Дайджест информационной безопасности №210 за период с 12 по 23 апреля 2021

Новости законодательства

• Президент России подписал указ, утверждающий основы государственной политики в сфере международной информационной безопасности. Указ определяет основные киберугрозы, а также цели и задачи страны в этой области. С содержанием указа можно ознакомиться на официальном веб-ресурсе правовой информации.

Новости ИБ

• Сведения об угрозах безопасности России теперь можно передавать Службе внешней разведки РФ через сайт в даркнете. Сайт СВР в доменной зоне .onion является первой в Европе виртуальной приемной подобного рода.
• Американская администрация одобрила 100-дневный план по защите электрической инфраструктуры от киберугроз со стороны противников.
• Microsoft выпустила официальный патч для бага, позволяющего потенциальному злоумышленнику привести к сбою в работе операционной системы Windows 10. Речь идёт о проблеме с файловой системой NTFS, которую можно было повредить с помощью вредоносной директории.
• Команда исследователей в области кибербезопасности из Индианского университета в Блумингтоне (США) и Нанькайского университета в Тяньцзине (Китай) обнаружила пробелы в безопасности контроля доступа к IoT-устройствам.
• Лаборатория Касперского обнаружила кампанию кибершпионажа TunnelSnake, которая проводится с 2019 года и направлена на дипломатические представительства в Азии и Африке. В ней применяется ранее неизвестный руткит. Зловред, названный Moriya, позволяет совершать практически любые действия в операционной системе, проникать в сетевой трафик и маскировать вредоносные команды, отправляемые на заражённые устройства.
• Североатлантический альянс провел очередные киберучения Locked Shields 2021, в ходе которых специалисты симулировали информационные атаки на вымышленную страну, пострадавшую от пандемии.
• Агентство национальной безопасности США, Агентство по кибербезопасности и безопасности инфраструктуры и Федеральное бюро расследований представили список из пяти уязвимостей, по их словам, эксплуатирующихся «русскими хакерами» в атаках на американские организации.
• Специалисты FireEye утверждают, что сразу две хак-группы используют уязвимость нулевого дня в Pulse Secure VPN для атак на сети американских оборонных подрядчиков и правительственных организаций по всему миру.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий в своём блоге делится опытом моделирования нарушителей с использованием методики оценки угроз ФСТЭК.
• Консультанты группы компаний Angara подготовили перечень вышедших в 2020–2021 гг. ключевых руководящих документов с краткими комментариями к каждому документу.
• Павел Гончаров рассказал как происходит обмен информацией об инцидентах и уязвимостях в системе ГосСОПКА.
• Сергей Борисов в своём блоге поделился примером модели угроз безопасности клиента финансовой организации на основе новой методики оценки угроз ФСТЭК.
• Антон Соловей в блоге R‑Vision на Хабре рассказал о стандартах обмена данными в Threat Intelligence. Затронуты форматы STIX и MISP, а также ряд других форматов.

Интересные посты англоязычных блогов по ИБ

• Dan Simmons поделился мыслями о том, чего ожидать от PCI DSS 4.0. Описывается, что такое PCI DSS в целом, и какие изменения появятся в новой версии.
• В блоге Untangle проведен анализ того, как изменились программы-вымогатели в 2020 году и каково их состояние на 2021 год. Приводятся примеры действий, которые могут быть предприняты в компании для защиты бизнеса от атак программ-вымогателей.
• Kyndall Elliott в своей статье описал 6 этапов зрелости программы управления рисками и возможности её автоматизации. Описывается понятие зрелости кибербезопасности, а также уровни ее зрелости.
• Ax Sharma разобрал детали инцидента, которые обнародовала компания Codecov: атака на цепочку поставок не обнаруживалась в течение 2 месяцев. Разбирается суть атаки, приводятся описания мер, которые могут помочь предотвратить подобные проблемы.

