Дайджест киберинцидентов Acronis #19

5a7494cc2ae64befa00203256d0f1a95.jpg

По данным APWG объемы фишинга будут только нарастать

Рабочая группа международного консорциума Anti-Phishing Working Group (APWG), в состав которой входят также представители Acronis, ставит перед собой задачу выработать единый глобальный подход к противодействию киберпреступности. И достигнутые на сегодняшний день результаты работы организации были изложены в отчете за третий квартал 2021 года.

По данным APWG участник консорциума только в июле 2021 года заблокировали 260 642 фишинговых атак — самый высокий показатель за все время сбора и систематизации консолидированной статистики. При этом 35% атак приходится на взлом финансовых приложений, 29% были направлены на облачные приложения и веб-почту. Похищение криптовалют стало следующим в списке приоритетов — на их долю пришлось 6% атак. 

Впрочем, результаты исследования четко говорят о том, что атакующие расширяют спектр своей активности. Только количество брендов, которые были атакованы непрерывно растет — в начале года их было около 400, а к сентябрю количество жертв подскочило до 700. А по сравнению с 2020 годом общее количество фишинговых атак выросло более чем вдвое.

Эти новости четко свидетельствуют о том, что компаниям нужно серьезнее подходить к вопросам защиты электронной почты и фильтрации URL. Правда делать это в современных условиях, когда многие работают из дома, оказывается намного сложнее.

Группировка Hive атаковала Supernus Pharmaceuticals и TH Nürnberg University

Известные своими громкими атаками преступники из группировки Hive провели серию новых атак на крупные цели. В число новых жертв попали биофармацевтическая фирма Supernus Pharmaceuticals и немецкий университет TH Nürnberg University.

И хотя Supernus Pharmaceuticals сообщила, что атака не оказала значительного влияния на их бизнес, сами участники Hive заявили на своем сайте утечек, что у них имеется порядка 1,3 Тб ценных данных из компании. Группировка настаивает на том, что Supernus скрывает информацию об утечках, чтобы не испортить репутацию во время крупной сделки по приобретению Adamas Pharmaceuticals. Возможно поэтому так и не опубликована никакая информация о сумме выкупа.

TH Nürnberg University пострадали от такой же атаки и восстановили большую часть своих систем только через три недели. Однако и после этого часть систем осталась offline. Впрочем, в этом инциденте тоже не известно, были ли украдены какие-то ценные данные, а также был ли выплачен какой-то выкуп преступникам. 

Почтовая система IKEA пострадала от кибератаки

Всемирно известного ритейлера IKEA атаковали фишинговыми письмами. При этом атака остается внутренней, потому что злоумышленники используют уже существующие цепочки писем и переписки, имитируя типичные сообщения, которые сотрудники посылают друг другу. 

Попасть в сеть IKEA злоумышленникам удалось через уязвимости ProxyShell и ProxyLogon. Оказавшись внутри, хакеры получили возможность отвечать на корпоративные письма. Разумеется, при этом происходила рассылка вредоносного ПО — в данном случае Emotet и Qbot.

Для шведской компании IKEA, которая владеет 445 огромными магазинами по всему миру и содержит более 220 000 сотрудников, такая атака является серьезной проблемой, ведь объемы внутренней переписки внутри организации велики. А для злоумышленников IKEA, безусловно, выступает в роли очень крупной цели, потому что вероятность получить выкуп в случае успешной блокировки каких-либо критически важных бизнес-процессов или кражи важных данных достаточно велика.

Японская больница перестраивает ИТ-системы из-за атаки Ransomware

Handa Hospital из японского города Цуруги (Tsurugi) сообщил о ликвидации последствий крупной кибератаки, случшившейся в октябре. Организация планирует потратить около ¥200 миллионов на реорганизацию своей компьютерной сети вместо оплаты выкупа атакующим. В целом это похвальный тренд, потому что он не поощряет деятельность киберпреступников.

Тем не менее атака негативно повлияла на качество обслуживания пациентов. Электронные карты 85 000 людей стали недоступны персоналу, а также пострадала бухгалтерская система больницы, а значит у сотрудников возникли проблемы с начислением зарплат, заказом материалов и так далее. Из-за атаки Handa Hospital перестал принимать новых пациентов и планирует вернуться к нормальной работе только к 4 января 2022.

