Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Обнаружена масштабная кампания по распространению вредоноса Adrozek, в ходе которой в популярные браузеры добавляется расширение, модифицирующее рекламную выдачу поисковиков и похищающее персональные данные.

Расширение устанавливается в автоматическом режиме при посещении вредоносных сайтов. Преступники создали для этого ботнет из 159 уникальных доменов, причём на каждом из них были тысячи поддоменов, задействованных в операции: в среднем по 17300, однако на одном размещалось почти 250 000 URL.

Схема инфицирования Adrozek.

Примечательно, что некоторые домены распространяли безобидные файлы, видимо, для того, чтобы поднять рейтинг доверия.

После запуска загруженного с сайта файла он создавал в папке %TEMP% файл с именем, напоминающим софт для работы с музыкой, например Audiolava.exe, QuickAudio.exe или даже converter.exe.

Этот файл устанавливался легальным образом как приложение и как сервис и был доступен через стандартную системную утилиту «Программы и компоненты».

После установки вредонос изменял следующие настройки браузеров:

• DLL библиотеки браузера,
• разрешал запуск расширений без соответствующих прав,
• отключал функцию обновления.

В браузере Firefox Adrozek проявлял дополнительную активность: загружал в папку %TEMP% файл, который собирал информацию об устройстве и отправлял преступникам.

Пример похищаемой вредоносом информации.

Мобильная безопасность

Вредоносное приложение Goontact заманивает пользователей, желающих пообщаться с девушками, и крадёт все данные с их мобильных устройств.

Кампания по внедрению на устройства пользователей начинается с поисковой рекламы: пользователям, которые интересуются эскорт-услугами, знакомствами и подобными темами, предлагается перейти на специальный сайт.

На сайте жертвам предлагают перейти в чат в KakaoTalks или Telegram. В чате операторы Goontact разными способами убеждают жертву установить на устройство приложение и запустить его.

В качестве источника для загрузки и установки предлагаются специальные сайты, полностью имитирующие интерфейс AppStore и Play Market. Примечательно, что iOS-версия вредоноса распространяется с помощью механизма IPA, который позволяет загружать легальные AppStore-приложения со сторонних сайтов, если они содержат валидную электронную подпись зарегистрированной компании-разработчика.

Создателям Goontact удалось получить для своего приложения легитимную подпись, поэтому приложение успешно устанавливается.

Как только жертва устанавливает приложение, содержимое адресной книги, список установленных приложений, SMS и другая информация передаются на управляющий сервер.

Атаки и уязвимости

Банковские мошенники использовали эмуляторы мобильных устройств для хищения миллионов долларов со счетов жертв.

Схема атаки

1. С помощью фишинга и вредоносного ПО собирались логины и пароли владельцев счетов, а также полные характеристики их мобильных устройств.
2. Эти параметры использовались для создания виртуальных двойников устройств жертв.
3. На виртуальные образы устройств добавлялись скрипты для автоматизации взаимодействия с системами электронного банкинга.
4. Запускалась «волна» хищений, в ходе которой целая сеть из нескольких тысяч виртуальных «смартфонов» переводила небольшие суммы денег на счета преступников.
5. Как только деньги на счёте одной из жертв заканчивались, образ устройства исключали из «волны» и удаляли вместе со всем логами.
6. По мере завершения «волны» готовился новый набор реквизитов для следующей, и операция повторялась.

Инциденты

В открытом доступе обнаружено более 45 млн медицинских изображений и сопутствующей информации, позволяющей установить личности пациентов. Такие данные могут использоваться для шантажа, мошенничества и других злонамеренных целей.

Утёкшие данные включают конфиденциальные медицинские записи, рентгеновские компьютерные томограммы и сканы МРТ. Медицинские изображения содержали до 200 строк метаданных на запись, включая имя, дату рождения и адрес пациента, а также его рост, вес и диагноз.

В большинстве случаев доступ к этой информации не требовал учетных данных, а на порталах, предусматривающих регистрацию, войти можно было, не заполняя поля логина и пароля.

