Сегодня 23 июля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → вымогательское по
Быстрый переход

Курьерская служба СДЭК парализована уже третий день из-за атаки вируса-шифровальщика

Сервис доставки посылок СДЭК приостановил работу 26 мая из-за обширного технического сбоя. Ответственность за этот инцидент взяла на себя международная хакерская группировка Head Mare, заявившая об этом в своём аккаунте в соцсети X. Злоумышленники опубликовали скриншоты проникновения в систему СДЭК и «передали привет» российской ИБ-компании Bi.Zone, которая консультирует СДЭК в вопросах кибербезопасности.

 Источник изображения: TheDigitalArtist / Pixabay

Источник изображения: TheDigitalArtist / Pixabay

В сообщении злоумышленников сказано, что в ходе атаки на IT-системы СДЭК они задействовали вирус-шифровальщик. Вредоносное программное обеспечение такого типа шифрует данные, из-за чего жертва атаки теряет к ним доступ. Неназванный источник в СДЭК, а также собеседник в одной из крупных ИБ-компаний, подтвердили, что в ходе атаки на СДЭК использовался шифровальщик.

«Мы столкнулись с техническим сбоем и проводим расследование. Есть несколько теорий, и говорить что-либо до получения точной информации считаем непрофессиональным», — прокомментировал данный вопрос официальный представитель СДЭК. При этом в компании не сообщили, когда сервис может возобновить работу. Представители Bi.Zone никак не комментируют данный вопрос.

Эксперты отмечают, что шифровальщик может попасть в атакуемую систему разными способами. Чаще всего вирусы такого типа загружают пользователи через электронную почту или другие сообщения. Реже такое происходит в результате взлома системы злоумышленниками. Такие вирусы также принято называть вымогателями, поскольку обычно после завершения работы шифровальщика жертве предлагается заплатить выкуп за восстановление доступа к данным. По подсчётам Российской ассоциации электронной коммерции (РАЭК), количество кибератак с использованием шифровальщиков выросло в 2023 году на 160 % по сравнению с показателем за предыдущий год. Средний размер выкупа за расшифровку данных в 2023 году составил 53 млн рублей.

Скорость восстановления работоспособности систем СДЭК зависит от того, как часто компания делала бэкапы (резервные копии данных), и какой шифровальщик использовали злоумышленники. Если речь идёт об уже известном вредоносном ПО, то для него уже может существовать программа-декриптор, которая позволит расшифровать данные. Злоумышленники из Head Mare опубликовали скриншоты уничтожения бэкапов, заявив, что СДЭК делала резервные копии раз в полгода. Однако верить на слово злоумышленникам не стоит, поскольку часто они преувеличивают нанесённый в ходе атак ущерб.

Вчера сообщалось, что СДЭК возобновит работу сегодня после обеда. Однако позже стало известно, что произойдёт это несколько позже — курьерская служба уведомила, что в течение понедельника «значительно продвинулась» в восстановлении, но пока не готова возобновить обслуживание. «ПВЗ СДЭК восстановят выдачу отправлений не позднее завтрашнего дня, 29 мая. Мы работаем над полным возобновлением обслуживания, но также заготовили и резервные схемы», — сообщил «Интерфаксу» директор по коммуникациям СДЭК Михаил Берггрен.

«Лаборатория Касперского» обнаружила вирус-вымогатель ShrinkLocker — он использует BitLocker

Функция Windows BitLocker снова стала оружием в руках киберпреступников. Специалисты из «Лаборатории Касперского» обнаружили новый вирус-вымогатель под названием ShrinkLocker, который задействует для шифрования данных на атакуемых устройствах BitLocker. Злоумышленники использовали этот вымогатель для атак на IT-инфраструктуру компаний и государственных учреждений в Мексике, Индонезии и Иордании.

 Источник изображения: securelist.com

Источник изображения: securelist.com

Злоумышленники используют вредоносный скрипт на VBScript, языке сценариев, который используется для автоматизации задач на устройствах с Windows. Скрипт проверяет версию используемой ОС и запускает BitLocker, причём сделать это он может на ПК с разными версиями программной платформы, начиная от Vista или Windows Server 2008. Если скрипт обнаруживает более старую версию ОС, то он попросту удаляется с устройства.

