Дайджест информационной безопасности №208 за период с 15 по 26 марта 2021

Новости законодательства

• Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам связанного с утечками мошенничества в интернете.

Новости ИБ

• По данным MalwareHunterTeam, владельцы фишинговых сайтов теперь используют JavaScript для детектирования виртуальных машин и «безголовых устройств» (используются без монитора, клавиатуры и мыши), с помощью которых специалисты в области кибербезопасности вычисляют подобные вредоносные ресурсы.
• В настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
• Вымогатель REvil получил возможность шифровать файлы при работе Windows в безопасном режиме. По всей видимости, новая функциональность призвана повысить эффективность зловреда, а также надежней спрятать его от антивируса.
• Специалисты компании Netscout предупреждают, что преступники используют относительно новый вектор амплификации DDoS-атак: через протокол Datagram Transport Layer Security (DTLS), который обеспечивает защищенность соединений для протоколов, использующих датаграммы.
• ЦБ предупредил о появлении группировки хакеров, изучающей уязвимости мобильных приложений банков. Он привел два примера взлома — с хищением данных и денег. Популярность в пандемию приобрели и вирусы-шпионы в рассылках по компаниям.

Интересные посты русскоязычных блогов по ИБ

• Сергей Борисов провел анализ новой методики ФСТЭК России, и поделился mind картойдокумента, в которой отметил основные тезисы, проблемы и направления будущей аналитики, а также поделился основными мыслями по поводу новой методики.
• Основным механизмом внедрения всех вредоносных программ, включая программы-вымогатели, по-прежнему является электронная почта. Эксперты Varonis Systems рассказали про основные особенности и методы борьбы с программами-вымогателями.
• Специалисты компании Digital Security рассказали про методы активной защиты с помощью  матрицы Shield от MITRE. В отличие от матрицы ATT&CK, которую многие знают, уважают и используют, Shield не так хорошо известна. Тем не менее, описанные в ней тактики помогут более эффективно противостоять атакам.

Интересные посты англоязычных блогов по ИБ

• Антон Чувакин провел опрос, посвященный вариантам использования аналитики угроз в 2021 году, результаты опроса опубликованы в посте.
• Dan Verton из Threat Connect опубликовал 5 важнейших задач кибербезопасности, которые необходимо будет решить директорам по информационной безопасности в 2021 году.
• Eric Kedrosky из Sonrai Security осветил тему неправильной конфигурации идентификационной информации в облаке, связанными с этим рисками и способы их предотвращения.

Исследования и аналитика

• Qrator Labs представили отчет о состоянии сетевой безопасности в 2020 году. Данные, предоставленные в отчете, собраны на основе статистики и наблюдений по сети фильтрации трафика Qrator Labs. В 2020 году количество DDoS-атак лишь увеличилось, а самые опасные из них можно описать просто: короткие и обескураживающе интенсивные.
• Согласно годовому отчету CrowdStrike, крупные преступные группы, действующие в интернете, обычно используют услуги субподрядчиков — точно так же, как легитимные ИТ-компании. Такие ОПГ постоянно поддерживают взаимосвязь с другими участниками криминального сообщества, чтобы иметь доступ к новейшим технологиям, позволяющим повысить эффективность кибератак и финансовую выгоду.
• Системы распределения в электросетях США становятся все более уязвимыми к кибератакам. Как сообщается в отчете Счетной палаты США, стратегия кибербезопасности Министерства энергетики США в основном сосредоточена на системах генерации и передачи. Надзорный орган порекомендовал уделять больше внимания рискам, с которыми сталкиваются системы распределения, передающие электроэнергию напрямую потребителям.
• Согласно исследованию Embroker, глобальные затраты на киберпреступность растут, увеличиваясь на 15% в год. По оценкам экспертов к 2025 году киберпреступность будет обходиться компаниям по всему миру в 10,5 триллионов долларов в год.
• Специалисты Google Project Zero сообщили о вредоносной операции, которая была направлена сразу на пользователей платформ Android, iOS, и Windows. В своих атаках злоумышленники использовали не только уязвимости нулевого дня, но и зачастую применяли их в связке с уже известными уязвимостями.
• Эксперты McAfee поделились своими прогнозами о возможных угрозах, которые поджидают пользователей в 2021 году. В декабре 2020 года раскрытие информации о кампаниях SUNBURST, использовавших платформу SolarWinds Orion, помогло выявить новый вектор атаки — атаки на цепь поставок.
• Согласно новому отчету Javelin Strategy & Research, убытки от мошенничества выросли до 56 миллиардов долларов в 2020 году, а мошенничество с использованием личных данных составило ошеломляющие 43 миллиарда из этих затрат. Сокращение транзакционной активности в 2020 году в сочетании с более надежными мерами финансовых учреждений по борьбе с мошенничеством усложнило преступникам возможность преуспеть в их традиционных мошеннических действиях.
• Infosec опубликовал результаты исследования 2021 Cybersecurity Role & Career Path Clarity Study, которое показывает, как руководители ИТ-подразделений предприятий разъясняют роль кибербезопасности и способствуют успешному найму. Согласно отчету, 81% организаций сообщили, что они, по крайней мере, рассматривают возможность согласования должностных инструкций по кибербезопасности с NICE Framework.
• Эксперты Check Point Research обнаружили, что количество объявлений о поиске работы в даркнете и на хакерских форумах растет. Причем с начала 2021 года наметился новый тренд: не хакеры размещают там свои «вакансии», а соискатели сами публикуют объявления и сообщают, что готовы работать на преступников.
• Компания Sophos Home провела опрос более 1000 респондентов из США с детьми школьного возраста до 18 лет, которые с момента начала пандемии учились дистанционно. Опрос показал, что 2 из 3 родителей беспокоятся о неизбежных кибератаках, и более половины говорят, что сейчас они подвергаются большему риску, чем когда-либо прежде.

Громкие инциденты ИБ

• Нефтегазовая компания Shell стала жертвой взлома из-за атаки на устаревший файлообменный сервис Accellion FTA (File Transfer Application). В ходе атаки хакеры получили доступ к информации, принадлежащей крупным акционерам и дочерним компаниям.
• Пользователи платформы для продажи цифрового искусства Nifty Gateway пожаловались на взлом своих аккаунтов и кражу денег. Сам сервис взлом опровергает, а хищения объясняет беспечностью самих пользователей.
• Тайваньская компания по производству компьютерной техники Acer столкнулась с хакерской атакой REvil. Вымогатели требуют от производителя 50 миллионов долларов. Хакеры могли воспользоваться уязвимостью Microsoft Exchange, чтобы получить доступ к данным Acer. Считается, что за большинством атак, связанных с Exchange, стоит спонсируемая Китаем организация, однако это не исключает использования уязвимости другими группами.
• Комиссия по финансовому рынку Чили сообщила, что ее серверы были скомпрометированы через уязвимости в Microsoft Exchange, известные как ProxyLogon. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange.
• Канадский производитель IoT-устройств Sierra Wireless сообщил о том, что на этой неделе его IT-системы были атакованы вымогательским ПО. Из-за кибератаки на предприятиях остановились производственные процессы.
• Операторы вымогательского ПО Babuk (также известного как Babyk) заявили на своем сайте утечек данных о хищении более 700 ГБ конфиденциальной информации у одного из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командование специальных операций США — PDI Group.
• Крупный производитель отказоустойчивых серверов и программного обеспечения Stratus Technologies подвергся атаке с использованием вымогательского ПО. В результате кибератаки компании пришлось отключить отдельные части своей сети и служб, чтобы изолировать ущерб.