Обзор инцидентов безопасности с 28 мая по 3 июня 2018 года

[душман]

Краткий обзор главных событий в мире ИБ за минувшую неделю.

Судя по всему, арест лидера Cobalt не сказался на деятельности остальных участников группировки - они по-прежнему продолжают атаковать финорганизации. В частности, эксперты Group-IB зафиксировали новую серию кибератак, направленных на банки в России, странах СНГ и зарубежные финансовые организации. В рамках атак 23 и 28 мая злоумышленники рассылали письма от производителя антивирусного ПО «Лаборатории Касперского» и Центрального европейского банка, содержащие вредоносные документы MS Word, открытие которых приводило к инфицированию систем банков вредоносным ПО.

Набирают обороты и северокорейские хакеры. К примеру, кибергруппировка Andariel, по некоторым данным являющаяся подразделением печально известной группы Lazarus, провела вредоносную кампанию, нацеленную на объекты в Южной Корее. В ходе атак злоумышленники эксплуатировали уязвимость в AcubeFileCtrl.ocx ActiveX-компоненте для Samsung SDS Acube для заражения систем вредоносным ПО и хищения данных.

В четверг, 31 мая, в течение получаса сервисы Amazon Web Services были недоступными для пользователей в регионе US-East-1 (восточной части США). Данные некоторых пользователей оказались потерянными безвозвратно из-за выхода из строя оборудования. Причиной отключения сервисов стала проблема в одном из дата-центров, отвечающем за регион доступности US-East-1. Сбой в электроснабжении вывел из строя незначительное число физических серверов и сетевых устройств дата-центра.

Прошедшая неделя не обошлась и без сообщений об утечках данных. В частности, жертвами утечек стали два канадских банка - Bank of Montreal (BOM) и Simplii Financial (дочерняя компания Canadian Imperial Bank of Commerce). В первом случае в руки киберпреступников попала банковская и персональная информация порядка 50 тыс. клиентов, во втором злоумышленники завладели данными около 40 тыс. клиентов.

Несмотря на многочисленные утечки данных в последнее время, обеспечение безопасности инфраструктуры по-прежнему не является приоритетом для компаний. Так, из-за недобросовестности подрядчика в открытом доступе оказались учетные данные, предоставляющие доступ ко всей IT-инфраструктуре крупнейшего медиа-холдинга Universal Music Group (UMG). Как оказалось, сторонняя компания, управляющая частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты.

30 мая сервис по продаже билетов Ticketfly временно приостановил работу из-за хакерской атаки, в результате которой была похищена часть клиентской базы данных. Ответственность за атаку взял на себя хакер под псевдонимом «IsHaKdZ». Злоумышленник осуществил дефейс главной страницы сайта и оставил сообщение, содержащее ссылки на файлы с персональной информацией, включая имена, физические адреса, номера телефонов и адреса электронной почты.

Как стало известно, операторы вредоносного ПО VPNFilter, ранее заразившего по меньшей мере полмиллиона маршрутизаторов и NAS-устройств по всему миру, создали новый вариант ботнета после того, как старый был отключен сотрудниками ФБР. Новый ботнет атакует маршрутизаторы Mikrotik с открытым портом 2000, причем злоумышленников интересуют исключительно устройства, расположенные в украинских сетях. Как полагают ФБР и Министерство внутренней безопасности США, за кампанией VPNFilter может стоять группировка APT28, также известная как Fancy Bear, предположительно связанная с РФ.