Хакеры использовали предупреждение Amnesty International для очередной атаки

Правозащитная организация Amnesty International в прошлом месяце сообщала в СМИ о том, что вредоносное ПО Pegasus было массово использовано против активистов и журналистов. Но после этого злоумышленники умудрились воспользоваться добрым именем организации и этим самым предупреждением, чтобы распространить другой вид вредоносного ПО — Sarwent.

Этот троян попадал на компьютеры жертв с фальшивого сайта, который был внешне похож на Amnesty International. При его посещении пользователи получали предложение загрузить антивирус, который помогает бороться с Pegasus. Уже проинформированные организацией люди охотно загружали “средства защиты”, рекомендованные фальшивым сайтом, и получали троянскую программу Sarwent, которая создает бэкдор и позволяет открыть удаленный доступ к машине, фактически обеспечивая полный контроль над компьютером в случае успешного завершения атаки. 

Увы, многие пользователи, напуганные атаками Pegasus, попались на эту уловку. Надо сказать, что подобная тактика часто приводит к масштабным заражениям. И это еще раз доказывает потребность в установке URL-фильтров, не пускающих пользователя на поддельные сайты, а также систем бихевиористического анализа, чтобы не позволить маскирующимся под антивирус или другие полезные программы угрозам запуститься на компьютере. 

Conti атаковали японскую JVC-Kenwood и американскую Sandhills Global

Международный производитель электроники с японскими корнями, компания JVCKenwood, а также расположенный в Небраске (США) специализированная компания по обработке информации Sandhills Global были атакованы Conti Ransomware.

JVCKenwood, безусловно, является приоритетной целью для злоумышленников. В штате компании работает более 17 000 человек, а продажи по итогам 2021 года составили почти $2,5 миллиарда. Группировка Conti заявила, что украла из компании 1,7 Терабайт данных и требовала $7 миллионов выкупа. 

Conti продолжает успешно терроризировать организации по всему миру. И, как мы уже писали в блоге, недавно они также атаковали GSS и дизайнера Веру Вонг подобным образом. Агентство CISA даже выпустила рекомендацию по защите, когда количество зарегистрированных инцидентов с участием вредоносного ПО Conti достигло 400.

Мы в Acronis уверены, что продолжающие прирастать количеством атаки Ransomware являются одной из самых серьезных угроз для бизнеса. Независимо от отрасли компаниям необходимо защищать свои данные — не допускать запуска вредоносного ПО, одновременно обеспечивая возможность автоматического восстановления поврежденных и зашифрованных данных. 

Европол вместе с коллегами из США арестовал двух вымогателей с Украины

Правоохранительные органы США и Европы арестовали двух операторов Ransomware из Украины. Злоумышленников вычислили после серии скоординированных атак против индустриальных групп Европы и Северной Америки. 

Европол, Французская национальная жандармерия и полиция Украины вместе с ФБР арестовали двоих человек, уже ответственных в вымогательстве порядка €70 миллионов. При этом полиция изъяла $375 000наличными, два люксовых автомобиля и $1,3 миллиона в криптовалютах. 

Новость, конечно, приятная (для всех кроме двух мошенников). Но несмотря на арест этой пары вымогателей, сотни операторов Ransomware остаются на свободе, и все они обогащаются за счет шифрования и кражи ваших данных. Об этом стоит задуматься. 

Жертвами фишинговой кампании стали более 6000 пользователей Coinbase 

Популярная криптовалютная биржа Coinbase сообщила о том, что как минимум 6 000 пользователей платформы стали жертвами фишинговой кампании, которая состоялась ранее в этом году. Многие из них потеряли свои активы, хранившиеся в кошельках Coinbase. 

На вопрос как атакующим удалось заполучить электронные адреса, пароли и номера телефонов множества пользователей Coinbase, представители биржи ответили, что злоумышленники использовали методы социальной инженерии. В частности клиентам рассылались фишинговые письма. А при переходе по ссылкам и вводе логина и пароля, пользователи, как правило, сразу же теряли свои средства. 

В этой ситуации интересно то, что Coinbase отличается достаточно хорошим уровнем защиты. Для входа на биржу требуется пройти двухфакторную аутентификацию и ввести пароль из SMS. И, возможно, это сработало бы, но сам скрипт восстановления доступа к паролю не обнаружил уязвимость. Да, брешь была устранена биржей впоследствии…но слишком поздно для тех людей, которые стали жертвами вредоносной кампании. 

К чести Coinbase стоит отметить, что биржа решила возместить потери тем пользователям, которые пострадали в результате атаки. Это, безусловно, честно, ведь при заключении оферты оператор гарантировал своим пользователям безопасность и надежность. Но, увы, жертвам атак далеко не всегда так везет. И чаще всего они остаются без возмещения. Тем не менее защититься от подобной атаки можно при помощи современной системы фильтрации email — надежный движок, во-первых, не допустит подозрительное письмо в ваши “Входящие”, а во-вторых, не позволит перейти по фальшивым ссылкам и ввести на похожем сайте свои реквизиты доступа. 

LazyScripter рассылает спам для установки загрузчиков и RAT

На прошедшей недавно конференции по киберзащите VB2021 localhost Хуссейг Джази подробно рассказал о действиях нового киберпреступного сообщества под ником LazyScripter. Группировка активно использует спам для распространения разных вариантов своего загрузчика KOCTOPUS, который, в свою очередь, загружает трояны с удаленным доступом (RAT) Koadic и OCTOPUS.

