Дайджест информационной безопасности №224 за период с 1 по 12 ноября 2021

Новости законодательства

Правительство РФ обновило «Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности», сильно сократив документ. Соответствующее постановление (№ 1868 от 30.10.2021) вступит в силу с 1 января будущего года.

Минцифры смягчило порядок передачи данных о разговорах абонентов Роскомнадзору. Теперь речь идет о данных по запросу службы, часть из них передается только по решению суда.

Новости ИБ 

Федеральное бюро расследований США предупредило о вымогательских группировках, которые осуществляют атаки на компании, находящихся в процессе корпоративных слияний и поглощений. Операторы программ-вымогателей используют финансовую информацию, собранную перед атакой, в качестве рычага давления на жертв.

Операторы программы-вымогателя BlackMatter, судя по всему, сворачивают свои кампании из-за серьёзного давления со стороны властей и правоохранительных органов. Таким образом, модель «вымогатель как услуга» (ransomware-as-a-service, RaaS) больше не будет функционировать.

Ученые из Кембриджского университета, Росс Андерсон и Николас Баучер, опубликовали информацию о концепте атаки Trojan Source (CVE-2021-42574), которую можно использовать для внедрения вредоносного кода в легитимные приложения через поля комментариев. PoC-эксплоит уже доступен на GitHub.

Популярная библиотека npm «coa» была захвачена с внедрением в нее вредоносного кода, что временно повлияло на конвейеры React по всему миру. Библиотека coa получает около 9 миллионов загрузок еженедельно на npm и используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило первую в нынешнем году обязательную операционную директиву, предписывающую федеральным гражданским агентствам в жесткие сроки исправить уязвимости, используемые киберпреступниками в ходе атак.

В межсетевых экранах Palo Alto Networks, использующих GlobalProtect VPN, была обнаружена уязвимость CVE-2021-3064, которая может быть проэксплуатирована неавторизованным злоумышленником для выполнения произвольного кода на уязвимых устройствах с привилегиями суперпользователя.

Госдепартамент пообещал $10 млн за информацию о лидерах хакерской группировки DarkSide. В США ее подозревают в кибератаке на одного из крупнейших американских трубопроводных операторов Colonial Pipeline.

За период с сентября по октябрь 2021 года в десять раз выросло число звонков с подозрением на мошенничество от имени правоохранительных органов по сравнению с январем-февралем 2021-го. Злоумышленники представляются сотрудниками органов правопорядка, в частности МВД и полиции.

Интересные посты русскоязычных блогов по ИБ 

Сергей Борисов провел анализ и поделился результатом какие меры защиты из приказов ФСТЭК лучше всего подойдут для предотвращения техник нарушителей из приказа FST&CK.

Аналитик «Ростелеком-Солар» поделилась опытом реализации контроля удаленных пользователей через Cisco Webex Teams API не через endpoint-агент. Среди преимуществ данного решения – широкие возможности для расследования инцидентов, возможность получить историю взаимодействия пользователей внутри сервиса Cisco Webeх Teams, просматривать файлы и тексты сообщений.

На Хабре опубликована расшифровка доклада Никиты Болкунова с QIWI Server Party о безопасности Kubernets. Описанные в нем методы помогают уберечь приложения и кластеры от случайных ошибок, которые потенциально могут использовать злоумышленники.

Блог @ifab посвящен реальной упреждающей секретности  (Perfect Forward Secrecy) в современном TLS. Автор объяснил, почему это понятие не столько криптографическое, сколько «административное» и привел практические рекомендации по обеспечению FS в TLS.

Интересные посты англоязычных блогов по ИБ 

Phil Muncaster рассмотрел тему перехода на аутентификацию без паролей и порассуждал готова ли организация отказаться от паролей. Несмотря на бросающиеся в глаза преимущества ухода от паролей, внедрение как в среде B2C, так и в B2B не было таким сильным, как можно было бы ожидать.

Лидеры кибербезопасности должны приходить за стол переговоров с мощной и лаконичной структурой отчетности, чтобы привести убедительные аргументы в пользу своих программ кибербезопасности. Но это требует изменения перспективы – вы не можете увидеть лес, если застряли в деревьях. James Creamer  рассказал о правильной структуре отчетов для всех заинтересованных сторон.

Эксперты компании Futurex пролили свет на то, какие тенденции в криптографии наблюдаются в наше время. Автор выделил 6 основных тенденций.

В продолжение первой части серии статьей о поиске угроз для промышленных систем управления (ICS) Dean Parsons опубликовал вторую статью. Автор предлагает определить несколько критических и целевых активов АСУ ТП, которые необходимо защитить, связанные источники данных для этих активов и создать шаблон пакета поиска угроз, чтобы подготовиться к выполнению фактического поиска.

Исследования и аналитика 

Лаборатория Касперского проанализировала DDoS-атаки в третьем квартале 2021 года. В третьем квартале 40,80% DDoS-атак были направлены на ресурсы в США. Сами ресурсы составили 42,13% всех уникальных целей, а большинство DDoS-атак принимало форму SYN-флуда.

Согласно результатам исследования Positive Technologies, лишь каждая пятая организация использует для защиты решения, которые действительно могут обнаружить киберпреступников в сети. При этом наметилась тенденция к выявлению сложных атак с помощью комплексных решений.

