Добавлено спустя 14 минут 31 секунду:

Челябинец оштрафован за создание вредоносных программ

Центральный районный суд Челябинска вынес приговор в отношении местного жителя, обвиняемого в компьютерных преступлениях. Мужчина признан виновным по ч.1 ст.273 УК РФ (создание, использование и распространение вредоносных компьютерных программ), сообщает пресс-служба УФСБ России по Челябинской области.

Как установил суд, челябинец был причастен к созданию и распространению вредоносных программ типа «ботнет». Обвиняемый приговорен судом к штрафу в размере 10 тыс. рублей.

Напомним, на минувшей неделе власти США предъявили обвинение россиянину Егору Крючкову в сговоре с целью умышленного причинения вреда защищенному компьютеру. Согласно обвинительному заключению, Крючков пытался завербовать сотрудника компании в штате Невада, чтобы тот заразил компьютерную сеть предприятия вредоносным ПО, предоставлявшим доступ к системам. После этого россиянин планировал похитить данные компании и потребовать выкуп за их неразглашение.

Уязвимость на сайте United Airlines раскрывала данные путешественников

Сайт одной из крупнейших в мире авиакомпаний United Airlines позволял кому угодно просмотреть информацию о билетах клиентов авиалинии, запросивших возврат средств.

Web-сайт United Airlines позволяет пользователям проверять статус возврата денег. Для этого пользователям нужно указать номер авиабилета и свою фамилию.

Однако, как обнаружил ИБ-эксперт Оливер Линоу, на сайте не была реализована проверка фамилии, что позволяло любому человеку изменить номер билета и получить доступ к данным других путешественников.

Как пояснил Линоу, он мог видеть информацию о фамилиях клиентов компании, о том, какая валюта использовалась для покупки билета и способ оплаты, а также сумму возврата средств.

Исследователь сообщил компании о проблеме в начале июля нынешнего года, но уязвимость была исправлена только месяц спустя. В настоящее время неясно, как долго она присутствовала на сайте и сообщила ли компания об инциденте регулятору в области защиты данных.

Эксперты рассказали о влиянии пандемии COVID-19 на характер и количество кибератак

Специалисты ИБ-компании Cynet представили отчет, в котором рассказали, как пандемия COVID-19 повлияла на характер и количество кибератак в США и Европе.

В отчете содержится ряд интересных фактов и выводов, в том числе об изменении числа кибератак, наблюдаемых в различных отраслях промышленности, кибератак с использованием целенаправленного фишинга и о методах распространения вредоносных программ.

Согласно отчету, киберпреступники не просто использовали тему пандемии в своих интересах, они практически выбрали из нее все возможное. Киберпреступники использовали весь арсенал новых методов, чтобы обеспечить своим атакам максимальный успех.

Специалисты сравнили такой подход со спортивной командой, которая использует все новые приемы в одной игре, а не распределяет их на целый сезон.

В отчете говорится, что как правило процент атак с использованием новых методов составляет около 20%. То есть, в 80% атак используются хорошо известные методы. Однако, по данным специалистов Cynet, с начала пандемии COVID-19 количество атак с использованием новых методов увеличилось до 35%.

В связи с этим у организаций, полагающихся только на одно антивирусное решение, могут возникнуть проблемы, поскольку эти решения не всегда способны эффективно обнаруживать атаки с использованием новых методов. Другими словами, для выявления новых атак необходимо использовать новые подходы.

Еще одно интересное наблюдение, описанное в отчете Cynet, – существенное увеличение количества клиентов Cynet, запрашивающих экспертную помощь от группы обнаружения и реагирования (CyOps). Так, во время пандемии взаимодействие CyOps с клиентами Cynet увеличилось на 250%.

Что касается целенаправленного фишинга, то большая часть (35%) фишинговых электронных писем содержат ссылки на вредоносные сайты, распространяющие вредоносное ПО, 32% - вредоносные макросы, 21% - вредоносные исполняемые файлы, а 12% - вредоносные документы Office.

Хакеры похитили данные 540 тыс. спортивных судей и представителей спортивных лиг

Компания ArbiterSports, предоставляющая программное обеспечение для спортивных лиг, сообщила об инциденте безопасности, затронувшем порядка 540 тыс. зарегистрированных членов, в том числе спортивных судей и высокопоставленных представителей спортивных лиг и школ.

В частности, ArbiterSports является официальным поставщиком ПО для Национальной ассоциации студенческого спорта (National Collegiate Athletic Association, NCAA) – американской университетской спортивной ассоциации, в которую входят более 1,2 тыс. организаций, устраивающих спортивные соревнования в колледжах и университетах США и Канады.

Согласно уведомлению ArbiterSports, в июле нынешнего года компании удалось отразить атаку вымогательского ПО. Хотя злоумышленникам и не удалось зашифровать ее системы, они все-таки смогли похитить резервные копии файлов.

В резервных копиях содержались данные из web-приложений ArbiterGame, ArbiterOne и ArbiterWorks, используемых спортивными лигами и школами для назначения и управления расписаниями судей и официальных лиц. В результате инцидента злоумышленники похитили данные пользователей, зарегистрировавшихся в вышеупомянутых приложениях, в том числе их имена пользователя, настоящие имена, пароли, домашние и электронные адреса, даты рождения и номера социального страхования.

После того, как ArbiterSports удалось отразить атаку вымогательского ПО, злоумышленники связались с ней и потребовали выкуп за удаление похищенных ими файлов. Компания заплатила нужную сумму и получила от киберпреступников подтверждение, что данные действительно были удалены. Правда, никакой гарантии того, что злоумышленники не сохранили себе копии похищенных данных, нет.

За два года игровая индустрия подверглась более чем 10 млрд кибератак

В период с июня 2018 года по июнь 2020 года игроки и относящиеся к игровой индустрии компании стали жертвами более чем 10 млрд кибератак. Об этом говорят данные отчёта «Состояние Интернета/безопасность», который был представлен специалистами компании Akamai.

В общей сложности за упомянутый период было зафиксировано свыше 100 млрд атак по подбору учётных данных. Из них примерно 10 млрд атак были нацелены на игровую индустрию. Большой популярностью у злоумышленников пользовались разные веб-приложения. Согласно опубликованным данным, в отчётном периоде злоумышленники провели 152 млн атак на связанные с игровой индустрией веб-приложения, а в общей сложности было зафиксировано 10,6 млрд таких атак.

Преимущественно атаки на веб-приложения были связаны с SQL-инъекциями и PHP-инъекциями, которые в случае успешного проведения позволяют получить доступ к учётным данным пользователей и другой информации, хранящейся на игровых серверах.

Ещё в сфере видеоигр часто фиксировались атаки типа «отказ в обслуживании» (DDoS). В период с июля 2019 года по июнь 2020 года более 3000 из 5600 уникальных DDoS-атак, которые зафиксировала компания Akamai, были направлены на игровой сектор, что делает его наиболее целевым для подобных кампаний. Также отмечается, что пандемия COVID-19 способствовала росту числа атак в игровом сегменте.

В отчёте сказано, что многие геймеры не проявляют серьёзной обеспокоенности из-за сложившейся ситуации. По данным Akamai, 55 % геймеров признали, что их учётные записи были взломаны хотя бы раз, но только 20 % из них выразили серьёзную обеспокоенность по этому поводу.

Добавлено спустя 14 минут 31 секунду:

Крупнейший производитель очков Luxottica подвергся кибератаке

Крупнейший итальянский производитель очков Luxottica и владелец бренда Ray-Ban подвергся кибератаке, которая привела к остановке производства продукции в Италии и Китае.

Порталы Luxottica one.luxotrica.com и University.luxottica.com демонстрируют сообщения о техническом обслуживании сайтов.

«Портал OneLuxottica временно недоступен. Мы работаем над тем, чтобы запустить его как можно скорее», — говорится в сообщении.

Кибератака вызвала сбой в работе IT-систем офисов Luxottica в Агордо и Седико (Италия). Поскольку сотрудники не могли выполнять свою работу, им было сказано идти домой.

