Не так страшен фишинг, как его последствия…
Компания Ponemon опубликовала отчет [1], в котором проанализировала стоимость последствий фишинговых атак на предприятия (2021 Ponemon Cost of Phishing Study). По подсчетам аналитиков компании выплаты вымогателям после успешного внедрения вредоноса с помощью фишинга — это еще не самые большие траты для компании. Шифровальщики более опасны замедлением и снижением производительности работы всей компании и затратами на восстановление инфраструктуры. А после того, как вредоносы начали воровать ценные корпоративные сведения, у компаний возрастает вероятность целенаправленного фишинга, который может принести куда больший ущерб вплоть до перехвата злоумышленниками деловых коммуникаций, атак на партнерские инфраструктуры и полное разрушение репутации компании. В результате, по данным Ponemon американские компании сейчас теряют от фишинга в среднем 14,8 млн долл. в год, или 1500 долл. на сотрудника. Причем за последние 6 лет — с 2015, когда проводилось аналогичное исследование — цифра отложенного ущерба от фишинга выросла с 3,8 млн долл., то есть в 6 раз. Хотя, скорее всего, просто за 6 лет аналитики Ponemon просто научились лучше считать косвенный ущерб — а он, как уже говорилось, сильно больше собственно выплат вымогателям.
Летние уязвимости Microsoft и защитников
В начале августа в Microsoft Exchange Server была обнаружена уязвимость ProxyShell, которая позволяет выполнить код на уязвимой системе [2]. Для нее был выпущен эксплойт и началась активная эксплуатация. В результате, уже к 20-м числам августа по оценкам некоторых экспертов было заражено различными вредоносными кодами порядка 1900 серверов Microsoft Exchange Server, что говорит о популярности эксплойта среди хакеров. Причем количество различных вариантов вредоносных программ, которые пользуются этой уязвимостью для проникновения в почтовый сервер, достигло 140. А ближе к концу августа в Microsoft Exchange Server была обнаружена еще одна уязвимость [3], но на этот раз ее можно было использовать только для разглашения секретной информации. Она также получила собственное наименование — ProxyToken. Новая уязвимость позволяет получить доступ к почтовому ящику целевого пользователя и украсть его электронные письма.
В июле и августе также завоевала популярность среди хакеров еще одна уязвимость в Windows, но на этот раз в сервисе печати [4]. Она позволяет выполнять вредоносный код в удаленной системе, и поэтому также получила свое нарицательное имя — PrintNightmare. Уязвимость освоили и начали эксплуатировать авторы программ-вымогателей, что отметила в своем отчете компания CrowdStrike. Впрочем, права администратора Windows 10 оказывается можно было получить просто с помощью подключения к компьютеру устройства датской компании SteelSeries, если предварительно установить на него уязвимый драйвер [5]. Однако, эти продукты не очень распространены, поэтому и авторы вредоносов не слишком активно пользуются этим вектором нападения.
Впрочем, в августовском наборе исправлений от Microsoft [6] была и еще одна опасная уязвимость в сервисе Windows Update Medic. Пикантность проблемы в том, что этот сервис как раз и предназначен для решения проблем в системе обновления Windows, однако ошибка позволяет превратить его в вектор удаленного проникновения в операционную систему. Причем специалисты Microsoft зафиксировали эксплуатацию данной уязвимости, но не обнаружили сведений о нем в публичном доступе.
Впрочем, проблемы с уязвимостями обострились летом не только у Microsoft, но и у целого ряда разработчиков средств защиты. Так в июле компания Fortinet исправила уязвимости в решениях FortiManager и FortiAnalyzer — в службе fgfmsd, которая может быть удалено использована для получения полного контроля над устройством [7]. В августе же у той же компании возникли проблемы и с другим продуктом — FortiWeb [8]. в его веб-интерфейсе управления авторизованный пользователь может инжектировать команды для операционной системы, то есть выйти за пределы веб-сервера и тем самым поднять свои полномочия. Уязвимости присвоено значение CVSSv3 на уровне 8,7 из 10, что относится к категории критичных ошибок.
