Дайджест киберинцидентов Acronis #1
Привет, Хабр! Начиная с сегодняшнего дня мы будем публиковать еженедельные дайджесты новостей информационной безопасности, рассказывать о новых взломах и угрозах, а также делиться своим опытом глобального наблюдения за киберпреступностью. В этой дайджесте вы узнаете о новых крупных взломах и атаках, маскировке известных группировок, секретах успешного фишинга и о том, сколько патчей Microsoft в июне нужно установить в обязательном порядке.
Для начала скажем несколько слов о том, откуда мы берем информацию об угрозах. Еще несколько лет назад Acronis сформировал глобальную сеть центров кибербезопасности Cyber Protection Operations Centers (CPOCs). Благодаря постоянному мониторингу событий, происходящих в глобальных сетях, а также на рабочих станциях и на серверах наших клиентов, которых насчитывается более 5 миллионов по всему миру.
Оператор речных перевозок попал под атаку Ransomware
Вслед за уже нашумевшими атаками на другие объекты инфраструктуры США, в частности на Colonial Pipeline, произошло заражение Steamship Authority, крупнейшего оператора паромных перевозок в штате Массачусетс.
Steamship Authority выступает в единым регулятором и управляет движением всех паромов между материковой частью Массачусетса и островами Марта«c Виньярд и Нантакет. К счастью, сами перевозки не были парализованы, однако пока нет никакой информации о том, какой выкуп требуют злоумышленники, и как Steamship Authority планирует восстанавливать свои системы после масштабной атаки.
Но самое печальное, что из-за шифрования файлов пока никто не может сказать, насколько чувствительная информация попала в руки злоумышленников. Это еще один аргумент, почему преступники стали все чаще применять Ransomware вместе с программами класса Infostealer — жертва находится одновременно под угрозой потери данных и утечки данных. В результате создается больше рисков для бизнеса и выше шанс, что руководство все-таки решится заплатить выкуп.
Это совсем не те вымогатели, которых вы ищете…
После того, как США ввели санкции в 2019 году преступная группировка, известная как Evil Corp, приступила к маскировки и провела «небольшой ребрендинг», чтобы скрыть свою активность. Так что даже уже пострадавшие могут снова столкнуться с действиями тех же злоумышленников, но под новым «соусом». Напомним, что Evil Corp несет ответственность за ущерб более чем в $100 миллионов, учитывая суммы выкупов и нанесенный вред. Именно они атаковали такие крупные компании как Garmin, Forward Air и страхового магната CNA.
Недавно исследователи обнаружили ряд кибератак, использующих новое вредоносное ПО PayloadBIN и отнесли эти атаки к деятельности другой известной группировки под названием Babuk (они, кстати, перед этим заявили о прекращении своей деятельности). Считалось, что Babuk просто соврали о своем «выходе на пенсию». Однако после более детального анализа факты стали указывать на деятельность Evil Corp, которая вполне может стоять за новыми атаками.
Почему это важно? Установление связи между PayloadBIN и Evil Corp позволяет лучше изучить ландшафт киберугроз, а также принять меры к противодействию — ведь специалистам по кибербезопасности хорошо известны приемы Evil Corp. Но, а для пользователей это еще один аргумент о том, что для реальной борьбы с Ransomware стоит использовать решения с AI, способные обнаруживать неизвестные угрозы.
Семь брешей «нулевого дня» были закрыты в июньский «вторник патчей»
В свой «вторник патчей» Microsoft представил 50 обновлений, включая исправления для семи уязвимостей «нулевого дня». Причем на тот момент уже было известно, что шесть из них были использованы киберпреступниками.
Четыре из обнаруженных уязвимостей позволяли получить дополнительные привилегии, одна была способна привести к утечкам информации, а еще одна открывала возможности для удаленного запуска произвольного кода. Седьмая уязвимость никак не проявила себя в виде реальных атак — это лазейка для реализации DDoS в сервисах Windows Remote Desktop.
Из 50 патчей, предложенных в начале текущего месяца, 5 штук были признаны Microsoft критически важными, а 45 — важными. Среди потенциально уязвимого ПО — Microsoft Office, браузер Edge, Visual Studio, .NET Core и ряд других бизнес-приложений.
Подобная ситуация еще раз говорит в пользу технологий патч-менеджмента. Когда уязвимости уже эксплуатируются злоумышленниками лучше всего устанавливать обновления вовремя. Поэтому организациям стоит использовать автоматизированные инструменты управления патчами, чтобы вывести в приоритет загрузку и установку на всех машинах в первую очередь наиболее критичных исправлений.
Ransomware продолжает атаковать компании, связанные с трубопроводным бизнесом
Не успели мы еще забыть о недавней панике и полном отключении систем Colonial Pipeline из-за атаки Ransomware, новости последней недели пополнились нападением на еще один трубопроводный бизнес — LineStar Integrity Services.
LineStar Integrity Services — это специалисты по аудиту, обслуживанию и другим сервисам для трубопроводных компаний. Ежегодная прибыль этой организации составляет более $171 миллионов. И относительно новая группа Ransomware, известная как Xing Team, украла у сервисной компании 70 Гб данных, часть из которых уже была опубликована на сайтах утечек. В числе скомпрометированной информации — более 73 000 электронных писем, бухгалтерская документация, контракты, программный код, технические данные, а также чувствительная информация отдела кадров — номера соцстрахования и номера водительских удостоверений.
Атака во многом стала возможной потому, что Xing Team — это относительно новая киберпреступная группировка, и образцы Ransomware, которые они используют, еще не были проанализированы многими лабораториями. Таким образом, обеспечить защиту от подобных атак можно только с помощью бихевиористского анализа и блокировки подозрительной активности, похожей на шифрование и кражу файлов.
После успешной атаки на SolarWinds Nobelium ударились в фишинг
Группа Nobelium, ставшая широко известной несколько месяцев назад после атаки на SolarWinds, решила расширить спектр своей деятельности. Киберпреступники запустили масштабную фишинговую кампанию, атакуя около 3000 учетных записей, относящихся к правительственным организациям и консалтинговым компаниям. И хотя основной целью злоумышленников явно были институты США, такие же электронные письма получили адресаты еще в 24 странах.
Преступники получили доступ к сервису Constant Contact (который как раз занимается маркетинговыми рассылками), а именно — к учетной записи USAID (United States Agency for International Development). Использование доверенной системы позволило Nobelium создать действительно убедительные фишинговые письма, ведь отправитель входил в число проверенных, а сами сообщения отличались корректными заголовками.
В письмах была информация о новых документах, якобы свидетельствующих о подтасовках на выборах в США. Однако переход по ссылке приводил к загрузке вредоносного файла ISO. После его загрузки файл устанавливал в систему вредоносную библиотеку DLL, которая на самом деле являлась бэкдором Cobalt Strike.
Здесь стоит отметить, что подобные атаки вообще становятся возможны из-за низкого уровня использования механизмов URL-фильтрации в корпоративных системах защиты. Исследование Acronis Cyber Readiness 2020 показало, что в на подобные решения бюджет выделяется только 2% компаний. Поэтому не стоит удивляться, если кибермошенники будут использовать подобные методы работы чаще.