Дайджест информационной безопасности №221 за период с 20 сентября по 1 октября 2021

Новости законодательства

• Президент РФ Владимир Путин внес на ратификацию в Государственную Думу соглашение о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными. Документ размещен в Системе обеспечения законодательной деятельности.

Новости ИБ

• Обнаруженная ошибка во всех версиях macOS, включая последнюю версию macOS Big Sur, позволяет злоумышленникам удаленно запускать произвольный код с помощью файлов, встроенных в электронные письма.
• Неделю назад хактивисты Anonymous взломали базу данных доменного регистратора и хостера Epik. Как теперь сообщает издание ArsTechnica, в общей сложности опубликованный хакерами дамп содержал более 15 000 000 адресов электронной почты, которые принадлежат как клиентам Epik, так и людям, которые не имели никаких дел с этой компанией.
• Правительство Японии приняло проект стратегии кибербезопасности на следующие три года, впервые назвав Китай, Россию и Северную Корею угрозами кибератак.
• Миллионы устройств, работающих на операционных системах Android, iOS и Windows, могут лишиться доступа к интернету. Причиной этой проблемы станет истекающий срок действия цифрового сертификата для шифрования соединений смартфонов и компьютеров с глобальной сетью.
• Исследователь в области кибербезопасности Bobby Rauch обнаружил опасную уязвимость в устройствах Apple AirTag. Проблема в трекерах позволяет использовать устройства в качестве потенциального вектора для кражи учетных данных и конфиденциальной информации.
• Разработчики  Electronic Frontier Foundation сообщили, что намерены прекратить разработку знаменитого браузерного расширения HTTPS Everywhere, так как HTTPS используется практически повсеместно, а во многих популярных браузерах появились режимы HTTPS-only.
• Готовый эксплоит для уязвимости удаленного выполнения кода в VMware vCenter CVE-2021-22005 теперь широко доступен, чем и пользуются киберпреступники. В отличие от версии, выложенной в интернет в конце прошлой недели, новый вариант эксплоита может использоваться для открытия на уязвимой системе обратной оболочки, позволяющей удаленно выполнить произвольный код.

Интересные посты русскоязычных блогов по ИБ  

• Алексей Лукацкий поделился впечатлением от круглого стола "Формальная безопасность vs практическая безопасность: как достичь синергии", о том, во что вылилась дискуссия и своим мнением по этому вопросу.
• Хотя в Google Chrome и была внедрена изоляция процессов для обработки отдельных веб-страниц именно для борьбы с уязвимостями Spectre, исследователи Лаборатории Касперского считают, что этого недостаточно. Открытые вкладки с одного домена группируются в общий процесс браузера, открывая возможность проведения атаки по модели Spectre v1 — путем тренировки системы предсказания ветвлений и последующего извлечения секретов из кэш-памяти процессора.
• Вячеслав Шаго рассказал, как аутентифицировать пользователя без передачи пароля на сервер. Автор показывает, как проверить, что пользователь ввёл правильный пароль, не передавая его на сервер, реализовывая доказательство нулевого разглашения.
• Ростелеком-Солар провели глубокий анализ популярных CMS-систем и различных плагинов для них. В своем посте эксперты поделились результатами исследования, а также продемонстрировали примеры уязвимого кода наиболее интересных уязвимостей и примеры их эксплуатации.

Интересные посты англоязычных блогов по ИБ  

• Поскольку у ИБ-исследователей нет очевидного способа сообщить компании об уязвимостях системы безопасности, все большее число крупных компаний внедряют Security.txt. Это предлагаемый новый стандарт Интернета, который помогает организациям описывать свои методы и предпочтения по раскрытию уязвимостей. Brian Krebs посвятил пост внедрению данного файла и последствий этого.
• Lance Spitzner предложил свое видение необходимости сильной культуры безопасности. Автор попытался выяснить в чем ценность культуры безопасности для миссии организации.
• Кейси Эллис, основатель, технический директор и председатель Bugcrowd, обсудила дорожную карту для наиболее эффективного снижения риска кибератак.
• Дэйв Стюарт, генеральный директор Approov, поделился лучшими практиками, которые помогут организациям избежать дорогостоящего захвата аккаунтов.

Исследования и аналитика

• Group-IB выяснила, что 77 % российских предпринимателей совершенно не готовы платить выкуп за расшифровку данных, при этом больше половины опрошенных — 52% — признают, что их компания «скорее не защищена» от атак программ-вымогателей.
• Imperva Research Labs провела исследование, охватывающее 27 000 локальных баз данных по всему миру, что стало крупнейшим анализом подобного рода за всю историю. 46% внутренних баз данных имеет хотя бы одну не исправленную CVE, при этом средняя база данных содержит 26 серьёзных уязвимостей. При этом 56% имеют высокую или критическую степень в соответствии с рекомендациями NIST.
• Компания Atlas VPN провела исследование в сфере самых распространённых кибератак за первое полугодие 2021 года. Согласно отчёту, самым опасным и популярным у киберпреступников стало вредоносное ПО для майнинга. Ещё такие атаки называют криптоджекингом – это несанкционированное использование чужого устройства для добычи криптовалюты.
• Результаты нового исследования специалистов из Федеральной политехнической школы Лозанны (EPFL) в Париже и Университетского колледжа Лондона (UCL) ставят под сомнение растущую уверенность в том, что синтетические данные могут решить проблемы конфиденциальности, которые угрожают прогрессу в сфере машинного обучения.
• Почти четверть организаций здравоохранения, пострадавших от атак вымогательского ПО за последние два года, признались, что у них увеличилась смертность. Об этом сообщается в новом исследовании, проведенном специалистами Ponemon Institute по заказу ИБ-компании Censinet.
• Отчет 2021 State of the Threat: A Year in Review от Secureworks представил исчерпывающее представление о ландшафте угроз в отрасли безопасности на сегодняшний день. Согласно выводам отчета, программы-вымогатели остаются угрозой номер один для большинства организаций, в 2021 году злоумышленники стали чаще использовать эксплойты нулевого дня по сравнению с 2020 годом, а роль мер безопасности при проверке подлинности останется решающей.
• Секреты инфраструктуры - главная угроза безопасности современного бизнеса. Отчет 1Password демонстрирует масштабах и сложности проблемы управления секретами. По данным экспертов, 52% сотрудников говорят, что цифровая трансформация усложнила управление секретами, а 80% ИТ / DevOps-организаций признают, что плохо управляют своими секретами.
• В блоге Anti-Malware эксперты поделились мнением по проблемам современных систем сбора и корреляции событий, расширенным функциональным возможностям SIEM, вопросам сертификации, интеграции, производительности, масштабирования, раскрыли методики уменьшения количества ложных срабатываний.
• Новый отчет Sophos The State of Ransomware in Manufacturing and Production 2021  показывает, что компании в секторе промышленности с наименьшей вероятностью подчинятся требованию выкупа и с наибольшей вероятностью восстановят зашифрованные данные из резервных копий всех опрошенных отраслей. Только 19% организаций, чьи данные были зашифрованы, платили злоумышленникам за расшифровку своих файлов по сравнению со средним глобальным показателем в 32%.
• WatchGuard Technologies выпустила отчет  Internet Security Report, в котором подробно описаны основные вредоносные программы, тенденции и угрозы сетевой безопасности, проанализированные исследователями в течение второго квартала 2021 года. Согласно отчету, 91,5% вредоносных программ прибыли через шифрованное соединение, и это резкое увеличение по сравнению с предыдущим кварталом.

Громкие инциденты ИБ   

• Персональные данные участников виртуальных мероприятий, организованных через платформу EventBuilder, оказались в общем доступе для индексации различными поисковыми механизмами.
• Хакерская группировка BlackMatter взломала системы американской компании New Cooperative и потребовала от нее $5,9 млн, пригрозив раскрыть похищенные данные.
• Британская Cyjax обнаружила масштабную атаку против сотрудников госорганов России и соседних государств. Злоумышленники создают сайты, имитирующие вход в электронную почту для чиновников, а данные могут использовать для дальнейшей атаки на ведомства или продажи доступа на теневом рынке.
• Исследователи в области кибербезопасности обнаружили незащищённую БД, которая благодаря некорректной конфигурации раскрывала персональные данные миллионов человек, побывавших в Таиланде за последние десять лет.
• Децентрализованная платформа VEE Finance 20 сентября подверглась хакерской атаке. Злоумышленники вывели $35 млн — $26 млн в Ethereum и $9 млн в биткоинах. Компания порекомендовала пользователям временно приостановить все операции на платформе.
• Хактивисты Anonymous взломали базу данных доменного регистратора и хостера Epik. Более 180 Гб похищенных данных были опубликованы в формате торрента и, как заявляют злоумышленники, содержат информацию за последнее десятилетие.
• Подразделения компании Covisian, одного из крупнейших в Европе оператора колл-центров, пострадало от разрушительной кибератаки с использованием вымогательского ПО. Атака вывела из строя большую часть IT-систем и заблокировала работу колл-центров, обслуживающих испаноговорящих клиентов.
• По сообщению портала CyberNews, хакеры выставили на продажу 3,8 млрд записей Clubhouse и Facebook за $100 000. По сообщению хакера, база содержит имена, телефонные номера и другие данные пользователей.
• Злоумышленники временно захватили официальный сайт проекта Bitcoin и внедрили на страницы ресурса рекламу мошеннической раздачи криптовалюты. Хотя взлом длился меньше суток, хакерам успели поверить некоторые пользователи, и мошенники «заработали» около 17 000 долларов.

Обзор событий предстоящих недель 04.10 – 15.10

Оффлайн-мероприятия

• 5-6 октября, Уфа – CyberSecurity SABANTUY;
• 6-8 октября, Санкт-Петербург – GLOBAL INFORMATION SECURITY DAYS 2021;
• 7 октября, Москва – GLOBAL INFORMATION SECURITY DAYS 2021;
• 7 октября, Санкт-Петербург – БИТ Санкт-Петербург 2021;
• 12 октября, Москва – Road Show SearchInform 2021: Жизненный цикл инсайдера: от найма до увольнения.

Вебинары

• 5 октября, 11:00 – Вебинар Диалог-Наука: Почему системы класса DLP и использование Watermarks не обеспечивают 100% гарантию от утечек;
• 5 октября, 14:00 – Вебинар Ростелеком: Защита от утечек с помощью контроля файловых хранилищ и корпоративных мессенджеров;
• 6 октября, 12:00 – Вебинар Код ИБ: Защита от фишинга;
• 12 октября, 11:00 – Вебинар Диалог-Наука: Безопасный файлообмен и цифровое взаимодействие;
• 12 октября, 11:00 – Вебинар Softline: Скрытые угрозы конфиденциальности данных в Microsoft 365 и способы борьбы с ними;
• 12 октября, 14:00 – Вебинар Positive Technologies: Руткиты: что это такое и чем опасно;
• 13 октября, 12:00 – Вебинар Код ИБ: Защита от мошенничества;
• 19 октября, 14:00 – Вебинар Positive Technologies: Плагин rootkitmon для DRAKVUF. Выявление руткитов с помощью PT Sandbox.