Мир за неделю: не прошло и года

Компании стали признавать давние утечки данных и сообщать о них клиентам, а объекты КИИ всё чаще становятся целью хакеров, несмотря на принимаемые регуляторные меры.

Сервис денежных переводов MoneyGram сообщил клиентам об утечке их данных

Впервые сообщения о сбоях в сети сервиса появились 20 сентября, киберинцидент был подтвержден только 23 сентября. По данным Bleeping Computer, MoneyGram и эксперты по киберкриминалистике из компании CrowdStrike подтвердили, что это инцидент не был атакой с целью вымогательства, а мог быть результатом атаки с использованием методов социальной инженерии на службу технической поддержки сервиса.

В заявлении, опубликованном 7 октября, компания MoneyGram сообщила, что третья сторона получила несанкционированный доступ к информации об «определенных клиентах» 27 сентября.

Сервис ведет расследование инцидента. Предприняты шаги по локализации и устранению последствий атаки, включая упреждающий перевод определенных систем в автономный режим. Это привело к временной недоступности части услуг. К расследованию инцидента привлечены ведущие сторонние эксперты по кибербезопасности и правоохранительные органы.

В утечку данных попали имена, контакты, дни рождения, национальные идентификационные номера, копии документов, удостоверяющих личность, номера банковских счетов, сведения о транзакциях, совершенных через MoneyGram, и сведения о программах вознаграждений. Компания не уточнила, где проживают пострадавшие клиенты, но предлагает всем потребителям бесплатные услуги по защите персональных данных и кредитному мониторингу, которые будут доступны в течение двух лет.

Атака повлияла на глобальный бизнес MoneyGram, привела к расторжению долгосрочных отношений с рядом партнеров, оказала негативное влияние на положение социально незащищенных слоев населении в бедных странах, где сервис активно используется для получения средств от уехавших за границу родственников.

Эксперты по кибербезопасности сравнивают инцидент с MoneyGram с другими атаками, схожими по масштабу, и отмечают эффективность простой атаки с использованием методов социальной инженерии. Они подчеркивают, что использование новых технологий, например, генеративного ИИ, позволит злоумышленникам проводить масштабные фишинговые атаки. Чтобы противостоять ожидаемому росту и повышению эффективности атак с использованием социнженерии, организациям следует рассмотреть дополнительные процессы обучения сотрудников, а также определить способы реализации принципа наименьших привилегий для минимизации риска.

Корпорация Casio подтвердила два киберинцидента, произошедших с разницей в год

Casio Computer Co., японский производитель электроники, подтвердил инцидент кибербезопасности, произошедший 5 октября. Компания заявила, что несанкционированный доступ к ее сети получили третьи лица, что привело к системному сбою и нарушению работы нескольких служб. Это вызвало серьезные опасения по поводу безопасности корпоративных и персональных данных.

Первоначально нарушение было обнаружено после сбоя во внутренних системах Casio, что повлекло за собой немедленное расследование. Было установлено, что нарушения в работе систем вызваны несанкционированным доступом. В настоящее время часть сервисов по-прежнему недоступна. Компания заявляет, что не может сообщить дополнительных подробностей атаки, поскольку идет расследование инцидента.

Casio работает со сторонними экспертами, чтобы определить, были ли украдены какие-либо персональные данные или другая конфиденциальная информация. Компания сообщает, что сообщила об инциденте в соответствующие органы по защите данных, также были незамедлительно приняты меры по ограничению доступа посторонним лицам.

По данным BleepingComputer, ни одна группировка вымогателей не взяла на себя ответственность за атаку на Casio.

По сообщениям компании, аналогичный инцидент, повлекший утечку данных, произошел год назад. Хакерам удалось получить доступ к серверам образовательной платформы ClassPad. В результате этого нарушения компания потеряла порядка 120 тыс. файлов, были раскрыты данные клиентов из 149 стран, включая их имена, адреса электронной почты, страны проживания, сведения об использовании услуг, информацию о покупке, лицензионные коды и детали заказа.

Casio связалась с пострадавшими, проинформировав их о взломе и предоставив поддержку по выделенным каналам. Компания Casio планирует внедрить комплексные меры по улучшению безопасности и продолжить обучение сотрудников мерам кибербезопасности.

Новый киберинцидент произошел в сложное для Casio время. Компания проинформировала акционеров об убытках в размере почти 50 млн долларов, возникших в результате масштабной кадровой реструктуризации.

Закон обяжет сообщать о выкупах

Правительство Австралии внесло в парламент первый в стране Закон о кибербезопасности, который направлен на более эффективную защиту граждан и организаций от возросших геополитических и киберугроз.

