В этом выпуске дайджеста киберинцидентов мы расскажем о взломе компании, работающей с ядерным оружием и о вынужденном переходе на личные почтовые ящики поставщика оборудования для кафе и ресторанов. Также вы узнаете о том, почему до сих пор работают “старые добрые” методы взлома email, и к каким неприятностям привело одну медицинскую компанию отсутствие внимания к защите учетных записей.
REvil Ransomware атаковало подрядчика Министерства Обороны США
Не так много времени прошло после атаки группы на JBS, и REvil Ransomware сново поражает новую знаковую цель. В этот раз хакерам удалось заразить подрядчика военных структур США, который, судя по всему, занимается вопросами ядерного оружия. И хотя компания весьма туманно определяет свою роль и говорит, что “помогает Министерству Обороны и Министерства Энергетики решать сложные технические вопросы”, ее вакансии говорят непосредственно о работе с оружием. Ведь кому еще нужен Старший эксперт по ядерным вооружениям?
Но вернемся к атаке. Компания Sol Oriens подтвердила факт поражения, произошедший еще в мае 2021 года. К сожалению, размер выкупа, а также объем украденных данных остается неизвестным. Но, учитывая тенденции деятельности группы REvil, можно предположить, что с компании потребуют не меньше десяти миллионов долларов. (Например, с JBS потребовали $11 миллионов).
Sol Oriens сообщили, что они сотрудничают со сторонней фирмой в области киберрасследований, которая помогает им определить масштабы атаки. Тем не менее, руководство уверено, что “секретные данные не были украдены”, а в руки хакеров попала не самая ценная информация. Судя по заявлениям REvil они действительно украли ряд бизнес-документов, а также персональные данные сотрудников, включая зарплатные ведомости и номера социального страхования.
Тем не менее, сам факт взлома подобной организации заставляет задуматься. Ведь прошел уже месяц, а эксперты не могут до конца понять, были похищены секретные материалы военного характера или нет.
Поставщик решений для ресторанов Edward Don & Co также атакован
Один из крупнейших дистрибьюторов оборудования для сетей питания Edward Don & Company был атакован программой-вымогателем. Учитывая, что в компании работает более 1000 сотрудников, а ее ежегодная прибыль превышает $500 миллионов, Edward Don & Company можно считать крупной мишенью для атаки.
Несмотря на то, что Edward Don & Company еще не признала официально факт атаки, но сотрудники компании внезапно перешли на свои личные почтовые ящики (в основном, Gmail), через которые продолжают общаться с клиентами. Показательно также, что организация временно не принимает новые заказы, пока “не будут устранены проблемы с ИТ-системами”.
Неизвестно также, какая именно группа Ransomware атаковала компанию. Тем не менее, использование утилиты QBot в ходе атаки позволяет предположить, что это также дело рук REvil. Но подобная ситуация еще раз подчеркивает необходимость использования средств борьбы с неизвестными версиями Ransomware — ведь если даже спустя дни и недели никто не может сказать, как была совершена атака, на что можно рассчитывать в момент заражения корпоративной сети?.
И снова — компрометация бизнес-почты
На прошедшей неделе специалисты Microsoft раскрыли схему использования облачной инфраструктуры для мошенничества. Атакующие использовали классический фишинг, чтобы атаковать своих жертв. Они рассылали фальшивые email — например, уведомления о сообщениях на голосовой почте — чтобы получить доступ к учетной записи жертвы.
Что интересно в этой схеме — так это использование старого доброго способа, с которым, казалось бы, системы безопасности давно умеют справляться. Злоумышленники просто регистрировали похожие на официальные домены и использовали старые протоколы, чтобы обойти мультифакторную модификацию. Когда контроль над почтовым ящиком был получен, мошенники устанавливали автоматическую пересылку важных писем по ряду признаков. Таким образом, со скомпрометированных учетных записей происходила пересылка важных писем, преимущественно финансового характера. При этом пользователь может долгое время даже не представлять, что его email был взломан.
Схема, основанная на компрометации бизнес-почты (Business email compromise — BEC) часто используется для того, чтобы убедить сотрудника компании перевести деньги на неправильный счет, который на самом деле принадлежит мошеннику. И этот тип угроз остается актуальным — по данным ФБР только за прошлый год убытки от BEC составили почти $2 миллиарда.
Нездоровое количество угроз в сфере здравоохранения
Медицинская группа Five Rivers Health Centers из Огайо стала жертвой атаки после взлома электронной почты. Брешь существовала 2 месяца, а атака была организована при помощи обычного фишинга.
Почти 160 000 пациентов были уведомлены о том, что их медицинские карты, а также другие персональные данные были скомпрометированы. В их число входят номера банковских счетов, водительских прав и социального страхования.
После обнаружения бреши компания решила защитить учетные записи и запустила процесс расследования. Теперь в Five Rivers используется двухфакторная аутентификация, а для персонала было решено провести дополнительные курсы по кибербезопасности. К слову, если бы организация активировала дополнительную защиту учетных записей раньше, столь масштабной утечки можно было бы избежать. А при использовании решений с функциями фильтрации URL и защиты электронной почты от киберугроз даже самые наивные пользователи были бы ограждены от подобных атак.
