В результате массированной кибератаки, эксплуатирующей уязвимость файлообменной программы MOVEit, неизвестные хакеры получили в распоряжение данные, принадлежащие платёжной службе Zellis, властям канадской провинции Новая Шотландия, авиакомпании British Airways, телерадиовещателю BBC и розничной сети Boots.

Источник изображения: ipswitch.com/moveit

Первые признаки активной эксплуатации уязвимости обнаружены 27 мая. Атака производится при помощи SQL-инъекции, то есть исполнения вредоносного кода на языке структурированных запросов (SQL) к базе данных. Злоумышленники атакуют облачные ресурсы или выделенные платформы MOVEit, размещая в них шелл — веб-оболочку для несанкционированного доступа. Шелл часто носит имя «human2.aspx» или «human2.aspx.lnk», маскируясь под файл «human.aspx», являющийся стандартным компонентом службы MOVEit Transfer.

Ответственная за разработку MOVEit компания Progress закрыла уязвимость только 31 мая, то есть через четыре дня после начала атаки. И только в минувшее воскресенье, 4 июня, Microsoft сообщила, что за кибератакой стоит русскоязычная хакерская группировка Clop. Как установили эксперты по кибербезопасности, кража данных чаще всего производится в течение двух часов после запуска эксплойта.

Причастность русскоязычных хакеров пока не получила доказательств: ни одна из жертв, в число которых входят мелкие и крупные организации, пока не получила требований о выкупе. Более того, на сайте самой Clop о последней серии кибератак не говорится ничего. Эксперты по кибербезопасности ожидают, что такие требования начнут поступать в ближайшие дни или недели.

Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке. Производитель компьютерных комплектующих не стал вдаваться в подробности взлома и не сообщил, были в результате этого инцидента затронуты данные пользователей. Как стало известно порталу BleepingComputer, ответственность за взлом взяла на себя некая группировка хакеров-вымогателей Money Message.

Источник изображения: MSI

Хакеры утверждают, что получили доступ к 1,5 Тбайт данных из CTMS- и ERP-систем, содержащих различную конфиденциальную информацию MSI. В частности, были похищены исходные коды программного обеспечения MSI, включая данные о структуре прошивок BIOS, используемых в продуктах производителя, криптографические ключи и прочие файлы.

Источник изображения: BleepingComputer

Злоумышленники угрожают опубликовать украденные данные в открытый доступ на следующей неделе, если MSI не согласится с их требованием о выкупе в размере $4 млн. BleepingComputer обратился за комментариями в MSI, но там ответа пока не предоставили.

Как сообщается, хакерская группа Money Message образовалась в прошлом месяце. По данным компании Cyble, занимающейся вопросами кибербезопасности, целями указанной группы злоумышленников являются системы на базе Window и Linux. Преступники стараются получить доступ к сетевой инфраструктуре жертвы, зашифровывают её, а затем требуют выкуп. Перед внедрением программ-вымогателей хакеры обычно пытаются украсть данные администраторов IT-сетей.

Компания MSI опубликовала заявление, в котором сообщила своим клиентам, что её информационные системы подверглись кибератаке.

Источник изображения: MSI

Производитель компьютерных комплектующих не пояснил, какая именно часть его сетевой инфраструктуры подверглась атаке хакеров, и было ли что-то похищено, однако в компании отметили, что обнаружили аномалии в работе внутренней сети и запустили соответствующие защитные механизмы. В частности, MSI обратилась к местным органам правопорядка, а также специалистам по кибербезопасности.

В своём заявлении производитель компьютерных комплектующих указал, что постепенно вернул в работу все свои сетевые структуры, а сама кибератака не оказала значительного влияния на её бизнес-операции. Однако компания призвала потребителей не скачивать BIOS, а также любое другое программное обеспечение под брендом MSI из неизвестных источников. Свежие прошивки и ПО компания настоятельно рекомендует скачивать только с её официального сайта.

Хотя в MSI не уточнили, мог ли тот, кто совершил кибератаку на серверы компании, завладеть каким-либо её программным обеспечением, рекомендации производителя намекают на такую возможность.

Белый дом в четверг объявил о новой стратегии кибербезопасности в рамках последних усилий правительства США по укреплению национальной киберзащиты на фоне неуклонного роста хакерских атак и цифровых преступлений против страны. Стратегия, призванная определять будущую политику, призывает к более жёсткому регулированию существующих практик кибербезопасности в различных отраслях и улучшению сотрудничества между правительством и частным сектором.

Источник изображения: pexels.com

Чиновники США ссылаются на серию громких хакерских инцидентов, совершенных отечественными и иностранными субъектами против Соединённых Штатов на фоне конфликта между Россией и Украиной. Во время разговора с журналистами официальный представитель США, который отказался назвать своё имя, сказал, что часть новой стратегии направлена на обуздание «российских хакеров».

Чиновник обвинил Россию в том, что она «служит убежищем для киберпреступников». Также он назвал программы-вымогатели основной проблемой, которой США занимаются сегодня. Атаки программ-вымогателей, в ходе которых киберпреступные группировки захватывают контроль над системами цели и требуют выплаты выкупа, относятся к наиболее распространённым типам кибератак и в последние годы затронули широкий спектр отраслей.

«Система уголовного правосудия не сможет самостоятельно решить эту проблему — нам нужно обратить внимание на другие элементы национальной власти», — добавил он.

Стратегия призывает к созданию коалиций с иностранными партнёрами, «чтобы оказать давление на <..> злоумышленников, чтобы заставить их изменить своё поведение», — сказал другой официальный представитель США, также пожелавший остаться неизвестным. «Я думаю, что за последний год мы добились определённого успеха в поддержании этих коалиций», — добавил чиновник.

Среди прочего, стратегия призывает к улучшению стандартов исправления уязвимостей в компьютерных системах и реализации требования к облачным компаниям проверять личность иностранных клиентов.

IBM, Vodafone и члены GSMA опубликовали программный документ, в котором наметили важнейшие пути защиты телекоммуникационных компаний от киберугроз квантовой эпохи. И хотя группа не ожидает появления потенциально опасной квантовой системы взлома до 2032 года, для ряда направлений угроза перестала быть призрачной. Под удар уже попадает информация для длительного хранения под грифом «Секретно» и персональные данные граждан. Действовать надо немедля.

Источник изображения: IBM

Документ Post Quantum Telco Network Impact Assessment об оценке влияния квантовых технологий на телекоммуникационные сети можно загрузить по этой ссылке. Это 57-страничный текст для специалистов, в нём проводится углублённый анализ угроз в сфере квантовой безопасности, с которыми уже сталкивается и вскоре ещё сильнее столкнётся отрасль, а также приводится подробный пошаговый список действий и решений для подготовки к смягчению этих угроз.

В частности, в документе даётся оценка связанных с квантовыми киберугрозами бизнес-рисков для конкретных операторов связи, включая четыре типа атак, оказывающих наибольшее воздействие: накопление данных сейчас, расшифровка позже; подпись кода и цифровые подписи; а также изменение истории и атаки на менеджеры ключей. Например, злоумышленники могут уже сегодня накапливать информацию, защищённую до невозможности взлома за разумное время, с надеждой дешифровать её после появления квантовых платформ.

Противостоять будущим угрозам можно будет только с принятием новых стандартов безопасности, которые уже, к слову, разрабатывает та же компания IBM. Это касается не только протоколов и алгоритмов кодирования, но также SIM-карт, инфраструктуры открытых ключей, цифровых сертификатов и многого другого. Учитывая общую инерцию всех бюрократических структур, возникают резонные опасения, что за десять лет серьёзно изменить что-то будет или невозможно, или крайне сложно.

«Появление такой технологии [квантовой киберугрозы] требует немедленной подготовки, поскольку некоторые формы атак могут быть ретроспективными (например, "хранить сейчас, расшифровать потом"). Мотивированные злоумышленники могут собирать и хранить данные сейчас, чтобы расшифровать их, когда станут доступны определённые возможности квантовых вычислений. Как говорится в отчёте, такие субъекты могут делать это, чтобы "подорвать безопасность данных с длительным сроком сохранения конфиденциальности, таких как корпоративные IP, государственные секреты или индивидуальные биоданные"», — сказано в пресс-релизе компании IBM.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно с Агентством национальной безопасности США распространило сообщение (PDF) о массированной фишинговой атаке, которая реализовывалась при помощи законных программ удалённого доступа и включала мошеннические действия с банковскими счетами жертв.

