Дайджест информационной безопасности №218 за период с 9 по 20 августа 2021

Новости законодательства

• 10 августа Министерство юстиции РФ утвердило новый приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
• Банк России вместе с участниками рынка разработал стандарт, который совершенствует механизм сохранности данных при проведении финансовых операций.

Новости ИБ

• Неизвестный опубликовал универсальный дешифратор для зашифрованных REvil файлов. Благодаря этому у исследователей появилась возможность изучить этот загадочный инструмент.
• Группа ученых из Университета Мэриленда и Колорадского университета в Боулдере представила доклад, посвященный новому способу амплификации DDoS-атак. Исследователи утверждают, что для этих целей можно использовать протокол TCP, причем коэффициент усиления у таких атак будет намного больше, чем у UDP, что сделает подобные атаки одной из самых опасных форм DDoS’а.
• Владельцам смартфонов на базе Android по всему миру угрожает новый вирус FlyTrap, который впервые появился в интернете в марте 2021 года. Главная задача вируса — воровство аккаунтов пользователей социальных сетей. Исследование свидетельствует о том, что жертвами FlyTrap стали как минимум 10 тысяч человек в 144 странах мира.
• Правоохранительные органы европейских стран раскрыли сложную мошенническую схему с использованием скомпрометированной электронной почты и платежных систем.
• Специалисты ИБ-компании Heimdal Security обнаружили новое семейство вымогательского ПО, использующее технику шифрования данных в атакуемой среде. Как пояснили эксперты, вместо того чтобы шифровать файлы на конечных точках, как это делает большинство программ-вымогателей, DeepBlueMagic атакует жесткие диски на корпоративных серверах.
• В аппаратных генераторах случайных чисел, использующихся в миллиардах IoT-устройств, обнаружена опасная уязвимость, из-за которой случайные числа не генерируются должным образом, что подрывает безопасность устройств и ставит их под угрозу кибератак.
• Фишеры продолжают использовать азбуку Морзе, чтобы скрыть свои следы и воровать учетные данные пользователей.
• Росатом, Лаборатория Касперского и Ассоциация «Доверенная платформа» создали Центр компетенций по кибербезопасности объектов критической информационной инфраструктуры (КИИ), который сосредоточит экспертные знания о кибериммунности.

Интересные посты русскоязычных блогов по ИБ  

• Инфосистемы Джет опубликовали статью с примерами выполнения требований ГОСТ Р 57580.1-2017 в средах контейнерной оркестрации на базе Kubernetes. Статья показывает, как можно выполнять регуляторные требования по ИБ в средах контейнерной оркестрации, какие для этого есть подходы и инструменты.
• Алексей Лукацкий в своем блоге высказал свое видение проблемы оплаты выкупа вымогателям и привел свои доводы по этому вопросу.
• Сергей Борисов сравнил техники и тактики нарушителей из методики ФСТЭК и матриц MITRE ATT&CK. Автор попробовал установить соответствие между этими двумя каталогами и опубликовал результат в своем блоге. Где это было возможно – определены соответствующие друг другу техники из каталогов ФСТЭК и MITRE.
• Пользователь @rivitna опубликовал на Хабре вторую часть статьи по средствам автоматизации анализа вредоносных программ.
• Лука Сафонов выяснил, что из информации о взломе Госуслуг миф и выдумки, а что является правдой. Для этого автору самому пришлось взломать портал Госуслуг.

Интересные посты англоязычных блогов по ИБ  

• Ondrej Kubovič объяснил, как программы-вымогатели стали одной из главных киберугроз наших дней и что делать чтобы не стать следующей жертвой.
• David Zomaya поделился лучшими практиками для безопасности веб-форм. Статья будет полезна как администраторам WordPress так и веб-разработчикам.
• В блоге Threatpost авторы дали несколько быстрых советов по минимизации времени простоя Exchange Server и восстановлению служб, не затрагивая пользователей.
• Небольшое исследование показало, что третье поколение алгоритма обработки естественного языка GPT-3 можно использовать вместе с платформами «ИИ как сервис» для массовых рассылок целевого фишинга. Более того, специалисты пришли к выводу, что искусственный интеллект способен составлять лучшие фишинговые письма, чем человек.

