Дайджест информационной безопасности №222 за период с 4 по 15 октября 2021

Новости законодательства

• 1 октября вступили в силу поправки к Федеральному закону «О связи», которые обязывают операторов предоставлять по запросу Роскомнадзора данные о юрлицах и индивидуальных предпринимателях.
• Премьер-министр РФ подписал постановление о государственном контроле в сфере идентификации и аутентификации. Текст документа опубликован на официальном портале правовой информации. Согласно документу, компании разделяются на три группы по тяжести причинения вреда охраняемым ценностям в случае утечки.

Новости ИБ

• Специалисты компании Intel 471 сообщили, что злоумышленники стали использовать Telegram-ботов для кражи одноразовых паролей, необходимых для защиты двухфакторной аутентификацией.
• Компания Microsoft добавила новую функцию в Exchange Server, которая позволит автоматически принимать меры по устранению высокорисковых уязвимостей,которые, скорее всего, уже используют хакеры. Новая функциональность получила название Microsoft Exchange Emergency Mitigation (EM) и основана на инструменте Exchange On-premises Mitigation Tool (EOMT).
• Новый законопроект властей США под названием Ransom Disclosure Act («Закон о раскрытии выкупа») может обязать жертв атак с использованием вымогательского ПО сообщать о выплатах хакерам в течение 48 часов.
• Агентство национальной безопасности США предупредило организации и компании о новых TLS-атаках под названием Application Layer Protocol Content Confusion Attack (ALPACA). АНБ призвало организации следовать техническим рекомендациям и защищать серверы от сценариев, когда злоумышленники могут получить доступ и расшифровать зашифрованный web-трафик.
• Парижская организация Cybersecurity Advisors Network (CyAN), представляющая интересы специалистов в области информационной безопасности, создала новую рабочую группу, которая ищет законные основания для отклонения исков от поставщиков ПО из-за обнаружения уязвимостей нулевого дня.
• Специалисты компании Microsoft обнародовали данные об атаке, которую в корпорации называли самой мощной в истории. По их словам, DDoS-атака была зафиксирована еще в августе 2021 года. Она была направлена против крупной европейской компании, являющейся клиентом облачного сервиса Microsoft Azure. Суммарно атака продолжалась около десяти минут, а пиковый уровень трафика достиг отметки в 2,4 Тбит/с. Компания Microsoft выпустила плановые октябрьские обновления безопасности для своих продуктов. В общей сложности патчи исправляют 74 уязвимости (81 с учетом Microsoft Edge), в том числе одну уязвимость нулевого дня. Три уязвимости отмечены как критические, 70 являются опасными и одна – малоопасной.
• Microsoft, GitHub, GitLab и BitBucket, являющиеся одними из крупнейших на сегодняшний день порталов для хостинга кода, инициировали массовый отзыв SSH-ключей. Отзыв начался 12 октября после того, как стало известно об уязвимости в популярном программном Git-клиенте GitKraken.
• Операторы неизвестного вымогательского ПО использовали Python-скрипт для шифрования виртуальных машин, размещенных на серверах VMware ESXi.  Исследователи из Sophos отметили, что это была одна из самых быстрых атак на их памяти: на освоение сети и развертывание шифровальщика злоумышленники потратили немногим более трех часов.

Интересные посты русскоязычных блогов по ИБ  

• Эксперты Deiteriy Lab рассказали про атаку PetitPotam, которая позволяет при определенных условиях захватить контроллер домена всего за несколько действий. Статья предназначена для пентестеров и тех, кто хочет узнать об актуальных атаках на Active Directory.
• В блоге компании Эшелон на Хабре автор рассмотрел, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.
• Ведущие эксперты отрасли в рамках проекта AM Live обсудили актуальные вопросы организации работы с коммерческим SOC. В частности, могут ли внешние центры мониторинга и оперативного реагирования рассматриваться как альтернатива собственному SOC и является ли величина EPS (Events Per Second) справедливым фактором определения стоимости услуг коммерческих SOC и стоит ли отдавать Threat Intelligence на аутсорсинг.

