Обзор инцидентов безопасности за период с 13 по 19 января 2020 года

Одним из громких событий прошедшей недели стало известие о фишинговой атаке, осуществленной на украинскую нефтегазовую компанию Burisma Holdings. В причастности к кампании подозревается киберпреступная группировка Fancy Bear. Атака велась на протяжение шести месяцев, в частности преступники нацелились на две дочерние компании Burisma — «КУБ-ГАЗ» и «ЕСКО-ПІВНІЧ» —, а также на связанную с ними «CUB Energy Inc». Злоумышленники использовали похожие домены, чтобы обманом заставить сотрудников компаний ввести свои пароли электронной почты. Какая именно информация интересовала преступников, пока выяснить не удалось.

Ошибка «синего экрана смерти» (Blue Screen of Death, BSoD) помогла выявить операцию по добыче криптовалюты. Жертвой оказалась одна из американских медицинских компаний (ее название не разглашается), а сама вредоносная программа скрывалась в аудиофайлах WAV и распространялась на уязвимые системы под управлением Windows 7 в сети через EternalBlue — эксплоит для уязвимости в Windows-реализации протокола SMBv1, который использовался в кибератаках WannaCry и NotPetya в 2017 году.

В конце минувшей недели Минюст США сообщил об изъятии домена WeLeakInfo.com, предоставлявшего пользователям платный доступ к данным, утекшим в Сеть в результате взломов. База сайта включала более 12 млрд проиндексированных записей, в том числе имена, адреса электронной почты, логины, номера телефонов и пароли, полученные в результате более чем 10 тыс. утечек данных. Также в Нидерландах и Северной Ирландии были арестованы двое молодых людей по подозрению в причастности к ресурсу WeLeakInfo.

Еще одним важным событием прошедшей недели стал выпуск компанией Microsoft первых в этом году плановых обновлений безопасности, устраняющих в том числе резонансную уязвимость (CVE-2020-0601) в CryptoAPI в Windows, обнаруженную специалистами Агентства национальной безопасности США. Кстати, это впервые, когда АНБ поделилось информацией об уязвимости с производителем.

Все больше операторов вымогательского ПО перенимают практику публикации данных компаний, отказавшихся платить выкуп. «Первопроходцами» в этой области стали операторы вымогателя Maze, создавшие сайт, на котором указываются организации, решившие самостоятельно восстановить свои компьютерные системы без оплаты выкупа. Вслед за Maze операторы вымогательского ПО Sodinokibi разместили ссылки на около 337 МБ предположительно украденных файлов жертв на одном из подпольных форумов, а теперь о создании блога для размещения похищенной информации задумались и операторы шифровальщика Nemty.