Примечательно, что обнаруженные данные принадлежат самым разным медицинским учреждениям в 67 странах, включая Россию, США, Великобританию, Францию ​​и Германию. По количеству уникальных публично доступных медицинских изображений Россия занимает совсем не почётное третье место, да и по количеству незащищённых хранилищ входит в пятёрку антилидеров.

Израильский разработчик процессоров искусственного интеллекта Habana Labs стал жертвой вымогателя Pay2Key.

Операторы вымогательского ПО опубликовали на своем сайте в даркнете часть украденных файлов и сообщили, что у Habana Labs есть 72 часа, чтобы остановить дальнейшую утечку данных.

Среди опубликованных сведений — информация об учетной записи домена Windows и зоне DNS для домена, бизнес-документы и скриншоты исходного кода. Хакеры заявляют, что им удалось получить доступ к информации о разработанном компанией Intel новом ускорителе искусственного интеллекта Gaudi.

Неизвестно, какие именно требования выкупа выдвинули киберпреступники, однако в других инцидентах с участием Pay2Key он составлял от 7 до 9 биткоинов (135-173 тысячи долларов США по текущему курсу).

Pay2Key проникает в сеть организаций через RDP-соединение (протокол удаленного рабочего стола) и способен зашифровать сеть жертвы буквально в течение часа.

В результате взлома британского подразделения сети ресторанов Subway злоумышленники разослали участникам программы лояльности Subcard вредоносные письма, якобы содержащие данные о заказах, а на самом деле приводящие к загрузке трояна TrickBot.

Фишинговые письма, полученные пользователями, содержали реальные имена клиентов и были направлены на адреса электронной почты, которые некоторые создавали специально для Subway, поэтому компанию сразу заподозрили во взломе.

Проведённое внутреннее расследование установило, что компрометации учётных записей участников программы лояльности, а фишинговая рассылка стала результатом взлома системы управления почтовыми кампаниями Subway. Это и позволило создать мошенническую рассылку, содержащую имена и адреса электронной почты пользователей. Банковские счета и данные карт в системе Subway не хранятся.

Учетные данные медицинских учреждений для подключения к закрытой медицинской информационной системе утекли в интернет через строку поиска Яндекса.

Проблема была связана с тем, что ссылки и данные для авторизации в системе рассылаются уполномоченным организациям в виде Excel-таблицы, содержащей строки

sz.blabla.ru n <логин> p <пароль>

Сотрудники медучреждений копировали строки из таблицы и вставляли их в поисковую строку Яндекса. Яндекс принимал строки в качестве запросов и затем подсказывал их любым пользователям, предоставляя любому желающему доступ к конфиденциальным данным.

По информации от Яндекса в настоящее время проблема со стороны поисковика устранена.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Для проведения фишинговой кампании, ориентированной на пользователей криптовалютного кошелька MetaMask, преступники использовали рекламу Google.

Схема хищения:

1. Пользователь видел в объявлениях Google рекламу MetaMask.
2. Кликнув на баннер, он оказывался на фишинговой странице, которая предлагала создать новый кошелёк или импортировать имеющийся.
3. Если пользователь соглашается создать кошелёк, его переадресовывали на на оригинальный сайт MetaMask.io.
4. Если же пользователь выбирал «Импорт», у него запрашивалась ключевая фраза от существующего кошелька. Как только он её вводил, она пересылалась злоумышленнику, который открывал кошелёк и переводил средства с него себе.

Для кампании мошенники зарегистрировали на NameCheap домены maskmefa[.]Io, maskmeha[.]io, installmetamask [.] com и meramaks [.] io, а для продвижения купили рекламную кампанию в Google, чтобы привлечь пользователей, которые ищут MetaMask.

Мошенники рассылают фальшивые уведомления о долгах за услуги ЖКХ, чтобы похитить данные банковских карт у россиян.

Схема кампании:

1. Преступники рассылают по электронной почте уведомления о якобы возникших в течение 2020 года долгах за услуги ЖКХ в размере от 10 тыс. до 20 тыс. руб. и просят оплатить в online-режиме поддельные квитанции.
2. Если жертва переходит по ссылке из электронных писем и пытается оплатить «квитанцию» на мошенническом сайте, мошенники получают доступ к данным его банковской карты.
3. Если человек игнорирует письмо, ему звонят якобы от имени управляющей компании для проверки совершенных ранее в этом году платежей, убеждают в наличии «долга по квартплате» и пытаются узнать способы оплаты и реквизиты карты, с помощью которой проводилась оплата. После этого жертве предлагают сделать пробную транзакцию и сообщить SMS-код.

В качестве базы для кампании мошенники используют тот факт, что в конце года управляющие компании традиционно делают перерасчет за ЖКУ, особенно если граждане несвоевременно передавали показания счетчиков воды и электроэнергии.

Умные устройства

Умные колонки, подобные Google Home и Amazon Echo, могут использоваться для подслушивания PIN-кодов или паролей, набираемых на находящихся поблизости мобильных устройств.

Атака основана на анализе звуков, которые издаёт мобильное устройство, когда пользователь вводит пароль или PIN-код. Оказалось, что когда смартфон находится на расстоянии до 20 сантиметров от смарт-колонки, точность определения кода в трёх попытках составляет 76% с трех попыток. Однако с увеличением расстояния точность уменьшается, например, на расстоянии 50 сантиметров она уменьшилась более чем втрое и составила 20%.

Вероятность использования атаки в реальной жизни невелика из-за необходимости физического доступа к устройству или взлома сервера производителя колонки, на котором хранятся аудиозаписи. А чтобы защититься от атаки, вполне достаточно отключить озвучку нажатий клавиш в настройках смартфона.

Атаки и уязвимости

В домене team.microsoft.com обнаружена XSS-уязвимость, которая могла использоваться для удаленного выполнения кода в десктопном приложении Microsoft Teams.

Для эксплуатации проблемы требовалось отправить специально подготовленное сообщение любому пользователю или каналу в Teams, чтобы запустить эксплойт в фоновом режиме без взаимодействия с человеком.

Удалённое выполнение произвольного кода возможно в десктопных приложениях на всех поддерживаемых платформах (Windows, macOS, Linux). Выполнение кода дает злоумышленнику полный доступ к устройствам жертвы, а через эти устройства и к внутренним сетям компании.

Уязвимость обладает потенциалом червя, то есть позволяет злоумышленнику автоматически отправлять полезную нагрузку эксплойта другим пользователям или каналам, без какого-либо взаимодействия с ними.

В приложении PlayStation Now для Windows обнаружены опасные уязвимости, эксплуатация которых позволяет злоумышленникам выполнить произвольный код на устройствах под управлением Windows с уязвимыми версиями приложений.

Для успешной эксплуатации уязвимости нужно убедить пользователя PS Now открыть вредоносный сайт по ссылке, отправленной через фишинговые электронные письма, форумы, каналы Discord. После открытия ссылки вредоносные скрипты на сайте подключаются к локальному серверу WebSocket на компьютере жертвы и передают приложению AGL Electron команду на загрузку вредоносного кода с другого сайта и запуск его на целевом устройстве.

Источник уязвимости — приложение AGL, которое не проверяет, какие URL-адреса загружаются.

Инциденты

Неизвестные взломали сеть постаматов PickPoint и открыли открыли двери ячеек в пунктах выдачи посылок. В результате хранившиеся в них отправления оказались доступны любому желающему. PickPoint сообщает, что в результате атаки пострадали 2732 постамата.

Атака была быстро обнаружена, и в течение 20 минут с момента взлома разработчики деактивировали около 80% из 2732 заражённых постаматов, благодаря чему дверцы ячеек не открылись.

В настоящее время на постаматы устанавливается новое программное обеспечение. Гендиректор PickPoint Надежда Романова обратилась в полицию с просьбой о возбуждении уголовного дела.

По заявлению компании, причиной инцидента стала кибератака неустановленных лиц на провайдеров, которые обеспечивают постаматам доступ в интернет В качестве наиболее вероятных векторов кибератаки называются уязвимости инфраструктуры и фишинговые письма.

В свободный доступ попали файлы с персональными данными 300 тыс. москвичей, переболевших коронавирусной инфекцией.