Эксперты ESET проанализировали распространение вредоносных программ для Android и выделили страны, в которых подобные киберугрозы встречаются чаще всего. Оказалось, что Россия входит в первую пятёрку.

12-месячный анализ рисков кибербезопасности в розничной торговле, проведенный Imperva, предполагает, что сезон праздничных покупок 2021 года будет еще больше нарушен киберпреступниками, стремящимися создать хаос и воспользоваться беспрецедентным глобальным кризисом цепочки поставок.

Sophos опубликовала Отчет об угрозах за 2022 год. Отчет состоит из пяти частей, в которых рассматривается эпидемия программ-вымогателей и ее последствия, тенденции в области обычных вредоносных программ, нацеленных на компьютеры Windows, вредоносные программы на мобильных платформах, угрозы безопасности для инфраструктуры, а также раздел, посвященный области искусственного интеллекта и как это применимо к практике защиты информации.

Отчет Nokia Threat Intelligence Report показал 80%-ное увеличение количества новых банковских троянов, которые также пытаются похитить SMS-сообщения, содержащие одноразовые пароли. В отчете также освещены темы заражения мобильных устройств вредоносным ПО в 5G, атаки на цепочки поставок и активность ботнета IoT и уровень заражения в фиксированных жилых сетях во время работы из дома.

Отчет Ivanti за третий квартал 2021 года показал, что количество CVE, связанных с программами-вымогателями, увеличилось на 4,5%, а количество семейств программ-вымогателей – на 3,4% по сравнению со вторым кварталом 2021 года.

Исследование преступности в Англии и Уэльсе показало, что за 12 месяцев (до июня 2021 года) было зафиксировано 1,8 миллиона преступлений, связанных с неправильным использованием компьютеров. Это на 85% больше по сравнению с 2019 годом в основном за счет увеличения на 161% количества правонарушений, связанных с несанкционированным доступом к личной информации, включая взлом.

Специалисты в области кибербезопасности поделились подробностями масштабной кибератаки, которая была построена на уязвимости менеджера паролей ManageEngine ADSelfService Plus. На данный момент ошибка полностью устранена.

Громкие инциденты ИБ 

Вымогательская атака нарушила работу управления общественного транспорта в Торонто и вывела из строя несколько систем, используемых как водителями, так и пассажирами.

Хакерская группа BlackShadow атаковала израильского хостинг-провайдера Cyberserve, похитив клиентские базы данных и нарушив работу сервисов компании. Хостер Cyberserve используется различными организациями страны, включая местные радиостанции, музеи и образовательные учреждения.

Киберпреступники из Индии атаковали военные подразделения и оборонных подрядчиков Китая, сообщают специалисты китайской государственной ИБ-компании Antiy Labs.

Больницы и лаборатории канадской провинции Ньюфаундленд и Лабрадор подверглись кибератаке. В результате некоторые услуги оказались недоступны как для пациентов, так и сотрудников больниц и лабораторий.

Данные анонимных пользователей VPN-сервисов оказались в интернете. В открытый доступ попали логины и пароли, а также IP-адреса и идентификаторы устройств 45,5 млн пользователей мобильных VPN-сервисов, из которых около 800 тыс. пришлось на россиян.

Хакеры похитили данные пользователей приложения для торговли акциями Robinhood. В результате взлома злоумышленники получили адреса электронной почты около 5 млн пользователей Robinhood, полные имена другой группы пользователей — около 2 млн человек и доступ к расширенным данным более чем 300 пользователей.

Немецкая сеть магазинов электроники и бытовой техники MediaMarkt пострадала от атаки вымогателя Hive. Изначально хакеры потребовали огромный выкуп в размере 240 миллионов долларов, а атака привела к отключению ИТ-систем и нарушению работы магазинов в Нидерландах и Германии.

Обзор событий предстоящих недель 15.11 – 26.11

Оффлайн-мероприятия

15-16 ноября, Москва – The Standoff Moscow;

15-16 ноября, Москва – 8-я ежегодная практическая конференция: Антифрод в банке;

17-19 ноября, Radisson Resort Zavidovo –  AM Camp: Autumn 2021

18 ноября, Москва – Дискуссионная встреча: Управление киберрисками в банковской организации: сложности внедрения 716-П.

Онлайн-мероприятия

24 ноября, 11:00 – Онлайн-конференция Anti-Malware: Безопасность рабочих станций в сетях АСУ ТП.

Вебинары

16 ноября, 11:00 – Вебинар Диалог-Наука: Центральный элемент единой платформы безопасности;

16 ноября, 14:00 – Вебинар Ростелекома: Solar Dozor. Новые инструменты защиты организации от утечек информации;

17 ноября, 12:00 – Вебинар Код ИБ: Защита от несанкционированного доступа;

18 ноября, 11:00 – Вебинар Softline: Защита от киберугроз при работе дома и в офисе;

18 ноября, 16:00 – Вебинар Ping Identity : Identifying a centric approach to mitigate risk and improve fraud detection;

23 ноября, 11:00 – Вебинар Диалог-Наука: Управление сетевой безопасностью»;

25 ноября, 14:00 – Вебинар Positive Technologies: Работа с активами в MaxPatrol VM: что могу показать PDQL-запросы;

25 ноября, 15:30 – Вебинар Softline: Сloud Security Day.

Поделиться записью: