Дайджест информационной безопасности №199 за период с 2 по 13 ноября 2020

Новости законодательства

  • Минцифры предложило перенести переход на «преимущественное использование» российского программного обеспечения для владельцев критической информационной инфраструктуры на 1 января 2024 года, а переход на отечественное оборудование — на 1 января 2025 года. Это следует из опубликованного министерством проекта указа президента.
  • Вступил в силу новый стандарт безопасности по картам «Мир», устанавливающий для банков предельно допустимые значения неправомерных операций без согласия клиента. Приближение к ним означает штрафы и повышенный контроль со стороны системы.

Новости ИБ

  • В департаменте информационной безопасности (ДИБ) Банка России началась серьезная реструктуризация. Подробностей ЦБ не раскрывает, но участники рынка уверены, что ФинЦЕРТ, занимавшийся мониторингом киберрисков, будет ликвидирован, а его функции перераспределены между управлениями ДИБ.
  • В России создадут Центр по борьбе с киберпреступлениями, телефонным спамом и фишингом в рамках реализации нацпроекта “Цифровая экономика”. Глава Минцифры Максут Шадаев также сообщил, что ведомство начинает “независимое тестирование всех государственных информационных систем на предмет “дырок” в их безопасности”.
  • В Windows обнаружили критическую уязвимость, которую используют для взлома компьютеров. Эксперты рассказали, что взлом происходит через взаимодействие с функцией Windows Kernel Cryptography Driver (cng.sys), из-за чего происходит переполнение буфера.
  • Ханипоты, созданные экспертами института SANS, уже обнаружили первые атаки на уязвимость CVE-2020-14882, так как недавно в открытом доступе появился эксплоит для нее. В настоящее время в сети по-прежнему доступны более 3000 серверов Oracle WebLogic, потенциально уязвимых для проблемы CVE-2020-14882.
  • Специалисты координационного центра CERT (CERT/CC) запустили специального Twitter-бота Vulnonym, который будет «придумывать» случайные и максимально нейтральные имена уязвимостям, получившим идентификаторы CVE. Эта идея родилась из нескончаемых дискуссий на тему «должны ли уязвимости иметь имена?».
  • Европейское агентство сетевой и информационной безопасности (European Union Agency for Cybersecurity, ENISA) представило руководство по обеспечению безопасности цепочки поставок для «Интернета вещей» (Internet of Things, IoT).
  • Новая программа-вымогатель под названием Pay2Key нацелена на организации из Израиля и Бразилии, зашифровывая их сети в течение часа в целевых атаках, которые все еще расследуются. Первые атаки были зафиксированы специалистами из компании Check Point в конце октября нынешнего года, и теперь их число увеличилось.

Интересные посты русскоязычных блогов по ИБ

  • Алексей Лукацкий рассказал о том, какой смысл регуляторы вкладывают в тот или иной термин и к каким последствиям это приводит. Автор привел пример, как аббревиатура MDM может повлиять на проверку по ГОСТ 57580.1, когда проверяющие требуют наличия именно MDM, хотя по сути требуется система централизованного управления и мониторинга.
  • Еще один пост Алексея посвящен контенту обнаружения угроз. Обычно в качестве контента обнаружения рассматриваются сигнатуры, которые точно описывают ту или иную угрозу. Автор рассказал, почему одних сигнатур недостаточно.
  • В первой статье цикла — «Дифференциальная приватность — анализ данных с сохранением конфиденциальности» — авторы блога ДомКлик рассмотрели базовые концепции и случаи применения дифференциальной приватности. Во второй части рассмотрены возможные варианты построения систем в зависимости от ожидаемой модели угроз.
  • Существует категория злоумышленников, которые занимаются конкретно обманом администраторов виртуальных серверов. В статье RuVDS рассказано об используемых ими методах и рассмотрены несколько характерных уязвимых мест.

Интересные посты англоязычных блогов по ИБ

  • Richard Bejtlich постарался оценить размер безопасности 1% в Соединенных Штатах. Это сокращенное обозначение для категории людей и организаций, которые могут реализовать качественные программы безопасности и особенно обнаружение и реагирование. Автор объяснил, почему стратегии безопасности 1% могут быть неуместны или даже вредны для 99%.
  • Kyle Fiehler познакомил читателей с таким понятием как Cloudjacking и Cloud Mining. Он приводит известные примеры таких атак и делится способами защиты.
  • Paul German в своей статье рассказал о поиске угроз корпоративной сети – какие угрозы стоят перед организациями и какие инструменты можно использовать для их поиска. Также он привел пример, когда угроза не была вовремя обнаружена и у злоумышленников был доступ к корпоративной сети много лет подряд.

