У 2024 році відбулося кілька визначних подій у сфері кібербезпеки, які продемонстрували зростання ризиків для компаній та користувачів. Читачі дізнаються про ключові атаки, такі як злам Internet Archive, що спричинив витік даних 33 мільйонів користувачів, а також масштабні атаки на MGM Resorts, Johnson Controls International та Clorox.
9 жовтня Інтернет-архів зазнав одночасно двох різних атак — витоку даних, під час якого було викрадено інформацію про 33 мільйони користувачів, та DDoS-атаки, ймовірно організованої пропалестинською групою SN_BlackMeta. Хоча ці атаки відбулися в один і той самий період, їх здійснили різні групи зловмисників.
Хакери, які зламали Internet Archive, розповіли BleepingComputer, що їм вдалося це зробити завдяки відкритому файлу конфігурації GitLab. У цьому файлі містився маркер автентифікації, який дозволив завантажити вихідний код Internet Archive.
Отриманий код містив додаткові облікові дані та маркери автентифікації, включно з доступом до системи керування базами даних організації. Це дало зловмисникам можливість завантажити базу даних користувачів, отримати інший вихідний код і навіть внести зміни до сайту.
Рано вранці 19 липня 2024 року через помилкове оновлення CrowdStrike Falcon, надіслане на комп’ютери з Windows, виник критичний збій ядра драйвера, що призвело до відмови операційної системи.
Ця помилка викликала масштабні глобальні наслідки, вплинувши на близько 8,5 мільйона пристроїв Windows. Користувачі зіткнулися з неможливістю відновити доступ до операційної системи, за винятком використання безпечного режиму для видалення несправного оновлення.
Проблема стала наслідком недоліків у перевірці вмісту оновлень CrowdStrike, які не змогли виявити дефект. Це призвело до серйозних системних збоїв, зокрема нескінченних перезавантажень, які торкнулися не лише звичайних пристроїв Windows, але й комп’ютерів Windows 365 Cloud.
Зважаючи на широке використання CrowdStrike серед фінансових установ, авіакомпаній та лікарень, проблема спричинила масові збої в їхній роботі, раптово зробивши пристрої та програми Windows недоступними.
Корпорація Майкрософт випустила інструмент відновлення Windows, щоб допомогти видалити проблемний драйвер CrowdStrike і відновити уражені системи. Незважаючи на цей інструмент, багато організацій зіткнулися з тривалим процесом відновлення, оскільки кожен пристрій потрібно було лагодити вручну. Ситуація погіршилася, коли в гру почали втручатися загрозливі особи.
Кіберзлочинці поширювали підроблені інструменти та посібники з ремонту CrowdStrike, які просували зловмисне програмне забезпечення, включно з новим інформаційним викрадачем Daolpu . Ці фішингові кампанії були націлені на організації, які намагалися відновити роботу після збою, ще більше затримуючи збої.
Незабаром інвестори подали позов проти CrowdStrike, звинувативши його в недбалості в процесах забезпечення якості та нездатності запобігти випуску дефектного оновлення.
Корпорація Майкрософт також оголосила, що у відповідь на інцидент вони розглядатимуть можливість зміни своєї політики обробки драйверів ядра, і закликала постачальників антивірусних програм обмежити використання драйверів ядра, щоб запобігти таким типам збоїв.
У червні адміністрація Байдена оголосила про майбутню заборону антивірусного програмного забезпечення Kaspersky, встановивши дедлайн до 29 вересня 2024 року, щоб користувачі могли знайти альтернативи.
Заборона охоплювала не лише продаж програмного забезпечення Kaspersky у США, але й позбавляла компанію можливості надавати клієнтам антивірусні та безпекові оновлення.
У липні Kaspersky почав згортати свою діяльність у США, пояснивши BleepingComputer, що через рішення адміністрації операції стали «нежиттєздатними». Компанія вирішила продати свою базу клієнтів у США Point Wild (раніше Pango) і повідомила користувачам про безкоштовний перехід на програмне забезпечення UltraAV.
19 вересня користувачі несподівано виявили, що продукти Kaspersky було видалено з їхніх пристроїв, а замість них без їхнього дозволу встановлено UltraAV.
Хоча про міграцію інформували через електронні листи та сповіщення у програмі, багато користувачів пропустили їх або не зрозуміли суть змін. Це викликало хвилю обурення серед клієнтів через примусове встановлення нового програмного забезпечення без їхньої згоди.
У серпні майже 2,7 мільярда записів особистої інформації про людей у Сполучених Штатах просочилися на хакерський форум, розкриваючи імена, номери соціального страхування, усі відомі фізичні адреси та можливі псевдоніми.
Дані були викрадені з National Public Data, компанії, яка збирає та продає доступ до особистих даних для використання в перевірках, для отримання судимостей і для приватних детективів.
