По данным APWG объемы фишинга будут только нарастать
Рабочая группа международного консорциума Anti-Phishing Working Group (APWG), в состав которой входят также представители Acronis, ставит перед собой задачу выработать единый глобальный подход к противодействию киберпреступности. И достигнутые на сегодняшний день результаты работы организации были изложены в отчете за третий квартал 2021 года.
По данным APWG участник консорциума только в июле 2021 года заблокировали 260 642 фишинговых атак — самый высокий показатель за все время сбора и систематизации консолидированной статистики. При этом 35% атак приходится на взлом финансовых приложений, 29% были направлены на облачные приложения и веб-почту. Похищение криптовалют стало следующим в списке приоритетов — на их долю пришлось 6% атак.
Впрочем, результаты исследования четко говорят о том, что атакующие расширяют спектр своей активности. Только количество брендов, которые были атакованы непрерывно растет — в начале года их было около 400, а к сентябрю количество жертв подскочило до 700. А по сравнению с 2020 годом общее количество фишинговых атак выросло более чем вдвое.
Эти новости четко свидетельствуют о том, что компаниям нужно серьезнее подходить к вопросам защиты электронной почты и фильтрации URL. Правда делать это в современных условиях, когда многие работают из дома, оказывается намного сложнее.
Группировка Hive атаковала Supernus Pharmaceuticals и TH Nürnberg University
Известные своими громкими атаками преступники из группировки Hive провели серию новых атак на крупные цели. В число новых жертв попали биофармацевтическая фирма Supernus Pharmaceuticals и немецкий университет TH Nürnberg University.
И хотя Supernus Pharmaceuticals сообщила, что атака не оказала значительного влияния на их бизнес, сами участники Hive заявили на своем сайте утечек, что у них имеется порядка 1,3 Т�� ценных данных из компании. Группировка настаивает на том, что Supernus скрывает информацию об утечках, чтобы не испортить репутацию во время крупной сделки по приобретению Adamas Pharmaceuticals. Возможно поэтому так и не опубликована никакая информация о сумме выкупа.
TH Nürnberg University пострадали от такой же атаки и восстановили большую часть своих систем только через три недели. Однако и после этого часть систем осталась offline. Впрочем, в этом инциденте тоже не известно, были ли украдены какие-то ценные данные, а также был ли выплачен какой-то выкуп преступникам.
Почтовая система IKEA пострадала от кибератаки
Всемирно известного ритейлера IKEA атаковали фишинговыми письмами. При этом атака остается внутренней, потому что злоумышленники используют уже существующие цепочки писем и переписки, имитируя типичные сообщения, которые сотрудники посылают друг другу.
Попасть в сеть IKEA злоумышленникам удалось через уязвимости ProxyShell и ProxyLogon. Оказавшись внутри, хакеры получили возможность отвечать на корпоративные письма. Разумеется, при этом происходила рассылка вредоносного ПО — в данном случае Emotet и Qbot.
Для шведской компании IKEA, которая владеет 445 огромными магазинами по всему миру и содержит более 220 000 сотрудников, такая атака является серьезной проблемой, ведь объемы внутренней переписки внутри организации велики. А для злоумышленников IKEA, безусловно, выступает в роли очень крупной цели, потому что вероятность получить выкуп в случае успешной блокировки каких-либо критически важных бизнес-процессов или кражи важных данных достаточно велика.
Японская больница перестраивает ИТ-системы из-за атаки Ransomware
Handa Hospital из японского города Цуруги (Tsurugi) сообщил о ликвидации последствий крупной кибератаки, случшившейся в октябре. Организация планирует потратить около ¥200 миллионов на реорганизацию своей компьютерной сети вместо оплаты выкупа атакующим. В целом это похвальный тренд, потому что он не поощряет деятельность киберпреступников.
Тем не менее атака негативно повлияла на качество обслуживания пациентов. Электронные карты 85 000 людей стали недоступны персоналу, а также пострадала бухгалтерская система больницы, а значит у сотрудников возникли проблемы с начислением зарплат, заказом материалов и так далее. Из-за атаки Handa Hospital перестал принимать новых пациентов и планирует вернуться к нормальной работе только к 4 января 2022.