Разумеется такое положение дел вряд ли порадует самих горожан, которые оказались лишены медицинской помощи в наше нелегкое время. Однако мэр города провел публичные слушания и объяснил, что муниципалитет даже согласился оплатить требования мошенников, но потом передумал. Ведь госпиталь не получает никаких гарантий восстановления данных. Да и бюджетные средства «не предназначены для выплат преступникам». Возникает, конечно вопрос, почему бюджетные средства не были потрачены ранее на создание систем защиты в медицинской организации, но это тема уже для другого разговора. 

Windows Defender «сошел с ума» по поводу Emotet

Сразу после того, как Trickbot был замечен в распространении новой версии ботнета Emotet, система защиты от Microsoft Windows Defender стала выдавать невероятное количество ложных срабатываний, определяя различные исполняемые программы и документы Microsoft Office как пэйлоады Emotet.

И хотя Microsoft никак не прокомментировала, что стало причиной этих ложных срабатываний, эксперты придерживаются мнения, что все дело в неточной настройке бихевиористического модуля, который маркировал любую схожесть в поведении с Emotet как угрозу вместо предупреждения. К сожалению, неприятность привела к фактической остановке целого ряда компаний, которые решили, что являются жертвами атаки Emotet.

Но даже в тех организациях, которые не задумывались об остановке ИТ-систем, администраторы сообщали о многочисленных проблемах в работе: огромное количество документов не открывались, а приложения не запускались. Все это мешало нормальной работе. Microsoft, конечно, сразу выпустила обновление для облачных пользователей своих систем, но всем остальным пришлось подождать выхода патча, который можно скачать и установить. 

Что же, этот инцидент показывает, что возможность маркировать файлы как «надежные» бывает очень важна, хотя ее часто и недооценивают. Такой подход позволяет избежать ложных срабатываний и гарантировать работоспособность системы, даже если антивирус «сошел с ума». 

Коронавирусный фишинг эксплуатирует Омикрон-тему

Новая волна страха, связанная с очередным штаммом коронавируса — Omicron COVID-19 — стала поводом для запуска очередной фишинговой кампании. По данным анализа ряда копаний, специализирующихся в области киберзащиты, количество фишинговых писем, связанных с вакцинацией, выросло как минимум на 26%.

Одна из таких кампаний, например, была направлена на граждан Великобритании. Атакующие рассылали электронные письма с различной пугающей дезинформацией и ссылками на фальшивый сайт NHS, единственная цель которого — сбор персональных данных. Кроме этого жертвам предлагали оплатить различные услуги или записаться на платную процедуру вакцинации, чтобы они раскрыли свои финансовые данные.

В таких случаях даже подкованные пользователи могут стать жертвой фишинговой атаки. Но что самое печальное, подобные инциденты могут привести к компрометации всей корпоративной ИТ-инфраструктуры. Поэтому компаниям стоит еще раз задуматься о внедрении решений для фильтрации электронной почты, ведь фишинговая активность растет с каждым днем!  

Операторы Cuba Ransomware заработали более $44 миллионов

Опубликованный в прошлом месяце отчет ФБР раскрыл масштаб урона, нанесенного Ransomware Cuba. По данным федерального агентства злоумышленникам удалось получить как минимум $43,9 миллионов только в виде платежей жертв, которые откупались от шифровальщика. Это стало возможным за счет успешных атак на 49 (публично известных) целей в пяти секторах, относящихся к критической инфраструктуре. 

Группировка Cuba развивает свой проект Ranomware и работает уже несколько лет, атакуя в основном организации в США, Южной Америке и Европе. Для распространения вредоносного кода они используют троян Hancitor, а также не брезгуют фишингом. 

Таким образом, чтобы обеспечить защиту от этого вредоносного ПО, необходимо либо обнаружить и остановить работу самого Ransomware Cuba (и восстановить поврежденные файлы), либо блокировать троянскую программу и фишинговые атаки. В принципе сегодня и то и другое делают комплексные решения киберзащиты, так что обладатели современных систем «больше, чем антивирус» не должны пострадать от этой угрозы.

© Habrahabr.ru