Обзор инцидентов безопасности за период с 13 по 19 января 2022 года
Крупнейшая за последние несколько лет кибератака на Украину, ликвидация самой обсуждаемой кибервымогательской группировки REvil, возвращение вымогательского ПО Qlocker, введение режима киберугрозы в Польше – только малая толика событий, произошедших в мире ИБ за неделю. Об этих и других инцидентах за период с 13 по 19 января 2022 года читайте в нашем обзоре.
В ночь на 14 января хакеры взломали сайты ряда министерств правительства Украины. В частности, не работали сайты Кабинета министров, МИДа, Министерства спорта, Минэнерго, Минагрополитики, Министерства и Минфина. На главных страницах была размещена заглушка на русском, польском и украинском языках, в которой сообщалось, что все личные данные украинцев «загружены в общую сеть», а данные на их компьютерах «уничтожаются, восстановить их невозможно».
Компания Microsoft обнаружила на взломанных ресурсах признаки использования вредоносного программного обеспечения. В Microsoft отмечают, что ПО «выглядит как вирус-вымогатель, но без механизма взыскания выкупа» и используется, чтобы нарушить работу подвергшихся атаке систем, а не для требования выкупа. С 13 января компания зарегистрировала подобное ПО в «десятках систем».
По версии замсекретаря СНБО Украины Сергея Демедюка, масштабную атаку осуществила группа хакеров UNC1151, связанная с разведкой Белоруссии. По его мнению, кибератаки «были прикрытием для более деструктивных действий, которые происходят вне поля общественного зрения».
Второй громкий инцидент недели – ликвидация кибервымогательской группировки REvil. В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, а использовавшаяся в преступных целях информационная инфраструктура была нейтрализована. В 25 адресах по местам пребывания 14 членов REvil изъяты денежные средства: свыше 426 млн рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем.
Операторы вымогательского ПО Qlocker возобновили атаки на подключенные к интернету сетевые хранилища (NAS) QNAP. Новая кампания Qlocker началась 6 января. После заражения на компьютерах жертв появляется текстовый файл с требованием выкупа. В записке содержится адрес Tor-сайта (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion), который жертва должна посетить, чтобы получить инструкции о дальнейших действиях. На этот раз размер выкупа составляет 0,02-0,03 биткойна.
Транснациональный оборонный подрядчик Hensoldt сообщил, что некоторые из систем его дочерней компании в Великобритании были скомпрометированы в результате атаки программы-вымогателя Lorenz. Операторы Lorenz утверждают, что во время атаки им удалось украсть неуказанное количество файлов из сети оборонного подрядчика. Группировка опубликовала 95% всех украденных файлов на своем сайте утечек данных в виде защищенных паролем архивов.
Операторы нового кроссплатформенного бэкдора под названием SysJoker атакуют компьютеры под управлением Windows, Linux и macOS в рамках текущей шпионской кампании. SysJoker маскируется под системное обновление и генерирует свой командный сервер путем декодирования строки, извлеченной из текстового файла на Google Диске. Специалисты обнаружили свидетельства присутствия вредоноса в декабре 2021 года во время активной атаки на web-сервер на базе Linux, принадлежащий неназванному образовательному учреждению.
Собственным вымогательским ПО обзавелась финансово мотивированная группировка FIN8, ранее в атаках использовавшая преимущественно вредоносное ПО для POS-терминалов. Вредонос шифрует съемные и сетевых хранилища, но системные папки Windows не трогает, чтобы операционная система продолжала работать. В записке с требованием выкупа жертве сообщается о том, что ее файлы были похищены, и, если она не выполнит требования, они будут опубликованы и/или проданы. На выполнение требований дается четыре дня, после чего злоумышленники угрожают отправить похищенные данные регулирующим органам в области защиты данных, и жертва рискует получить обвинение в нарушении «Общего регламента по защите данных» (GDPR).
Американские компании по кибербезопасности Cluster25 и Black Lotus Labs обнаружили атаки северокорейской хакерской группировки Konni на российское Министерство иностранных дел. По данным Black Lotus Labs, злоумышленники еще в октябре 2021 года начали фишинговую кампанию: одним дипломатам они разослали архивы с документами и предложили сообщить данные о статусе вакцинации, другим — ссылки на загрузку фальшивой программы для регистрации привитых в федеральном регистре вакцинированных. В результате этого была скомпрометирована учетная запись одного из сотрудников МИД РФ. 20 декабря с этого аккаунта хакеры отправили фишинговое письмо замглавы министерства Сергею Рябкову. Еще одно письмо с зараженным архивом ушло в посольство России в Индонезии.
На территории Польши введен режим киберугрозы начальной степени. Данный режим будет действовать с 18 до 23 января, сообщает Правительственный центр безопасности.
«Премьер-министр Матеуш Моравецкий подписал распоряжение о введении первой степени угрозы ALFA-CRP на территории всей страны», – говорится в сообщении.
Режим киберугрозы ALFA-CRP введен из-за потенциального риска угрозы безопасности систем передачи данных. При этом правительственный центр безопасности не пояснил, в чем заключаются угрозы и откуда они могут исходить.
Исследователь в области кибербезопасности Уильям Томас (William Thomas) из трастовой группы Curated Intelligence обнаружил крупномасштабную кампанию по кибершпионажу, нацеленную в первую очередь на организации, занимающиеся возобновляемыми источниками энергии и промышленными технологиями. Кампания активна по крайней мере с 2019 года и нацелена на более пятнадцати организаций по всему миру.