Также летом возникли проблемы у пользователей продукта Cisco Adaptive Security Appliance (ASA) [9]. Российские исследователи из компании Positive Technologies опубликовали в Twitter эксплойт для уязвимости 2020 года CVE-2020-3580, и оказалось, что хакеры начали активно использовать его для проведения атак. Поэтому компания Tenable, которая как раз и обнаружила признаки эксплуатации данной уязвимости, рекомендовала владельцам уязвимых устройств срочно обновить программное обеспечение используемых продуктов Cisco ASA.
Еще летом была обнаружена ошибка в решении Palo Alto Network под названием Cortex XSOAR [10], которое предназначено для расследования инцидентов. Злоумышленники без авторизации могли проникнуть в кабинет управления Cortex XSOAR War Room и совершить в нем любые действия вплоть до запуска инструментов автоматизации. Причем по шкале критичности данная уязвимость оказалась достаточно опасной — 9,8 из 10 возможных.
А компания SonicWall наконец-то исправила уязвимость [11], которая уже была неудачно исправлена в октябре прошлого года — CVE-2020-5135. Тогда компания уже выпустила заплатку, которая должна была защитить пользователей продукта от эксплуатации уязвимости, которая приводила к удаленному захвату устройства компании. Однако в самой заплате оказалась дырка, которая позволяла организовать утечку памяти с возможным ее переполнением и выводом устройства из строя. Летом компания, наконец полноценно исправила свой уязвимый продукт SonicWall VPN.
Протекающие облака и операторы
В августе в конфигурации облачного сервиса Microsoft Power Apps обнаружилась ошибка [12], которая позволяла организовать утечку данных с помощью сервиса у тех компаний, которые им воспользовались. Наиболее опасные данные хранились в этом сервисе у компаний American Airlines и Ford, министерства здравоохранения штата Индиана и государственных школ Нью-Йорка. В их записях можно было обнаружить такие данные как статусы вакцинации от COVID-19, номера социального страхования и адреса электронной почты. Всего в общем доступе оказались чувствительные данные 47 компаний, а объем базы составил 38 млн записей. Утверждается, что платформа фактически заставляла делать персональные данные публичными и распространять их без ограничения по протоколу открытых данных OData. Вот что бывает, когда доверяешь свои данные облачной платформе.
Еще одна утечка, произошедшая по вине третьей стороны, была в компании Carter’s [13]. Это компания, которая занимается торговлей детской одеждой, для анализа данных о клиентах использовала сервис vpnMentor, который разработала компания Linc. Однако используемый в этом решении механизм сокращенных ссылок оказался уязвимым для анализа, что и привело к раскрытию информации о 410 тыс. клиентов компании — информация накапливалась с 2015 года.
Летом также стало известно о крупной утечке данных в медицинской компании CVS Health [14]. Она, как и в предыдущем случае, произошла по вине третьей стороны, которая не называется. По словам исследователя, который обнаружил утекшую базу на черном рынке, общий размер ее архива составил 204 ГБайт, в котором содержались сведения в виде отдельных 1148327940 файлов. Они были помечены как «производственные».
Впрочем, далеко не всегда утечки происходят через партнеров — некоторые, наиболее привлекательные данные, все-таки воруют с помощью специализированных инструментов. В частности, такую утечку признал летом немецкий оператор T-Mobile [15]. Компания признала, что у нее украли данные более 40 млн клиентов, причем как действительных, так и потенциальных. Взлом был организован через тестовую точку доступа, которая из-за ошибок в конфигурировании, оказалась доступной через Интернет. Компания признала, что неизвестные смогли получить доступ к набору баз данных, который в сумме составляет около 106 ГБайт, включая базу Oracle для управления взаимоотношениями с клиентами T-Mobile.
