АВ-Трибуна. Новости, тесты и обзоры аудио, видео, цифровой техники и гаджетов.

Компания Cisco сформировала список самых значительных ИБ-атак, произошедших в течение уходящего года.

Похоже, что в 2021-м одна атака следовала за другой - от прекращения работы нефтепроводов и до не столь серьезной по своим последствиям полной утечки всех данных стриминговой платформы Twitch.

«Мы не можем предугадать, как поведут себя злоумышленники в 2022 году, но очевидно, что их цели будут становиться все масштабнее, а количество и доступность средств для взлома будет только расти, - говорит Михаил Кадер, заслуженный системный инженер Cisco. - Чтобы наступающий год не застал нас врасплох, стоит оглянуться и вспомнить основные инциденты безопасности года уходящего».

Январь

  • Хотя первая атака на цепочку поставок SolarWinds произошла в декабре 2020 г., ее последствия еще долго ощущались и в этом году.
  • Специалисты по кибербезопасности стали объектами атак. В числе получателей вредоносных ссылок и запросов в соцсетях от фальшивых аккаунтов оказались и аналитики Cisco Talos.

Февраль

  • Оператор платформы Lockbit, которая предоставляет программы-вымогатели в качестве услуги, предоставил ряд ценных сведений о положении дел в этой сфере и о том, как атакующие выбирают свои жертвы.
  • С появлением трояна Masslogger набирает популярность безфайловое вредоносное ПО. Этот троян ориентирован на кражу учетных данных из веб-браузеров.
  • В 2021 г. злоумышленники предпочитали работать на тех, кто больше заплатит. Первым признаком этого тренда стала деятельность группы Gamaredon.

Март

  • Пока подразделение Cisco Talos продолжало разбираться с SolarWinds, на первый план вышла группировка HAFNIUM, атаковавшая неустраненные уязвимости (уязвимости нулевого дня) сервера Microsoft Exchange.
  • Самой опасной из уязвимостей, выявленных в ходе этой кампании, оказалась ProxyLogon. Через нее атакующие могли пройти по цепочке и взять под свой контроль весь сервер.

Апрель

  • Несмотря на то, что вакцина от COVID-19 уже была широко доступна, признаков возвращения в офисы не наблюдалось. Общаясь между собой, некоторые сотрудники продолжали пользоваться такими приложениями для совместной работы, как Slack и Discord, но злоумышленники не дремали: доверенные серверы попадали под их контроль и распространяли вредоносное ПО.

Май

  • Вирус LemonDuck, впервые обнаруженный в 2020 г., получил дальнейшее развитие. Теперь он нацелился на серверы Exchange с упомянутыми выше уязвимостями и взял на вооружение фреймворк Cobalt Strike.
  • Выяснилось, что Gamaredon - лишь одна из группировок, старающихся оставаться в тени. Они стали именоваться каперами (Privateers).
  • Атаке вымогателя DarkSide подвергся крупнейший на Восточном побережье США трубопровод Colonial Pipeline. В ряде штатов насосные станции на несколько дней остались без газа, остальные подняли цены.

Июнь

  • Через несколько недель после атаки на трубопровод Colonial Pipeline группировка DarkSide ушла в тень, отключив свой платежный портал и сообщив о прекращении деятельности. Со временем она всплывет под именем BlackMatter.
  • JBS, крупный мировой производитель мясной продукции, подвергся кибератаке вымогателей и выплатил $11 млн. Хотя деятельность компании не прекращалась, это привело к панике среди американских потребителей и росту закупок мяса впрок.

Июль

  • Новый месяц, новые уязвимости Microsoft нулевого дня. В этот раз под прицелом атакующих оказалась уязвимость диспетчера печати Windows, получившая название PrintNightmare.
  • Национальный праздник США 4 июля стал выходным днем для всех, кроме специалистов по кибербезопасности, которым пришлось сразиться с очередной атакой на цепочку поставок. В этот раз целью злоумышленников стал провайдер управляемых услуг Kaseya, который инфицировал жертв вымогателем REvil.

Август

  • Снова обнаружена уязвимость PrintNightmare. В этот раз ею воспользовалась группировка вымогателей Vice Society. Специалисты Cisco Talos выявили множество организаций, пострадавших от этой атаки.
  • Выросла популярность приложений для совместного доступа в Интернет, и атакующие не преминули этим воспользоваться. Эти приложения дают возможность заработать небольшие деньги, «сдавая в аренду» часть своего канала, но, как обнаружили наши специалисты, немалую долю таких арендаторов составили злоумышленники.

Сентябрь

  • В результате атаки веб-сайт Amnesty International стал распространителем антивирусного ПО, якобы предназначенного для удаления с мобильных устройств шпиона Pegasus. Вместо этого происходила рассылка вредоносного ПО и кража информации.
  • Утечка данных группировки Conti стала продолжением истории о программах-вымогателях как услуге. Это позволило многое узнать о ее активности в частности и о таких группировках вообще.

Октябрь

  • Новый крупный игрок на поле спама — вредоносное ПО SQUIRRELWAFFLE. Это одно из самых изощренных и опасных изобретений уходящего года.

Ноябрь

  • Очередной набор необнаруженных уязвимостей: Microsoft предупреждает об атаках на установщик Windows Installer, в результате которых атакующий может получить привилегии администратора. Тем временем, уязвимости сервера Exchange продолжают эксплуатироваться, на этот раз вымогателем Babuk.
  • Американская полиция арестовала двух человек, предъявив обвинение в участии в атаке на цепочку поставок Kaseya в составе хакерской группировки REvil. За информацию, которая будет способствовать аресту лидера REvil, объявлена награда $10 млн.
  • После проведенного в начале года международного полицейского рейда на распространителей Emotet, ботнет снова подает признаки жизни.

Декабрь

  • Специалисты Talos выявили серию кампаний, проводимых группировкой, которую назвали Magnat. В ее арсенал входит фейковое расширение браузера Google Chrome.