Ако темпото на големите кибератаки през първата половина на 2024 г. е изглеждало непрестанно, това вероятно е така, защото е било така: През първите шест месеца на годината организациите станаха жертва на серия от атаки с цел получаване на откуп, както и на пробиви в данните, насочени към кражба и изнудване.
И макар че през последните години се наблюдаваше засилване на кибератаките, като цяло те пощадиха широката общественост от значителни смущения – нещо, което досега се оказа, че не е така през 2024 г.
Например февруарската атака с рансъмуер срещу процесора за обработка на рецепти Change Healthcare, собственост на UnitedHealth, предизвика масивни смущения в системата на здравеопазването в САЩ в продължение на седмици – не позволи на много аптеки и болници да обработват искове и да получават плащания. След това през май здравната система Ascension беше засегната от атака с рансъмуер, която я принуди да пренасочи спешната помощ от някои от своите болници.
Неотдавна производителят на софтуер CDK Global стана жертва на унищожителна атака с рансъмуер, която наруши работата на хиляди автокъщи, разчитащи на платформата на компанията.
Атаките повдигнаха въпроси дали заплахите умишлено се насочват към компании, чиито пациенти и клиенти биха били сериозно засегнати от смущенията, за да окажат по-голям натиск върху организациите за плащане на откуп. Ако това е така, тактиката изглежда работи, тъй като UnitedHealth плати 22 млн. долара откуп на рускоговоряща киберпрестъпна група, извършила атаката срещу Change Healthcare, а CDK Global според съобщенията също е планирала да плати искания от нападателите откуп.
Не е сигурно обаче, че това е била стратегията на нападателите, казва Марк Ланс, вицепрезидент за DFIR и разузнаване на заплахите в GuidePoint Security, № 39 в класацията на CRN Solution Provider 500 за 2024 г.
„Дали смятам, че това е било непряко или е имало намерение да се окаже въздействие върху всички тези видове доставчици надолу по веригата? Никога не се знае“, казва Ланс. Когато става въпрос за групи, занимаващи се с рансъмуер, „в много случаи те може дори да не осъзнават нивото на въздействие, което косвено [атаката] ще окаже върху доставчиците надолу по веригата или услугите“.
Все пак, каза той, не може да се изключи напълно, че нападателите „може да използват това като възможност да се възползват от [смущенията] и да се уверят, че ще им бъде платено“. И ако продължат да се случват атаки с масово нарушаване на сигурността като тези, които сочат към „ясно изразена тенденция“, това ще представлява забележителна промяна в тактиката на нападателите, като се има предвид, че заплахите обикновено избягват атаки, които биха ги поставили в центъра на вниманието на правителството и правоприлагащите органи, отбеляза Ланс.
Други кибератаки с висок профил през първата половина на 2024 г. включват широко разпространеното компрометиране на VPN услуги на Ivanti и пробива в акаунти на изпълнителни директори на Microsoft – и двата случая са засегнали правителствени агенции на САЩ, както и широко разпространени атаки за кражба на данни, насочени към клиенти на Snowflake.
Следват подробностите, които събрахме за 10-те големи кибератаки и нарушения на сигурността на данните през първата половина на 2024 г. Избрахме този сравнително отдалечен период, тъй като атаките са приключили и можем да направим равносметка за тяхната сила, интензитет и до какви последствия са довели.
Широко използваните Connect Secure VPN мрежи на Ivanti станаха обект на масова експлоатация от страна на заплахи след разкриването през януари на две уязвимости от нулев ден с висока степен на опасност в системите. Изследователите твърдят, че по време на атаките са били компрометирани хиляди VPN устройства на Ivanti, като списъкът на жертвите включва Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA). Сред другите жертви е Mitre, основен доставчик на научноизследователска и развойна дейност, финансирана от федералните власти, и популяризатор на рамка за кибератаки, която се е превърнала в повсеместна в индустрията за сигурност.
Макар че в крайна сметка бяха разкрити няколко допълнителни уязвимости, изследователите от Mandiant, собственост на Google Cloud, съобщиха, че при двете оригинални уязвимости на Ivanti VPN е наблюдавана „широка експлоатационна дейност“ от свързана с Китай група за заплахи, проследена като UNC5221, както и от „други некатегоризирани групи за заплахи“. Атаките на UNC5221 – „заподозрян колектив за шпионски заплахи, свързан с Китай“ – са започнали още на 3 декември, твърдят изследователите от Mandiant.
Атаките накараха CISA да издаде спешна заповед до гражданските агенции на изпълнителната власт, изискваща необичайната мярка да изключат своите Ivanti Connect Secure VPN в рамките на 48 часа. Ivanti пусна първата кръпка за някои версии на своя Connect Secure VPN софтуер на 31 януари, три седмици след първоначалното разкриване на уязвимостта. „В този случай приоритизирахме издаването на смекчаващи мерки, докато се разработваха пачове, в съответствие с най-добрите практики в индустрията“, заяви Ivanti в изявление, предоставено пред CRN.
През януари Microsoft разкри, че заплаха, свързана с Русия, е успяла да открадне имейли на членове на висшия ръководен екип на компанията, както и на служители от екипите по киберсигурност и правни въпроси. Технологичният гигант приписва атаката на група, която проследява като Midnight Blizzard, която преди това е била свързвана от правителството на САЩ с руското звено за външно разузнаване SVR и обвинявана за атаки, включително широко разпространения пробив в SolarWinds през 2020 г.
Клиентите, за които е известно, че са били засегнати при инцидента, включват множество федерални агенции, потвърди CISA. Чрез компрометирането на корпоративни имейл акаунти на Microsoft Midnight Blizzard е „ексфилтрирал имейл кореспонденция между федерални агенции от гражданската изпълнителна власт (FCEB) и Microsoft“, заяви CISA в спешна директива.
През юни Microsoft потвърди, че е изпратила още известия на клиентите, засегнати от компрометирането, които са били уведомени, че имейлите им са били прегледани. „Това е повишена подробност за клиентите, които вече са били уведомени, а също така включва и нови известия“, се казва в изявление на компанията.
При нарушението, за което се смята, че е започнало през ноември 2023 г., хакерите първоначално са получили достъп, като са се възползвали от липсата на MFA (многофакторно удостоверяване) в „наследен“ акаунт, заявиха от Microsoft.
През февруари ФБР съобщи, че е установено, че свързана с Китай група за заплахи е превзела „стотици“ маршрутизатори за малки офиси/домашни офиси (SOHO), базирани в САЩ, като част от кампания за компрометиране на доставчиците на критична инфраструктура на САЩ. ФБР заяви, че е успяло да прекъсне усилията на групата, известна като Volt Typhoon, която е подкрепяна от китайското правителство. Сред целите на атаките на Volt Typhoon са били доставчици на критични услуги, включително комуникации, енергетика, водоснабдяване и транспорт, съобщи ФБР.
Компрометираните от групата маршрутизатори заедно образуват съвкупност от заразени със зловреден софтуер устройства, известна като ботнет, която групата за заплахи може да използва за извършване на атака срещу критичната инфраструктура на САЩ, заяви ФБР.
По-късно през февруари ФБР съобщи, че е прекъснало широкомащабна кампания на хакери, свързани с Русия, която е компрометирала „стотици“ SOHO рутери. Според ФБР атаките са били приписани на руската разузнавателна агенция ГРУ, която също се е опитвала да използва превзетите рутери като ботнет за целите на шпионажа.
Разкрита за пръв път на 22 февруари, атаката Change Healthcare предизвика масови смущения в системата на здравеопазването в САЩ в продължение на седмици. Изключването на ИТ системата, започнало в отговор на атаката с рансъмуер, попречи на много аптеки и болници, както и на други здравни заведения и офиси, да обработват искове и да получават плащания.
Отговорност за атаката с рансъмуер пое рускоговорящата киберпрестъпна група, известна с имената Blackcat и Alphv. Главният изпълнителен директор на UnitedHealth Group ,Андрю Уити, потвърди в показанията си пред Конгреса през май, че UnitedHealth е платила откуп в размер на 22 млн. долара след атаката.
Впоследствие друга киберпрестъпна група, известна като RansomHub, публикува данни, за които твърди, че са откраднати от Change Healthcare. В края на април UnitedHealth заяви, че данни, принадлежащи на „значителна част“ от американците, може да са били откраднати при атаката срещу обработчика на рецепти Change Healthcare, подразделение на дъщерното дружество на застрахователя Optum. По време на изслушването в Камарата на представителите на САЩ на 1 май Андрю Уити заяви, че „може би една трета“ от всички американци са били засегнати от атаката.
През юни Change Healthcare разкри, че сега смята, че при атаката са били изложени на риск чувствителни медицински данни на пациенти. Медицинските данни, откраднати по време на атаката, може да са включвали „диагнози, лекарства, резултати от тестове, изображения, грижи и лечение“, според уведомлението за нарушаване на сигурността на данните, публикувано от Change Healthcare.
Автор: Кайл Алспах, старши редактор в CRN
(следва продължение)
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.