Мартовские веб-уязвимости, вымогатели и утечки

Приложения и жалобы

Компания WhiteHat Security опубликовала отчёт под названием AppSec Stats Flash Volume 3 [1], в котором проанализировала промышленные приложения. Оказалось, что 70% из них имеют хотя бы одну серьезную уязвимости, обнаруженную в течении последнего года. Причем, наиболее опасны оказались веб-интерфейсы для унаследованных приложений, через которые утекает до 40% данных.

Центр жалоб на Интернет-преступления ФБР США опубликовал статистику по обращениям граждан [2] за прошлый год. Всего в ведомство было подано 791790 заявлений, общая сумма ущерба по которым составила 4,1 млрд долл. Причем, на долю компрометации деловой переписки пришлось 19369 всех заявлений на общую сумму в 1,8 млрд долл. — это самый значительный суммарный ущерб по типу атак. Это связано в первую очередь с удаленной работой, которая в основном велась с помощью электронной почты, поэтому компрометация бизнес-коммуникаций приводила к серьезному ущербу для бизнеса. Самое популярное преступление — фишинг, о нем заявили 241342 граждан США, однако общий ущерб оказался не очень внушительным — всего 54 млн долл.

Исследователи компании GreatHorn изучили фишинговые сообщений и обнаружили [3], что сейчас злоумышленники чаще всего подделывают интерфейсы бизнес-приложений, разработанных компаниями Microsoft, Zoom, или DocuSign — на их долю пришлось 45% фишинговых атак. На долю сообщений от социальных сетей, таких как Facebook, LinkedIn или Twitter, пришлось 34% фишинга, а на долю пользовательских приложений, таких как Amazon или PayPal, пришлось всего 20%, а ведь когда-то именно с них начинался фишинг. При этом опрос руководителей служб ИБ показал, что о поддельных «брендовых» сообщениях заботятся только 9% специалистов. Большая их доля (22%) боится поделки сообщений от высшего руководства, партнеров, HR-служб или бухгалтерии. Еще 21% переживает за загрузку вредоносного ПО в сообщении, а ещё 14% опасаются фальшивых финансовых переводов.

[1] https://threatpost.com/manufacturing-cloud-migration-cyber-risk/165028/

[2] https://www.darkreading.com/attacks-breaches/fbi-business-email-compromise-cost-$18b-in-2020/d/d-id/1340452

[3] https://www.darkreading.com/threat-intelligence/business-apps-spoofed-in-45—of-impersonation-attacks/d/d-id/1340329

 

Парад уязвимостей — от веб до архитектурных

В самом начале марта была обнаружена очень неприятная уязвимость в сервере электронной почты Microsoft Exchange Server [4], причем она уже активно эксплуатировалась хакерами. Microsoft 2 марта выпустила внеплановые обновления для своего продукта, а в день плановых обновлений 12 марта компания сообщила, что примерно 82 тыс. серверов электронной почты требуют обновления. Причем на тот момент уже было известно о заражении 5 тыс. серверов, а к 15 марта их уже стало 7,2 тыс. В основном речь идет о заражении почтовых серверов китайскими закладками для веб-управления семейства China Chopper, однако и другие кибер-группировки также не побрезговали этой уязвимостью, чтобы встроить в почтовые сервера по всему миру свои импланты.

Впрочем, атакована была не только почта Microsoft, но и ее основной сервис Microsoft 365 [5] — об этом сообщила компания Area 1 Security. Компания обнаружила фишинговую атаку на 40 своих клиентов в основном из финансового и страхового бизнеса, которая была как раз направлена на компрометацию деловой переписки — как мы теперь знаем этот тип атак сейчас наиболее опасный.

Конечно, же ошибки в продуктах были не только у Microsoft. Производитель телекоммуникационного оборудования F5 также обнаружил и исправлял уязвимости в веб-интерфейсе своих продуктов BIG-IP и BIG-IQ [7]. Однако и эту уязвимость уже начали эксплуатировать хакеры — об этом предупредили исследователи компании NCC Group, а также и Агентство кибербезопасности и инфраструктуры США (CISA). Они рекомендовали корпоративными пользователям соответствующих продуктов F5 максимально быстро установить выпущенные производителем обновления.

Появились даже сообщения о наличии в технологии 5G архитектурной уязвимости [8], которая позволит организовать DoS-атаку на сеть и подсмотреть важные данные клиентов. Эта возможность находится на стыке технологии виртуализации сетевой инфраструктуры (network slices) и сетевых функций (VNF). По заявлениями исследователей компании AdaptiveMobile хакеры могут использовать эти механизмы для реализации своих темных делишек. Причем в существующих спецификациях технологии не предусмотрено механизмов защиты от вредоносных действий посторонних, что является серьезной проблемой для дальнейшего развития всей технологии 5G.

