BlackMatter снова атакует компании из верхнего эшелона

Группировка BlackMatter провела успешные атаки на две достаточно крупных компании: New Cooperative и Marketron. Marketron обслуживает более 6 000 заказчиков из сферы СМИ, а прибыль компании оценивается в $25,5 миллионов. New Cooperative — это провайдер фармацевтических сервисов, годовая прибыль которого колеблется между $500 миллионами и $1 миллиардов долларов. В сумме у обеих компаний украдено порядка терабайта данных, а атакующие требуют выкупы в размере $5,9 миллионов. 

Интересно, что New Cooperative входит в число "16 критических секторов”, выделенных американским агентством CISA (Cybersecurity and Infrastructure Security Agency). Как отмечают эксперты, это значит что "компании признаны жизненно важными для США, снижение их производительности или разрушение может оказать ослабляющий эффект на безопасность, защиту национальной экономики, здоровья и защиты нации, а также нескольких из этих факторов".

Надо сказать, что за последний месяц BlackMatter умудрились успешно атаковать целый ряд целей, включая производителей алкоголя, банкиров и инвесторов, и даже компанию Olympus. Видимо стратегия работы с жертвами была выбрана соответствующая времени, и для защиты от подобных угроз необходимо использовать средства кибербезопасности с уже заложенными функциями противодействия Ransomware.

BulletProofLink предлагает услуги phishing-as-a-service

Группировка, стоящая за разработкой BulletProofLink, открыла доступ к своему инструментарию в виде сервиса. Теперь злоумышленники могут просто приобрести весь необходимый спектр решений для атак с использованием социальной инженерии. В пакете от BulletProofLink имеются и средства запуска фишинговых кампаний (с уже готовыми шаблонами писем), и хостинговые сервисы для размещения фальшивых страниц, и многое другое. 

В портфолио BulletProofLink имеется более 100 готовых писем, которые копируют фирменный стиль известных брендов, например, напоминают рассылки Microsoft, а также целый ряд уникальных субдоменов, которые создаются специально для запуска фишинговых кампаний. В частности, по наблюдениям аналитиков, при запуске одной атаки может генерироваться более 300 тысяч субдоменов, что делает идентификацию атаки непростой задачей.

Получить доступ ко всему инструментарию можно за $800 в месяц, но такие пакеты ориентированы на масштабные атаки. Например, получить одну ссылку для хостинга можно и за $50, да еще и со скидной 10% “за первый заказ”.

Появление столь впечатляющих и практически полностью автоматизированных средств организации фишинговых атак говорит о том, что сегодня компаниям и частным пользователям как никогда нужны средства защиты email, причем простым blacklisting-ом адресов тут уже не отделаться, если для новой кампании их создают сотнями тысяч.

“Василиск” распространяет троянских коней

Новый вид вредоносного ПО, не использующего файлы (fileless), был замечен в распространении троянов удаленного доступа (RAT). Кампания под названием Water Basilisk применяет для этого новый вариант HCrypt, чтобы получить доступ к компьютеру жертвы при помощи одной из троянских программ. 

HCrypt — это популярный сервис шифрования (crypter-as-a-service), который уже давно используют злоумышленники для распространения троянских программ. Благодаря тому, что изначально атака не использует файлов, обнаружить ее оказывается более сложно. HCrypt опирается на VBScript и команды PowerShell, чтобы загрузить и установить вредоносные компоненты на системы жертв. 

На финальной стадии атаки происходит установка RAT, таких, как NjRat, Nanocore и QuasarRat. В некоторых случаях была также обнаружена установка программ для кражи Bitcoin и Ethereum, которые просто подменяют в буфере обмена адрес на кошелек хакера, когда пользователь совершает какой-либо перевод. Обнаружение такой атаки остается возможным только с использованием бихевиористских методов, так как сигнатурные антивирусы могут и вовсе не заметить деятельности HCrypt.

Google закрывает критические уязвимости в Chrome

Недавно компания Google опубликовала срочный патч для браузера Chrome, чтобы исправить уязвимость нулевого дня, которую уже сейчас активно эксплуатируют хакеры. 

