Дайджест информационной безопасности №215 за период с 28 июня по 9 июля 2021

Новости законодательства 

• Президент РФ подписал указ «О стратегии национальной безопасности Российской Федерации», в котором информационная безопасность была впервые выделена в качестве отдельного приоритетного направления.

Новости ИБ 

• Россия заняла 5 место в международном индексе кибербезопасности.  Согласно индексу, у России есть потенциал роста в плане технических и организационных мер. По другим группам Россия уже получила максимальные баллы.
• Агентство по кибербезопасности и безопасности инфраструктуры США и Федеральное бюро расследований США опубликовали руководство для организаций, пострадавших от атаки операторов вымогательского ПО REvil на MSP-провайдера Kaseya.
• В России число случаев мошенничества от имени служб техподдержки за последние полгода увеличилось почти на 60% по сравнению с предыдущими шестью месяцами. Эксперты рассказали, как защитить себя от подобных злоумышленников.
• Специалисты некоммерческой правозащитной организации Amnesty International, британской исследовательской группы Forensic Architecture и канадской междисциплинарной лаборатории Citizen Lab запустили онлайн-проект, отслеживающий географическое распространение шпионского ПО Pegasus.
• В операционной системе Windows была обнаружена критическая уязвимость PrintNightmare. Ранее компания Microsoft выпустила патч, который был призван исправить проблему, но сразу несколько ИБ-специалистов указали на то, что «заплатка» не справилась со своей задачей.
• НКЦКИ сообщил, из каких стран совершали кибератаки на Россию в 2020 году. В основном атаки производились с территории США, Германии и Нидерландов.
• Увеличилось число «вакцинных» доменов, в том числе включающие названия вакцин против вируса на кириллице или латинице, а также домены, связанные с QR-кодами и сертификатами о вакцинации. Всем интернет-пользователям сегодня надо быть еще более внимательными и острожными, обращаясь к сайтам, имена которых содержат отсылки к этим темам в связи с COVID-19.

Интересные посты русскоязычных блогов по ИБ 

• Компания Selectel поделилась с читателями хабра своим видением кибербезопасности  в дата-центрах. В частности, затрагиваются такие угрозы, как фишинг, DDOS, закладки и и способы защиты от них.
• Команда R‑Vision реализовала скоринговую модель ранжирования индикаторов компрометации на основе исследования Амстердамского университета и поделилась наработками с ИБ-сообществом на GitHub.
• Эксперт компании VDSina.ru провел глубокий анализ поверхности атаки популярных менеджеров паролей и делится результатами с читателями блога.
• Алексей Лукацкий рассказал в своем блоге о методике моделирования угроз и защитных мер от MITRE – TARA. Автор коснулся ключевых моментов, которые и отличают TARA от методики, предложенной ФСТЭК.

Интересные посты англоязычных блогов по ИБ  

• Michael Vizard прокомментировал действия компании Kaseya при обнаружении атаки REvil. Автор проанализировал использование внутренних систем и систем-сервисов с точки зрения эффективности противодействия угрозам ИБ.
• Marcus Bartrum в своей статье рассуждает о новом подходе к борьбе с угрозамикибербезопасности. Описывается смена подхода в решении проблем у компаний, подвергшихся атакам программ-вымогателей.
• Splunk Threat Research Team поделился подробностями атаки REvil. Автор разобрал особенности этого ransomware, дал советы для снижения рисков успешной атаки REvil.
• Cameron Camp и Aryeh Goretsky провели предварительный разбор атаки на Kaseya с помощью REvil. В статье приведены индикаторы компрометации (IoCs), которые могут помочь предотвратить атаку.

Исследования и аналитика 

• Специалисты InfoWatch представили статистику за 2020 год, согласно которой экспертно-аналитический центр зафиксировал 404 утечки данных из российских организаций, коммерческих компаний и госорганов. Отдельно исследователи подчеркнули большую долю умышленных утечек.
• Компания Avast провела исследование самых распространенных угроз для Android. Возглавляет список adware — так называемые рекламные приложения.
• Специалисты компании Fortinet опубликовали отчет, в котором сообщают, что создатели известной малвари TrickBot (эту хак-группу обычно называют Wizard Spider) могут быть связаны разработкой нового вымогателя Diavol.
• Эксперимент компании НКО Which? совместно с NCC Group и специалистами Global Cyber Alliance, показал, что атаки на умные дома могут проводиться с частотой более 12 тыс. раз в неделю. В основном это сканирование на предмет уязвимостей, но нередко за такой разведкой следует попытка взлома пароля, открывающего доступ к IoT-устройству.
• По мере того, как все больше и больше организаций переходят на общедоступные облака, наблюдается соответствующий рост утечек данных в облаке. Согласно опросу IDC, проведенному среди 200 лиц, принимающих решения в области безопасности в США, 98% опрошенных компаний испытали хотя бы одну утечку облачных данных за последние 18 месяцев, по сравнению с 79% в прошлом году.
• Онлайн-мошенники ввели в заблуждение как минимум 93 тыс. пользователей Android-смартфонов, обманом заставив их приобрести приложения для майнинга криптовалюты. Об этом рассказали в своём отчёте специалисты компании Lookout.
• ReversingLabs провели анализ пакетов, хранящихся в репозитории NuGet и выявили 51 уязвимый программный компонент. Оказалось, что обнаруженные уязвимости не только крайне опасны своим наличием, но и активно используются в кибератаках.
• С переходом на удаленный образ жизни количество попыток перехода на вредоносные сайты, эксплуатирующие игровую тематику, увеличилось более чем на 50%. Спустя год после предыдущего отчета Лаборатория Касперского снова изучили ландшафт угроз, нацеленных на игроков и игровую индустрию.

Громкие инциденты ИБ 

• Санитарная комиссия пригородов Вашингтона (Washington Suburban Sanitary Commission, WSSC Water) стала жертвой кибератаки с использованием вымогательского ПО.
• Около двух сотен американских компаний пострадали в результате кибератаки на базирующуюся во Флориде IT-компанию Kaseya, предоставляющую услуги управления IT-инфраструктурой. Эксперты считают, что организатором атаки является вымогательская группировка REvil.
• Одна из крупнейших в Швеции сетей супермаркетов Coop была вынуждена закрыть порядка 800 магазинов по всей стране из-за одного из подрядчиков, пострадавшего в результате вымогательской атаки REvil на американского MSP-провайдера Kaseya, затронувшей сотни компаний по всему миру.
• Хакеры группировки АРТ29 взломали сервера национального комитета Республиканской партии США. Преступная группа организовала массовую атаку с использованием программ-вымогателей.
• Неизвестные взломали несколько аккаунтов в социальной сети Gettr, созданной Джейсоном Миллером, бывшим пресс-секретарем и помощником экс-президента США Дональда Трампа.
• Злоумышленники взломали сервер монгольского удостоверяющего центра MonPass и встроили в официальный клиент компании бэкдор на основе Cobalt Strike, сообщили специалисты компании Avast. Бэкдор был активен в официальном приложении с 8 февраля по 3 марта 2021 года.