Дайджест киберинцидентов Acronis #7
Успехи RansomEXX
Группа RansomEXX недавно провела серию успешных атак на две крупные цели: тайваньского производителя материнских плат Gigabyte и итальянский модный дом Zegna.
Киберпреступники заявили о краже 112 Гигабайт данных у Gigabyte и почти 21 Гигабайта у Zegna. И хотя Gigabyte сначала никак не прокомментировали атаку, на странице, где RansomEXX публикуют свои достижения в области утечек данных, можно найти подтверждения успешного взлома. А некоторые части инфраструктуры Gigabyte и веб-сайтов компании недавно были отключены — а это еще один знаковый индикаторы атаки Ransomware.
RansomEXX занимается вредоносной активностью с 2018 года. Сначала они называли себя Defray, а в 2020 провели ребрендинг (что ж, это сегодня модно). Однако поведенческие особенности вымогателей RansomEXX сохранились, и вредоносное ПО легко обнаруживается системами защиты с функцией бихевиористического анализа.
Криптоджекинг становится быстрее
Несмотря на то, что за месяц мы регистрируем почти полмиллиона инцидентов крпитоджекинга, эта угроза остается в тени. Просто потому, что о ней мало кто сообщает. Логика компаний проста: данные не пострадали, утечек не было — так зачем заявлять о проблемах? Однако криптоджекинговое ПО создает массу проблем, и с ним действительно надо бороться. Например, новый крипто-червь, написанный на Golang, оказался быстрее и эффективнее предшественников на 15%.
Атакующие используют этого червя для сканирования уязвимостей в XML-RPC (типовой протокол WordPress и Oracle WebLogic). И если брешь обнаруживается, происходит установка XMRig, а червь, попавший внутрь компании, продолжает искать и распространяться по всем томам, где могут находиться важные данные — может быть в дополнение получится украсть что-то интересное?
Однако недооценивая угрозу крпитоджекинга, многие забывают о том, что постоянная нагрузка, связанная с майнингом, приводит к деградации компьютерных систем и снижению производительности сетей. И если уж оценивать ущерб, который приносит подобное заражение, следует оценивать снижение эффективности бизнес-процессов. А в некоторых случаях оно может быть весьма весомым.
Ransomware BlackMatter теперь атакует и Linux ESXi
Группа разработчиков Ransomware BlackMatter по некоторым данным сформировалась из числа участников прекратившей свою деятельность банды DarkSide. Недавно они добавили новый модуль для шифрования серверов Linux VMware ESXi. Это предсказуемый шаг, который повторяет стратегию других злоумышленников — REvil, Babuk, RansomExx и так далее. Такими темпами скоро у любого Ransomware будет своя версия для Linux.
В новейшей версии BlackMatter получил библиотеку VMware ESXi для шифровальщика ELF 64-бит. Благодаря этому при атаке преступники могут просмотреть весь спектр запущенных виртуальных машин и выключить их, чтобы приступить к шифрованию образов.
Кроме этого BlackMatter открыто приглашает к сотрудничеству так называемых “initial access brokers” — людей, которые могут предоставить преступникам доступ к корпоративным сетям. Судя по объявлению, BalckMatter интересуются компаниями с прибылью от $100 миллионов. Кстати, о подобной схеме мы недавно писали в нашем блоге. И если кто-то из вашей сети посещал ресурсы BlackMatter, это может быть тревожным звоночком.
Атакующие сканируют серверы Exchange на предмет уязвимостей
Недавно злоумышленники обнаружили целый набор из трех уязвимостей серверов Microsoft Exchange, которые позволяют запустить удаленно любой произвольный код. Для этого достаточно умело использовать все три бреши в системе безопасности. И поскольку компрометация серверов позволяет получить максимум отдачи от атаки, различные группы начали активно сканировать все доступные в глобальной сети серверы Exchange на предмет отсутствия патчей
Стоит сказать, что две из трех уязвимостей были исправлены в апреле в рамках Microsoft Patch Tuesday, а третья — в мае. Однако, несмотря на это, статистика Acronis CPOCs показывает, что злоумышленники успешно взламывают почтовые сервера десятками на протяжении последних двух недель.
Впрочем, это не удивительно, ведь Exchange Server — одно из самых популярных решений для организации корпоративной почты, и в глобальной сети можно найти более 400 000 таких серверов. Подобная ситуация — словно заросли лесной малины для злоумышленников, потому что вероятность успешно взломать сеть и запустить там все что угодно — достаточно высока.
Таким образом, если в вашей компании используется MS Exchange, сейчас самое время проверить, установлены ли обновления, либо обзавестись системой кибер-защиты с функцией патч-менеджмента.