Впрочем, у крупнейшего заокеанского оператора AT&T летом возникли такие же проблемы [16] — на черном рынке была обнаружена база данных его клиентов, которую пытались продать за 200 тыс. долл. Продавец уверял, что он владеет базой, которая якобы содержит полные имена, адреса, почтовые коды, даты рождения, адреса электронной почты и номера социального страхования 70 млн человек. Правда, компания отрицает, что у нее произошла утечка данных, так что ситуация несколько двусмысленная.
Троянский мессенджер
В августе завершилась история защищено мессенджера Anom (он же An0m, он же Anøm) [17]. Этот полностью защищённый мессенджер, который использовался для организации преступной деятельности по всему миру. Однако три года назад разработчика мессенджера взяла под контроль ФБР совместно с австралийской полицией, которые в течении трех лет собирали информацию о пользователях приложения, выявляя их преступную деятельность. В августе же совместными усилиями ФБР и австралийской полиции была проведена целая серия рейдов, в результате которой было задержано более 800 подозреваемых в торговле оружием и наркотиками, а также занималась отмыванием преступных доходов. У задержанных было изъято более 8 тонн кокаина, более 22 тонн опия, 2 тонн метамфетамина, 6 тонн синтетических наркотиков, 250 единиц огнестрельного оружия, 55 дорогих автомобилей и наличности на сумму 48 млн долл. в различной валюте. Операция получила наименование Ironside.
В Испании скончался Джон Макафи
Основатель McAfee — одной из первых антивирусных компаний — Джон Макафи, которая сейчас плотно сотрудничает с американскими спецслужбами, предположительно совершил самоубийство в каталонской тюрьме [18]. Он был арестован в Испании в октябре прошлого года, и с тех пор ожидал решение по экстрадиции в США, где ему предъявлены обвинения в уклонении от уплаты налогов, в мошенничестве с криптовалютой и преступном сговоре по отмыванию денег. Через несколько часов после того, как Высокий суд Испании санкционировал его экстрадицию в США, Джон Макафи был обнаружен мертвым в своей камере. Ему на момент смерти было 75 лет, однако когда твой антивирус защищает влиятельные американские спецслужбы, то смерть в тюрьме от самоубийства выглядит очень подозрительно.
[1] https://www.proofpoint.com/us/resources/analyst-reports/ponemon-cost-of-phishing-study
[2] https://threatpost.com/proxyshell-attacks-unpatched-exchange-servers/168879
[3] https://threatpost.com/microsoft-exchange-proxytoken-email/169030/
[4] https://threatpost.com/microsoft-unpatched-printnightmare-zero-day/168613/
[5] https://threatpost.com/windows-10-admin-rights-steelseries-devices/168927/
[6] https://krebsonsecurity.com/2021/08/microsoft-patch-tuesday-august-2021-edition/
[7] https://www.theregister.com/2021/07/20/fortinet_rce/
[8] https://threatpost.com/unpatched-fortinet-bug-firewall-takeovers/168764/
[9] https://threatpost.com/cisco-asa-bug-exploited-poc/167274/
[10] https://threatpost.com/critical-palo-alto-bug-remote-war-room/167169/
[11] https://threatpost.com/sonicwall-botches-critical-vpn-bug/167152/
[12] https://threatpost.com/microsoft-38-million-sensitive-records-power-app/168885/
[13] https://threatpost.com/baby-clothes-carters-leaks-customer-records/166866/
[14] https://threatpost.com/cvs-health-records-billion-customers-exposed/167011/
[15] https://threatpost.com/t-mobile-40-million-customers-data-stolen/168778/
[16] https://www.hackread.com/att-breach-shinyhunters-database-selling-70-million-ssn/
[17] https://threatpost.com/an0m-encrypted-chat-sting-arrest-800/166716/
[18] https://www.hackread.com/john-mcafee-died-in-spanish-prison/