Cześć, Habr! Dzisiaj chcemy porozmawiać o nowych cyberatakach, które niedawno zostały odkryte przez nasze centra analityczne zajmujące się cyberobroną. Poniżej znajduje się historia o dużej utracie danych przez producenta układów scalonych, historia o wyłączeniu sieci miejskiej, krótki opis zagrożeń związanych z powiadomieniami Google, statystyki dotyczące włamań do amerykańskiego systemu medycznego i link do kanału Acronis w serwisie YouTube.
Oprócz bezpośredniej ochrony Twoich danych, my w Acronis monitorujemy również zagrożenia, opracowujemy poprawki dla nowych luk w zabezpieczeniach i przygotowujemy zalecenia mające na celu zapewnienie ochrony różnym systemom. W tym celu niedawno utworzono globalną sieć Centrów Operacji Cyberochrony Acronis (CPOC). Centra te nieustannie analizują ruch w celu wykrywania nowych typów złośliwego oprogramowania, wirusów i kryptokradzieży.
Dzisiaj chcemy porozmawiać o wynikach CPOC, które są już regularnie publikowane na kanale Acronis w serwisie YouTube. Oto pięć najgorętszych informacji o incydentach, których można było uniknąć, gdyby wdrożono przynajmniej podstawową ochronę przed oprogramowaniem ransomware i phishingiem.
Ransomware Black Kingdom uczy się atakować użytkowników Pulse VPN
Dostawca sieci VPN Pulse Secure, z którego korzysta 80% firm z listy Fortune 500, padł ofiarą ataków ransomware Black Kingdom. Wykorzystują lukę w zabezpieczeniach systemu, która pozwala im odczytać plik i wyodrębnić z niego dane konta. Następnie skradziony login i hasło służą do uzyskania dostępu do zainfekowanej sieci.
Chociaż firma Pulse Secure wydała już poprawkę naprawiającą lukę w zabezpieczeniach, firmy, które jeszcze nie zainstalowały aktualizacji, znajdują się w grupie zwiększonego ryzyka.
Jak jednak wykazały testy, rozwiązania wykorzystujące sztuczną inteligencję do identyfikacji zagrożeń, takie jak Acronis Active Protection, zapobiegają zainfekowaniu komputerów użytkowników końcowych przez robaka Black Kingdom. Jeśli więc Twoja firma dysponuje podobną ochroną lub systemem z wbudowanym mechanizmem kontroli aktualizacji (np. Acronis Cyber Protect), nie musisz obawiać się Black Kingdom.
Atak ransomware w Knoxville powoduje wyłączenie sieci
12 czerwca 2020 r. doszło do masowego ataku ransomware na miasto Knoxville (USA, Tennessee), w wyniku którego nastąpiło wyłączenie sieci komputerowych. W szczególności funkcjonariusze organów ścigania utracili możliwość reagowania na incydenty, z wyjątkiem sytuacji awaryjnych i sytuacji, gdy zagrożone jest ludzkie życie. Nawet kilka dni po zakończeniu ataku na stronie internetowej miasta nadal widniał komunikat informujący o niedostępności usług online.
Wstępne dochodzenie wykazało, że atak był wynikiem szeroko zakrojonej kampanii phishingowej, w ramach której wysyłano fałszywe e-maile do pracowników służb miejskich. Wykorzystano programy typu ransomware, takie jak Maze, DoppelPaymer czy NetWalker. Podobnie jak w poprzednim przykładzie, gdyby władze miasta użyły narzędzi chroniących przed oprogramowaniem ransomware, taki atak byłby niemożliwy do przeprowadzenia, ponieważ systemy ochrony oparte na sztucznej inteligencji natychmiast wykrywają odmiany użytego oprogramowania ransomware.
MaxLinear zgłasza atak Maze i wyciek danych
Producent zintegrowanych systemów na układzie scalonym MaxLinear potwierdził, że jego sieci padły ofiarą ataku ransomware Maze. Skradziono około 1 TB danych, w tym dane osobowe i informacje finansowe pracowników. Organizatorzy ataku opublikowali już 10 GB tych danych.
W rezultacie firma MaxLinear musiała wyłączyć wszystkie sieci firmy i zatrudnić konsultantów, którzy przeprowadzili dochodzenie. Biorąc ten atak za przykład, powtórzmy raz jeszcze: Maze to dość znana i rozpoznawalna odmiana oprogramowania ransomware. Korzystając z systemów ochrony przed oprogramowaniem ransomware firmy MaxLinear, można było zaoszczędzić sporo pieniędzy i uniknąć nadszarpnięcia reputacji firmy.
Złośliwe oprogramowanie „wyciekło” przez fałszywe alerty Google
Atakujący zaczęli używać Google Alerts do wysyłania fałszywych powiadomień o naruszeniach danych. W efekcie, po otrzymaniu alarmujących wiadomości, przestraszeni użytkownicy wchodzili na fałszywe strony internetowe i pobierali złośliwe oprogramowanie, mając nadzieję na „rozwiązanie problemu”.
Złośliwe powiadomienia działają w przeglądarkach Chrome i Firefox. Jednak usługi filtrowania adresów URL, w tym Acronis Cyber Protect, uniemożliwiły użytkownikom w zabezpieczonych sieciach klikanie na zainfekowane linki.
Departament Zdrowia i Opieki Społecznej USA zgłasza 393 naruszenia bezpieczeństwa HIPAA w zeszłym roku
Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) odnotował 393 naruszenia poufnych informacji medycznych pacjentów, które skutkowały naruszeniem ustawy o przenoszalności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) w okresie od czerwca 2019 r. do czerwca 2020 r. 142 z nich było wynikiem ataków phishingowych na District Medical Group i Marinette Wisconsin, w wyniku których wyciekło odpowiednio 10190 27137 i XNUMX XNUMX elektronicznych dokumentacji medycznych.
Niestety, praktyka pokazała, że ofiarami mogą paść nawet specjalnie przeszkoleni i przygotowani użytkownicy, którym wielokrotnie powtarzano, że klikanie w linki lub otwieranie załączników z podejrzanych wiadomości e-mail jest niedopuszczalne. A bez zautomatyzowanych systemów blokujących podejrzaną aktywność i filtrowania adresów URL, które zapobiegałoby przekierowywaniu do fałszywych witryn, bardzo trudno jest chronić się przed wyrafinowanymi atakami, które wykorzystują bardzo dobre przesłanki, wiarygodne skrzynki mailowe i wysoki poziom inżynierii społecznej.
Jeśli interesują Cię informacje o najnowszych zagrożeniach, możesz zasubskrybować kanał Acronis w serwisie YouTube, na którym udostępniamy najnowsze wyniki monitorowania CPOC w czasie niemal rzeczywistym. Możesz również zasubskrybować nasz blog na stronie Habr.com, ponieważ będziemy tu publikować najciekawsze aktualności i wyniki badań.
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Czy w ciągu ostatniego roku otrzymałeś jakieś wiarygodne wiadomości e-mail typu phishing?
33,3%Tak7
66,7%Nie14
Głosowało 21 użytkowników. 6 użytkowników wstrzymało się od głosu.
Źródło: www.habr.com
