Обзор инцидентов безопасности за период с 30 марта по 5 апреля 2020 года

[душман]

На прошлой неделе стало известно о целом ряде инцидентов безопасности, в том числе об эксплуатации уязвимостей нулевого дня, утечках данных и мошенничестве.

Специалисты ИБ-компании Qihoo 360 сообщили о двух вредоносных операциях, в ходе которых киберпреступники эксплуатировали уязвимости нулевого дня в сетевых устройствах DrayTek. По словам экспертов, по крайней мере две отдельные киберпреступные группировки использовали две критические уязвимости удаленного внедрения команд ( CVE-2020-8515 ), затрагивающие корпоративные коммутаторы, балансировщики нагрузки, маршрутизаторы и VPN-шлюзы DrayTek Vigor с целью перехвата сетевого трафика и установки бэкдоров.

Две уязвимости нулевого дня в своем браузере Firefox исправила компания Mozilla. Известно, что они эксплуатировались в реальных атаках, однако подробности о них Mozilla пока не раскрывает, чтобы дать возможность пользователям установить обновления.

Исправленные ранее в этом году в уязвимости в Firefox ( CVE-2019-17026 ) и Internet Explorer (CVE-2020-0674) были проэксплуатированы участниками киберпреступной группировки DarkHotel (APT-C-06) в атаках, нацеленных на Китай и Японию.

На прошлой неделе стало известно о взломе одного из самых популярных киберпреступных форумов OGUsers. В результате инцидента злоумышленники похитили данные более 200 тыс. пользователей.

Об утечке данных своих пользователей также сообщила международная сеть отелей Marriott. Завладев учетными данными сотрудников одного из филиала Marriott, злоумышленники похитили данные 5,2 млн постояльцев отелей.

Помимо прочего, продолжают свою деятельность операторы вымогательского ПО. К примеру, киберпреступная группировка REvil атаковала калифорнийскую биотехнологическую компанию, занимающуюся исследованием лекарств от коронавирусной инфекции (COVID-19). После атаки вымогатели опубликовали в Сети документы компании с информацией о более чем 1200 сотрудниках и ее внутренних компьютерных системах.

Неназванное медицинское учреждение в США также стало жертвой вымогательского ПО Ryuk. По словам специалистов, за последний месяц Ryuk атаковали как минимум 10 медицинских организаций, 2 из которых были независимыми больницами, а еще одна — здравоохранительной сетью с 9 больницами в составе.

В течение двух последних недель некий киберпреступник взламывает незащищенные паролем и доступные через интернет серверы Elasticsearch и удаляет их содержимое. Для отвода глаз хакер оставляет название компании, занимающейся обеспечением кибербезопасности.

Кроме того, группировка Vollgar ежедневно взламывает путем брутфорса тысячи уязвимых серверов Microsoft SQL (MSSQL), устанавливает бэкдоры, а также загружает майнеры криптовалюты и трояны для удаленного доступа.

На прошлой неделе ФБР сообщило о вредоносной кампании, нацеленной на организации из самых разных отраслей. Преступники в ходе атак используют вредоносное ПО под названием Kwampirs.

Не обошлось и без мошенничества. Неизвестные злоумышленники взломали несколько десятков YouTube-каналов, переименовали их с использованием различных брендов Microsoft и запустили «живую» трансляцию якобы от имени Билла Гейтса. В ходе трансляции мошенники рекламировали финансовую пирамиду в области криптовалютных инвестиций.

После долгих лет затишья операторы вредоносного ПО Zeus Sphinx (также известного как Zloader или Terdot) возобновили свою активность с целью извлечь выгоду во время пандемии коронавирусной инфекции.