Обзор инцидентов безопасности за период с 22 по 28 июля 2019 года

1

Коротко о главных событиях прошедшей недели.

Жители крупнейшего города в ЮАР Йоханнесбурга остались без электричества из-за атаки программы-шифровальщика на сети компании City Power, ответственной его энергообеспечение. Вредоносное ПО зашифровало базы данных, приложения и сеть предприятия. О каком вымогателе идет речь, пока не сообщалось.

Злоумышленники распространяют по электронной почте программу-вымогатель Sodinokibi (также известный как REvil и Sodin), выдавая себя за сотрудников немецкого Федерального управления по информационной безопасности. Инфицировав систему, вредонос удаляет теневые копии файлов и отключает восстановление при загрузке Windows. Затем Sodinokibi шифрует файлы на системе и за их восстановление требует $2500 в биткойнах, по прошествии указанного срока сумма возрастает до $5000

Группировка Intrusion Truth раскрыла личности предполагаемых членов кибергруппировки APT17 (она же DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda), предположительно связанной с правительством Китая. Один из них владеет четырьмя компаниями в Китае и предположительно является сотрудником Министерства государственной безопасности КНР. Остальные два участника являлись работниками указанных компаний.

Федеральная торговая комиссия США и Facebook заключили соглашение, которое обязует компанию заплатить штраф в рекордные $5 млрд за использование конфиденциальных данных пользователей. Facebook также должна изменить политику работы с персональными данными и усилить их защиту.

Группировка FIN8 продолжает развиваться и адаптировать свои инструменты. По данным специалистов, киберпреступники добавили в свой арсенал новое вредоносное ПО для атак на PoS-терминалы, получившее название BADHATCH.

Apple заподозрили в прослушивании разговоров и голосовых команд пользователей. По имеющейся информации, компания нанимает работников, которые прослушивают личные разговоры и голосовые команды пользователей в целях совершенствования работы виртуального ассистента Siri.

Злоумышленники атакуют доступные в интернете кластеры Elasticsearch с целью превратить их в DDoS-ботнеты. В многоэтапных атаках злоумышленники использовали скрипты для размещения бэкдора, способного красть информацию и осуществлять DDoS-атаки.

Киберпреступники атакуют уязвимые серверы Jira и Exim с целью заражения их новой версией Linux-трояна Watchbog и майнинга криптовалюты Monero. Свежий вариант вредоноса эксплуатирует недавно обнаруженную уязвимость внедрения шаблона (template injection) в Jira (CVE-2019-11581), которая позволяет выполнять удаленный код. Также вредонос задействует RCE-уязвимость в Exim (CVE-2019-10149), позволяющую злоумышленникам выполнять команды с правами суперпользователя.