Търсене
Close this search box.

Най-големите кибератаки и нарушения на сигурността

Ако темпото на големите кибератаки през първата половина на 2024 г. е изглеждало непрестанно, това вероятно е така, защото е било така: През първите шест месеца на годината организациите станаха жертва на серия от атаки с цел получаване на откуп, както и на пробиви в данните, насочени към кражба и изнудване.

И макар че през последните години се наблюдаваше засилване на кибератаките, като цяло те пощадиха широката общественост от значителни смущения – нещо, което досега се оказа, че не е така през 2024 г.

Например февруарската атака с рансъмуер срещу процесора за обработка на рецепти Change Healthcare, собственост на UnitedHealth, предизвика масивни смущения в системата на здравеопазването в САЩ в продължение на седмици – не позволи на много аптеки и болници да обработват искове и да получават плащания. След това през май здравната система Ascension беше засегната от атака с рансъмуер, която я принуди да пренасочи спешната помощ от някои от своите болници.

Неотдавна производителят на софтуер CDK Global стана жертва на унищожителна атака с рансъмуер, която наруши работата на хиляди автокъщи, разчитащи на платформата на компанията.

Атаките повдигнаха въпроси дали заплахите умишлено се насочват към компании, чиито пациенти и клиенти биха били сериозно засегнати от смущенията, за да окажат по-голям натиск върху организациите за плащане на откуп. Ако това е така, тактиката изглежда работи, тъй като UnitedHealth плати 22 млн. долара откуп на рускоговоряща киберпрестъпна група, извършила атаката срещу Change Healthcare, а CDK Global според съобщенията също е планирала да плати искания от нападателите откуп.

Не е сигурно обаче, че това е била стратегията на нападателите, казва Марк Ланс, вицепрезидент за DFIR и разузнаване на заплахите в GuidePoint Security, № 39 в класацията на CRN Solution Provider 500 за 2024 г.

„Дали смятам, че това е било непряко или е имало намерение да се окаже въздействие върху всички тези видове доставчици надолу по веригата? Никога не се знае“, казва Ланс. Когато става въпрос за групи, занимаващи се с рансъмуер, „в много случаи те може дори да не осъзнават нивото на въздействие, което косвено [атаката] ще окаже върху доставчиците надолу по веригата или услугите“.

Все пак, каза той, не може да се изключи напълно, че нападателите „може да използват това като възможност да се възползват от [смущенията] и да се уверят, че ще им бъде платено“. И ако продължат да се случват атаки с масово нарушаване на сигурността като тези, които сочат към „ясно изразена тенденция“, това ще представлява забележителна промяна в тактиката на нападателите, като се има предвид, че  заплахите обикновено избягват атаки, които биха ги поставили в центъра на вниманието на правителството и правоприлагащите органи, отбеляза Ланс.

Други кибератаки с висок профил през първата половина на 2024 г. включват широко разпространеното компрометиране на VPN услуги на Ivanti и пробива в акаунти на изпълнителни директори на Microsoft – и двата случая са засегнали правителствени агенции на САЩ, както и широко разпространени атаки за кражба на данни, насочени към клиенти на Snowflake.

Следват подробностите, които събрахме за 10-те големи кибератаки и нарушения на сигурността на данните през първата половина на 2024 г. Избрахме този сравнително отдалечен период, тъй като атаките са приключили и можем да направим равносметка за тяхната сила, интензитет и до какви последствия са довели.

Атаки на Ivanti VPN

Широко използваните Connect Secure VPN мрежи на Ivanti станаха обект на масова експлоатация от страна на  заплахи след разкриването през януари на две уязвимости от нулев ден с висока степен на опасност в системите. Изследователите твърдят, че по време на атаките са били компрометирани хиляди VPN устройства на Ivanti, като списъкът на жертвите включва Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA). Сред другите жертви е Mitre, основен доставчик на научноизследователска и развойна дейност, финансирана от федералните власти, и популяризатор на рамка за кибератаки, която се е превърнала в повсеместна в индустрията за сигурност.

Макар че в крайна сметка бяха разкрити няколко допълнителни уязвимости, изследователите от Mandiant, собственост на Google Cloud, съобщиха, че при двете оригинални уязвимости на Ivanti VPN е наблюдавана „широка експлоатационна дейност“ от свързана с Китай група за заплахи, проследена като UNC5221, както и от „други некатегоризирани групи за заплахи“. Атаките на UNC5221 – „заподозрян колектив за шпионски заплахи, свързан с Китай“ – са започнали още на 3 декември, твърдят изследователите от Mandiant.

