Обзор инцидентов безопасности за период с 12 по 18 октября 2020 года

Как показывают события прошлой недели, киберпреступные группировки активно взялись за уязвимость Zerologon, операторы ботнета TrickBot продолжают свою деятельность, несмотря на операцию Microsoft по его ликвидации, а киберпреступная группировка FIN11 изменила свою тактику и вооружилась вымогательским ПО. Об этих и других инцидентах безопасности за период с 12 по 18 октября 2020 года читайте в нашем обзоре.

Начало прошлой недели ознаменовалось предупреждением от компании Microsoft о том, что российская киберпреступная группировка TA505 (она же CHIMBORAZO и Evil Corp) эксплуатирует в своих атаках уязвимость Zerologon ( CVE-2020-1472 ). В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, способные обходить контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe).

Об атаках с эксплуатацией Zerologon также предупредили ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA). По их данным, APT-группировки осуществили ряд атак на правительственные сети в США, проэксплуатировав уязвимости в VPN ( CVE-2018-13379 ) и Windows ( CVE-2020-1472 ). Атаки были нацелены на федеральные, местные, территориальные правительственные сети и критическую инфраструктуру США. Оба агентства заявили, что также были зафиксированы атаки на неправительственные сети.

Компания Microsoft осуществила легальную координированную атаку на ботнет Trickbot – киберугрозу, предлагаемую по бизнес-модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS), заразившую миллионы компьютеров по всему миру и использующуюся для распространения вымогательского ПО. Суд штата Вирджиния разрешил Microsoft получить контроль над множеством серверов, использующихся Trickbot для взаимодействия с зараженными системами. Примечательно, что основанием для судебного решения послужил факт нарушения операторами ботнета авторских прав Microsoft.

Тем не менее, Trickbot не был отключен полностью. Операторы ботнета продолжают свою деятельность и неустанно совершенствуют техники. Долгое время вредонос использовался для взлома корпоративных сетей путем загрузки различных программных модулей для хищения паролей, распространения на другие устройства или кражи баз данных Active Directory. Теперь преступники атакуют корпоративные сети с помощью трояна BazarLoader, а затем загружают вымогательское ПО Ryuk.

На использование вымогательского ПО также перешла финансово мотивированная киберпреступная группировка FIN1. Группировка осуществляет крупномасштабные операции, в последнее время атакуя компании в Северной Америке и Европе из самых разных секторов промышленности с целью похитить персональные данные и загрузить вымогательское ПО Clop. Начиная с августа нынешнего года, киберпреступники атаковали организации в сфере обороны, энергетики, финансов, здравоохранения, фармацевтики, телекоммуникаций, технологий и транспорта.

Судя по всему, вымогательское ПО остается одним из самых прибыльных киберпреступных бизнесов. Все больше крупных компаний по всему миру становятся жертвами программ-вымогателей, и одной из них является крупнейший в США продавец книг Barnes & Noble. 14 октября компания разослала своим клиентам уведомления о том, что 10 октября ее корпоративные компьютерные системы подверглись кибератаке. Согласно сообщению компании, в результате инцидента были скомпрометированы электронные адреса, биллинг адреса, адреса доставки и история покупок пользователей. Хотя Barnes & Noble не раскрывает характер кибератаки, судя по всему, она стала жертвой вымогательского ПО.

Операторы вымогательского ПО Egregor выложили в открытый доступ данные, по их словам, похищенные из внутренних компьютерных сетей двух крупнейших производителей игр – Ubisoft и Crytek. Данные были опубликованы на портале киберпреступной группировки в даркнете в четверг, 15 октября. В случае с Ubisoft киберпреступники опубликовали файлы, свидетельствующие о наличии у них принадлежащего компании исходного кода игры Watch Dogs. Утечка Crytek включает документы, судя по всему, похищенные у отдела разработки игр. В них содержатся ресурсы и сведения о процессе разработки игр Arena of Fate и Warface, а также старой игровой соцсети Gface.

В начале текущего месяца увеличилось количество случаев кибервымогательства несколько другого рода. Злоумышленники присылают компаниям электронное письмо с требованием выкупа, угрожая в противном случае обрушить на их сети мощную DDoS-атаку. Одной из жертв вымогателей стала британская валютная компания Travelex. Компания не заплатила выкуп, и через некоторое время на ее сети была осуществлена мощная DDoS-атака. Спустя два дня злоумышленники осуществили на Travelex еще одну атаку с применением техник усиления DNS, используя DNS-серверы Google.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы