Обзор инцидентов безопасности за период с 30 января по 5 февраля 2021 года

Атаки на суперкомпьютеры, новый червь для серверов Apache, Oracle и Redis, активность операторов вымогательского ПО – об этих и других инцидентах безопасности за период с30 января по 5 февраля 2021 года читайте в нашем обзоре.

Автономная правительственная организация UK Research and Innovation (UKRI) подверглась кибератаке с использованием вымогательского ПО, зашифровавшего ее цифровые ресурсы. Инцидент затронул два сервиса UKRI – информационный ресурс для подписчиков и внутреннюю платформу для экспертной оценки различных подразделений организации. Эти сервисы представляют собой порталы расположенного в Брюсселе управления исследований UK Research Office (UKRO). Поскольку сервисы UKRO насчитывают порядка 13 тыс. подписчиков, теоретически, киберпреступники могли похитить их персональные данные.

Операторы вымогательского ПО Babyk (также известного как Babuk) создали собственный сайт утечек данных для публикации украденных данных жертв в рамках стратегии двойного вымогательства. Преступники также опубликовали список компаний и организаций, которые они не будут атаковать, с некоторыми исключениями. На сайте утечек данных есть список организаций, которые преступники не намерены атаковать, включая больницы, некоммерческие организации, школы и малые предприятия.

В то же время операторы вымогательского ПО Fonix сообщили о прекращении своей киберпреступной активности, а также опубликовали ключ дешифрования, позволяющий жертвам кибератак бесплатно восстанавливать свои файлы. Представитель группировки даже поделился ссылкой на RAR-архив с именем «Fonix_decrypter.rar», содержащий как дешифратор, так и главный закрытый ключ дешифрования.

Несмотря на высокую активность операторов вымогательского ПО, компании все чаще отказываются платить вымогателям. В результате за последние месяцы средняя сумма выкупа в вымогательских атаках уменьшилась почти на треть, говорится в новом отчете компании Coveware. Согласно исследованию, в четвертом квартале 2020 года средняя сумма выкупа снизилась на 34% — с $233 817 до $154 108. Специалисты связывают этот факт с тем, что все больше организаций отказываются поддаваться требованиям операторов вымогательского ПО и платить (обычно в криптовалюте) за ключ дешифрования.

Французская фирма Stormshield, являющаяся крупным поставщиком ИБ-услуг и устройств сетевой безопасности для правительства Франции, сообщила, что злоумышленники получили доступ к одному из порталов службы поддержки клиентов и украли конфиденциальную информацию. Киберпреступникам также удалось похитить часть исходного кода межсетевого экрана Stormshield Network Security (SNS) — продукта, сертифицированного для использования в конфиденциальных правительственных сетях Франции.

Хакерская группировка, предположительно из Китая, скомпрометировала компьютерные системы ряда американских ведомств, используя еще одну уязвимость в ПО SolarWinds. В частности, были взломаны сети Национального финансового центра (NFC) при Министерстве сельского хозяйства США, занимающегося в том числе обработкой ведомостей о зарплате сотрудников более сотни американских госорганов, включая ФБР, Госдеп, Министерство внутренней безопасности и Казначейство. Проэксплуатированная группировкой язвимость не связана с багом, использованным для компрометации клиентов SolarWinds в прошлогодних атаках, в организации которых заподозрены предположительно российские хакеры. По словам источников Reuters, атакующие использовали компьютерную инфраструктуру и инструменты, ранее «засветившиеся» в кампаниях китайских кибершпионов.

Специалисты Citizen Lab и Motherboard рассказали о кибершпионской кампании против пользователей WhatsApp. Злоумышленники заманивают жертвы на сайт, где им предлагается загрузить мессенджер WhatsApp, которое на самом деле является вредоносным приложением. Как показал технический анализ приложения, к его созданию имеет отношение Cy4Gate – итальянский производитель инструментов для сбора информации, предназначенных для спецслужб и правоохранительных органов. Вероятнее всего, атаки являются целенаправленными и направлены на узкий круг избранных жертв.