Объём утекших данных в распакованном виде составляет 941 Мб. Среди 2493 файлов имеются приказы, снимки экранов, дистрибутивы программ с инструкциями по настройке, и, конечно же, персональные данные. Большая часть сведений относится к марту-маю 2020, но встречаются сведения от 30.10.2020.

В одном из самых объёмных Excel-файлов, содержащих данные о более чем 105 тыс. человек, практически полностью заполнены столбцы:

• Фамилия;
• Имя;
• Отчество;
• Дата рождения;
• Адрес места проживания (и прописка, и уточнённый фактический);
• Телефон(ы);
• Когда и по какому адресу приезжала скорая;
• Степень тяжести состояния на момент приезда;
• Решение (госпитализация, обсервация, домашний карантин и т. д.);
• Если госпитализация, то в какой стационар.

Кроме этих столбцов там имеются и другие, по которым можно восстановить хронологию событий по конкретному человеку, узнать номера полисов ОМС и подробный диагнозы. В сводном отчёте содержится 104 столбца с данными.

По мнению экспертов, опасность данной утечки в том, что теперь мошенники получил солидный массив информации, которую буду использовать

• для обогащения профилей пользователей — чем больше аспектов жизни о человеке собрано, тем дороже потом можно такой профиль продать.
• чтобы втереться в доверие при мошеннических атаках.

В результате кибератаки на европейское агентство лекарственных средств (EMA), злоумышленникам удалось похитить документацию по вакцине Pfizer.

На официальном сайте EMA уже опубликовано уведомление, в котором подтверждается факт атаки, а также сообщается о подключении к расследованию инцидента правоохранителей.

Пример целевого фишингового письма. Источник: IBM X-Force.

О возможных атаках на цепочку поставок вакцины предупреждали специалисты IBM X-Force в начале декабря 2020 года. Главным способом для проведения атаки они указывали целевой фишинг, ориентированный на высшее руководство фармкомпаний и других участников процесса поставки вакцины.

Компания Netgain, предлагающая облачные и хостинговые услуги в сфере здравоохранения и бухгалтерского учета, стала жертвой вымогательской атаки, в результате которой ей пришлось отключить несколько центров обработки данных.

Атака произошла 24 ноября 2020 года, а 4 декабря клиенты стали получать от Netgain уведомления, в которых говорилось, что из-за инцидента они могут столкнуться со «сбоями в работе или замедлением работы систем», поскольку пришлось отключить центры обработки данных, чтобы изолировать угрозу и остановить атаку шифровальщика.

5 декабря компания Crystal Practice Management, один из крупнейших потребителей услуг Netgain, сообщила своим клиентам, что в результате атаки пострадали тысячи серверов Netgain, и команда работает круглосуточно, чтобы как можно скорее возобновить обслуживание.

В результате атаки шифровальщика DoppelPaymer на мексиканское подразделение Foxconn была остановлена одного из заводов компании.

Вероятной целью хакеров был завод Foxconn CTBG MX, расположенный в Сьюдад-Хуарес, Мексика. После атаки сайт завода не работал и до сих пор показывает посетителям ошибку.

Злоумышленники требуют у компании выкуп в размере 1804,0955 BTC — около 34 686 000 долларов США по текущему курсу.

В разговоре с журналистами операторы DoppelPaymer подтвердили, что они атаковали предприятие Foxconn в Северной Америке 29 ноября и не пытались атаковать всю компанию. Злоумышленники заявили, что зашифровали около 1200 серверов, украли 100 ГБ незашифрованных файлов и удалили 20-30 Тб резервных копий.

Неустановленные злоумышленники проникли во внутреннюю сеть компания FireEye, одного из крупнейших поставщиков защитных решений, и похитили набор инструментальных средств, который эксперты FireEye используют для тестирования сетей своих клиентов.

Глава FireEye Кевин Мандиа (Kevin Mandia) заявил, что атакующие искали информацию о некоторых госзаказчиках компании, однако их поиск не увенчался успехом. По словам Мандиа, атака принципиально отличается от десятков тысяч инцидентов, с которыми компания сталкивалась на протяжении многих лет.