Troy Hunt з Have I Been Pwned проаналізував злом і визначив, що він містить 134 мільйони унікальних електронних адрес, що робить це жахливим витоком даних.
Зловмисники намагалися продати його за 3,5 мільйона доларів, але зрештою його безкоштовно розповсюдили на форумі хакерів.
Постачальник програмного забезпечення як послуги для автосалонів CDK Global зазнав атаки програми-вимагача Black Suit, що призвело до того, що компанія вимкнула свої системи, а клієнти не змогли нормально вести свій бізнес.
CDK Global надає клієнтам в автомобільній промисловості платформу SaaS, яка керує всіма аспектами роботи автосалону, включаючи CRM, фінансування, нарахування заробітної плати, підтримку та обслуговування, інвентаризацію та бек-офіс.
Оскільки багато автосалонів у США використовують платформу, збій призвів до масових збоїв, не дозволяючи дилерам відстежувати та замовляти автозапчастини, проводити нові продажі та пропонувати фінансування.
Порушення даних, пов’язані з цими атаками, які почалися в квітні 2024 року, вплинули на сотні мільйонів людей, які користуються послугами AT&T, Ticketmaster, Santander, Pure Storage, Advance Auto Parts, Los Angeles Unified, QuoteWizard/LendingTree та Neiman Marcus.
У листопаді Міністерство юстиції США оприлюднило обвинувачення проти двох осіб, Коннора Райлі Моуки та Джона Еріна Біннса, яких звинувачують у нападах.
Стверджується, що зловмисники вимагали 2,5 мільйона доларів у рамках цих атак, а Wired повідомляє, що AT&T заплатила 370 000 доларів за те, щоб хакери видалили вкрадені записи дзвінків.
Цього року було зафіксовано значне зростання кількості північнокорейських ІТ-працівників, які намагалися працевлаштуватися в США та інших країнах для проведення кібершпигунства та отримання коштів на підтримку операцій своєї країни.
У травні Міністерство юстиції США звинуватило п’ятьох осіб — жінку-громадянку США, українця та трьох іноземців — у сприянні північнокорейським компаніям у проникненні на американський ринок праці з метою отримання доходів для фінансування ядерної програми Північної Кореї.
У липні компанія з безпеки електронної пошти KnowBe4 випадково найняла північнокорейського хакера на посаду головного програмного інженера. Зловмисник намагався впровадити в мережу шкідливе програмне забезпечення для крадіжки інформації.
У серпні Міністерство юстиції заарештувало мешканця Нешвілла за допомогу північнокорейським ІТ-фахівцям у працевлаштуванні на віддалені посади в американських компаніях. Він також керував фермою ноутбуків, які використовувалися для імітації американських осіб.
Пізніше компанії Mandiant і SecureWorks опублікували звіти, у яких детально описали тактики північнокорейських ІТ-спеціалістів і надали рекомендації для захисту від таких загроз.
У лютому дочірня компанія UnitedHealth Change Healthcare зазнала масштабної атаки програм-вимагачів, яка спричинила серйозний збій у галузі охорони здоров’я США.
Збої не дозволили лікарям і аптекам подавати претензії, а аптеки не могли приймати дисконтні картки за рецептами, що змушувало пацієнтів платити повну вартість ліків.
Зрештою ця атака була пов’язана з бандою програм-вимагачів BlackCat, також відомою як ALPHV, яка використовувала вкрадені облікові дані, щоб зламати службу віддаленого доступу компанії Citrix, у якій не було ввімкнено багатофакторну автентифікацію.
Під час атаки зловмисники вкрали 6 ТБ даних і зрештою зашифрували комп’ютери в мережі, змусивши компанію вимкнути ІТ-системи, щоб запобігти поширенню атаки.
UnitedHealth Group визнала, що сплатила викуп за отримання дешифратора та видалення вкрадених даних зловмисниками. За даними афілійованої програми-вимагача BlackCat, яка здійснила атаку, сума викупу склала 22 мільйони доларів.
Операція з програмою-вимагачем BlackCat зазнала величезного тиску з боку правоохоронних органів після атак Change Healthcare, що призвело до їх припинення .
Після того, як UnitedHealth заплатила нібито викуп у розмірі 20 мільйонів доларів, програма-вимагач здійснила шахрайський вихід, викравши всі гроші та не передавши їх філії, яка здійснила атаку.
На жаль, афілійована компанія стверджувала, що все ще має дані Change Healthcare, які вони знову використали, щоб вимагати від медичної компанії, цього разу використовуючи сайт вимагання RansomHub .
Зрештою, дані зникли з вимагання, ймовірно, вказуючи на те, що був сплачений інший викуп.
