Дайджест информационной безопасности №217 за период с 26 июля по 6 августа 2021

Новости ИБ

• Специалисты Google остановили вредоносную рекламную кампанию, в рамках которой мошенники заманивали пользователей на поддельный сайт браузера Brave. Под видом браузера на сайте скрывался троян ArechClient (SectopRAT).
• Компания Armis обнародовала подробности о девяти уязвимостях, получивших общее название PwnedPiper. Проблемы затрагивают медицинское оборудование, установленное примерно в 80% крупных больниц в Северной Америке.
• Тайваньская компания CyCraft выпустила бесплатное приложение, которое поможет жертвам вымогательского ПО Prometheus восстановить зашифрованные файлы. Декриптор опубликован для скачивания на GitHub.
• Эксперты ФБР, Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), Австралийского центра кибербезопасности (ACSC),  а также Национального центра кибербезопасности Великобритании (NCSC) выпустили совместную рекомендацию по безопасности, в которой причислили уязвимости, наиболее «популярные» у преступников в 2020 и 2021 году.
• В Cloudflare выявлена и исправлена уязвимость, которая допускала полную компрометацию и самой системы, и миллионов сайтов, ее использующих. Более 12% всех сайтов в мире оказались под угрозой из-за критической уязвимости в сети доставки контента (CDN) компании Cloudflare.
• Исследователи Санкт-Петербургского Федерального исследовательского центра РАН (СПб ФИЦ РАН) создали прототип компьютерной игры, которая научит пользователей противостоять различным видам социоинженерных атак и повысит уровень грамотности при использовании корпоративной информации.
• Сервисом Copilot, созданным на основе нейросети и призванным упростить работу программистов, могут воспользоваться разработчики вредоносного ПО. К такому выводу пришли российские специалисты по кибербезопасности.
• Хакерская группировка АРТ31 впервые атаковала российские компании. В первом полугодии 2021 года группировка АРТ31, помимо действий в России, провела около десяти вредоносных рассылок в Монголии, США, Канаде и Белоруссии.
• В компаниях по защите от интернет-угроз обнаружили DDoS-атаки нового мощнейшего ботнета испанского происхождения на российские компании, преимущественно из игровой индустрии.

Интересные посты русскоязычных блогов по ИБ  

• Экспертам компании «Информзащита» удалось отследить и систематизировать техники и тактики группировки Winnti. Анализ получился достаточно глубоким и будет любопытен техническим специалистам.
• Пользователь Хабра rivitna посвятил статью средствам автоматизации анализа вредоносных программ. Автор привел образец REvil  в учебных целях для демонстрации средств автоматизации анализа, в основном для деобфускации для последующего анализа.
• Недавно европейский орган о кибербезопасности European Union Agency for Cybersecurity (ENISA) выпустили свежий отчет CYBERSECURITY FOR SMES по анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал рекомендации по защите. Сергей Борисов дал свои комментарии к данному отчету.
• В блоге на Хабре Positive Technologies рассказали о том, как отработали и что интересного обнаружили их продукты, в частности MaxPatrol SIEM, на майском The Standoff. В статье рассказано, какие сценарии взлома использовали атакующие, какие тактики и техники проникновения и закрепления стали самыми распространенными среди команд красных, эксплуатация какой нашумевшей уязвимости позволила уронить контейнеры в морском порту и другие вопросы.

Интересные посты англоязычных блогов по ИБ  

• С более широким использованием API-интерфейсов возрастают риски безопасности из-за того, что многие разработчики не следуют рекомендациям по безопасности на этапах проектирования и разработки. Sue Poremba рассказал о разработке передовых методов обеспечения безопасности API.
• AWS, как и другие поставщики облачных услуг, имеет «модель общей ответственности», которая определяет, за защиту каких облачных компонент отвечает AWS, и за безопасность каких несет ответственность заказчик. В блоге Ermetic рассказали, что означает эта модель, ее многочисленные проблемы и то, как организации могут лучше защитить свою облачную инфраструктуру и улучшить состояние облачной безопасности.
• Антон Чувакин посвятил пост качеству обнаружения угроз. Автор попытался выработать идеи, которые могут помочь всем. В том числе: как заставить компании улучшить качество обнаружений, что понимать под «хорошим» обнаружением и как добиться большего и лучшего обнаружения.
• Bruce Lynch выделил пять причин, по которым важно выбрать не просто интернет-провайдера, а поставщика, ориентированного на безопасность.