LazyScripter в основном атаковал авиакомпании и людей, которые ищут работу. Они использовали уведомления безопасности авиаперевозок, рассылки от туристических компаний и другие форматы писем, потенциально интересных этим двум группам. Под них маскировались вредоносные письма, переход по ссылкам или открытие вложений в которых приводили к установке загрузчика.

После попадания на ПК загрузчик меняет значения ключей реестра, чтобы гарантировать свое присутствие в системе, и приступить к загрузке RAT и бэкдоров. В результате машины пользователей оказались открытыми для внешнего доступа и управления через определенные порты. Подобные атаки могут приводить к краже данных, установки дополнительных видов вредоносного ПО — в принципе к любой злонамеренной киберактивности. 

Специализация атак, подбор действительно релевантных тем и продуманное оформление писем обеспечивает таким атакам успех даже если они попадают на опытных пользователей. Если вы получаете информацию о вакансиях, типовые письма, касающиеся вашей работы, распознать фишинг, подмену пары букв в названии домена и другие признаки мошенничества может только система защиты email.

Weir Group пострадала от серии атак Ransomware

Шотландская инженерная компания Weir Group, штат которой насчитывает 11 000 сотрудников, а офисы расположены в 50 странах, сообщила о последствиях атаки Ransomware. Как выяснилось, в конце октября компания все еще восстанавливала данные и процессы после нападения в сентябре!

Атака была не слишком успешной — киберпреступникам не удалось полностью парализовать работу компании и украсть важные данные. Но процессы доставки и производства сильно пострадали. Часть инфраструктуры Weir Group была отключена, когда специалисты обнаружили атаку. В частности, администраторы остановили работу ERP-системы на несколько дней. А это неизбежно привело к множеству взаимосвязанных проблем и накладок. 

Результат этих событий также выглядит неутешительным. Компания отметила снижение прибыли в £50 миллионов в сентябре. Ответственные лица отметили, что причина этому — атака, отключение систем и необходимость проведения расследования, которое происходит и по сей день. 

Впрочем, компания могла бы защититься от этой атаки (еще и не до конца успешной), если бы для критически важных систем и данных была установлена и настроена киберзащита — с блокировкой подозрительного ПО и автоматическим восстановлением поврежденных файлов. То же отключение ERP было бы не таким разрушительным для бизнеса, если бы система была offline всего несколько часов…или даже минут.

Patch Tuesday, как обычно, несет критически важные обновления

Многие так и не обновили свое ПО, а октябрьский Patch Tuesday компании Microsoft содержал в себе множество важных патчей. В их числе были 4 уязвимости нулевого дня и 81 менее критичных брешей, в том числе касающихся Microsoft Edge. А OpenOffice и LibreOffice получили по три отдельных патча для схожих проблем безопасности. 

В числе критических уязвимостей Microsoft можно отметить патч для драйвера Windows Win32k, который мог (а во многих системах до сих пор может) изменять привилегии доступа и поэтому активно использовался злоумышленниками. Степень уязвимостей для офисных пакетов не была определена. Так что они, возможно, тоже были критическими.

Microsoft устраивает Patch Tuesday регулярно, но ведь даже если вы пользуетесь Windows, множество прочего ПО также обнаруживает уязвимости и  должно получать обновления. Поэтому в современных условиях система без патч-менеджмента является намного более уязвимой, чем компьютер, на котором установлено ПО для загрузки обновлений. А если при этом еще и нет системы защиты от угроз нулевого дня, то вопрос стоит не в том, поймаете ли вы какую-нибудь заразу, а в том, когда вы ее поймаете. 

Olympus второй раз подряд атаковали тем же Ransomware за два месяца

Японская компания Olympus, известная своей фототехникой, пострадала от кибератаки еще 10 октября. И это был уже второй инцидент такого характера за последние пару месяцев. 

Атака коснулась подразделений в США, Канаде и Мексике, и руководство приняло решение отключить корпоративные системы, а также уведомить об опасности партнеров. Olympus усиленно атакуют, потому что компания является ведущим игроком в сфере оптических решений и, бесспорно, представляет собой привлекательную мишень — более 100 лет истории обеспечивает резонансные последствия взлома, а внушительная прибыль и наличие 31 000 сотрудников создают большое поле для атаки. 

Ответственность за октябрьскую атаку взяла на себя группировка BlackMatter. Кстати, они же заявили о взломе компании 8 сентября 2021, которая касалась не американского, а европейского сегмента офисов. В тот раз пострадали ИТ-системы Olympus по всему региону EMEA. Произошедшая от DarkSide группировка BlackMatter явно не теряет времени и принимает все меры, чтобы получить немного денег от жертвы, если нашла уязвимости в системах той или иной компании. 

Мог ли Olympus защититься от первой или второй атаки? Вероятно, да. Но для этого требовалось пересмотреть систему кибербезопасности и обеспечить как противодействие Ransomware, так и возможность оперативного восстановления данных в случае атаки новой разновидностью вредоносного ПО. В случае с большой компанией это требует больше времени и ресурсов, так что начинать лучше заранее.