У жовтні UnitedHealth підтвердила, що понад 100 мільйонів людей були викрадені їхні особисті та медичні дані, відзначивши це як найбільшу витоку медичних даних за останні роки.
19 лютого влада успішно вивела з ладу інфраструктуру угруповання LockBit, яка складалася з 34 серверів. На цих серверах розміщувалися веб-сайти для витоку даних, їхні дзеркала, викрадені у жертв дані, криптовалютні адреси, ключі дешифрування та партнерська панель. Ця операція стала частиною міжнародної правоохоронної ініціативи під назвою Operation Cronos.
Через п’ять днів LockBit вдалося відновити свою роботу на новій інфраструктурі. Угруповання заявило про намір посилити атаки на урядовий сектор, однак повернути колишню популярність йому не вдалося. Багато філій LockBit перейшли до інших операцій із програмами-вимагачами.
Протягом року правоохоронні органи продовжували тиск на LockBit, висунувши звинувачення проти семи його учасників. Серед них — основний оператор програми-вимагача, якого Міністерство юстиції США ідентифікувало як громадянина Росії Дмитра Юрійовича Хорошева, також відомого під псевдонімами «LockBitSupp» і «putinkrab».
Нещодавно угруповання почало тестувати новий шифратор LockBit 4, який, за попередніми оцінками, має лише незначні відмінності від попередньої версії.
Нова функція Windows 11 Recall на базі штучного інтелекту від Microsoft викликала велике занепокоєння серед спільноти кібербезпеки, і багато хто думав, що це величезний ризик конфіденційності та новий вектор атаки, який можуть використати зловмисники для викрадення даних.
Отримавши величезну негативну реакцію, Microsoft відклала випуск програмного забезпечення, щоб підвищити його безпеку, вимагаючи від користувачів увімкнути Recall на своїх комп’ютерах і підтвердити, що вони знаходяться перед своїм ПК за допомогою Windows Hello, щоб бути вміє ним користуватися.
Microsoft продовжувала відкладати його випуск, додаючи додаткові функції, такі як автоматичне фільтрування конфіденційного вмісту, дозволяючи користувачам виключати певні програми, веб-сайти або сеанси приватного перегляду, і його можна видалити, якщо потрібно.
Однак після випуску програмного забезпечення для інсайдерів Windows для тестування було виявлено, що Windows 11 Recall неправильно фільтрує конфіденційну інформацію, як-от кредитні картки.
У Microsoft заявили, що продовжують удосконалювати продукт у міру виявлення нових проблем.
Спонсорована державою китайська хакерська група, відома як Соляний тайфун (Salt Typhoon), причетна до серії кібератак, спрямованих на телекомунікаційні компанії по всьому світу.
В результаті цих атак було скомпрометовано щонайменше дев’ять провідних операторів зв’язку, серед яких AT&T, Verizon і T-Mobile. Основною метою зловмисників було проникнення в телекомунікаційну інфраструктуру для викрадення текстових повідомлень, записів телефонних розмов і голосової пошти від цільових осіб. Також вони націлилися на платформи для прослуховування телефонних розмов, які використовує уряд США, викликавши серйозні занепокоєння щодо національної безпеки.
На брифінгу в Білому домі було підтверджено, що діяльність Соляного тайфуну вплинула на телекомунікаційних провайдерів у десятках країн.
У США ці атаки виявили численні вразливості в телекомунікаційній інфраструктурі, що стало приводом для занепокоєння щодо безпеки державних систем стеження. У відповідь сенатор Рон Уайден та інші законодавці запропонували закони, спрямовані на усунення цих слабких місць. Законопроект передбачає посилення стандартів кібербезпеки та нагляду для операторів зв’язку, щоб уникнути подібних атак у майбутньому.
Окрім того, уряд США планує заборонити активні операції China Telecom у країні як відповідь на загрозу, створену хакерськими атаками.
Цього року особливо активізувалися кампанії із використанням зловмисного програмного забезпечення, спрямованого на крадіжку інформації. Такі програми зламують браузери заражених користувачів, викрадаючи файли cookie, збережені паролі, дані кредитних карток і гаманці криптовалюти.
Хоча інфокради існують уже давно, цього року їх популярність серед зловмисників значно зросла завдяки використанню в численних атаках. Викрадені дані використовуються для зламу корпоративних мереж, банківських рахунків, криптовалютних бірж і електронної пошти.
Для жертв інфокрадів такі атаки можуть призвести до катастрофічних фінансових втрат, адже зловмисники отримують доступ до банківських рахунків і викрадають криптовалюту.
Найефективніший спосіб захиститися від таких атак — увімкнути двофакторну автентифікацію (2FA) через додатки для автентифікації. Завдяки 2FA, навіть якщо зловмисники отримають доступ до ваших даних, вони не зможуть увійти без одноразового коду, згенерованого автентифікатором.
757 
1204 
437 