Обзор инцидентов безопасности за период с 25 по 31 мая 2020 года

[душман]

На прошлой неделе появилось много сообщений об утечках данных и взломах, в том числе осуществленных APT-группами. Об этих и других инцидентах безопасности, имевших место с 25 по 31 мая 2020 года - в текущем обзоре.

Как стало известно в начале недели, персональные данные более 200 тыс. пользователей криптовалютных бирж, платформ и финансовых приложений были выставлены на продажу в Сети. Базы данных содержали имена, физические и электронные адреса, а также номера телефонов владельцев криптовалютных кошельков Ledger и Trezor, пользователей аппаратного кошелька KeepKey, платформ BnktotheFuture, LoanBase и других криптовалютных площадок (включая Korbit, Augur и Coinigy).

На продажу в Сети также было выставлено более трех десятков баз данных SQL, похищенных у online-магазинов в разных странах. В общей сложности продавец предлагает более 1,5 млн записей, но количество похищенных данных может быть намного больше. Злоумышленник взламывает незащищенные серверы, копирует базы данных и оставляет сообщение с требованием выкупа за похищенную информацию. У жертв есть 10 дней для уплаты выкупа, иначе преступник грозит опубликовать БД или использовать по своему усмотрению.

Операторы вымогательского ПО Maze опубликовали данные кредитных карт, похищенные у государственного банка Коста-Рики (Banco de Costa Rica, BCR). 30 апреля операторы вымогателя Maze сообщили о похищении данных кредитных карт более 11 млн клиентов BCR, 140 тыс. из которых принадлежали гражданам США. Тем не менее, финорганизация отрицала факт компрометации своих систем. В качестве доказательства взлома операторы Maze выложили похищенную информацию в открытый доступ.

Неизвестные взломали хакерские форумы Nulled.ch, Sinfulsite.com и suxx.to и опубликовали их базы данных в открытом доступе.В БД содержалась подробная информация пользователей SUXX.TO и Nulled, а также личные сообщения пользователей сайта Sinful.

В четверг, 28 мая, японская телекоммуникационная компания NTT Communications сообщила об утечке данных в результате несанкционированного доступа к ее сети, затрагивающей 621 компанию. Похищенные документы могут содержать сведения о коммуникационном оборудовании, расположении военно-морских сил в порте Йокосука, а также о линиях связи в десяти локациях Сил самообороны Японии.

Неизвестные злоумышленники взломали ряд серверов компании Cisco Systems, использующих платформу Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE). Преступники проэксплуатировали критические уязвимости во фреймворке с открытым исходным кодом SaltStack Salt. Благодаря этому им удалось скомпрометировать шесть серверов серверной инфраструктуры: us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm. -us-1.virl.info и vsm-us-2.virl.info.

Команда безопасности GitHub предупредила о новом вредоносном ПО под названием Octopus Scanner, которое распространяется по сайту через вредоносные Java-проекты. Вредонос был обнаружен в проектах, управляемых с помощью инструмента Apache NetBeans IDE, предназначенного для написания и компиляции Java-приложений.

На прошлой неделе о себе снова дали знать финансируемые государствами APT-группы. В частности, группировка Sandworm проводит вредоносную кампанию против почтовых серверов, на которых установлен агент пересылки сообщений Exim.Киберпреступники эксплуатируют известную уязвимость CVE-2019-10149, позволяющую удаленно выполнять код.

Правительство Германии в очередной раз предупредило операторов критической инфраструктуры о киберпреступной группировке Berserk Bear. С помощью как общедоступного, так и специально написанного вредоносного ПО злоумышленники укрепляются в сетях предприятий электро и водоснабжения с целью похищения информации или доступа к производственным системам.

ИБ-специалисты также обнаружили новую, более совершенную версию ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla. Зафиксировано как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.