Обзор инцидентов безопасности за период с 3 по 9 июня 2019 года
Коротко о главных событиях минувшей недели.
На прошедшей неделе одним из наиболее обсуждаемых в Рунете событий стало сообщение о требовании Федеральной службы безопасности РФ к компании «Яндекс» передать ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск». В «Яндексе» такие действия назвали неправомерными, однако позже сообщили, что достигли соглашения с ФСБ по ключам шифрования.
Злоумышленники взломали криптовалютный сервис GateHub и вывели из кошельков пользователей 23,2 млн монет Ripple (XRP) на сумму прядка $9,5 млн. Атака началась 1 июня, в общей сложности преступники использовали 12 адресов и взломали 80-90 кошельков пользователей. Как именно злоумышленникам удалось осуществить атаку, пока выяснить не удалось.
Разработчик криптовалютного кошелька Agama компания Komodo решила защитить своих пользователей от хакеров довольно странным способом. Компания сама взломала их кошельки и перевела хранящуюся в них криптовалюту (8 млн KMD и 96 биткойнов) на собственный кошелек. Причиной такого решения стало известие о том, что используемая в Agama сторонняя JavaScript-библиотека содержит бэкдор, предназначенный для хищения ключей шифрования и парольных фраз.
Специалисты обнаружили новую кампанию по добыче криптовалюты Monero, нацеленную на web-серверы, сетевые и съемные накопители. Для незаметного заражения устройств операторы кампании BlackSquid используют 8 эксплоитов для различных уязвимостей, в том числе утекший инструмент EternalBlue из арсенала Агентства национальной безопасности США, а также ряд эксплоитов для багов в ПО Rejetto HFS, Apache Tomcat, Windows Shell и нескольких версиях фреймворка ThinkPHP.
В Сети замечен новый ботнет, нацеленный на плохо защищенные устройства на базе Windows с активным подключением по RDP. В настоящее время в списке целей ботнета, получившего название GoldBrute, числится более 1,5 млн систем, к которым он периодически пытается получить доступ с помощью брутфорса или атак с подстановкой учетных данных. Наибольшее число атакованных систем приходится на Южную Корею, Китай, Тайвань, США и Великобританию.
Некто под псевдонимом Achilles продает на киберпреступных форумах доступ к внутренним сетям целого ряда организаций, в том числе ЮНИСЕФ, Symantec и Comodo. В зависимости от организации стоимость доступа составляет от $2 тыс. до $5 тыс.
В Сети в открытом доступе опубликован инструмент для взлома учетных записей пользователей Microsoft Exchange, которым предположительно пользуется киберпреступная группировка OilRig, связываемая ИБ-экспертами с правительством Ирана. Инструмент под названием Jason появился на Telegram-канале в начале прошедшей недели. По словам владельца канала, утилитой пользуется правительство Ирана для «взлома электронной почты и кражи информации».