Pull to refresh
0

Дайджест киберинцидентов Acronis #16

Reading time6 min
Views1.6K

Mozilla удаляет вредоносное расширение Firefox 

Недавно команда, занимающаяся разработкой Mozilla Firefox, заблокировала опасное расширение популярного браузера. Однако вредоносное ПО успело заразить около полумиллиона пользователей. 

Обычно такие расширение делают опыт работы с браузером намного богаче. Но бывает и иначе. В данном случае речь идет о расширении, которое изменяло настройки Firefox proxy API, чтобы не допустить обновления браузера, загрузки новых блэклистов с вредоносными сайтами и корректировки конфигурации ряда других компонентов. Такое поведение явно говорит о подготовке к атаке с использованием фишинга и поддельных сайтов. 

Впрочем, ни один браузер не застрахован от появления подобных скрытых действий расширений. Поэтому лучше всего использовать комплексную систему защиты которая способна анализировать в том числе поведение браузерных компонентов, а также управлять загрузкой и установкой патчей.

Атаки Squirrelwaffle используют спам для рассылки Cobalt Strike и QakBot

Прошедшая в прошлом месяце кампания по рассылке спама с вредоносным содержимым содержала загрузчик Squirrelwaffle. Последний сразу после попадания в систему приступал к установке Cobalt Strike и QakBot. Старт этой кампании был дан в сентябре, и все это время количество заражений постепенно росло. Серьезных показателей удалось добиться только в октябре, тогда рассылки со Squirrelwaffle стали привлекать внимание специалистов по кибербезопасности. 

Во вложениях к письмам находились зараженные документы Microsoft Office, которые многие пользователи по-прежнему открывают, даже несмотря на предупреждения почтовых программ. Чтобы придать своим письмам легитимности, организаторы этой кампании использовали цепочки переписок из украденных email. Получая письма со знакомыми темами от знакомых адресатов многие пытались прочитать срочные и очень важные документы, на деле оказавшиеся зараженными. Атакующие даже предприняли попытки маскировки под оригинальный формат переписок и использовали локализацию в конкретных регионах — такой подход позволил значительно расширить потенциальный спектр атак. 

Когда часть кампании, связанная с социальной инженерией, приносила свои плоды, вредоносные вложения запускали загрузку с зараженных сайтов на базе WordPress, обходя защиту, фильтрующую подозрительные IP-адреса. В процессе происходила загрузка вполне легитимной утилиты для тестирования защиты от проникновений Cobalt Strike, а уже после этого — банковского трояна QakBot.

Чтобы не допустить заражения системы в ходе подобной кампании оказывается недостаточно URL-фильтрации и простого антивируса. Тут нужны бихевиористические алгоритмы, а также дополнительная защита emil с обнаружением скрытых ссылок в подозрительных документах.  

Поддельный сайт с подарочными картами позволил мошеннику заработать почти $3 миллиона

Как вы думаете, сколько можно заработать на подарочных картах? Оказывается, очень даже много, если брать за них деньги и не отдавать их покупателям. Британский тинейджер заработал более $2,7 миллионов, запустив вредоносную копию популярного сайта по продаже подарочных карт Love2Shop.

Создав фишинговый сайт, подросток начал собирать финансовую информацию о банковских картах, а также прочие персональные данные, которые пользователи вводили в надежде купить выгодную подарочную карту. Естественно, никто из них не дождался своей покупки. 

Правоохранители нашли на компьютере молодца данные 12 000 платежных карт, а также около 200 учетных записей PayPal. Парень смог заработать на сайте около $440 000 всего за несколько недель еще в ПРОШЛОМ (!!!) году, а после этого инвестировал их в биткойн и в итоге получил $3 миллиона. Впрочем, теперь его это вряд ли порадует, потому что полиция вплотную взялась за раскошеливание незаконно обогатившегося тинейджера.

Подобный пример еще раз наводит на мысль, что пренебрежение защитой компьютера — это большая ошибка в современных условиях. Ведь банальный фильтр URL не позволил бы пользователям стать еще одним источником обогащения дерзкого юноши. 

Lazarus смещает вектор атаки на поставщиков ИТ-решений 

Северокорейская криминальная APT-группа, также известная как Lazarus уже заработала известность, провернув такие атаки как WannaCry (успешно взломав Sony Pictures в 2014 году). Теперь хакеры нацелились на поставщиков компонентов ИТ-систем. 

Новый вариант трояна с удаленным доступом (RAT) BLINDINGCAN был использован для проникновения в системы латвийской ИТ-компании и южнокорейских фирм. BLINDINGCAN позволяет атакующему перехватить информацию об установленных дисках, операционных системах, процессорах и другие данные. Он также позволяет создавать и запускать файлы и процессы и выполнять ряд других функций, фактически контролируя систему жертвы. 

Проверенным методом обороны от BLINDINGCAN является бихевиористический анализ и использование ИИ в обнаружении скрытых угроз. Видимо, латвийские и южнокорейские ИТ-поставщики ограничились более простой защитой. 

