Дайджест информационной безопасности № 207 за период с 1 по 12 марта 2021

Новости законодательства

• Министерство цифрового развития, связи и массовых коммуникаций подготовило новые поправки к закону «О персональных данных», согласно которым предпринимателям будет разрешено собирать и передавать третьим лицам обезличенные персональные данные россиян. Одновременно предлагается ужесточить режим обработки обезличенных ПДн с целью защиты прав их владельцев, однако контролировать соблюдение новых требований, по мнению экспертов, будет трудно.

Новости ИБ

• На сайт VirusTotal, известного сервиса для сканирования подозрительных файлов, загрузили полностью рабочий боевой эксплойт для уязвимости Spectre, затрагивающий современные процессоры. Как отметили эксперты, это первый по-настоящему опасный эксплойт для Spectre, оказавшийся в открытом доступе.
• Компания NinjaRMM, предоставляющая программное обеспечение для управления конечными точками поставщикам управляемых услуг (MSP), намерена создать собственную «красную команду» специалистов (Red Team) для повышения кибербезопасности. Решение было принято в связи с многочисленными атаками за последние годы на MSP.
• Разработчики Microsoft опубликовали внеплановые исправления для четырех 0-day уязвимостей, обнаруженных в коде почтового сервера Exchange. В компании предупредили, что эти проблемы уже эксплуатируют китайские хакеры из группировки Hafnium. Чтобы атака сработала, злоумышленникам нужно лишь получить доступ к локальному серверу Microsoft Exchange через порт 443.
• Специалисты Иллинойского университета в Урбане-Шампейне представили новую разновидность атаки по сторонним каналам на внутреннюю архитектуру современных центральных процессоров.
• Лаборатория Касперского обнаружила новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM. Ее активная фаза началась еще в декабре 2020 года. Но в этот раз злоумышленники не ограничились установкой банкера Trojan-Banker.Win32.RTM и подменой банковских реквизитов – в ход также пошли шифровальщик и шантаж. Известно о примерно десяти жертвах среди российских организаций из сфер транспорта и финансов.
• Кибермошенники начали атаковать россиян письмами от Единого портала госуслуг, а в письме содержится информация о положенной социальной выплате. Минцифры России уже предупредило пользователей о вредоносных рассылках и посоветовало внимательнее относиться к электронной почте.

Интересные посты русскоязычных блогов по ИБ

• Сергей Сторчак поделился минимальным набором документов, необходимых для прохождения сертификации ISO/IEC 27001, а также даны ссылки на шаблоны и примеры этих документов.
• В блоге компании Selectel на хабре представлен обзор релиза OpenSSH 8.5 и описание новых возможностей.
• Pentestit-team представили чек-лист по устранению SQL-инъекций. В данной статье авторы рассказали о способах выявления SQLi и предложили подробную инструкцию по их ликвидации.
• Статья от RUVDS.com посвящена сертификации ISO 27001, которая позволяет понять, насколько компания следит за безопасностью и сэкономить время на доказательствах. Под катом пример подготовки к сертификации ISO 27001 одной маленькой европейской ИТ-компании.
• Алексей Лукацкий опубликовал в своем блоге краткий обзор новой методики оценки угроз ФСТЭК.

Интересные посты англоязычных блогов по ИБ

• В блоге компании ActZero рассказали о семи уроках, которые были извлечены лидерами малого и среднего бизнеса в области кибербезопасности. Причину основных проблем автор видит в отсутствии трех компонентов: людей, процессов и технологий. Также автор считает, что проактивность окупается, а бессонные ночи не приносят результатов.
• Ritika Singh привел информацию о том, что такое атака с использованием инъекций NoSQL и как ее предотвратить. В статье приводится информация о том, что такое БД NoSQL, что из себя представляют NoSQL-инъекции и как они работают. Приводятся способы предотвращения NoSQL-инъекций: безопасная разработка, проверка ввода, политика наименьших привилегий.
• Anton Chuvakin поделился своими размышлениями по поводу излишней автоматизации SOC. Основная идея заключается в том, что в SOC должны быть не только автоматизированные средства, но и достаточное количество ИБ-специалистов. Приводятся аргументы в пользу человека-оператора: творческий характер атак и отсутствие решения проблем из-за некачественного внедрения автоматизации.

Исследования и аналитика

• Аналитики Group-IB подготовили  масштабное исследование, посвященное шифровальщикам. Компания сообщает, что в прошлом году количество атак шифровальщиков выросло более чем на 150% по сравнению с предыдущим годом.
• В своем отчете Mobile Malware Evolution 2020 специалисты Лаборатории Касперского рассказали о текущих мобильных угрозах и определили тенденции мобильной безопасности до 2021 года. За последние 12 месяцев количество случаев использования рекламного ПО увеличилось почти втрое.
• Согласно анализу Check Point Research, Microsoft по-прежнему возглавляет первую десятку фишинговых компаний в последнем квартале 2020 года, при этом многие веб-сайты пытаются выдать себя за экраны входа в систему Microsoft и украсть учетные данные пользователей.
• Облачная платформа для управления рисками Feedzai опубликовала отчет о финансовых преступлениях за  1 квартал 2021 года. В четвертом квартале 2020 года количество мошенничества, связанного с захватом аккаунтов (ATO), увеличилось на 650% по сравнению с первым кварталом года.
• Второй год подряд подавляющее большинство уязвимостей — 92% — обнаруженных в продуктах Intel, связано с инвестициями компании в безопасность, в частности с внутренними исследованиями и внешними вознаграждениями за обнаруженные ошибки, сообщается в новом отчете компании.
• Специалисты Zimperium провели анализ 1,3 миллиона приложений. Эксперты выяснили, что значительное количество программ небезопасны для пользователей. C помощью автоматизированных алгоритмов удалось определить, что почти 84 тыс. приложений для Android и 47 тыс. приложений для iOS не позволяют обеспечить сохранность личных данных пользователей.
• Securitylab представила динамику развития и влияние на пользователей вредоносных релеев сети Tor в 2020 году. Приведенный анализ еще раз демонстрирует, что реализуемых мер недостаточно для предотвращения крупномасштабных атак подобного рода.

Громкие инциденты ИБ

• Лаборатория в Оксфордском университете, которая занимается исследованиями COVID-19 и вакцин против него, подверглась кибератаке. В течение некоторого времени у хакеров был прямой доступ к управляющему ПО лабораторного оборудования.
• На теневых форумах продается база данных 21 млн пользователей бесплатных VPN-приложений для Android, популярных в том числе и в России. В ней собраны не только адреса электронной почты, пароли и логины клиентов сервисов, но и данные об их мобильных устройствах и платежах.
• Команда экспертов во главе с исследователем безопасности Ata Hakcil из WizCase обнаружила в Сети незащищенную базу данных предположительно принадлежащую сервису отслеживания телефонных звонков Ringostat, услугами которого пользуются клиенты по всему миру, в основном в Украине и РФ.
• Компания Qualys, специализирующаяся на кибербезопасности, стала жертвой утечки данных, к которой привела эксплуатация 0-day уязвимости в FTA-сервере Accellion.
• Группа хакеров заявляет, что получила доступ к данным со 150 тысяч камер видеонаблюдения компании Verkada, установленных в больницах, полицейских участках, тюрьмах, школах и различных компаниях в нескольких странах.
• Более 60 тысяч компаний пострадали из-за уязвимости в программном обеспечении Exchange Server корпорации Microsoft. Среди возможных жертв СМИ и эксперты называют банки и поставщиков энергии.