Исследования и аналитика

  • Kaspersky ICS CERT проанализировал атаки на предприятия с использованием RMS и TeamViewer. C 2018 года злоумышленники модифицировали методы атак, и угрозе заражения подвергается всё больше предприятий. Данный отчет опубликован после того, как производитель ПО RMS внёс изменения в работу своих сервисов, чтобы результаты данного исследования не могли быть использованы в целях эксплуатации уязвимостей.
  • Компания Avast опубликовала результаты своего опроса, проведенного среди российских пользователей. Согласно полученным данным, 42% россиян сталкивались с фишинговыми атаками. При этом жертвами таких атак стали 27% пользователей, и чуть больше трети (35%) не смогли дать точный ответ.
  • Eset представила рейтинг наиболее распространенных киберугроз в III квартале 2020 года. После нескольких месяцев постоянного использования темы COVID-19 во вредоносных целях хакеры вернулись к ряду своих прежних тактик. Основной целью киберпреступников стал протокол удаленного рабочего стола (RDP).
  • Согласно октябрьскому отчету Check Point, в третьем квартале 2020 года зафиксировано увеличение ежедневного среднего количества атак программ-вымогателей на 50% по сравнению с первой половиной года. Наибольшее количество атак произошло в США, Индии, Шри-Ланке, России и Турции. Основными типами программ-вымогателей были Maze и Ryuk, причем Ryuk теперь атакует 20 организаций в неделю.
  • Специалисты Palo Alto Networks в исследовании Domain Parking: A Gateway to Attackers Spreading Emotet and Impersonating McAfee рассказали, что с марта по сентябрь 2020 года ими было обнаружено около 5 000 000 новых припаркованных доменов, и примерно 1% из них используется хакерами для распространения малвари и в рамках фишинговых компаний; около 2,6% теперь связаны с контентом для взрослых или азартными играми; а еще 30,6% относятся к подозрительным.
  • В ходе исследования «Доверие к цифровым технологиям – 2021» сотрудники PwC опросили 3249 руководителей компаний. Опрос показал, что 52% компаний в мире в 2021 году будут повышать расходы на обеспечение информационной безопасности. При этом 42% руководителей также увеличат численность ИБ-специалистов.
  • Согласно отчету Clearswift Cybersecurity Challenges in Financial Services – Market Survey Report, 62% фирм финансового сектора Великобритании пострадали от атак кибербезопасности за последние 12 месяцев, в то время как 40% заметили больше инцидентов кибербезопасности с момента увеличения удаленной работы.
  • Новое исследование Exabeam показало, что 88% специалистов по кибербезопасности считают, что автоматизация облегчит их работу, при этом молодые сотрудники сильнее обеспокоены тем, что автоматизация может заменить их, чем их более старшие коллеги.
  • Cybereason рассказали о новом вредоносном ПО, которое использовала северокорейская группировка Kimsuky в ходе атак на правительственные учреждения Южной Кореи. Cybereason предоставила подробную информацию о двух новых семействах вредоносных программ, используемых Kimsuky — о ранее неизвестном модульном шпионском ПО под названием KGH_SPY и новом загрузчике вредоносных программ под названием CSPY Downloader.
  • Обнаружен очередной вектор атаки на процессоры Intel. Специалисты Грацского технического и Бирмингемского университетов опубликовали исследование, в котором подробно описали атаку Platypus. По словам экспертов, этот вектор можно использовать для вычисления данных, обрабатываемых внутри процессора.
  • Исследователи безопасности из Cyentia Insitute проанализировали 103 так называемых «экстремальных» киберинцидента за последние пять лет, которые привели к крупнейшим финансовым потерям. Как выяснилось, атаки, связанные с хищением учетных данных, составили 46% от всех инцидентов и привели к потерям в размере $10 млрд. Кибератаки с применением вредоносного ПО для удаленного доступа составили 31% от всех случаев и обошлись корпорациям в $9,2 млрд.

Громкие инциденты ИБ

  • Американский производитель игрушек, компания Mattel, сообщает, что подвергся атаке неназванного шифровальщика, которая отразилась на некоторых бизнес-операциях. При этом в Mattel заверили, что компания оправилась от инцидента без значительных финансовых потерь.
  • 1 ноября 2020 года итальянский производитель напитков Gruppo Campari подвергся атаке шифровальщика Ragnar Locker. Хакеры пишут, что похитили у компании примерно 2 Тб информации.
  • Японская корпорация Capcom пострадала от хакерской атаки. Взлом повлиял на бизнес-операции разработчика игр, включая работу системы электронной почты.
  • В даркнете продают базу, содержащую 34 000 000 пользовательских записей. Продавец утверждает, что эта информация была украдена у 17 различных компаний.
  • Во время судебных заседаний, проходивших по видеоконференции, Верховный суд Бразилии подвергся кибератаке с использованием программ-вымогателей. В результате атаки были заблокированы базы данных текущих судебных процессов, а также была нарушена работа внутриведомственного почтового сервера.
  • IT-компания Prestige Software, которая располагается в Испании, была уличена в раскрытии финансовых и персональных данных клиентов, производивших бронирования отелей по всему Миру. Среди клиентов компании: Booking.com, Expedia, Agoda, Amadeus, Hotels.com, Hotelbeds, Omnibees, Sabre.

Обзор событий предстоящих недель 16.11 – 27.11

Онлайн-конференции

Вебинары

Поделиться записью: