Дайджест киберинцидентов Acronis №17
Hive начинает атаковать Linux и FreeBSD
Группировка Hive разработала новые версии своей фирменной программы-вымогателя, и теперь она может успешно атаковать системы под ОС Linux и FreeBSD.
Да, Windows остается самой популярной ОС для персональных пользователей. Но не стоит обманывать себя, предполагая, что киберпреступники нацелены только на эту операционную систему. В конечном счете, 96,3% из миллиона самых мощных серверов во всем мире работают на Linux…точно так же как 90% всех облачных инфраструктур. И не удивительно, что многие разработчики Ransomware, включая Babuk, DarkSide и HelloKitty, тоже озаботились созданием шифровальщиков под Linux.
Исследователи, обнаружившие новые варианты Hive, утверждают, что проект находится в стадии разработки и пока не готов к атакам «в полевых условиях». Но факт остается фактом, и злоумышленники проявляют все больше интереса к шифрованию сразу всех серверов, какие бы операционные системы ни были на них развернуты.
Таким образом, надежная защита с отлаженными механизмами противодействия Ransomware требуется сегодня и на системах Linux, а также FreeBSD и прочих UNIX-подобных ОС.
«Розовый» ботнет заразил более 1,6 миллиона устройств
Аналитиками была обнаружена самая большая за последние 6 лет ботнет-сеть, в которую входило более 1,5 миллиона зараженных устройств. Этот ботнет назвали «Pink», потому что многие его функции в коде начинаются именно с этого слова.
Основная цель «розового ботнета» заключается в проведении атак DoS (denial-of-service), а также внедрении рекламных модулей, которые ничего не подозревающие жертвы вынуждены просматривать во время веб-браузинга. Pink использует зашифрованные каналы связи, чтобы получать данные с GitHub, серверов command-and-control (C&C), а также из пиринговых сетей (P2P). Все это позволяет создателям надежно контролировать ботов.
Этот ботнет создан так, чтобы максимально тихо распространяться, постепенно обогащая своих создателей. Многие пользователи могут долгое время вообще не замечать его присутствия на компьютере. И поэтому особенно важно использовать систему киберзащиты с поведенческим анализом, которая поможет не допустить распространения такого вредоносного ПО в вашей сети.
Традиционный Patch Tuesday от Microsoft содержал 55 уязвимостей
Microsoft в прошлом месяце выпустила впечатляюще много патчей для уязвимостей в своих продуктах. Исправлению были подвергнуты такие популярные инструменты как, например, Microsoft Exchange и Microsoft Excel. Всего компания стремилась устранить 55 уязвимостей, из которых 6 можно считать эксплойтами нулевого дня.
Двенадцать из закрытых уязвимостей позволяют повысить привилегии аккаунта. И это касается Azure, Office, Exchange Server, Windows Defender и работающий на базе Chromium браузер Edge.
Что же, мы уже привыкли к ежемесячному выпуску десятков патчей. Но, увы, до того как они будут установлены в ОС, компьютер остается в опасности. И без отлаженной системы патч-менеджмента сегодня практически нельзя гарантировать защищенность корпоративных сетей.
Закладка для кражи паролей была обнаружена в двух популярных библиотеках NPM
Недавно в двух популярных библиотеках NPM было обнаружены закладки, предназначенные для кражи паролей. Вредоносный код на JavaScript просто находился внутри!
Две библиотеки — Coa и RC — оказались заражены специализированным ПО для кражи паролей DanaBot. Это вредоносное ПО было специально внесено в библиотеки благодаря неавторизованному использованию учетных записей разработчиков. При этом злоумышленникам удалось добиться значительного распространения своего троянского коня — в сумме Coa и RC еженедельно загружают порядка 22 миллионов раз!
Да, обнаружить такую угрозу сигнатурным способом практически невозможно — JavaScript спрятан внутри большой и легитимной библиотеки. Впрочем, независимо от того, какой именно вариант вредоносного кода внедряется в каждом отдельном случае и какой метод доставки используется, такие киберугрозы как DanaBot могут быть легко обнаружены и заблокированы по поведению и действиям именно в момент попытки перехвата пароля. Но для этого в системе должно быть установлено соответствующее ПО.
Атака Ransomware на провайдера медицинских сервисов нарушила работу систем
Немецкий разработчик ПО для медицинских организаций Medatixx создает ИТ-решения и поддерживает системы более чем в 21 000 клиник. С продуктами компании работает свыше 40 000 врачей. Но все они были вынуждены остановить свои процессы и отключить системы, потому что компания была атакована Ransomware.
