Дайджест информационной безопасности №209 за период с 29 марта по 9 апреля 2021

Новости ИБ

• Инженерный совет интернета IETF официально признал криптографические протоколы TLS 1.0 и TLS 1.1 устаревшими в связи с представляемыми ими угрозами безопасности. IETF рекомендует всем компаниям, правительственным организациям и разработчикам ПО использовать актуальные версии TLS – TLS 1.2 и TLS 1.3, считающиеся безопасными.
• Специалисты NIST разработали руководство по кибербезопасности для гостиничной индустрии. Документ призван помочь снизить риски безопасности, связанные с программным обеспечением систем управления гостиничным имуществом.
• ФБР и Агентство по кибербезопасности и безопасности инфраструктуры заявили, что хакеры могли задействовать критические уязвимости в Fortinet FortiOS VPN. Целью является взлом средних и крупных организаций.
• Исследователи безопасности из компании Intel 471 рассказали о новом гибком конструкторе вредоносных документов EtterSilent, используемом хакерами для реализации своих преступных схем. Конструктор рекламировался на российском подпольном форуме в двух версиях. Одна версия использует уязвимость CVE-2017-8570 в Microsoft Office, а другая — вредоносный макрос.
• Представители ФСТЭК сообщили, что работы по проверке безопасности ядра Linux обойдутся в 300 миллионов рублей. Эксперты и российские разработчики OC на Linux признают обоснованность задачи, но считают важным допуск к работе над ней всех заинтересованных сторон.

Интересные посты русскоязычных блогов по ИБ

• Сергей Борисов поделился ответами ФСТЭК по поводу применения новых требований к уровням доверия. Представители ФСТЭК в этом году уже публично дали на удивление много публичных комментариев, в статье приведены письменные ответы органа госконтроля на вопросы Сергея.
• Роман Ткаченко рассказал об обеспечении безопасности БД PostgreSQL. Затронуты темы безопасности на сетевом и транспортном уровнях, а также безопасности на уровне базы данных.
• Алексей Дрозд проанализировал новый отчет ФинЦЕРТа «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах». Автор рассмотрел популярность разных типов атак, кого именно и как атаковали.
• Zilia рассказал о том, как сделать ЭЦП по ГОСТ на GNU/Linux с помощью OpenSSL. Используются открытые бесплатные решения, которые позволяют подписать документ электронной подписью.
• Станислав Малышев поделился инструкцией по диагностике проблем в работе баз данных в случае аварии в работе сервисов.

Интересные посты англоязычных блогов по ИБ

• ИБ-журналист и исследователь Брайан Кребс опубликовал статью, в которой он цитирует анонимного информатора, близкого к расследованию утечки в компании Ubiquiti Networks.Информатор назвал случившееся «катастрофическим», а также поделился копией письма, которое было направлено в европейские органы по защите данных. В документе Ubiquiti Networks обвиняют в сокрытии данных о серьезности случившегося.
• Narendra Sahoo поделился мнением о роли шифрования в соблюдении GDPR. Автор упомянул что такое шифрование, какую роль оно играет в обеспечении безопасности и какую роль занимает в общем регламенте по защите данных.
• В блоге компании Axio поднята тема о тревожных моментах в управлении рисками, посвященная вебинару, который провела вице-президент Axio по киберрискам Лиза Янг. В рамках вебинара освещались несколько факторов: анализ рисков следует проводить в отношении бизнес-проблемы, управление рисками — это постоянный упреждающий процесс преодоления неопределенности, а сам риск — это баланс вещей, которые организации могут и не могут контролировать.
• John Emmitt в своей статье рассказал об управлении конечными точками и его растущей роли в ИТ.
• Hyperproof Team осветил тему риска третьей стороны. Описываются области, в которых может возникнуть этот риск: нормативно-правовое регулирование, финансы, операционные риски, репутационные риски, стратегические риски.

