Прывітанне, Хабр! Сёння мы хочам расказаць пра новыя кібератакі, якія нядаўна былі выяўленыя нашымі аналітычнымі цэнтрамі кіберабароны. Пад катам аповяд аб буйной страце дадзеных вытворцам крамянёвых чыпаў, гісторыя аб адключэнні сетак у цэлым горадзе, трохі аб небяспецы апавяшчэнняў Google, статыстыка аб узломах медыцынскай сістэмы ЗША і спасылка на канал Acronis на YouTube.
Акрамя абароны непасрэдна вашых дадзеных, мы ў Acronis таксама займаемся маніторынгам пагроз, распрацоўваем выпраўленні для новых уразлівасцяў, а таксама рыхтуем рэкамендацыі па забеспячэнні абароны для розных сістэм. Для гэтага нядаўна была створана глабальная сетка цэнтраў бяспекі Acronis Cyber Protection Operations Centers (CPOCs). У гэтых цэнтрах адбываецца пастаянны аналіз трафіку, каб выявіць новыя віды шкоднаснага ПА, вірусаў і крыптаджэкінгу.
Сёння мы жадаем пагаварыць аб выніках працы CPOCs, якія зараз рэгулярна публікуюцца на канале Acronis у YouTube. А вось 5 самых гарачых навін аб інцыдэнтах, якіх можна было б пазбегнуць пры наяўнасці хаця б элементарнай абароны ад Ransomware і фішынгу.
Праграма-вымагальнік Black Kingdom навучылася кампраметаваць карыстальнікаў Pulse VPN
VPN-правайдэр Pulse Secure, на рашэнні якога належыць 80% кампаній са спісу Fortune 500, стаў ахвярай нападаў праграм-вымагальнікаў з сямейства Black Kingdom. Яны выкарыстоўваюць уразлівасць сістэмы, якая дазваляе прачытаць файл і выняць з яго дадзеныя ўліковага запісу. Пасля гэтага скрадзеныя лагін і пароль выкарыстоўваюцца для доступу ў скампраметаваную сетку.
Нягледзячы на тое, што Pulse Secure ужо выпусціла патч, які ўстараняе гэтую ўразлівасць, кампаніі, якія не яшчэ не ўсталявалі абнаўленне, знаходзяцца ў зоне падвышанай рызыкі.
Зрэшты, як паказалі тэсты, рашэнні, якія выкарыстоўваюць штучны інтэлект для вызначэння пагроз, такія як Acronis Active Protection, не дазваляюць Black Kingdom заразіць кампутары канчатковых карыстачоў. Так што калі ў кампаніі маецца падобная абарона ці сістэма са ўбудаваным механізмам кантролю за абнаўленнямі (напрыклад, Acronis Cyber Protect), можна не турбавацца аб Black Kingdom.
Атака Ransomware на Ноксвіле прывяла да адключэння сеткі
12 чэрвеня 2020 г. на горад Ноксвіле (ЗША, штат Тэнэсі) была здзейснена масіраваная Ransomware-напад, якая прывяла да адключэння кампутарных сетак. У тым ліку праваахоўнікі страцілі магчымасць рэагаваць на здарэнні, за выключэннем экстраных выпадкаў і пагрозе жыццю людзей. І нават праз некалькі дзён пасля завяршэння нападу на гарадскім сайце ўсё яшчэ было размешчана аб'ява аб тым, што анлайн-сэрвісы недаступныя.
Першаснае расследаванне паказала, што атака стала вынікам маштабнай фішынгавай атакі з рассыланнем фальшывых лістоў работнікам гарадскіх службы. Пры гэтым выкарыстоўваліся такія праграмы-вымагальнікі як Maze, DoppelPaymer або NetWalker. Як і ў мінулым прыкладзе, калі б гарадскія ўлады выкарыстоўвалі сродкі процідзеяння Ransomware, падобную атаку немагчыма было б пракруціць, таму што сістэмы абароны з ІІ маментальна дэтэктуюць варыянты выкарыстаных шыфравальшчыкаў.
