Дайджест информационной безопасности №223 за период с 18 по 29 октября 2021

Новости ИБ

• ИБ-специалисты Gemini Advisory обнаружили, что известная хакерская группа FIN7 создала фиктивную ИБ-компанию Bastion Secure, чтобы искать и нанимать «на работу» исследователей. В итоге таланты рекрутированных таким образом специалистов использовались для проведения атак шифровальщиков.
• Центр мониторинга и управления сетью связи, созданный в рамках закона "о суверенном рунете", со следующего года будет использоваться не только для блокировки запрещенного в РФ контента, но для противодействия глобальным DDoS- и другим интернет-атакам.
• Секретарь Совета безопасности РФ отметил, что за последние три года в ЦФО зарегистрировано более 11,5 тыс. опасных компьютерных атак, только в текущем году их рост составил более 15%.
• Эксперт обнаружил уязвимость в архиваторе WinRAR, который использовали более 500 млн пользователей по всему миру.  Ошибка была найдена в веб-компоненте для уведомлений WinRAR об истечении пробного периода и получила высокий уровень опасности.
• Эксперты компании Avast обнаружили масштабную мошенническую кампанию, активную с мая 2021 года, в которой были задействованы более 150 приложений для Android, суммарно загруженные около 10,5 млн раз. Все эти приложения использовались для подписки пользователей на премиальные сервисы без их ведома.
• Руководство Госдепартамента США намерено создать внутри ведомства новое структурное подразделение, предназначенное для борьбы с угрозами в киберпространстве.
• Команда разработчиков Discourse выпустила обновление, призванное устранить уязвимость удаленного выполнения кода в платформе. Уязвимость CVE-2021-41163 представляет собой ошибку проверки в upstream-потоке aws-sdk-sns gem, которая может быть проэксплуатирована для удаленного выполнения кода с помощью специально сформированного запроса.
• Microsoft просит системных администраторов обратить внимание не две уязвимости PowerShell 7, которые необходимо пропачтить как можно скорее. В случае успешной эксплуатации они позволят злоумышленникам обойти защитный слой Windows Defender Application Control (WDAC) и получить доступ к паролям в виде простого текста.

Интересные посты русскоязычных блогов по ИБ  

• Компания АйПиМатика посвятила серию блогов теме BYOD. В первой части рассмотрены модели BYOD, а во второй части приведена статистика и преимущества ее использования.
• Алексей Лукацкий прокомментировал вопрос о том, есть ли в ГОСТах методика оценки угроз в рамках процесса безопасной разработки.
• Сергей Печенко подобрал перечень статей, которые разъясняют начинающим специалистам, что такое DevSecOps, какие инструменты существуют для внедрения этой методологии на уровне команды, а затем и на уровне компании.

Интересные посты англоязычных блогов по ИБ 

• Преступная группа, известная как TA551, добавила в свой набор треков инструмент Sliver red-teaming - шаг, который может сигнализировать об усилении атак программ-вымогателей. ProofPoint представила анализ и выводы по данной атаке.
• Киберпреступники вкладывают средства в технологию дипфейка, чтобы сделать кампании по социальной инженерии и обходу аутентификации более эффективными. Michael Hill привел стратегии защиты от наиболее заметных киберугроз.
• ATT&CK обновил методы, группы и программное обеспечение для предприятий, мобильных устройств и ICS. Обзор 10-ой версии матрицы MITRE представила Amy L. Robertson.
• Антон Чувакин раскрыл тему доверия к SIEM. Автор постарался ответить на вопрос где прячется доверие, когда вы используете SIEM-подобный инструмент, в том числе облачный.

