Уж сколько раз твердили миру… Да, многократно миру IT рассказывали о необходимости элементарных соблюдения требований кибербезопасности. Но что делать, если целью хакеров становится менеджер паролей, которые необходимо регулярно менять? И как быть с государственной организацией, «забившей» на все меры безопасности и забывшей о них на десять лет?
Скажи «пароль»
Приложение для управления паролями LastPass продолжает поддерживать безопасность паролей клиентов, несмотря на вторую утечку данных в 2022 году. Компания заявляет, что система безопасности не позволила хакеру получить доступ к данным клиентов или зашифрованным паролям.
Уязвимость в системе была обнаружена 30 ноября, после того как сотрудники LastPass зафиксировали аномальную активность в используемом компанией стороннем облачном хранилище, которое также эксплуатирует дочерняя компания GoTo.
Компания LastPass начала собственное расследование инцидента, уведомила правоохранительные органы и привлекла экспертов компании Mandiant. Установлено, что злоумышленник получил доступ к облачному хранилищу данных с помощью сведений, полученных в результате взлома компании в августе этого года. Первоначально летний инцидент считался незначительным.
В результате проникновения 20 ноября хакер смог получить доступ к части информации о клиентах, полагается, что их пароли украдены не были. Сотрудники LastPass не смогли подтвердить, к каким данным был получен доступ во время взлома, поскольку продолжаются работы по оценке масштабов инцидента.
Генеральный директор LastPass Карим Тубба заявил, что компания продолжит усиливать системы безопасности и мониторинга для обнаружения новых угроз своей инфраструктуре. 25 августа 2022 г. компания LastPass сообщила о хакерской атаке через скомпрометированную учетную запись разработчика. Неизвестные получили доступ к среде разработки, что привело к утечке данных. Злоумышленник имел доступ к системе в течение четырех дней, после чего был обнаружен и заблокирован. Поскольку были похищены часть исходного кода и некая служебная техническая информация, но не были скомпрометированы пароли, мастер-пароли, персональные данные или иная чувствительная информация, инцидент считался незначительным.
Повторный доступ в системы LastPass означает, что украденная летом информация оказалась более ценной, чем предполагалось ранее. Пока неизвестно, является ли повторный взлом систем LastPass повторными действиями одного хакера или информация была каким-то образом продана.
Специалисты компании Silverfort рекомендуют обеспокоенным пользователям менеджера LastPass сгенерировать новые ключи доступа и заменить иные данные учетных записей, которые могли быть скомпрометированы. Также необходимо следить за обновлениями программного обеспечения от компании, но проверять их подлинность, прежде чем предпринимать любые действия.
Специалистам по ИБ безработица не угрожает
Компьютерная система страхового фонда по безработице Швеции пострадала после хакерской атаки.
1 декабря принято решение отключить систему a-Kassan для расследования инцидента. Аналогичные рекомендации представители фонда дали 24 фондам — участникам системы страхования по безработице. Компьютерная система шведского страхового фонда по безработице (Sveriges a-kassor) подверглась хакерской атаке. Известно, что от действий хакеров серьезно пострадал один из участников системы, в которую в т. ч. входит муниципальный фонд социального обеспечения Швеции (Kommunals a-kassa).
Эксперты оценивают ущерб и изучают инцидент, чтобы минимизировать риски. Расследование проводится экспертами совместно с поставщиками услуг, пострадавшим офисом и внешними консультантами.
«На данный момент мы не видим, чтобы инцидент оказал какое-либо влияние на бизнес, — отметил Томас Эрикссон, глава a-kassor. — Мы также активировали антикризисное управление в соответствии с антикризисным планом, который применяется к подобным ситуациям».
Руководитель отдела коммуникаций фонда Есинде Алуко сообщала шведскому телевидению, что хакерам не удалось получить доступ к конфиденциальной информации. Не пострадала и финансовая информация, платежная система не затронута.
Страховой фонд направил сведения об инциденте в Шведское агентство гражданской защиты и готовности к чрезвычайным ситуациям (MSB) и Агентство по защите частной жизни Швеции (IMY).
Шведская система страхования на случай безработицы объединяет 24 фонда, в которых состоит более 3,9 млн членов, или 70% работающего населения страны.
Дыра на месте безопасности
Никаких мер для защиты компьютерной сети пострадавшие не принимали, выяснил CERT Индии в ходе расследования последствий кибератаки
Расследуя кибератаку на серверы государственного Всеиндийского института медицинских наук (AIIMS) в Дели, группа реагирования на компьютерные чрезвычайные ситуации Индии (CERT-In) обнаружила, что компьютерный факультет AIIMS не предпринял никаких мер для обеспечения информационной безопасности сети организации. Эксперты выяснили, что настройка оборудования не проводилась, а серверы и рабочие места сотрудников заражены вирусами-вымогателями.
Сотрудники CERT-In приступили к расследованию после обращения в полицию одного из сотрудников службы безопасности AIIMS. Он подал заявление в полицию о нарушениях Закона об информационных технологиях и Уголовного кодекса Индии после обращения сотрудника учреждения с жалобами на вирусы-вымогатели, которые сработали 23 ноября.
Первоначальный анализ CERT-In показал, что четыре сервера — два сервера приложений, сервер базы данных и сервер резервного копирования — были заражены. Шифрование было запущено одним из серверов Windows, подключенных к той же сети, но файлы самого сервера не были зашифрованы.
Сотрудники Национального центра информатики (NIC) отключили зараженные серверы от локальной сети и Интернета, чтобы избежать распространения заражения на другие службы института. Помимо групп CERT-In и NIC к расследованию кибератаки на AIIMS, в состав которого входят медицинская школа, больница и медицинский исследовательский университет. К ним подключились группа из Организации оборонных исследований и разработок (DRDO), полиция Дели, Бюро разведки, Центральное бюро расследований страны и МВД Индии.
Кибератака затронула компьютерные системы больницы, особенно повлияла на работу приложения e-hospital, которое предоставлялось в 2011-2012 гг. и управлялось NIC. Это остановило онлайн функционирование амбулаторного отделения, неотложной помощи и других служб по уходу за пациентами в помещениях института.
Расследование показало, что у злоумышленника есть два почтовых адреса — «dog2398» и «mouse63209», которые были идентифицированы по заголовкам зашифрованных файлов. Образы серверов были направлены в лабораторию для детального анализа.
Администрация Всеиндийского института медицинских наук и профильные агентства занимаются восстановлением пострадавших систем больницы. Никаких требований от хакеров пока не поступало.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)