Вернуться назад

Дайджест информационной безопасности №199 за период с 2 по 13 ноября 2020

13.11.2020

Новости законодательства

Минцифры предложило перенести переход на «преимущественное использование» российского программного обеспечения для владельцев критической информационной инфраструктуры на 1 января 2024 года, а переход на отечественное оборудование — на 1 января 2025 года. Это следует из опубликованного министерством проекта указа президента.
Вступил в силу новый стандарт безопасности по картам «Мир», устанавливающий для банков предельно допустимые значения неправомерных операций без согласия клиента. Приближение к ним означает штрафы и повышенный контроль со стороны системы.

Новости ИБ

В департаменте информационной безопасности (ДИБ) Банка России началась серьезная реструктуризация. Подробностей ЦБ не раскрывает, но участники рынка уверены, что ФинЦЕРТ, занимавшийся мониторингом киберрисков, будет ликвидирован, а его функции перераспределены между управлениями ДИБ.
В России создадут Центр по борьбе с киберпреступлениями, телефонным спамом и фишингом в рамках реализации нацпроекта «Цифровая экономика». Глава Минцифры Максут Шадаев также сообщил, что ведомство начинает «независимое тестирование всех государственных информационных систем на предмет «дырок» в их безопасности».
В Windows обнаружили критическую уязвимость, которую используют для взлома компьютеров. Эксперты рассказали, что взлом происходит через взаимодействие с функцией Windows Kernel Cryptography Driver (cng.sys), из-за чего происходит переполнение буфера.
Ханипоты, созданные экспертами института SANS, уже обнаружили первые атаки на уязвимость CVE-2020-14882, так как недавно в открытом доступе появился эксплоит для нее. В настоящее время в сети по-прежнему доступны более 3000 серверов Oracle WebLogic, потенциально уязвимых для проблемы CVE-2020-14882.
Специалисты координационного центра CERT (CERT/CC) запустили специального Twitter-бота Vulnonym, который будет «придумывать» случайные и максимально нейтральные имена уязвимостям, получившим идентификаторы CVE. Эта идея родилась из нескончаемых дискуссий на тему «должны ли уязвимости иметь имена?».
Европейское агентство сетевой и информационной безопасности (European Union Agency for Cybersecurity, ENISA) представило руководство по обеспечению безопасности цепочки поставок для «Интернета вещей» (Internet of Things, IoT).
Новая программа-вымогатель под названием Pay2Key нацелена на организации из Израиля и Бразилии, зашифровывая их сети в течение часа в целевых атаках, которые все еще расследуются. Первые атаки были зафиксированы специалистами из компании Check Point в конце октября нынешнего года, и теперь их число увеличилось.

Интересные посты русскоязычных блогов по ИБ

Алексей Лукацкий рассказал о том, какой смысл регуляторы вкладывают в тот или иной термин и к каким последствиям это приводит. Автор привел пример, как аббревиатура MDM может повлиять на проверку по ГОСТ 57580.1, когда проверяющие требуют наличия именно MDM, хотя по сути требуется система централизованного управления и мониторинга.
Еще один пост Алексея посвящен контенту обнаружения угроз. Обычно в качестве контента обнаружения рассматриваются сигнатуры, которые точно описывают ту или иную угрозу. Автор рассказал, почему одних сигнатур недостаточно.
В первой статье цикла — «Дифференциальная приватность — анализ данных с сохранением конфиденциальности» — авторы блога ДомКлик рассмотрели базовые концепции и случаи применения дифференциальной приватности. Во второй части рассмотрены возможные варианты построения систем в зависимости от ожидаемой модели угроз.
Существует категория злоумышленников, которые занимаются конкретно обманом администраторов виртуальных серверов. В статье RuVDS рассказано об используемых ими методах и рассмотрены несколько характерных уязвимых мест.

Интересные посты англоязычных блогов по ИБ

Richard Bejtlich постарался оценить размер безопасности 1% в Соединенных Штатах. Это сокращенное обозначение для категории людей и организаций, которые могут реализовать качественные программы безопасности и особенно обнаружение и реагирование. Автор объяснил, почему стратегии безопасности 1% могут быть неуместны или даже вредны для 99%.
Kyle Fiehler познакомил читателей с таким понятием как Cloudjacking и Cloud Mining. Он приводит известные примеры таких атак и делится способами защиты.
Paul German в своей статье рассказал о поиске угроз корпоративной сети — какие угрозы стоят перед организациями и какие инструменты можно использовать для их поиска. Также он привел пример, когда угроза не была вовремя обнаружена и у злоумышленников был доступ к корпоративной сети много лет подряд.

