Предпраздничная охота вымогательского ПО на сетевые хранилища, появление новых вредоносных программ, похищение огромных сумм в криптовалюте – об этих и других событиях за период с 23 по 29 декабря 2021 года читайте в нашем обзоре.

Французская IT-компания Inetum Group подверглась атаке с использованием вымогательского ПО, затронувшей бизнес и клиентов. Inetum работает более чем в 26 странах, предоставляя цифровые услуги компаниям из различных секторов, включая аэрокосмический и оборонный, банковский, автомобильный, энергетический коммунальный, сферу здравоохранения, страхования, розничной торговли, государственный сектор, транспорт, телекоммуникации и средства массовой информации. Кибератака затронула некоторые бизнес-операции компании во Франции, однако не повлияла на более крупные инфраструктуры, используемые клиентами.

Американская компания Shutterfly, предоставляющая услуги по созданию фото-подарков, стала жертвой атаки с использованием вымогательского ПО Conti. Злоумышленники предположительно зашифровали более 4 тыс. устройств и 120 серверов VMware ESXi, а также украли корпоративные данные. Группировка потребовала от компании миллионы долларов в качестве выкупа. В рамках тактики двойного вымогательства Conti создала частную страницу утечек данных Shutterfly, содержащую скриншоты данных, предположительно похищенных у компании. Злоумышленники угрожают сделать эту страницу общедоступной, если не будет уплачен выкуп.

Пользователи сетевых хранилищ (NAS) QNAP сообщили об участившихся атаках вымогательского ПО eCh0raix, также известного как QNAPCrypt. eCh0raix регулярно атакует пользователей сетевых хранилищ QNAP и Synology, однако перед католическим Рождеством атаки усилились (число сообщений об атаках стало расти с 20 декабря). Скачок атак подтверждает и сервис ID Ransomware, позволяющий узнавать, какое вымогательское ПО использовалось для шифрования файлов в ходе атаки. Количество заявок на сайте начало расти 19 декабря и уменьшилось к 26 декабря.

Исследователи ИБ-компании SentinelLabs выявили новое семейство вымогательского ПО под названием Rook («Ладья» – англ.). Хотя приветственное сообщение на сайте утечек Rook носит шуточный характер, первая указанная жертва свидетельствует о том, что вымогатели настроены серьезно. В настоящее время на сайте утечек Rook указаны только две жертвы, добавленные в текущем месяце, – банк и индийский специалист в области авиации и аэрокосмической техники. Если к партнерской программе Rook примкнут опытные киберпреступники, она может стать серьезной угрозой в будущем.

Специалисты ИБ-компании Elastic Security рассказали о вредоносной кампании, в ходе которой злоумышленники используют цифровые сертификаты для обхода решений безопасности и тайной установки Cobalt Strike и BitRAT на скомпрометированные системы. Загрузчик вредоносного ПО с незначительным или нулевым обнаружением на VirusTotal получил название Blister. Вектор заражения, использованный для организации атаки, и конечные цели злоумышленников остаются неизвестными.

Неизвестные злоумышленники воспользовались уязвимостью в библиотеке Log4j для взлома серверов на процессорах AMD EPYC и майнинга на этих ресурсах CPU-криптовалюты Raptoreum. В результате хешрейт всей сети Raptoreum удвоился на тот срок, пока машины не вывели офлайн. Один из разработчиков цифрового актива заявил, что в день взлома общая вычислительная мощность всех устройств, задействованных в майнинге монеты увеличилась с 200 MH / S до 400 MH / S, причем основной вклад в удвоение хешрейта был сделан всего с одного единственного адреса.

Злоумышленники используют Telegram для распространения вредоносного инфостилера Echelon, который крадет учетные данные криптокошельков и других учетных записей пользователей. Исследователи из подразделения Division Seven компании SafeGuard Cyber обнаружили образец Echelon, опубликованный в Telegram-канале, посвященном криптовалюте. Вредоносное ПО создано для кражи учетных данных нескольких платформ обмена сообщениями и файлами, включая Discord, Microsoft Edge, FileZilla, OpenVPN, Microsoft Outlook и Telegram, а также ряда кошельков криптовалюты, включая AtomicWallet, BitcoinCore, ByteCoin, Exodus, Jaxx и Monero.

NFT-проект Monkey Kingdom на блокчейне Solana сообщил о том, то стал жертвой хакеров, похитивших к его пользователей 1,3 млн в криптовалюте. По словам разработчиков, взлом начался с Grape – популярного решения для верификации пользователей Solana. Затем злоумышленники проэксплуатировали уязвимость для получения контроля над учетной записью администратора и опубликовали фишинговую ссылку на Discord-канале, где Monkey Kingdom публикует свои новости. Нажавшие на ссылку пользователи подключали свои кошельки, ожидая, что получат NFT, но вместо этого хакеры похищали их токены SOL.

Перед запуском проекта Fractal NFT от соучредителя Twitch Джастина Кана был взломан бот, используемый для его канала в Discord. Злоумышленник разместил ссылку на поддельный сайт NFT, который выманивал деньги у ничего не подозревающих пользователей. Группа хакеров взломала бота в Discord-канале предпринимателя и опубликовала сообщение со ссылкой на продажу токенов по выгодной цене. Больше 100 тыс. пользователей воспользовались «уникальным предложением». Благодаря этому мошенники обогатились на $ 150 тыс.

Microsoft без лишнего шума предупредила некоторых клиентов Azure о том, что опасная уязвимость в службе приложений Azure привела к раскрытию исходного кода сотен репозиториев. Подтверждение Microsoft поступило более чем через два месяца после того, как об этом сообщил израильский стартап по облачной безопасности Wiz. Техногигант «втихую» исправил уязвимость и уведомил об этом «ограниченный круг клиентов», предположительно находящихся в зоне риска. По словам специалистов Microsoft, из-за уязвимости клиенты могли непреднамеренно настроить папку .git для создания в корне содержимого, подвергая себя риску раскрытия информации.

Специалисты из компании AhnLab ASEC сообщили о проблеме, связанной с распространенным использованием функции автоматического входа в систему в web-браузерах. Эксперты рассказали об атаках операторов вредоносного ПО для кражи информации RedLine, направленных на популярные web-браузеры, такие как Google Chrome, Microsoft Edge и Opera.

Пользователи мессенджера паролей LastPass жалуются на то, что их мастер-пароли могли быть скомпрометированы, поскольку они стали получать электронные уведомления о попытках третьих сторон авторизоваться в их учетных записях. Однако в LastPass утечку данных или какой-либо взлом отрицают, а попытки авторизации объясняют «распространенной активностью ботов», пытающихся авторизоваться в учетных записях путем подстановки паролей, утекших раньше из других сервисов.

Жители Сальвадора сообщили в социальных сетях о пропаже части денежных средств из выданных государством криптокошельков Chivo. В социальной сети Twitter по меньшей мере 50 сальвадорцев сообщили об убытках на общую сумму более $96 тыс. после установки правительством биткойн-кошельков. Некоторые из этих финансовых транзакций обошлись жертвам в $61, но другие потеряли тысячи или более.