Мир за неделю: 90:23

Boeing полетел за выкупом, Seiko отделалась легким испугом, противостояние на Ближнем Востоке вовлекает в конфликт все больше виртуальных участников.

От Boeing требуют выплатить выкуп до 2 ноября

Американская аэрокосмическая корпорация Boeing оценивает заявления группировки LockBit, говорится в сообщении компании, сообщает Reuters. Занимающиеся вымогательством хакеры заявили, что украли «огромное количество» конфиденциальных данных у компании. Производитель самолетов и оборонной продукции был вынужден отреагировать на сообщения после того, как на сайте утечки LockBit, одной из самых активных групп, работающих сегодня по принципу «вымогательство как услуга» (RaaS), появилась новая запись.

Хакеры сообщили, что «конфиденциальные данные извлечены и готовы к публикации, если Boeing не свяжется с нами в установленные сроки». При этом они отказались предъявлять списки или образцы, чтобы защитить компанию, но отказываются хранить их после истечения установленного срока. Boeing должен до 2 ноября выплатить неназванную сумму выкупа, иначе его данные окажутся в открытом доступе.

LockBit — одна из самых успешных группировок RaaS. В июньском предупреждении агентств безопасности говорилось, что это самый распространенный вариант программы-вымогателя в 2022 г. С 2020 г. на его долю пришлось около 1700 атак в США. По оценке экспертов, с января 2020 г. LockBit заработал порядка 91 млн долларов только на жертвах в США.

По мнению исследователей безопасности, качество украденных данных определит реакцию Boeing и то, будет ли она вести переговоры с LockBit или отклонит требования. Эксперты отмечают, что LockBit — это финансово мотивированная группа, которая предоставляет ключ дешифрования после уплаты выкупа. В противном случае она бы не смогла вести свой бизнес. Однако всегда есть риск, что данные не могут быть восстановлены, даже если выкуп заплачен. К тому же, выплаты кибермошенникам во многих странах противоречат законам.

Геополитический конфликт расширяется в онлайне

Война между Израилем и ХАМАС привела к расширению конфликта в киберпространстве, который ведут десятки хакерских группировок, и это явление имеет глобальные последствия для критически важной инфраструктуры, пишет японский портал Asia Nikkei. После нападения на Израиль 7 октября группы хактивистов начали многочисленные кибератаки. В числе атакующих израильские ресурсы — группировки Killnet и Anonymous Sudan. Одной из целей хакеров стало израильское приложение Red Alert, которое предупреждает пользователей о ракетных обстрелах в режиме реального времени. По данным компании по кибербезопасности Group-IB, хакерская группа AnonGhost использовала уязвимости в приложении для отправки ложных уведомлений о бомбардировках.

19 октября компания по кибербезопасности Recorded Future (США) сообщила, что обнаружила вероятную связь с Ираном в инфраструктуре, связанной с коммуникационным приложением, используемым ХАМАС.

Тем временем хакерская группировка Indian Cyber Force предприняла кибератаки в поддержку Израиля против сайтов, связанных с ХАМАС. Некоторые хакерские группировки заявили об ответных атаках на веб-сайты правительства Индии. Хакеры также призывают к кибератакам против правительства Японии, что отражает глобальный характер угроз.

Израильские спецслужбы привлекают разработчиков шпионского ПО, в том числе производителя программного обеспечения Pegasus, для помощи в отслеживании заложников в секторе Газа, пишут СМИ. Власти просят компании NSO Group и Candiru, которые занесены в черный список США, Rayzone, Paragon, Cobwebs, Active Fence и другие быстро обновить ПО для удовлетворения потребностей сил безопасности страны.

По данным индийской компании кибер-разведки Falcon Feeds, в настоящее время на пропалестинской стороне действуют 90 групп хактивистов и 23 группировки, поддерживающие Израиль.

Наиболее распространенным методом воздействия являются DDoS-атаки. По данным американской технологической компании Cloudflare, 8 и 9 октября в Израиле наблюдалось почти трехкратное увеличение онлайн-трафика по сравнению с предыдущей неделей, в то время как трафик на палестинских территориях удвоился. Около 100 веб-сайтов израильских компаний столкнулись с перебоями в работе или изменили контент.

Кибератаки, нацеленные на инфраструктуру, не являются чем-то новым для Ближнего Востока, напоминает портал Asia Nikkei. В 2010 г. иранские ядерные объекты подверглись кибератаке с помощью вредоносной программы Stuxnet, разработку которой приписывают АНБ США и Израилю.

В апреле 2020 г. системы управления водоснабжением Израиле подверглись взлому, который, как полагали, был связан с Ираном. В мае того же года в иранском порту Шахид Раджаи произошел системный сбой, который наблюдатели посчитали ответной кибератакой Израиля. Стороны отрицали причастность к инцидентам.

Японские аналитики предполагают, что обострение противостояния может перейти в крупномасштабные кибератаки, которые приведут к прекращению функционирования критически важной инфраструктуры на длительный период, что повлияет на возможности Израиля. В стране запущены многочисленные стартапы в области кибербезопасности и искусственного интеллекта, поэтому война Израиля с ХАМАС может иметь глобальные последствия для сектора высоких технологий. Мобилизация 360 тыс. израильских резервистов, многие из которых работают в сфере высоких технологий, усугубит нехватку квалифицированных кадров.

Компания отделалась «легким испугом»

Японская группа корпораций Seiko недавно подтвердила масштабную утечку данных, о которых сообщила в августе. Согласно последним уведомлениям компании, в результате несанкционированного доступа хакеры получили порядка 60 тыс. конфиденциальных записей. Взлом был обнаружен 28 июля 2023 г. после того как группа вымогателей BlackCat включила Seiko в список жертв на своем сайте утечек. Компания сообщила об инциденте в Комитет по защите персональной информации при правительстве Японии и столичную полицию Токио.

После всестороннего расследования, проведенного компанией и экспертами по кибербезопасности, Seiko подтверждает, что были скомпрометированы в общей сложности около 60 тыс. записей конфиденциальных данных, принадлежащих Seiko Group Corporation (SGC), Seiko Watch Corporation (SWC) и Seiko Instruments Inc. (SII), говорится в заявлении компании. Информация включает персональные данные клиентов SWC, контактные данные контрагентов, информацию кадровых служб о кандидатах на работу в SGC и SWC, иные данные действующих и бывших сотрудников SGC и компаний группы.

Эксперты уже отметили, что, учитывая размеры Seiko, компания легко отделалась. Однако последствия этого инцидента могут быть гораздо серьезнее. Ожидается, что злоумышленники могут использовать эти сведения для фишинговых атак на физических лиц. Информация о контрагентах Seiko может быть использована для последующих атак.

Компания усилила безопасность, включая блокировку связей с внешними серверами, развертывание систем EDR и внедрение многофакторной аутентификации. В будущем Seiko планирует работать с экспертами по кибербезопасности для оценки уязвимостей, повышения безопасности системы и предотвращения будущих инцидентов с помощью таких мер, как сторонние оценки.

Seiko приносит извинения клиентам и уже начала уведомлять их в индивидуальном порядке об утечке.