­­­­

(23 февраля 2021 г.) 

Финский поставщик ИТ-услуг TietoEVRY был вынужден отключить обслуживание 25 клиентов после того, как его сеть была атакована программой-вымогателем. TietoEVRY связался с властями и расследует инцидент 

Примечание.

 Данная компания выпустила очень хороший релиз данного события, см. ниже 

Понедельник 22 - го февраля 2021 года TietoEVRY возникли технические проблемы в ряде услуг , которые мы предоставляем до 25 клиентов в розничной торговле, производстве и сервисных отраслей. Исследования показали, что причиной инцидента стала атака программы-вымогателя, и поэтому мы рассматриваем это как серьезное преступное деяние. 

Из-за программы-вымогателя затронутые инфраструктура и службы были отключены. Вместе с пострадавшими клиентами и нашими партнерами мы работаем над тем, чтобы восстановить операции в кратчайшие сроки. Все затронутые клиенты были проинформированы, и им регулярно сообщают о ходе работы.

TietoEVRY также поддерживает контакты с соответствующими местными властями, включая Норвежское управление национальной безопасности (NSM) и NorCert по этому поводу.

Требование выкупа является серьезным преступным деянием, поэтому мы сообщили об этом случае в полицию. Мы также рекомендуем нашим клиентам сделать то же самое.

«TietoEVRY очень серьезно относится к ситуации и делает все возможное, чтобы решить ее и как можно скорее восстановить затронутые услуги. Мы активировали расширенную команду с необходимыми возможностями и компетенциями и прилагаем все усилия, чтобы разрешить ситуацию», - говорит Кристиан Педерсен, управляющий партнер в TietoEVRY Норвегия.

Поскольку дело находится в стадии расследования, мы не можем комментировать ситуацию.

(17 и 19 февраля 2021 г.) 

 Операторы программ-вымогателей нацелились на платежную систему AFTS в Сиэтле и похитили файлы перед тем, как зашифровать ИТ-систему компании. Служба автоматического перевода средств (AFTS) используется правительственными учреждениями и другими организациями в США для обработки платежей и проверки адресов. Среди клиентов AFTS - Управление по делам транспорта Калифорнии и множество других муниципалитетов и агентств Калифорнии и Вашингтона. Департамент автотранспортных средств Калифорнии уведомил жителей о взломе. 

Примечание 

Нарушение нацелено на службу обработки платежей и проверки адресов AFTS, а не на системы DMV. Нарушенные данные могут включать имя, адрес, телефон, номерной знак, номера VIN, информацию о кредитной карте, отсканированные чеки и другие платежные данные. Банда Cuba Ransomware размещает данные для продажи на своем сайте утечки данных. Если покупатель не найден, ожидается, что он бесплатно предоставит его другим злоумышленникам. Чтобы минимизировать размер потенциальных утечек данных, пересмотрите свои политики хранения данных и активно удаляйте данные по достижении определенного возраста. 

(19 февраля 2021 г.) 

 Вредоносное ПО, нацеленное на macOS от Apple, было обнаружено на 30 000 компьютеров Mac, но неясно, что эта вредоносная программа, получившая название Silver Sparrow, должна делать. Раз в час зараженные машины проверяют управляющий сервер на наличие команд, но исследователи не обнаружили доказательств наличия полезной нагрузки. Есть две версии вредоносного ПО; один предназначен для компьютеров на базе x86, а второй - для компьютеров на базе x86 и M1. 

Примечание 

 Хотя цель еще не известна, то, что вредоносное ПО включает поддержку процессоров X86 и M1, а также платформу AWS C&C, указывает на намерение дальнейшего увеличения масштабирования, доступности и долговечности. Сертификаты разработчиков, используемые для подписи вредоносного ПО, были отозваны Apple, поэтому текущие пакеты нельзя установить в дополнительных системах. Отчет Red Canary включает в себя IOC и поведение, например, если существует пустой файл ~ / Library /._ ins, вредоносная программа удаляется сама 

(13 февраля 2021 г.) 

