Африку атакуют на 146% больше
Компания Check Point проанализировала инциденты кибербезопасности, зафиксированные ее сенсорами, установленными под всему миру и подготовила ответ о изменении ландшафта угроз в 2021 году [1]. В соответствиис данными анализа количество атак за неделю в целом по миру увеличилось на 50% и достигло отметки в 925 штук. Наибольший рост показал африканский континент, где годовой прирост недельных атак по сравнению с 2020 годом составил 146% и достиг рекордного значения в 1582 атаки в неделю. Исследователи компании связывают такой рост с атаками на эксплуатацию новой уязвимости Log4Shell, однако она вряд ли успела так серьезно сказаться на результатах. Скорее всего у компании просто увеличилось качество обнаружения инцидентов, поскольку отчёт выполняется по обнаруженным и заблокированным элементам атаки. Немаловажным фактором увеличения числа обнаруживаемых инцидентов может также стать усложнение атак — поскольку эксперты Check Point считают каждый этап атаки как отдельный инцидент, то увеличение числа этих этапов может привести к увеличению общего числа инцидентов при том же количестве успешных атак.
ФБР предупреждает…
В январе увеличилась активность Федерального Бюро Расследований США. В частности, оно выпустило предупреждение [2] о нескольких случаях рассылки вредоносных USB-накопителей. Было зафиксировано две версии вредоносных отправлений: одно рассылалось от имени Министерства здравоохранения и социальных служб США с сообщением о рекомендациях по работе с COVID-19 якобы расположенном на USB, а вторая — имитировала рассылку Amazon. Во втором случае вредоносы рассылались в подарочной коробке с благодарственным текстом, поддельной подарочной картой и вредоносным USB-накопителем. В обоих случаях накопитель содержал сценарии Metasploit, Cobalt Strike, Carbanak и PowerShell, которые могли установить на компьютер жертвы программы-вымогатели, такие как BlackMatter или REvil.
Через неделю ФБР опубликовало предупреждение [3] о появлении вредоносных QR-кодов, которые ведут на вредоносный сайт, где злоумышленники пытаются с помощью фишинга украсить учётные данные пользователей. «Киберпреступники используют эту технику проникновения, направляя приложение по сканированию QR-кода на вредоносные сайты для кражи данных жертвы, внедрения вредоносного ПО и перехвата платежей. Не сканируйте случайно найденный QR-код», — предупреждает ФБР. Правда, примеров и конкретных вредоносов в сообщении не приводится.
Примерно в то же время ФБР совместно с АНБ и Агентством кибербезопасности и защиты инфраструктуры (Cybersecurity and Infrastructure Security Agency — CISA) выпустили рекомендации [4] о том, как обнаруживать, реагировать и смягчать кибератаки со стороны российских хакерских групп, спонсируемых государством. В этом сообщении от критически важных инфраструктурных организаций США требуется: «немедленно» установить все обновления для компьютерных систем, особенно с уязвимостями, которые имеют известные эксплойты; развернуть многофакторную аутентификацию; запустить средства защиты от вредоносных программ; и наладить процесс мониторинга инцидентов. То, что российские компании делают в течении последних нескольких лет в рамках закона №187-ФЗ «О безопасности КИИ РФ», американские субъекты критической инфраструктуры должны сделать «немедленно».
Зашифрованное государство
В январе случилось несколько инцидентов с шифровальщиками, которые напали на государственные организации — ту самую критическую инфраструктуру. Так в столичный центре отбывания наказания (MDC) в округе Берналилло, штат Нью-Мексико, в результате атаки вымогателя отключилась система управления дверями, и заключенные не могли покинуть свои камеры [5]. Согласно сообщениям, в результате нападения были скомпрометированы управляемые судом базы данных MDC и интернет-сервис, к которому Центр был подключен. В результате, у чиновников был ограниченный доступ к электронной почте, а беспроводной интернет в округе был недоступен.
