Дайджест информационной безопасности №220 за период с 6 по 17 сентября 2021

Новости законодательства

• Минцифры переработало правила включения продуктов в реестр отечественного программного обеспечения. В конце августа 2021 г. оно сделало обязательным условием наличие в штате специалистов по модернизации и обслуживанию ПО.

Новости ИБ

• Ростелеком потребовал от своих клиентов внести изменения в DNS-адресацию и запретить к использованию для выдачи абонентам с BRAS и DHCP и в технологических сетях сервисы DNS от Google, Cloudflare и Cisco OpenDNS. Оператор связи настоятельно рекомендует вместо них установить DNS от Ростелекома и НСДИ (Национальную систему доменных имен).
• Команда ученых из университетов Южной Кореи и США разработали новую технологию, помогающую защитить твердотельные накопители (SSD) от атак программ-вымогателей, путем быстрого обнаружения и отмены шифрования в течение нескольких секунд.
• Банки и ЦБ хотят создать платформу, позволяющую россиянам давать и отзывать согласия на обработку своих данных не только на Госуслугах, но и у бизнеса. Воплощению идеи может помешать закон о персональных данных.
• Эксперты компании Intezer Lab обнаружили Vermilion Strike — адаптированную для Linux вариацию Cobalt Strike Beacon, которую хакеры уже используют в атаках против организаций по всему миру.
• Инфраструктура вымогателя REvil (Sodinokibi) вернулась в онлайн после нескольких месяцев простоя.
• Уязвимость в web-сервисе для сборки и тестирования программного обеспечения Travis CI поставила под угрозу тысячи полагающихся на него проектов с открытым исходным кодом.
• Qrator Labs зафиксировала беспрецедентный рост числа DDoS-атак на финансовый рынок РФ, организованных с помощью нового ботнета Mēris.
• Эксперты InfoWatch ARMA провели исследование уязвимостей в АСУ ТП с помощью поисковых систем Shodan, Censys и Google. В результате исследования на промышленных предприятиях в России было выявлено более 4000 устройств АСУ ТП, уязвимых для удаленных атак.

Интересные посты русскоязычных блогов по ИБ  

• Компания RUVDS.com выпустила серию статей (часть №1, часть №2 и часть №3), в которых рассказывает о различных подходах к организации практической безопасности сетей, построенных на оборудовании MikroTik.
• В блоге Яндекса вышел анализ крупнейшей DDoS-атаки в истории интернета. Специалисты Яндекса и Qrator Labs поделились текущими результатами совместного расследования деятельности нового ботнета Mēris.
• Алексей Лукацкий предложил свой вариант перевода девятой версии матрицы MITRE ATT&CK на русский язык, а также сопоставления ее техник на техники ФСТЭК.
• Вес­ной в «Хакере» вышел ма­тери­ал о пен­тесте­рах из Group-IB, где коман­да ауди­та задала читате­лям нес­коль­ко тес­товых воп­росов. В новом посте авто­ры привели свои ответы и комментарии. В кон­це статьи добавлены исто­рий с реаль­ных про­ектов GiB.

Интересные посты англоязычных блогов по ИБ  

• Группа специалистов компании AirEye и израильского Техниона обнаружила новый метод, с помощью которого злоумышленники могут обманом заставить жертву подключиться к вредоносной беспроводной точке доступа.
• Phil Muncaster в блоге ESSET рассказал, что такое поверхность кибератаки. Автор предлагает самые лучшие способы уменьшить поверхность атаки организации, чтобы сделать кибербезопасность и управление ею максимально эффективными.
• Alex Restrepo описал основные шаги для восстановления после атаки шифровальщика и способы подготовиться к будущим атакам.
•  Tony Lauro рассказал о том, как помешать захвату учетных записей на этапе эксплуатации атаки.