Исследования и аналитика

• Как следует из отчета «Ростелекома», за три квартала 2021 года число DDoS-атак на российские компании увеличилось в 2,5 раза в сравнении с аналогичным периодом прошлого года. Основными целями злоумышленников стали финорганизации, госсектор, а также сфера онлайн-торговли. Число DDoS-атак на дата-центры и гейминг, которые год назад были в фокусе внимания хакеров, сократилось.
• Опубликована 10-я версия матрицы MITRE. ATT&CK обновил методы, группы и программное обеспечение для предприятий, мобильных устройств и ICS. Самым большим изменением стало добавление нового набора объектов Data Source и Data Component в Enterprise ATT & CK.
• Специалисты компании Check Point Research проанализировали, какие компании чаще всего имитируют преступники в ходе фишинговых атак. Выяснилось, что в третьем квартале 2021 года злоумышленники имитировали Microsoft в 29% случаев. Amazon сменила DHL на втором месте, на долю которого пришлось 13% всех попыток фишинга.
• Financial Crimes Enforcement Network (FinCEN) опубликовало отчет, согласно которому в первой половине 2021 года было зафиксировано больше атак с использованием программ-вымогателей, чем за весь 2020 год.
• Правительственное агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило отчет о киберугрозах для систем водоснабжения и канализации США и представила в нем рекомендуемые меры по смягчению последствий.
• Вышло второе уведомление CISA после серии атак с использованием программ-вымогателей BlackMatter с июля 2021 года, нацеленных на критическую инфраструктуру США, включая две американские организации, работающие в продовольственном и сельскохозяйственном секторе.
• Согласно опросу Gartner, 66% ИТ-директоров компаний из 85 стран мира планируют увеличение инвестиций в информационную безопасность в 2022 году. Более половины опрошенных рассказали, что намерены вложить больше средств в бизнес-аналитику и аналитику данных.
• Согласно отчету Connected Enterprise: IoT Security Report 2021 от Palo Alto Networks, 78% лиц, принимающих решения в области ИТ, сообщили об увеличении числа некоммерческих устройств IoT, подключенных к корпоративным сетям удаленными работниками за последний год. Эксперты подчеркивают необходимость разделения ответственности удаленных сотрудников и ИТ-специалистов за безопасность своего предприятия.
• Secureworks представила отчет Threat Intelligence Executive Report 2021 Vol. 5 в котором сделан обзор событий и тенденций в мире информационной безопасности с июля по август 2021 года, включая понимание экосистемы программ-вымогателей.
• Компания Webroot провела опрос «Факт или вымысел: восприятие и неправильные представления об искусственном интеллекте и машинном обучении», с целью выяснить, что ИТ-специалисты знают об ИИ, машинном обучении и роли, которую они играют в кибербезопасности и непрерывности бизнеса. По результатам опроса, 93% предприятий используют безопасность на базе искусственного интеллекта / машинного обучения, но 55% не уверены, что это означает.
• Эксперты JFrog обнаружили в Сети десятки тысяч незащищённых установок Prometheus, решения для мониторинга с открытым исходным кодом. Некорректная конфигурация таких инсталляций может привести к краже собираемых метрик и раскрытию конфиденциальных данных.
• Исследователи в области кибербезопасности из компании CyberArk продемонстрировали, как можно легко взломать более 70% паролей от сетей Wi-Fi, используя при этом достаточно банальное и дешёвое оборудование.

Громкие инциденты ИБ   

• Хакер, предположительно из Турции, взломал один из разделов сайта бывшего президента США Дональда Трампа и опубликовал там видео с турецким лидером Тайипом Эрдоганом.
• REvil ушла в offline после взлома ее сайтов в даркнете. Согласно сообщению партнера REvil, неизвестные захватили контроль над платежным порталом и сайтом утечек группировки.
• Злоумышленник взломал IT-сеть правительства Аргентины и украл данные удостоверений личности всего населения страны. Взлом произошел в прошлом месяце и был нацелен на национальный реестр лиц Registro Nacional de las Personas (RENAPER).
• В сеть попала база клиентов портала Tiktopers для продвижения в Instagram и TikTok. Это данные более 5000 пользователей платформы. Юристы считают, что понесенные в результате утечки убытки блогеры могут взыскать с площадки.
• Хакеры выставили на продажу базу размером 50 млн строк с данными водителей, которые были зарегистрированы в столице и Подмосковье с 2006 по 2019 год. Бонусом предлагается файл с информацией от 2020 года. База оценивается в $800.
• Тайваньского производителя железа, компанию Acer взломали второй раз за последние недели. Ответственность за атаку взяла на себя та же хак-группа, что совершила первую атаку на прошлой неделе. Злоумышленники утверждают, что уязвимы и другие региональные подразделения компании.
• Крупнейшая сеть супермаркетов и гипермаркетов в Великобритании Tesco не могла устранить сбой в своих компьютерных системах вcю субботу и воскресенье, вызванный действиями неизвестных злоумышленников.
• Японский техногигант Olympus второй раз за два месяца стал жертвой вымогательского ПО. На этот раз атака была осуществлена киберпреступной группировкой Evil Corp, в отношении которой правительством США были введены санкции.
• Как минимум семь email-провайдеров пострадали от мощных DDoS-атак, что привело к длительным перебоям в их работе. Компании получали электронные письма с требованием выкупа в размере 0,06 BTC (около 4000 долларов США). Хакер, подписавшийся как Cursed Patriarch, отводит пострадавшим три дня на оплату, а в противном случае угрожает увести сервисы жертв в офлайн.

Обзор событий предстоящих недель 1.11 – 12.11

Оффлайн-мероприятия

• 11-12 ноября, Екатеринбург – Форум «Безопасность бизнеса».

Онлайн-мероприятия

• 9 ноября – CNews Forum 2021.

Вебинары

• 2 ноября, 11:00 – Вебинар Диалог-Наука: Tenable.sc. Управление уязвимостями корпоративного класса;
• 3 ноября, 12:00 – Вебинар Код ИБ: Безопасность облаков;
• 9 ноября, 11:00 – Вебинар Softline:Безопасность учётных записей;
• 9 ноября, 11:00 – Вебинар Диалог-Наука:Обзор нормативных требований Банка России по защите информации;
• 9 ноября, 14:00 – Вебинар Positive Technologies:PT NAD 10.2: новые возможности выявления киберугроз с помощью анализа трафика;
• 10 ноября, 12:00 – Вебинар Код ИБ:Биометрия;
• 11 ноября, 11:00 – Вебинар Ростелеком:Киберполигоны: что, кому, зачем. Кейсы из практики.