Заражение майнером в 164 странах, Израиль под ударом хакеров и другие события кибербезопасности

Cybersec_Digest_3.webp
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Более 250 000 компьютеров заразились майнером после скачивания торрент-файла.
  • Червь-шпион пять лет скрывал свои настоящие функции.
  • Турецкие хакеры заявили о взломе систем Минобороны Израиля.
  • Под блокировку в РФ попали 167 VPN и свыше 200 почтовых сервисов.
Более 250 000 компьютеров заразились майнером после скачивания торрент-файлаСпециалисты Positive Technologies обнаружили кампанию autoit stealer по распространению скрытого майнера через пиратское ПО на торрентах. Она уже заразила более 250 000 компьютеров под управлением Windows в 164 странах.

Подавляющее число пострадавших — более 200 000 — находится в РФ, Украине, Беларуси и Узбекистане.

1-1-3-1024x409.webp
В основном жертвами становятся обычные пользователи, но встречаются также госструктуры, нефтяные и газовые компании, медучреждения, ритейл и IT-фирмы.

Заражение происходит после скачивания вредоносного торрент-файла с сайта topsoft.space. Попадая на устройство жертвы, малварь собирает информацию о системе, устанавливает майнер XMRig и архивирует содержимое папки Telegram — tdata.

Последнее позволяет злоумышленнику получить доступ к сессии пользователя в мессенджере, незаметно следить за перепиской и выгружать данные из аккаунта. Даже при наличии двухфакторной аутентификации в виде пароля хакер может его успешно сбрутфорсить.

В качестве контрольного сервера выступает Telegram-бот. Проанализировав сообщения из него, Positive Technologies установили предполагаемого оператора вредоноса под ником splokk.

11-10-1024x882.webp
По совокупности данных эксперты считают, что вероятная цель атаки — перепродажа похищенных доступов в Telegram.

Червь-шпион пять лет отвлекал внимание от своих функций встроенным майнеромВредоносный фреймворк StripedFly с 2017 года выдавал себя за обычный скрытый криптомайнер, однако в реальности оказался сложной малварью с функцией шпионажа. Об этом сообщили исследователи «Лаборатории Касперского».

https://twitter.com/i/web/status/1715787627800969374
Как выяснили специалисты Fox-IT NCC Group злоумышленники модифицировали бэкдор для сокрытия от обнаружения во время сканирования. Теперь он отвечает только в случае установки правильного HTTP-заголовка авторизации.

По оценкам экспертов, количество затронутых устройств по-прежнему составляет не менее 37 000, включая промышленные Ethernet-коммутаторы Stratix от Rockwell Automation.

В свою очередь Cisco сообщила об обнаружении новой уязвимости нулевого дня, использованной в атаке для повышения привилегий и получения root-доступа.

Патчи для обеих проблем уже доступны на сайте компании наряду с механизмом проверки рабочей станции на наличие импланта.

Эксперты не исключили, что массовый взлом устройств на IOS XE может оказаться приманкой для сокрытия реальных целей злоумышленников.

Под блокировку в РФ попали 167 VPN и более 200 почтовых сервисовРоскомнадзор в рамках противодействия угрозам безопасности и устойчивости рунета ограничил работу 167 VPN, более 590 000 информационных ресурсов и свыше 200 почтовых сервисов. Об этом сообщает Интерфакс.

При этом средняя эффективность блокировки VPN оценена в 90%.

Кроме того, РКН заблокировал работу 2000 фишинговых сайтов, 84 приложений и более 20 центров распространения вредоносного ПО.

Курируемая ведомством автоматизированная система безопасности интернета в настоящий момент покрывает «практически 100% трафика операторов связи», который в совокупности превышает 100 Тбит/сек.