LastPass, принадлежащая GoTo (ранее LogMeIn) и имеющая более 30 миллионов пользователей, раскрыла новые подробности киберинцидентов, которые сотрясали компанию, начиная с августа 2022 года, когда стало известно о краже фрагментов исходного кода.

В январе 2023 года компания призналась, что нарушение имело более масштабный характер и включало утечку сведений в отношении учетных записей, паролей, настроек MFA, а также информации о лицензии.

Как выяснили привлеченные к расследованию специалисты Mandiant, хакеры в рамках длительной таргерованной атаки взломали домашний компьютер DevOp-инженера LastPass, развернув на нем вредоносное ПО, с помощью которого им удалось получить доступ к корпоративным данным на ресурсах облачного хранилища.

Неназванный злоумышленник воспользовался украденными в ходе августовского инцидента данными для планирования и реализации в период с августа по октябрь 2022 года мероприятий по разведке и эксфильтрации данных облачного хранилища.

При этом злоумышленники воспользовались RCE-уязвимостью в стороннем пакете мультимедийного ПО, внедрив кейлоггер на персональный компьютер сотрудника LastPass.

ПослеПосле чего они смогли перехватить мастер-пароль и получить доступ к корпоративному хранилищу инженера DevOps.

Затем злоумышленник экспортировал все доступные записи и содержимое общих папок, которые содержали зашифрованные защищенные заметки с ключами доступа и дешифрования, необходимыми для проникновения в производственную среду, резервные копии AWS S3 LastPass, другие ресурсы облачного хранилища, а также в некоторые критически важные базы данных.

LastPass выпустила отдельный бюллетень под названием «Обновление инцидента безопасности и рекомендуемые действия», который содержит дополнительную информацию о взломе и украденных данных.

Компания также разработала вспомогательные документы с указанием мер, которые следует предпринять клиентам и бизнес-администраторам для повышения безопасности учетных записей.

Лаборатория Касперского презентовала отчёт с результатами анализа ландшафта угроз для систем промышленной автоматизации за второе полугодие 2022 года.

Если в целом, то во втором полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ (39,2 % при общемировом 34,3%).

При этом темпы роста показателя по сравнению с прошлым периодом имели наиболее значительное изменение среди исследуемых регионов (увеличение на 9 п.п).

Ресерчеры Kaspersky ICS CERT связывают такую динамику преимущественно с увеличением доли компьютеров АСУ, которые были атакованы вредоносными объектами из интернета: их количество выросло на 12 п.п. по сравнению с первым полугодием.

К таким угрозам относятся в том числе вредоносные скрипты и фишинговые страницы (JS и HTML). Они были заблокированы почти на каждом пятом компьютере АСУ (18%) - этот показатель за период также резко вырос - на 11 п.п.

Всплеск обусловлен массовым заражением сайтов (в том числе промышленных организаций), использующих Bitrix CMS. Атакующие использовали бреши в системе, чтобы перенаправлять браузер на вредоносные веб-ресурсы и фишинговые страницы.

Как правило, компьютеры АСУ, с которых в интернет можно попасть на произвольные сайты, — это автоматизированные рабочие места операторов и инженеров.

По наблюдениям Лаборатории, самый заметный рост среди исследуемых отраслей по доле компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, наблюдается в энергетике - на 11,5 п.п.

В сфере инжиниринга и интеграции АСУ этот показатель вырос на 10 п.п., в автомобилестроении — на 8 п.п., в системах автоматизации зданий - на 4 п.п. При этом сектор автомобилестроения - лидер по доле атакованных компьютеров среди всех исследуемых отраслей (43%).

Дело в том, что повсеместная цифровизация на многих современных предприятиях, с одной стороны позволяет повысить эффективность производства, с другой - увеличивает потенциальное количество точек входа в периметр инфраструктуры.

Интернет выступил в роли основного источника угроз: атаки часто начинаются с попыток проникновения через устройства, получившие доступ к заражённым или вредоносным интернет-ресурсам.

Наглядно представленные в отчете тренды четко указывают, что особую значимость приобретают комплексные системы защиты предприятий, способные обеспечить безопасность как OT-сегмента, так и ИТ-инфраструктуры.

К числу таких относится разработанная ЛК экосистема Kaspersky OT CyberSecurity.

Настоятельно рекомендуем ознакомиться с полной версией отчета команды Kaspersky ICS CERT.