Исследования и аналитика

• По данным Check Point Software Technologies, за последние полгода количество организаций, пострадавших от атак вымогательских программ, увеличилось на 57%. Наибольшую активность проявляют операторы шифровальщиков, управляемых вручную — таких как Maze и Ryuk. Однако больше всего экспертов встревожил возврат WannaCry: с октября прошлого года число жертв печально известного зловреда возросло в 40 раз.
• Результаты анализа данных Akamai Technologies за I квартал показали, что дидосеры становятся агрессивнее и продолжают расширять свои горизонты, демонстрируя разнообразие мишеней по профилю и географическому местоположению. Число DDoS-атак, ежемесячно фиксируемых у клиентов Akamai, продолжает расти почти рекордными темпами. Количество DDoS-атак мощностью свыше 50 Гбит/с, заблокированных защитными решениями Akamai в период с января по март, превысило показатель за весь 2019 год.
• Чтобы составить карту наиболее целевых отраслей для атак в 2021 году, IBM использовала данные атак 2020 года. Исследование показало, что финансы, производство и энергетика находятся в самом верху списка целевых секторов.
• Ежегодное исследование нарушений кибербезопасности, проводимое Департаментом цифровых технологий Великобритании показало, как компании подходят к вопросу кибербезопасности и каковы последствия атак. Большинство цифр и статистики в значительной степени соответствуют тому, что можно было ожидать во время пандемии, например увеличение числа атак и т. д. Однако треть респондентов заявили, что не предпринимают никаких действий при обнаружении кибератаки.
• Компании, использующие локальные системы SAP, подвергаются атакам в среднем через 72 часа после выпуска исправлений для уязвимостей. В ходе недавнего исследования ландшафта угроз SAP компаниями Onapsis и SAP, эксперты зафиксировали более 300 успешных попыток эксплуатации.
• В отчете Лаборатории Касперского «Финансовые киберугрозы в 2020 году» было обнаружено, что, хотя общий объем угроз через ПК или мобильные телефоны за этот период снизился, эксперты заметили, что киберпреступники используют новые и передовые методы распространения. География атак стала более разнообразной и обширной, особенно с точки зрения мобильных финансовых вредоносных программ.
• Специалисты Лаборатории Касперского опубликовали анализ блокировщиков браузеров — класс веб-угроз, мешающих жертве пользоваться браузерами и требующих выкуп. В данной статье рассмотрены два семейства блокировщиков, имитирующих сайты государственных органов.
• Согласно результатам опроса, проведенного Лабораторией Касперского, выкуп за восстановление файлов платят 56% жертв вымогательских программ. Для 17% оплата ключа расшифровки обернулась потерей всех данных.
• Dr Web опубликовали результат исследования целевых атак на российское НИИ. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования вирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием специализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была скомпрометирована задолго до обращения и не одной APT-группой.
• В I квартале 2021 года в России зафиксировано 1529 лжебанков, которые маскируются под сайты кредитных организаций. Их число выросло на 20% по сравнению с аналогичным периодом 2020-го, подсчитали в компании по кибербезопасности BI.ZONE. По данным экспертов, за весь прошлый год в России обнаружено почти 6,5 тыс. сайтов лжекредитных организаций.

Громкие инциденты ИБ

• Хакеры похитили тысячи официальных электронных писем Государственного департамента США. Взлом стал уже вторым за шесть лет проникновением на почтовые серверы Госдепа хакеров.  В этот раз хакеры получили доступ к электронной почте бюро Госдепа США по делам Европы и Евразии, а также бюро по делам Восточной Азии и Тихоокеанского региона.
• ИБ-исследователь обнаружил в даркнете дамп, содержащий 8,2 терабайта личных данных, якобы принадлежащих миллионам пользователей Mobikwik. Эта база включает в себя имена, номера телефонов, адреса электронной почты, адреса проживания, данные GPS, хэшированные пароли, список установленных приложений, журналы транзакций, номера банковских счетов и части номера платежных карт для 40 000 000 человек. Продавец оценил базу в 1,2 биткоина, то есть примерно в 70 000 долларов.
• Массовая утечка данных пользователей произошла у компании Facebook. Так, вместе с личными данными 533 млн пользователей в сети оказался и номер телефона основателя компании Марка Цукерберга.
• Американская компания Applus Technologies, проводящая экспертизу транспортных средств по количеству выделяемых ими выхлопных газов, подверглась кибератаке, в результате которой приостановилось тестирование автомобилей в восьми штатах – Коннектикуте, Джорджии, Айдахо, Иллинойсе, Массачусетсе, Юте и Висконсине.
• Представитель Европейской комиссии сообщил о кибератаке на IT-системы, произошедшей в марте нынешнего года. Кибератака затронула IT-инфраструктуру Еврокомиссии и нескольких организаций Европейского союза.
• Хакеры взломали как минимум один сервер обновлений немецкого производителя смартфонов Gigaset и разослали с него вредоносное ПО на устройства некоторых его клиентов.
• Крупнейший трест лондонских школ Harris Federation был атакован операторами вымогательского ПО. В результате кибератаки были отключены IT-системы, почтовые серверы и телефонные линии в начальных и средних академиях по всему Лондону.
• В интернете продают данные людей, которые хотели взять кредит в банке «Дом.РФ»: мошенники утверждают, что владеют 100 тыс. записей о потенциальных клиентах. Причина утечки — уязвимость при подаче заявки на ссуду, объяснили в банке.