Обзор новостей информационной безопасности с 22 по 28 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакерская группировка Sticky Werewolf предприняла повторную попытку атаковать российскую фармацевтическую компанию.

Действия преступников

1. Злоумышленники отправили жертве фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ.

2. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий.

3. Письмо было отправлено с бесплатного почтового сервиса, а фамилия в адресе не совпадала с подписью исполнителя.

4. Злоумышленники планировали использовать вредоносную программу Darktrack RAT, позволяющую получить удаленный доступ к системе жертвы.

В новой фишинговой кампании киберпреступники используют документы Microsoft Word в качестве приманки, чтобы загрузить на устройство жертвы новый бэкдор, написанный на языке Nim.

Схема кампании

1. Злоумышленники рассылают фишинговые письма, к которым прикреплён документ Word.

2. При открытии этого файла пользователя просят включить макросы, с помощью которых в систему и просачивается Nim-вредонос.

3. После запуска бэкдор перебирает список запущенных процессов, пытаясь найти инструменты анализа. Если ему это удаётся, программа сразу завершает собственный процесс.

4. Если «всё чисто», зловред устанавливает соединение с сервером управления и ждёт инструкций.

Мобильная безопасность

Новый вредоносный бэкдор для Android, получивший название Xamalicious, разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей.

Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном.

После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль.

Специалисты выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты.

Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP.

Инциденты

Немецкая сеть больниц Katholische Hospitalvereinigung Ostwestfalen (KHO) была атакована вымогателями Lockbit.

Согласно заявлению больниц, неизвестные лица получили доступ к их IT-инфраструктуре и зашифровали данные. Предварительный анализ показал, что это была кибератака с использованием программы-вымогателя Lockbit 3.0. Время восстановления систем пока неизвестно.

Сразу после обнаружения атаки все системы были отключены. Ведётся расследование, и ещё не установлено полный объем ущерба и были ли похищены данные.

Кибератакой были затронуты три больницы, входящие в сеть KHO. Лечение пациентов продолжается в обычном режиме, однако услуги скорой помощи в этих трёх больницах временно недоступны.

Хакеры, взломавшие сеть медучреждений Integris Health в Оклахоме, требуют выкуп с пациентов, данные которых они похитили.

В электронных письмах, отправленных пациентам 24 декабря, хакеры утверждают, что они украли личные данные более 2 млн пациентов Integris Health: номера социального страхования, даты рождения, адреса, номера телефонов, информацию о страховании и информацию о работодателе.

В письмах также содержится ссылка на сайт Tor, где перечислены украденные данные около 4 674 000 человек, включая их имена, номера социального страхования, даты рождения и информацию о посещениях больниц.

Tor-сайт содержит данные, добавленные в период с 19 октября по 24 декабря 2023 года. Сайт предлагает посетителям заплатить 50 долларов США за удаление записи данных или 3 доллара США за просмотр.

«Мы связались с Integris Health, но они отказываются решать проблему», — говорится в электронном письме пациентам. «Мы даем вам возможность удалить ваши личные данные из наших баз данных до того, как мы продадим всю базу данных брокерам данных 5 января 2024 года».

Пока не установлено, кто стоит за атакой на Integris Health, однако аналогичные электронные письма были отправлены пациентам Онкологического центра Фреда Хатчинсона (Fred Hutch) после того, как группа вымогателей Hunters International взломала системы больницы.

Кибератака нарушила работу информационных систем лотереи штата Огайо. Злоумышленники проникли в корпоративную сеть и зашифровали данные.

Несмотря на инцидент, игровая система и прием ставок в розничных точках функционируют в прежнем режиме. Однако работу мобильного приложения для получения выигрышей и выплату призов свыше 599 долларов США пришлось остановить. На сайте и в приложении временно недоступна информация о результатах популярных лотерей KENO, Lucky One и EZPLAY Progressive Jackpots.

Ответственность за атаку взяла на себя хакерская группировка DragonForce. Злоумышленники утверждают, что похитили конфиденциальные данные клиентов и сотрудников, в сообщении на своем сайте утечек:

«Более 3 000 000 записей, включающих имена, фамилии, адреса электронной почты, адреса проживания, суммы выигрышей! Номера социального страхования и даты рождения игроков и персонала. [..] Общий объем украденных данных после распаковки составит порядка 600+ гигабайт».

Хакеры взломали EasyPark Group, европейского оператора приложений для удаленной оплаты парковки. В список сервисов компании входят приложения RingGo и ParkMobile.

Злоумышленники получили доступ к архивам RingGo с именами, номерами телефонов, домашними адресами, адресами электронной почты и частично данными кредитных карт. По словам представителей EasyPark Group, похищенные фрагменты номеров карт не могут быть использованы для совершения платежей и кражи денег, однако есть риск фишинговых атак.

Компания, незамедлительно проинформировала о случившемся регулирующие органы ЕС, Великобритании, Швеции и Швейцарии. Отмечается, что американское приложение ParkMobile с 50 миллионами клиентов не пострадало. Проблемы возникли лишь у некоторых сервисов RingGo, интегрированных с технологиями EasyPark.

Компания не раскрыла точное количество жертв, однако известно, что большинство из них находятся в Европе.

Пока хакеры не предъявляли требований о выкупе. Также нет подтверждений того, что украденная информация использовалась в мошеннических кампаниях или была выложена в открытом доступе.

Французская компания Ubisoft, специализирующаяся на разработке и издании игр, расследует сообщения о возможной атаке из-за появившихся в сети скриншотов внутреннего софта компании и инструментов для разработчиков.

Эксперты сообщили, что неназванный злоумышленник якобы взломал Ubisoft 20 декабря 2023 года, планировал похитить у компании около 900 ГБ данных и данные пользователей Rainbow 6 Siege, однако лишился доступа раньше. Всё, что он успел — получить доступ к серверу SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas и поделиться скриншотами из перечисленных сервисов.