По заявлениям представителей компании, атака привела к шифрованию важных компонентов ИТ-систем, частично заблокировав доступ к сервисам и бизнес-процессы. Однако вредоносная активность не коснулась заказчиков и не достигла критически важной системы PVS (practice management systems). На момент объявления об инциденте было неизвестно, удалось ли атакующим украсть какие-либо ценные или критически важные данные. Также непонятно, была ли утечка персональных данных врачей или пациентов.
Несмотря на то, что атака коснулась только внутренних систем разработчика и провайдера, Medatixx рекомендовала всем пользователям своих продуктов немедленно сменить пароли, как меру профилактики возможных компрометаций. Восстановление после атаки заняло несколько недель, а первое время сотрудникам удалось вернуть в свои руки только email и телефонную связь — все остальное было заблокировано.
Что же, атаки Ransomware часто парализуют работу компаний. И в этих случаях важнее всего обеспечить максимально быстрое возвращение к работе. Поэтому значение имеет не только скорость блокировки вредоносной активности, но и время восстановления систем и баз данных к предыдущему состоянию. И чем лучше автоматизирован этот процесс, тем меньше денег теряют компании из-за простоев и недоступности необходимых сервисов.
Void Balaur заставляет задуматься о защите электронной почты
Группа кибер-наемников Void Balaur на протяжении уже нескольких лет собирает всевозможные данные — можно сказать, горы данных — и продает их любому, кто готов платить за информацию.
Но в дополнение к коллекционированию интересной информации в больших объемах Void Balaur организует целенаправленные атаки на крупные цели и известных личностей, включая представителей власти в разных странах. При помощи фишинга киберпреступники взламывают учетные записи пользователей, а после этого крадут все возможное из электронной почты и других активов. В числе выставленных на продажу активов этой группы имеются полные базы электронной почты целого ряда высокопоставленных лиц.
Если в корпоративной почте есть что-то важное и способное скомпрометировать или повредить репутации компании, сегодня имеет смысл установить современное решение для защиты email. Деятельность таких групп как Void Balaur может привести к тому, что содержимое вашего почтового ящика тихо и без лишнего шума станет достоянием конкурентов.
Emotet начинает возрождаться «на хвосте» TrickBot
Наделавший в свое время шума ботнет Emotet, который около года назад, казалось бы, отключили специалисты по кибербезопасности, снова вернулся к работе. Стоит сказать. что Emotet был одним из самых активных ботнетов за последние годы. И сегодня у него есть шанс вернуть себе звание топовой киберугрозы.
Раньше типичным каналом распространения Emotet были вредоносные вложения в электронной почте. После попадания в систему жертвы они могли загрузить дополнительные экземпляры вредоносного ПО, которым часто оказывались программы-шифровальщики. Однако новая волна Emotet использует троянскую программу TrickBot, чтобы установить новые DLL. И эта библиотека очень сильно напоминает Emotet, а значит операторы TrickBot, вероятно, стремятся восстановить обширную сеть зараженных Emotet систем.
Обновления самого исходного кода ботнета Emotet не позволяют судить ни о том, что теперь вредоносное ПО контролирует новая группа, ни о связи со старым ботнетом. Но при этом пока нет и информации о том, что новый ботнет рассылает вредоносные электронные письма. Но мы все прекрасно понимаем, что сегодня стоит вопрос не «произойдет ли это», а «когда это произойдет»?
Что же, не стоит дожидаться воскрешения злостного ботнета. Пожалуй, лучше защитить электронную почту уже сейчас, а еще лучше — использовать решения, которые используют ИИ для обнаружения даже измененных и мутировавших угроз.
Ботнет Abcbot атакует Linux-системы
И еще один ботнет заслуживает сегодня пристального внимания. Это Abcbot, который заражает системы под управлением ОС Linux начиная с июля, чтобы запускать DDoS (distributed denial-of-service) атаки. Поскольку Linux выбирают для установки на 96,3% из миллиона самых производительных серверов, а также для 90% облачной инфраструктуры, потенциал для распространения ботнета оказывается огромным.
Еще одна интересная особенность — принадлежность Abcbot к растущему перечню вредоносного ПО, написанного на Golang. И сегодня эта угроза находится в стадии активного развития. В частности, наши специалисты на данный момент обнаружили 6 вариантов кода ботнета. В числе новых функций вредоносного ПО — способность к самообновлению, установка веб-сервера, а также новые методы распространения по принципу интернет-червей.
Скрипты Abcbot отключают функции сканирования систем безопасности, а также могут сбрасывать пароли к облачным сервисам Elastic. Все это значительно усложняет обнаружение ботнета, когда он попадает на систему жертвы. Обеспечить защиту от подобной угрозы позволяют многоуровневые системы защиты для Linux-овых операционных систем, каких сейчас, увы, не так уж много.