Pull to refresh
0

Дайджест киберинцидентов Acronis #18

Reading time5 min
Views946

В целях безопасности Chrome лучше обновить до 96 версии

Недавно корпорация Google выпустила очередную версию браузера Chrome. 96 релиз представляет собой самую безопасную (на момент выпуска) версию одного из самых популярных браузеров. И это не удивительно, ведь обновление включило в себя заплатки для 25 уязвимостей системы безопасности. Кстати, 7 из них были признаны наиболее критичными, а часть из этих семи хакеры успели использовать для атак нулевого дня.

В числе самых опасных следует выделить уязвимость, позволяющую производить манипуляции с оперативной памятью. В обновлении до 96 версии закрывается эксплойт, позволявший изменить значение указателя на область памяти. Поэтому администраторам рекомендовано как можно быстрее обновить пользовательские браузеры, чтобы не допустить перехвата управления компьютерами за счет исполнения фактически произвольного кода.

Как обычно, исправления оказываются полезны только для тех, кто их установил. Все остальные оказываются под угрозой, конечно, если не используют готовые решения для патч-менеджмента, которые гарантируют автоматическое обновление всего прикладного ПО до критически важных версий.

Операторы Conti заработали более $25 миллионов всего за 4 месяца

Одна из самых развитых платформ ransomware-as-a-service (RaaS) Conti позволила своим операторам заработать как минимум $25,5 только за счет оплаты выкупов. И это в период с июля по декабрь 2021!

Вредоносный код Conti гуляет по сети уже с декабря 2019. Обычно его распространяет троян TrickBot. Именно к активности Conti приписывают как минимум 14 крупных инцидентов Ransomware, а общая сумма платежей, которые отправили мошенникам пострадавшие, превышает 500 биткоинов. 

Интересно, что процесс получения выкупа в Conti максимально усложнен. После успешной атаки группа запрашивает сумму, но при этом проводит ее через сложную схему отмывания денег. Прежде чем попасть к операторам средства проходят через подпольные маркетплейсы, биржи и другие площадки. Так что проследить путь выплаченного выкупа оказывается практически невозможно. А значит найти ответственных за нападения тоже нереально. 

Чтобы не стать еще одним источником обогащения вполне успешной группировки, сегодня нужно использовать как минимум систему защиту от Rasomware и средство противодействия троянским программам. И, конечно, лучше если это будет интегрированная система защиты, которая позволит, в том числе, восстановить поврежденные файлы после атаки. 

Группировка Moses Staff крепко взялась за Израиль

Новая хакерская группа с политическим подтекстом Moses Staff, судя по всему, оказалась причастной к целой серии атак против израильских корпораций и правительственных структур. 

Группа решила атаковать сразу целый спектр организаций, включая правительство Израиля, откуда хакеры украли 22 Тб данных. В их числе было множество 3D-фотографий Израиля. Судя по всему эта группа имеет отношение к Pay2Key и BlackShadow, потому что их действия при налете на изральские цифровые активы очень напоминают шаблоны уже известных групп. Да и политические мотивы остаются схожими. 

Также интересно, что Moses Staff так и не потребовали выкупа за возвращение данных. Они просто украли все, что смогли, зашифровали файлы на атакованных платформах и приступили к продажам награбленного через свои сайты утечек и в Telegram.

Появление таких новых групп способно создать массу проблем для бизнеса, государственных организаций и частных пользователей — особенно если первая атака оказывается целевой или политически мотивированной. Системы защиты без ИИ и бихевиористического анализа срабатывают с задержкой или вообще не распознают угрозу, пока не оказывается слишком поздно.

Датскому производителю турбин пришлось отключить ИТ-системы

Датская компания Vestas Wind Systems, мировой лидер в области производства воздушных турбин, стала жертвой кибератаки. 

