Дайджест информационной безопасности №182 за период с 2 по 13 марта 2020

Новости ИБ

• Следственный комитет России создал отдел по расследованию киберпреступлений. Об этом сообщил председатель СК РФ Александр Бастрыкин. Данное решение вызвано увеличением количества киберпреступлений в РФ в последние годы, сообщили в пресс-службе ведомства.
• Литва, Эстония, Хорватия, Польша, Нидерланды и Румыния подписали меморандум о создании кибернетических сил Евросоюза. Это произошло на неформальной встрече министров обороны ЕС в Загребе. Инициатива создания альянса принадлежит именно Вильнюсу, который продвигал эту идею с 2017 года.
• Разработчики Let’s Encrypt 4 марта предупредили, что они вынуждены отзывать 3 048 289 сертификатов. Все дело в ошибке в управляющем ПО Boulder, которое используется для проверки пользователей и их доменов перед выдачей сертификатов.
• Международная некоммерческая организация OWASP представила версию 1.0 платформы моделирования киберугроз Threat Dragon. Инструмент является кросс-платформенным и доступен в форме web-приложения и в виде десктопной версии. Функционал Threat Dragon включает возможность создания диаграмм потоков данных; автоматического определения и ранжирования угроз; возможные методы защиты от угроз; указания мер по предотвращению атак и противодействию им.
• Злоумышленники разработали «Карту распространения коронавируса». Попавшиеся на уловку пользователи могут заразить устройства малварью, которая крадёт пароли и данные платёжных карт. Сайт обнаружили специалисты компании Reason Labs.
• Семейство программ-вымогателей Mailto (NetWalker) научилось внедрять вредоносный код в легитимный системный процесс Проводника Windows (Windows Explorer). Благодаря этой тактике шифровальщик успешно обходит детектирование антивирусными средствами.
• Эксперты Positive Technologies обнаружили в большинстве выпущенных за последние пять лет чипсетов Intel неустранимую уязвимость. Эксплуатируя уязвимость CVE-2019-0090, локальный злоумышленник может извлечь корневой ключ платформы (chipset key), который записан в микросхеме PСH, и получить доступ к зашифрованным этим ключом данным. При этом невозможно зафиксировать сам факт утечки ключа.
• Группа специалистов из американских и европейских университетов обнаружила новую уязвимость в процессорах Intel — Load Value Injection (LVI). Ошибка базируется на других видах уязвимостей системы, в частности, Meltdown. С помощью Load Value Injection хакер получает доступ к приватной информации пользователя.
• Компания Microsoft выпустила патч для критической уязвимости CVE-2020-0796 в сетевом протоколе SMB 3.1.1. Специалисты по информационной безопасности считают, что данная уязвимость может быть использована для запуска червя, аналогичного WannaCry. Microsoft присваивает уязвимости критический рейтинг, то есть озаботиться ее закрытием стоит максимально срочно.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий рассказал, почему в аутсорсинговых SOC не бывает квалифицированных кадров. По словам автора, обучение персонала занимает почти год, а среди аналитиков 1 линии огромная текучка, туда идут молодые и неопытные сотрудники. Держать же квалифицированных аналитиков в таких SOC не выгодно с точки зрения бизнеса.
• Портал Anti-Malware.ru рассказал о ключевых моментах XII Уральского форума. Среди основных тем обсуждались переход от compliance-модели к риск-ориентированной, что такое киберучения, какие законопроекты готовятся и уже приняты, зачем нужны Единая биометрическая система и «Мастерчейн», как борются с социальной инженерией и что скрывается за аббревиатурой ЕИС ПСА.
• Пост компании 1cloud на Хабре посвящен тому, что каждый из нас может сделать для защиты персональных данных. Помимо базовых советов об использовании менеджеров паролей и двухфакторной аутентификации и внимательного отношения к письмам и потенциальным признакам фишинга, авторы рассказали о менее очевидных моментах, касающихся ИБ при работе с интернет-сервисами.
• В блоге R‑Vision опубликована краткая выжимка из докладов представителей ФСТЭК, прозвучавших на конференции Актуальные вопросы защиты информации, которая состоялась в рамках ТБ Форума 12 февраля 2020. Регулятор озвучил свои планы по подготовке новых документов, изменению подхода к сертификации СЗИ и представил проект новой методики моделирования угроз.

