Дайджест информационной безопасности №197 за период с 5 по 16 октября 2020

• Организации European Network for Cyber Security (ENCS) и European Distribution System Operators’ Association (E.DSO) выпустили требования по кибербезопасности для распределенной автоматизации (Distribution Automation, DA) устройств связи с объектом (Remote Terminal Units, RTU).
• Компании в сфере кибербезопасности обнаружили активность в России хакерской группировки XDSpy, которая провела как минимум четыре успешные атаки на государственный сектор и промышленные предприятия. Ранее аналогичную активность заметили и в Белоруссии. Исследователи предполагают, что группировка собирает разведданные для какого-либо иностранного правительства либо продает информацию прогосударственным хакерам.
• Группа «белых» хакеров обнаружила в онлайн-инфраструктуре Apple множество уязвимостей, включая такую, которая позволила бы злоумышленникам похищать файлы из учетных записей iCloud. Всего было выявлено 55 уязвимостей, среди которых 11 были помечены как «критические».
• Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker, который злоупотребляет механизмами, стоящими за уведомлениями о входящих звонках и кнопкой «Домой» (Home). Как и большинство мобильных вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует доступ к телефону, при этом вредонос выдает себя за МВД РФ.
• Исследователь из компании MDSec обнаружил, что клиент Центра обновления Windows может быть проэксплуатирован злоумышленниками для выполнения вредоносного кода на системе в рамках метода Living off the Land (LotL), загружая его из произвольной, специально созданной библиотеки DLL.
• Проект LetsDefend.io открыл общий доступ к сервису, позволяющему сымитировать рабочее окружение корпоративного Центра мониторинга и оперативного реагирования на инциденты информационной безопасности (SOC). По словам разработчиков, новый симулятор располагает широким набором реальных событий и будет полезен для аналитиков соответствующего профиля, специалистов по реагированию на киберинциденты и создателей SIEM-систем.
• В рамках октябрьского «вторника обновлений» компания Microsoft устранила 87 уязвимостей в своих продуктах, включая 11 критических уязвимостей и 21 проблему удаленного выполнения кода (RCE).
• Страны-участницы альянса Five Eyes (который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании), а также Индия и Япония в очередной раз призвали технологические компании оставлять бэкдоры в своих продуктах, чтобы правоохранительные органы имели доступ к контенту в удобочитаемом и удобном формате.
• Американское Агентство по кибербезопасности CISA сообщило, что киберпреступникам удалось получить доступ к правительственным сетям, объединив уязвимости Windows и VPN. Кибератаки были нацелены на федеральные и государственные, местные, территориальные (SLTT) американские правительственные сети. Агентство по кибербезопасности CISA заявило, что атаки на негосударственные структуры также были выявлены.

Интересные посты русскоязычных блогов по ИБ

• Эксперты Ростелеком-Solar поделились своим опытом построения процесса выявления и реагирования на инциденты ИБ. По словам аналитиков, они сознательно не строили многоуровневую линейную модель эскалации расследования инцидентов по линиям, а выстроили свой принцип маршрутизации тикетов и автоматизации процессов.
• Дмитрий Лифанов рассказал в блоге на Хабре о том, как команда Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT сформировала сценарный подход к выявлению угроз и как они используют его на практике для защиты своих клиентов.
• Алексей Лукацкий обсудил в блоге тему регулярного пересмотра метрик в SOC. По мнению автора, система оценки эффективности SOC должна эволюционировать вместе с SOCом и разработанные метрики должны регулярно пересматриваться.
• Другой блог Алексея Лукацкого посвящен анализу нового положения Банка России 719-П, который пришел на смену 382-П. Автор приводит отличия данного документа от предшественника и дает свои комментарии к положению.
• Эксперты компании TrendMicro рассказали о том, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.

Интересные посты англоязычных блогов по ИБ

• James Baxter составил список обязательных к прочтению книг по кибербезопасности. В него входят такие издания, как например «Призрак в Сети» Кевина Митника и «Взломайте свою жизнь сейчас» Девина Кроппа и Шона Бейли.
• Joshua Wright рассказал о малоизвестной функции Windows, позволяющей злоумышленникам скрывать постоянные службы из поля зрения, создавая возможность избежать обнаружения угроз.
• Brian Carney в своей статье затронул тему создания убедительных доказательств судебной экспертизы. Затронута темы визуализация невизуальных доказательств, приведены различные приёмы, позволяющие представить информацию в удобной форме.
• Augusto Barros поделился своими мыслями о мониторинге и управлении уязвимостями. Описаны основные приёмы, позволяющие повысить эффективность управления уязвимостями: приоритезация результатов сканирования для выбора наиболее опасных уязвимостей и компенсирующие меры, позволяющие защититься от уязвимости нулевого дня или в случае невозможности быстрой установки закрывающего уязвимость патча.