В штате компании работает более 29 000 сотрудников, а годовой доход фирмы составляет 15 миллиардов Евро. Организация устанавливает турбины в 85 странах и работает вполне эффективно. Но в этот раз руководству пришлось принять нелегкое решение и отключить большую часть IT-систем в различных департаментах и филиалах. К счастью, инцидент не повлиял на работу уже установленных турбин, а также функционирование сторонних систем, предоставленных партнерами компании. 

Представители Vesta Wind Systems не уточнили, какая именно группировка Ransomware стоит за атакой, но отметили, что внутренние данные компании были украдены и скопированы перед тем, как злоумышленники зашифровали их на компьютерах. Эта техника "double extortion" позволяет усилить давление на жертву, угрожая не только потерей доступом к данным, но и их публикацией. И сегодня киберпреступные группировки все чаще прибегают к двойной угрозе перед требованием выкупа. 

Для защиты от подобных атак оказывается недостаточно систем резервного копирования и автоматического восстановления со специальными механизмами противодействия Ransomware (хотя они вполне могут справиться с задачей восстановления работы систем за считанные минуты). Чтобы не допустить кражи данных нужно использовать дополнительные методы защиты, дабы не допустить утечки еще до начала шифрования.

Медицинские данные утекли из американского радиологического центра

Медицинская компания Utah Imaging Associates, которая занимается радиологическими исследованиями здоровья пациентов, подтвердила факт утечки, которая состоялась еще летом! Судя по всему, данные были украдены из компании во время крупной атаки Ransomware. 

Расследование инцидента показало, что на протяжении недели хакеры имели доступ к сетям компании и могли украсть личные данные и записи электронных медицинских карт более полумиллиона пациентов UIA. Как только следы неавторизованного доступа были обнаружены, сотрудники медицинского центра приняли меры, чтобы закрыть сеть от посторонних и остановить атаку. 

Аналитики специально привлеченного агентства по кибербезопасности обнаружили, что среди украденных данных содержатся имена, почтовые адреса, даты рождения, номера социального страхования, данные медицинских страховок и прочая медицинская информация о пациентах. 

Однако даже сейчас, когда прошло несколько месяцев после атаки, представители Utah Imaging Associates заявляют, что утечек украденных данных в интернете не обнаружено. А это значит, что: либо хакеры случайно потеряли всю ценную информацию (что вряд ли), либо компания все-таки заплатила злоумышленникам выкуп и предпочли финансовые потери репутационным. 

Но тут есть еще одна сторона процесса. Кража такого большого количества персональных данных позволяет злоумышленникам успешно маскировать свои фишинговые письма под персональные сообщения конкретным людям или организациям, используя уже существовавшие ветки переписки или обсуждаемые темы. Таким образом, для пациентов UAI вероятность стать жертвами очередной атаки достаточно высока.

VirtualBox закрыл бреши безопасности, но пользователи это игнорируют

Для популярной системы виртуализации Oracle VirtualBox недавно были выпущены патчи, закрывающие важные уязвимости. При “правильном” использовании они позволяли проводить атаки Denial-of-Service (DoS) против виртуальных машин, повышать привилегии пользователей и даже исполнять произвольный код. 

CVE-2021-2442 позволяет злоумышленнику вызвать зависание системы или даже отказ VirtualBox, а также дает возможность запустить DoS атаку против других ВМ VirtualBox, расположенных на том же хосте. CVE-2021-2145 и CVE-2021-2310 обе являются средствами повышения привилегий, а также открывают возможность к запуску произвольного кода и, соответственно, захвата полного контроля над VirtualBox.

Патчи для этих уязвимостей были готовы уже в июле 2021 года, но многие пользователи по данным мониторинговых центров, продолжают работать с устаревшими версиями ПО, создавая дополнительные риски для своих информационных систем. В текущих условиях это особенно опасно, потому что тенденция атаковать инфраструктурное ПО непрерывно набирает обороты.

Tags:
Hubs:
Total votes 5: ↑4 and ↓1+3
Comments0

Articles

Information

Website
www.acronis.com
Registered
Founded
Employees
1,001–5,000 employees
Location
Сингапур