Почтовый сервер Республиканской ассоциации губернаторов взломан хакерами

25
FIN7 пытается обманом заставить пентестеров запустить атаки программ-вымогателей

Республиканская ассоциация губернаторов (RGA) сообщила в письмах с уведомлением об утечке данных, отправленных на прошлой неделе, что ее серверы были взломаны во время масштабной хакерской кампании Microsoft Exchange, которая поразила организации по всему миру в марте 2021 года.

После расследования, начатого после 10 марта, «RGA определила, что злоумышленники получили доступ к небольшой части среды электронной почты RGA в период с февраля 2021 года по март 2021 года, и что в результате личная информация могла быть доступна злоумышленникам».

Несмотря на то, что RGA заявило, что сначала оно не могло определить, была ли какая-либо личная информация затронута в результате этого инцидента, последующие «тщательные попытки сбора данных для выявления потенциально затронутых лиц» показали, что имена, номера социального страхования и В ходе атаки была раскрыта информация о платежных картах.

RGA обнаружила, что 24 июня была раскрыта личная информация лиц, пострадавших от этой утечки данных, и 1 сентября завершила работу по «интеллектуальному анализу данных».

«После того, как были идентифицированы потенциально затронутые лица, RGA работала над определением адресов и привлечением поставщика для предоставления услуг колл-центра, уведомления и кредитного мониторинга», — сообщила RGA пострадавшим лицам в письме о нарушении, отправленном 15 сентября.

«RGA также предлагает вам два (2) года бесплатных услуг по мониторингу кредитоспособности и восстановления личности с помощью Experian. RGA также уведомила Федеральное бюро расследований, некоторые регулирующие органы штата и агентства по информированию потребителей об этом инциденте по мере необходимости».

Используется для кражи данных, развертывания программ-вымогателей и криптомайнеров

Массовая хакерская кампания, о которой RGA упоминает в своем письме с уведомлением об утечке данных, нацелена на более четверти миллиона серверов Microsoft Exchange, принадлежащих десяткам тысяч организаций по всему миру.

Злоумышленники использовали четыре нулевых дня (вместе известные как ProxyLogon ) в атаках, нацеленных на локальные серверы Microsoft Exchange, в неизбирательных атаках на организации из различных секторов промышленности по всему миру с конечной целью кражи конфиденциальной информации.

Также было замечено , что злоумышленники , стоящие за атаками ProxyLogon, развертывают веб-оболочки , вредоносные программы для майнинга криптовалют , а также полезные нагрузки программ-вымогателей DearCry и Black Kingdom на взломанных серверах Exchange.

После того, как Microsoft раскрыла информацию об атаках в начале марта, словацкая компания по обеспечению безопасности в Интернете ESET обнаружила по меньшей мере десять групп APT, атакующих уязвимые серверы Exchange.

В то время Microsoft заявила, что за некоторыми из этих атак стояла спонсируемая китайским государством хакерская группа, известная как Hafnium.

«Исторически сложилось так, что Hafnium в первую очередь нацелен на организации в Соединенных Штатах с целью кражи информации из ряда секторов промышленности, включая исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков, аналитические центры и неправительственные организации», — заявила Microsoft .

В июле приписывание компании было подтверждено, когда США и их союзники, включая Европейский союз, Великобританию и НАТО, официально обвинили Китай в этой широко распространенной хакерской кампании Exchange .

Администрация Байдена приписывала «с высокой степенью уверенности, что злоумышленники, связанные с MSS КНР, проводили операции кибершпионажа, используя уязвимости нулевого дня в Microsoft Exchange Server, обнаруженные в начале марта 2021 года».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here