Обзор инцидентов безопасности за минувшую неделю

[душман]

Утечки данных, фишинговые и майнинговые кампании, появление новых ботнетов уже стали привычным явлением – практически ни одна неделя не обходится без сообщений о подобных инцидентах, минувшая также не стала исключением. О наиболее интересных событиях за период с 12 по 18 февраля 2018 года в кратком обзоре.

Одним из самых громких событий прошлой недели стали обвинения в организации летних атак с использованием вымогательского ПО NotPetya, выдвинутые в адрес РФ рядом стран. В частности, в четверг, 15 февраля, с таким обвинением выступило правительство Великобритании, вскоре аналогичные заявления опубликовали США, Австралия, Канада и Новая Зеландия. В свою очередь Кремль категорически отверг причастность к атакам, назвав их «беспочвенными и бездоказательными».

Эксперты подразделения Cisco Talos раскрыли подробности деятельности группировки Coinhoarder, использовавшей сервис Google AdWords для заработка денег. В рамках фишинговой кампании злоумышленники законно покупали рекламу через платформу Google AdWords и размещали ссылки на фишинговые сайты в результатах поиска Google, связанных с Bitcoin. Таким образом мошенники заманивали пользователей на фишинговые сайты и собирали учетные данные жертв, которые впоследствии использовались для кражи средств с их счетов. С помощью данной схемы участникам группировки удалось заработать порядка $50 млн в биткойнах.

Трудятся не покладая рук и охотники за криптовалютой, изобретая все новые способы добычи цифровых средств. К примеру, исследователи из Malwarebytes обнаружили новую кампанию, направленную против пользователей Android-устройств. Преступники заманивают пользователей на свои сайты и пока те вводят CAPTCHA, майнят криптовалюту Monero, используя мощности гаджетов жертв.

В Сети продолжают появляться новые IoT-ботнеты. Недавно список пополнил ботнет под названием DoubleDoor, способный обходить межсетевые экраны и защиту модемов с помощью эксплоитов для известных уязвимостей. По данным специалистов, в ходе атаки DoubleDoor сначала использует эксплоит, предназначенный для уязвимости CVE-2015-7755 (бэкдор в Juniper Networks ScreenOS, на базе которой работают межсетевые экраны Netscreen). С помощью первого эксплоита вредонос обходит межсетевой экран, после чего использует второй эксплоит, предназначенный для уязвимости CVE-2016-0401 в модемах ZyXEL PK5001Z.

Исследователи Kromtech Security Center обнаружили в открытом доступе данные 119 тыс. клиентов службы доставки FedEx. Утечка стала возможной из-за некорректно настроенного сервера Amazon S3, принадлежащего компании Bongo International LLC, которую FedEx приобрела в 2014 году. Обнаруженная база данных содержала отсканированные копии паспортов, водительских удостоверений и другой документации клиентов FedEx по всему миру, в том числе из США, Мексики, Канады, Австралии, Саудовской Аравии, Японии, Китая и ряда европейских стран.

На минувшей неделе Western Union предупредила своих клиентов о возможной утечке конфиденциальной информации, произошедшей в результате хакерской атаки на одного из IT-партнеров компании. Взломанный архив содержал контактные данные клиентов Western Union, названия банков, внутренние идентификационные номера сотрудников компании, суммы денежных переводов, а также время осуществления и идентификационные номера транзакций. Утечка не затронула данные банковских карт клиентов. Внутренние платежные и финансовые системы Western Union скомпрометированы не были.