Обзор атак программ-вымогателей и связанных с ними инцидентов безопасности за прошедшую неделю (9-15 января)
Предлагаем ознакомиться с небольшим обзором атак программ-вымогателей и инцидентов безопасности, связанных с ними. В центре внимания: Dharma, Stop Ransomware, VoidCrypt, Xorist, Lorenz, CISA, Microsoft Exchange, Royal Mail, Vice Society, Cuba Ransomware, LockBit, Rapid7, Hive.
Эксперты по кибербезопасности сообщили о выявлении новых вариантов известных программ-вымогателей Dharma, Stop Ransomware, VoidCrypt, Xorist.
ИБ-специалисты консалтинговой компании S-RM заявили, что операторы программы-вымогателя Lorenz оставляют бэкдоры в скомпрометированных сетях, чтобы использовать их через несколько месяцев.
Агентство по безопасности инфраструктуры и кибербезопасности CISA (США) потребовало от американских госструктур срочно исправить уязвимость Microsoft Exchange (CVE-2022-41080), которая используется бандами хакеров-вымогателей. В частности, хакеры из группировки вымогателей Play эксплуатируют эту уязвимости в своих атаках.
Крупнейший британский почтовый оператор Royal Mail сообщил о приостановке международных перевозок из-за атаки программы-вымогателя. Отмечается, что инцидент привел к «серьезному сбою в обслуживании». В отдельном заявлении Royal Mail говорится, что доставка отдельных отправлений может задерживаться.
Хакерская группа вымогателей Vice Society заявила о проведении успешной атаки на внутреннюю IT-инфраструктуру Австралийской государственной пожарной службы штата Виктория. В результате инцидента произошла утечка конфиденциальной информации.
В корпорации Microsoft сообщили, что операторы вымогательского ПО Cuba Ransomware взламывают серверы Exchange через эксплуатацию уязвимости OWASSRF (CVE-2022-41080). По информации Microsoft, банда вымогателей Play использует эту уязвимость с конца ноября 2022 года.
Кибератака на крупнейшую в Великобритании службу доставки почты Royal Mail связана с действиями программы-вымогателя LockBit. Хотя руководство Royal Mail не предоставило каких-либо подробностей о кибератаке, оно сообщило, что работает с внешними экспертами по кибербезопасности и уже уведомило регулирующие органы Великобритании и правоохранительные органы.
Эксперты из Rapid7 сообщили, что операторы программы-вымогателя Hive в ходе атак отключают средства защиты жертв, запрещают мониторинг сети, предоставляют вымогательскому ПО время для завершения шифрования файлов.
Источник: cisoclub.ru