Еврокомиссии, серьезных утечек информации обнаружено не было, однако расследование инцидента все еще находится на начальной стадии.

Одним из самых громких событий на прошлой неделе стало сообщение об утечке данных более 533 млн пользователей Facebook. Информация, собранная с помощью web-скрепинга была выставлена на продажу на одном из хакерских форумов. Как сообщила компания, она не намерена уведомлять пользователей об инциденте по двум причинам. Во-первых, пользователи все равно ничего не смогут поделать с утечкой, а во-вторых, данные и так были общедоступными. Уязвимость, позволявшая сбор данных, была исправлена сразу же после ее обнаружения.

Не успели пользователи опомниться после новости об утечке данных Facebook, как стало известно об аналогичном инциденте с LinkedIn. На популярном форуме в даркнете был выставлен на продажу архив с данными, собранными из 500 млн профилей в LinkedIn с помощью web-скрепинга. В качестве доказательства подлинности данных продавцы предлагают 2 млн профилей бесплатно.

В то же время киберпреступная группировка Golden Chickens продолжает атаковать пользователей LinkedIn с помощью социальной инженерии, при этом атаки становятся все более персонализированными. Злоумышленники создают фиктивные предложения работы с использованием названий должностей, взятых из профилей атакуемых работников, в попытке заставить их открыть и выполнить вредоносные файлы или нажать на вредоносные ссылки.

На прошлых выходных в даркнете также были выставлены на продажу данные граждан, обращавшихся в банк «Дом.РФ» за кредитом. По словам продавца, в его распоряжении имеется 104,8 тыс. записей о потенциальных заемщиках, собранных с февраля 2020 года по март 2021 года. В них содержатся такие данные, как сумма запрашиваемого кредита, номер телефона и адрес электронной почты заемщика (при минимальном заполнении заявки), либо ФИО, дата рождения, сумма и вид кредита, номер телефона, адрес электронной почты, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, а также информация о доверенном лице (ФИО, номер телефона, кем приходится заемщику и т.п.).

В Сети был опубликован архив на Google Диске, содержащий личные видео и изображения сотен авторов контента для взрослых платформы OnlyFans. Исследователи из ИБ-фирмы BackChannel в середине марта обнаружили на хакерском форуме RaidForums сообщение, в котором один из его участников поделился доступом к Google Диску с большим количеством контента площадки OnlyFans.

На одном из крупнейших киберпреступных форумов были выставлены на продажу 895 тыс. подарочных сертификатов общей стоимостью $38 млн. База данных содержит сертификаты от нескольких тысяч брендов, вероятнее всего, полученные в результате давней утечки из теперь уже нефункционирующего магазина подарочных карт Cardpool. Продавец не уточнил происхождение похищенных сертификатов, однако известно, что они принадлежат 3010 компаниям, в том числе Airbnb, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target и Walmart.

Хакеры взломали как минимум один сервер обновлений немецкого производителя смартфонов Gigaset и разослали с него вредоносное ПО на устройства некоторых его клиентов. Пользователи стали обнаруживать на своих устройствах ранее неизвестные приложения, истощающие заряд батареи и бесконечно запускающие браузер с открытыми сайтами online-казино. Удалить эти приложения оказалось практически невозможным – после деинсталляции они снова появлялись на устройстве. Кроме того, смартфоны стали рассылать спам через SMS и WhatsApp, а некоторые пользователи даже лишились контроля над своими учетными записями Facebook.

Традиционно не обошлось и без атак вымогательского ПО. Как стало известно, компьютерная система государственных школ округа Бровард (штат Флорида, США) была взломана операторами вымогательского ПО Conti. Изначально вымогатели требовали $15 млн в биткойнах, если оплата будет произведена в течение 24 часов. Власти предложили выкуп в размере $500 тыс., но преступники отказались и прекратили общение с жертвой. В итоге суммы возросла до $40 млн.

Атака вымогательского ПО лишила израильскую страховую компанию Shirbit практически всего годового дохода. Согласно отчету, из-за атаки киберпреступной группировки BlackShadows в четвертом квартале компания лишилась $2,4 млн, из-за чего вся ее прибыль за 2020 год составила мизерные $240 тыс. Для сравнения, в 2019 году Shirbit заработала $7,8 млн.

Атака вредоносного ПО на компанию Applus Technologies, проводящую экспертизу транспортных средств по количеству выделяемых ими выхлопных газов, застопорила техосмотры в восьми штатах США. Хотя неизвестно, какой тип вредоносного ПО использовался в атаке, компания, скорее всего, стала жертвой вымогательского ПО. Если это так, во время атаки программа-вымогатель могла похитить ее данные, в том числе об автомобилях и их владельцах.

Ведущий французский производитель электронных устройств Asteelflash стал жертвой кибератаки со стороны вымогательской группировки REvil. Сначала злоумышленники потребовали выкуп в размере $12 млн, но по истечении срока для уплаты выкупа сумма удвоилась и составила $24 млн.

Недавние изменения в вымогательском ПО REvil теперь позволяют ему автоматизировать процесс шифрования файлов в безопасном режиме после смены пароля Windows. Функцию шифрования файлов в безопасном режиме REvil получил еще в прошлом месяце, однако в то время пароль для авторизации на системе после перезагрузки нужно было вводить вручную, что могло вызывать подозрения у жертвы. Новая версия вредоноса «научилась» вводить пароль автоматически.

Операторы программы-вымогателя Cring атаковали два производственных предприятия, принадлежащих европейскому производителю. Преступники загрузили новую версию вымогательского ПО Cring и зашифровали серверы, контролирующие производственные процессы. Операторы вымогателя перехватили контроль над сетями предприятий, используя уязвимость ( CVE-2018-13379 ) в серверах Fortinet Fortigate VPN. Об атаках APT-групп через данную уязвимость также предупредили власти США.

Представители Microsoft рассказали о причинах недавнего сбоя в работе ряда облачных сервисов техногиганта. Отключение, длившееся примерно два часа, было вызвано «аномальным всплеском» DNS-запросов в результате DDoS-атаки, поступавших со всего мира и нацеленных на набор доменов, размещенных в Azure.

Разработчики DeFi-протокола Force DAO сообщили об атаке хакеров, организованной через несколько часов после запуска проекта. Злоумышленники воспользовались уязвимостью системы, что позволило беспрепятственно вывести средства. После запуска кампании по бесплатной раздаче токенов (AirDrop) 3 апреля четыре хакера совершили кибератаки и похитили в общей сложности 183 ETH на сумму примерно $367 тыс.

Web-сервис для хостинга IT-проектов GitHub расследует серию атак на свою облачную инфраструктуру, в рамках которой киберпреступники используют серверы компании для незаконных операций по майнингу криптовалют. Первые атаки были зафиксированы французских программистом, использующим псевдоним Tib, осенью 2020 года. В ходе кампании преступники используют функцию GitHub Actions, позволяющую автоматически выполнять задачи и рабочие процессы после того, как определенное событие происходит в одном из репозиториев пользователя GitHub.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!