Затем вредонос уменьшает все разделы хранилища на 100 Мбайт и задействует высвобожденное пространство для создания нового загрузочного раздела. Из-за этого вымогатель и получил название ShrinkLocker. Далее происходит шифрование хранящихся на устройстве данных с помощью BitLocker и создание нового 64-символьного ключа шифрования, который вместе с другой информацией о ПК жертвы отправляется злоумышленникам. После завершения шифрования компьютер перезагружается и ОС грузится из вновь созданного раздела, а доступ к хранящейся информации для жертвы полностью блокируется. Название нового загрузочного раздела меняется на адрес электронной почты хакера, вероятно, чтобы жертвы могли договориться о выкупе и восстановлении работоспособности устройств.

В сообщении отмечается, что автор ShrinkLocker должен обладать обширными познаниями о работе внутренних функций и утилит Windows. Экспертам «Лаборатории Касперского» не удалось установить, откуда проводятся атаки с использованием нового вредоноса или куда пересылаются данные жертв. Скрипт ShrinkLocker удалось обнаружить всего на одном ПК, где не был установлен BitLocker. Эксперты считают, что характер атак указывает на то, что цель злоумышленников скорее в том, чтобы нарушить работоспособность и уничтожить данные, а не получить выкуп.

Для защиты от атак такого типа рекомендуется чаще делать резервные копии. Кроме того, следует ограничить права пользователей на редактирование, чтобы из их учётных записей было нельзя изменять настройки BitLocker или реестра. В дополнение к этому рекомендуется использовать продвинутые решения для ИБ-защиты, способные отслеживать подозрительную активность и защищать IT-инфраструктуру.

США пообещали $10 млн за сведения о россиянине, который создал вирус-вымогатель LockBit

Международная коалиция правоохранительных органов, возглавляемая Национальным агентством по борьбе с преступностью (NCA) Великобритании, объявила во вторник, что раскрыла личность администратора и разработчика программы-вымогателя LockBit. По данным правоохранителей, им является 31-летний гражданин России, уроженец Воронежа Дмитрий Юрьевич Хорошев, известный под никами LockBit и LockBitSupp.

 Источник изображения: TheDigitalArtist/Pixabay

Источник изображения: TheDigitalArtist/Pixabay

«Сегодня мы делаем ещё один шаг вперёд и обвиняем человека, который, как мы утверждаем, разработал и реализовал эту вредоносную киберсхему, целью которой стали более 2000 жертв и украдено более $100 млн в виде платежей с помощью программ-вымогателей»,заявил генеральный прокурор США Меррик Б. Гарланд (Merrick B. Garland).

На сайте Минюста США объявлено о вознаграждении в $10 млн за информацию, которая поможет властям арестовать Хорошева. Ему предъявляется обвинение по 26 пунктам, вынесенное большим жюри присяжных округа Нью-Джерси (США). До этого, в феврале правоохранительными органами США, Европы, Австралии и Японии была проведена совместная операции «Хронос» (Operation Cronos), в результате которой была взломана часть ресурсов, принадлежащих хакерской группировке LockBit.

Как сообщает Минюст США, Хорошев предположительно выступал в качестве разработчика и администратора группы вымогателей LockBit с момента её создания примерно в сентябре 2019 года по май 2024 года. За этот период LockBit атаковала более 2500 жертв как минимум в 120 странах, включая 1800 жертв в США. Целями хакерской группировки были частные лица, малые предприятия, транснациональные корпорации, больницы, школы, некоммерческие организации, критически важная инфраструктура, а также государственные и правоохранительные органы. По данным Минюста США, Хорошев и его сообщники получили от своих жертв в качестве выкупа не менее $500 млн и нанесли миллиарды долларов ущерба.

Правительство США также объявило о санкциях против Хорошева, которыми запрещается кому-либо заключать с ним сделки, включая выплату выкупа. Нарушение санкций грозит крупными штрафами и судебным преследованием.

Хакеры-вымогатели установили новый рекорд в 2023 году, заработав более $1 млрд

Прошедший 2023 год был удачным для хакеров-вымогателей, заработавших более $1 млрд, что является новым рекордом, пишет PCMag со ссылкой на исследование компании Chainalysis, занимающейся мониторингом блокчейнов.