Законопроект о кибербезопасности 2024 г. охватывает ряд областей, включая введение минимальных стандартов кибербезопасности для устройств Интернета вещей (IoT) и обязательную отчетность о программах-вымогателях для организаций критической инфраструктуры. Также документ предусматривает создание Совета по рассмотрению киберинцидентов для проведения проверок после инцидентов в случае серьезных инцидентов кибербезопасности, а также обязательство «ограниченного использования», которое ограничивает порядок использования и передачи другим правительственным учреждениям информации об инцидентах, предоставленной Национальному координатору по кибербезопасности.

Закон будет способствовать развитию и реализации реформ в соответствии с принятым Законом Австралии о безопасности критически важной инфраструктуры (SOCI) 2018 г. Он включает положения об упрощении обмена информацией между отраслью и правительством, а также об усилении мер государственной поддержки для более эффективного управления последствиями инцидентов для критически важной инфраструктуры.

Новый законопроект установит базовый уровень безопасности для устройств IoT и расширит полномочия профильного министра по установлению стандартов безопасности в качестве министерских правил, что позволит оперативно обновлять локальные стандарты в соответствии с существующими международными стандартами.

Также закон вводит обязательное требование для местных предприятий сообщать об инцидентах кибербезопасности, которые привели к выплатам вымогателям. Требования применяются к организациям частного сектора, ответственным за критически важные инфраструктурные активы в Австралии, но не распространяются на организации государственного сектора. Компании будут обязаны уведомить Австралийское управление радиотехнической разведки (ASD) и Министерство внутренних дел в течение 72 часов с момента осуществления платежа или получения информации о совершении платежа с целью получения выкупа. Невыполнение этих обязательств по предоставлению отчетности может повлечь за собой гражданско-правовые санкции.

Цифровая трансформация отрасли привела к увеличению числа атак на объекты КИИ

American Water Company, крупнейшая компания по водоснабжению, водоотведению и электрообеспечению государственных организаций, жилых и промышленных объектов США, заявила, что стала жертвой инцидента кибербезопасности, из-за которого был отключен клиентский портал MyWater.

В заявлении, поданном в Комиссию по ценным бумагам и биржам США (SEC), компания заявила, что 3 октября обнаружила «несанкционированную активность» в сети и немедленно активировала протоколы реагирования на инциденты, которые включали отключение и деактивацию определенных систем.

Согласно информации, размещенной на сайте American Water, приостановлено выставление счетов. Пока работа портала не будет возобновлена, к потребителям не будут применяться штрафы за просрочку платежей и не будет проводиться отключение услуг.

American Water оказывает услуги по снабжению питьевой водой и водоотведению более чем 14 млн человек в 14 штатах, а также 18 военных объектов по всей территории США. Компания заявила, что ее предприятия водоснабжения или водоотведения не пострадали от инцидента кибербезопасности, вода по-прежнему безопасна для питья.

Об инциденте проинформированы правоохранительные органы, в расследовании кибератаки принимают участие сторонние эксперты по кибербезопасности, сказал представитель American Water в заявлении для СМИ. Точные данные о характере и количестве затронутых систем или данные о типе использованного вектора атаки остаются неизвестными.

Эксперты отмечают, что критическая инфраструктура не застрахована от цифровой трансформации, которую переживают другие организации, и стала зависима от API и приложений. Примером этого стали инциденты в Олдсмаре, штат Флорида (2021 г.) или сентябрьская атака на водоочистную станцию в Канзасе, которая перешла на ручное управление, что может указывать на атаку на API или веб-приложений. Другая проблема объектов КИИ водоснабжения и канализации – недостаточное финансирование направления ИБ на фоне растущих угроз.

В сентябре Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило предупреждение о кибербезопасности, в котором подчеркиваются продолжающиеся усилия по борьбе с активной эксплуатацией доступных через Интернет операционных технологий (OT) и промышленных систем управления (ICS), особенно в секторе систем водоснабжения и водоотведения (WWS). В предупреждении, которое вышло после инцидента на водоочистной станции Арканзас-Сити, указывалось, что открытые и уязвимые системы OT/ICS могут позволить злоумышленникам использовать учетные данные по умолчанию, проводить атаки методом подбора или использовать другие простые методы для доступа к этим устройствам и причинения вреда.

Ранее США возложили ответственность за кибератаки на системы WWS на иранские и китайские группировки, спонсируемые государствами. Ответственность за атаки в Индиане и Техасе в апреле 2024 г. взяла на себя APT-группировка Cyber Army of Russia Reborn, предположительно связанная с российской военной группировкой Sandworm, утверждают американские СМИ.