Интересные посты англоязычных блогов по ИБ  

• Джастин Колер написал о том, как убедить начальство принять участие в защите Active Directory.  Группы безопасности должны найти способ ранжировать проблемы безопасности AD и давать четкие инструкции по их устранению. Автор привел несколько способов повысить вероятность инвестиций C-Suite в безопасность AD.
• В случае кибератаки вымогателей, передача реагирования на инциденты профессионалам может быть лучшим вариантом. Chad Kime выделил пять основных причин, по которым нужно платить эксперту за помощь в восстановлении после программ-вымогателей.
• Джеф Уайт перечислил несколько областей, которые являются хорошими отправными точками для начала разговоров о стратегиях углубленной защиты организации от вымогателей-как-услуги (RaaS), путем реинвестирования в основы.
• Joshua Goldfarb привел 7 способов, при помощи которых команда безопасности может завоевать доверие заинтересованных сторон и более эффективно продвигать свои инициативы.

Исследования и аналитика

• Аналитики «Лаборатории Касперского» выяснили, что российские компании в 2021 году теряли больше всего денег из-за действий APT-группировок и их целевых атак. Именно с таргетированными киберкампаниями столкнулись 35% организаций в России.
• Специалисты «Лаборатории Касперского» представили исследование новой версии шпионского ПО FinFisher также известного как FinSpy и Wingbird. Это ПО для заражения системы использует UEFI-буткит, внедряемый в загрузчик Windows Boot Manager. Данная особенность позволяет злоумышленникам развёртывать ВПО без необходимости обходить проверки безопасности прошивки.
• Эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов — программ, позволяющих скрыть в системе присутствие вредоносного программного обеспечения или следы пребывания злоумышленников. Исследование показало, что 77% руткитов используются киберпреступниками для шпионажа.
• Эксперты  Microsoft Threat Intelligence Center (MSTIC) представили исследование нового бэкдора FoggyWeb. Этот бэкдор активно используется при атаках на AD FS серверы группировкой NOBELIUM (также известной как APT29). Со слов специалистов, FoggyWeb является узконаправленным бэкдором, нацеленным на извлечение конфиденциальной информации с скомпрометированного AD FS сервера.
• По данным отчета Check Point Research, каждую неделю 1 из 61 организации в мире подвергается воздействию программ-вымогателей. В сентябре 2021 года среднее еженедельное количество атак на каждую организацию во всем мире достигло своего пика - более 870 атак. Это более чем вдвое превышает количество атак в марте 2020 года. Образование / исследования - наиболее целевой сектор в настоящий момент.
• Эксперты ESET предупреждают о растущей угрозе со стороны модульных Linux-зловредов, объединенных в семейство с кодовым именем FontOnLake. Набор вредоносных инструментов, включающий бэкдор и руткит режима ядра, находится в стадии активной разработки: создатели часто его апгрейдят, добавляя новые функции.
• Эксперты Qualys изучили базу CVE и отметили уязвимости, которые чаще всего встречаются в кибератаках шифровальщиков. Некоторые из этих брешей известны уже почти десять лет, но многие организации так и не установили апдейты с патчами.
• Сингапурская компания V-Key, специализирующаяся на безопасности софта, опубликовала результаты исследования, которые говорят об уязвимости большинства мобильных приложений для аутентификации. Несмотря на защиту со стороны аппаратной составляющей, вредоносы могут вмешаться в работу таких программ.
• Последний Глобальный индекс угроз Check Point Research за сентябрь 2021 года показал, что Trickbot вернулся на вершину списка наиболее распространенных вредоносных программ, после того, как занял второе место в августе.
• Анализ 186 успешных атак программ-вымогателей на предприятия в США, проведенный  компанией Comparitech, в 2020 году показал, что компании потеряли почти 21 миллиард долларов США из-за простоев, вызванных атакой. По сравнению с 2019 годом количество раскрытых атак программ-вымогателей резко возросло - на 245%.

