Дайджест киберинцидентов Acronis #23
Немецкий топливный гигант атакован
Крупнейший немецкий поставщик ГСМ, компания Oiltanking GmbH, которая продает и доставляет бензин 26 топливным компаниям по всей стране, включая Shell с ее 1 995 заправочными станциями — со своих 13 нефтеперерабатывающих заводов, пострадала от крупной кибератаки.
На момент сообщения не была известна, ни группа, организовавшая атаку на ИТ-системы компании, ни тип самой атаки. Однако, судя по всему, речь идет об атаке Ransomware, а в качестве наиболее вероятного организатора указываются хорошо известные группировки APT27 и Emissary Panda.
Oiltanking немедленно отключили поврежденные системы и запустили расследования. В число поврежденных компонентов ИТ-инфраструктуры попали также средства автоматизированной работы систем загрузки топлива, которые пришлось перевести в ручной режим.
Атаки на ИТ-инфраструктуру, учитывая современный уровень автоматизации, очень опасны для подобных компаний. Если серверы не удается разблокировать быстро, возникают проблемы в цепочках поставок, люди не получают бензин, а компания теряет деньги. А если атаку вовремя не обнаружить, то результатом может стать экологическая катастрофа. Ведь часть киберпреступников ставят перед собой целью не только заработок денег, но и дестабилизацию общественного порядка.
Британского производителя снеков атаковала группировка Conti
Британский производитель снеков, компания KP Snacks, является одним из наиболее популярных поставщиков различных продуктов питания. Ее товары продаются по всей Англии. И в этом месяце организация стала жертвой атак группировки Conti. В штате компании работает более 2 000 сотрудников, а годовой доход составляет около $600 миллионов. Что же, хакеры выбрали достойную цель для шантажа и вымогательства.
Кроме шифрования и блокировки ИТ-систем, киберпреступникам также удалось украсть несколько архивов с важной информацией, включая персональные данные работников, финансовую документацию и договоры с заказчиками. И это еще один пример новейшей тактики Conti двойного шантажа — если не сработает шифрование, то компания, вероятно, не захочет придавать огласке свои внутренние данные.
Кстати, группировка Conti в последнее время вообще проявляет очень высокую активность. Они взломали Bank of Indonesia, а также сеть отелей Nordic Choice Hotel. Учитывая эволюцию этой программы-вымогателя, для эффективной защиты от подобных атак требуются действительно комплексные меры.
Новая уязвимость в продуктах Microsoft снова позволяет повысить привелегии
В рамках одного из исследований в сфере киберзащиты в Microsoft Windows 10 была обнаружена новая критическая уязвимость CVE-2022–21882. Она позволяет атакующему легко расширить свои привилегии и стать администратором на том устройстве, к которому раньше был только ограниченный доступ.
Уязвимости, открывающие путь к эскалации привилегий, позволяют получить права для создания и удаления пользователей, а также использовать все доступные сетевые ресурсы для распространения вредоносной активности.
Конечно, уязвимость получила обновление Microsoft по исправлению 'Win32k Elevation of Privilege Vulnerability'. Однако в процессе выяснилось, что новая уязвимость — это просто другой способ эксплуатации обнаруженной (и закрытой обновлением) в прошлом году бреши CVE-2021–1732 с аналогичными возможностями.
Таким образом, можно констатировать, что в наше время патчинг является не разовой, а постоянной задачей. Администраторам нужно постоянно контролировать версии ПО и устанавливать обновления. И, безусловно, сделать это можно только при наличии автоматизированных средств мониторинга и (желательно) установки обновлений.
Фишинг для желающих устроиться на работу
Криминальная группировка Lazarus APT запустила обширную фишинговую кампанию, которая использует в качестве прикрытия…предложения о вакансиях в Lockheed Martin. Это относительно новый заход, который, тем не менее, по-прежнему использует привлекательные для пользователей информационные поводы. Таким образом злоумышленникам удается притупить внимание и заставить человека перейти по вредоносной ссылке.
Lazarus проявляется активность с 2009 года, группировка занимается кибершпионажем и киберсаботажем. По некоторым данным, на их счету взлом более 1 000 крупных компаний. И в этот раз они рассылают вредоносные документы с макросами, которые заставляют Windows Update запустить вредоносный файл DLL, обходя тем самым стандартные системы защиты.
Тем временем, подобные атаки вполне успешно останавливают системы, использующие ИИ для обнаружения угроз. Нетипичное поведение компонентов обновления Windows становится триггером для блокировки новой вредоносной схемы.
Турцию накрыло «ГрязнойВодой»
Частные и государственные компании в Турии были атакованы иранской группировкой APT под названием MuddyWater.
Эти злоумышленники работают как минимум с 2017 года и уже отметились атаками на Австрию, Иран, Саудовскую Аравию…и теперь Турцию. Как и раньше MuddyWater используют фишинг для распространения вредоносных документов или непосредственно исполняемых файлов. В качестве прикрытия эти ребята выбрали рассылки от Министерства Здравоохранения Турции и других органов власти. При этом изначально группировка не совершает никаких действий, но создает обширное заражение сетей для последующей атаки или доставки нового вредоносного ПО.
