Дайджест информационной безопасности №194 за период с 24 августа по 4 сентября 2020

Новости законодательства

  • Операторы центров обработки данных (ЦОД) должны будут подключиться к Центру мониторинга и управления сетью связи общего пользования, который Роскомнадзор создаст в рамках закона о «суверенном интернете» (пакет поправок к законам «О связи» и «Об информации», вступивший в силу в ноябре 2019 года), следует из законопроекта, опубликованного Минкомсвязью 27 августа.

Новости ИБ

Интересные посты русскоязычных блогов по ИБ

  • Алексей Комаров сделал традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) на этот раз сразу полугодовой. В списке оказалось 50 новых сертификатов (выданных на серию).
  • Ростелеком-Солар в этом году начал большой проект по созданию киберполигона – площадки для киберучений компаний различных отраслей. В блоге на Хабре эксперты рассказали о том, как они решали задачу создания виртуальной инфраструктуры, «идентичной натуральной» применительно к технологическому сегменту промышленного предприятия.
  • В другом посте эксперты Ростелеком-Солар поделились своей методикой создания KPI и управления эффективностью SOC. Задача оказалась непростая как для разработчиков метрик, так и для заказчиков, но игра стоит свеч. В итоге можно в полной мере, централизовано и быстро оценить состояние ИБ, найти слабые места, быстро отреагировать на инциденты и поддерживать СЗИ в актуальном состоянии.
  • Денис Батранков представил рекомендации по защите от фишинга. Автор вкратце обрисовал распространенные сценарии уловок и что делать обычным пользователям и компаниям. Также в блоге приведены ссылки на проверку своих навыков защиты от фишинга.
  • Управление активами – один из базовых процессов обеспечения информационной безопасности. Эксперты компании R-Vision в статье на Anti-Malware рассказали о том, почему это важно, какая связь между управлением активами и другими ИБ-процессами: управлением инцидентами, уязвимостями, рисками и другими, и как сформировать единый мастер-ресурс по активам, осуществлять учёт и контроль изменений с помощью R-Vision SGRC и R-Vision IRP.