Интересные посты англоязычных блогов по ИБ

• В 2019 году стало больше краж и нарушений, связанных с цифровой идентификацией, чем когда-либо прежде, несмотря на использование многофакторной аутентификации. Новые технологии аутентификации на основе искусственного интеллекта и машинного обучения станут мейнстримом в 2020 году. Shahrokh Shahidzadeh выделил несколько ключевых тенденций на 2020 год, связанных с управлением доступом к удостоверениям личности (IAM).
• Эксперты FireEye в своем блоге отметили важность работы аналитика в процессе реагирования на угрозы ИБ. В качестве примера авторы привели обнаружение ранее неизвестного вредоносного ПО — бэкдора DUOBEAN.
• Аналитики Recorded Future начали серию публикаций из второго издания книги «The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program». Глава посвящена повышению эффективности реагирования на инциденты с помощью киберразведки. Авторы выделяют две области, где она может быть особенно полезна — это выявление возможных угроз и расстановка приоритетов.

Исследования и аналитика

• Банк России опубликовал Обзор операций, совершенных без согласия клиентов финансовых организаций за 2019 год. Согласно ему, большинство хищений со счетов граждан происходит в результате получения злоумышленниками прямого доступа к электронным средствам платежа либо побуждения граждан самостоятельно перевести деньги в пользу мошенников. Средняя сумма одной операции без согласия клиента по счетам физлиц в 2019 году составила 10 000 рублей, а со счетов юридических лиц – 152 000 рублей.
• Специалисты компании CrowdStrike обращают внимание на растущую популярность кибератак, в которых отсутствует как таковой файл вредоносной программы. Согласно отчёту Global Threat Report 2020, бесфайловые атаки в прошлом году составили 51% от общего числа киберпреступных кампаний. А в 2018-м их доля была всего 40%. По мнению экспертов, отсутствие файлов вредоносных программ в киберпреступных кампаниях нивелирует антивирусные инструменты в качестве основной защитной меры.
• Компания Intel поделилась интересной статистикой на прошедшей недавно в США конференции RSA 2020. Оказывается, лишь 5% уязвимостей (11 из 236), исправленных инженерами компании в прошлом году, были связаны с процессорами. В отчете 2019 Product Security Report также сообщается, что из 92 уязвимостей, о которых компанию уведомили сторонние исследователи, 70 были доведены до сведения Intel через официальную программу поиска уязвимостей.
• Специалисты китайской ИБ-компании Qihoo 360 опубликовали отчет, в котором обвинили ЦРУ в хакерских атаках на китайские компании и правительственные учреждения. Причем атаки, по словам исследователей, длились более 11 лет. Аналитики утверждают, что с сентября 2008 года по июнь 2019 года ЦРУ взламывало различные цели в области авиационной и нефтяной промышленности Китая, научно-исследовательские институты, а также интернет-компании и государственные учреждения.
• В ежегодном отчете Cisco CISO Benchmark Report отмечается, что цифровая трансформация несет с собой множество инфраструктурных изменений, что создает новые проблемы для специалистов по безопасности. 42% респондентов страдают от выгорания, 96% из них одной из главной причин своего состояния считают необходимость работать со множеством решений от разных поставщиков, что является непростой задачей.
• Инженеры компании Microsoft представили доклад, согласно которому 99,9% скомпрометированных учетных записей не использовали многофакторную аутентификацию, которая способна остановить большинство автоматических атак на учетные записи. Эксперты сообщили, что около 0,5% всех учетных записей подвергаются компрометации каждый месяц, а в январе 2020 года их количество составило около 1,2 миллиона.
• Аналитики Verizon подготовили отчёт «Mobile Security Index», основанный на опросе 876 специалистов, ответственных за покупку, настройку и защиту мобильных устройств. За год доля компаний, пострадавших от взлома через мобильные устройства, выросла с 33% до 39%. 66% компаний, пострадавших от этого вектора атаки, заявили, что последствия были довольно серьёзными. В 55% случаев организации ещё долго оправлялись от таких атак.
• McAfee опубликовала отчет о мобильных угрозах Mobile Threat Report 2020, в котором сказано, что хакеры используют скрытые мобильные приложения, сторонние логины и поддельные игровые видео для атаки на пользователей. Основываясь на новых исследованиях, McAfee обнаружила, что атаки стали более скрытыми, их стало сложнее обнаружить и удалить. Эти факты заставляют думать, что 2020 год будет годом скрытых мобильных атак.
• Один из интересных выводов из отчета FireEye M-Trends 2020 состоит в том, что среднее время пребывания злоумышленника незамеченным составляет теперь 56 дней (в 2011 году оно составляло 416 дней). А также впервые с 2015 года большинство организаций получают уведомления о компрометации от внешних источников (53%) в то время, как от внутренних команд — 47%.

Громкие инциденты ИБ

• Приблизительно семь тысяч записей, содержащих полные имена, электронную почту, должность, подразделение и статус сотрудников Mail.ru Group оказались в Сети. В частности, были скомпрометированы данные генерального директора и первого заместителя. По словам модераторов Telegram-канала Readovka, слитая информация актуальна (датируется началом 2020 года).
• EMCOR Group, входящая в рейтинг Fortune 500 и состоящая из 80 компаний, насчитывающих более 33 000 сотрудников по всему миру, стала жертвой шифровальщика Ryuk. Представители EMCOR Group сообщают, что пострадали лишь «определенные ИТ-системы», которые были быстро отключены, чтобы сдержать распространение малвари.
• ЕВРАЗ, одна крупнейших металлургических и горнодобывающих компаний в мире, стала жертвой атаки программы-вымогателя, известной под именем Ryuk. Шифровальщику удалось остановить работу филиалов компании в Северной Америке.
• Британский поставщик телефонных, телевизионных и интернет-услуг Virgin Media сообщил об утечке данных, произошедшей в связи с отсутствием защиты сервера базы данных. В результате инцидента в Сети оказалась личная информация примерно 900 тыс. пользователей, составляющих около 15% всей клиентской базы компании.
• Одна из крупнейших аптечных сетей в США, Walgreens, сообщила, что в ее официальном мобильном приложении присутствовал баг, раскрывающий личные данные пользователей. Android-приложение Walgreens насчитывает более 10 000 0000 загрузок в Google Play, а приложение для iOS имеет более 2 500 000 миллионов оценок.
• В Сеть утекла база данных с информацией о клиентах международного криптовалютного фонда Trident Crypto Fund, в которой содержится около 10 тыс. записей о россиянах — это крупнейшая утечка данных о криптовкладчиках из РФ. В базе содержатся электронные почты и пароли клиентов, с помощью которых мошенники могут зайти в личный кабинет и вывести вложенные деньги на свои электронные кошельки.
• Обнаружена открытая база данных с широким спектром сведений о владельцах недвижимости в США. Незащищенный паролем сервер Google Cloud был найден командой исследователей Comparitech. Всего на сервере было более 200 млн записей. В частности, утекла такая информация, как домашние адреса и адреса электронной почты, возраст, половая и этническая принадлежность, данные о трудоустройстве, кредитные рейтинги, инвестиционные предпочтения, размер годового дохода, стоимость активов.
• Специалисты компании White Ops обнаружили обнаружили тысячи взломанных маршрутизаторов Asus (по оценкам, 50 тыс. — 120 тыс.). Доступ к некоторым устройствам Asus предлагается всего за несколько долларов. Данные размещены на сайте avatools[.]Ru, который был запущен в августе прошлого года и в настоящее время насчитывает около 100 активных пользователей.