Исследования и аналитика

• Лаборатория Касперского опубликовала отчет о DDoS-атаках во II квартале 2021 года. Квартал выдался относительно спокойным, наблюдалось небольшое падение общего количества DDoS-атак по сравнению с предыдущим кварталом. Лидером по количеству DDoS-атак во втором квартале остаются США (36%). Доля Китая (10,28%) продолжила снижаться, зато в топ-3 самых атакуемых стран поднялась Польша (6,34%).
• По данным «Лаборатории Касперского», во втором квартале 2021 года увеличилось количество сложных целевых атак с использованием серверов Microsoft Exchange. В частности, уязвимости в этом ПО используются неизвестной группой для проведения долгосрочной кампании кибершпионажа GhostEmperor. Её цели — в основном крупные компании из Юго-Восточной Азии, в том числе государственные учреждения и телекоммуникационные компании.
• Специалисты из компании ISACA опубликовали вторую часть отчета о состоянии кибербезопасности компаний в 2021 году, включая анализ частоты и типов кибератак, доверия к ИБ-командам и инициатив по повышению осведомленности сотрудников о кибербезопасности. Как показали результаты, 35% компаний подверглись большему количеству кибератак сравнению с предыдущим годом. Наиболее частыми типами кибератак остаются: социальная инженерия (14%), APT-группировки (10%), вымогательское ПО (9%) и уязвимые компьютерные системы (9%).
• Эксперты компании McAfee выпустили отчет о шифровальщике Babuk, в котором пришли к выводу, что попытки сделать малварь кроссплатформенной и использовать против Linux/UNIX и ESXi или VMware обернулись неудачей.
• Компания Avast выпустила глобальный отчет о рисках для ПК за первое полугодие 2021 года, в котором есть полезная информация, которую малые и средние предприятия (СМБ) могут использовать, чтобы лучше понять, как выглядит ландшафт безопасности в эпоху Covid-19.
• Специалисты CynergisTek проанализировали около 100 поставщиков медицинских услуг по всему миру с целью определить уровень безопасности организаций в сравнении с руководством по усилению кибербезопасности критической инфраструктуры Cybersecurity Framework. В результате только 23% организаций прошли проверку уровня кибербезопасности цепочки поставок. Даже самые высокие показатели не достигли уровня 4.
• Компания ThycoticCentrify провела опрос среди 8 тысяч сотрудников различных компаний, чтобы выяснить, как люди обращаются с паролями и чему они привыкли доверять управление учётными данными. Согласно опросу, около 30% респондентов хранят пароли в браузерах. А около 50% респондентов заявили, что их компании за последние 12 месяцев не провели ни одного киберучения.
• Исследование SANS «Rethinking the Sec in DevSecOps: Security as Code» показало, что только 29% организаций автоматизировали большую часть своего тестирования безопасности.
• Information Systems Security Association (ISSA) совместно с Enterprise Strategy Group (ESG) провели опрос более 500 профессионалов в области кибербезопасности и выяснили, что недостаток инвестиций в сочетании с проблемой дополнительных рабочих нагрузок приводит к кризису рабочих мест в сфере кибербезопасности. Эксперты также отметили высокий уровень профессионального выгорания среди ИБ-специалистов.
• Управление общей подотчетности США (GAO) выпустило 19-страничный отчет «Кибербезопасность и информационные технологии: федеральным агентствам необходимо активизировать усилия по решению проблем, связанных с областями повышенного риска». Отчет GAO обвиняет ИТ-директоров и OMB в медленном внедрении рекомендаций по кибербезопасности.
• Отчет, выпущенный Salt Labs, свидетельствует о беспрецедентном росте атак на интерфейс прикладного программирования (API) за последние шесть месяцев. Ежемесячная частота вызовов API увеличилась на 141%, в то время как вредоносный трафик вырос на колоссальные 348%.

Громкие инциденты ИБ   

• В Италии хакеры парализовали работу сайта для записи на вакцинацию от коронавируса. Хакеры вмешались в работу официального сайта столичного региона Лацио, в результате чего прервалась работа портала для записи на вакцинацию от коронавируса.
• В США неизвестные киберпреступники взломали электронные почтовые ящики федеральных прокуроров по всей стране.
• Личные данные пользователей «Умного голосования» утекли в Сеть. Хакеры выложили в общий доступ данные о сторонниках блогера Алексея Навального из Московской области. В общей сложности там находятся более 111 тыс. электронных адресов.
• Киберзлоумышленники, атаковавшие в июне 2021 г. корпорацию Electronic Arts (EA), опубликовали украденные оттуда данные на киберкриминальном форуме. Это стало следствием отказа EA выплачивать вымогателям выкуп.
• Власти Эстонии сообщили, что арестовали местного жителя, который использовал уязвимость для получения доступа к государственной базе данных. Подозреваемый загрузил из БД фотографии 286 438 человек, и атаку удалось обнаружить из-за резко возросшего количества запросов.