Прошедший год не обошелся без новой порции угроз для специалистов кибербезопасности, но были и старые «друзья» — фишинг, взломы и атаки программ-вымогателей.
Хотя хакеры часто полагались на старые приемы, такие как фишинговые атаки и атаки программ-вымогателей, они все же находили новые злобные варианты для подрыва защиты.
Если судить по первым годам 2020-х, то область цифровой безопасности в 2023 году будет ещё более причудливой и непредсказуемой. Будьте бдительны и оставайтесь в безопасности. Чтобы системы были защищены, а инфраструктура в порядке, запишитесь на аудит здесь. А пока давайте погрузимся в ретроспективу прошлого года.
Twilio и фишинговый поток 0ktapus
Летом группа исследователей под названием 0ktapus (также иногда известная как Scatter Swine) предприняла масштабную фишинговую махинацию, скомпрометировав почти 10 000 учетных записей в более чем 130 организациях. Большинство учреждений-жертв находились в США, но были десятки и в других странах. Хакеры отправляли жертвам текстовые сообщения с вредоносными ссылками, которые вели к поддельным страницам аутентификации для платформы Okta, которая используется как инструмент единого входа на другие сервисы. Цель хакеров состояла в том, чтобы украсть учетные данные Okta и коды двухфакторной аутентификации.
Одной из пострадавших компаний была коммуникационная фирма Twilio. Её взлом затронул 163 организации (казалось бы, всего 0,06% ее клиентов), но конфиденциальные сервисы, такие как приложение для безопасного обмена сообщениями Signal, приложение для двухфакторной аутентификации Authy и аутентификационная фирма Okta, оказались в этом сегменте и стали вторичными жертвами взлома. Так злоумышленникам удалось получить учетные записи некоторых клиентов Twilio.
Инцидент подчеркивает истинную силу и угрозу фишинга, когда атака спланирована, а цели стратегически выбраны. После всего этого Twilio написал: «Мы очень разочарованы и расстроены этим инцидентом». Ну да, зачем работать над безопасностью, если можно просто извиниться…
Программы-вымогатели по-прежнему поражают самые уязвимые цели
Индустрия кибербезопасности все больше внимания уделяет противодействию атакам программ-вымогателей. Несмотря на некоторый прогресс, в 2022 году хакеры продолжали атаковать уязвимые и жизненно важные социальные учреждения, включая больницы и школы. Например, русскоязычная группа Vice Society долгое время специализировалась на обеих категориях и в этом году сосредоточила свои атаки на секторе образования.
Была особенно запоминающаяся стычка с Объединенным школьным округом Лос-Анджелеса (LAUSD), в которой пострадавшая сторона отказалась платить злоумышленникам, даже когда ее сети вышли из строя. LAUSD был высококлассной мишенью, и Vice Society, возможно, откусила больше, чем могла проглотить.
Агентство США по кибербезопасности, ФБР и Министерство здравоохранения и социальных служб опубликовали совместное предупреждение о группе вымогателей и производителе вредоносных программ HIVE. Агентства заявили, что их программа-вымогатель использовалась для нападения на более 1300 организаций по всему миру, в результате чего жертвы заплатили около 100 миллионов долларов выкупа. Нехило, да? Пострадали государственные учреждения, связь, стратегическое производство, IT и особенно здравоохранение.
Буйство Lapsus$ продолжается
В начале 2022 года банда цифровых вымогателей Lapsus$ активно вела хакерские атаки, похищая исходный код и другую конфиденциальную информацию у таких компаний, как Nvidia, Samsung, Ubisoft и Microsoft — затем они сливали её в попытках вымогательства. У Lapsus$ зловещий талант к фишингу, и в марте он скомпрометировал подрядчика с доступом к службе аутентификации Okta.
