16.10.2020
- Организации European Network for Cyber Security (ENCS) и European Distribution System Operators’ Association (E.DSO) выпустили требования по кибербезопасности для распределенной автоматизации (Distribution Automation, DA) устройств связи с объектом (Remote Terminal Units, RTU).
- Компании в сфере кибербезопасности обнаружили активность в России хакерской группировки XDSpy, которая провела как минимум четыре успешные атаки на государственный сектор и промышленные предприятия. Ранее аналогичную активность заметили и в Белоруссии. Исследователи предполагают, что группировка собирает разведданные для какого-либо иностранного правительства либо продает информацию прогосударственным хакерам.
- Группа «белых» хакеров обнаружила в онлайн-инфраструктуре Apple множество уязвимостей, включая такую, которая позволила бы злоумышленникам похищать файлы из учетных записей iCloud. Всего было выявлено 55 уязвимостей, среди которых 11 были помечены как «критические».
- Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker, который злоупотребляет механизмами, стоящими за уведомлениями о входящих звонках и кнопкой «Домой» (Home). Как и большинство мобильных вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует доступ к телефону, при этом вредонос выдает себя за МВД РФ.
- Исследователь из компании MDSec обнаружил, что клиент Центра обновления Windows может быть проэксплуатирован злоумышленниками для выполнения вредоносного кода на системе в рамках метода Living off the Land (LotL), загружая его из произвольной, специально созданной библиотеки DLL.
- Проект LetsDefend.io открыл общий доступ к сервису, позволяющему сымитировать рабочее окружение корпоративного Центра мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC). По словам разработчиков, новый симулятор располагает широким набором реальных событий и будет полезен для аналитиков соответствующего профиля, специалистов по реагированию на киберинциденты и создателей SIEM-систем.
- В рамках октябрьского «вторника обновлений» компания Microsoft устранила 87 уязвимостей в своих продуктах, включая 11 критических уязвимостей и 21 проблему удаленного выполнения кода (RCE).
- Страны-участницы альянса Five Eyes (который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании), а также Индия и Япония в очередной раз призвали технологические компании оставлять бэкдоры в своих продуктах, чтобы правоохранительные органы имели доступ к контенту в удобочитаемом и удобном формате.
- Американское Агентство по кибербезопасности CISA сообщило, что киберпреступникам удалось получить доступ к правительственным сетям, объединив уязвимости Windows и VPN. Кибератаки были нацелены на федеральные и государственные, местные, территориальные (SLTT) американские правительственные сети. Агентство по кибербезопасности CISA заявило, что атаки на негосударственные структуры также были выявлены.
Интересные посты русскоязычных блогов по ИБ
- Эксперты Ростелеком-Solar поделились своим опытом построения процесса выявления и реагирования на инциденты ИБ. По словам аналитиков, они сознательно не строили многоуровневую линейную модель эскалации расследования инцидентов по линиям, а выстроили свой принцип маршрутизации тикетов и автоматизации процессов.
- Дмитрий Лифанов рассказал в блоге на Хабре о том, как команда Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT сформировала сценарный подход к выявлению угроз и как они используют его на практике для защиты своих клиентов.
- Алексей Лукацкий обсудил в блоге тему регулярного пересмотра метрик в SOC. По мнению автора, система оценки эффективности SOC должна эволюционировать вместе с SOCом и разработанные метрики должны регулярно пересматриваться.
- Другой блог Алексея Лукацкого посвящен анализу нового положения Банка России 719-П, который пришел на смену 382-П. Автор приводит отличия данного документа от предшественника и дает свои комментарии к положению.
- Эксперты компании TrendMicro рассказали о том, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.
Интересные посты англоязычных блогов по ИБ
- James Baxter составил список обязательных к прочтению книг по кибербезопасности. В него входят такие издания, как например «Призрак в Сети» Кевина Митника и «Взломайте свою жизнь сейчас» Девина Кроппа и Шона Бейли.
- Joshua Wright рассказал о малоизвестной функции Windows, позволяющей злоумышленникам скрывать постоянные службы из поля зрения, создавая возможность избежать обнаружения угроз.
- Brian Carney в своей статье затронул тему создания убедительных доказательств судебной экспертизы. Затронута темы визуализация невизуальных доказательств, приведены различные приёмы, позволяющие представить информацию в удобной форме.
- Augusto Barros поделился своими мыслями о мониторинге и управлении уязвимостями. Описаны основные приёмы, позволяющие повысить эффективность управления уязвимостями: приоритезация результатов сканирования для выбора наиболее опасных уязвимостей и компенсирующие меры, позволяющие защититься от уязвимости нулевого дня или в случае невозможности быстрой установки закрывающего уязвимость патча.
Исследования и аналитика
- Более 60% компаний потеряют важные внутренние данные в случае кибератаки. Такую статистику в ходе тестирований на проникновение собрали специалисты компании BI.ZONE, опубликовавшие исследование под названием «Threat Zone 2020». Экспертам удалось получить доступ в сеть атакованной компании в каждом четвёртом проекте тестирования на проникновение.
- Аналитики «Лаборатории Касперского» рассказали об обнаружении шпионской кампании, которая использовала сложную модульную структуру MosaicRegressor, куда, в числе прочего, выходил буткит для Unified Extensible Firmware Interface (UEFI), всего второй известный экспертам за всю историю наблюдений.