Источник изображения: Tumisu / pixabay.com

Жертвами атаки стали сотрудники Министерства внутренней безопасности, Министерства финансов и Министерства юстиции США. Злоумышленники рассылали работникам ведомств фишинговые письма, в которых пытались заставить своих жертв переходить по адресам вредоносных сайтов «первой стадии», которые выдавались за ресурсы известных компаний, в том числе Microsoft и Amazon. С некоторыми госслужащими связывались по телефону, пытаясь обманом заставить их открывать эти сайты.

На втором этапе жертвы устанавливали программы удалённого доступа, при помощи которых злоумышленники реализовывали мошеннические схемы. На компьютерах жертв киберпреступники получали доступ к их банковским счетам или банковским выпискам, которые впоследствии подделывались. Балансы по выпискам расходились с реальностью, и жертв атаки инструктировали о том, как «возместить» некую избыточную сумму.

Эксперты CISA подчеркнули, что массированная фишинговая атака производилась злоумышленниками, преследующими исключительно корыстные цели. Однако использованные при этом технические средства предполагали удалённое управление компьютерами, входящими в инфраструктуру государственных ведомств, что означает потенциальную угрозу национальной безопасности страны.

Технологическая база для кибератак на российские компании, начавшихся в конце февраля 2022 года, была заложена в 2021 году, сообщает «Коммерсантъ» со ссылкой на заявление экспертов Positive Technologies. Многие компании, павшие жертвами атак хакеров, были взломаны ещё в 2021 году.

Источник изображения: Kevin Ku / unsplash.com

В рамках серии атак использовалось известное специалистам вредоносное ПО «Кобальт», а также новое под названием «Фасоль». Доменные имена, необходимые для работы первого, начали регистрировать ещё в ноябре 2021 года, для второго — уже в феврале 2022 года, при этом первый взлом был зафиксирован 1 января 2022 года. Жертвами кибератак стали российские предприятия, относящиеся в различным отраслям, включая промышленность и энергетику, телекоммуникации, а также представителей кредитно-финансовой индустрии. Директор экспертного центра безопасности Positive Technologies Алексей Новиков, в частности, отметил: «Большинство компаний, ставших жертвами кибератак в этом году, были взломаны за три-четыре месяца до того, как факт взлома стал публичным».

По итогам III квартала 2022 года эксперты по кибербезопасности установили, что в сравнении с аналогичным периодом прошлого года количество кибератак выросло на треть. Это стало следствием не только масштабного противостояния в киберпространстве, но и других факторов: подключились так называемые хактивисты, и появились новые шифровальщики. При этом на долю действий «профессиональных» хакеров ежеквартально приходятся не менее 67 % инцидентов. С февраля 2022 года в России атакам подверглись ресурсы компании СДЭК, службы «Яндекс.Еда», видеохостинга Rutube, сети «Ростелеком» и «НТВ плюс», платёжной системы «Мир» и ряда других организаций.

Данный образ действий характерен для проводящих целевые атаки хакерских группировок — их интересует не быстрый публичный или денежный эффект, а получение доступа к наиболее ценным данным и узлам систем, отметил консультант ПИР-центра Олег Шакиров. Проводят их как продвинутые киберпреступники, так и группировки, за которыми стоят государства. Другой источник «Коммерсанта» добавил, что первоначально злоумышленники, вероятно, предполагали продавать данные из принадлежащих жертвам систем, однако изменили приоритеты.

По информации российских экспертов из компании Positive Technologies, сервис «Яндекс.Диск» приобрёл популярность у хакеров для проведения кибератак — ранее с этой же целью активно использовались зарубежные аналоги вроде OneDrive и Dropbox. Поскольку возможности операторов файлохранилищ по выявлению вредоносного ПО ограничены, подобные площадки становятся базой для размещения программ-вредителей.

Источник изображения: Sigmund/unsplash.com

По данным Positive Technologies, «Яндекс.Диск» стали использовать представители зарубежной кибергруппировки АРТ31, но российское файлохранилище, по мнению экспертов, злоумышленники используют впервые. Алгоритм заражения прост — получив тем или иным способом ссылку на обычный офисный документ, пользователь открывает его, после чего запускается макрос, загружающий как сам документ, играющий отвлекающее значение, так и исполняемый файл для обращения к вредоносной библиотеке и саму библиотеку.

