Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 20, 24 — 25 февраля 2025.
В 2024 году количество атак программ-вымогателей увеличилось, так как на смену ликвидированным группировкам пришли новые
Количество атак с использованием программ-вымогателей в 2024 году продолжало расти, увеличившись на 3% по сравнению с 2023 годом, сообщает команда Threat Hunter компании Symantec в своем последнем блоге и аналитической справке – Ransomware 2025: Устойчивая и постоянная угроза.
Этот рост произошел несмотря на серьезные потрясения в сфере программ-вымогателей в 2024 году и снижение числа атак в первом квартале. В конце 2023 и начале 2024 года две ведущие группировки вымогателей, LockBit и Noberus, стали объектами преследования со стороны правоохранительных органов, что привело к снижению активности этих угроз и вызвало спад активности вымогателей в начале года.
Однако во второй половине 2024 года активность в этой области резко возросла.
Одной из самых громких историй о вымогательстве в 2024 году стало появление компании Greenbottle, оператора сервиса RansomHub, работающего по принципу «вымогательство как услуга» (RaaS). RansomHub впервые появился в феврале 2024 года, а к третьему кварталу года он стал одной из самых заметных операций с вымогательским ПО, похоже, воспользовавшись снижением активности LockBit. Быстрый рост популярности RansomHub можно объяснить выгодными условиями для аффилиатов, что также отражает одну из тенденций 2024 года — смещение влияния от операторов программ-вымогателей к их аффилиатам. Теперь операторы вынуждены предлагать более привлекательные условия, чтобы привлечь лучших партнеров.
Извлечение данных в ходе так называемых атак двойного вымогательства и отключение программного обеспечения безопасности перед развертыванием полезных нагрузок – вот две вещи, которые мы часто наблюдали в цепочках атак программ-вымогателей в 2024 году. В последние два года среди злоумышленников также набирает популярность техника под названием «Принеси свой собственный уязвимый драйвер» (BYOVD), позволяющая отключать защитное программное обеспечение.
Более подробную информацию обо всех этих тенденциях и о ландшафте вымогательского ПО в целом можно найти в последнем документе команды Symantec Threat Hunter Ransomware 2025: Устойчивая и постоянная угроза.
CISA предупреждает организации о вымогательстве Ghost
Агентство кибербезопасности и защиты инфраструктуры США (CISA) в рамках своей долгосрочной инициативы #StopRansomware выпустило информационное сообщение о деятельности группировки вымогателей Ghost (она же Cring, Crypt3r, Phantom, Wickrme). Эта группа, базирующаяся предположительно в Китае, действует с 2021 года, а ее жертвами стали жители более 70 стран.
Группа предпочитает использовать эксплойты к известным уязвимостям для взлома компьютеров в малом и среднем бизнесе, который зачастую менее защищен, чем предприятия с большими командами безопасности и бюджетами.
В частности, группа часто использует эксплойты против относительно старых уязвимостей:
- CVE-2018-13379 (CVSS score: 9.8) – критический дефект обхода пути в устройствах под управлением Fortinet FortiOS.
- CVE-2010-2861 (CVSS score: 9.8) и CVE-2009-3960 (CVSS score: 6.5) затрагивают серверы Adobe ColdFusion.
- CVE-2019-0604 (CVSS score: 9.8) – критическая уязвимость удаленного выполнения кода (RCE) в Microsoft SharePoint.
- CVE-2021-34473 (CVSS score: 9.8), CVE-2021-34523 (CVSS score: 9.8) и CVE-2021-31207 (CVSS score: 6.6) – уязвимости в Microsoft Exchange, которые используются совместно.
Попав в сеть, группа быстро приступает к запуску вымогательского ПО с коротким временем пребывания в ней. Неоднократно было замечено, что они разворачивают программы-вымогатели в тот же день, когда произошла первая компрометация.
Согласно рекомендациям, атаки этой группы можно относительно легко предотвратить, просто поставив на системы соответствующие патчи и усилив их защиту. Они не тратят много усилий на взлом защитных систем, а если сталкиваются с трудностями, то предпочитают перейти к другой, более легкой цели.
Защита
Последние обновления системы защиты можно найти на сайте Symantec Protection Bulletin.
Пользователи Signal предупреждены об атаках с привязкой к устройствам со стороны российских киберпреступников
Исследователи отмечают рост числа атак связанных с Россией группировок, направленных на пользователей чат-приложения Signal, ориентированного на конфиденциальность и безопасность. Пользователи Signal часто принадлежат к группам, которые представляют особый интерес для поддерживаемых государством злоумышленников с целью скрытого наблюдения. К таким пользователям обычно относятся сотрудники оборонных и правоохранительных служб, политические деятели, журналисты, активисты и информаторы, которые полагаются на защищенную связь для обеспечения своей деятельности.
