Witaj, Habro! Dzisiaj chcemy porozmawiać o nowych cyberatakach, które niedawno odkryły nasze zespoły doradcze zajmujące się cyberobroną. Pod wycinkiem opowieść o poważnej utracie danych przez producenta chipów krzemowych, opowieść o wyłączeniu sieci w całym mieście, trochę o zagrożeniach związanych z powiadomieniami Google, statystyki dotyczące włamań do amerykańskiego systemu medycznego oraz link do strony Kanał Acronis na YouTube.
Oprócz bezpośredniej ochrony Twoich danych, w Acronis monitorujemy także zagrożenia, opracowujemy poprawki dla nowych luk, a także przygotowujemy rekomendacje dotyczące zapewnienia ochrony dla różnych systemów. W tym celu niedawno utworzono globalną sieć centrów bezpieczeństwa Acronis Cyber Protection Operations Centers (CPOC). Centra te stale analizują ruch w celu wykrycia nowych rodzajów złośliwego oprogramowania, wirusów i cryptojackingu.
Dziś chcemy porozmawiać o wynikach CPOC, które są teraz regularnie publikowane na kanale Acronis YouTube. Oto 5 najgorętszych wiadomości na temat incydentów, których można było uniknąć, stosując przynajmniej podstawową ochronę przed oprogramowaniem ransomware i phishingiem.
Ransomware Black Kingdom nauczyło się kompromitować użytkowników Pulse VPN
Dostawca VPN Pulse Secure, na którym polega 80% firm z listy Fortune 500, padł ofiarą ataków ransomware Black Kingdom. Wykorzystują lukę w systemie, która pozwala im odczytać plik i wyodrębnić z niego informacje o koncie. Następnie skradziony login i hasło są wykorzystywane do uzyskania dostępu do zaatakowanej sieci.
Chociaż firma Pulse Secure wydała już łatkę usuwającą tę lukę, ryzyko jest zwiększone w przypadku firm, które jeszcze nie zainstalowały tej aktualizacji.
Jednak, jak wykazały testy, rozwiązania wykorzystujące sztuczną inteligencję do identyfikacji zagrożeń, takie jak Acronis Active Protection, nie pozwalają Black Kingdom na infekowanie komputerów użytkowników końcowych. Jeśli więc Twoja firma posiada podobne zabezpieczenie lub system z wbudowanym mechanizmem kontroli aktualizacji (np. Acronis Cyber Protect), nie musisz się martwić o Black Kingdom.
Atak ransomware na Knoxville powoduje zamknięcie sieci
12 czerwca 2020 r. miasto Knoxville (USA, Tennessee) padło ofiarą masowego ataku ransomware, który doprowadził do wyłączenia sieci komputerowych. W szczególności funkcjonariusze organów ścigania utracili zdolność reagowania na zdarzenia, z wyjątkiem sytuacji awaryjnych i zagrożeń życia ludzi. Nawet kilka dni po zakończeniu ataku na stronie internetowej miasta w dalszym ciągu zamieszczano informację o niedostępności usług online.
Wstępne dochodzenie wykazało, że atak był wynikiem zakrojonego na szeroką skalę ataku phishingowego polegającego na wysyłaniu fałszywych e-maili do pracowników służb miejskich. W tym przypadku wykorzystano ransomware takie jak Maze, DoppelPaymer czy NetWalker. Podobnie jak w poprzednim przykładzie, gdyby władze miasta zastosowały środki zaradcze Ransomware, taki atak byłby niemożliwy do przeprowadzenia, ponieważ systemy ochrony AI natychmiast wykrywają warianty użytego oprogramowania ransomware.
MaxLinear zgłosił atak Maze i wyciek danych
Producent zintegrowanego systemu na chipie MaxLinear potwierdził, że jego sieci zostały zaatakowane przez oprogramowanie ransomware Maze. skradziono około 1 TB danych, w tym danych osobowych i informacji finansowych pracowników. Organizatorzy ataku opublikowali już 10 GB tych danych.
W rezultacie MaxLinear musiał wyłączyć wszystkie sieci firmy i zatrudnić konsultantów w celu przeprowadzenia dochodzenia. Używając tego ataku jako przykładu, powtórzmy jeszcze raz: Maze to dość dobrze znana i rozpoznawalna odmiana oprogramowania ransomware. Jeśli korzystasz z systemów ochrony MaxLinear Ransomware, możesz zaoszczędzić dużo pieniędzy, a także uniknąć szkody dla reputacji firmy.
Wyciek złośliwego oprogramowania za pośrednictwem fałszywych alertów Google
Atakujący zaczęli używać Alertów Google do wysyłania fałszywych powiadomień o naruszeniu danych. W rezultacie po otrzymaniu alarmujących wiadomości przestraszeni użytkownicy odwiedzali fałszywe witryny i pobierali złośliwe oprogramowanie w nadziei, że „rozwiążą problem”.
Złośliwe powiadomienia działają w przeglądarkach Chrome i Firefox. Jednak usługi filtrowania adresów URL, w tym Acronis Cyber Protect, uniemożliwiały użytkownikom chronionych sieci klikanie zainfekowanych łączy.
Departament Zdrowia Stanów Zjednoczonych raportuje o 393 naruszeniach bezpieczeństwa HIPAA w ubiegłym roku
Amerykański Departament Zdrowia i Opieki Społecznej (HHS) zgłosił 393 wycieki poufnych informacji o stanie zdrowia pacjentów, które w okresie od czerwca 2019 r. do czerwca 2020 r. spowodowały naruszenia wymogów ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA). Spośród nich 142 incydenty były wynikiem ataków phishingowych na District Medical Group i Marinette Wisconsin, z których wyciekło odpowiednio 10190 27137 i XNUMX XNUMX elektronicznych dokumentacji medycznych.
Niestety praktyka pokazuje, że ofiarami mogą stać się nawet specjalnie przeszkoleni i przygotowani użytkownicy, którym wielokrotnie powtarzano, aby nie klikali linków ani nie otwierali załączników z podejrzanych wiadomości e-mail. Bez zautomatyzowanych systemów blokowania podejrzanej aktywności i filtrowania adresów URL w celu zapobiegania odesłaniom do fałszywych witryn bardzo trudno jest obronić się przed wyrafinowanymi atakami wykorzystującymi bardzo dobre preteksty, wiarygodne skrzynki pocztowe i wysoki poziom inżynierii społecznej.
Jeśli interesują Cię aktualności na temat najnowszych zagrożeń, możesz zasubskrybować kanał Acronis w serwisie YouTube, na którym udostępniamy najnowsze wyniki monitorowania CPOC w czasie zbliżonym do rzeczywistego. Możesz także subskrybować naszego bloga na Habr.com, ponieważ będziemy tu zamieszczać najciekawsze aktualizacje i wyniki badań.
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Czy w ciągu ostatniego roku otrzymałeś wysoce wiarygodne e-maile phishingowe?
-
33,3%Tak7
-
66,7%Nie14
Głosowało 21 użytkowników. 6 użytkowników wstrzymało się od głosu.
Źródło: www.habr.com