 Источник изображения: Pixabay

Источник изображения: Pixabay

В предыдущем году, наоборот, было зафиксировано значительное падение доходов хакеров-вымогателей, составивших около $567 млн, что, по-видимому, было разовым явлением. В 2023 году, как утверждает Chainalysis, драйверами роста стали приток новых хакеров и ряд крупных атак, принесших злоумышленникам миллионные выплаты от пострадавших компаний. «В 2023 году в сфере программ-вымогателей произошёл значительный рост частоты, масштабов и объёма атак», — отметила Chainalysis, добывающая данные, отслеживая платежи в криптовалюте на цифровые кошельки, связанные с хакерскими группами.

Хакеры повысили ставки, требуя от жертв выкуп в размере $1 млн и более. «Наверное, больше всего меня удивило то, что 75 % общего объёма платежей по программам-вымогателям в 2023 году приходится на выплаты в размере $1 млн и более», — сообщил в своём твите глава отдела анализа угроз Chainalysis Джеки Бёрнс Ковен (Jackie Burns Koven).

Не стала исключением и хакерская группа CL0P, тоже повысившая требования по выплатам, используя баг в MOVEit, популярном сервисе передачи файлов. Благодаря этому багу ей удалось собрать более $100 млн в виде выкупов, что составляет 44,8 % всех выкупов, полученных хакерами-вымогателями в июне, и 39,0 % — в июле.

Также Chainalysis отметила, что сообщество злоумышленников пополнилось новыми игроками, «привлечёнными возможностью получения высоких прибылей и более низкими барьерами для входа». Например, одна группировка продавала доступ к своей разновидности программы-вымогателя Phobos другим, менее опытным хакерам, что позволяло им легко проводить атаки различных компаний. В результате получился «мультипликатор силы, позволяющий штамму выполнять большое количество мелких атак», отметила Chainalysis.

Провайдер решений по кибербезопасности Coveware заявляет, что есть и позитивный момент — всё больше жертв отказываются платить выкуп вымогателям. Но, как показывает отчет Chainalysis, угроза со стороны злоумышленников, использующих программы-вымогатели, сохраняется.

В США арестовали россиянина по обвинению в причастности к атакам вируса-вымогателя LockBit

Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

 Источник изображения: Towfiqu barbhuiya/unsplash.com

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

Microsoft устранила уязвимость Windows, которую используют хакеры-вымогатели

Microsoft выпустила очередной патч в рамках программы Patch Tuesday, содержащий исправления для 97 уязвимостей в разных продуктах компании. Помимо прочего, разработчики устранили уязвимость нулевого дня CVE-2023-28252, которая связана с драйвером Windows Common Log File System (CLFS) и позволяет повысить уровень привилегий в атакуемой системе.

 Источник изображения: Microsoft

Источник изображения: Microsoft

Согласно имеющимся данным, упомянутая уязвимость активно используется хакерами для проведения атак с использованием вымогательского программного обеспечения. Проблема затрагивает все актуальные серверные и клиентские версии Windows, поэтому установку патча лучше не откладывать.

По данным «Лаборатории Касперского», уязвимость CVE-2023-28252 используется злоумышленниками для развёртывания вымогателя Nokoyawa. Преимущественно атаки такого типа нацелены на представителей малого и среднего бизнеса на Ближнем Востоке, в Северной Америке и Азии. Специалисты по информационной безопасности отметили, что упомянутая уязвимость нулевого дня отличается от других тем, что она активно эксплуатируется финансово мотивированными киберпреступниками.

Впервые вредоносное ПО Nokoyawa было замечено в феврале 2022 года. Предполагается, что члены ныне не существующей группировки Hive выступали в роли операторов этого ПО. Как и другие вымогатели, Nokoyawa шифрует данные на атакуемых устройствах, после чего требует выкуп за их восстановление. Операторы вредоноса также угрожали жертвам раскрытием конфиденциальных данных, которые они якобы похищают в ходе атак.

Ferrari подверглась атаке хакеров-вымогателей — похищены данные клиентов

Итальянский производитель суперкаров Ferrari подтвердил, что внутренние IT-системы компании подверглись атаке вымогательского программного обеспечения, в результате которой данные клиентов попали в руки злоумышленников. Уведомление об этом и официальные извинения от лица компании были разосланы клиентам Ferrari, которых затронул инцидент.

 Источник изображения: Ferrari

Источник изображения: Ferrari

«Мы с сожалением сообщаем вам о киберинциденте в Ferrari, в результате которого хакеры смогли получить доступ к ограниченному числу систем в нашей IT-среде», — говорится в сообщении от имени генерального директора Ferrari Бенедетто Винья (Benedetto Vigna).

