Дайджест информационной безопасности №213 за период с 31 мая по 11 июня 2021

Новости законодательства

• На портале правовой информации ФСО РФ опубликован приказ Минцифры, устанавливающий единый подход к определению угроз безопасности персональных данных при их обработке. Отныне при создании моделей угроз для ПДн операторы информационных систем, контролируемых Министерством, должны брать за основу список, приведенный в этом документе.
• Установлена административная ответственность за нарушение требований в области обеспечения безопасности КИИ.

Новости ИБ

• Группировка PuzzleMaker атакует компании с помощью  цепочки 0Day-уязвимостей в Chrome и Windows 10.
• Специалисты предупредили, что злоумышленники уже активно сканируют сеть в поисках серверов VMware vCenter, уязвимых перед исправленной недавно критической RCE-проблемой CVE-2021-21985, набравшей 9,8 баллов из 10 по шкале оценки уязвимостей CVSS v3.
• Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США сообщило о выпуске нового руководства для экспертов по разведке киберугроз, использующих базу знаний MITRE ATT&CK. Руководство призвано помочь аналитикам киберугроз сопоставить тактики, техники и процедуры злоумышленников с ATT&CK.
• По данным компании Infosecurity, количество мошеннических сайтов по продаже авиа- и железнодорожных билетов в мае увеличилось более чем на 20% по сравнению с мартом-апрелем.
• ИБ-специалисты из компании Cluster25 нашли нового вредоноса SkinnyBoy, который использовался русскоязычной хак-группой APT28 в ходе направленных фишинговых атак на военные и правительственные учреждения в начале текущего года.
• Команда исследователей Check Point Research обнаружила четыре новые уязвимости, которые затрагивают продукты Microsoft Office, включая Excel и Office Online. Но уже в рамках очередного «вторника исправлений» компания Microsoft подготовила исправления в том числе для 6 активно эксплуатируемых в реальных атаках уязвимостей нулевого дня в ОС Windows и протоколе сетевой аутентификации Kerberos.

Интересные посты русскоязычных блогов по ИБ

• Специалисты RUVDS.com привели результаты тестирования NVMe-сервера на предмет его мощности и быстродействия. Авторы подробно описали методику тестирования и поделились впечатлениями от работы с данным типом накопителей.
• Алексей Лукацкий прошелся по интересным новациям, которые были представлены в рамках прошедшей в конце мая RSA Conference 2021, где одной из популярных тем стал именно мониторинг ИБ. Автор рассказал, что добавляют различные компании, производители и потребители в свои SOCи для повышения их эффективности.
• Александр Рябиков предупредил о новом виде мошенничества, с которым столкнулся сам.  Опасность заключается в том, что атака была проведена с применением приемов социальной инженерии, которая была организована одновременно по нескольким каналам.
• Александр Колесников, преподаватель курса «Пентест. Практика тестирования на проникновение» посвятил блог построению карты сети. Автор рассказал о функциях Windows, с помощью которых можно узнать о состоянии сетевой подсистемы.

Интересные посты англоязычных блогов по ИБ

• Craig Hinkley рассмотрел аспекты, которые будут составлять будущее безопасности приложений. Поднимается вопрос влияния пандемии на цифровизацию процессов в бизнесе и особенностей, стоящих за этим. Отмечается важность развития DevOps и AppSec.
• Tom Emmons в своем посте рассмотрел несколько последних участников DDOS-угроз, появляющихся на сцене, и на то, что организациям нужно сделать сейчас, чтобы подготовиться к реагированию на такой тип угроз.
• Corey O’Connord в своей статье затронула вопрос безопасности персональных данных, в частности рассматривается проблема коммуникации CISO и других руководителей компании по этому вопросу.

Исследования и аналитика

• В ближайшие десять лет убытки от кибератак программ-вымогателей достигнуть цифры 265 миллиардов долларов. К такому выводу пришли исследователи из компании Ventures, представившие свои прогнозы в новом отчёте.
• На этой неделе инженеры компании Trend Micro раскрыли подробности уязвимости CVE-2021-30724, связанной с повышением привилегий, а также опубликовали PoC-эксплоит для этого бага.
• Специалисты компании Check Point Research выявили текущую кампанию по кибершпионажу, предположительно связанную с Китаем. Хакеры атакуют правительственные организации в Юго-Восточной Азии с целью распространения шпионского ПО на системах Windows. По словам экспертов, преступники оставались незамеченными более трех лет.
• Galvanize, мировой лидер в области программного обеспечения SaaS для управления, рисков и соответствия (GRC), объявил о новых результатах национального опроса профессионалов GRC. Выяснилось, что только 30% профессионалов GRC в настоящее время используют облачные технологии, 41% респондентов говорят, что планируют их внедрить.
• В отчете о зрелости информационной безопасности ClubCISO 2021,  представлен обзор проблем, с которыми сегодня сталкиваются директора по информационной безопасности.. Им необходимо поддерживать рабочий темп, обеспечивая при этом удовольствие от работы и мотивацию своих сотрудников.
• Компания Sophos опубликовала результаты исследования The IT Security Team: 2021 and Beyond, в котором отражено влияние пандемии по всему миру на ИБ-команды. Основываясь на результатах индивидуального опроса 5400 профессионалов из 30 стран, в отчете показано, как опыт специалистов в области кибербезопасности изменился в течение 2020 года и что это означает для обеспечения информационной безопасности в будущем.
• В отчете ESET Threat Report T1 2021 представлен взгляд на ландшафт угроз с точки зрения телеметрии ESET и с точки зрения экспертов ESET по обнаружению угроз и исследованиям. В отчете проанализирована текущая серия исследований латиноамериканских банковских троянов, обнаружение вредоносного ПО Kobalos, а также операция Spalax, нацеленная на правительство Колумбии и многое другое.
• В исследовании Entrust 2021 Hong Kong Encryption Trends Study, которое является частью 16-го ежегодного международного исследования Ponemon Institute,  сообщается о проблемах кибербезопасности, с которыми сегодня сталкиваются организации, а также о том, как и почему используется шифрование.

Громкие инциденты ИБ

• Крупнейшая в мире мясоперерабатывающая корпорация JBS подверглась кибератаке, которая нарушила производство мяса в США, Канаде и Австралии. В итоге компания заплатила хакерам-вымогателям $11 млн выкупа.
• Специалисты обнаружили на хакерском форуме файл весом 100 ГБ, который содержит 8,4 млрд слитых паролей. Это больше, чем всё население Земли. На данный момент достоверность/опасность базы под сомнением.
• Управление пароходства Woods Hole, Martha’s Vineyard и Nantucket в американском штате Массачусетс сообщило о хакерской атаке. По данным компании, она стала целью атаки программ-вымогателей, повлиявшей на работу компании.
• Японский транснациональный конгломерат FujiFilm подвергся кибератаке, в результате которой ему пришлось отключить часть своей IT-сети. Fujifilm отклонил требование заплатить выкуп. Вместо этого в компании полагаются на собственные резервные копии информации.
• Управление пароходства Steamship Authority сообщило, что подверглось атаке вымогательского ПО  и в настоящее время оценивает понесенный ущерб. Хакеры нарушили паромное сообщение между материковой частью США и островами.
• Хакеры выставили на продажу исходный код Cyberpunk 2077. Напомним, что эти данные были украдены в феврале 2021 года c серверов разработчиков CD Projekt Red.
• Один из клиентов CDN-провайдера Fastly вызвал глобальную поломку интернета. Он поменял системные настройки и, сам того не желая, активировал ошибку, таившуюся в коде ПО провайдера.
• Тайваньская компания Adata, занимающаяся производством DRAM, USB-накопителей, жестких дисков, твердотельных накопителей, карт памяти и мобильных аксессуаров, пострадала от атаки шифровальщика Ragnar Locker.
• Американская компания Navistar International Corporation, производящая грузовики и военную технику, сообщила, что в конце мая неизвестные злоумышленники похитили данные из ее внутренней сети.
• Министерство труда Испании подверглось кибератаке. Технические сотрудники министерства и Национального криптоцентра совместно работают над определением происхождения и скорейшим восстановлением нормальной работы.