Исследования и аналитика

• Компания Код Безопасности проводит исследование состояния ИБ в российских компаниях. Пройти опрос можно по ссылке.
• Исследователи в области кибербезопасности из подразделения Unit 42 компании Palo Alto Networks провели анализ деятельности вымогательских группировок и выкупов, которые заплатили жертвы киберпреступникам. По словам экспертов, в первой половине 2021 года средняя сумма уплаченного выкупа выросла на 82%, составив рекордную сумму в $570 тыс.
• В отчете VmWare Global Incident Response Threat Report эксперты отметили резкий рост числа целевых и сложных кибератак, в которых злоумышленники используют социальную инженерию и манипуляцию временными метками. Как показали результаты опроса, 51% специалистов в области информационной безопасности стали больше подвержены стрессу и начали чаще выгорать в профессиональном плане.
• Исследователи из подразделения FireEye по анализу угроз и реагированию на инциденты, Mandiant, выявили критическую уязвимость, которая подвергает миллионы IoT-устройств удаленным атакам.
• Эксперты Usenix установили, что уязвимости в имплементации протокола TCP, затрагивающие Middlebox - сетевое устройство, преобразующее и фильтрующее трафик, могут использоваться в качестве вектора DoS-атаки и позволяют значительно усилить мощность подобного киберудара.
• Эксперты Secureworks опубликовали отчет с последними сведениями о программах-вымогателях и рекомендациями. В отчете сказано, как подготовиться к реагированию на инциденты с помощью сценария, предотвратить три наиболее распространенных вектора атак и как использовать управление уязвимостями на основе рисков.
• Индекс киберрисков Trend Micro показывает, что организации сегодня подвергаются повышенному риску кибератак. Cогласно опросу, 80% организаций по всему миру считают, что они могут столкнуться с утечкой данных клиентов в предстоящие 12 месяцев.
• В исследовании KELA приведен углубленный анализ брокеров первичного доступа и их активности с 1 июля 2020 года по 30 июня 2021 года. Специалисты KELA проанализировали деятельность IAB за последний год и обобщили 5 основных тенденций, которые наблюдались в ходе анализа.
• Dr. Web выпустил обзор вирусной активности в июле 2021 года.  Анализ данных показал увеличение общего числа обнаруженных угроз на 3.44% по сравнению с июнем. При этом количество уникальных угроз уменьшилось на 9.5%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений.
• Также Dr. Web представил обзор вирусной активности для мобильных устройств в июле 2021 года.  Аналитики выявили очередные вредоносные приложения в каталоге Google Play. Среди них ― трояны семейства Android.Joker, подписывавшие жертв на платные мобильные услуги, а также программа-подделка семейства Android.FakeApp, которая заманивала российских пользователей на мошеннические сайты, предлагая им получить социальные выплаты от государства.

Громкие инциденты ИБ   

• Группировка русскоязычных хакеров All World Cards выложила в сеть данные около 1 млн кредитных карт. В открытом доступе оказались карты, выпущенные в 2018 и 2019 годах и принадлежащие жителям США и других стран.
• Тайваньский производитель железа Gigabyte подвергся атаке вымогательской группы RansomEXX. В настоящее время хакеры угрожают опубликовать более 112 Гб данных, украденных у компании, если та не заплатит выкуп.
• Баг на сайте Ford Motor Company позволял получить доступ к внутренним системам компании и конфиденциальным данным, включая базы данных клиентов, информацию о сотрудниках, внутренние заявки и так далее. По сути, проблема позволяла осуществлять полный захват чужих аккаунтов.
• На хакерском форуме появилось объявление о продаже личных данных примерно 100 миллионов клиентов компании T-Mobile, одного из крупнейших операторов связи в мире. Представители T-Mobile заявили, что уже знают о произошедшем и занимаются изучением данного инцидента.
• Операторы вымогательского ПО Hive предположительно взломали и зашифровали компьютерные системы некоммерческой организации Memorial Health System, вынудив персонал перейти на ручной режим работы.
• Сверхсекретные базы ФБР, содержащие данные почти о двух миллионах человек, которых подозревают в причастности к терроризму, оказались опубликованными в интернете.

Обзор событий предстоящих недель 23.08 – 03.09

Оффлайн-мероприятия

• 25 августа, Санкт-Петербург – Международная конференция по информационной безопасности Zero Nights.

Онлайн-мероприятия

• 24 августа, 11:00 – Онлайн-митап КРОК: Узнать за 60 минут. Что нового появилось в регуляторике, и какие изменения внес в методику ФСТЭК?;
• 25 августа, 11:00 – Онлайн-конференция Anti-Malware: Выбор инструментов и сервисов киберразведки (Threat Intelligence);
• 26 августа, 12:00 – Онлайн-конференция Anti-Malware: Небумажная безопасность. Вызовы и решения;
• 31 августа – Онлайн-конференция Information Security: Выбирая интеграторов для построения системы защиты объектов КИИ.

Вебинары

• 24 августа, 10:00 – Вебинар Infowatch: Данные ИБ систем для оценки вовлеченности сотрудников;
• 24 августа, 10:00 – Вебинар Softline и Positive Technologies: Как соответствовать требованиям ГОСТ Р 57580.1-2017 с SIEM-системой;
• 25 августа, 12:00 – Вебинар Код ИБ: Тема на выбор сообщества.