 Человеку из Флориды, работавшему в телефонной компании, предъявлены обвинения в том, что якобы он воспользовался своим доступом к данным клиентов для получения контроля над 19 телефонными номерами. Сообщник якобы заплатил Стивену Даниэлю ДеФьоре 2325 долларов за замену SIM-карт, принадлежащих клиентам. 

Примечание 

 Привилегированные инсайдеры продолжают вызывать беспокойство. Лучшее смягчение последствий - это управление конфиденциальными операциями с участием нескольких человек с мониторингом и управлением изменениями, где это необходимо. Даже в этом случае это должно быть связано с процессами управления рисками, чтобы определить и повторно оценить, какие действия определены как чувствительные операции. 

(12 февраля 2021 г.) 

 Несколько наборов учетных данных для системы водоочистных сооружений во Флориде, были обнаружены в пакете данных, размещенных в Интернете незадолго до взлома. Совместное предупреждение, выпущенное ФБР и Агентством кибербезопасности, содержит обзор инцидента и предлагает меры по устранению его последствий. 

Примечание 

 Совет по смягчению последствий - это простая и важная гигиена безопасности. «Что не делать» и «Что делать» так же хорошо известны как «похудеть, не есть так много и больше заниматься спортом», но способы преодоления препятствий к изменениям не сосредоточены на . Одна успешная стратегия, которая превращает контроль веса в гигиену безопасности: для начала сосредоточьтесь на одной важной вещи. Для контроля веса перестаньте пить газировку! В целях обеспечения безопасности прекратите разрешать удаленный доступ с повторно используемыми паролями. Сделайте это - затем попробуйте заменить жареные продукты (Windows 7 или старше) на жареные (Windows 10), купите весы (брандмауэр) и используйте их (положительная политика брандмауэра) и т. Д. Но сначала победите эту сладкую газировку (многоразовые пароли) привычка! 

(28 января и 11 февраля 2021 г.) 

 Поставщик облачных услуг Accellion прекратит использование своего продукта для обмена файлами FTA после ряда атак, в результате которых были скомпрометированы данные государственных учреждений и частных компаний в Австралии, Новой Зеландии, Сингапуре и США. Похоже, что злоумышленники используют SQL-инъекцию для установки веб-оболочки и оттуда воруют файлы, хранящиеся на устройстве FTA. В заявлении от 11 января Accellion отметила, что она узнала о проблеме в декабре 2020 года и «выпустила исправление в течение 72 часов для менее чем 50 затронутых клиентов». Совсем недавно Accellion объявила, что ее программное обеспечение FTA достигнет EOL 30 апреля 2021 года. 

 Примечание 

 Устройство FTA основано на Centos 6, срок эксплуатации которого истек в ноябре 2020 года. Если вы хотите и дальше использовать сервисы Accellion для передачи файлов, вам необходимо перейти на их облачный сервис Kiteworks. Kiteworks имеет умеренное разрешение FedRAMP. Accellion подслащивает горшок, предлагая услуги миграции существующим клиентам FTA. Я бы не стал катать собственный сервис передачи файлов, а предпочел бы использовать облачные решения, такие как OneDrive, Box, DropBox, Drop и Google Drive.

Сайт веб-хостинга решил прекратить работу после того, как «хакер успешно скомпрометировал все серверы, которые [они] используют для работы [своего] бизнеса». Сообщение, размещенное на его сайте, призывает клиентов загружать резервные копии своих веб-сайтов и баз данных через cPanel. Компания не сообщила подробностей об атаке. Однако TorrentFreak сообщил, что два других хостинговых сайта, оба из которых «предоставляют услуги IPTV для пиратских потоковых сайтов», недавно подверглись аналогичным атакам. 