Несмотря на аресты участников Lapsus$, группа вернулась к жизни, безжалостно взламывая платформу Uber и Rockstar, разработчик Grand Theft Auto. Примечательно в этой истории то, что полиция Великобритании сообщила об аресте 17-летнего подростка, который, внимание, уже был арестован ранее по той же статье…
LastPass
Об этом инциденте мы уже писали в нашем Telegram-канале ранее. Здесь же опишем его вкратце. Осажденный менеджер паролей LastPass, который неоднократно сталкивался с утечками данных на протяжении многих лет, в конце декабря заявил, что хакеры нацелились на сотрудника LastPass, чтобы скомпрометировать учетные данные и ключи облачного хранилища. Затем злоумышленники использовали этот доступ для кражи зашифрованных хранилищ паролей некоторых пользователей и других конфиденциальных данных. Кроме того, были украдены некоторые исходные коды и техническая информация.
Генеральный директор LastPass заявил в своем блоге, что в более поздних атаках хакеры скомпрометировали копию резервной копии, которая содержала хранилища паролей клиентов. Неясно, когда была сделана эта резервная копия. Данные хранятся в «уникальном двоичном формате» и содержат как незашифрованные данные, такие как URL-адреса, так и зашифрованные — имена пользователей и пароли, адреса электронной почты, номера телефонов и некоторую платежную информацию.
Даже если шифрование хранилища LastPass надежно, хакеры попытаются проникнуть в кладезь паролей вновь, пытаясь угадать мастер-пароли, которые пользователи устанавливают для защиты своих данных. Такие вот приколы вместо старой-доброй двухфакторной аутентификации.
Вануату и Коста-Рика
А здесь речь о целой стране. В начале ноября островное государство Вануату в Тихом океане подверглось кибератаке, которая вывела из строя практически все цифровые сервисы правительства. Агентствам страны пришлось перейти к бумажной работе, потому что системы экстренной помощи, медицинские записи, регистрации транспортных средств, базы данных водительских прав и налоговые системы были отключены.
Лишь через месяц после атаки правительство заявило, что системы были восстановлены — и то только на 70%, а это означает, что сбои продолжаются. Всё это похоже на атаку программы-вымогателя, но правительство не предоставило подробностей о взломе или о том, кто мог за этим стоять.
Программы-вымогатели представляют серьезную угрозу для государственной инфраструктуры по всему миру. Ранее в этом году банда вымогателей Conti нанесла удар по правительству Коста-Рики, парализовав страну и особенно ее системы импорта/экспорта на несколько месяцев, что привело к крупным финансовым потерям в условиях хаоса повседневных операций.
И, конечно же, Twitter
Twitter уже несколько месяцев находится в состоянии хаоса после покупки компании Илоном Маском. Среди суматохи появились сообщения о массиве данных в 5,4 миллиона пользователей Twitter, которые циркулируют на криминальных форумах как минимум с июля, если не ранее. Данные были украдены через уязвимости в API. Многие данные, конечно, можно получить и без всякого взлома — например, имена, идентификаторы Twitter, местоположение являются общедоступными. Однако собранные данные в одном месте по-прежнему ценны для злоумышленников. А тут так вообще — хакеры получили доступ к адресам электронной почты и номерам телефонов.
Некоторые исследователи обнаружили доказательства еще более крупной коллекции из 17 миллионов записей, украденных с использованием той же уязвимости API.
Когда Маск начал пересобирать Twitter по кусочкам, новые конкуренты, такие как Mastodon, получили массовый приток новых регистраций, что вызвало сбои в работе и падение серверов. Желание масштабироваться сыграло с ними злую шутку. У конкурирующего сервиса Hive Social были еще более серьезные проблемы. Исследователи обнаружили уязвимости в системе безопасности, из-за которых были раскрыты все данные, хранящиеся в учетных записях пользователей — и компания решила закрыться, чтобы справиться с последствиями.
Уязвимости и нестабильность ПО даже у таких гигантов влияют не только на репутацию, но и на весь бизнес.
Если вы хотите довериться профессионалам, то приходите к нам за помощью — мы создаём высокопроизводительные системы, повышаем стабильность существующего программного обеспечения, отслеживаем бизнес-метрики и улучшаем системы мониторинга, а также обеспечиваем техническую поддержку в режиме 24/7