1. В первой половине марта Федеральное бюро расследований США (ФБР) и Агентство кибербезопасности и защиты инфраструктуры США (CISA) продолжили кампанию #StopRansomware, на этот раз с рекомендациями по самой известной на сегодняшний день банде онлайн вымогателей: LockBit. Стоит отметить, что на долю этой кибергруппы приходится 52% всех атак с использованием ransomware (программы вымогатели) по всему миру, и она поразила такие крупные организации, как Royal Mail, Accenture и Ion Trading. LockBit 3.0 функционирует как модель Ransomware-as-a-Service (RaaS) и вредоносная программа, основанная на партнерских отношениях. В рекомендациях приводятся индикаторы компрометации и способы смягчения последствий атак.
2. Злоумышленники взламывают телефоны Samsung, Google и Vivo без участия пользователя
Сообщается о 18 уязвимостях в чипсетах Exynos компании Samsung, которые используются в различных версиях телефонов Google Pixel, Samsung Galaxy и Vivo. Четыре из этих уязвимостей позволяют злоумышленникам полностью скомпрометировать затронутые устройства и незаметно выполнять код без взаимодействия с пользователем — все, что нужно злоумышленнику, это номер телефона пользователя. Хотя исправления еще не выпущены, пользователи могут защитить себя, отключив на своих устройствах настройки Voice-over-LTE и вызовы по Wi-Fi.
3. Новые угрозы и исследования
Атаки вымогательского ПО в Великобритании выросли на 17% в 2022 году
В то время как в 2022 году число случаев заражения вымогательским ПО снизилось во всем мире, в Великобритании число атак увеличилось на 17%, говорится в отчете компании Jumpsec, специализирующейся на кибербезопасности. Скандально известная банда вымогателей LockBit несет ответственность за более чем 30% атак. Также свою долю инцидентов совершили Karakurt и Vice Society. Однако исследователь Jumpsec Шон Моран считает, что бандам вымогателей не следует уделять особого внимания: «Угрожающие субъекты могут использовать несколько видов вирусов, а группы могут исчезать, менять бренд и появляться вновь, часто без последствий, поэтому неразумно придавать слишком большое значение изменениям в судьбе какой-либо отдельной группы». Вместо этого Моран посоветовал компаниям работать над повышением киберустойчивости.
4. Взломанный хакерский форум канул в Лету вместе с основателем
После ареста, в начале марта, основателя хакерского форума Breached — Конора Брайана Фицпатрика (под псевдонимом Pompompurin) площадка для встреч киберпреступников сложилась как домино. Оставшийся администратор, известный как Baphoment, навсегда закрыл сайт из-за опасений, что ФБР проникло в его инфраструктуру. Breached — это киберпреступный форум, который был очагом преступной деятельности. Сайт и его участники были причастны к утечкам данных, попыткам вымогательства и громким взломам, от которых пострадали глобальные компании, включая Acer, Twitter и Activision.
5. Данные 330 000 клиентов украдены в результате взлома Latitude
Мельбурнская компания Latitude Financial Services подверглась взлому, в результате которого пострадали около 330 000 клиентов и вероятно число жертв увеличилось, поскольку атака продолжается. В ответ на это компания по оказанию финансовых услуг вывела свои системы в автономный режим, что привело к перебоям в работе. Около 96% данных, похищенных в результате атаки, были водительскими правами или номерами. Федеральная полиция Австралии (AFP), Австралийский центр кибербезопасности (ACSC) и другие правительственные агентства ведут расследование инцидента.
6. Критическая инфраструктура атакована через уязвимость нулевого дня (Zero-Day Vulnerability )
Энергетический гигант Hitachi Energy указывает на уязвимость нулевого дня в программе управляемой передачи файлов (MFT) как на слабое место, которое позволило банде вымогателей атаковать компанию. В пресс-релизе, выпущенном Hitachi Energy, говорится, что банда вымогателей Cl0p использовала продукт GoAnywhere и, возможно, получила несанкционированный доступ к данным сотрудников в некоторых странах. Компания утверждает, что не нашла доказательств того, что ее сетевые операции и данные клиентов были скомпрометированы, но Cl0p назвала ее жертвой на своем веб-сайте, предполагая, что у нее есть украденные данные, которые она опубликует в свое время.
Перевод статьи: КИБЕРУГРОЗЫ И РЕКОМЕНДАЦИИ по состоянию на 24.03.23