Привіт, Хабре! Сьогодні ми хочемо розповісти про нові кібератаки, які нещодавно були виявлені нашими аналітичними центрами кіберзахисту. Під катом розповідь про велику втрату даних виробником кремнієвих чіпів, історія про відключення мереж у цілому місті, трохи про небезпеку повідомлень Google, статистика про злами медичної системи США та посилання на канал Acronis на YouTube.
Крім захисту безпосередньо ваших даних, ми в Acronis також займаємося моніторингом загроз, розробляємо виправлення для нових вразливостей, а також готуємо рекомендації щодо захисту для різних систем. Для цього нещодавно було створено глобальну мережу центрів безпеки Acronis Cyber Protection Operations Centers (CPOCs). У цих центрах відбувається постійний аналіз трафіку, щоб виявити нові види шкідливого ПЗ, вірусів та криптоджекінгу.
Сьогодні ми хочемо поговорити про результати роботи CPOC, які тепер регулярно публікуються на каналі Acronis у YouTube. А ось 5 найгарячіших новин про інциденти, яких можна було б уникнути за наявності хоча б елементарного захисту від Ransomware та фішингу.
Програма-вимагач Black Kingdom навчилася компрометувати користувачів Pulse VPN
VPN-провайдер Pulse Secure, на рішення якого належить 80% компаній зі списку Fortune 500, став жертвою атак програм-вимагачів із сімейства Black Kingdom. Вони використовують вразливість системи, яка дозволяє прочитати файл та витягти з нього дані облікового запису. Після цього вкрадені логін та пароль використовуються для доступу до скомпрометованої мережі.
Незважаючи на те, що Pulse Secure вже випустила патч, який усуває цю вразливість, компанії, які ще не встановили оновлення, знаходяться в зоні підвищеного ризику.
Втім, як показали тести, рішення, що використовують штучний інтелект для визначення загроз, такі як Acronis Active Protection, не дозволяють Black Kingdom заразити комп'ютери кінцевих користувачів. Так що якщо в компанії є подібний захист або система з вбудованим механізмом контролю за оновленнями (наприклад, Acronis Cyber Protect), можна не перейматися Black Kingdom.
Атака Ransomware на Ноксвілл призвела до відключення мережі
12 червня 2020 року на місто Ноксвілл (США, штат Теннессі) було здійснено масовану Ransomware-атаку, яка призвела до відключення комп'ютерних мереж. Зокрема правоохоронці втратили можливість реагувати на події за винятком екстрених випадків та загрози життю людей. І навіть за кілька днів після завершення атаки на міському сайті все ще було розміщено оголошення про те, що онлайн-сервіси недоступні.
Первинне розслідування показало, що атака стала результатом масштабної атаки фішингу з розсилкою фальшивих листів працівникам міських служби. При цьому використовувалися такі програми-змагачі, як Maze, DoppelPaymer або NetWalker. Як і в минулому прикладі, якби міська влада використовувала засоби протидії Ransomware, подібну атаку неможливо було б провернути, тому що системи захисту з ІІ моментально детектують варіанти використаних шифрувальників.
MaxLinear повідомила про атаку з використанням Maze та витік даних
Виробник інтегрованих систем-на-чіпі MaxLinear підтвердила, що мережі компанії були атаковані шифрувальником Maze. приблизно 1Tб даних було вкрадено, включаючи персональні дані, а також фінансову інформацію співробітників. Організатори атаки вже опублікували 10 Гбайт із цих даних.
В результаті MaxLinear довелося вивести в офлайн усі мережі компанії, а також найняти консультантів для проведення розслідування. На прикладі цієї атаки повторимо ще раз: Maze — це досить відомий варіант програми-шифрувальника, що добре розпізнається. У разі використання систем захисту від Ransomware MaxLinear вдалося заощадити чимало грошей, а також уникнути втрати репутації компанії.
Шкідливе програмне забезпечення «просочилося» через фальшиві повідомлення Google Alerts
Зловмисники почали використовувати Google Alerts для розсилки фальшивих повідомлень про витікання даних. В результаті, отримуючи тривожні повідомлення, перелякані користувачі переходили на підроблені сайти і завантажували шкідливе програмне забезпечення з надією «вирішити проблему».
Шкідливі повідомлення працюють у Chrome та Firefox. Однак сервіси фільтрації URL, у тому числі сервіс Acronis Cyber Protect, не дозволили користувачам у захищених мережах переходити за зараженими посиланнями.
Американський департамент охорони здоров'я повідомив про 393 порушення вимог до безпеки HIPAA за минулий рік
Департамент охорони здоров'я США (Department of Health and Human Services — HHS) повідомив про 393 витоку конфіденційної інформації про здоров'я пацієнтів, які призвели до порушень вимог Health Insurance Portability and Accountability Act (HIPAA) за період з червня 2019 по червень 2020 року. У тому числі 142 інциденти стали результатами фішингових атак на District Medical Group та Marinette Wisconsin, з яких вибігли 10190 та 27137 електронних медичних карток відповідно.
На жаль, практика показала, що навіть спеціально навчені та підготовлені користувачі, яким багато разів пояснювали про неприпустимість переходу за посиланнями або відкриття вкладень із підозрілих листів, можуть стати жертвами. І без автоматизованих систем блокування підозрілої активності та URL-фільтрації для запобігання переходу на підроблені сайти виявляється дуже складно захиститись від витончених атак, які використовують дуже вдалі приводи, правдоподібні скриньки для розсилок та високий рівень соціальної інженерії.
Якщо вам цікаві новини про останні загрози, ви можете підписатися на канал Acronis YouTube, на якому ми розповідаємо про останні результати моніторингу CPOC практично в реальному часі. Ви також можете підписатися на наш блог на Habr.com, тому що ми будемо транслювати тут найцікавіші оновлення та результати досліджень.
Тільки зареєстровані користувачі можуть брати участь в опитуванні. , будь ласка.
А ви отримували дуже правдоподібні листи фішинга за останній рік?
-
33,3%Так7
-
66,7%Ні14
Проголосував 21 користувач. Утрималися 6 користувачів.
Джерело: habr.com