Дайджест информационной безопасности №197 за период с 5 по 16 октября 2020

Новости ИБ

  • Организации European Network for Cyber Security (ENCS) и European Distribution System Operators’ Association (E.DSO) выпустили требования по кибербезопасности для распределенной автоматизации (Distribution Automation, DA) устройств связи с объектом (Remote Terminal Units, RTU).
  • Компании в сфере кибербезопасности обнаружили активность в России хакерской группировки XDSpy, которая провела как минимум четыре успешные атаки на государственный сектор и промышленные предприятия. Ранее аналогичную активность заметили и в Белоруссии. Исследователи предполагают, что группировка собирает разведданные для какого-либо иностранного правительства либо продает информацию прогосударственным хакерам.
  • Группа «белых» хакеров обнаружила в онлайн-инфраструктуре Apple множество уязвимостей, включая такую, которая позволила бы злоумышленникам похищать файлы из учетных записей iCloud. Всего было выявлено 55 уязвимостей, среди которых 11 были помечены как «критические».
  • Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker, который злоупотребляет механизмами, стоящими за уведомлениями о входящих звонках и кнопкой «Домой» (Home). Как и большинство мобильных вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует доступ к телефону, при этом вредонос выдает себя за МВД РФ.
  • Исследователь из компании MDSec обнаружил, что клиент Центра обновления Windows может быть проэксплуатирован злоумышленниками для выполнения вредоносного кода на системе в рамках метода Living off the Land (LotL), загружая его из произвольной, специально созданной библиотеки DLL.
  • Проект LetsDefend.io открыл общий доступ к сервису, позволяющему сымитировать рабочее окружение корпоративного Центра мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC). По словам разработчиков, новый симулятор располагает широким набором реальных событий и будет полезен для аналитиков соответствующего профиля, специалистов по реагированию на киберинциденты и создателей SIEM-систем.
  • В рамках октябрьского «вторника обновлений» компания Microsoft устранила 87 уязвимостей в своих продуктах, включая 11 критических уязвимостей и 21 проблему удаленного выполнения кода (RCE).
  • Страны-участницы альянса Five Eyes (который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании), а также Индия и Япония в очередной раз призвали технологические компании оставлять бэкдоры в своих продуктах, чтобы правоохранительные органы имели доступ к контенту в удобочитаемом и удобном формате.
  • Американское Агентство по кибербезопасности CISA сообщило, что киберпреступникам удалось получить доступ к правительственным сетям, объединив уязвимости Windows и VPN. Кибератаки были нацелены на федеральные и государственные, местные, территориальные (SLTT) американские правительственные сети. Агентство по кибербезопасности CISA заявило, что атаки на негосударственные структуры также были выявлены.

Интересные посты русскоязычных блогов по ИБ

  • Эксперты Ростелеком-Solar поделились своим опытом построения процесса выявления и реагирования на инциденты ИБ. По словам аналитиков, они сознательно не строили многоуровневую линейную модель эскалации расследования инцидентов по линиям, а выстроили свой принцип маршрутизации тикетов и автоматизации процессов.
  • Дмитрий Лифанов рассказал в блоге на Хабре о том, как команда Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT сформировала сценарный подход к выявлению угроз и как они используют его на практике для защиты своих клиентов.
  • Алексей Лукацкий обсудил в блоге тему регулярного пересмотра метрик в SOC. По мнению автора, система оценки эффективности SOC должна эволюционировать вместе с SOCом и разработанные метрики должны регулярно пересматриваться.
  • Другой блог Алексея Лукацкого посвящен анализу нового положения Банка России 719-П, который пришел на смену 382-П. Автор приводит отличия данного документа от предшественника и дает свои комментарии к положению.
  • Эксперты компании TrendMicro рассказали о том, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.

Интересные посты англоязычных блогов по ИБ

  • James Baxter составил список обязательных к прочтению книг по кибербезопасности. В него входят такие издания, как например “Призрак в Сети” Кевина Митника и “Взломайте свою жизнь сейчас” Девина Кроппа и Шона Бейли.
  • Joshua Wright рассказал о малоизвестной функции Windows, позволяющей злоумышленникам скрывать постоянные службы из поля зрения, создавая возможность избежать обнаружения угроз.
  • Brian Carney в своей статье затронул тему создания убедительных доказательств судебной экспертизы. Затронута темы визуализация невизуальных доказательств, приведены различные приёмы, позволяющие представить информацию в удобной форме.
  • Augusto Barros поделился своими мыслями о мониторинге и управлении уязвимостями. Описаны основные приёмы, позволяющие повысить эффективность управления уязвимостями: приоритезация результатов сканирования для выбора наиболее опасных уязвимостей и компенсирующие меры, позволяющие защититься от уязвимости нулевого дня или в случае невозможности быстрой установки закрывающего уязвимость патча.

Исследования и аналитика

  • Более 60% компаний потеряют важные внутренние данные в случае кибератаки. Такую статистику в ходе тестирований на проникновение собрали специалисты компании BI.ZONE, опубликовавшие исследование под названием «Threat Zone 2020». Экспертам удалось получить доступ в сеть атакованной компании в каждом четвёртом проекте тестирования на проникновение.
  • Аналитики «Лаборатории Касперского» рассказали об обнаружении шпионской кампании, которая использовала сложную модульную структуру MosaicRegressor, куда, в числе прочего, выходил буткит для Unified Extensible Firmware Interface (UEFI), всего второй известный экспертам за всю историю наблюдений.
  • «Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, существующий как минимум с 2018 года и предназначенный для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
  • Компания CheckPoint опубликовала Глобальный индекс угроз Global Threat Index for September 2020, который показал, что обновленная версия вредоносного ПО Valak впервые вошла в индекс, заняв 9- е место по распространенности. Троян Emotet остается на 1- м месте третий месяц подряд.
  • Аналитики Digital Security обратили внимание на проблему безопасности методанных и подготовили материал, в котором помогают разобраться в понятиях и рассказывают какие метаданные можно найти в создаваемых файлах и что с ними происходит при размещении в Сеть, какие опасности таят метаданные и что необходимо предпринять, чтобы обезопасить себя от утечки вашей личной информации.
  • В техническом документе MixMode The Data Overload Problem in Cybersecurity исследованы проблемы перегрузки данных, преследующие отрасль кибербезопасности. В документе описано, как организации могут значительно уменьшить или даже полностью устранить многие из этих проблем, приняв решение на основе искусственного интеллекта для анализа поведения сети в контексте текущих данных.
  • Согласно отчёту Arctic Wolf 2020 Annual Arctic Wolf Security Operations Report, количество слитых корпоративных учётных данных (включая пароли в виде простого текста) в дарквебе увеличилось на 429% с марта 2020 года. Таким образом, в среднем на одну организацию может приходиться по 17 скомпрометированных учётных данных, которые могут попасть в руки злоумышленников.
  • Согласно новому исследованию (ISC)2 2020 Cybersecurity Perception Study большинство рабочих в Великобритании и США сейчас положительно относятся к профессионалам в области кибербезопасности, хотя 69% не рассматривают возможность карьеры в этой отрасли.
  • Всемирный экономический форум (ВЭФ) опубликовал свой ежегодный доклад о восприятии лидерами мирового бизнеса региональных рисков для ведения бизнеса. Он предлагает интерактивные карты, чтобы увидеть, какие риски глобальные и региональные бизнес-лидеры рассматривают как самые большие. Кибератака занимает в мировом масштабе 4-е место, но Россия и Китай вообще не включают кибератаки в свою первую пятерку рисков.
  • Специалисты проекта DFIR Report представили подробное описание всех этапов атаки с использованием вымогательского ПО Ryuk. По данным отчета, атака с использованием вымогательского ПО Ryuk занимает 29 часов, начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.
  • Атаки программ-вымогателей продолжают расти. Согласно данным исследовательской компании Kroll Ransomware Attack Trends – 2020, программы-вымогатели были самой распространенной проблемой безопасности, с которой ей приходилось бороться в 2020 году, в то время как на атаки программ-вымогателей приходилось более одной трети всех случаев до сентября.
  • Компании Interisle провела исследование Phishing Landscape 2020 фишинговых атак с целью лучше понять, сколько и где фишинга происходит, а также посмотреть более эффективные способы борьбы с фишингом. Один из самых важных выводов заключается в следующем: регистраторы доменных имен и операторы реестров имеют прекрасные возможности для обнаружения и предотвращения большей части фишинга, который происходит на злонамеренно зарегистрированных доменах.

Громкие инциденты ИБ

Обзор событий предстоящих недель 19.10 – 30.10

Онлайн-конференции

Посетить

Послушать

Поделиться записью: