Исследование шифровальщиков
Сайт Threatpost опубликовал [1] для свободного ознакомления электронную книгу «2021: The Evolution of Ransomware», в которой подробно описал тенденции развития рынка вымогателей-шифровальщиков в 2021 году. В книге содержится информация об устройстве этого рынка, тенденциях его развития, возможных сценариях реагирования на первые 48 часов, опрос читателей сайта и другие полезные материалы. В исследовании, в частности, утверждается, что 75% их числа опрошенных компаний подверглись атаки вымогателей уже в этом году. Причем стоимость выкупа в 2021 году в среднем на увеличилось на 320% по сравнению с 2020 годом. Вымогатели, которые не только шифруют информационные системы жертв, но ещё и воруют их ценную информацию, а зачастую ещё и проводят DDoS-атаки, стали настоящей проблемой корпоративной информационной безопасности.
Апрельская коллекция уязвимостей
Компания Microsoft исправила в апреле более сотни уязвимостей в 44 продуктах компании [2]: Azure, Exchange Server, Office, Visual Studio Code и даже Windows. Четыре уязвимости были обнародованы до этого, а пятая — уже активно эксплуатировалась в апреле. Девятнадцать исправлений были признаны критическими — их рекомендуется максимально быстро установить.
Также три ошибки в своем продукте для защиты электронной почты исправила компания SonicWall [3]. Уязвимости позволяли постороннему с помощью специально подготовленного сообщения получить административные права в системе, где установлен продукт SonicWall Email Security. Причем специалисты из компании Mandiant обнаружили взломанные сервера, на которых был установлен SonicWall ES, что как бы намекает на ранее использование исправленных уязвимостей для захвата почтовых серверов.
Компания Nvidia в свою очередь обнаружила [4] целый букет уязвимостей в дайверах своих видеокарт (их оказалось пять), а также в виртуальном GPU (vGPU), который используется для технологии VDI — таких уязвимостей исправлено восемь. Причем 7 из исправленных уязвимостей получили рейтинг больше 7 по метрике CVSS, что достаточно опасно. Компания рекомендует обновить все драйвера для своих продуктов как реальных, так и виртуальных.
В апреле же была обнаружена уязвимость в ядре операционной системы Linux для 32-битных процессоров ARM [5]. Ошибка обнаружилась в реализации защиты от эксплуатации уязвимостей KASLR, которую можно обмануть с помощью виртуальной файловой системы /proc. Ошибка была исправлена в версии ядра Linux v5.1-rc4.
В ядре движка V8 браузера Chrome 90 было исправлено разработчиками 9 уязвимостей [6], некоторые из которых позволили исполнять посторонние команды операционной системы от имени браузера. Chrome сам автоматически устанавливает обновления, которые исправят обнаруженных уязвимости.
Весенние утечки
Исследователи безопасности из Рочестерского технологического университета утверждают [7], что ценные пользовательские данные компании Experian могли утечь к злоумышленникам. Это могло произойти из-за ошибок в защите интеграционного сервиса Experian Connect API, который уже достаточно давно используется для проверки кредитоспособности покупателей банковских услуг. По данным исследователей хакеры смогли получить список имен, адресов и дат рождения практически для любого жителя США через специально созданное приложение.
Вымогатели из группы DoppelPaymer опубликовали [8] набор приватных документов Управления Генерального прокурора штата Иллинойс. В файлах содержится персональная информация по заключенным штата и приватная часть документов по делам, доступ к которым имели сотрудники Управления. Подтвержден также взлом сети управления, однако подробности не раскрываются.
У Microsoft из неправильно сконфигурированного облачного хранилища Azure Blob Storage произошла утечка ценных исходных кодов [9]. Утверждается, что коды были частью предложений о партнерстве компании Microsoft Dynamics. Общий объем украденной информации составляет 63 ГБайт, в которых содержалось более 3,800 отдельных файлов.
Группировка Babuk объявила [10], что ее хакеры украли более 250 Гбайт данных из Департамента полиции Вашингтона, включая полицейские отчеты, служебные записки, фотографии арестованных людей и их личные данные. В основном опубликованная информация связана с бандитскими разборками на подконтрольной департаменту территории. Кибергруппировка потребовала выкуп, и если он не будет выплачен, то достоянием гласности станет еще больше информации, украденной из полицейского управления Вашингтона.
Неизвестные атаковали подпольный Интернет-магазин Swarmshop [11], торговавший ворованными данными кредитных карт. Из него украли довольно большой массив информации и выложили их в общий доступ на одном из форумов. В результате, в общем доступе окащалось более 623 тыс. записей о кредитных картах, владельцы которых проживают в Бразилии, Канаде, Китае, Франции, Мексике, Саудовской Аравии, Сингапуре, Великобритании и США.
Обновление матрицы угроз
Организация MITRE обновила свою матрицу угроз ATT&CK [12], добавив в нее информацию по возможным векторам атак для операционных систем Apple и Linux. В новой версии матрицы появилось 16 новых групп угроз и 67 новых уязвимостей, а также обновлены 36 уже существующих групп и 51 описание уже известных уязвимостей. Цель изменений — сделать матрицу угроз и уязвимостей более функциональной. Изменения были внесены по результатам обсуждения их с сообществом специалистов в информационной безопасности. Эта Матрица активно используется для организации защиты — иногда на нее ссылаются в том числе и российские регуляторы в области информационной безопасности. Рекомендуется специалистам, которые использовали эту матрицу в своей работе, проверить не потребуется ли изменение и в корпоративных правилах обеспечения безопасности.
Международный отпор вымогателям
Институт безопасности и технологий (IST) США сформировал коалицию по борьбе с шифровальщиками и вымогателями (Ransomware Task Force — RTF) [13], в которую уже вошли более 60 членов, таких как Министерство юстиции США, Европол и Национальный центр кибербезопасности Великобритании (NCSC), а также компании Amazon, Cisco, FireEye, Microsoft и др. Коалиция будет заниматься созданием системы отчетности, управлением процессов переговоров о выкупе и выплате, захватом криптовалютных кошельков и инфраструктуры банд и отслеживанием обмена криптовалютами для борьбы с отмыванием денег, полученных от шантажа. В целом стратегия коалиции по противодействию вымогателям и шифровальщикам занимает 81 страницу документа, который был опубликован на сайте RTF [14].
[1] https://threatpost.com/ebook-2021-ransomware-emerging-risks/165477/
[2] https://www.theregister.com/2021/04/13/patch_tuesday_april/
[3] https://www.darkreading.com/perimeter/zero-day-flaws-in-sonicwall-email-security-tool-under-attack/d/d-id/1340783
[4] https://threatpost.com/nvidia-security-bugs-gpu-vgpu/165597/
[5] https://threatpost.com/linux-kernel-bug-wider-cyberattacks/165640/
[6] https://threatpost.com/google-chrome-v8-bug-remote-code-execution/165662/
[7] https://threatpost.com/experian-api-leaks-american-credit-scores/165731/
[8] https://threatpost.com/doppelpaymer-leaks-illinois-ag/165694/
[9] https://www.hackread.com/source-codes-microsoft-azure-blob-account-leak
[10] https://threatpost.com/babuk-ransomware-washington-dc-police/165616/
[11] https://threatpost.com/623m-payment-cards-stolen-from-cybercrime-forum/165336/
[12] https://www.darkreading.com/threat-intelligence/mitre-adds-macos-linux-more-data-types-to-attandck-framework/d/d-id/1340870
[13] https://threatpost.com/gov-task-force-ransomware-economy/165715/
[14] https://securityandtechnology.org/ransomwaretaskforce/