Как сообщили специалисты Bad Packets, компания Luxottica использует программно-аппаратное обеспечение Citrix ADX, содержащее критическую уязвимость (CVE-2019-19781). Уязвимость популярна среди злоумышленников-вымогателей.

Эксплуатация уязвимости позволяет получить доступ к сети и похитить учетные данные, которые можно использовать для дальнейшего перемещения по сети.

Крупнейший производитель часов Swatch стал жертвой кибератаки

Крупнейший в мире производитель часов Swatch Group отключил свои IT-системы после выявления кибератаки. Как сообщили представители компании, они обнаружили кибератаку на выходных и отключили IT-системы с целью предотвратить распространение вредоносного ПО.

«Swatch Group немедленно оценила и проанализировала характер атаки, приняла соответствующие меры и внесла необходимые исправления. Ситуация вернется в норму как можно скорее», — сообщили представители компании.

Это далеко не первая кибератака, направленная против крупных компаний в этом месяце. Например, ранее крупнейший итальянский производитель очков Luxottica и владелец бренда Ray-Ban подвергся кибератаке, которая привела к остановке производства продукции в Италии и Китае. Порталы Luxottica one.luxotrica.com и University.luxottica.com демонстрировали сообщения о техническом обслуживании сайтов.

На этой неделе одна из крупнейших в США частных компаний, Universal Health Services (UHS), предоставляющая услуги в области здравоохранения, была вынуждена отключить свои компьютерные системы вследствие кибератаки. Под управлением UHS находится более 400 медицинских учреждений в США и Великобритании, компания ежегодно предоставляет медицинские услуги порядка 3,5 млн пациентов.

Взломавший LinkedIn и Dropbox россиянин приговерен к 7 годам тюрьмы

Федеральный суд Северного округа штата Калифорния приговорил россиянина Евгения Никулина, обвиняемого в США в киберпреступлениях, к 88 месяцам заключения (примерно к 7 годам и 4 месяцам). Прокуратура рекомендовала приговорить Никулина к 12 годам лишения свободы.

В июле нынешнего года Никулин был признан виновным во взломе компаний LinkedIn и Formspring в 2012 году, в ходе которого он украл учетные данные 117 млн американцев. Россиянин был задержан в Праге в 2016 году по запросу американских властей, а в 2018 году экстрадирован в США. Ему были предъявлены обвинения в мошенничестве, включая вмешательство в работу компьютера и кражу личности.

По словам судьи Уильяма Элсапа, после отбытия срока Никулин, скорее всего, будет депортирован в Россию. Уже отбытые им четыре года будут зачтены. Сам Никулин отказался от возможности высказаться в свою защиту перед оглашением приговора.

Провайдер облачных вычислений признал факт атаки вымогателей

Поставщик облачных CRM-систем Blackbaud признался, что стал жертвой операторов вымогательского ПО, и информация о банковских счетах клиентов была похищена преступниками. Однако ранее руководители Blackbaud отрицали факт кибератаки.

Представители компании признали, что заражение программой-вымогателем в мае нынешнего года привело к тому, что злоумышленники получили доступ к финансовой информации клиентов.

«После 16 июля дальнейшее расследование показало, что киберпреступники могли получить доступ к некоторым незашифрованным полям, предназначенным для информации о банковском счете, номеров социального страхования, логинам пользователей или паролям.

В большинстве случаев поля, предназначенные для конфиденциальной информации, были зашифрованы и недоступны», — сообщили представители компании. Данные слова являются полной противоположностью предыдущим заявлениям, сделанным через два месяца после взлома.

«Киберпреступники не имели доступа к информации о кредитных картах, о банковских счетах или номерах социального страхования. Поскольку защита данных наших клиентов является нашим главным приоритетом, мы оплатили требование киберпреступника, подтвердив, что удаленная копия была уничтожена», — заявили представители Blackbaud после взлома.

Облачная CRM-система компании используется преимущественно благотворительными организациями и организациями дополнительного образования, которые стремятся собрать подробную информацию о текущих и потенциальных будущих инвесторах.

Иранские хакеры активно эксплуатируют уязвимость ZeroLogon

Как сообщает компания Microsoft, иранская кибершпионская группировка MuddyWater (она же MERCURY, SeedWorm и TEMP.Zagros) в течение последних двух недель активно эксплуатирует в своих атаках уязвимость ZeroLogon (CVE-2020-1472).

«MSTIC (Microsoft Threat Intelligence Center) обнаружил активность финансируемой правительством группировки MERCURY, эксплуатирующей уязвимость CVE-2020-1472 (ZeroLogon) в активных кампаниях в течение последних двух недель. Мы настоятельно рекомендуем установить обновления», – сообщила Microsoft.

Группировка MuddyWater активна как минимум с мая 2017 года. Как правило, ее жертвами становятся телекоммуникационные компании, правительственные IT-сервисы и представители нефтяной промышленности в странах Среднего Востока и Азии.

Напомним, в прошлом месяце Microsoft уже публиковала предупреждение для системных администраторов об активной эксплуатации ZeroLogon в реальных атаках, убеждая их в необходимости установить исправляющие уязвимость августовские обновления безопасности.

ZeroLogon – уязвимость, существующая из-за ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью злоумышленник может повысить свои привилегии до администратора домена, захватить контроль над доменом, менять пароли пользователей и выполнять команды.

Поскольку патч для уязвимости может вызывать проблемы с аутентификацией, Microsoft решила выпустить его в два этапа.Первое исправление, выпущенное 11 августа, блокирует контроллеру домена Active Directory возможность использовать незащищенные RPC-соединения и регистрирует запросы аутентификации от устройств, не работающих под управлением Windows и не использующих безопасные каналы RPC (это позволяет администраторам исправить или заменить затронутые устройства).

Второй патч будет выпущен в рамках февральского «вторника исправлений». Он введет принудительный режим, требующий от всех сетевых устройств использовать безопасные каналы RPC, за исключением устройств, получивших от администраторов соответствующие разрешения.

В конце прошлого месяца Microsoft разъяснила администраторам порядок исправления уязвимости ZeroLogon.

Кибервымогатели требуют от компаний деньги и угрожают DDoS-атаками

Компании по всему миру получают электронные письма с требованием выкупа и угрозами обрушить на их компьютерные сети DDoS-атаки, если деньги не будут уплачены. В частности, такое письмо также получила британская валютная компания Travelex.

По словам специалистов ИБ-компании Radware, в середине августа такие письма с угрозами получили несколько компаний.Вымогатели требовали 20 биткойнов (порядка $230 тыс.), которые должны быть выплачены в течение недели, в противном случае они угрожали обрушить на компьютерные сети DDoS-атаку. Кроме того, они обещали увеличивать сумму выкупа на 10 биткойнов за каждый день неуплаты.

Пик рассылки вымогательских писем пришелся на август, однако в первой половине сентября их количество стало уменьшаться.Тем не менее, в конце сентября – начале октября число вымогательских писем снова стало расти.

Злоумышленники выдают себя за известные APT-группы, такие как Fancy Bear, Armada Collective и Lazarus. За какую APT себя выдавать, злоумышленники решают в зависимости от того, какую организацию они атакуют. Если мишенью является финансовая организация, вымогатели называю себя Lazarus (так было в случае с Travelex), а если атака нацелена на технологическое или промышленное предприятие, - то Fancy Bear.

Как сообщают специалисты Intel471, вымогательское письмо получила компания Travelex. Злоумышленники потребовали от нее 20 биткойнов. Судя по биткойн-кошельку, на который жертва должна была перевести деньги, Travelex не заплатила выкуп.

По словам исследователей, через некоторое время после получения компанией электронного письма на ее сети обрушилась мощная атака на настраиваемый порт из четырех IP-адресов, обслуживающих ее поддомены. Спустя два дня злоумышленники осуществили на Travelex еще одну атаку с применением техник усиления DNS, используя DNS-серверы Google.