- «Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, существующий как минимум с 2018 года и предназначенный для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
- Компания CheckPoint опубликовала Глобальный индекс угроз Global Threat Index for September 2020, который показал, что обновленная версия вредоносного ПО Valak впервые вошла в индекс, заняв 9- е место по распространенности. Троян Emotet остается на 1- м месте третий месяц подряд.
- Аналитики Digital Security обратили внимание на проблему безопасности методанных и подготовили материал, в котором помогают разобраться в понятиях и рассказывают какие метаданные можно найти в создаваемых файлах и что с ними происходит при размещении в Сеть, какие опасности таят метаданные и что необходимо предпринять, чтобы обезопасить себя от утечки вашей личной информации.
- В техническом документе MixMode The Data Overload Problem in Cybersecurity исследованы проблемы перегрузки данных, преследующие отрасль кибербезопасности. В документе описано, как организации могут значительно уменьшить или даже полностью устранить многие из этих проблем, приняв решение на основе искусственного интеллекта для анализа поведения сети в контексте текущих данных.
- Согласно отчёту Arctic Wolf 2020 Annual Arctic Wolf Security Operations Report, количество слитых корпоративных учётных данных (включая пароли в виде простого текста) в дарквебе увеличилось на 429% с марта 2020 года. Таким образом, в среднем на одну организацию может приходиться по 17 скомпрометированных учётных данных, которые могут попасть в руки злоумышленников.
- Согласно новому исследованию (ISC)2 2020 Cybersecurity Perception Study большинство рабочих в Великобритании и США сейчас положительно относятся к профессионалам в области кибербезопасности, хотя 69% не рассматривают возможность карьеры в этой отрасли.
- Всемирный экономический форум (ВЭФ) опубликовал свой ежегодный доклад о восприятии лидерами мирового бизнеса региональных рисков для ведения бизнеса. Он предлагает интерактивные карты, чтобы увидеть, какие риски глобальные и региональные бизнес-лидеры рассматривают как самые большие. Кибератака занимает в мировом масштабе 4-е место, но Россия и Китай вообще не включают кибератаки в свою первую пятерку рисков.
- Специалисты проекта DFIR Report представили подробное описание всех этапов атаки с использованием вымогательского ПО Ryuk. По данным отчета, атака с использованием вымогательского ПО Ryuk занимает 29 часов, начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.
- Атаки программ-вымогателей продолжают расти. Согласно данным исследовательской компании Kroll Ransomware Attack Trends – 2020, программы-вымогатели были самой распространенной проблемой безопасности, с которой ей приходилось бороться в 2020 году, в то время как на атаки программ-вымогателей приходилось более одной трети всех случаев до сентября.
- Компании Interisle провела исследование Phishing Landscape 2020 фишинговых атак с целью лучше понять, сколько и где фишинга происходит, а также посмотреть более эффективные способы борьбы с фишингом. Один из самых важных выводов заключается в следующем: регистраторы доменных имен и операторы реестров имеют прекрасные возможности для обнаружения и предотвращения большей части фишинга, который происходит на злонамеренно зарегистрированных доменах.
Громкие инциденты ИБ
- Компания из Филадельфии, разрабатывающая софт для медицинских лабораторий, стала жертвой хакерской атаки, из-за чего разработка вакцин, в том числе от COVID-19, была на некоторое время приостановлена.
- Инфраструктура крупной компании-разработчика Software AG пострадала от атаки с использованием программы-вымогателя Clop. Операторы Clop проникли во внутренние сети компании и зашифровали файлы. За восстановление документов вымогатели потребовали свыше $20 млн — один из крупнейших выкупов за всю историю вымогательских атак.
- Крупнейшая в США компания по продажам книг Barnes & Noble сообщила о кибератаке на свои сети, в результате которой могла произойти утечка данных клиентов.
- Хакерская группировка выставила на продажу доступ к более чем 50 тыс. взломанных домашних камер видеонаблюдения, включая видеозаписи.
- Несколько хакерских групп из Армении атаковали банки Азербайджана. Одной из групп удалось взломать банковские базы данных и «слить» персональные данные около 520 тысяч клиентов.
- Сайт национального архива Белоруссии подвергся хакерской атаке. Ответственность за взлом взяли на себя «Кибер-партизаны».
Обзор событий предстоящих недель 19.10 – 30.10
Онлайн-конференции
21 октября
22 октября
28 октября
29 октября
Anti-Malware Live: Выбор эффективной SOAR-системы
Global Information Security Days 2020: Кибербезопасность новой реальности
Anti-Malware Live: Эффективная защита от DDoS-атак
IDC Security Digital Forum 2020. Будущее информационной безопасности IDC Security Digital Forum 2020. Будущее информационной безопасности
Посетить
22 октября
22 октября
27 октября
27 октября
28 октября
28 октября
29 октября
29 октября
Конференция «Код информационной безопасности»
Конференция «Код информационной безопасности»
II Всероссийская научно-практическая конференция «Социотехнические и гуманитарные аспекты информационной безопасности»
XIII Тюменский цифровой форум/выставка ИНФОТЕХ 2020
Послушать
21 октября, 12:00
22 октября, 9:00
22 октября, 14:00
27 октября, 11:00
28 октября, 12:00
29 октября, 11:00