Дайджест информационной безопасности №185 за период с 13 по 24 апреля 2020

Новости ИБ

• Компания Intel исправила девять уязвимостей в ряде программных продуктов, прошивок и платформ в рамках ежемесячного обновления через платформу Intel Platform Update. Эксплуатация уязвимостей позволяла злоумышленникам вызвать состояние отказа в обслуживании и повысить привилегии через локальный или смежный доступ на уязвимых системах.
• ИБ-исследователи из компании ReversingLabs сообщили об обнаружении 725 вредоносных библиотек, похищавших содержимое буфера обмена, в официальном репозитории RubyGems. Все обнаруженныевредоносны были клонами различных легитимных библиотек.
• В компании Ricerca Security создали первый PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ), позволяющий удаленно выполнить код. Они опубликовали  техническое описание и демо-видео. Системным администраторам, до сих пор не установившим исправление для CVE-2020-0796, настоятельно рекомендуется сделать это как можно скорее.
• Разработчики OpenSSL выпустили обновление безопасности для криптографической библиотеки OpenSSL, устраняющее опасную DoS-уязвимость (CVE-2020-1967). Эксплуатация уязвимости позволяет злоумышленнику осуществлять атаки типа «отказ в обслуживании» (DoS). Это первая проблема, обнаруженная в OpenSSL в 2020 году.
• Специалист ИБ-компании Agile Information Security Pedro Ribeiro раскрыл подробности о четырех неисправленных уязвимостях в ПО корпоративного класса IBM Data Risk Manager (IDRM), предназначенном для анализа активов организации и связанных с ними рисков. Исследователь решил предать огласке информацию об уязвимостях и PoC-эксплоиты для них после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.

Интересные посты русскоязычных блогов по ИБ

• На портале Российского совета по международным делам опубликована статья эксперта совета президента ГК «Эшелон» Алексея Сергеевича Маркова «Информационная безопасность в условиях пандемии COVID-19». В публикации подробно рассмотрены актуальные киберугрозы, связанные с пандемией COVID-19.
• Ксения Шудрова отмечает главные моменты новой «Методики моделирования угроз безопасности информации» ФСТЭК. А Андрей Прозоров приводит аргументы, почему новый проект методики моделирования угроз от ФСТЭК не готов стать единственной, универсальной и обязательной методикой.
• Андрей Прозоров поделился своей презентацией «Различия в подходах к обработке и защите ПДн в РФ и Европе».
• Алексей Лукацкий делится мнением о смене приоритетов в ИБ в связи с пандемией коронавируса, в частности рассматривает проблему безопасной организации удалённого доступа.
• R‑Vision рассказывает «Что такое threat intelligence и как применять?». В статье разъясняется сам термин «threat intelligence», разбираются элементы, составляющие TI, анализируется ценность threat intelligence и этапы работы с TI.

Интересные посты англоязычных блогов по ИБ

• Brian Foster советует сотрудникам в сфере информационной безопасности использовать ИИ и машинное обучение, чтобы успешно противостоять современным атакам, которые тоже используют ИИ и МО. Автор рассказывает о концепции «нулевого доверия» и её основных тезисах.
• Brian Krebs, взяв за основу данные «Коалиции киберугроз COVID-19», размышляет о вызовах, стоящих перед специалистами по ИБ во время пандемии – например о растущем количестве атак.
• Checkpoint делится мнением о том, как реализовать надежные многоуровневые механизмы безопасности в современной облачной инфраструктуре, в частности, актуальные методы защиты микросервисной архитектуры.
• Marc Wilczek рассуждает о развитии киберпреступности в современном мире – к 2021 году она может стать 3-й экономикой в мире по своей величине. Автор говорит об основных ее особенностях и о том, какие риски для бизнеса она с собой приносит. Основные моменты: индустриализация киберпреступности, командный подход к развитию сообществ злоумышленников и больший упор на программы-вымогатели.

Исследования и аналитика

• Эксперты Positive Technologies проанализировали уязвимости и угрозы в мобильных банках. В банковских мобильных приложениях есть уязвимые места, что может привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера.
• За 2019 год финансовые вредоносы атаковали 773 943 пользователей в мире, более 30% этих пользователей находились в России. Специалисты антивирусной компании «Лаборатория Касперского» вычислили, что 45% атак были нацелены на корпоративный сектор. В мире доля атакованных корпоративных пользователей составила 35%, этот показатель тоже вырос в сравнении с прошлыми годами.
• Компания InfoWatch представила третье сравнительное исследование утечек информации, произошедших по вине или неосторожности персонала (включая руководство) коммерческих компаний, государственных органов и организаций. Рассматриваемый период — с 2013 по 2019 год.
• Специалисты Group-IB сообщают, что на рынке фишинг-китов («конструкторов» для массового создания фишинговых сайтов) наблюдается подъем продаж. Эксперты объясняют рост популярности фишинг-китов низким порогом входа на этот рынок и простотой реализации схемы заработка. В 2019 году брендами-фаворитами, от имени которых создавались фальшивые страницы, у создателей фишинг-китов были Amazon, Google и Office 365.
• Исследователи Lookout обнаружили длительную кампанию слежки, связанную с сирийскими хакерами, которые недавно начали использовать коронавирус в качестве новейшей приманки для загрузки вредоносных программ. Эта кампания была активна с начала января 2018 года и нацелена на арабоязычных пользователей, вероятно, в Сирии и прилегающем регионе.
• В связи с пандемией коронавируса федеральное правительство США внедряет пакет «Экономические платежи за 2 триллиона долларов», чтобы помочь экономике. Исследователи CheckPoint обнаружили, что с января во всем мире было зарегистрировано 4 305 доменов, связанных с новыми пакетами помощи.
• Исследователи в области кибербезопасности из Kenna Security изучили, как меняется поверхность атаки в зависимости от используемой операционной системы. Специалисты проанализировали системы от Apple or Microsoft, а также Linux- и Unix-платформы. Однако согласно отчёту «Prioritization to Prediction (volume 5): In Search of Assets at Risk», наибольшему риску пользователей по-прежнему подвергает Windows 10 – в среднем 14 эксплуатируемых уязвимостей.

Громкие инциденты ИБ

• Злоумышленники с помощью шифровальщика Ragnar Locker заблокировали информационные ресурсы транснационального энергетического гиганта Energias de Portugal (EDP) и требуют за возврат данных более $10 млн. Операторы вируса-шифровальщика Ragnar Locker утверждают, что в ходе кибератаки на EDP им удалось похитить 10 ТБ данных.
• Злоумышленники выставили на продажу в даркнете более 267 млн профилей Facebook за £500 (примерно $620). Большинство записей содержали полное имя пользователя, его номер телефона и уникальный идентификатор Facebook. Большинство пострадавших пользователей были из Соединенных Штатов. База данных находилась в свободном доступе почти две недели.
• Компания Group-IB обнаружила, что в даркнете появились объявления о продаже 4,2 тыс. аккаунтов сервиса для видеоконцеренций Zoom, из которых 31 принадлежит пользователя в домене .ru. Объявления появились на трех подпольных площадках сети.
• Представители ФБР сообщили, что хакеры начали взламывать сайты ведомств, занимающихся изучением коронавируса. Мошенники пытаются получить данные о разработках вакцины от COVID-19 для того, чтобы продать их на черном рынке.
• Технические службы международного аэропорта имени Вацлава Гавела в Праге отразили несколько кибератак в течение последних дней. Нападавшие пытались получить пароли для подключения к компьютерной системе аэропорта. Взлом осуществить не удалось.
• На хакерских форумах опубликованы данные о 20 млн пользователей Aptoide — стороннего магазина приложений для Android-устройств. Опубликованные данные включают имена, адреса электронной почты, пароли, данные об устройстве и даты рождения пользователей.
• Крупный поставщик ИТ-услуг, американская компания Cognizant, стал жертвой шифровальщика Maze. Атака привела к перебоям в обслуживании некоторых клиентов.
• Специалисты компании Cisco Talos сообщили о новой вредоносной кампании против правительственных учреждений и промышленных предприятий Азербайджана, в ходе которой злоумышленники используют тему коронавируса с целью заражения сетей трояном для удаленного доступа (RAT).