Бесплатно Экспресс-аудит сайта:

26.06.2021

Обзор инцидентов безопасности за период с 19 по 25 июня 2021 года

Новые атаки вымогательского ПО, громкие заявления Anonymous, китайские APT – об этих и других событиях в мире ИБ за период с 19 по 25 июня 2021 года читайте в нашем обзоре.

Команда ИБ-специалистов Microsoft Security Intelligence предупредила пользователей о текущей вредоносной кампании BazaCall, операторы которой пытаются установить на системах жертв вымогательское ПО. В рамках кампании BazaCall преступники рассылают электронные письма, предлагающие получателям позвонить по указанному номеру для отмены предполагаемой подписки на услугу. Позвонив по номеру, пользователи на самом деле обращаются в мошеннический call-центр, управляемый злоумышленниками. Преступники рекомендуют жертвам посетить конкретный web-сайт и загрузить файл Microsoft Excel для завершения процедуры. Файл, в свою очередь, содержит вредоносный макрос для загрузки вредоносного ПО.

Ряд организаций в нефтегазовом и пищевом секторах получили электронные письма с угрозами от киберпреступников, выдающих себя за DarkSide. По словам исследователей из компании Trend Micro, злоумышленники используют известность вымогательского ПО DarkSide для организации основанной на запугивании кампании с применением социальной инженерии. В электронных письмах преступники предупреждают жертв о том, что группировка успешно взломала их корпоративную сеть и похитила конфиденциальную информацию. Украденные данные будут опубликованы в общем доступе, если не компания не заплатит выкуп в размере 100 биткойнов (примерно $3,8 млн).

Специалисты Trend Micro также предупредили о новом вымогательском ПО под названием DarkRadiation. Вредонос разработан для атак на дистрибутивы Red Hat/CentOS, Debian Linux. Для связи с C&C-сервером злоумышленники используют мессенджер Telegram. Вредоносная программа использует симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) с режимом CBC для шифрования файлов в различных каталогах. В настоящее время неизвестно о методах распространения вредоноса и нет свидетельств того, что программа-вымогатель использовалась в реальных атаках.

Снова дали о себе знать кибервымогатели Clop, несмотря на аресты участников группировке украинской полицией на прошлой неделе. Так, на сайте утечек Clop появились сведения о новой жертве. Опубликованные данные представляют собой записи сотрудников неизвестной компании, включая подтверждение занятости для заявлений на получение кредита и документов.

Жертвой вымогательского ПО также стал третий по величине город Бельгии Льеж. Из-за атаки вышла из строя IT-сеть и online-сервисы муниципалитета. В результате были отменены все назначенные приемы в горадминистрации, свадьбы, похороны и выдача свидетельств о рождении, поскольку госслужащие лишились доступа к IT-сети города. Online-формы для подачи заявок на разрешение проведения массовых мероприятий и парковку также оказались недоступны.

Атаке с использованием вымогательского ПО также подверглась сеть казино Lucky Star в штате Оклахома. Как предполагают ИБ-эксперты, поскольку почти все игры в казино теперь так или иначе компьютеризированы, операторы вымогателя вызвали серьезный сбой в работе компьютерных систем заведений.

Производитель сетевого оборудования Zyxel разослал своим клиентам предупреждение о серии атак, направленных на корпоративные межсетевые экраны и VPN-серверы Zyxel. В частности, злоумышленники атакуют многоцелевые сетевые устройства серий USG, ZyWALL, USG FLEX, ATP и VPN, работающие на прошивке ZLD. На данный момент неясно, как именно атакующие получают доступ к устройствам – с помощью известных уязвимостей или эксплуатируют ранее неизвестные проблемы.

Крупная южнокорейская судостроительная компания Daewoo Shipbuilding & Marine Engineering, специализирующаяся на производстве военно-морских судов, подверглась попыткам взлома со стороны неизвестных киберпреступников. Компания сообщила о происшествии в полицию, и сотрудники правоохранительных органов совместно с военными ведомствами начали расследование инцидента.

Компания Black Lotus Labs обнаружила новый троян для удаленного доступа ReverseRat, операторы которого нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии. Предположительно, операционная инфраструктура киберпреступной группировки находится в Пакистане. Анализируя данную кампанию, специалисты выявили сходство с техниками, тактиками и процедурами, использованными в операции под названием Operation SideCopy, организованной пакистанской APT-группировкой Transparent Tribe в прошлом году. Связаны ли эти две группировки, эксперты не пояснили.

Исследовательская команда Insikt Group ИБ-компании Recorded Future выявила связь между хакерской группировкой RedFoxtrot и Народно-освободительной армией Китая, в частности с подразделением «Unit 69010», оперирующим из Урумчи – административного центра Синьцзян-Уйгурского автономного района. Unit 69010 является частью Бюро технической разведки – структуры в составе Сил стратегического обеспечения (ССО) при Департаменте сетевых систем Китая. В состав ССО входят подразделения, отвечающие за космическую, кибернетическую и радиоэлектронную войну.

Хакеры группы Anonymous обвинили власти Перу, в частности временного президента страны Франсиско Сагасти и Национальное жюри по выборам (JNE), в предвзятости во время президентских выборов и пригрозили главе JNE Хорхе Саласу Аренасу публикацией компромата, если он не уйдет в отставку.