Убедитесь, что у вас есть план восстановления, если ваш хостинг-провайдер потерпит катастрофический отказ. Убедитесь, что у вас не только включены резервные копии, но вы также знаете, как их извлекать и восстанавливать из резервных копий служб. Протестируйте эту возможность, прежде чем она вам понадобится, и проверьте процесс аварийного восстановления вашего поставщика. Стоимость резервного копирования будет меньше, чем стоимость восстановления с нуля

Мне действительно хотелось бы, чтобы в этом пункте говорилось: «Все клиенты веб-хостинговой компании, которые были полностью скомпрометированы злоумышленниками, отменили свои услуги, в результате чего веб-хостинговая компания вышла из бизнеса». Я не могу сказать, что знаю, как принимаются бизнес-решения на «пиратских сайтах потоковой передачи», но слишком часто облачные или другие услуги хостинга, переданные на аутсорсинг, выбираются по самой низкой ставке, а не по более высокому подходу, когда безопасность оценивается и не работает правило принятия решения.

Национальное агентство по борьбе с преступностью работало вместе с федеральными властями и властями штата США над расследованием. Еще два человека были задержаны ранее на Мальте и в Бельгии. 

Примечание 

 Убедитесь, что у вашего оператора есть доступная защита, чтобы предотвратить замену SIM-карты. Если вы в последнее время не проверяли свой аккаунт, посетите его сейчас, чтобы узнать, есть ли дополнительные настройки, которые Вам нужны. Если SMS или телефонный звонок являются вторым фактором доступа к вашему кошельку с криптовалютой, подумайте о переключении на альтернативные механизмы второго фактора, не подверженные этой атаке.  

Атаки с заменой SIM-карты дороги, рискованны и плохо масштабируются. Отчасти они полагаются на желание операторов связи реагировать на сообщения пользователей о новых, потерянных или поврежденных телефонах. Тем не менее, те, кто полагается на свои мобильные телефоны для получения одноразовых паролей для дорогостоящих учетных записей, должны быть чувствительны к тому, чтобы не получать звонки или сообщения, которые они ожидают. Если ваш телефон "не работает", немедленно сообщите об этом оператору связи. Предпочитайте локальные генераторы паролей SMS для ценных учетных записей.  

(8 февраля 2021 г.) 

 В конце прошлого года пользователи Android начали сообщать, что реклама открывалась в их браузерах по умолчанию без видимой причины. Расследование показало, что источником рекламы было приложение для сканирования штрих-кода, которое уже много лет было доступно в Google Play. Похоже, что обновление сканера штрих-кода Lavabird Ltd. от 4 декабря 2020 г. сделало приложение вредоносным. Google удалил приложение из магазина. 

Примечание  

Обновление приложения включало обфусцированный вредоносный код, а не изменение SDK, которое изменило поведение рекламы. Хотя Google поднял планку для приложений Android, многие приложения не были проверены на предмет надлежащей безопасности / поведения. В этом случае приложение было удалено из Play Store, а не из Play Protect, поэтому оно не будет автоматически удалено на устройствах. Даже в этом случае рекомендуется разрешить использование только приложений из Play Store или корпоративного App Store. На Android ваш MDM также можно использовать для отключения или блокировки запрещенных или иным образом запрещенных приложений. 

IBM объявила о грантовой программе на сумму 3 миллиона долларов, чтобы помочь школьным округам США защитить свои системы от программ-вымогателей. IBM предоставит гранты в натуральной форме в размере 500 000 долларов США шести школьным округам, которые будут выбраны в процессе подачи заявок. Заявки открываются 4 февраля и закрываются 1 марта 2021 г. Команды из программы IBM Service Corps «помогут [выбранным учебным заведениям] активно подготовиться к кибератакам и отреагировать на них». 

Комментарии 

 Эти гранты могут оказаться полезными в связи с растущей зависимостью от сетевых сервисов для доставки учебного контента и без соответствующего увеличения инициатив в области кибербезопасности для обеспечения безопасности этих сервисов и онлайн-активности. Эти неденежные гранты включают группу из шести-десяти человек из программы IBM Service Corps, которая помогает разработать планы реагирования на инциденты и провести базовое обучение кибербезопасности, включая онлайн-гигиену и управление паролями.  

Безусловно, достойное усилие, но оно проливает свет на то, насколько дорого обходится эта проблема. В США 130 тысяч школьных округов. При цене 500 тысяч долларов за штуку «довольно скоро это составит реальные деньги