Учитывая, что пользователь может и вовсе не заметить, что в его системе появилось что-то новое, в такой ситуации очень важно использовать защиту с поведенческим анализом и фильтром URL, чтобы не допустить заражения корпоративной сети «минами замедленного действия».
Группа MoleRats перешла на использование нового трояна
Новый троян NimbleMamba, судя по всему, был выпущен группировкой Molerats, которая в последнее время вела себя тихо и практически никак не проявляла.
В соответствии со стандартной практикой Molerats NimbleMamba использует обширные фишинговые кампании для распространения троянской программы. NimbleMamba, судя по всему, является заменой уже устаревшего бэкдора группировки, известного под названием LastConn. Угроза использует географические метки, чтобы убедиться, в каком регионе находится жертва. В случае позитивного совпадения используется Dropbox API для кражи данных, а также устанавливаются элементы command-and-control с попыткой захвата управления компьютером.
Для ряда систем NimbleMamba представляет реальную угрозу, так как код этого ПО относительно новый, и не всегда будет замечен антивирусом. Впрочем, именно за этим Molerats разработали новое, незаметное ПО.
Кибератака на Vodafone оставила миллионы людей без связи
Телекоммуникационный оператор Vodafone Portugal (входит в британскую Vodafone Group) был вынужден отключить свои сети из-за масштабной кибератаки.
Учитывая, что у оператора практически 4,2 миллиона мобильных абонентов и 3,4 миллиона проводных подключений, все это коснулось огромного количества людей. Каким именно видом вредоносного ПО был атакован Vodafone Portugal по-прежнему неизвестно. Но мы знаем, что миллионы людей оказались без связи и привычных сервисов, а компания уже в первые минуты даунтайма потеряла немало денег.
Эта атака произошла сразу после нападения на два крупнейших португальских издания, которое совершили члены группировки Lapsus$. Впрочем, подтверждений, что нападение на Vodafone также относится к этим киберпреступникам, пока нет.
Чтобы обеспечить защиту от подобных угроз, современным компаниям приходится использовать действительно многоуровневую систему защиты, а также надежные инструменты восстановления. Только так можно гарантировать возвращение к работе в кратчайшие сроки. А в случае с такими компаниями как Vodafone, это крайне желательно.
Path Tuesday заставляет снова задуматься об автоматизированных обновлениях
Февральский Patch Tuesday от Microsoft принес нам исправления для 48 багов, включая одну уязвимость нулевого дня.
И хотя ни один из этих патчей не был признан «критическим» (что редкость в последнее время), уязвимость нулевого дня получила оценку CVSS на уровне 7.8 из 10. Она позволяет получить эскалацию привилегий прямо через ядро системы. Да, она не критическая, потому что атакующему необходимо совершить целый ряд дополнительных действий и уже проникнуть в систему, чтобы ее эксплуатировать. Но и расслабляться, впрочем, тоже не стоит.
В дополнение к патчам Microsoft, Adobe также выпустил обновления безопасности для некоторых продуктов из семейства Creative Suite, включая Premier Rush, Photoshop, After Effects и другие. CISA, в свою очередь, уведомила пользователей в необходимости срочно обновиться, потому что уязвимости позволяют злоумышленникам получить полный контроль над компьютером жертвы.
Постоянные обновления безопасности для критического бизнес-ПО стали нормой. Поэтому нам приходится следить за непрерывной установкой патчей и защищать системы, в которых еще не установлены обновления.
Инфостилер вместо обновления Windows до 11 версии
Сегодня в мире около миллиарда пользователей Windows 10, которым рано или поздно придется обновиться до Windows 11. Однако известные сложности с оборудованием не позволят это сделать всем и сразу.
Организаторы кибератаки использовали этот факт и стали распространять свое ПО, ориентируясь на людей, ожидающих обновления. В сети было создано множество фальшивых сайтов со всплывающими окнами, которые позиционируют себя как легитимные уведомления Microsoft. Они предлагают «обновления», но на самом деле распространяют инфостилер RedLine через Discord CDN.
Теперь QBot требуется всего 30 минут, чтобы украсть ваши данные
Активно распространяющаяся угроза связана с масштабной кампанией уже показавшего себя в деле трояна Qbot. Теперь он может украсть важные данные всего за 30 минут, что намного быстрее, чем предыдущие варианты этого же вредоносного ПО.
Qbot (также известный как Qakbot или Quakbot) обычно прячется в файлах Excel, а также размещает загрузчика в виде зараженной DLL на машине жертвы. Сразу после этого вредоносное ПО встраивается в легитимные процессы и уже готово к краже важных данных.
Чтобы защититься от новой волны атак, необходимо использовать средства защиты, способные обнаруживать вредоносные компоненты внутри файлов, кажущихся легитимными. Обычно для этого используются методы поведенческого анализа.