Самые горячие новости инфобеза за апрель 2024 года
Подводим итоги новостей от мира инфобеза за апрель. В прошлом месяце комментарии на GitHub и GitLab засветились в качестве хостинга малвари. С рансомварь-сцены ушло ещё одно громкое имя: группировка HelloKitty отметилась ребрендингом. Компания Change Healthcare познакомилась с двойным вымогательством на качественно новом уровне и подсчитывает убытки от отсутствовавшей на одном аккаунте MFA. А в Польше началось масштабное расследование использования спайвари Pegasus прошлым правительством. Об этом и других интересных ИБ-новостях апреля читайте под катом!
Комментарии на GitHub и GitLab в качестве хостинга малвари
В середине апреля появились новости о новом варианте Redline Stealer, распространяемом под видом чит-кодов для популярных игрушек. Что в нём было наиболее интересно, так это хостинг со ссылками с репозиториев Microsoft. Как вскоре выяснилось, прикреплённые в комментариях на GitHub файлы грузятся в CDN платформы и получают связанную с проектом ссылку с указанием репозитория и её владельца.
Более того, ссылка генерируется сразу после прикрепления. То есть злоумышленнику даже не нужно оставлять комментарий. Спуфинг здесь ограничен только фантазией. А вот с митигацией не очень: нет ни возможности проверить, какие файлы прикреплены к проекту, ни убрать их. Максимум, владелец репы может временно закрыть комментарии, что на жизни проекта скажется не в лучшую сторону.
В общем, интересный нишевый баг в ожидании фикса. Ну или не менее занятная фича, столкнувшаяся с абьюзом. Кому какой вариант больше нравится. В виде костыля, судя по сообщениям юзеров, на GitHub поставили удаление файлов из CDN из неотправленных комментариев через пять минут.
Как оказалось, хранилищем ссылок на малварь в чужих проектах может послужить не только GitHub: на GitLab предсказуемо обнаружили ровно ту же проблему. Файлы из комментариев грузятся в CDN и предоставляют ссылки с названием проекта и его владельца.
Иными словами, злоумышленник может получить убедительно выглядящую ссылку со своей малварью и от GitLab. Например, под видом установщика драйвера от NVIDIA с их репозитория. Комментариев платформы не давали, Microsoft тоже залитый в свои репозитории вредонос никак не комментировали.
Между тем один безопасник рассказывал про активный абьюз фичи на GitHub на своём стриме ещё месяц назад. Но пока об этом не раструбят журналисты по всей ИБ-индустрии, конечно же, шевелиться никто не начнёт.
Группировка HelloKitty уходит в ребрендинг
В апреле ещё одно громкое имя с рансомварь-сцены ушло в прошлое. А точнее, в ребрендинг: операторы HelloKitty сменили название и теперь будут известны как HelloGookie. Судя по всему, в честь предполагаемого разработчика под ником Gookee/kapuchin0.
По следам запуска новой операции злоумышленники слили несколько ключей, стянутые у Cisco в 2022-м внутренние данные, а также пароли к исходникам Gwent, Witcher 3 и Red Engine. Энтузиасты уже скомпилировали Ведьмака из 450 GB утёкших данных и получили девелоперский билд симулятора восточноевропейской глубинки.
Атака по CD Project в феврале 2021-го стала первым крупным взломом группировки и на его релизе история бренда и заканчивается. Добьются ли злоумышленники тех же успехов под новым именем, покажет время. Пока новых жертв на свежем сайте группировки нет.
Тренды рансомварь-сцены за первый квартал
В апреле был опубликован отчёт об основных трендах рансомварь-сцены за первый квартал 2024-го. Начало года для рансомварь-группировок в целом не задалось: выплаты выкупов в первом квартале упали до рекордных 28% от взломанных компаний. Тренд на уменьшение медленно, но верно продолжается с 2019-го года. Кроме того, средние суммы выкупа снизились на треть, но при этом на четверть выросли медианные — иными словами, меньше джекпотов для злоумышленников.
В топе прошлого квартала ожидаемо оказалась Akira, также засветилась Black Basta. Удар по LockBit от ФБР и экзит-скам BlackCat ощутимо сказались на всей рансомварь-сцене: от LockBit остались жалкие 9% рынка, а многие партнёры группировок разбежались на фоне разборок вокруг выплат и прочих связанных с ними скандалов последних месяцев.
Вслед же за утратой доверия RaaS-операциями растёт число рансомварщиков на вольных хлебах — было замечено больше атак от форков Babuk и Dharma/Phobos. Подробнее о трендах прошлого квартала в отчёте.
Как отсутствие MFA положило финансовый сектор здравоохранения США
По окончанию апреля можно подвести итоги последней атаки BlackCat — взлома Change Healthcare в Штатах. Одной из громких новостей месяца стало повторное вымогательство у компании: группировка RansomHub, под крыло которой перебрался партнёр BlackCat, ответственный за взлом, начала угрожать сливом данных.
Как и ожидалось, недовольный злоумышленник, оставшийся без выкупа после экзит-скама, но с украденными данными, решил воспользоваться ситуацией. Таким образом, Change Healthcare довелось познакомиться с двойным вымогательством, вышедшим на качественно иной уровень. Судя по всему, позже компания выплатила второй выкуп, чтобы избежать утечки данных.
Параллельно UnitedHealth Group подсчитывает убытки после атаки. Суммы впечатляющие: на текущий момент это $872 миллиона, $593 миллиона на устранение последствий атаки и $279 миллионов из-за нарушения работы. Ожидается, что общая сумма убытков превысит миллиард долларов, а её последствия будут сказываться на финансах компании вплоть до конца года.
В апреле UnitedHealth также отчитывалась перед комиссией за взлом своих систем. Подробности интересные. По всей стране падает платёжная система здравоохранения, несколько месяцев лежит в ступоре, дважды выплаченный выкуп, под миллиард долларов убытков… Кто виноват? Украденная учётка от Citrix, на которой не было MFA.
Именно через неё злоумышленники получили доступ к системам. Как сообщают, по следам атаки IT-отдел компании заменил тысячи устройств и пересобрал всю сетевую инфраструктуру дата-центра. В общем, титанических масштабов взлом, отозвавшийся по всей стране. А виной тому слабое звено в виде отсутствовавшей на одном украденном аккаунте двухфакторки. Новость в копилку «Как объяснить обывателю, зачем нужен инфобез».
Pegasus обрезают крылья в Польше
В ушедшем месяце в Польше началось масштабное расследование использования спайвари Pegasus предыдущим правительством. Прежняя партия власти проиграла выборы в октябре прошлого года и вместе с этим лишилась права на незаконную слежку.
Уголовные обвинения могут ждать бывших министров, сотрудников спецслужб и других лиц. Министр юстиции сообщает, что полный список жертв слежки пока останется конфиденциальным, так как в нём много известных лиц, а не только уже названные политики. Кроме того, расследуют как были получены разрешения на слежку: в Польше штампуют их на автомате, и предполагается, что от судов скрыли детали запросов под использование Pegasus.
По ходу расследования выяснилось, что с 2017-го по 2022-й годы Pegasus использовали для слежки почти за 600 гражданами. Некоторые случаи посчитали оправданными, так как они были связаны со слежкой за потенциальными террористами или шли в рамках контрразведки, но значительное число использования спайвари признано необоснованным. Кроме того, польский суд подтвердил, что государственная телекомпания незаконно использовала украденную SMS-переписку оппозиционного политика и опубликовала её в 2019-м году.
Итоги расследования могут стать интересным источником информации о том, как различные сомнительные режимы используют спайварь на практике. В целом же вся эта история — занятный пример того, что спайвари хорошо живётся только в странах, где власть имущих выносят исключительно вперёд ногами, и законность её применения некому поставить под вопрос.
SpyPet или рабочий поиск по Discord всего за 10 центов
И напоследок к оригинальным новинкам инфоброкерства: в апреле в новостях шумел сервис Spy Pet, который скрапит сообщения пользователей Discord на серверах, собирает их в файл и предоставляет всем желающим. В базе 3 миллиарда сообщений от 600 миллионов пользователей с 14 тысяч серверов. Цены же более чем демократичные: поиск по одному юзеру обойдётся всего в 10 центов.
Запрос в базу отображает сервера, в которых состоит пользователь, привязанные аккаунты с других сайтов и таблицу с сообщениями. Инструмент несовершенный, так как он охватывает лишь часть серверов. Разработчики же с маркетингом совсем не стесняются: «Федеральные агенты в поисках новых источников информации, пишите». И ведь напишут.
После разошедшихся по сети новостей Discord сообщил, что ведёт расследование в отношении Spy Pet. С одной стороны, идут жалобы на грубое нарушение приватности. С другой, находчивые инфоцыгане в сущности просто прикрутили к Дискорду рабочий поиск.
Меньше чем через пару недель Spy Pet получил вердикт от платформы: связанные с ним аккаунты были заблокированы. Кроме того, компания рассматривает вариант с судебным иском против владельцев.
Также предсказуемо выяснилось, что сервис работал на элементарных принципах. Боты Spy Pet присоединялись к открытым серверам, и через них скрапили сообщения пользователей. По следам чистки от Discord с 14 тысяч серверов, набитых ботами-шпионами, их число сократилось до нуля. Владельцы Spy Pet сразу же создали резервный домен и, очевидно, постараются восстановить сервис. В свете потенциального иска это может быть для них чревато. Однако на фоне поднявшейся шумихи можно ожидать появления и более продвинутых услуг подобного рода. Как для желающих посталкерить интернет-подружку из Дискорда, так и для ловцов сетевых экстремистов.