ConnectWise ScreenConnect Атаки
През февруари ConnectWise оповести, че са открити две уязвимости, които засягат инструмента ScreenConnect, като засягат MSP, които използват ScreenConnect както на място, така и в облака. Впоследствие Mandiant установи „масово използване“ на уязвимостите от различни заплахи. „Много от тях ще разгърнат ransomware и ще извършват многостранно изнудване“, се посочва в публикация на уебсайта на Mandiant.
ConnectWise заяви, че бързо е „разпознала повишения риск от експлоатация при всяко забавяне на кръпките“ и е „приложила допълнителни превантивни мерки“, преди да пусне кръпките в рамките на няколко дни след разкриването. CISA издаде известие, че партньорите и крайните клиенти на ConnectWise трябва да изтеглят кабела на всички локални сървъри ScreenConnect, ако не са могли да се актуализират до най-новата версия в условията на атаки.
Пробив на XZ Utils
През март Red Hat и CISA предупредиха, че двете последни версии на XZ Utils, широко използван набор от инструменти и библиотеки за компресиране на данни в дистрибуциите на Linux, са били компрометирани. Въпреки това хакерската атака по веригата за доставка на софтуер – описана от множество експерти като „кошмарен сценарий“ – беше открита от инженер на Microsoft, преди компрометираният софтуер да бъде разпространен широко.
Както е разкрито от първоначалния поддържащ проекта XZ Utils, за вмъкването на зловредния код е бил отговорен сътрудник на XZ Utils.
Инженерът на Microsoft Андрес Фройнд заяви в публикация, че е открил уязвимостта, след като е забелязал „странно“ поведение в инсталациите на Debian, популярна дистрибуция на Linux – включително това, че влизането в системата е отнемало повече време и е използвало повече процесор от обикновено. Изследователите по сигурността отдават дължимото на Фройнд за това, че е положил допълнителни усилия, за да открие проблема, като в крайна сметка е разкрил задната врата в софтуера.
Нарушение в AT&T
През март AT&T съобщи, че разследва възможно нарушение на сигурността на данните, след като в тъмната мрежа бяха открити лични данни на над 70 милиона настоящи и бивши клиенти. Телекомуникационният гигант заяви, че е установил, че „специфични за AT&T полета с данни се съдържат в набор от данни, публикувани в тъмната мрежа преди около две седмици“. Въз основа на предварителен анализ компанията заяви, че наборът от данни изглежда е от 2019 г. или по-рано и засяга приблизително 7,6 милиона настоящи притежатели на акаунти в AT&T и приблизително 65,4 милиона бивши притежатели на акаунти. Компанията заяви, че откритите данни включват лична информация, като например номера на социални осигуровки.
Атака с рансъмуер срещу Ascension
Ascension, здравна система със 140 болници и операции в 19 щата и Вашингтон, окръг Колумбия, заяви през май, че клиничните ѝ операции са били нарушени, след като е била засегната от атака с рансъмуер. Католическата здравна система с нестопанска цел заяви, че на 8 май „открихме необичайна активност в избрани технологични мрежови системи“.
Атаката през май, която започнала, когато служител по невнимание изтеглил зловреден софтуер, принуди Ascension да пренасочи спешната помощ от някои от своите болници.
По-късно Ascension потвърди, че при атаката вероятно са били откраднати данни, включително здравни данни, принадлежащи на пациенти. „Сега разполагаме с доказателства, които показват, че нападателите са успели да вземат файлове от малък брой файлови сървъри, използвани от нашите сътрудници предимно за ежедневни и рутинни задачи“, заяви здравната система.
Атака срещу клиентите на Snowflake
Според изследователи от Mandiant през юни широко разпространени атаки, насочени към клиенти на Snowflake, са довели до „значителен“ обем откраднати данни и до над 100 клиенти, за които е известно, че са потенциално засегнати.
Neiman Marcus Group е сред последните, които се присъединиха към списъка на жертвите на атаките Snowflake, като сред другите засегнати компании са Ticketmaster, Santander Bank, Pure Storage и Advance Auto Parts. Смята се, че вълната от атаки за кражба на данни използва откраднати пароли.
Киберпрестъпна група е „заподозряна, че е откраднала значителен обем записи от клиентски среди на Snowflake“, твърдят изследователи от Mandiant. Засегнатите акаунти не са били конфигурирани с MFA (многофакторно удостоверяване), потвърдиха изследователите от Mandiant.
В своята консултация Snowflake заяви, че „разработва план, с който да изиска от нашите клиенти да приложат усъвършенствани мерки за контрол на сигурността, като например многофакторна автентикация (MFA) или мрежови политики“.
Глобална атака срещу CDK
CDK, доставчик на софтуер, използван от 15 000 дилърски центрове, изключи повечето от системите си, след като на 18 и 19 юни бяха извършени две кибератаки. Компанията предоставя SaaS-базирани CRM, заплати, финанси и други ключови функции за дилърските центрове. В записано съобщение за клиентите, компанията посочи, че смущенията от атаките продължават да оказват влияние върху тях, въпреки че CDK заяви, че „каналите ѝ за обслужване на клиенти отдавна са в действие“.
Компанията съобщи, че е включила отново „един от нашите големи публични дилъри“ към основната си система за управление на дилъри (DMS), като заедно с това е възстановила достъпа до DMS за втора „малка група“ дилъри. CDK заяви, че първата малка група е била възстановена в системата DMS почти веднага.
Докато CDK работеше по възстановяването от първата атака на 18 юни, компанията заяви, че е била засегната от втора атака на следващия ден. „Късно вечерта на 19 юни преживяхме допълнителен киберинцидент и превантивно изключихме повечето от нашите системи“, се казва в предишно изявление на CDK, предоставено на CRN. Изключването на системата доведе до прекъсване на работата, което сериозно засегна хиляди автокъщи.
CDK отказа да коментира медийните съобщения, в които се посочва, че компанията е планирала да извърши плащане на откуп, уж на стойност десетки милиони долари, с цел по-бързо възстановяване на системите си.
Автор: Кайл Алспах, старши редактор в CRN