Исследования и аналитика

• Исследователи из антивирусной компании Avast выявили более 19 300 опасных приложений для Android. Такой софт, по словам специалистов, может раскрыть конфиденциальные данные пользователей из-за некорсетной конфигурации базы данных Firebase.
• В августе 2021 года Лаборатория Касперского заблокировала 19 839 атак на пользователей серверов Microsoft Exchange. По сравнению с июлем число таких инцидентов увеличилось на 170%. По мнению экспертов, рост связан с тем, что в этом году появилось множество эксплойтов под уязвимости в программном продукте, а владельцы устройств, на которых он установлен, не обновляют его сразу после выхода патчей.
• Лаборатория Каперского выпустила отчет об атаках за 2020 год - Реагирование на инциденты: аналитический отчет 2020. Чтобы проникнуть в систему, чаще всего злоумышленники использовали метод перебора паролей (брутфорс). Доля таких инцидентов по всему миру выросла в 2020 году по сравнению с 2019-м с 13% до почти 32%.
• По оценке ИБ-компании Barracuda Networks, в период с января по июнь 2021 года 64% интернет-трафика генерировалось автоматизированными средствами. Большая часть бот-трафика исходила с серверов в общедоступных облаках AWS и Microsoft Azure.
• Исследователи из CyberNews нашли более двух миллионов веб-серверов по всему миру, которые до сих пор работают на устаревших и уязвимых версиях Microsoft Internet Information Services.  Поскольку разработчики больше не поддерживают эти версии, серверы представляют лёгкую мишень для киберпреступников.
• В результате проведенного исследования эксперты Lacework пришли к выводу, что вредоноса PYSA стоит добавить в список киберугроз для систем Linux, поскольку именно этой операционной системой зловред интересуется в последнее время.
• Банки и крупные компании по всему миру серьезно пострадали от всплеска кибератак с использованием программ-вымогателей. Как отметили эксперты из компании Trend Micro, в 2021 году количество данных атак увеличились на 1318% по сравнению с прошлым годом.
• Исследователи в области кибербезопасности из компании Imperva провели анализ 27 тыс. баз данных и сообщили, что 46% из них содержат опасные и критические уязвимости.
• По данным нового отчёта Kaspersky ICS CERT, в первом полугодии 2021 года доля компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, составила 33,8%. Во многом рост обусловлен увеличением количества атак с использованием шпионского ПО и вредоносных скриптов. Доля таких угроз растёт уже второе полугодие подряд.
• Dr. Web представил обзор вирусной активности для мобильных устройств в августе 2021 года. Согласно статистике за август, пользователи чаще всего вновь сталкивались с рекламными троянами, а также вредоносными приложениями, способными выполнять произвольный код и загружать другое ПО.

Громкие инциденты ИБ   

• Яндекс сообщил, что в минувшие выходные на серверы компании была совершена самая крупная DDoS-атака в истории рунета. Рекордный масштаб кибератаки был подтвержден американской компанией Cloudflare, которая специализируется на отражении кибератак.
• Разработчики Jenkins сообщили, что пострадали от взлома: хакеры получили доступ к одному из их внутренних серверов и развернули на нем майнер криптовалюты. Подчеркивается, что релизы, плагины и исходный код Jenkins не пострадали во время инцидента.
• На хакерских форумах распространяется список, состоящий почти из 500 000 логинов и паролей для входа в Fortinet VPN. Злоумышленники утчерждают, что учетные данные были скопированы с уязвимых устройств прошлым летом.
• Исследователь Боб Дьяченко обнаружил свободно доступный Elasticsearch-сервер, в индексах которого содержатся данные клиентов российского оператора связи Beeline. В Сеть могли попасть данные миллионов россиян.
• В 2021 году хакеры взломали компьютерные сети ООН и получили массив данных, которые можно использовать в качестве компромата против сотрудников организации. Для кибератаки злоумышленники использовали имя пользователя и пароль сотрудника ООН, вероятно, купленные в даркнете.
• Неизвестные хакеры совершили DDoS-атаку на сервер председателя федеральной избирательной комиссии ФРГ Георга Тиля и временно парализовали его работу.
• 8 сентября кибератака временно нарушила роботу крупнейшего в Новой Зеландии банка ANZ и ряда других финансовых организаций, а также национальной почтовой службы страны. Согласно сообщению ANZ в Twitter, из-за кибератаки перестали работать некоторые сервисы, в частности интернет-банкинг и приложение goMoney.
• Хакер выложил в интернет личные данные десятков израильтян и утверждает, что владеет информацией о 7 миллионах граждан. Злоумышленник утверждает, что украл данные с веб-сайта CITY4U, который используется местными властями в Израиле для обработки таких платежей, как налоги на недвижимость, штрафы и счета за коммунальные услуги.

Обзор событий предстоящих недель 20.09 – 01.10

Оффлайн-мероприятия

• 21–22 сентября, Казань – Кибербезопасность нового времени;
• 23 сентября, Москва – Fortinet Security Day;
• 24 сентября, Москва – XIV Business Information Security Summit 2021;
• 28 сентября, Москва – Road Show SearchInform 2021: Жизненный цикл инсайдера: от найма до увольнения.

Онлайн-мероприятия

• 22 сентября, 11:00 – Онлайн-конференция Anti-Malware: Системы банковского антифрода;
• 29 сентября – Онлайн-конференция Anti-Malware: SOC 2.0.

Вебинары

• 21 сентября, 11:00 – Вебинар Диалог-Наука: Tenable.ad — новое решение для защиты Active Directory;
• 22 сентября, 12:00 – Вебинар Код ИБ: ИБ как сервис;
• 23 сентября, 14:00 – Вебинар Positive Technologies: MaxPatrol SIEM + MaxPatrol VM. Что дает синергия двух продуктов;
• 23 сентября, 11:00 – Вебинар Softline: Продвинутая защита вашей сети от Check Point;
• 28 сентября, 11:00 – Вебинар Диалог-Наука: Как выстроить процесс управления уязвимостями, результаты которого видны.