Борьба за кибербезопасность, несомненно, продолжится и в 2024 году, но в завершение прошедших 12 месяцев мы предлагаем вашему вниманию обзор самых страшных взломов, утечек, атак с использованием вымогателей, случаев цифрового вымогательства и хакерских кампаний, спонсируемых государством. Будьте бдительны и осторожны.
Cl0p и MOVEit
Одним из самых громких взломов 2023 года стал не один инцидент, а целая серия разрушительных взломов, начавшихся в мае и вызванных массовой эксплуатацией уязвимости в популярной программе для передачи файлов, известной как MOVEit. Эта ошибка позволила хакерам похитить данные целого списка международных правительственных организаций и предприятий, включая Управление автотранспорта Луизианы, Shell, British Airways и Министерство энергетики США. Компания Progress Software, которая разрабатывает MOVEit, исправила этот недостаток в конце мая, и широкое распространение этого исправления в конечном итоге остановило эту волну. Но банда вымогателей данных "Cl0p" уже отправилась в катастрофическое путешествие, используя уязвимость против как можно большего числа жертв. Организации до сих пор сообщают об инцидентах, связанных с MOVEit, и исследователи говорят, что поток обновлений почти наверняка продолжится в 2024 году и, возможно, после него.
Базирующаяся в России группировка Cl0p появилась в 2018 году и в течение нескольких лет функционировала как стандартный агент вымогательского ПО. Однако эта банда особенно известна тем, что находит и использует уязвимости в широко распространенном программном обеспечении и оборудовании (последний пример - MOVEit), чтобы похищать информацию у большого числа жертв и проводить против них кампании по вымогательству данных.
Okta
Платформа управления идентификацией Okta раскрыла информацию о взломе своей системы поддержки клиентов в октябре. Тогда компания заявила, что взлом затронул около 1 процента из 18 400 ее клиентов. Однако в ноябре компании пришлось пересмотреть свою оценку, признав, что фактически все пользователи службы поддержки были похищены в результате взлома.
Первоначальная оценка в 1 процент была сделана в результате расследования деятельности компании, в ходе которого злоумышленники использовали украденные учетные данные для входа в систему, чтобы завладеть учетной записью службы поддержки Okta, которая имела некоторый доступ к клиентской системе для помощи пользователям в устранении неполадок. Но эта оценка не учитывала другую вредоносную активность, в которой злоумышленник выполнил автоматический запрос к базе данных, содержащей имена и адреса электронной почты "всех пользователей системы поддержки клиентов Okta" и некоторых сотрудников Okta. Как и в случае с рядом других инцидентов в этом году, значимость инцидента с Okta отчасти объясняется тем, что компания играет важную роль в предоставлении услуг безопасности для других компаний, однако в 2021 году она уже пережила предыдущий громкий взлом.
Volt Typhoon и Другие китайские правительственные хакеры
Агентство национальной безопасности США и его союзные разведывательные службы по всему миру с мая предупреждают, что спонсируемая Пекином группа, известная как Volt Typhoon, в рамках своей деятельности атакует сети критической инфраструктуры США, включая энергосети. Официальные лица постоянно повторяют, что защитникам сетей необходимо быть начеку и следить за подозрительной активностью, которая может указывать на тайную операцию. Взломы Volt Typhoon' и других поддерживаемых Пекином хакеров отчасти подпитываются запасами уязвимостей нулевого дня, которые китайское правительство может использовать в своих целях. Пекин собирает эти ошибки в ходе исследований, а некоторые из них могут быть получены в результате действия закона, требующего раскрытия информации об уязвимостях.
Кроме того, в июне Microsoft сообщила, что поддерживаемая Китаем хакерская группа похитила из систем компании чрезвычайно чувствительный криптографический ключ, который позволил злоумышленникам получить доступ к облачным системам электронной почты Outlook для 25 организаций, включая многочисленные правительственные учреждения США. В опубликованном в сентябре аналитическом отчете Microsoft объяснила, что неправомерный доступ к ключу был невероятно вероятен, но в данном случае произошел из-за уникальной комедии ошибок. Однако этот инцидент стал напоминанием о том, что хакеры, поддерживаемые китайским государством, ежегодно проводят огромное количество операций по шпионажу и часто скрываются в сетях, ожидая удобного момента, чтобы воспользоваться любым изъяном или ошибкой.
MGM Resorts и Caesars Entertainment
Казино MGM в Лас-Вегасе и другие объекты MGM по всему миру пострадали от массовых и разрушительных сбоев в работе систем в сентябре после кибератаки, совершенной филиалом печально известной группы Alphv, занимающейся разработкой программ-вымогателей. Атака привела к хаосу как для путешественников, так и для игроков в азартные игры, и у гостиничного бизнеса ушло несколько дней, а в некоторых случаях даже недель на восстановление, поскольку банкоматы не работали, карточки-ключи от отелей перестали действовать, а игровые автоматы стали темными.
В то же время компания Caesars Entertainment подтвердила в сентябре в американской регулирующей документации, что она также подверглась утечке данных от рук Alphv, в результате которой были похищены номера социального страхования и водительские права многих участников программы лояльности', а также другие личные данные. В сентябре Wall Street Journal сообщила, что Caesars заплатила примерно половину из 30 миллионов долларов, которые требовали злоумышленники, в обмен на обещание не разглашать украденные данные клиентов. MGM, как сообщается, не стала платить выкуп.
LastPass
В декабре 2022 года компания LastPass, производитель популярного менеджера паролей, заявила, что взлом, о котором она сообщила в августе 2022 года, оказался серьезнее, чем предполагалось изначально, и зашифрованные копии хранилищ паролей некоторых пользователей были скомпрометированы в дополнение к другой личной информации. Это было очень тревожное открытие, учитывая, что LastPass уже сталкивалась с другими инцидентами в области безопасности в прошлом, и пользователи доверяют компании самые конфиденциальные части своей цифровой жизни.
Кроме того, в феврале 2023 года компания раскрыла второй инцидент, который также начался в августе 2022 года. Злоумышленники взломали домашний компьютер одного из старших инженеров компании, у которого был специальный доступ к наиболее чувствительным системам LastPass, и похитили учетные данные для аутентификации. Они, в свою очередь, позволили им получить доступ к облачному хранилищу Amazon S3 и, в конечном итоге, к "производственным резервным копиям LastPass, другим облачным ресурсам хранения и некоторым связанным с ними критическим резервным копиям баз данных", - написала компания в марте - разрушительная брешь для компании, занимающейся управлением паролями.
23andMe
23andMe в начале октября сообщила, что злоумышленники успешно взломали учетные записи некоторых ее пользователей и использовали этот доступ для сбора личных данных большого числа пользователей через сервис социального обмена "DNA Relatives". В этом первоначальном сообщении компания не указала, сколько пользователей пострадало. Тем временем хакеры начали продавать данные, которые, как оказалось, были взяты у миллиона или более пользователей 23andMe. Затем, в начале декабря, в заявлении Комиссии по ценным бумагам и биржам США компания сообщила, что злоумышленники получили доступ к 0,1 процента учетных записей пользователей, что составляет примерно 14 000 человек, по оценкам компании, у которой около 14 миллионов клиентов. В заявлении Комиссии по ценным бумагам и биржам не было указано большее число тех, кто пострадал от взлома DNA Relatives, но 23andMe в итоге подтвердила TechCrunch, что хакеры собрали данные 5,5 миллиона человек, которые зарегистрировались в DNA Relatives, а также информацию еще 1,4 миллиона пользователей DNA Relatives, которые "получили доступ к информации профиля Family Tree".
Некоторые из похищенных данных включали классификацию, например, описание подгрупп пользователей как "евреев-ашкенази", "широкоарабских" или китайского происхождения, что потенциально могло подвергнуть их специальному таргетингу.
Хотя кража данных вызывает беспокойство, она не включала необработанную генетическую информацию и обычно сама по себе не квалифицируется как "худший взлом". Однако эта ситуация стала важным напоминанием о том, что при работе с информацией, связанной с генетикой и родословной, ставки высоки, а также о возможных непредвиденных последствиях добавления механизмов социального обмена к конфиденциальным сервисам, даже если участие пользователей является добровольным.
Почетное упоминание: T-Mobile. Дважды.
За последние годы оператор беспроводной связи T-Mobile пострадал от нелепого количества утечек данных, а теперь имеет сомнительную честь дважды стать обладателем почетного упоминания в 'ежегодных рейтингах "Худшие взломы". В этом году компания раскрыла две утечки. Один начался в ноябре 2022 года и закончился в январе, затронув 37 миллионов текущих клиентов как с предоплаченными, так и с постоплаченными счетами. Злоумышленники похитили имена клиентов, адреса электронной почты, номера телефонов, адреса для выставления счетов, даты рождения, номера счетов и данные о тарифных планах. Вторая утечка, произошедшая в феврале-марте и раскрытая в апреле, была небольшой и затронула менее 900 клиентов. Однако она имеет большое значение, поскольку похищенные данные включали полные имена, даты рождения, адреса, контактную информацию, информацию о правительственных удостоверениях личности, номера социального страхования и пины счетов T-Mobile - другими словами, сокровища короны сотен людей.
.