В недавних кампаниях злоумышленники используют функцию привязки устройств Signal, чтобы получить доступ к аккаунту жертвы в Signal. Для этого они генерируют QR-коды, которые позволяют им привязать свое устройство к аккаунту жертвы. Затем они отправляют специально созданный QR-код целевой аудитории и используют социальную инженерию, чтобы обманом заставить ее отсканировать код. Если жертва поддается на эту хитрость, злоумышленник получает возможность читать все сообщения, которые отправляются к ней и от нее, что позволяет ему незаметно следить за разговорами.
Кроме того, был обнаружен фишинговый набор, поддерживающий создание подобных кампаний с Signal QR-кодами, который способен генерировать фишинговый контент, имитирующий приложение Kropyva, которое используется украинскими силами обороны.
Исследователи отмечают, что недавний рост активности, направленной на пользователей Signal со стороны связанных с Россией угроз, является лишь частью более широкой кампании по проникновению в защищенные коммуникационные приложения с целью осуществления шпионажа. Другие исследователи недавно предупредили, что группа угроз Brimstone (она же Star Blizzard, Callisto) использует аналогичную тактику против пользователей популярного приложения для обмена сообщениями WhatsApp.
ShadowPad и PlugX используются для развертывания программ-вымогателей
Отдельные отчеты Orange Cyberdefense CERT и Trend Micro подробно описывают недавнюю активность угроз, связанную с бэкдорами ShadowPad и PlugX, и их использование для развертывания программ-вымогателей.
Orange Cyberdefense CERT зафиксировал использование ранее не задокументированного загрузчика программ-вымогателей под названием NailaoLocker в атаках на европейские медицинские организации с июня по октябрь 2024 года. В ходе атак использовалась уязвимость Check Point Security Gateway (CVE-2024-24919) для получения доступа к целевым сетям и развертывания ShadowPad и PlugX, двух семейств вредоносных программ, связанных с китайскими государственными группировками.
Компания Orange выдвинула несколько гипотез относительно этих атак, в том числе о проведении ложных операций, направленных на отвлечение внимания от стратегических операций по краже данных, или, что более вероятно, о подработке китайских кибершпионов на стороне, чтобы получить дополнительный доход.
Компания Trend Micro также сообщила о недавней активности Shadowpad и PlugX и о развертывании ранее не задокументированной угрозы выкупа.
Исследователи обнаружили 19 компаний в 15 разных странах и 9 различных отраслях. «Мы не знаем конечной цели злоумышленников», – пояснили исследователи. «Однако не исключено, что некоторые из этих атак связаны с кражей интеллектуальной собственности. Кроме того, нам известно о некоторых случаях, когда злоумышленники развертывали семейство программ-вымогателей».
Специалисты Trend обнаружили, что эта программа-вымогатель была развернута только в двух случаях из тех, которые они исследовали.
На прошлой неделе Symantec’s Threat Hunter Team сообщила о шпионе, развернувшем вымогательское ПО RA World против азиатских компаний-разработчиков программного обеспечения и потребовавшем выкуп в размере 2 миллионов долларов. Подобно гипотезе, выдвинутой в отчете Orange, Symantec считает, что «наиболее вероятным сценарием является попытка агента, возможно одного человека, подзаработать на стороне, используя инструментарий своего работодателя».
Защита
Последние обновления о защите можно найти в бюллетене Symantec Protection Bulletin.
Фишинговая атака скрывает JavaScript с использованием невидимых символов Unicode
Злоумышленники используют новый метод обфускации JavaScript в фишинговых атаках, направленных на филиалы Американского комитета политических действий (PAC).
В обнаруженных Juniper Threat Labs атаках используются невидимые символы Unicode для представления двоичных значений. Техника предполагает использование невидимых символов Юникода Hangul половинной ширины (U+FFA0) и Hangul полной ширины (U+3164). ASCII-символы в загрузчике JavaScript преобразуются в 8-битное двоичное представление, а двоичные значения в нем заменяются на невидимые символы Hangul. Обфусцированный код хранится как свойство в объекте JavaScript, а поскольку символы-заполнители Hangul отображаются как пустое пространство, содержимое скрипта выглядит пустым.
Сценарий начальной загрузки получает вредоносный код с помощью ловушки get() в JavaScript Proxy. Когда происходит обращение к свойству, Proxy преобразует невидимые символы обратно в двоичный формат и восстанавливает исходный JavaScript-код.
Атаки, произошедшие в начале января 2025 года, «были очень персонализированными, включая непубличную информацию, а исходный JavaScript пытался вызвать точку остановки отладчика, если он анализировался, обнаруживал задержку и затем прерывал атаку, перенаправляя на доверенный веб-сайт», сообщает Juniper.
