Обзор инцидентов безопасности за период с 2 по 6 октября 2021 года

Злоумышленники похитили криптовалюту у пользователей криптобиржи пользователей Coinbase, а вот пользователям криптоплатформы Compound повезло больше - в общей сложности они получили $90 млн, правда, из-за технического сбоя. Вымогатели AvosLocker запустили аукцион похищенных данных, а операторы Conti внезапно стали проявлять характер. Об этих и других событиях в мире ИБ за период с 2 по 6 октября 2021 года читайте в нашем обзоре.

Вторая в мире по величине криптовалютная биржа Coinbase разослала своим пользователям уведомление о том, что в период с марта по май нынешнего года она пострадала от крупномасштабной хакерской атаки. Целью атаки был взлом учетных записей пользователей и кражи их криптовалютных активов. Coinbase предполагает, что злоумышленники использовали фишинговые атаки или иные методы социальной инженерии, чтобы получить доступ к адресам электронной почты, номерам телефонов и паролям пользователей.

Из-за технического сбоя криптовалютная платформа Compound "подарила" своим пользователям $90 млн. Обнаружив ошибку, учредитель платформы обратился к пользователям с просьбой вернуть деньги, пригрозив в противном случае пожаловаться на них в Налоговую службу США (IRS) и, возможно, слить их данные. Инцидент не затронул средства пользователей, предоставленные активы, заемные активы и позиции.

В конце прошлой недели вымогательская группировка Conti взломала серверы компаний японского производителя электроники JVCKenwood Group и похитила 1,7 ТБ данных. За восстановление данных группировка потребовала у компании $7 млн. Однако переговоры вдруг прекратились, и злоумышленники обнародовали похищенные у JVCKenwood файлы. Вскоре группировка опубликовала заявление, согласно которому она больше не будет терпеть "сливы" своих переговоров с жертвами в средства массовой информации. По ее словам, переговоры с JVCKenwood были прекращены именно потому, что они были напечатаны в прессе.

Жертвой вымогателей Conti также стала американская компания по обработке информации Sandhills Global. Сначала отключился сайт Sandhills Global, и все публикации на нем ушли в offline. Также перестали работать телефоны компании. При попытке зайти на сайты, хостинг для которых предоставляет Sandhills Global, появлялось сообщение об ошибке от Cloudflare Origin DNS, согласно которому Cloudflare не может подключиться к серверам Sandhills.

Операторы вымогательского ПО AvosLocker обновили свой web-сайт, добавив на него новую систему, через которую вымогатели будут выставлять на аукцион файлы, похищенные у жертв, отказавшихся платить.

Киберпреступники распространяют троян Sarwent через поддельный web-сайт, замаскированный под сайт правозащитной организации Amnesty International. Посетителям сайта якобы предлагается защита от мобильного шпионского ПО Pegasus. По словам исследователей в области кибербезопасности из Cisco Talos, атаки нацелены на людей, опасающихся слежки со стороны ПО Pegasus от NSO Group.

Не обошлось и без утечек данных. Одна из крупнейших газет и сетевых СМИ Великобритании The Telegraph не защитила должным образом одну из своих баз данных, в результате чего было раскрыто 10 ТБ данных пользователей. Информация включает внутренние журналы, полные имена подписчиков, адреса электронной почты, информацию об устройстве, URL-запросы, IP-адреса, токены аутентификации и уникальные идентификаторы читателей.

Компания Syniverse, обслуживающая операторов связи AT&T, T-Mobile, Verizon, Vodafone, China Mobile и ряд других компаний по всему миру, сообщила о взломе. Хакеры находились внутри ее систем в течение многих лет, получив доступ к данным более 200 клиентов Syniverse. По словам сотрудника компании, хакеры могли иметь доступ к метаданным, таким как длительность и стоимость звонков, номера телефонов, местонахождение участников разговора, а также содержимое SMS-сообщений.

Организация Apache Software Foundation (ASF) выпустила исправление для уязвимости в проекте HTTP Web Server, которая уже активно эксплуатируется в хакерских атаках. Проблема, получившая идентификатор CVE-2021-41773, затрагивает только web-серверы Apache версии 2.4.49 и существует из-за ошибки в том, как сервер Apache выполняет преобразование между разными схемами пути URL (этот процесс называется нормализация URI).

Однако самым громким инцидентом на этой неделе стал сбой в работе сервисов Facebook. В понедельник, 4 октября, Facebook, Instagram, WhatsApp, Messenger и Oculus VR ушли в offline и оставались недоступными в течение шести часов. Ходили слухи, что причиной сбоя в работе сервисов стало неудачное обновление Border Gateway Protocol (BGP), и официальное заявление компании это подтверждает. Как пояснил вице-президент Facebook по инженерии и инфраструктуре Сантош Джанардхан (Santosh Janardhan), к сбою соединения между дата-центрами Facebook привело изменение настроек конфигурации маршрутизаторов.

«Facebook и Instagram таинственным образом отключаются, и на один прекрасный день мир становится более здоровым местом», - прокомментировал сбой бывший сотрудник американских спецслужб Эдвард Сноуден.