Пользователи сообщают, что обновление macOS Monterey убивает старые Mac

Многие пользователи Mac в прошлом месяце столкнулись с проблемой при обновлении своих компьютеров до macOS Monterey — новейшей версии популярной операционной системы.

Такая проблема является типичной для экосистемы Apple. Как и некоторые предыдущие версии ОС, Monterey превращает ряд старых моделей Mac в “кирпичи”, которые не могут даже загрузиться. И если некоторым пользователям удается вернуть себе доступ к системе через Apple Configurator, другие сталкиваются с полной потерей работоспособности. По отзывам пользователей с подобной проблемой столкнулись только владельцы компьютеров Macs прошлых лет, работающих на базе процессоров Intel. Все машины на базе новой платформы M1 успешно обновились. 

Учитывая, что Apple принадлежит около 8% рынка персональных компьютеров, несложно предположить, как много бизнес-процессов зависит от работоспособности систем с macOS. Поэтому наличие надежной системы облачного бэкапа и восстановления, которая защищает как от вредоносных воздействий, так и неаккуратных обновлений от производителя, похоже, становится необходимым. Такие инструменты обеспечивают именно то, на что рассчитывают пользователи — минимальное время простоя в случае инцидента и полное восстановление данных и приложений в автоматическом режиме. 

Google выпускает исправления, чтобы закрыть серьезные уязвимости в Chrome

И снова о браузерах. В прошлом месяце Google выпустила Chrome 95.0.4638.69 для Windows, Mac и Linux. Это очень важное обновление, так как оно исправляет 7 опасных уязвимостей, включая две бреши нулевого дня, которые активно эксплуатируют киберпреступники. 

Эти две наиболее критичные уязвимости — CVE-2021-38000 и CVE-2021-38003. Обе отмечены рейтингом "high" и были обнаружены собственной службой Google Threat Analysis Group.

Таким образом, на сегодняшний день количество уязвимостей нулевого дня, обнаруженных в Chrome за один только 2021 год, достигло 15 штук. Если задуматься, то это по 1,5 критически опасной и новой уязвимости в месяц! 

Просуммировав это с постоянно поступающими критическими обновлениями Microsoft и других разработчиков ПО, можно прийти к выводу, что следить за обновлениями крайне важно. А учитывая их количество, делать это качественно в ручном режиме — просто невозможно, особенно если речь идет о корпоративных системах. Поэтому сегодня все популярнее становятся средства киберзащиты со встроенными инструментами патч-менеджмента, которые позволяют управлять обновлениями как на рабочих местах в офисе, так и на личных компьютерах сотрудников, работающих из дома.

Mediamarkt атаковала ransomware-группа Hive

Глобальный ритейлер и продавец электроники компания MediaMarkt, а также ряд магазинов Saturn были атакованы программой-вымогателем Hive. Этот инцидент вынудил ряд торговых точек отключить платёжные терминалы и перейти на прием только наличных. 

Безусловно, MediaMarkt является привлекательной целью для киберпреступников. Более 1 000 магазинов в 13 странах Европы, а также свыше 53 000 сотрудников — все это создает потенциал для вымогательства и кражи данных. К тому же компания сообщила о доходах в 20 миллиардов Евро в прошлом году. 

В результате атаки пострадали магазины в Нидерландах, Германии, Люксембурге, Бельгии, Австрии и Швейцарии. А по данным сайта группировки Hive изначально сумма требований составляла целых $240 миллионов в биткоинах. Но по различным данным сумма была снижена до $50 миллионов после некоторых переговоров. 

Впрочем, бизнес ритейлера уже испытал значительные потери из-за недостаточной защиты отдельных подразделений. А в случае оплаты выкупа, расходы, связанные с Hive станут для MediaMarkt весьма значительными. 

Британская ювелирная компания Graff серьезно пострадала от атаки Conti

Лондонская ювелирная компания, известная во всем мире — Graff — стала жертвой атаки программы-вымогателя Conti. В результате в руках мошенников  оказались 69 000 конфиденциальных документов.

Группировка Conti требует с компании "десятки миллионов фунтов стерлигов" за восстановление важных данных, включая счета, чеки и данные о займах. А  69 000 документов, которые уже попали в открытый доступ — это лишь 1% от улова, по словам злоумышленников. 

Учитывая, что годовой доход Graff составляет более $600 миллионов, пожалуй, компания является ТОП-целью для киберпреступников. Украшения Graff носят некоторые самые обеспеченные и известные личности, такие как Дональд Трамп, Опра, Дэвид Бэкхем, Филип Грин и другие. Но, увы, упущения в безопасности привели очень неприятным последствиям для компании.

Tags:
Hubs:
Total votes 3: ↑3 and ↓0+3
Comments0

Articles

Information

Website
www.acronis.com
Registered
Founded
Employees
1,001–5,000 employees
Location
Сингапур