Обзор инцидентов с участием программ-вымогателей за период с 5 по 12 июля 2021 года

Большую часть внимания общественности на прошлой неделе привлекла кибератака операторов вымогательского ПО REvil на MSP-провайдера Kaseya. По словам некоторых экспертов, преступники использовали комбинацию из трех уязвимостей нулевого дня для атаки на VSA — уязвимость обхода аутентификации, уязвимость загрузки произвольного файла и уязвимость внедрения кода.

По словам генерального директора компании Фреда Воккола (Fred Voccola), из-за атаки операторов вымогателя были прекращены бизнес-операции от 800 до 1,5 тыс. предприятий по всему миру, включая стоматологические кабинеты, архитектурные бюро, центры пластической хирургии и библиотеки. Одна из крупнейших в Швеции сетей супермаркетов Coop была вынуждена закрыть порядка 800 магазинов по всей стране из-за атаки REvil на Kaseya. Сотрудники магазинов не смогли обрабатывать платежи из-за потери работоспособности кассовых аппаратов и станций самооблуживания.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) США опубликовали руководство для компаний и организаций, пострадавших от атаки операторов вымогательского ПО REvil на MSP-провайдера Kaseya. Федеральные агентства рекомендуют проверить компьютерные системы на наличие признаков взлома с помощью инструмента обнаружения, предоставленного Kaseya, а также включить многофакторную аутентификацию в как можно большем количестве учетных записей. Сложившейся вокруг атак на Kaseya и ее клиентов критической ситуацией вовсю пользуются кибермошенники. Злоумышленники рассылают потенциальным жертвам спам-письма с полезной нагрузкой Cobalt Strike, замаскированной под обновления безопасности для Kaseya VSA. Преступники рассылают потенциальным жертвам письма с вредоносным вложением и встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil. Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч, злоумышленники получают постоянный удаленный доступ к ее компьютеру. Атака вымогательской группировки REvil на MSP-провайдера Kaseya и его клиентов должна была быть успешной, однако изменения в типичной тактике и процедурах преступников привели лишь к небольшому количеству выплат выкупа. Причина в том, что резервные копии жертв не удалялись и данные не были украдены, что могло предоставить преступникам рычаг давления на жертв. Об этом сообщило издание Bleeping Computer. Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширения .zqqw, .zzla и .pooe к зашифрованным файлам. Пресс-секретарь Белого дома Джен Псаки заявила, что Россия несет ответственность за воспрепятствование деятельности хакеров на ее территории, даже если само государство не имеет никакого отношения к кибератакам. «Я подчеркну, что взгляд президента США Джо Байдена и взгляд администрации Соединенных Штатов заключаются в том, что даже несмотря на то, что эти действия против США и американского частного сектора предпринимают криминальные элементы, даже если к этому не причастно правительство России, они все равно несут ответственность», — пояснила Псаки. Специалисты из компании Sentinel Labs опубликовали отчет об анализе вымогательского ПО Conti. Вымогательское-ПО-как-услуга (Ransomware as a Service, RaaS) зарекомендовала себя среди хакеров как гибкая и эффективная вредоносная программа, способная работать как автономно, так и управляемо, а также с беспрецедентной скоростью шифрования. По состоянию на июнь 2021 года партнеры Conti потребовали несколько миллионов долларов у более чем 400 организаций. Инвестиционная банковская компания Morgan Stanley сообщила, что личная информация некоторых клиентов была скомпрометирована через стороннего поставщика, который использовал решение Accellion FTA. Украденные файлы были зашифрованы, но злоумышленник «смог получить ключ дешифрования в ходе взлома Accellion FTA». Похищенные данные включали имена, адреса, даты рождения, номера социального страхования и названия компаний. Старший вице-президент компании Mandiant Чарльз Кармакал (Charles Carmakal) рассказал, что ИБ-эксперты не могут справиться с большим количеством атак операторов вымогательского ПО. Атаки программ-вымогателей сейчас настолько многочисленны, что некоторые компании просто не могут помочь каждой недавно взломанной жертве восстановить свой бизнес. Исследователь в области кибербезопасности Джек Кейбл (Jack Cable) запустил сайт под названием Ransomwarewhere, представляющий собой открытый краудсорсинговый трекер платежей вымогателям. Сервис позволяет просматривать загружать данные о платежах вымогательским группировкам или сообщать о получении требований со стороны преступников. Исследователь в области кибербезопасности Майкл Гиллеспи обнаружил новую программу-вымогатель, которая добавляет расширение .nohope к зашифрованным файлам. Ведущая страховая компания в США CNA Financial Corporation уведомила клиентов об утечке данных после атаки вымогателя Phoenix CryptoLocker, поразившей ее системы в марте нынешнего года. Инцидент затронул 75 349 человек. Украденные данные включают личную информацию клиентов, такую ​​как имена и номера социального страхования.