Исследования и аналитика

Kaspersky ICS CERT проанализировал атаки на предприятия с использованием RMS и TeamViewer. C 2018 года злоумышленники модифицировали методы атак, и угрозе заражения подвергается всё больше предприятий. Данный отчет опубликован после того, как производитель ПО RMS внёс изменения в работу своих сервисов, чтобы результаты данного исследования не могли быть использованы в целях эксплуатации уязвимостей.
Компания Avast опубликовала результаты своего опроса, проведенного среди российских пользователей. Согласно полученным данным, 42% россиян сталкивались с фишинговыми атаками. При этом жертвами таких атак стали 27% пользователей, и чуть больше трети (35%) не смогли дать точный ответ.
Eset представила рейтинг наиболее распространенных киберугроз в III квартале 2020 года. После нескольких месяцев постоянного использования темы COVID-19 во вредоносных целях хакеры вернулись к ряду своих прежних тактик. Основной целью киберпреступников стал протокол удаленного рабочего стола (RDP).
Согласно октябрьскому отчету Check Point, в третьем квартале 2020 года зафиксировано увеличение ежедневного среднего количества атак программ-вымогателей на 50% по сравнению с первой половиной года. Наибольшее количество атак произошло в США, Индии, Шри-Ланке, России и Турции. Основными типами программ-вымогателей были Maze и Ryuk, причем Ryuk теперь атакует 20 организаций в неделю.
Специалисты Palo Alto Networks в исследовании Domain Parking: A Gateway to Attackers Spreading Emotet and Impersonating McAfee рассказали, что с марта по сентябрь 2020 года ими было обнаружено около 5 000 000 новых припаркованных доменов, и примерно 1% из них используется хакерами для распространения малвари и в рамках фишинговых компаний; около 2,6% теперь связаны с контентом для взрослых или азартными играми; а еще 30,6% относятся к подозрительным.
В ходе исследования «Доверие к цифровым технологиям — 2021» сотрудники PwC опросили 3249 руководителей компаний. Опрос показал, что 52% компаний в мире в 2021 году будут повышать расходы на обеспечение информационной безопасности. При этом 42% руководителей также увеличат численность ИБ-специалистов.
Согласно отчету Clearswift Cybersecurity Challenges in Financial Services — Market Survey Report, 62% фирм финансового сектора Великобритании пострадали от атак кибербезопасности за последние 12 месяцев, в то время как 40% заметили больше инцидентов кибербезопасности с момента увеличения удаленной работы.
Новое исследование Exabeam показало, что 88% специалистов по кибербезопасности считают, что автоматизация облегчит их работу, при этом молодые сотрудники сильнее обеспокоены тем, что автоматизация может заменить их, чем их более старшие коллеги.
Cybereason рассказали о новом вредоносном ПО, которое использовала северокорейская группировка Kimsuky в ходе атак на правительственные учреждения Южной Кореи. Cybereason предоставила подробную информацию о двух новых семействах вредоносных программ, используемых Kimsuky — о ранее неизвестном модульном шпионском ПО под названием KGH_SPY и новом загрузчике вредоносных программ под названием CSPY Downloader.
Обнаружен очередной вектор атаки на процессоры Intel. Специалисты Грацского технического и Бирмингемского университетов опубликовали исследование, в котором подробно описали атаку Platypus. По словам экспертов, этот вектор можно использовать для вычисления данных, обрабатываемых внутри процессора.
Исследователи безопасности из Cyentia Insitute проанализировали 103 так называемых «экстремальных» киберинцидента за последние пять лет, которые привели к крупнейшим финансовым потерям. Как выяснилось, атаки, связанные с хищением учетных данных, составили 46% от всех инцидентов и привели к потерям в размере $10 млрд. Кибератаки с применением вредоносного ПО для удаленного доступа составили 31% от всех случаев и обошлись корпорациям в $9,2 млрд.

Громкие инциденты ИБ

Американский производитель игрушек, компания Mattel, сообщает, что подвергся атаке неназванного шифровальщика, которая отразилась на некоторых бизнес-операциях. При этом в Mattel заверили, что компания оправилась от инцидента без значительных финансовых потерь.
1 ноября 2020 года итальянский производитель напитков Gruppo Campari подвергся атаке шифровальщика Ragnar Locker. Хакеры пишут, что похитили у компании примерно 2 Тб информации.
Японская корпорация Capcom пострадала от хакерской атаки. Взлом повлиял на бизнес-операции разработчика игр, включая работу системы электронной почты.
В даркнете продают базу, содержащую 34 000 000 пользовательских записей. Продавец утверждает, что эта информация была украдена у 17 различных компаний.
Во время судебных заседаний, проходивших по видеоконференции, Верховный суд Бразилии подвергся кибератаке с использованием программ-вымогателей. В результате атаки были заблокированы базы данных текущих судебных процессов, а также была нарушена работа внутриведомственного почтового сервера.
IT-компания Prestige Software, которая располагается в Испании, была уличена в раскрытии финансовых и персональных данных клиентов, производивших бронирования отелей по всему Миру. Среди клиентов компании: Booking.com, Expedia, Agoda, Amadeus, Hotels.com, Hotelbeds, Omnibees, Sabre.