Согласно имеющимся сведениям, злоумышленники получили доступ к личным данным клиентов Ferrari, включая их ФИО, адреса проживания, адреса почтовых ящиков и номера телефонов. Проведённое расследование показало, что никакая платёжная информация или данные об имеющихся в работе автопроизводителя заказах не были похищены. В Ferrari также подтвердили, что киберинцидент не повлиял на работу компании.

Отметим, что Ferrari не уточнила, сколько клиентов затронул киберинцидент, и когда именно он произошёл. Известно лишь, что IT-системы автопроизводителя были атакованы с помощью вымогательского ПО, но Ferrari отказалась платить выкуп. Официальные представители компании воздерживаются от комментариев по данному вопросу.

Онлайн-мошенники нанесли экономике США ущерб на более чем $10 млрд в 2022 году

В 2022 году потери экономики США от онлайн-мошенничества превысили $10 млрд, что является самым высоким годовым ущербом за последние пять лет, сообщил ресурс CNN со ссылкой на ежегодный отчёт ФБР о преступлениях в интернете Internet Crime Report.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно отчёту, рост ущерба от онлайн-мошенничества более чем на $3 млрд по сравнению с 2021 годом был вызван почти утроением зафиксированных случаев мошенничества с инвестициями в криптовалюту.

Отчёт отражает, во сколько хакерские и другие мошеннические схемы обходятся американской экономике. В прошлом году больше всего жалоб на мошенничество подали люди старше 30 лет, причём больше всех пострадали пожилые люди. По данным ФБР, на долю пострадавших в возрасте старше 60 лет пришлось $724 млн или более двух третей заявленных потерь от «мошенничества в колл-центрах», когда мошенники звонят потенциальным жертвам, выдавая себя за службу технической поддержки или правительственные учреждения.

По подсчётам ФБР, на мошенничество с использованием программ-вымогателей приходится около $34 млн скорректированных убытков. Относительно скромная цифра по сравнению с потерями от других форм мошенничества может быть объяснена тем, что многие пострадавшие компании до сих пор не извещают ФБР об инцидентах с использованием программ-вымогателей.

По данным ФБР, в прошлом году популярный тип программы-вымогателя Hive использовался в 87 атаках. В январе этого года ведомству удалось прекратить деятельность группы хакеров Hive, требовавшей более $130 млн в виде выкупа у более чем 300 жертв, включая школы и больницы.

Также в отчёте упоминается схема взлома, известная как компрометация деловой электронной почты (business email compromise, BEC), заключающаяся в том, что жертву обманом заставляют перевести деньги киберпреступникам, выдающим себя за клиента или родственника. Как указано в документе, в 2022 году скорректированные убытки от мошенничества с BEC составили около $2,7 млрд по сравнению с примерно $2,4 млрд в 2021 году.

Атака хакеров-вымогателей на поставщика обойдётся Applied Materials в $250 млн

Известный производитель оборудования и программного обеспечения для выпуска чипов Applied Materials в ходе недавнего финансового отчёта заявил, что атака хакеров-вымогателей на одного из его поставщиков дорого обойдётся бизнесу. Applied Materials это будет стоить в следующем квартале $250 млн упущенной выручки.

 Источник изображения: Applied Materials

Источник изображения: Applied Materials

Производитель предпочёл не сообщать, о каком именно поставщике идёт речь, но некоторые отраслевые эксперты считают, что речь идёт о компании MKS Instruments, поставляющей инструменты и технологии, которая в понедельник внезапно объявила, что должна перенести собственный доклад о доходах в IV квартале именно из-за атаки вымогателей, информация о которой появилась 3 февраля.

По данным представителя Applied Materials, сбои в работе одного из поставщиков повлияют на поставки во втором квартале. По прогнозу, за второй квартал фискального 2023 года выручка составит порядка $6,40 млрд, с учётом влияния недавнего киберинцидента у одного из поставщиков, негативный эффект от которого составит $250 млн. На прямой вопрос о том, идёт ли речь об MKS Instruments, представитель бизнеса не ответил. В самой MKS заявляют, что находятся в «стадии восстановления» после атаки.