Как сообщают «Известия» со ссылкой на специалистов по кибербезопасности, с начала 2022 года хакеры уже атаковали с использованием данной технологии ряд СМИ и даже компании топливно-энергетического сектора. «Яндекс.Диск» используют в том числе и потому, чтобы формирующийся в ходе атаки трафик был похож на легитимный — в таком случае вредоносное ПО «крайне сложно идентифицировать», поскольку трафик практически не отличается от обычного обмена данными между клиентом и сервером. При этом «Яндекс.Диск» не проверяет содержимого папок пользователей во избежание ущерба их конфиденциальности — по такому же принципу работают и другие сервисы.

По некоторым данным, службы хранения данных активно используются т.н. APT-группировками, желающими замаскировать свою деятельность. Самым сильным способом защиты эксперты называют отказ от открытия файлов, полученных из непроверенных источников. Это касается любых документов из Сети. Если открыть подобный файл всё же необходимо, эксперты рекомендуют делать это на отдельном компьютере, на котором нет важной информации. Они подчёркивают, что распознать грамотно подготовленную атаку практически невозможно, во всяком случае — обычному пользователю. Тем не менее эксперты советуют в любом случае использовать антивирусы, регулярно обновлять программное обеспечение, включая операционные системы и браузеры, а также отказываться от запуска макросов в незнакомых документах.

В течение первой половины 2022 года в России резко возросла интенсивность DDoS-атак на игровые ресурсы. По оценкам DDoS-Guard, количество инцидентов увеличилось приблизительно в три раза по сравнению с аналогичным периодом прошлого года. В рассмотрение берутся игровые серверы, браузерные игры, информационные сайты игровой тематики, площадки игровых ценностей (внутренняя валюта, наборы предметов), форумы администраторов и разработчиков игровых сервисов.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсант», ссылаясь на исследование DDoS-Guard, в период с января по июнь включительно число атак на игровые ресурсы составило около 6,2 тыс. Для сравнения: в первой половине 2021-го было зафиксировано приблизительно 1,9 тыс. инцидентов.

Эксперты говорят, что целью злоумышленников может быть кража данных и средств пользователей. В частности, киберпреступники получают доступ к игровым ресурсам и выводят оттуда игровые ценности с реальным денежным эквивалентом.

В «Лаборатории Касперского» отмечают, что резкий рост количества DDoS-атак на игровые сайты происходит на фоне общего всплеска данного типа киберпреступной деятельности. При этом зачастую мишенями злоумышленников становятся сами игроки: мошенники стремятся убедить пользователей установить вредоносное ПО под видом загрузки новых игр или обновлений.

«Главные цели злоумышленников — внутриигровые товары, которые можно трансформировать в реальные деньги, и аккаунты геймеров, которые могут открыть доступ к различным данным, вплоть до финансовой информации», — подчёркивают специалисты.

Количество атак программ-вымогателей на российские ретейл-компании в первом полугодии нынешнего года резко выросло: целями киберпреступников являются прежде всего крупные сети супермаркетов и маркетплейсы, готовые заплатить злоумышленникам выкуп за скорейшее восстановление работы.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсантъ», ссылаясь на исследование компании «Информзащита», в течение первых шести месяцев нынешнего года число атак вирусов-шифровальщиков на российский ретейл подскочило на 45 % по сравнению с аналогичным периодом прошлого года.

А в компании Group-IB и вовсе говорят о четырёхкратном росте атак в соответствующем сегменте. Специалисты Positive Technologies также указывают на негативную тенденцию.

«Злоумышленники эксплуатируют уязвимости на периметре и веб-ресурсах компаний, а также незащищённые сервисы, которые организации по халатности или недосмотру публиковали вовне», — говорят эксперты.

Вместе с ростом интенсивности кибератак увеличивается и сумма выкупа за восстановление доступа к зашифрованным данным. Если в 2021 году злоумышленники, как правило, требовали не более 30 млн рублей, то сейчас они могут запрашивать до 100 млн рублей.