Злоумышленники использовали принципиально новые комбинации методов обхода защиты и маскировки от криминалистических инструментов, с которым эксперты компании до сих пор не сталкивались. Для защиты от обнаружения были задействованы несколько тысяч IP-адресов, ранее никогда не фигурировавших в атаках. Использование этих адресов позволило атакующим надежно скрыть свое местонахождение.

Группа хакеров Unidentified TEAM скомпрометировала автоматизированную систему управления объекта водоснабжения в Израиле.

Хакеры получили доступ к человеко-машинному интерфейсу (ЧМИ), который был непосредственно подключен к интернету без всяческой аутентификации или другого защитного механизма. В результате они смогли управлять давлением воды, менять температуру и изменять другие параметры работы объекта с помощью интернет-браузера.

Объектом атаки оказалось относительно небольшое водохранилище объемом примерно 4-6 млн кубометров. Исследователи не смогли сказать точно, какой урон могли бы нанести хакеры, но отметили, что «потенциал ущерба очень высок».

Узнав об инциденте, владелец скомпрометированной системы включил аутентификацию для подключения к ЧМИ, не ограничив доступ к ней через интернет.

Канадская компания TransLick, обслуживающая общественный транспорт в канадском Ванкувере, стала жертвой вымогательской атаки, в результате которой жители города несколько дней не могли пользоваться транспортными картами Compass или оплачивать новые билеты через билетные киоски Compass.

Working with my colleague @pjimmyradio, we can confirm for @NEWS1130 that @TransLink has been hacked. Our information comes from multiple sources within the transit authority, who have shared the ransom letter with us. Listen in for more details throughout the afternoon.

— Martin MacMahon (@martinmacmahon) December 3, 2020

Сначала TransLink сообщила, что случившееся — результат технических неполадок, но затем признала, что стала мишенью вымогательской атаки, направленной на ИТ-инфраструктуру.

Вымогательская распечатка Egregor.

Злоумышленники распечатали сообщения с требованием выкупа на печать на всех доступных принтерах компании, что является одним из характерных признаков вымогателя Egregor.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Приуроченная к дню благодарения мошенническая кампания собирает адреса и пароли от учётных записей электронной почты, рассылая фальшивые приглашения на видеоконференцию в Zoom.

Поддельные письма, рассылаемые от имени Zoom, содержат ссылку, по которой якобы можно просмотреть приглашение.

Фальшивая страница авторизации в учётной записи Microsoft

При нажатии встроенной в письмо кнопки открывается поддельная страница регистрации в учётной записи Microsoft, размещеная в домене appspot.com, который принадлежит Google. Е-мейл пользователя уже введён в форму авторизации, что в сочетании с легитимным доменом, на котором размещён лендинг, создаёт доверие пользователя. Завершающий штрих — проверка правильности введённого на лендинге пароля: мошенническая страница пытается подключиться к почтовому ящику пользователя по IMAP.

Собранные учётные данные.

Введённые жертвами учётные данные вместе с IP-адресами собираются в файл и отправляются организаторам кампании.

Мошенники создали десятки фальшивых сайтов, имитирующих базу недвижимости ЦИАН.

Настоящий и фальшивый сайты ЦИАН.

Злоумышленники используют стандартные схемы обмана пользователей, которые хотят снять квартиру или комнату: предлагают внести предоплату, которая в случае аренды жилья может быть достаточно высокой, а затем пропадают.

Компания ЦИАН подтверждает наличие проблемы и сообщает, что уже привлекла к решению проблемы компании, обладающие необходимой экспертизой.

Атаки и уязвимости

Обнаруженная в iPhone уязвимость CVE-2020-9844 позволяла злоумышленникам получить полный контроль над смартфоном через Wi-Fi без взаимодействия с пользователем. После этого они могли читать почту и сообщения в мессенджерах, загружать фотографии и шпионить за пользователем через микрофон и камеру устройства.

Источник проблемы — протокол Apple Wireless Direct Link (AWDL), который устройства Apple используют при создания микросотовых сетей для AirDrop и Sidecar. Используя переполнение буфера в драйвере Wi-Fi, удалось заставить AWDL включаться, даже если он был выключен.

Видео: демонстрация взлома

Для эксплуатации уязвимости потребуются ноутбук, Raspberry Pi и адаптеры Wi-Fi. Взлом занимает около двух минут, но это время можно сократить до нескольких секунд. Для атаки уязвимы устройства, находящиеся в зоне действия сети Wi-Fi злоумышленника.

В инструменте для развертывания ОС в корпоративных сетях Microsoft Autopilot обнаружена уязвимость, эксплуатация которой позволяет перехватить контроль над компьютерной системой.

Окно Autopilot с сообщением об ошибке после отключения устройства TPM.

Проблема позволяет злоумышленнику или обычному пользователю повышать свои привилегии до уровня локального администратора в процессе развёртывания. Не помогают даже рекомендованные Microsoft ограничения в профиле Autopilot:

• добавление новых пользователей в группу обычных непривилегированных пользователей,
• запрет на добавление новых локальных администраторов,
• запрет запуска командного процессора CMD через Shift+F10 в интерфейсе OOBE.

Схема атаки:

1. Включить устройство, ранее добавленного в Intune путем ручной загрузки уникального аппаратного хэша.
2. Физически отсоединить устройство безопасности TPM от используемой виртуальной машины. При этом развертывание завершится ошибкой.
3. При открытии окна с сообщением об ошибке кликнуть на кнопку ViewDiagnostics, а затем выбрать папку Rundll32.exe\\10.0.0.1\shell.dll,DLLMain.
4. После этого будет установлено shell-соединение с хостом атакующего с правами пользователя defaultuser0, а этот пользователь получит права администратора.
5. Далее от имени этого пользователя можно создать других локальных администраторов или внедрить в систему бэкдоры, после чего подключить устройство для продолжения установки ПО.
6. По завершении процесса пользователь defaultuser0 будет удалён, однако созданные им локальные администраторы останутся.

Разработана новая атака на биолаборатории, которая может стать началом для биологических войн нового поколения. Атака позволяет заставить работающих с ДНК биотехнологов непреднамеренно создавать опасные вирусы и токсины.

В настоящий момент для выявления потенциально опасных ДНК существуют специальные протоколы скрининга последовательности генов в процессе секвенирования.

Однако используя специальную методику, можно обойти эти протоколы путём маскировки (обфускации) опасных комбинаций с помощью безобидных белков. Ситуация осложняется тем, что программное обеспечение для разработки и управления проектами синтетической ДНК уязвимо к атакам «человек в браузере». С помощью этих атак злоумышленники могут внедрить в последовательности генов произвольные цепочки ДНК, то есть провести сквозную кибербиологическую атаку.

Для демонстрации возможности атаки исследователи процитировали остаток белка Cas9, преобразовав эту последовательность в активные патогены с помощью вредоносного ПО.

Инциденты

Онлайн-школа K12 Inc заплатила выкуп операторам вымогателя Ryuk, чтобы не допустить утечки похищенных перед шифрованием данных.

Кибератака произошла в ноябре, однако в течение нескольких недель компания вела переговоры с преступниками. В конечном итоге было принято решение выплатить выкуп, поскольку разглашение данных о несовершеннолетних учениках онлайн-школы могло бы обойтись компании значительно дороже и даже иметь катастрофические последствия.

Сумма выкупа остаётся в секрете, однако известно, что для её покрытия компания воспользовалась специальной страховкой от кибератак.

Получив выкуп, операторы Ryuk обещали удалить украденные сведения, однако по статистике преступники далеко не всегда выполняют свои обещания. В связи с этим фирма Coveware, ведущая переговоры о выкупе, предупреждает пострадавших, что платить выкуп не имеет смысла, поскольку нет способа узнать, будут ли данные удалены на самом деле.

В открытом доступе обнаружена незащищённая база данных ElasticSearch, содержащая более 1,7 Тб конфиденциальных сведений, принадлежащих компании Apodis Pharma, разработчику программных решений для фармацевтического бизнеса.

В базе имеются данные о продажах фармацевтической продукции, полные имена партнёров и сотрудников Apodis Pharma, статистика складских запасов клиентов, адреса отгрузки фармацевтической продукции и многое другое.

Данные о складских запасах содержатся в двух архивах, в которых имеется 17 млн и 32 млн записей. Сведения о продажах состоят из 17,5 млн записей.

Школы округа Балтимор до сих пор закрыты после атаки вымогательского ПО., администрация до сих пор не даёт прогнозов по восстановлению работы образовательных учреждений.

BCPS can now confirm we were the victim of a Ransomeware attack that caused systemic interruption to network information systems. Our BCPS technology team is working to address the situation & we will continue to provide updates as available. For now, please don’t use BCPS device

— Baltimore County Public Schools (@BaltCoPS) November 25, 2020

На момент атаки в школах Балтимора обучались более 115 тыс. учащихся. Из-за пандемии COVID-19 занятия проводились дистанционно. Школьные чиновники сообщили, что атака повлияла на сайт школьного округа, систему электронной почты и электронный журнал.

Бразильская авиастроительная компания Embraer стала жертвой кибератаки, в результате которой могли быть похищены конфиденциальные данные.

Представители компании заявляют, что преступники получили доступ только к архивам компании, однако не уточняют, что именно было похищено.

Embraer была вынуждена отключить большую часть своих серверов, некоторые операции были временно недоступны. Есть сведения, что взломщики потребовали у компании выкуп в криптовалюте, однако руководство отказалась комментировать данный вопрос.

В результате кибератаки все удалённо работающие сотрудники компании не смогли получить доступ к системам. При этом IT-отдел Embraer уведомил «удалёнщиков», что проблема связана с нестабильностью в системах, а не с атакой.

Власти округа Делавэр, Пенсильвания заплатили выкуп вымогателям в размере 500 тыс долларов США.

Работа утилиты Mimikatz для извлечения паролей.

Системы округа были атакованы шифровальщиком DoppelPaymer. Из-за атаки пришлюсь отключить часть сети. По официальному заявлению местное выборное Бюро и Департамент экстренных служб не пострадали от атаки, так как находятся в другой сети и не связаны с взломанными системами. Местные СМИ сообщают, что операторы шифровальщика получили доступ к сетям, содержащим БД с полицейскими отчетами, платежными ведомостями, данными о покупках и так далее.

Выкуп был также выплачен из средств страховки от киберинцидентов. Получив деньги, вымогатели посоветовали специалистам округа сменить все пароли и изменить конфигурацию домена Windows, чтобы иметь защиту от Mimikatz.­

Ещё одной жертвой вымогательского ПО DoppelPaymer стала французская компания Banijay Group SAS, занимающаяся производством и дистрибуцией популярных телешоу. В результате инцидента злоумышленники похитили конфиденциальную информацию, касающуюся сотрудников и коммерческой деятельности компании.

Инцидент затронул только сети компаний Endemol Shine Group и Endemol Shine International, входящих в состав медиахолдинга. Компания уведомила о случившемся правоохранительные органы Великобритании и Нидерландов и обратилась за помощью к сторонним ИБ-экспертами.

Компания Advantech, выпускающая компоненты для промышленной автоматизации, стала жертвой вымогателя Conti. За восстановление зашифрованных файлов и удаление похищенных данных операторы вредоносного ПО требуют 13 млн долларов США.

После успешной атаки преступники потребовали у Advantech выкуп в размере 750 биткоинов — около 12,6 млн долларов США.. Злоумышленники согласились бесплатно расшифровать два файла в качестве доказательства того, что расшифровка действительно работает.

Вымогательское сообщение, полученное Advantech.

В конце ноября операторы Conti предупредили компанию, что опубликуют часть похищенных данных, если не получат ответа в течение суток.
Судя по тому, что 26 ноября файлы Advantech стали появляться на сайте для публикации утечек, ответа преступники не дождались.

Опубликованный архив размером 3 ГБ содержит около 2% от всех похищенных данных. Вымогатели также заявили о готовности после уплаты выкупа немедленно удалить все бэкдоры из сети компании и предоставить ей рекомендации по безопасности.