И хотя на момент выпуска патча Google не сообщила все технические параметры уязвимости CVE-2021-37973, мы можем констатировать, что в пакете исправлений содержадлось еще 19 друих уязвимостей — для браузера под Windows, macOS и Linux.

Таким образом, в 2021 году Google выпустила заплатки уже для 12 уязвимостей нулевого дня. А учитывая, что на сегодняшний день Chrome принадлежит порядка 70% пользовательской базы, все это вызывает больой интерес у хакеров, ведь более 2,5 миллиарда пользователей хотя бы теоретически могут быть взломаны через эти уязвимости. 

Таким образом, если вы пользуетесь Chrome, обновляйте свой браузер почаще или установите защитное ПО с функцией патч-менеджмента.

“Conti” отключает контакт-центры

Один из крупнейших в Европе провайдеров услуг контакт-центров и клиентского сервиса, компания GSS была атакована при помощи программы-вымогателя Conti. Одновременно с этим подобная атака была совершена на ресурсы легендарного дизайнера одежды Веры Вонг. 

В настоящее время пока нет информации, сколько данных было украдено из каждой компании, также пострадавшие не сообщили и о размерах требований выкупа. Но учитывая, что прибыль Vera Wang Group составляет порядка  $10-$50 миллионов, можно предположить, что хакеры вряд ли будут требовать с компании небольшую сумму. Интересно, что на сайте утечек Conti группа Vera Wang Group числится как жертва атаки, но компании GSS там нет. Тем не менее спикер провайдера подтвердил, что их взломали именно при помощи Conti.

Саму группировку Conti можно назвать достаточно молодой. Первые версии этого вредоносного ПО появились в мае 2020 года, и киберпреступники продолжают успешно использовать свои разработки для шифрования и кражи данных компаний по всему миру. 

На аграриев из США натравили сразу несколько программ-вымогателей

Провайдер сервисов для агропромышленных компаний из Айовы, New Cooperative, был недавно атакован программой-вымогателем BlackMatter. У оператора платформы SOILMAP украли порядка 1 Терабайта данных, а также потребовали выкуп в сумме порядка $6 миллионов. 

По данным New Cooperative, 40% американских производителей зерна используют их платформу. И, как отмечают представители компании, атака может повлиять на поставки зерна, свинины и курятины, если все системы и процессы не будут восстановлены в кратчайшие сроки. 

Практически в то же самое время Crystal Valley Cooperative, поставщик решений для фермеров из Миннесоты, также был атакован программой-вымогателем. Crystal Valley обслуживает более 2500 фермеров, но компания была вынуждена временно отключить все свои сервисы, чтобы избежать дальнейшего распространения атаки. 

Выводы из этого инцидента напрашиваются достаточно простые: даже если вы занимаетесь товарами или услугами для сельского хозяйства, это не значит, что хакеры не будут рассматривать компанию, как интересную цель для атаки. Особенно, если сети и сервисы организации практически не защищены.

От атак “кровавого вора” пострадали пользователи игровых сервисов

Новая троянская программа, получившая название BloodyStealer, атакует учетные записи Steam, GOG, Epic Games, Origin, Bethesda и других игровых платформ. BloodyStealer собирает всевозможные данные, включая cookies, логины и пароли, данные о платежах и номера карт, а также скриншоты. Все это запаковывается в zip-файл и отправляется на сервер command-and-control (C&C).

Эта киберугроза уже получила статус глобальной, атакуя пользователей в Европе, Латинской Америке и в Тихоокеанско-Азиатском регионе. BloodyStealer использует модель malware-as-a-service, причем цена доступа к инструментам оказывается очень скромной —  $10 за месяц и $40 за пожизненную лицензию. Так что воспользоваться трояном может даже просто ваш оппонент в любой популярной игре, чтобы “ухлопать” вашу учетную запись. В такой ситуации невольно задумаешься об индивидуальной защите с расширенными возможностями.