Компания «МегаФон» представила результаты исследования «Индекс кибербезопасности», в ходе которого оценивалась интенсивность атак в интернете, направленных на российские компании.

Источник изображения: pixabay.com / TheDigitalArtist

В опросе, проводившемся совместно с аналитическим агентством АО «ТНС МИЦ», приняли участие около 400 представителей компаний разных отраслей, которые используют сервисы по обеспечению кибербезопасности.

Как оказалось, атакам в виртуальном пространстве в прошлом году подверглись девять из каждых десяти компаний в России, то есть, 90 %. Причём 20 % из них получили финансовый ущерб, а 18 % — имиджевый.

Примерно 80 % респондентов признают, что бизнес всё ещё не уделяет достаточного внимания управлению киберрисками. На фоне стремительного развития облачных платформ и моделей удалённой работы растёт вероятность хакерских атак: в защиту удалённых подключений планируют инвестировать 37 % опрошенных компаний.

Источник изображения: pixabay.com / Gerd Altmann

«Особенно уязвим сегодня оказался малый и средний бизнес: у шести из десяти небольших компаний в штате нет специалистов по информационной безопасности. Поэтому они всё активнее отдают вопросы защиты своей инфраструктуры на аутсорсинг: 41 % уже пользуется такими решениями по сервисной модели. Она позволяет без дополнительных затрат и специалистов в штате надёжно защитить свою инфраструктуру: компании получают не только набор сервисов, но и квалифицированных экспертов, чтобы комплексно противостоять растущим угрозам и обезопасить бизнес», — говорится в исследовании.

Вместе с тем сетевые злоумышленники постоянно совершенствуют методы атак, в частности, меняя векторы, подбирая время наибольшей уязвимости, активно расширяя географию ботнетов.

Президент России Владимир Путин заявил о необходимости укрепления информационной безопасности в стране. Сделать это предлагается за счёт внедрения новой государственной системы в соответствующей области.

Источник изображения: pixabay.com / geralt

«Считаю целесообразным рассмотреть вопрос о создании государственной системы защиты информации... Координация действий всех структур обеспечения информационной безопасности критически важных объектов должна быть закреплена на стратегическом уровне», — приводит газета «Коммерсантъ» слова господина Путина.

Предполагается, что новая инициатива поможет противодействовать кибератакам, интенсивность которых растёт. Отмечается, что в сложившейся ситуации вызовы в этой сфере стали ещё более острыми, серьёзными и масштабными.

Владимир Путин также напомнил, что российским руководством уже была принята одна из мер информационной защиты, которая предусматривает запрет на «использование зарубежных средств защиты информации». Данная мера вступит в силу в 2025 году.

«Лаборатория Касперского» объявила о выпуске продукта Kaspersky Smart Home Security, созданного для защиты владельцев умных устройств. С его помощью широкополосные и мобильные интернет-провайдеры могут предоставить своим абонентам решение, позволяющее обеспечить безопасность умного дома, в том числе подключённых к сети колонок, смарт-ТВ, камер наблюдения.

Функциональные возможности Kaspersky Smart Home Security

Интернет-провайдер может удалённо установить продукт на совместимый домашний роутер пользователя, оставившего заявку на подключение. Затем пользователь устанавливает на Android/iOS-смартфон приложение для управления параметрами защиты умного дома — решение готово к работе.

В состав Kaspersky Smart Home Security включены файловый антивирус, защита от попыток получить контроль над домашними устройствами, функция блокировки брутфорс-атак (атак методом перебора паролей) и попыток перейти на вредоносные сайты. Также в продукте есть функции детской онлайн-безопасности: веб-фильтр, который позволит взрослым оградить детей от нежелательного контента, и контроль экранного времени. Родители сами могут выбрать категории сайтов, не подходящие для их ребёнка, и контролировать объём времени, которое тот проводит онлайн. Предусмотрена возможность составлять расписание доступа в интернет для любого устройства, подключённого к домашней сети.

«Популярность умных устройств для дома растёт с каждым годом, а параллельно увеличивается и число угроз для них. При этом базовых мер защиты, например смены паролей, установленных по умолчанию, может быть недостаточно. Современные смарт-системы должны быть комплексно защищены от широкого спектра киберугроз. С помощью Kaspersky Smart Home Security провайдеры смогут предоставить своим абонентам решение, позволяющее обеспечить безопасность умного дома», — говорится в заявлении «Лаборатории Касперского».

