Дайджест информационной безопасности №195 за период с 7 по 18 сентября 2020

Новости законодательства

• Правительство РФ изменило официальное сокращенное название Министерства цифрового развития, связи и массовых коммуникаций РФ с «Минкомсвязь России» на «Минцифры России». Изменения вносятся в положение о Министерстве цифрового развития, связи и массовых коммуникаций РФ.
• Опубликован приказ Федеральной службы по техническому и экспортному контролю от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». Комментарии можно прочитать в блоге Алексея Лукацкого.

Новости ИБ

• Специалисты компании Intezer обнаружили первую в мире атаку на облачную среду с использованием легитимных инструментов. Группировка TeamTNT отказалась от вредоносного ПО в пользу легитимного инструмента для визуализации Docker и Kubernetes.
• Министр иностранных дел Китая Ван И заявил о готовности Пекина запустить инициативу по глобальной безопасности данных, которая должна стать ответом на современные проблемы и вызовы.
• Подразделение Tencent по информационной безопасности обнаружило новый вирус-майнер, названный MrbMiner. Вирус заражает серверы СУБД Microsoft SQL для добычи криптовалют. Ботнет сканирует доступные IP-адреса в поисках серверов Microsoft SQL, и, при обнаружении такого, пытается войти под учетной записью администратора с помощью подбора пароля.
• Агентство национальной безопасности США опубликовало руководство для системных администраторов по защите систем от буткитов и руткитов. В 39-страничном пособии рассказывается о безопасности UEFI и режиме безопасной загрузки (Secure Boot).
• Корпорация MITRE совместно с партнерами из сферы кибербезопансти запустила проект под названием Adversary Emulation Library, в рамках которого намерена публиковать так называемые планы эмуляции, имитирующие атаки крупнейших на сегодняшний день хакерских группировок. Проект, поддерживаемый фондом MITRE Engenuity, призван помочь командам безопасности обеспечить более эффективную защиту компьютерных сетей.
• Команда исследователей из Университета Темпл в Филадельфии (США) представила проект под названием CIRWA (Critical Infrastructures Ransomware Attacks) — репозиторий, предоставляющий информацию об атаках с использованием программ-вымогателей на объекты критической инфраструктуры.
• Исследователи из Колумбийского университета создали инструмент CRYLOGGER, предназначенный для динамического анализа Android-приложений и обнаружения небезопасных криптографических практик. Они убеждены, что разработали мощный инструмент, который  можно использовать наряду с CryptoGuard.
• Эксперты из Университета Пердью предупредили, что миллиарды смартфонов, планшетов, ноутбуков и IoT-устройств, использующие Bluetooth Low Energy (BLE), уязвимы перед новой атакой BLESA (Bluetooth Low Energy Spoofing Attack).

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий опубликовал ранее невыкладываемую презентацию с «Кода ИБ» «13 советов, от которых зависит успешность вашего SOC», который проходил более года назад. В этой презентации что-то уже не так актуально, но что-то продолжает оставаться достаточно важным и полезным.
• Сергей Борисов поделился видео-обзором основных изменений в требованиях безопасности значимых объектов критической инфраструктуры (приказ 239).
• Валерий Комаров также поделился своим анализом изменений 239 приказа ФСТЭК и представил в наглядной форме изменения между публичным проектом и окончательной версией.
• На портале ib-bank опубликованы вредные советы по киберграмотности.

Интересные посты англоязычных блогов по ИБ

• Антон Чувакин поделилися своим видением концепции «триады видимости безопасности» на сегодняшний день, которую он придумал пять лет назад, работая над документом по SOC в Gartner. По мнению автора, концепция до сих пор актуальна и пользуется популярностью, хотя и произошли некоторые изменения.
• В настоящее время уязвимость конфиденциальных данных занимает 3-е место в  списке 10  самых серьезных угроз безопасности приложений OWASP. Джейсон Лейн описал распространенные сценарии неправильной обработки конфиденциальных данных и предложил способы их защиты.
• Forensic Focus представили статью о сроках проведения цифровой криминалистической экспертизы от расследования до суда. В статье представлены различные аспекты временных рамок, которые помогают описать ситуацию, чтобы объяснить ее клиентам, адвокатам, присяжным и другим заинтересованным сторонам.
• По мере того, как предприятия все глубже внедряют 5G в свою цифровую деятельность, их влияние на безопасность может оказаться значительным. В блоге Palo Alto Networks приведены пять основных моментов безопасности, которые следует учитывать при развертывании 5G для предприятий.