Громкие инциденты ИБ   

• Злоумышленник или группа хакеров несколько раз получала несанкционированный доступ к внутренним данным крупнейшего оператора сообщений SMS Syniverse, такие выводы следуют из поданных компанией документов.
• Глава техслужбы Facebook Майк Шрепфер в своем Twitter-аккаунте назвал причину масштабного сбоя в работе сервисов компании. По его словам, сбой произошел из-за проблем с сетью. Сейчас команда занимается восстановлением работы.
• В сети появился torrent на 125Гб, содержащий исходный код платформы Twitch, SDK, внутренние инструменты Twitch, данные о заработке стримеров с 2019 года и файлы проекта Vapor — предполагаемого конкурента Steam.
• Киберпреступная группировка FIN12 атакует медицинские организации с использованием вымогательского ПО Ryuk. По словам специалистов, злоумышленники несут ответственность примерно за 20% всех атак с использованием программ-вымогателей, которые эксперты зафиксировали за последние 12 месяцев.
• В даркнете оказалась выставлена на продажу база данных о почти 10 млн учетных записей букмекерской конторы и онлайн-казино Pin-Up.bet. Большая часть данных связана с Россией, и эксперты назвали их очень чувствительными.
• В распоряжении хакеров, осуществивших атаку на системы компании SolarWinds, оказались данные о санкционной политике США в отношении россиян и сведения о деятельности РФ, добытые разведкой. Кроме того, недавно кибепреступники получили доступ к сетям американского минюста, а также ознакомились с перепиской сотрудников министерств финансов, торговли и внутренней безопасности.
• В США киберпреступники взломали и обокрали своих коллег, похитив $7 млн. Хакерское сообщество обвиняет в краже группировку REvil, которая создает и продает вирусы для взломщиков-вымогателей. REvil удалось обокрасть своих же клиентов, которым они продали вирус, с помощью так называемого backdoor - уязвимости, которая используется для переписки с жертвой.

Обзор событий предстоящих недель 18.10 – 29.10

Оффлайн-мероприятия

• 20-21 октября, Москва – Russia Risk Conference 2021;
• 21 октября, Санкт-Петербург – Road Show SearchInform 2021: Жизненный цикл инсайдера: от найма до увольнения.

Онлайн-мероприятия

• 19 октября, 11:00 – Онлайн-конференция Anti-Malware: Современная защита конечных точек сети;
• 28 октября – Онлайн-конференция Axoft: IT EXPO 2021.

Вебинары

• 18 октября, 11:00 – Вебинар Softline: Сделай свои web-ресурсы надежнее, быстрее и безопаснее с Cloudflare;
• 19 октября, 11:00 – Вебинар Диалог-Наука: Как подтвердить готовность к отражению атак шифровальщиков?;
• 19 октября, 14:00 – Вебинар Positive Technologies: Плагин rootkitmon для DRAKVUF. Выявление руткитов с помощью PT Sandbox;
• 19 октября, 14:00 – Вебинар Ростелеком: Самые распространенные уязвимости и ВПО: что используют киберпреступники в 2020–2021 годах;
• 20 октября, 11:00 – Вебинар Softline: Контроль мобильных устройств и защита корпоративной информации с помощью VMware Workspace ONE;
• 20 октября, 12:00 – Вебинар Код ИБ: Использование OpenSource-решений;
• 26 октября, 11:00 – Вебинар Диалог-Наука: Централизованная защита баз данных;
• 26 октября, 11:00 – Вебинар Ростелеком: Практики безопасной разработки: внедрение анализатора кода (SAST) для повышения безопасности ПО;
• 28 октября, 11:00 – Вебинар Ростелеком: Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств.