Jump to content

Обзор инцидентов безопасности за период с 2 по 8 декабря 2021 года


security147

Recommended Posts

dea4892abc1120effbb9117464db0ddc.jpg

Обзор инцидентов безопасности за период с 2 по 8 декабря 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

Электроэнергетическая компания лишилась всех данных за 25 лет из-за кибератаки, хакеры протестовали против работы, рассылая спам на принтеры чеков, Иран накрыла волна фишинга, злоумышленники распространяют вредоносное ПО через поддельные загрузчики Viber и WeChat – об этих и других инцидентах безопасности читайте в нашем обзоре.

Блокчейн-стартап MonoX Finance стал жертвой кибератаки, в ходе которой хакер украл $31 млн. Киберпреступник воспользовался уязвимостью в программном обеспечении, которое платформа использует для составления сарт-контрактов.

Порядка $120 млн в биткойнах и эфире похитили хакеры у децентрализованной финансовой (DeFi) платформы Badger, позволяющей пользователям брать и давать взаймы и спекулировать на колебаниях цен на криптовалюту. Компания Badger подтвердила факт взлома в своем заявлении в Twitter и «заморозила» платформу на время проведения расследования. Первыми кражу обнаружили специалисты аналитической компании PeckShield. По их словам, хакерам удалось похитить более 2,1 тыс. биткойнов и 151 эфир из учетных записей пользователей Badger. Более 900 биткойнов (порядка $50,5 млн) было похищено у одного-единственного пользователя.

$150 млн в криптовалюте хакеры похитили у криптовалютной биржи BitMart. Основатель и генеральный директор биржи Шелдон Ся подтвердил инцидент и уточнил, что уязвимость была связана с горячими кошельками Ethereum (ETH) и Binance Smart Chain (BSC).

Однако под прицел злоумышленников попадают не только криптовалютные биржи и организации, но и отдельные лица, у которых есть биткойны, эфир и другие монеты или токены. Так, мошенники рассылают владельцам криптовалютных кошельков кастомные токены и заманивают на фишинговые сайты, созданные с единственной целью – похитить криптовалюту из этих самых кошельков. Одной из первых на проблему обратила внимание разработчица Solidity (языка программирования самовыполняющихся контрактов Ethereum) под псевдонимом Shegenerates. На прошлой неделе она сообщила в Twitter, что кто-то прислал ей токенов якобы на $30 тыс., но на самом деле все оказалось обманом.

Десятки тысяч иранцев стали жертвами мошеннической схемы, в ходе которой хакеры отправляли пользователям Android-устройств текстовые сообщения, выдавая себя за иранское правительство. В текстовых сообщениях мошенники побуждали жертв загружать приложения для Android, которые на самом деле крадут информацию о кредитных картах и ​​коды двухфакторной аутентификации, а зараженные устройства затем используются хакерами в качестве ботов для дальнейшей рассылки фишинговых SMS-сообщений.

Неизвестные злоумышленники отправляют на принтеры чеков в предприятиях по всему миру манифесты «против работы». Неизвестные призывают пользователей обсуждать зарплату и оказывать давление на работодателей. Отправленные на принтеры сообщения предлагают читателю зайти на подфорум Reddit r/Antiwork, на котором пользователи обсуждают рабочие права и призывают бороться с несправедливостью на рабочих местах. Некоторые пользователи Reddit предположили, что сообщения являются фальшивыми и напечатаны обычными людьми с доступом к принтеру чеков, или являются частью сговора с целью опорочить репутацию подфорума r/Antiwork.

ФБР и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредили об активной эксплуатации критической уязвимости ( CVE-2021-44077 ) в продукте Zoho ManageEngine ServiceDesk Plus. Преступники используют уязвимость для развертывания web-оболочек и выполнения вредоносных действий. Эксплуатация уязвимости является вторым этапом вредоносной кампании TiltedTemple, организованной предположительно связанной с КНР группировкой, которую Microsoft отслеживает как DEV-0322.

Кибервымогательская группировка BlackByte взламывает корпоративные сети через уязвимости ProxyShell в серверах Microsoft Exchange. Исследователи безопасности компании Red Canary проанализировали атаки BlackByte и обнаружили, что они осуществляются через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружают на атакуемый сервер бикон Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем используется для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливают инструмент для удаленного доступа к системе AnyDesk и осуществляют боковое перемещение по сети.

Порядка 330 супермаркетов SPAR на севере Англии столкнулись с серьезными операционными проблемами из-за кибератаки, произошедшей на прошлой неделе. В результате инцидента супермаркеты стали принимать только наличные, а некоторые и вовсе закрылись. Хотя инцидент имеет явные признаки атаки с использованием вымогательского ПО, заблокировавшего критические IT-системы, характер кибератаки пока официально не раскрывается.

ФБР сообщило , что в ноябре 2021 года вымогательское ПО Cuba скомпрометировало сети как минимум 49 организаций критической инфраструктуры в США, в том числе в финансовом и государственном секторе, а также в сфере здравоохранения, производства и IT. С начала своей вредоносной кампании на территории США группировка потребовала от своих жертв в общей сложности $74 млн и получила более $40 млн.

Электроэнергетическая компания штата Колорадо Delta-Montrose Electric Association (DMEA) болезненно восстанавливается после разрушительной кибератаки, в результате которой были уничтожены все ее данные за последние 25 лет. Из-за атаки, имевшей место в прошлом месяце, компании пришлось отключить 90% своих внутренних компьютерных систем.

Специалисты компании Cisco Talos сообщили о серии вредоносных кампаний с использованием мошеннической рекламы. Преступники использовали поддельные установщики популярных приложений и игр, таких как Viber, WeChat, NoxPlayer и Battlefield, в качестве приманки, чтобы обманом заставить пользователей загрузить бэкдор и вредоносное расширение для браузера Google Chrome. Вредоносы позволяют хакерам похищать учетные данные и получить постоянный удаленный доступ на скомпрометированных системах.

Киберпреступные APT-группировки из Китая, России и Индии, вооружились новым методом атак, получившую название RTF Template Injection («Внедрение шаблона RTF»). Новый подход позволил преступникам осуществлять более сложные атаки и лучше избегать обнаружения.

Американская фирма по кибербезопасности Mandiant, которая зафиксировала взлом SolarWinds в прошлом году, заверяет , что хакеры, якобы имеющие связь со спецслужбами из России, вероятнее всего вновь предпримут попытки хищения данных, которые «релевантны российским интересам». В Mandiant заметили, что не обладают стопроцентной уверенностью в достоверности подобных утверждений. Тем не менее, американские специалисты полагают, что как минимум за частью выявленной активности стоит сообщество хакеров, которое подозревают в работе на Службу внешней разведки России.

Правительство США также обвинило РФ в причастности к кибератакам на разработки вакцин от коронавируса.

«Только за последний год ряд государств, в том числе КНР, Россия, Иран и КНДР, посредством киберопераций нацеливались на деятельность и исследования, связанные с разработкой в США вакцин от COVID-19», - заявил Минючт США.

Американские дипломаты в Уганде стали объектом слежки при помощи программного инструмента, разработанного израильской фирмой NSO Group. Если факт шпионажа против сотрудников Госдепа США подтвердится, разработчика «отмычек» для iPhone ждут серьезные проблемы.

страдают от новых технологий, а неудачный пост в

.

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...