Исследования и аналитика

• По данным нового отчёта Kaspersky ICS CERT, в первые шесть месяцев 2020 года доля атакованных компьютеров выросла по сравнению с предыдущим полугодием с 38% до почти 40% в системах автоматизации зданий и с 36,3% до 37,8% в АСУ ТП нефтегазовой отрасли. В целом же эксперты сообщили о глобальной тенденции к снижению доли атакованных компьютеров АСУ ТП.
• Аналитики «Лаборатории Касперского» подсчитали, что в первой половине 2020 года количество атак на образовательные ресурсы в России резко возросло. Так, в период с января по июнь 2020 года этот показатель был выше значений предыдущего года на 350% и более.
• В августе анализ вирусной активности от Dr.Web показал значительное снижение общего числа обнаруженных угроз — на 67.16% по сравнению с июлем. Количество уникальных угроз снизилось на 9.85%. Большинство обнаруженных угроз по-прежнему приходится на долю рекламных программ, а также загрузчиков и установщиков вредоносного ПО.
• Dr.Web представил обзор вирусной активности для мобильных устройств в августе 2020 года. В августе на Android-устройствах было выявлено на 2,21% больше угроз, чем в июле. Количество вредоносных программ при этом увеличилось на 6,26%, в то время как число нежелательных приложений сократилось на 0,49%, потенциально опасных — на 13,82%, а рекламных — на 10,1%.
• Эксперты Positive Technologies выявили новую атаку китайской хак-группы Winnti (она же Suckfly, APT41, Wicked Panda, Barium и так далее), а также изучили ее новый инструментарий и инфраструктуру. Скомпрометированные организации получили соответствующие уведомления об имеющихся рисках по линии национальных CERT. Среди них, в числе прочих, оказались пять разработчиков ПО для финансовых организаций из Германии и России.
• Эксперты компании Check Point представили ежемесячный отчет об угрозах Global Threat Index за август 2020 года. По данным исследователей, обновленный троян Qbot (он же QuakBot, Qakbot и Pinkslipbot) впервые вошел в десятку самых распространенных вредоносов в мире, где занял последнее десятое место.
• Специалисты ИБ-компании Claroty обнаружили опасные уязвимости в популярном решении для лицензирования и управления цифровыми правами (DRM) CodeMeter от немецкого производителя Wibu-Systems. Согласно их отчету License to kill: leveraging license management to attack ics networks, уязвимости могут эксплуатироваться злоумышленниками для удаленных атак на промышленные системы.
• Компания KnowBe4 в отчете Measure to Improve — Security Culture Report 2020 представила разработки объективного научного метода оценки и сравнения относительных компонентов культуры безопасности организации. Аналитики обнаружили, что между хорошими и плохими исполнителями не такая уж большая разница. Выяснилось, что банковские и финансовые сектора имеют самую высокую среднюю культуру безопасности (76 баллов).
• 97% компаний, занимающихся кибербезопасностью, допускали публикации утечки собственных данных в дарквебе. Такую статистику привели исследователи из ImmuniWeb. Также в отчёте аналитиков утверждается, что в среднем более 4000 украденных учётных данных и другой конфиденциальной информации приходится на одну ИБ-компанию.
• Анализ кибератак на ханипотах показывает, что большинство атак направлены на ведение майнинга криптовалют на скомпрометированных серверах. Согласно отчету Aqua Security, 95% из 16 371 атаки на ее серверы-ловушки за последний год были направлены на добычу криптовалют путем захвата вычислительной мощности вредоносными программами.
• Исследование компании Trend Micro показало, что 39% сотрудников используют личные устройства для доступа к корпоративным данным, чаще всего это происходит через облачные сервисы и приложения. В рамках исследования специалисты опросили 13 тыс. работающих удаленно сотрудников компаний в 27 странах.
• Qrator Labs оценили влияние возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов интернета. Исследование The 2020 National Internet Segment Reliability Research объясняет, каким образом отказ одной автономной системы влияет на глобальную связность отдельного региона. В большинстве случаев крупнейшая автономная система в регионе является доминирующим интернет-провайдером на рынке.
• Компания Acronis для своего отчета Cyber Readiness Report 2020 провела опрос 3 400 ИТ-менеджеров и удаленных сотрудников из 17 стран, чтобы выявить основные проблемы информационной безопасности, распространенные угрозы и методы борьбы с киберпреступниками во время всеобщего перехода на удаленную работу со стороны организаций.

Громкие инциденты ИБ

• Крупнейшая в Пакистане частная энергетическая компания K-Electric стала очередной добычей операторов вымогательского ПО Netwalker. По данным ресурса Bleeping Computer, 7 сентября поставщик подвергся кибератаке, которая привела к сбою в работе биллинговых и online-сервисов K-Electric.
• Хакеры взломали словацкую криптобиржу Eterbase, о чем она сообщила в своем официальном Telegram-канале. Компания опубликовала адреса кошельков, на которые были переведены средства. Согласно этим данным, было украдено около $4 млн в Bitcoin (BTC), Ethereum (ETH), токенах Ripple (XRP) и других криптовалютах.
• Производитель игровой периферии Razer столкнулся с крупной утечкой данных клиентов. Об этом сообщил Боб Дьяченко, независимый эксперт по безопасности. Из-за ошибки на сервере в сети оказались такие пользовательские данные, как подробности заказов, телефоны, адреса доставки и адреса выставления счетов.
• Известный ИБ-эксперт и основатель компании Sanguine Security (SanSec) Виллем де Грот (Willem de Groot) предупредил о крупнейшей в истории кампании, направленной на компрометацию интернет-магазинов на базе e-commerce платформы Magento. По словам специалиста, это самая масштабная атака с 2015 года.
• Один из трех крупнейших банков Чили BancoEstado вынужденно приостановил работу своих отделений 7 сентября после атаки вируса-вымогателя. По информации близкого к расследованию источника, внутренняя сеть финучреждения была заражена вымогателем REvil (Sodinokibi) после открытия сотрудником вредоносного документа Office.
• Компания Group-IB зафиксировала с 9 по 16 сентября фейковую рассылку писем от имени ректора МГУ, в которых содержится программа для кражи паролей. Среди получателей — финансовые, промышленные и государственные организации России.