Исследования и аналитика

• Более 60% компаний потеряют важные внутренние данные в случае кибератаки. Такую статистику в ходе тестирований на проникновение собрали специалисты компании BI.ZONE, опубликовавшие исследование под названием «Threat Zone 2020». Экспертам удалось получить доступ в сеть атакованной компании в каждом четвёртом проекте тестирования на проникновение.
• Аналитики «Лаборатории Касперского» рассказали об обнаружении шпионской кампании, которая использовала сложную модульную структуру MosaicRegressor, куда, в числе прочего, выходил буткит для Unified Extensible Firmware Interface (UEFI), всего второй известный экспертам за всю историю наблюдений.
• «Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, существующий как минимум с 2018 года и предназначенный для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
• Компания CheckPoint опубликовала Глобальный индекс угроз Global Threat Index for September 2020, который показал, что обновленная версия вредоносного ПО Valak впервые вошла в индекс, заняв 9- е место по распространенности. Троян Emotet остается на 1- м месте третий месяц подряд.
• Аналитики Digital Security обратили внимание на проблему безопасности методанных и подготовили материал, в котором помогают разобраться в понятиях и рассказывают какие метаданные можно найти в создаваемых файлах и что с ними происходит при размещении в Сеть, какие опасности таят метаданные и что необходимо предпринять, чтобы обезопасить себя от утечки вашей личной информации.
• В техническом документе MixMode The Data Overload Problem in Cybersecurity исследованы проблемы перегрузки данных, преследующие отрасль кибербезопасности. В документе описано, как организации могут значительно уменьшить или даже полностью устранить многие из этих проблем, приняв решение на основе искусственного интеллекта для анализа поведения сети в контексте текущих данных.
• Согласно отчёту Arctic Wolf 2020 Annual Arctic Wolf Security Operations Report, количество слитых корпоративных учётных данных (включая пароли в виде простого текста) в дарквебе увеличилось на 429% с марта 2020 года. Таким образом, в среднем на одну организацию может приходиться по 17 скомпрометированных учётных данных, которые могут попасть в руки злоумышленников.
• Согласно новому исследованию (ISC)2 2020 Cybersecurity Perception Study большинство рабочих в Великобритании и США сейчас положительно относятся к профессионалам в области кибербезопасности, хотя 69% не рассматривают возможность карьеры в этой отрасли.
• Всемирный экономический форум (ВЭФ) опубликовал свой ежегодный доклад о восприятии лидерами мирового бизнеса региональных рисков для ведения бизнеса. Он предлагает интерактивные карты, чтобы увидеть, какие риски глобальные и региональные бизнес-лидеры рассматривают как самые большие. Кибератака занимает в мировом масштабе 4-е место, но Россия и Китай вообще не включают кибератаки в свою первую пятерку рисков.
• Специалисты проекта DFIR Report представили подробное описание всех этапов атаки с использованием вымогательского ПО Ryuk. По данным отчета, атака с использованием вымогательского ПО Ryuk занимает 29 часов, начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.
• Атаки программ-вымогателей продолжают расти. Согласно данным исследовательской компании Kroll Ransomware Attack Trends – 2020, программы-вымогатели были самой распространенной проблемой безопасности, с которой ей приходилось бороться в 2020 году, в то время как на атаки программ-вымогателей приходилось более одной трети всех случаев до сентября.
• Компании Interisle провела исследование Phishing Landscape 2020 фишинговых атак с целью лучше понять, сколько и где фишинга происходит, а также посмотреть более эффективные способы борьбы с фишингом. Один из самых важных выводов заключается в следующем: регистраторы доменных имен и операторы реестров имеют прекрасные возможности для обнаружения и предотвращения большей части фишинга, который происходит на злонамеренно зарегистрированных доменах.

Громкие инциденты ИБ

• Компания из Филадельфии, разрабатывающая софт для медицинских лабораторий, стала жертвой хакерской атаки, из-за чего разработка вакцин, в том числе от COVID-19, была на некоторое время приостановлена.
• Инфраструктура крупной компании-разработчика Software AG пострадала от атаки с использованием программы-вымогателя Clop. Операторы Clop проникли во внутренние сети компании и зашифровали файлы. За восстановление документов вымогатели потребовали свыше $20 млн — один из крупнейших выкупов за всю историю вымогательских атак.
• Крупнейшая в США компания по продажам книг Barnes & Noble сообщила о кибератаке на свои сети, в результате которой могла произойти утечка данных клиентов.
• Хакерская группировка выставила на продажу доступ к более чем 50 тыс. взломанных домашних камер видеонаблюдения, включая видеозаписи.
• Несколько хакерских групп из Армении атаковали банки Азербайджана. Одной из групп удалось взломать банковские базы данных и «слить» персональные данные около 520 тысяч клиентов.
• Сайт национального архива Белоруссии подвергся хакерской атаке. Ответственность за взлом взяли на себя «Кибер-партизаны».