Обзор инцидентов безопасности за период с 3 по 9 декабря 2018 года
Коротко о главных событиях прошедшей недели.
В начале минувшей недели администрация форума вопросов и ответов Quora сообщила о компрометации данных порядка 100 млн пользователей сервиса в результате кибератаки. В руках злоумышленников могла оказаться информация, включающая имена, адреса электронной почты, хеши паролей, сведения из соцсетей, если пользователи синхронизировали свои ученые записи с Quora, публичный контент и данные об активности (вопросы, ответы, комментарии, оценки ответов), закрытый контент и личные сообщения. Незащищенные серверы MongoDB продолжают оставаться источниками крупных утечек данных. В частности, исследователь Боб Дяченко обнаружил один из таких серверов, где хранились данные более 66 млн пользователей, предположительно собранные из профилей в LinkedIn. Информация включала в том числе полные мена, личные или рабочие адреса электронной почты, номера телефонов, сведения о профессиональных навыках и предыдущих местах работы и пр.
Утечку данных также допустила компания Bethesda – некоторые пользователи могли получить доступ к системе поддержки на сайте компании, где отображалась персональная информация других игроков, включая логины, имена, контактные данные и информацию о подтверждении покупки.
По Китаю стремительно распространяется новый вид вымогательского ПО, всего за четыре дня успевшего инфицировать более 100 тыс. компьютеров. В отличие от остальных шифровальщиков новый вредонос требует выкуп не в биткойнах, а в юанях (110 юаней, примерно $16), которые жертва должна перечислить через платежный сервис WeChat Pay.
На минувшей неделе компания Adobe выпустила внеплановый патч, устраняющий опасную уязвимость в Flash Player, использовавшуюся в атаке на одну из российских правительственных клиник. Специалистам пока не удалось выяснить, кто стоит за кампанией, получившей название «Operation Poison Needles». Учитывая ее направленность и осторожность организаторов, исследователи полагают, что целью злоумышленников являются высокопоставленные лица.
Специалисты компании Netscout обнаружили направленную на университеты фишинговую кампанию, организованную киберпреступной группировкой, которая судя по некоторым признакам связана с властями Северной Кореи. Особенностью операции «Stolen Pencil» является использование вредоносного расширения для Google Chrome – данная тактика распространена среди обычных злоумышленников, но практически не применяется правительственными хакерами.
Еще об одной любопытной кампании сообщили аналитики Defiant. В рамках операции злоумышленники используют ботнет из сайтов на WordPress для атак на другие ресурсы под управлением данной CMS. Для взлома сайтов операторы ботнета используют перебор по словарю, а управление осуществляется с помощью четырех C&C-серверов, передающих инструкции через сеть из более чем 14 тыс. прокси-серверов, арендованных на best-proxies[.]ru, которые затем отправляют информацию скриптам на уже зараженных сайтах.