Сообщается, что атака повлияла на способность компании обрабатывать заказы в первом квартале, поставлять продукты и обеспечивать сервисное обслуживание в подразделениях Vacuum Solutions и Photonics Solutions. В MKS добавили, что пока неизвестно, когда последствия инцидента будут устранены полностью. Дополнительно бизнес оценивает, насколько страховка покроет расходы, связанные с атакой. Известно, что теперь отчёт перенесён на 28 февраля. Ни одна из групп кибервымогателей не взяла на себя публичной ответственности за атаку.

Важно, что атака на MKS подтверждает худшие страхи экспертов по кибербезопасности, связанные с тем, что вместо крупной, хорошо защищённой компании злоумышленники могут напасть на более мелкую, при этом нанеся весьма ощутимый урон всей производственной цепочке. Полупроводниковая отрасль является одним из самых сложных и важных сегментов в глобальной экономике, в то же время очень уязвимым.

По мнению экспертов, перебои на полупроводниковом рынке могут иметь долговременные последствия и влиять буквально на всё, от производства автомобилей до цен на еду. Поэтому такие атаки заслуживают намного больше внимания, чем оказывается сегодня.

Cisco Systems подтвердила факт взлома своих систем группировкой Yanluowang

Компания Cisco Systems подтвердила, что в конце мая её корпоративная сеть подверглась атаке хакеров, занимающихся распространением вымогательского программного обеспечения Yanluowang. Отмечается, что злоумышленникам удалось украсть не являющиеся конфиденциальными данные, связанные со скомпрометированной учётной записью одного из сотрудников.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

«В конце мая 2022 года в корпоративной сети Cisco Systems произошёл инцидент безопасности, и мы немедленно приняли меры по сдерживанию и блокировке злоумышленников. Этот инцидент не повлиял на бизнес компании, включая продукты и услуги, конфиденциальные данные клиентов и сотрудников, интеллектуальную собственность и операции в цепи поставок», — прокомментировали данный вопрос в Cisco Systems.

По данным источника, злоумышленники смогли получить доступ к внутренней сети Cisco Systems после того, как им удалось взломать аккаунт Google одного из сотрудников. С помощью обмана им удалось убедить жертву принять push-уведомление многофакторной аутентификации, в результате чего был получен доступ к VPN в контексте целевого пользователя. После проникновения в сеть Cisco Systems злоумышленники скомпрометировали несколько серверов Citrix и получили привилегированный доступ к контроллерам домена. Получив права администратора домена, они осуществили сбор данных и загрузили на скомпрометированные системы вредоносное программное обеспечение, включая бэкдор.

В конечном итоге специалисты Cisco Systems обнаружили присутствие злоумышленников во внутренней сети, после чего они были заблокированы. Отмечается, что в течение последующих нескольких недель хакеры не оставляли попыток восстановить доступ к системам Cisco Systems. При этом в компании не обнаружили никаких признаков того, что хакеры загрузили в сеть ПО для шифрования данных на скомпрометированных системах.

Любопытно, что несколько дней назад один из участников атаки на Cisco Systems связался с порталом BleepingComputer и предоставил доказательства того, что хакерам удалось похитить ценные данные. Он сообщил, что в ходе атаки было украдено около 2,75 Гбайт данных (примерно 3100 файлов), многие из которых представляют собой соглашения о неразглашении, дампы данных и инженерные чертежи.


window-new
Soft
Hard
Тренды 🔥
Еженедельный чарт Steam: российская средневековая стратегия Norland стартовала в топ-10, а No Man’s Sky взлетела на четвёртое место 10 мин.
Слухи: Microsoft задумалась о добавлении в Game Pass более дешёвого и доступного тарифа, чем Ultimate 35 мин.
США одобрили запуск спотовых ETF на Ethereum — торги начинаются уже сегодня 3 ч.
Intel выпустила AI Playground — менеджер генеративного ИИ для видеокарт Arc 4 ч.
Всё больше российских компаний допускает утечки клиентских данных 5 ч.
Создатель Stardew Valley поклялся «честью своей семьи» никогда не выпускать платный контент для игры 5 ч.
Научно-фантастический боевик Kiborg про киборга Василия получит бесплатный пролог — дата выхода Kiborg: Arena в Steam 6 ч.
Alphabet провалила сделку по поглощению Wiz за $23 млрд — стартап счёл предложенные условия унизительными 7 ч.
Аудитория Telegram достигла 950 миллионов пользователей в месяц 7 ч.
Объём мирового рынка IaaS в 2023 году достиг $140 млрд 7 ч.