MaxLinear паведаміла аб нападзе з выкарыстаннем Maze і ўцечцы дадзеных
Вытворца інтэграваных сістэм-на-чыпе, MaxLinear пацвердзіла, што сеткі кампаніі былі атакаваны шыфравальшчыкам Maze. прыкладна 1Tб дадзеных быў скрадзены, у тым ліку персанальныя дадзеныя, а таксама фінансавую інфармацыю супрацоўнікаў. Арганізатары нападу ўжо апублікавалі 10 Гбайт з ліку гэтых дадзеных.
У выніку MaxLinear прыйшлося вывесці ў афлайн усе сеткі кампаніі, а таксама наняць кансультантаў для правядзення расследавання. На прыкладзе гэтага нападу паўторым яшчэ раз: Maze — гэта досыць вядомы і добра які распазнаецца варыянт праграмы-шыфравальшчыка. У выпадку выкарыстання сістэм абароны ад Ransomware MaxLinear атрымалася б зэканоміць нямала грошай, а таксама пазбегнуць страт рэпутацыі кампаніі.
Шкоднаснае ПА «прасачылася» праз фальшывыя апавяшчэнні Google Alerts
Зламыснікі пачалі выкарыстоўваць Google Alerts для рассылання фальшывых апавяшчэнняў аб уцечках дадзеных. У выніку, атрымліваючы трывожныя паведамленні, перапуджаныя карыстачы пераходзілі на падробленыя сайты і спампоўвалі шкоднаснае ПА у надзеі «вырашыць праблему».
Шкоднасныя апавяшчэнні працуюць у Chrome і Firefox. Аднак сэрвісы фільтрацыі URL, у тым ліку сэрвіс Acronis Cyber Protect, не дазволілі карыстачам у абароненых сетках пераходзіць па заражаных спасылках.
Амерыканскі дэпартамент аховы здароўя паведаміў аб 393 парушэннях патрабаванняў да бяспекі HIPAA за мінулы год
Дэпартамент аховы здароўя ЗША (Department of Health and Human Services – HHS) паведаміў аб 393 уцечках канфідэнцыйнай інфармацыі аб здароўі пацыентаў, якія прывялі да парушэнняў патрабаванняў Health Insurance Portability and Accountability Act (HIPAA) за перыяд з чэрвеня 2019 па чэрвень 2020 года. У тым ліку 142 інцыдэнты сталі вынікамі фішынгавых нападаў на District Medical Group і Marinette Wisconsin, з якіх выцеклі 10190 і 27137 электронных медыцынскіх карт адпаведна.
На жаль, практыка паказала, што нават спецыяльна навучаныя і падрыхтаваныя карыстальнікі, якім шмат разоў тлумачылі аб недапушчальнасці пераходу па спасылках або адкрыцця ўкладанняў з падазроных лістоў, могуць стаць ахвярамі. І без аўтаматызаваных сістэм блакавання падазронай актыўнасці і URL-фільтрацыі для прадухілення пераходу на падробленыя сайты аказваецца вельмі складана абараніцца ад выдасканаленых нападаў, якія выкарыстоўваюць вельмі ўдалыя нагоды, праўдападобныя скрыні для рассылак і высокі ўзровень сацыяльнай інжынерыі.
Калі вам цікавыя навіны пра самыя апошнія пагрозы, вы можаце падпісацца на канал Acronis YouTube, на якім мы распавядаем пра самыя апошнія вынікі маніторынгу CPOC практычна ў рэальным часе. Вы таксама можаце падпісацца на наш блог на Habr.com, таму што мы будзем трансліраваць тут самыя цікавыя абнаўлення і вынікі даследаванняў.
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
А вы атрымлівалі вельмі праўдападобныя фішынгавыя лісты за апошні год?
-
33,3%Так7
-
66,7%Няма14
Прагаласаваў 21 карыстальнік. Устрымаліся 6 карыстальнікаў.
Крыніца: habr.com