Ransomware блокирует сети Olympus в Европе и Азии
Корпорация Olympus (если кто не помнит, японский производитель объективов и фототехники) некоторое время назад сообщила о масштабной кибер-атаке. Годовая выучка компании составляет около $5,5 миллиардов, а в ее штате числится около 31 000 сотрудников в разных странах мира. Это достаточно крупная цель для киберпреступников, и, судя по всему, группе BlackMatter удалось заразить часть европейской сети компании при помощи своего варианта Ransomware. Из-за атаки Olympus пришлось отключить большую часть своих сетей во всем регионе EMEA. И хотя открытых данных о выпкупе или о цели злоумышленников нет, определенно инцидент создал целый ряд трудностей для бизнеса корпорации.
Сама группа BlackMatter может похвастаться компрометацией сетей более чем 40 компаний, начиная с июня 2021 года. Учитывая такой успех, можно предположить, что на самом деле атак было больше, просто не все они были озвучены пострадавшей стороной публично. Считается, что BlackMatter создали выходцы из группировки DarkSide, которая прекратила свою активность после масштабной и успешной атаки на Colonial Pipeline.
Инцидент с Olympus — еще одно доказательство высокой стоимости угроз из категории Ransomware, которые могут парализовать бизнес любой компании — как небольшой фирмы со скромной защитой, так и крупной корпорации с хорошими бюджетами на информационную безопасность.
А вы установили сентябрьские патчи?
Уже прошло несколько недель с момента выпуска заплаток ведущими разработчиками ПО, который обычно называется Patch Tuesday, но многие пользователи до сих пор не установили критически важные обновления. Однако в сентябре этот день оказался очень продуктивным с точки зрения киберзащиты. В дополнение к публикации 85 патчей к 37 продуктам Microsoft, корпорация Apple также предложила заплатки к 5 опасным уязвимостям, а Google предложила пользователям закрыть целых 9 брешей безопасности в браузере Chrome.
Из наиболее важных обновлений стоит отметить исправления уязвимости MSHTML, которая была обнаружена в начале прошлого месяца, а также патч, закрывающий проблему запуска призвольного кода через Microsoft Open Management Infrastructure. Эти две уязвимости были отмечены как “критические” согласно рейтингу Microsoft, остальные проблемы остались в категории "важные".
Наиболее важные исправления Apple касаются уязвимостей в macOS и Safari, которые открывают доступ к исполнению стороннего кода (ACE), а исправления для Chrome закрыли две лазейки “нулевого дня”, которые уже используют некоторые киберпреступники.
Такой объем патчей в сфере ИБ, а также невысокий процент установки обновлений говорит о том, что компании и пользователи забывают о патч-менеджменте, как о части стратегии своей кибербезопасности. И очень даже зря.
REvil снова в деле
После двух месяцев затишья, которые последовали после ряда успешных атак, печально известная группа Ransomware REvil вернулась к работе и снова терроризирует компании по всему миру.
В прошлом REvil наделали много шума своими масштабными атаками. А недавно взломанные серверы Kaseya VSA, открывшие доступ к тысячам серверов сервис-провайдеров и корпораций, делают ransomware-атаку REvil самой крупной за всю историю — все-таки они требовали выкуп у разработчика инфраструктурного ПО в $50 миллионов!
Исследователи в сфере кибербезопасности отметили, что после атаки на Kaseya VSA, большая часть инфраструктуры REvil ушла “в сумрак”. Но на протяжении прошедших пары недель в сети стали появляться новые экземпляры ПО от REvil. И, судя по всему, группировка решила подзаработать еще денег.
Отличительная особенность REvil — большие размеры выкупов. Они могут позволить себе такие требования, потому что действительно умудряются парализовать критически важные бизнес-системы жертв. К счастью, средства защиты с бихевиористическими модулями уже могут успешно детектировать различные варианты REvil и противостоять им. Главное — убедиться, что у вас установлен именно такой вид киберзащиты.
Новая версия Cobalt Strike терроризирует пользователей Linux
Cobalt Strike — это достаточно легитимный инструмент, который используют аналитики, аудиторы и исследователи ИБ, чтобы провести тесты проникновения популярными среди киберпреступникам видами вредоносного ПО, в том числе нацеленного на ОС Linux.
Созданное изначально для поиска и устранения уязвимостей решение, тем не менее, все чаще становится оружием в руках преступников. Они используют Cobalt Strike все чаще — увеличение злонамеренной активности в этой нише составляет 161% год от года. Уже десятки тысяч организаций пострадали от атак с применением Cobalt Strike, в том числе это ПО сыграло свою роль в громком взломе SolarWinds.
До недавнего времени Cobalt Strike ограничивал злоумышленников атаками только под Windows. Но с августа новая версия под Linux — Vermilion Strike — стала очень востребована на черном рынка, так как она упрощает атаки на 90% всех облачных сервисов в интернете.
Впрочем, есть и хорошие новости. Vermilion Strike и Cobalt Strike отличаются абсолютно предсказуемым поведением и легко детектируются любыми более-менее разумными системами защиты.
Ransomware атакует очередную крупную медицинскую компанию
Медицинский центр Delta из американского штата Миссури подтвердил, что на организацию была совершена атака Ransomware. А ответственность за блокировку и кражу данных взяла на себя криминальная группировка Hive. По данным от компании Hive удалось заразить корпоративную сеть за счет серии email-рассылок с вредоносным содержимым.
В ходе атаки было украдено около 400 Гигабайт данных, включая 95 000 электронных медицинских карт. Такой массив информации содержит весьма чувствительные данные: имена, номера телефонов, номера социального страхования и, конечно, информацию о здоровье. Поэтому заявления Delta Medical Center о том, что кибер-атака не повлияла на работу критических систем и не помешала обслуживанию пациентов, может оказаться небольшим утешением для тех, чьи данные оказались в руках преступников.
Во всем мире медицина постепенно становится цифровой, и примеры американского рынка, на котором из клиник и медицинских центров с завидной регулярностью происходят утечки, говорят о необходимости и использовать действительно комплексные средства защиты в организациях здравоохранения.
Итальянская Мафия приходит через email
Более 100 членов Итальянской Мафии были арестованы за различные киберпреступления. Правоохранители обвинили авторитетных деятелей в компрометации бизнес-переписок (BEC), подмене сим-карт и фишинге.
Группировка подозревается в краже более чем $11 миллионов через сеть подставных компаний и “денежных мулов” (по-русски — просто “обнальщиков”). Мафиози были арестованы на Канарских островах с “высокой оценкой технических навыков” проведенных атак на корпорации и их руководителей.
Интересно, что при наличии широкого спектра более традиционных активностей, даже Итальянская Мафия делает ставку на кибератаки, которые позволяют получать больше денег от потенциальных жертв. И поскольку в данном случае большая часть активностей приходится именно на рассылку писем “с сюрпризом”, бизнес мог бы защитить себя просто за счет централизованных мер безопасности в электронной почте.
