Кибератаки продолжали сеять хаос во всех отраслях в 2024 году, приводя к существенному сбою в работе организаций и критически важных служб.
Как и в предыдущие годы, хакеры похищали огромные объемы персональных данных, часто продавали их другим злоумышленникам или использовали для вымогательства.
Среди заметных тем 2024 года можно отметить рост числа атак с использованием программ-вымогателей на сферу здравоохранения — сферу, которая больше не является «запретной зоной» для киберпреступников.
В этой статье мы расскажем о 10 крупнейших кибератаках 2024 года.
Атака LoanDepot нарушает ипотечные платежи
8 января 2024 года один из крупнейших в Америке розничных ипотечных кредиторов LoanDepot сообщил, что подвергся серьезной атаке с использованием вируса-вымогателя, из-за которой ему пришлось отключить некоторые свои системы.
Это привело к тому, что ряд клиентов временно не смогли вносить платежи по ипотеке.
В обновлении от 22 января компания LoanDepot подтвердила, что в результате инцидента была украдена конфиденциальная личная информация около 16,6 миллионов ее клиентов, включая номера социального страхования и номера финансовых счетов.
Финансовый отчет, опубликованный фирмой в августе, показал, что она понесла расходы в размере $26,9 млн из-за инцидента. Эти расходы на восстановление включали восстановительные работы, уведомления клиентов, урегулирование судебных споров и юридические издержки.
Массовая эксплуатация уязвимостей нулевого дня Ivanti
В начале 2024 года исследователи наблюдали массовую эксплуатацию критических уязвимостей нулевого дня, содержащихся в продуктах Ivanti.
История началась, когда поставщик средств безопасности подтвердил эксплуатацию двух уязвимостей нулевого дня в шлюзах Connect Secure и Policy Secure компании Ivanti в январе 2024 года.
Быстро появились сообщения о новых уязвимостях и эксплойтах, которые затронули клиентов Ivanti в различных секторах, включая государственный сектор, армию, телекоммуникации, технологии, финансы, консалтинг и аэрокосмическую промышленность.
В январе Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило чрезвычайную директиву, требующую от всех государственных гражданских федеральных агентств принять меры по устранению двух уязвимостей нулевого дня.
В феврале страны «Пяти глаз» опубликовали совместное предупреждение об угрозе, которую представляет эта деятельность.
Китайские государственные террористы активно использовали эти уязвимости для осуществления шпионажа и других видов атак.
Тайфун «Вольт» проник в критически важные инфраструктурные сети США
Министерство юстиции США 31 января объявило, что в ходе операции правоохранительных органов были отключены сотни маршрутизаторов в попытке пресечь кампанию кибершпионажа, проводимую спонсируемым государством китайским актером Вольтом Тайфуном.
В последующем февральском сообщении правительства США и его союзников содержалось предупреждение о том, что Volt Typhoon использовала кампанию для позиционирования себя в критически важных секторах, включая связь, энергетику, транспорт и водоснабжение.
США и их союзники расценили это проникновение как стратегический шаг Китая с целью потенциального нарушения или уничтожения критически важных служб в случае эскалации геополитической напряженности или военных конфликтов с ними.
Организациям критической инфраструктуры в США и странах-союзниках было настоятельно рекомендовано выявлять и смягчать методы жизнеобеспечения, используемые Volt Typhoon и другими китайскими государственными группами.
Изменение Healthcare Ransomware Attack задержки рецептов
В феврале появились сообщения о том, что американский поставщик услуг по оплате медицинских услуг Change Healthcare подвергся атаке с целью получения выкупа.
Кибератака привела к задержкам в выписке рецептов и предоставлении других медицинских услуг пациентам по всей стране.
Было подтверждено, что материнская компания Change Healthcare, UnitedHealth Group, выплатила преступникам, банде ALPHV/BlackCat, выкуп в размере 22 млн долларов за восстановление своих систем.
Впоследствии BlackCat, по всей видимости, провела «мошенническую схему выхода», распавшись после получения оплаты, но не выплатив ее своим филиалам.
Генеральный директор UnitedHealth Эндрю Уитти сообщил, что злоумышленники проникли в системы компании с помощью украденных учетных данных, признав, что для предотвращения вторжения не использовалась многофакторная аутентификация (MFA).
Последствия инцидента продолжаются: в октябре 2024 года Министерство здравоохранения и социальных служб США (HHS) сообщило, что в связи с атакой было отправлено около 100 миллионов индивидуальных уведомлений об утечке данных, что делает ее крупнейшей известной утечкой данных из медицинских записей США.
На момент написания статьи правительство США расследует, выполнила ли компания Change Healthcare свои нормативные обязательства в отношении защиты персональных данных.
Утечка данных MediSecure раскрыла медицинские карты 13 миллионов австралийцев
В мае в результате атаки с использованием вирусов-вымогателей на австралийского поставщика медицинских рецептов MediSecure были скомпрометированы личные и медицинские данные 12,9 млн человек.
Сюда входила конфиденциальная медицинская информация, касающаяся назначений пациентам, например, название препарата, дозировка, количество, повторы и причина выписки рецепта.
В отчете представлен анализ выборочного набора данных, содержащего персональные и медицинские данные клиентов MediSecure, который был выставлен на продажу на форуме в даркнете неизвестной группой киберпреступников.
Компания MediSecure объявила о переходе на режим добровольного внешнего управления в июне 2024 года после того, как ей было отказано в финансировании от правительства Австралии для покрытия расходов на реагирование на инцидент.
NHS отменяет операции после инцидента с вирусом-вымогателем
Атака вируса-вымогателя на важнейшего поставщика патологоанатомических услуг для больниц Национальной службы здравоохранения Великобритании Synnovis привела к отмене тысяч операций и назначений врачей в летние месяцы.
Инцидент 3 июня существенно повлиял на предоставление жизненно важных медицинских услуг в больницах King's College Hospital NHS Foundation Trust и Guy's and St Thomas' NHS Foundation Trust, таких как переливание крови и результаты анализов, на протяжении нескольких месяцев.
NH England подтвердила, что по состоянию на 11 октября 2024 года все системы NHS работали в обычном режиме без дальнейших перебоев в работе служб патологии и анализа крови.
Ответственность за атаку взяла на себя группировка Qilin, занимающаяся распространением вирусов-вымогателей. По сообщениям, 20 июня она опубликовала 400 ГБ данных, украденных у Synnovis.
Среди украденных злоумышленниками данных были имена пациентов, номера NHS и описания анализов крови.
Продолжается расследование с целью установить объем затронутых данных пациентов и сотрудников.
Атака Snowflake приводит к многочисленным утечкам данных
В июне 2024 года исследователи Mandiant предупредили, что злоумышленник похитил значительный объем данных клиентов из многооблачной платформы хранения данных Snowflake.
Данные были выставлены на продажу на форумах, посвященных киберпреступности, а злоумышленники использовали их в попытках вымогательства у многих жертв.
Mandiant заявила, что злоумышленник, отслеживаемый как UNC5537, «систематически» взламывал экземпляры клиентов Snowflake, используя украденные учетные данные клиентов.
Исследователи добавили, что 165 организаций, использующих Snowflake, были уведомлены о том, что они потенциально подверглись риску.
Ряд громких утечек данных в 2024 году, как полагают, был вызван взломом Snowflake, который начался в апреле. В том числе утечка данных материнской компании Ticketmaster Live Nation, которая затронула около 560 миллионов клиентов компании.
Утечка данных клиентов и сотрудников банковского гиганта Santander в мае также была связана с атакой на Snowflake.
Кроме того, как сообщается, из рабочего пространства компании на Snowflake был получен доступ к пользовательским данным телекоммуникационного гиганта AT&T.
Город Колумбус подвергся атаке вируса-вымогателя
Город Колумбус, штат Огайо, сообщил, что в июле подвергся атаке вируса-вымогателя, что привело к перебоям в работе некоторых ИТ-сервисов, доступных жителям.
После провала переговоров города со злоумышленники, группа Rhysida, предположительно, опубликовала 3,1 ТБ личных и других конфиденциальных данных.
Первоначально официальные лица утверждали, что злоумышленники похитили только непригодные для использования поврежденные данные.
Однако исследователь в области безопасности Дэвид Лерой Росс опроверг это утверждение и сообщил местным СМИ, что личная информация жителей была загружена в даркнет.
В начале августа город Колумбус подал иск против Росса за это заявление.
После разоблачений Росса кибераналитики изучили образцы украденных данных и обнаружили значительный объем конфиденциальных файлов, включая базы данных, журналы паролей, файлы управления облаком, платежные ведомости сотрудников и даже записи с городских камер видеонаблюдения.
В ноябре городские власти уведомили 500 000 жителей о том, что их персональные данные могли быть скомпрометированы злоумышленниками. При населении Колумбуса в 915 000 человек утечка могла затронуть примерно 55% жителей.
Сообщается, что злоумышленники получили доступ к конфиденциальным данным, таким как номера социального страхования, реквизиты банковских счетов и информация о водительских правах.
Это раскрытие информации считается одной из самых значительных утечек данных в государственном секторе за последнее время.
Кибератака вызвала хаос в аэропорту Сиэтла
Кибератака в августе на Порт Сиэтла, местное правительственное агентство, контролирующее морской порт Сиэтла и международный аэропорт Сиэтл-Такома (SEA), серьезно нарушила сообщение между штатом и его окрестностями в преддверии Дня труда в США.
Возникший в результате сбой в работе ИТ-систем, начавшийся 24 августа, привел к значительным задержкам в процессе регистрации в SEA: Wi-Fi был недоступен, а экраны дисплеев не работали.
В обновлении от 13 сентября порт Сиэтла подтвердил, что инцидент был вызван атакой вируса-вымогателя банды Rhysida. Злоумышленники смогли получить доступ к частям компьютерных систем порта и зашифровать доступ к некоторым данным.
Большинство систем были возвращены в строй в течение недели, что позволило возобновить пассажирские перевозки в обычном режиме. Порт Сиэтла и веб-сайт SEA были полностью восстановлены в ноябре 2024 года.
Расследование атаки продолжается, и порт заявил, что сообщит об этом любому сотруднику или пассажиру, если будет обнаружено, что какая-либо их личная информация была скомпрометирована.
Данные американских чиновников оказались скомпрометированы в ходе китайской шпионской кампании
Масштабная шпионская кампания, организованная связанными с Китаем киберпреступниками, привела к компрометации данных должностных лиц правительства США посредством масштабной атаки на поставщиков телекоммуникационных услуг.
В ноябре правительственные агентства США подтвердили проведение кампании, сообщив, что злоумышленник из Salt Typhoon похитил данные записей звонков клиентов, взломал частную переписку людей, занимающихся государственной или политической деятельностью, и скопировал информацию, подлежащую запросам правоохранительных органов США в соответствии с постановлениями суда.
В октябре предвыборный штаб Дональда Трампа получил информацию о том, что телефоны Трампа и избранного вице-президента Джей Ди Вэнса, а также сотрудников предвыборной кампании Камалы Харрис 2024 года могли быть взломаны в результате взлома.
Среди телекоммуникационных компаний, подвергшихся атаке «Соляного тайфуна», были Verizon, AT&T, Lumen Technologies и T-Mobile .