Исследования и аналитика

• Исследователи компании Check Point опубликовали традиционный отчет Global Threat Impact Index за март 2021 года. Оказалось, что в этом месяце банковский троян IcedID (он же Bokbot) впервые вошел в рейтинг наиболее активной малвари и сразу занял в нем второе место. Первое место в марте досталось трояну Dridex, который в феврале был лишь на седьмой строке топа.
• McAfee выпустила новый отчет об эволюции киберугроз в третьем и четвертом кварталах 2020 года. Согласно отчету, в четвертом квартале фиксировалось в среднем 648 угроз ежеминутно. Для сравнения, в третьем квартале было зафиксировано на 60 угроз в минуту меньше. За подотчетный период существенно возросло количество выявленных кибератак на тему COVID-19 – на 240% в третьем квартале и на 114% в четвертом.
• Veracode представила Крупнейшие утечки и утечки данных в 2020 году и способы их предотвращения. Некоторые из самых серьезных нарушений связаны с общими проблемами качества кода, внедрением CRLF и криптографическими проблемами, которые можно предотвратить с помощью передовых методов безопасного кодирования.
• Secureworks выпустила отчет Threat Intelligence Executive Report 2021 Vol. 2, в котором проведен обзор событий и тенденций в мире информационной безопасности с января по февраль 2021 года. В частности, в отчете отражены события с обезвреживанием ботнета Emotet правоохранительными органами, взломом завода по очистке воды во Флориде, и другие события в сфере ИБ.
• Check Point Research выпустили отчет о фишинге брендов за первый квартал, в котором выделяются ведущие бренды, которым подражали хакеры. В первом квартале Microsoft снова стали компанией, которая чаще всего подвергалась атакам киберпреступников, как и в четвертом квартале 2020 года.
• Fireeye выпустили отчет M-Trends 2021. Впервые в истории M-Trends среднее время обнаружения атак упало до менее одного месяца. В отчете представлен большой набор показателей, включая время ожидания злоумышленника, обнаружение по источнику, нацеливание на отрасль, методы растущих угроз, сложные семейства вредоносных программ и многое другое.
• Dr. Web опубликовали обзор вирусной активности для мобильных устройств в марте 2021 года. В числе наиболее активных угроз вновь оказались трояны и нежелательные приложения, демонстрировавшие рекламу. Кроме того, на Android-устройствах часто обнаруживались вредоносные программы, загружающие другое ПО и выполняющие произвольный код.

Громкие инциденты ИБ

• Компания Bakker Logistiek, занимающаяся хранением и перевозками, пострадала от атаки шифровальщика. В итоге это спровоцировало нехватку сыра в голландских супермаркетах.
• Крупная утечка маршрутизации BGP нарушила подключение к тысячам крупных сетей и веб-сайтов по всему миру. Хотя утечка маршрутизации BGP произошла в автономной сети Vodafone, расположенной в Индии, согласно источникам, она затронула американские компании, включая Google.
• Крупная французская фармакологическая компания Pierre Fabre оказалась под атакой вируса-шифровальщика REvil, и большинство производств было остановлено. Хакеры требуют $50 млн в биткоинах за расшифровку данных.
• По данным портала CyberNews, хакеры разместили в интернете данные 1,3 млн пользователей Clubhouse. База содержит имена из учетных записей, ссылки на фотографии пользователей, сведения об их аккаунтах в Twitter и Instagram, а также информацию о том, кто пригласил пользователей в Clubhouse и когда они зарегистрировались.
• Операторы вымогателя REvil попытались шантажировать компанию Apple и начали накануне мероприятия Spring Loaded. Хакеры потребовали выкуп, и в противном случае угрожают устроить утечку конфиденциальной информации компании.
• Group-IB предупредила Facebook о масштабной атаке на пользователей Facebook Messenger в 84 странах мира, включая Россию. Специалисты Group-IB Digital Risk Protection обнаружили 5700 мошеннических рекламных публикаций и около 1 000 поддельных профилей социальной сети, которые использовались в данной кампании.