Специалисты создают список уязвимостей из арсенала кибервымогателей
Исследователи безопасности работают над созданием удобного для поиска списка уязвимостей, эксплуатирующихся операторами вымогательского ПО и их партнерами для получения первоначального доступа к сетям жертв.
Список представлен в виде диаграммы, предоставляющей ИБ-экспертам отправную точку для защиты их сетей от атак вымогательского ПО.
Все началось с призыва ИБ-эксперта из Recorded Future Аллана Лиски (Allan Liska), опубликованного в Twitter на прошлой неделе. Лиска заявил о намерении создать список уязвимостей, эксплуатируемых операторами вымогательского ПО, и с тех пор к нему примкнуло несколько специалистов.
На прошлой неделе целый ряд партнеров кибервымогательских группировок начали эксплуатировать недавно исправленную уязвимость удаленного выполнения кода в Windows MSHTML ( CVE-2021-40444 ).
В начале текущего месяца операторы вымогательского ПО Conti стали атаковать серверы Microsoft Exchange для взлома корпоративных сетей через уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
В августе кибервымогательская группировка LockFile начала эксплуатировать уязвимости ProxyShell и PetitPotam ( CVE-2021-36942 ) для атак на домены Windows по всему миру, операторы Magniber вооружились эксплоитами для PrintNightmare ( CVE-2021-34527 ), а eCh0raix стали атаковать устройства QNAP и Synology NAS ( CVE-2021-28799 ).
В июле оператор вымогательского ПО HelloKitty атаковали уязвимые устройства SonicWall (CVE-2019-7481), а REvil взломали компанию Kaseya ( CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120). Кибервымогатели FiveHands в свою очередь вооружили уязвимостью CVE-2021-20016 в SonicWall.
В апреле AgeLocker стали атаковать NAS-устройства QNAP через нераскрытую уязвимость в устаревшей прошивке. Группировка Qlocker также обратилась к устройствам QNAP и стала атаковать их через уязвимость ( CVE-2021-28799 ).
Примерно в это же время вымогатели Cring начали шифровать необновленные устройства Fortinet VPN ( CVE-2018-13379 ) в промышленных компаниях.
В марте серверы Microsoft Exchange по всему миру были атакованы вымогательским ПО Black Kingdom и DearCry через уязвимости ProxyLogon vulnerabilities (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).
В декабре-январе 2020-2021 года кибервымогательская группировка Clop атаковала серверы Accellion ( CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104 ), что привело к росту средней суммы выкупа в течение последующих трех месяцев.