[4] https://www.darkreading.com/threat-intelligence/cisa-updates-microsoft-exchange-advisory-to-include-china-chopper/d/d-id/1340412

[5] https://threatpost.com/office-365-phishing-attack-financial-execs/164925/

[6] https://threatpost.com/critical-f5-big-ip-flaw-now-under-active-attack/164940/

[7] https://threatpost.com/cisa-security-flaws-ge-power-management/164961/

[8] https://www.hackread.com/5g-vulnerability-core-network-slicing-dos-attacks/

 

Утечки и шантаж

В марте хакеры провели фишинговую атаку [9] на Управление государственного контролера штата Калифорния (SCO), которое контролирует бюджет в размере 100 млрд долл. По данным Брайана Креббса у злоумышленников было 24 часа для доступа к ценным ресурсам ведомства, и они не преминули воспользоваться подобным  шансом для кражи номеров социального страхования и конфиденциальных файлов у тысяч государственных служащих. Инцидент произошел из-за фишинговой страницы сервиса Microsoft Office 365, в которую сотрудник отдела невостребованного имущества ввел свои реальные учетные данные. Последствия инцидента до конца не ясны, но 9 тыс. сотрудников уже получили аналогичные фишинговые сообщения от своего коллеги.

Впрочем, государственная служба занятости Испании [10] также пострадала в марте от кибератаки вымогателя, в результате которых коммуникации 710 офисов организации оказались заблокированы вредоносом. Подробности инцидента не раскрываются.

В марте появились сообщения [11] о том, что  группой REvil/Sodinokibi была проведена успешная атака вымогателя против компании Acer. Якобы злоумышленники потребовали 50 млн долл. за разблокировку доступа к корпоративным информационным ресурсам. В доказательство взлома корпоративных систем хакеры привели часть финансовых документов компании. Впрочем, официально Acer не подтвердила наличие проблем с ИТ и вымогателями, хотя и подтвердила факт обращения в правоохранительные органы.

Компания Royal Dutch Shell пострадала от серии атак на унаследованное оборудование для защищенной передачи больших объемов данных File Transfer Appliance (FTA) [12], некогда поставляемых компанией Accellion. Группы хакеров FIN11 и Clop обнаружили уязвимости этого достаточно старого оборудования и провели серию атак на различные компании — наиболее крупной жертвой стала компания Shell. Компания признала наличие инцидента, хотя и сообщила, что основные ИТ-системы энергетического гиганта не пострадали.

Компания FBS, которая является брокером онлайн-торговли, допустила утечку данных  400 тыс. своих клиентов расположенных в 190 странах [13]. Команда исследователей из WizCase обнаружила доступный репозитарий с данными брокера в свободном доступе в виде сервера Elasticsearch с базой данных в объеме 20 Тбайт, которая содержала 16 млрд чувствительных записей об операциях клиентов компании. Кто еще мог получить доступ к этой открытой базе данных — неизвестно, однако там содержалась очень подробная информация о клиентах компании.

 

[9] https://krebsonsecurity.com/2021/03/phish-leads-to-breach-at-calif-state-controller/

[10] https://threatpost.com/ransomware-attack-spain-employment-agency/164703/

[11] https://www.darkreading.com/attacks-breaches/acer-reportedly-hit-with-$50m-ransomware-attack/d/d-id/1340481

[12] https://threatpost.com/shell-victim-of-accellion-attacks/164973/

[13] https://www.hackread.com/online-trading-broker-fbs-exposes-data/

 

Вмешательство всё-таки было?

Управление национальной разведки США опубликовало пересказ [14] секретного доклада по вмешательству в выборы Президента США, которые состоялись в прошлом году. Хотя ранее было признано, что прошедшие выборы Президента были самыми чистыми с точки зрения информационной безопасности, однако спецслужбы все-таки зафиксировали иностранную активность со стороны России и Ирана, в то время как вмешательство со стороны Китая обнаружено не было. Правда, по сведениям разведчиков, собственно вмешательства в выборный процесс со стороны хакеров не было, но воздействие заключалось в попытке скомпрометировать результаты, то есть вселить в граждан США сомнение в использованных процедурах. Как сказано в докладе, это привело к своим последствиям — спецслужбы связывают штурм Капитолия, который состоялся после выборов, как раз со стратегией дискредитации выборного процесса.  Так что американцы, похоже, не торопятся отказываться от своей концепции «русских хакеров», которые вмешиваться в демократические выборы в США.

[14] https://go.theregister.com/feed/www.theregister.com/2021/03/17/2020_us_election_security_report/

 

Microsoft поднимает цену на увязвимости

Компания Microsoft объявила [15] о расширении программы выплат за обнаруженные ошибки — так называемые bug-bounty. Теперь речь идет об уязвимостях в системе корпоративных коммуникаций Microsoft Teams. Максимальная стоимость за обнаруженную в этом продукте уязвимость составляет 30 тыс. долл. Поскольку именно Teams при удаленной работе играет важную роль, то компания и решила сделать эту систему максимально безопасной, и одним из компонентом гарантии безопасности как раз и является программа bug-bounty.

[15] https://threatpost.com/microsoft-30k-teams-bugs/165037/

Поделиться:
Спецпроект

Spot Wave: NetApp оптимизирует облачную инфраструктуру

Подробнее
Спецпроект

Цифровая перезагрузка лесного комплекса

Подробнее


Подпишитесь
на нашу рассылку