Бесплатно Экспресс-аудит сайта:

21.09.2021

Специалисты создают список уязвимостей из арсенала кибервымогателей

Исследователи безопасности работают над созданием удобного для поиска списка уязвимостей, эксплуатирующихся операторами вымогательского ПО и их партнерами для получения первоначального доступа к сетям жертв.

Список представлен в виде диаграммы, предоставляющей ИБ-экспертам отправную точку для защиты их сетей от атак вымогательского ПО.


Все началось с призыва ИБ-эксперта из Recorded Future Аллана Лиски (Allan Liska), опубликованного в Twitter на прошлой неделе. Лиска заявил о намерении создать список уязвимостей, эксплуатируемых операторами вымогательского ПО, и с тех пор к нему примкнуло несколько специалистов.

На прошлой неделе целый ряд партнеров кибервымогательских группировок начали эксплуатировать недавно исправленную уязвимость удаленного выполнения кода в Windows MSHTML ( CVE-2021-40444 ).

В начале текущего месяца операторы вымогательского ПО Conti стали атаковать серверы Microsoft Exchange для взлома корпоративных сетей через уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

В августе кибервымогательская группировка LockFile начала эксплуатировать уязвимости ProxyShell и PetitPotam ( CVE-2021-36942 ) для атак на домены Windows по всему миру, операторы Magniber вооружились эксплоитами для PrintNightmare ( CVE-2021-34527 ), а eCh0raix стали атаковать устройства QNAP и Synology NAS ( CVE-2021-28799 ).

В июле оператор вымогательского ПО HelloKitty атаковали уязвимые устройства SonicWall (CVE-2019-7481), а REvil взломали компанию Kaseya ( CVE-2021-30116 , CVE-2021-30119 и CVE-2021-30120). Кибервымогатели FiveHands в свою очередь вооружили уязвимостью CVE-2021-20016 в SonicWall.

В апреле AgeLocker стали атаковать NAS-устройства QNAP через нераскрытую уязвимость в устаревшей прошивке. Группировка Qlocker также обратилась к устройствам QNAP и стала атаковать их через уязвимость ( CVE-2021-28799 ).

Примерно в это же время вымогатели Cring начали шифровать необновленные устройства Fortinet VPN ( CVE-2018-13379 ) в промышленных компаниях.

В марте серверы Microsoft Exchange по всему миру были атакованы вымогательским ПО Black Kingdom и DearCry через уязвимости ProxyLogon vulnerabilities (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).

В декабре-январе 2020-2021 года кибервымогательская группировка Clop атаковала серверы Accellion ( CVE-2021-27101 , CVE-2021-27102, CVE-2021-27103 , CVE-2021-27104 ), что привело к росту средней суммы выкупа в течение последующих трех месяцев.