Обзор инцидентов безопасности за прошлую неделю

[душман]

Прошедшая неделя ознаменовалась рядом событий, в числе которых ликвидация крупнейшей сети ботнетов Andromeda, взлом сервиса для майнинга криптовалют Nicehash, предупреждение о масштабной кибератаке со стороны мусульманской хакерской группировки Electronic Ghosts, а также утечка данных 31 млн пользователей популярной виртуальной клавиатуры AI.type. С этими и другими событиями предлагаем ознакомиться в кратком обзоре.

Стремительный рост курса биткойна вполне ожидаемо повлек за собой повышенный интерес злоумышленников к криптовалютным сервисам. В последнее время практически ни одна неделя не обходится без сообщений о взломе той или иной площадки и краже электронной валюты. Минувшая неделя также не стала исключением, в этот раз жертвой хакеров стал крупнейший web-сервис для майнинга криптовалют Nicehash, лишившийся более 4 тыс. биткойнов. Злоумышленникам удалось похитить только средства, хранящиеся на локальных кошельках NiceHash.

Клиенты криптовалютных сервисов могут стать жертвами не только хакеров, но и ошибок со стороны администрации ресурсов. К примеру, криптовалютная биржа Bittrex случайно разослала данные пользователей по электронной почте. В частности, пользователи, прошедшие проверку KYC, но отклоненные самим сервисом Bittrex, получили от службы поддержки электронные письма, содержащие уведомление об отклонении не только их заявки, но и заявок нескольких других пользователей. Также к письму прилагалось вложение в виде изображений документов неодобренных пользователей.

На минувшей неделе сотрудники Европола, Евроюста и ФБР при участии ИБ-экспертов пресекли деятельность крупнейшей сети ботнетов Andromeda, распространявшей вредоносное ПО Gamarue, также известное как Wauchos. Сеть состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн компьютеров ежемесячно. В рамках правоохранительной операции было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре. По сообщению пресс-службы Следственного комитета Республики Беларусь, сотрудники правоохранительных органов задержали одного из участников группировки Andromeda, занимавшегося продажей вредоносного ПО на подпольных форумах и являвшегося администратором некоторых из них.

Несмотря на усилия правоохранительных органов, в Сети продолжают появляться новые ботнеты. В частности, эксперты компании Qihoo 360 Netlab зафиксировал и всплеск активности ботнета Satori (одного из вариантов Mirai), включающего порядка 280 тыс. активных устройств. Вредоносное ПО Satori сканирует порты 37215 и 52869. Вредонос отличается от предыдущих вариантов Mirai. Если ранее различные версии Mirai заражали уязвимые устройства, а затем загружали компонент Telnet для сканирования интернета на предмет новых жертв, то Satori использует вместо данного компонента два встроенных эксплоита для удаленного подключения к устройствам. Таким образом Satori можно классифицировать как IoT-червя, способного распространяться самостоятельно без необходимости в загрузке отдельных компонентов.

Порядка 31 млн пользователей популярной виртуальной клавиатуры AI.type стали жертвами утечки данных из-за разработчика приложения, который не защитил сервер должным образом. Сервер работал без парольной защиты, в результате доступ к клиентской базе данных компании, включавшей свыше 577 ГБ конфиденциальной информации, мог получить кто угодно. Как выяснилось, компания собирает немало конфиденциальной информации о пользователях, в том числе данные о полном имени владельца устройства, номере телефона, названии и модели гаджета, названии мобильной сети, данные о разрешении экрана и установленных языковых пакетах, версии ОС Android, идентификаторах IMSI и IMEI, связанном с номером телефона адресом электронной почты, месте жительства,  фотографии, а также ссылки и информацию, связанную с профилями в социальных сетях.

В конце минувшей недели участники связанной с ДАИШ (террористическая организация, запрещена в РФ) хакерской группировки Electronic Ghosts заявили о намерении «развязать масштабную войну против врагов Халифата» и провести масштабную кибератаку на правительства и военные ведомства по всему миру 8 декабря 2017 года. Хакеры также добавили, что первой их целью станет США.