Во Франции также был инцидент с государственной службой — Министерством Юстиции [6]. Хакерская группировка LockBit объявила, что она захватила эту государственную службу в рамках недавней серии атак. Хотя подробности инцидента в Министерстве Юстиции Фракции не разглашаются, на сайте хакерской группировки весь предупреждение, что у Министерства есть 13 дней, чтобы удовлетворить требования нападающих или конфиденциальные данные об этом будут опубликованы 10 февраля 2022 года.
Атаку программы-шифровальщика на собственную сеть также подтвердил и департамент здравоохранения штата Мэриленд (MDH) [7]. Инцидент привел к отключению веб-сайта MDH и удалению страниц для подачи заявки на медицинское обслуживание или получение сведений о безопасности местных домов престарелых. Инцидент также нарушил предоставление данных о заболевании COVID-19.
Исследователи центра реагирования MSTIC компании Microsoft опубликовали отчет, в котором приводятся подробности кампании вредоносного ПО, нацеленной на технологические организации, государственные учреждения и некоммерческие организации Украины. Вредонос впервые появился в украинских системах 13 января 2022 года. Многие правительственные веб-сайты были взломаны в период с четверга по пятницу через киевскую фирму Kitsoft — известного поставщика программного обеспечения. Хотя программа выдает сообщение якобы с требованием выкупа как делал бы любой вымогатель, но эксперты Microsoft отмечают, что она не шифрует данные, а затирает их случайными данными. Украинское руководство обвинило в атаках белорусскую разведку.
АНБ во главе кибербезопасности США
Президент Байден подписал в январе меморандум [9], который расширяет полномочия АНБ в надзоре за кибербезопасностью разведывательных, военных и других правительственных структур США, которые обрабатывают секретные или конфиденциальные военные или разведывательные данные. Меморандум также требует от всех правительственных структур использования более современных технологий шифрования и безопасности с нулевым доверием (Zero Trust). Фактически американские власти повторяют действия российского правительства по построению государственной системы предотвращения и ликвидации атак, известной как ГосСОПКА.
Pluton станет доступен в мае
На выставке CES Microsoft объявила, что Lenovo и производитель процессов AMD планируют выпустить первые ноутбуки — ThinkPad Z13 и ThankPad Z16 — которые будут снабжены новыми модулями аппаратной защиты Pluton [10]. Оба ноутбука поступят в продажу в мае, и Lenovo заявила, что не требует дополнительных затрат, связанных с чипом Pluton внутри. Процессор Pluton предназначен для обеспечения большей защиты, чем существующий модуль доверенной загрузки TPM, поскольку это специальный аппаратный модуль безопасности, который поддерживает такие функции как BitLocker, Windows Hello и System Guard. TPM 2.0 используется для создания и защиты ключей шифрования, учетных данных пользователей и других конфиденциальных данных, чтобы вредоносные программы и злоумышленники не могли получить доступ к секретами или изменить их.
[1] https://www.darkreading.com/attacks-breaches/corporate-networks-saw-50-more-attacks-per-week-in-2021-
[2] https://www.darkreading.com/attacks-breaches/fbi-warns-fin7-campaign-delivers-ransomware-via-badusb
[3] https://www.hackread.com/fbi-warning-malicious-qr-codes-steal-login-credentials/
[4] https://www.darkreading.com/threat-intelligence/fbi-nsa-cisa
[5] https://www.hackread.com/new-mexico-jail-ransomware-attack-prisoners-lockdown
[6] https://www.hackread.com/lockbit-ransomware-gang-french-justice-ministry-europe/
[7] https://www.darkreading.com/attacks-breaches/maryland-dept-of-health-responds-to-ransomware-attack
[8] https://www.hackread.com/microsoft-destructive-malware-fake-ransomware-ukraine/
[9] https://www.darkreading.com/vulnerabilities-threats/biden-broadens-nsa-oversight-of-national-security-systems
[10] https://www.computerworld.com/article/3646749/microsoft-touts-first-pcs-to-ship-natively-with-secure-pluton-chip.html