Атаките накараха CISA да издаде спешна заповед до гражданските агенции на изпълнителната власт, изискваща необичайната мярка да изключат своите Ivanti Connect Secure VPN в рамките на 48 часа. Ivanti пусна първата кръпка за някои версии на своя Connect Secure VPN софтуер на 31 януари, три седмици след първоначалното разкриване на уязвимостта. „В този случай приоритизирахме издаването на смекчаващи мерки, докато се разработваха пачове, в съответствие с най-добрите практики в индустрията“, заяви Ivanti в изявление, предоставено пред CRN.

Нарушение на акаунтите на изпълнителните директори на Microsoft

През януари Microsoft разкри, че заплаха, свързана с Русия, е успяла да открадне имейли на членове на висшия ръководен екип на компанията, както и на служители от екипите по киберсигурност и правни въпроси. Технологичният гигант приписва атаката на група, която проследява като Midnight Blizzard, която преди това е била свързвана от правителството на САЩ с руското звено за външно разузнаване SVR и обвинявана за атаки, включително широко разпространения пробив в SolarWinds през 2020 г.

Клиентите, за които е известно, че са били засегнати при инцидента, включват множество федерални агенции, потвърди CISA. Чрез компрометирането на корпоративни имейл акаунти на Microsoft Midnight Blizzard е „ексфилтрирал имейл кореспонденция между федерални агенции от гражданската изпълнителна власт (FCEB) и Microsoft“, заяви CISA в спешна директива.

През юни Microsoft потвърди, че е изпратила още известия на клиентите, засегнати от компрометирането, които са били уведомени, че имейлите им са били прегледани. „Това е повишена подробност за клиентите, които вече са били уведомени, а също така включва и нови известия“, се казва в изявление на компанията.

При нарушението, за което се смята, че е започнало през ноември 2023 г., хакерите първоначално са получили достъп, като са се възползвали от липсата на MFA (многофакторно удостоверяване) в „наследен“ акаунт, заявиха от Microsoft.

Атаки срещу маршрутизатори за малки офиси/домашни офиси (SOHO)

През февруари ФБР съобщи, че е установено, че свързана с Китай група за заплахи е превзела „стотици“ маршрутизатори за малки офиси/домашни офиси (SOHO), базирани в САЩ, като част от кампания за компрометиране на доставчиците на критична инфраструктура на САЩ. ФБР заяви, че е успяло да прекъсне усилията на групата, известна като Volt Typhoon, която е подкрепяна от китайското правителство. Сред целите на атаките на Volt Typhoon са били доставчици на критични услуги, включително комуникации, енергетика, водоснабдяване и транспорт, съобщи ФБР.

Компрометираните от групата маршрутизатори заедно образуват съвкупност от заразени със зловреден софтуер устройства, известна като ботнет, която групата за заплахи може да използва за извършване на атака срещу критичната инфраструктура на САЩ, заяви ФБР.

По-късно през февруари ФБР съобщи, че е прекъснало широкомащабна кампания на хакери, свързани с Русия, която е компрометирала „стотици“ SOHO рутери. Според ФБР атаките са били приписани на руската разузнавателна агенция ГРУ, която също се е опитвала да използва превзетите рутери като ботнет за целите на шпионажа.

Атаката срещу Change Healthcare

Разкрита за пръв път на 22 февруари, атаката Change Healthcare предизвика масови смущения в системата на здравеопазването в САЩ в продължение на седмици. Изключването на ИТ системата, започнало в отговор на атаката с рансъмуер, попречи на много аптеки и болници, както и на други здравни заведения и офиси, да обработват искове и да получават плащания.

Отговорност за атаката с рансъмуер пое рускоговорящата киберпрестъпна група, известна с имената Blackcat и Alphv. Главният изпълнителен директор на UnitedHealth Group ,Андрю Уити, потвърди в показанията си пред Конгреса през май, че UnitedHealth е платила откуп в размер на 22 млн. долара след атаката.

Впоследствие друга киберпрестъпна група, известна като RansomHub, публикува данни, за които твърди, че са откраднати от Change Healthcare. В края на април UnitedHealth заяви, че данни, принадлежащи на „значителна част“ от американците, може да са били откраднати при атаката срещу обработчика на рецепти Change Healthcare, подразделение на дъщерното дружество на застрахователя Optum. По време на изслушването в Камарата на представителите на САЩ на 1 май Андрю Уити заяви, че „може би една трета“ от всички американци са били засегнати от атаката.

През юни Change Healthcare разкри, че сега смята, че при атаката са били изложени на риск чувствителни медицински данни на пациенти. Медицинските данни, откраднати по време на атаката, може да са включвали „диагнози, лекарства, резултати от тестове, изображения, грижи и лечение“, според уведомлението за нарушаване на сигурността на данните, публикувано от Change Healthcare.

Автор: Кайл Алспах, старши редактор в CRN

(следва продължение)

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
12/12/2024

Пионерът в симетричната кри...

Бъдещето, в което се използват квантови...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!