Разумеется такое положение дел вряд ли порадует самих горожан, которые оказались лишены медицинской помощи в наше нелегкое время. Однако мэр города провел публичные слушания и объяснил, что муниципалитет даже согласился оплатить требования мошенников, но потом передумал. Ведь госпиталь не получает никаких гарантий восстановления данных. Да и бюджетные средства “не предназначены для выплат преступникам”. Возникает, конечно вопрос, почему бюджетные средства не были потрачены ранее на создание систем защиты в медицинской организации, но это тема уже для другого разговора.
Windows Defender “сошел с ума” по поводу Emotet
Сразу после того, как Trickbot был замечен в распространении новой версии ботнета Emotet, система защиты от Microsoft Windows Defender стала выдавать невероятное количество ложных срабатываний, определяя различные исполняемые программы и документы Microsoft Office как пэйлоады Emotet.
И хотя Microsoft никак не прокомментировала, что стало причиной этих ложных срабатываний, эксперты придерживаются мнения, что все дело в неточной настройке бихевиористического модуля, который маркировал любую схожесть в поведении с Emotet как угрозу вместо предупреждения. К сожалению, неприятность привела к фактической остановке целого ряда компаний, которые решили, что являются жертвами атаки Emotet.
Но даже в тех организациях, которые не задумывались об остановке ИТ-систем, администраторы сообщали о многочисленных проблемах в работе: огромное количество документов не открывались, а приложения не запускались. Все это мешало нормальной работе. Microsoft, конечно, сразу выпустила обновление для облачных пользователей своих систем, но всем остальным пришлось подождать выхода патча, который можно скачать и установить.
Что же, этот инцидент показывает, что возможность маркировать файлы как “надежные” бывает очень важна, хотя ее часто и недооценивают. Такой подход позволяет избежать ложных срабатываний и гарантировать работоспособность системы, даже если антивирус “сошел с ума”.
Коронавирусный фишинг эксплуатирует Омикрон-тему
Новая волна страха, связанная с очередным штаммом коронавируса — Omicron COVID-19 — стала поводом для запуска очередной фишинговой кампании. По данным анализа ряда копаний, специализирующихся в области киберзащиты, количество фишинговых писем, связанных с вакцинацией, выросло как минимум на 26%.
Одна из таких кампан��й, например, была направлена на граждан Великобритании. Атакующие рассылали электронные письма с различной пугающей дезинформацией и ссылками на фальшивый сайт NHS, единственная цель которого — сбор персональных данных. Кроме этого жертвам предлагали оплатить различные услуги или записаться на платную процедуру вакцинации, чтобы они раскрыли свои финансовые данные.
В таких случаях даже подкованные пользователи могут стать жертвой фишинговой атаки. Но что самое печальное, подобные инциденты могут привести к компрометации всей корпоративной ИТ-инфраструктуры. Поэтому компаниям стоит еще раз задуматься о внедрении решений для фильтрации электронной почты, ведь фишинговая активность растет с каждым днем!
Операторы Cuba Ransomware заработали более $44 миллионов
Опубликованный в прошлом месяце отчет ФБР раскрыл масштаб урона, нанесенного Ransomware Cuba. По данным федерального агентства злоумышленникам удалось получить как минимум $43,9 миллионов только в виде платежей жертв, которые откупались от шифровальщика. Это стало возможным за счет успешных атак на 49 (публично известных) целей в пяти секторах, относящихся к критической инфраструктуре.
Группировка Cuba развивает свой проект Ranomware и работает уже несколько лет, атакуя в основном организации в США, Южной Америке и Европе. Для распространения вредоносного кода они используют троян Hancitor, а также не брезгуют фишингом.
Таким образом, чтобы обеспечить защиту от этого вредоносного ПО, необходимо либо обнаружить и остановить работу самого Ransomware Cuba (и восстановить поврежденные файлы), либо блокировать троянскую программу и фишинговые атаки. В принципе сегодня и то и другое делают комплексные решения киберзащиты, так что обладатели современных систем “больше, чем антивирус” не должны пострадать от этой угрозы.