В специализирующихся на вопросах кибербезопасности компаниях подсчитали, что с начала весны в три раза выросло количество атак вирусов-вымогателей на ресурсы российских предприятий. Это связывают с украинскими событиями: после его начала в хакерском сообществе произошёл раскол, когда разные группировки стали поддерживать разные стороны конфликта, пишет «Коммерсантъ».

Источник изображения: Gerd Altmann / pixabay.com

В «Лаборатории Касперского» отметили, что в 2022 году операторы вирусов-вымогателей сменили тактику, переключившись с массовых рассылок на атаки с чётко обозначенной целью, а также стали использовать более сложное ПО, способное работать на нескольких операционных системах. В частности, хакерская группировка Conti разработала шифровальщик, способный работать в системах Linux — это «перспективное» направление, отметили в компании Positive Technologies, поскольку популярность этих платформ растёт.

Не менее важным оказалась геополитическая сторона вопроса: группировки хакеров начали принимать одну из сторон в украинским конфликте и проводить свои атаки в поддержку России или Украины. Олег Скулкин из компании Group-IB рассказал, что после заявления группировки Conti о поддержке российской стороны один из её украинских партнёров выложил в открытый доступ личные данные участников группировки и исходный код созданного ими вируса-шифровальщика, который впоследствии стал использоваться против российских компаний. В целом с начала весны, говорят в Group-IB, количество атак вирусов-вымогателей на ресурсы российских компаний утроилось.

Отмечается также, что несколько изменился вектор кибератак: традиционно вирусы-шифровальщики использовались с целью вымогательства за восстановление доступа к данным. Теперь же хакеры всё чаще преследуют иные цели: похищение и публикацию закрытых данных, как это было в ходе инцидента с RuTube, а также нарушение работоспособности ресурсов только ради общественного резонанса.

В большинстве российских компаний до сих пор не готовы вкладывать значительные средства в обеспечение защиты от кибератак — многие обходятся стандартным антивирусным ПО. И это не соответствует реальному уровню современных киберугроз, заявили в компании SearchInform, о результатах исследования которой рассказал «Коммерсантъ».

Источник изображения: Buffik / pixabay.com

Аналитики SearchInform опросили представителей более 900 российских организаций, включая государственные учреждения и частные компании. Как выяснилось, только 47 % из них пользуются ПО для шифрования данных, 36 % — системами предотвращения утечек данных (DLP) и 19 % — средствами обнаружения вторжений (IDS). В большинстве организаций (95 %) ограничиваются только антивирусами.

Мотивация использования инструментов киберзащиты в частных компаниях объясняется скорее реальными потребностями бизнеса (70 %), чем требованиями регуляторов (32 %); тогда как госучреждения действуют диаметрально противоположно, тратя деньги скорее из-за требований закона (71 %), чем из-за действительных нужд (31,5 %). Внедрение инструментов киберзащиты сегодня регулируется 12 нормативными документами, а отчитываться приходится, в частности, перед ФСБ, ФСТЭК и ЦБ.

Ключевой проблемой вопросов кибербезопасности российского бизнеса в новых условиях глава отдела аналитики SearchInform Алексей Парфентьев считает неготовность компаний вкладываться в защиту от угроз — в последние три года только четверть респондентов увеличили расходы на эти статьи. В 62 % компаний сейчас платят только за продление лицензий и техподдержки, хотя уже необходимо масштабировать внедрённое ПО или закупать новое. Особенно актуальным данный вопрос стал с уходом западных игроков: Fortinet, ESET, Avast и Norton. Смена поставщиков займёт какое-то время, «и оснащённость компаний по некоторым классам продуктов в ближайшее время упадёт на треть».

С другой стороны, независимый эксперт по кибербезопасности Алексей Лукацкий считает, что отказываться от оплаченных и внедрённых западных продуктов тоже не стоит — имеет смысл подождать примерно три месяца, чтобы понять, какие компании действительно уйдут с российского рынка, каким будет уровень киберугроз, и возможен ли переход на российские аналоги.