Microsoft исправляет критические ошибки в Bing и Power Pages
Компания Microsoft выпустила обновления для устранения двух критических уязвимостей в Bing и Power Pages, включая одну, которая активно эксплуатируется в реальных условиях.
К уязвимостям относятся:
- CVE-2025-21355 (CVSS оценка: 8.6) – Уязвимость удаленного выполнения кода Microsoft Bing
- CVE-2025-24989 (CVSS оценка: 8.2) – Уязвимость повышения привилегий в Microsoft Power Pages
«Отсутствие аутентификации для критической функции в Microsoft Bing позволяет неавторизованному злоумышленнику выполнить код по сети», – говорится в сообщении Microsoft для CVE-2025-21355. Никаких действий со стороны пользователей не требуется.
CVE-2025-24989 связана с неправильным управлением доступом в Power Pages, платформе с низким уровнем кода для создания, размещения и управления безопасными бизнес-сайтами. Неавторизованный злоумышленник может использовать эту уязвимость для повышения привилегий в сети и обхода контроля регистрации пользователей. Microsoft пометила уязвимость как «Exploitation Detected», что говорит о том, что она эксплуатируется в реальных условиях. Однако никаких дополнительных сведений об атаках в сообщении не приводится «В этом обновлении устранен обход контроля регистрации. Пострадавшие клиенты получили инструкции по проверке своих сайтов на предмет потенциальной эксплуатации и методы очистки. Если вы не получали уведомлений, эта уязвимость вас не касается», – пояснили в Microsoft.
На выборах в Германии использовалась российская дезинформация, заявляют чиновники
В пятницу (21 февраля) официальные лица Германии заявили, что федеральные выборы, которые состоялись 23 февраля, стали объектом дезинформационных кампаний со стороны России.
Министерство внутренних дел страны заявило, что в социальных сетях распространяются различные фальшивые видеоролики, которые, по мнению служб безопасности страны, являются частью кампании, проводимой группой под названием Storm-1516, которую Microsoft раскрыла в попытке вмешательства в президентские выборы в США в прошлом году. Поддельные видео якобы демонстрируют уничтожение избирательных бюллетеней.
Фейковые видеоролики в Германии, судя по всему, призваны мобилизовать и распространить недовольство среди сторонников ультраправой партии «Альтернатива для Германии» (AfD). На них видно, что надпись AfD отсутствует в избирательных бюллетенях или бюллетени с отметками в поддержку этой партии уничтожаются. В предыдущих отчетах об использовании российской дезинформации во время выборов говорилось, что она также была направлена на укрепление поддержки AfD.
На прошедших в выходные выборах партия AfD получила всплеск поддержки и заняла второе место, набрав около 20 % голосов.
Google внедряет квантово-безопасные подписи
Компания Google внедрила «квантово-безопасные» цифровые подписи для своего облачного сервиса управления ключами (Cloud Key Management Service, Cloud KMS).
Появление квантовых вычислений вызвало опасения по поводу надежности существующих стандартов шифрования, которые могут быть взломаны гораздо более мощными квантовыми компьютерами. Хотя квантовые компьютеры пока не могут взломать шифрование, поставщики облачных услуг, такие как Google, готовятся к такому развитию событий.
В настоящее время подписи доступны в виде предварительного просмотра, а официальное представление состоится позднее. По словам Google, этот шаг соответствует стандартам Национального института стандартов и технологий (NIST) в области постквантовой криптографии (PQC).
Поскольку Google Cloud используется финансовыми учреждениями, крупными предприятиями, правительственными организациями, объектами критической инфраструктуры и разработчиками программного обеспечения, внедрение квантово-безопасного шифрования имеет решающее значение для защиты конфиденциальных данных от современных атак.
Злоумышленники атакуют учетные записи пользователей Microsoft 365 с помощью базовой аутентификации
Сообщается, что злоумышленники атакуют учетные записи Microsoft 365, используя метод базовой аутентификации для входа в систему.
Базовая аутентификация – это менее безопасный метод, который используется для аутентификации между сервисами и устаревшими протоколами, такими как POP, IMAP и SMTP. Этот метод не требует взаимодействия с пользователем и обычно не требует многофакторной аутентификации (MFA), что делает его более легким путем для проведения атак с использованием паролей.
Исследователи полагают, что недавние атаки были организованы киберпреступной группой, связанной с Китаем, использующей ботнет из 130 000 устройств для атак на пользователей Microsoft 365 по всему миру. Анализ инфраструктуры командного и управляющего серверов, задействованных в этих атаках, указывает на их происхождение из Китая. Связанные с Китаем злоумышленники активно используют подключенные к Интернету устройства для создания ботнетов, которые используются в многочисленных атаках.
Microsoft уже много лет пытается постепенно отказаться от использования базовой аутентификации, причем ее поддержка удаляется из растущего списка протоколов и служб, по крайней мере, с 2019 года. В этом году, в сентябре 2025 года, компания планирует удалить базовую аутентификацию для отправки клиентов (SMTP AUTH) в Exchange Online, чтобы перекрыть больше путей для потенциальных атак.
Злоумышленное приложение выдавалось за легитимный финансовый инструмент, но затем пыталось шантажировать пользователей
Вредоносное приложение для Android под названием SpyLend, которое маскировалось под легитимный финансовый инструмент, использовалось для преследования и вымогательства пользователей, говорится в исследовании компании CYFIRMA, специализирующейся на кибербезопасности.
Приложение, которое в первую очередь было нацелено на пользователей в Индии, где оно называлось Finance Simplified, было загружено более 100 000 раз из магазина Google Play. Приложение выдавало себя за легитимный финансовый инструмент, но вместо этого похищало данные с устройств жертв.
Приложение заманивало пользователей обещаниями быстрых и простых займов, которые не требовали большого количества документов и предлагали привлекательные условия. Однако затем оно запрашивало чрезмерные разрешения, которые позволяли похищать личные данные, такие как контакты, журналы звонков, SMS-сообщения, фотографии и местоположение устройства. Эта информация затем использовалась для шантажа пользователей, особенно если они не выполняли условия погашения займа, предложенные приложением.
По словам исследователей, они также обнаружили дополнительные вредоносные APK под названиями KreditApple, PokketMe и StashFur, которые, судя по всему, являются разновидностями той же самой вредоносной кампании.
Вредоносные приложения уже удалены из Google Play.
Злоумышленники используют функцию добавления нового адреса в PayPal для фишинга
Злоумышленники злоупотребляют функцией PayPal, позволяющей пользователям добавлять новый адрес к своему аккаунту, для рассылки фишинговых писем.
Письма приходят с легитимного адреса электронной почты PayPal (service@paypal.com ) и сообщают, что получатель добавил новый адрес доставки в свой аккаунт и что доставка MacBook Pro была перенаправлена на этот адрес. В письмах содержится номер телефона, якобы предназначенный для службы поддержки клиентов PayPal. Номер телефона контролируется мошенниками. Всем, кто звонит, сообщают, что их счет был взломан, и просят загрузить и запустить программное обеспечение, чтобы заблокировать транзакцию и восстановить контроль над своим счетом.
Злоумышленники используют слабое место в новой функции адресов PayPal, которая позволяет вводить неограниченное количество символов в поле «Адрес 2». Злоумышленники используют подконтрольный им аккаунт PayPal и добавляют к нему новый адрес, вставляя в поле «Адрес 2» все фишинговое сообщение о покупке MacBook и номер для звонка. Подтверждающее письмо о смене адреса отправляется на адрес электронной почты аккаунта, который, в свою очередь, пересылает письмо в список рассылки, размещенный в Office 365 и содержащий адреса электронной почты потенциальных целей.
Неисправленные уязвимости Parallels Desktop могут позволить получить root-доступ
Пользователей компьютеров Mac, использующих Parallels Desktop, предупреждают о паре непропатченных уязвимостей в программном обеспечении, которые могут быть использованы злоумышленником для получения root-доступа к компьютеру.
Первая из уязвимостей связана с недостаточно эффективным патчем, выпущенным в сентябре 2024 года для ранее известной уязвимости повышения привилегий, отслеживаемой как CVE-2024-34331 (CVSS score: 9.8). Эта уязвимость была связана с отсутствием проверки подписи кода в Parallels Desktop for Mac.
Несмотря на исправление, исследователь обнаружил, что его можно обойти, используя атаку Time-of-Check to Time-of-Use (TOCTOU), чтобы использовать состояние гонки, заменив проверенный двоичный файл с подписью Apple на вредоносный скрипт непосредственно перед выполнением. Это приводит к тому, что скрипт запускается с привилегиями root.
Вторая уязвимость связана с функцией `do_repack_manual` и позволяет злоумышленнику подменять файлы, принадлежащие root, с помощью символической ссылки. Эксплойт дает возможность заставить Parallels записывать файлы в каталоги с правами root, например, подменяя `p7z_tool`, который запускается с повышенными привилегиями.
Эти проблемы затрагивают версии программы от 19.4.0 и старше, а также последнюю версию, 20.2.1 (55876). Исследователь сообщил о них Parallels много месяцев назад, но компания до сих пор не устранила их, что заставило исследователя опубликовать подробности в собственном техническом документе, чтобы повысить осведомленность о проблемах.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
