Дайджест информационной безопасности №212 за период с 17 по 28 мая 2021

Новости ИБ

• Реформа центра мониторинга и реагирования на компьютерные атаки ЦБ (ФинЦЕРТ), задуманная для его усиления и повышения эффективности, привела к обратным результатам: сокращению и снижению качества предоставляемой банкам информации по информационной безопасности.
• Киберпреступная группировка, распространяющая вымогатель Qlocker, решила свернуть свои операции. Всего за один месяц злоумышленникам удалось заработать $350 тысяч за счёт эксплуатации уязвимостей в сетевых накопителях (NAS) QNAP.
• Роскомнадзор намерен ограничить доступ к VPN-сервисам, которые не приведут свою работу в соответствие с законами России, сказал глава ведомства Андрей Липов. Он сообщил, что сейчас Роскомнадзор пытается решить спорные вопросы с этими сервисами.
• Бесплатный почтовый клиент Mozilla Thunderbird последние несколько месяцев сохранял ключи OpenPGP некоторых пользователей в виде обычного текста. Уязвимость CVE-2021-29956 затрагивала версии Thunderbird от 78.8.1 до 78.10.1.
• Специалисты Рурского университета в Бохуме представили две новые техники, позволяющие незаметно модифицировать содержимое сертифицированных PDF-документов. Они могут позволить изменить текст договора, передаваемого для подписания цифровой подписью. Исследователи протестировали 26 популярных инструментов для работы с PDF и обнаружили, что 24 из них уязвимы либо к одной из техник, либо сразу к двум.
• Команда безопасности Microsoft предупредила о новой вредоносной кампании, в ходе которой злоумышленники распространяют троян для удаленного доступа STRRAT, похищающий данные с зараженных систем. Вредонос примечателен тем, что маскируется под вымогательское ПО.

Интересные посты русскоязычных блогов по ИБ

• Аккерманн Юрий поделился своим мнением, почему замена Капчи с помощью FIDO2/Webauthn это плохая идея. Автор привел свою аргументацию против решения Cloudflare.
• Владимир Безмалый выложил в своем блоге чеклист для самопроверки на подверженность угрозам вымогателей. Автор настоятельно рекомендует проверить себя, и если какие-то пункты не выполняются, исправить немедленно.
• Эксперты R‑Vision в статье на Хабре рассказывают о том, какая культура обмена данными Threat Intelligence сложилась за рубежом, чем отличается российская практика, и в чем заключаются основные подводные камни этой области.

Интересные посты англоязычных блогов по ИБ

• Dan Kaplan рассказал о 6 основных сложностях MSSP, которые можно решить с помощью автоматизированных и интегрированных операций по обеспечению безопасности. Речь идёт об увеличении затрат на привлечение клиентов, отсутствии централизованной видимости, множественных моделях доставки, выполнении обязательств SLA, круглосуточных операциях, текучке кадров.
• Darren Mar-Elia посветил пост безопасности Active Directory, а именно злоупотреблении спецификаторами отображения. Автор привел примеры спецификаторов и как злоумышленники могут их использовать для своих целей, а также пример мер защиты от возможного несанкционированного использования спецификаторов.
• В блоге Eclypsium эксперты поделились рассуждениями о перспективах указа о повышении уровня кибербезопасности в стране, опубликованном на сайте администрации президента США.

Исследования и аналитика

• Согласно исследованию Elliptic, за девять месяцев хакерская группировка DarkSide получила от жертв около $90 млн в биткоинах. По данным аналитиков, вредоносное ПО DarkSide скомпрометировало около 99 организаций. Почти половина из них заплатили выкуп, а средний платеж составил $1,9 млн.
• Исследование Privacera показывает растущий конфликт между аналитиками и специалистами информационной безопасности. На продуктивность аналитических групп негативно влияют требования безопасности, часто приводящие к нескончаемому и трудно обрабатываемому потоку ИТ-заявок, запрашивающих доступ к конфиденциальным данным.
• Forensic Focus подготовили обзор стандартов цифровой криминалистики в первом квартале 2021 года.
• Эксперты центра приема жалоб на мошенничество в Интернете при ФБР опубликовали отчет о киберпреступлениях за последние 14 месяцев. Как оказалось, в период с марта 2020 года по май 2021 года наблюдался резкий прирост жалоб, количество которых увеличилось более чем на миллион.
• Команда исследователей Check Point Research обнаружила, что разработчики мобильных приложений раскрыли персональные данные более 100 миллионов пользователей из-за неправильной конфигурации сторонних облачных сервисов.
• По данным электронной книги с выводами об безопасности Office 365 компании Vectra, 71% пользователей подвергались взлому учетной записи в среднем семь раз за год. Но более важный вопрос заключается в том, как компании обнаруживают необычные явления, что является важным шагом в понимании того, как защититься от подобных угроз.
• Отчет PerimeterX Automated Fraud Benchmark Report выявляет скрытые тенденции и предоставляет уникальную информацию об автоматическом мошенничестве, полученную в результате миллиардов анонимных онлайн-взаимодействий реальных пользователей и ботов на сотнях крупнейших мировых торговых сайтов.
• Эксперты StormWall зафиксировали взрывной рост DDoS-атак на майских праздниках. Общее количество DDoS-атак на онлайн-ресурсы российских компаний за весь период с 1 по 10 мая увеличилось на 59% по сравнению с аналогичным периодом 2020 года. Столь серьезный рост по сравнению с прошлым годом связан с тем, что в условиях экономического спада и снижения реальных доходов населения резко увеличилось количество киберпреступников.
• Исследователи подразделения Mandiant компании FireEye сообщили в своем новом отчете, что в последнее время наблюдается менее профессиональная вредоносная активность с использованием широко известных тактик, техник и процедур (TTP) и доступных инструментов для доступа, взаимодействия и сбора информации с доступных интернет ресурсов – тенденции, которые раньше редко встречались.
• Согласно новому исследованию Avast, Россия в 2020 году заняла второе место по распространению шпионских и сталкерских программ. Всего аналитики изучили ситуацию в 15 странах, а также поделились информацией о приёмах киберсталкеров. Обойти Россию в этом рейтинге удалось только Индии — в этой стране граждане чаще всего сталкиваются со шпионским софтом и stalkerware.
• По данным исследования Splunk и Enterprise Strategy Group The State of Security 2021, только 47% директоров по информационной безопасности проинформировали исполнительное руководство о последствиях атак SolarWinds, произошедших два месяца назад. Это означает, что уязвимость не только в этом взломе, но и в атаках на цепочку поставок в целом все еще не устранена. 78% компаний ожидают еще одной атаки на цепочку поставок в стиле SolarWinds.
• Ричарда Stiennon привел Топ-20 самых быстрорастущих компаний в области кибербезопасности в первом квартале 2021 года.

Громкие инциденты ИБ

• Производитель стеклянной и металлической тары Ardagh Group стал жертвой кибератаки, в результате которой компании пришлось отключить ряд систем и приложений. Компании пришлось внедрить альтернативные решения для обеспечения бесперебойной работы.
• Отделение французской транснациональной страховой компании AXA в Азии подверглось атаке с использованием программы-вымогателя Avaddon. Атака произошла после того, как 9 мая нынешнего года компания сообщила об отказе продавать программы киберстрахования во Франции, которые возмещают клиентам расходы на оплату выкупа вымогателям.
• Медицинские и персональные данные пациентов ирландских медучреждений были опубликованы в Сети. Данные пациентов утекли online. Информация включает внутренние файлы HSE, время приема пациентов, сведения о приобретении медоборудования и переписку с пациентами.
• Индонезийское правительство заблокировало доступ к известному хакерскому форуму RAID, пытаясь предотвратить распространение конфиденциальных данных жителей страны.
• Производитель аудиотехники Bose заявил, что стал жертвой атаки неназванного шифровальщика. Атака была направлена на системы компании в США, и хакеры успели развернуть шифровальщика во внутренней сети Bose.
• Индийская авиакомпания Air India сообщила, что один из ее поставщиков ПО допустил утечку данных, из-за чего были раскрыта личная информация 4,5 млн пассажиров, пользовавшихся услугами перевозчика.
• Серверы Министерства внутренних дел Бельгии подверглись крупномасштабной кибератаке. Хотя хакеры атаковали целенаправленно, они не получили доступа к наиболее конфиденциальным данным, хранящимся на надежно защищенных серверах.