Интересные посты англоязычных блогов по ИБ

Исследования и аналитика

  • По результатам исследования компании Positive Technologies, число атак во втором квартале 2020 года выросло на 9% по сравнению с первым. Во втором квартале киберпреступники стали чаще атаковать промышленность. 16% фишинговых писем использовали в качестве приманки тему COVID-19, при этом доля учётных данных среди общего объёма скомпрометированной информации заметно выросла с 15 до 30%.
  • «Лаборатория Касперского» привела обзор кампании по кибершпионажу, организованной группировкой DeathStalker, в рамках которой хакеры атакуют финансовые и юридические предприятия в сфере малого и среднего бизнеса по всему миру, в том числе и в РФ. Заражение происходит через фишинговые письма, содержащие архивы с вредоносными файлами.
  • «Лаборатория Касперского» опубликовала продолжение исследования группировки Transparent Tribe. На этот раз эксперты нашли новый Android-имплантат, используемый группировкой для шпионажа за мобильными устройствами. Новые данные подтверждают связь между ObliqueRAT and Transparent Tribe.
  • Эксперты Group-IB раскрыли подробности деятельности русскоязычной группировки UltraRank, за пять лет атаковавшей порядка 700 интернет-магазинов в Европе, Азии, Северной и Латинской Америке. Киберпреступники проводят масштабные кампании с использованием JS-снифферов, развивают собственную инфраструктуру и инструменты монетизации, модифицируют вредоносный код.
  • Специалисты компании Digital Shadows изучили трафик популярных ресурсов для киберпреступников и сравнили полученную информацию с собственным впечатлением от этих сайтов. Главный вывод заключается в том, что метриками трафика можно манипулировать, в том числе с помощью ботов и VPN, а некоторые хакерские платформы используют статистические данные, чтобы привлечь к себе внимание.
  • Согласно докладу «2020 Phishing Attack Landscape Report GreatHorn» от Cybersecurity Insiders, частота фишинговых угроз значительно возросла за последние несколько месяцев и компании испытывают в среднем 1185 атак каждый месяц. Кроме того, 38% респондентов сообщают, что сотрудник стал жертвой нападения в течение последнего года. В результате 15% организаций вынуждены тратить от одного до четырех дней на устранение вредоносных.
  • В 2020 году около 2 миллиардов записей было выставлено на продажу на различных рынках даркнета. Что происходит с этими записями? Куда они попадают и как это влияет на потребителей? В отчете «The Fortnite Underground Cybercrime Economy report» изнутри рассмотрена прибыльная экономика взломанных пользовательских игровых аккаунтов на миллиард долларов в год, при которой киберпреступники зарабатывают более 40 000 долларов в неделю.
  • RiskIQ опубликовала ежегодный отчет «Evil Internet Minute». Компания проанализировала объем вредоносной активности в интернете, выявив, что киберпреступность обходится организациям в $24,7 в минуту, а в совокупности каждую минуту $2,900,000 уходят в пользу злоумышленников. Исследователи предполагают, что к 2021 году поминутная глобальная стоимость киберпреступности составит 11,4 миллиона долларов, что на 100% больше, чем в 2015 году.
  • Отчет APWG «Phishing Activity Trends Report: 2nd Quarter 2020» показал, что мошенники запрашивали средства в виде подарочных карт в двух третях атак на компрометацию деловой электронной почты (BEC). Были изучены тысячи атак BEC, которые произошли во второй половине 2020 года. Выяснилось, что 66% из них были связаны с подарочными картами. Напротив, прямые банковские переводы учитывались только в 18% атак, а за ними следовали утечки заработной платы в 16% случаев.
  • Исследователи из Международного совета по цифровой отчетности (International Digital Accountability Council, IDAC) проанализировали 496 образовательных приложений в 22 странах и обнаружили проблемы с конфиденциальностью во многих программах. Некоторые приложения предоставляли данные о местоположении пользователей сторонним рекламодателям, а также собирали идентификаторы устройств.
  • Сотрудники Mozilla провели новое исследование, которое подтвердило, что история просмотров браузера позволяют идентифицировать пользователей. Они выяснили, что большинство пользователей следуют привычным схемам просмотра веб-страниц, и это позволяет онлайн-рекламодателям создавать их точные профили.

Громкие инциденты ИБ

  • Кредитные организации России получили письма от Центробанка и платежной системы Visa об утечке сведений 55000 карт их клиентов. По словам представителей ЦБ, в открытом доступе в интернете оказались данные о картах пользователей популярного маркетплейсa Joom, который занимается доставкой продукции из КНР.
  • На форуме в DarkNet появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей. Проверка тестового фрагмента с ФИО, номером телефона и паспорта, показала, что 11 из 14 упомянутых граждан действительно имеют счета в этой кредитной организации.
  • База данных MongoDB компании Utair Digital была выложена в свободный доступ на англоязычном хакерском форуме. Хакерам не удалось получить доступ к данным банковских карт пользователей, так как Utair хранит их отдельно для безопасности.
  • В Сети обнаружен открытый сервер Elasticsearch, содержащий данные более 150 млн пользователей социальных сетей Facebook, LinkedIn и Instagram. Сервер располагался в США, на площадке Alibaba и принадлежит китайской компании Shenzhen Benniao Social Technology, которая предоставляет лиды из социальных сетей для китайских компаний, работающих на зарубежных рынках.
  • Свердловский областной онкологический центр подвергся нападению хакеров, сообщила в Facebook врач-нейрофизиолог Светлана Лаврова. По ее словам, хакеры «обрушили» базу данных патологоанатомического отделения — без результатов биопсии остались «не то 200, не то 400 больных». За восстановление базы с руководства центра потребовали 80 тыс. руб.
  • На электронную почту посольства России в Австрии провели хакерскую атаку. На основной электронный адрес посольства была осуществлена спам-атака. В дипмиссии попросили не открывать вложения и не переходить по ссылкам, которые приходят в письмах с этого адреса. Источник хакерской атаки еще выясняется.

Обзор событий предстоящих недель 07.09 – 18.09

Посетить

Послушать

Поделиться записью: