Вернуться назад

Дайджест информационной безопасности №225 за период с 15 по 26 ноября 2021

26.11.2021

Новости законодательства

С 1 декабря вступает в силу закон, позволяющий по инициативе Банка России во внесудебном порядке блокировать сайты финансовых мошенников в течение нескольких дней. Раньше эта процедура могла занимать месяцы.

Новости ИБ

Эксперты компании AT&T обнаружили новый ботнет BotenaGo. Малварь применяет более тридцати эксплоитов для атак на маршрутизаторы и другие устройства интернета вещей.

Специалисты в области квантовой физики Копенгагенского университета сделали огромный шаг вперед в сфере квантовых технологий, обнаружив способ обхода главного препятствия на пути создания квантового компьютера. В частности, исследователям удалось одновременно управлять несколькими спиновыми кубитами на одном квантовом чипе.

Исследователи в области кибербезопасности рассказали о новой атаке с отслеживанием цифрового отпечатка зашифрованного трафика web-браузера Tor. Атакующий может определить посещаемый пользователем сайт, но только если злоумышленник интересуется определенной выборкой сайтов.

Эксперт компании Positive Technologies обнаружил уязвимость в линейке межсетевых экранов Cisco ASA и Cisco FTD, которая могла приводить к отказу в обслуживании. Согласно официальной статистике Cisco, в мире функционирует более одного миллиона устройств безопасности ее производства.

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге AppGallery десятки игр со встроенным в них трояном Android.Cynos.7, который собирает информацию о мобильных номерах пользователей. Опасные игры установили по меньшей мере 9 300 000 владельцев Android-устройств.

ИБ-исследователь опубликовал эксплоит для новой уязвимости нулевого дня, которая может использоваться для локального повышения привилегий во всех поддерживаемых версиях Windows, включая Windows 10, Windows 11 и Windows Server 2022. Эксплоит позволяет открыть командную строку с правами SYSTEM, используя учетную запись с правами уровня Standard.

Новая вымогательская группировка под названием Memento применяет необычный подход к блокировке файлов в архивах, защищенных паролем, после того, как их метод шифрования обнаруживается антивирусным ПО. Операторы вымогателя эксплуатируют уязвимость (CVE-2021-21971) в web-клиенте VMware vCenter Server для первоначального доступа к сетям жертв.

Для большинства россиян (68%) переход на удаленку не сопровождался новыми требованиями к защите информации. В опросе сервиса по поиску высокооплачиваемой работы Superjob приняли участие представители 1000 компаний и 1600 россиян с опытом работы на удаленке во время пандемии COVID-19.

Интересные посты русскоязычных блогов по ИБ

Многие крупные компании уже столкнулись с серьёзными сбоями в работе центров обработки данных. В результате не только потеряли деньги из-за выхода оборудования из строя, но и понесли репутационные потери. Эксперты Eaton рассказали о том, как защитить ЦОД от подобных угроз.

Инфосистемы Джет представили 5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ. Ролики посвящены темам Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.

Эксперты Acronis привели в блоге сравнение антивирусов. В данном посте они рассказали о том, что значит оценка специалистами AV-TEST, и какие паттерны проверки проходят средства защиты, прежде чем стать “AV-TEST Certified”.

Блог T.Hunter посвящен общедоступным методом логирования. Авторы попытались разобраться с понятиями, а также описать основные методы и приемы логирования пользователей, а также анализу полученных данных.

Интересные посты англоязычных блогов по ИБ

Поскольку организации все чаще переносят услуги и данные в облако, важно понимать, что с безопасностью облака связаны различные факторы внутренних угроз. В блоге (ISC) ² авторы выделили два фактора: человеческий фактор и злонамеренный умысел. Также они рассказали, как сертификация CCSP может помочь добиться успеха.

Dean Parsons поделился размышлениями на тему проактивной киберзащиты АСУ ТП и восстановлению после инцидентов. Вторжения в АСУ ТП будут продолжать происходить, и их серьезность и диапазон последствий в критических секторах инфраструктуры, вероятно, возрастут. Однако управление кибер-рисками системы управления и тактической защитой ICS/OT выполнимо, и оно может защитить критически важные ресурсы и сосредоточиться на восстановлении.

Фишинговые электронные письма теперь обходят традиционную защиту. Justin Jett, директор по аудиту и комплаенсу Plixer, обсудил, что с этим делать и какая есть тактика для защиты сети от фишинговых атак.

Исследования и аналитика

Group-IB зафиксировала атаки хакеров RedCurl на российский ритейл, входящего в ТОП-20 крупнейших интернет-магазинов России. Разбор новых атак RedCurl показал, что за полгода молчания хакеры усовершенствовали свой инструментарий и слегка изменили тактику. Эта ОПГ, по словам экспертов, отличается от прочих тем, что не использует классические инструменты постэксплуатации (CobaltStrike, Meterpreter) и расхожие средства удаленного контроля.

Компания Trend Micro объявила о новом исследовании «Business friction is exposing organisations to cyber threats», которое показало, что 90% ИТ-руководителей утверждают, что их бизнес готов пойти на компромисс в вопросах кибербезопасности в пользу цифровой трансформации, производительности или других целей. Кроме того, 82% почувствовали давление, чтобы преуменьшить серьезность киберугроз для своего правления.

Анализ данных от Fox-IT, входящей в группу NCC, предлагает некоторые передовые методы минимизации последствий атаки вымогателя по итогам создания набора данных из 700 переговоров о вымогательстве, которые произошли в период с 2019 по 2020 год. Аналитики объяснили, что, когда переговоры - единственный выбор, существуют стратегии, которые могут повлиять на наилучший возможный результат.

В новом отчете Sophos рассматриваются 10 способов, с помощью которых злоумышленники заставляют организации платить требуемый выкуп. Отчет также включает рекомендации о том, как защититься от атак такого типа.

Специалисты из Forescout Research Labs сообщили о завершении своего проекта Project Memoria, в ходе которого с мая прошлого года было выявлено почти 100 новых уязвимостей в 14 стеках TCP/IP. Как выяснили исследователи, проблема в стеках TCP/IP была гораздо глубже и распространена гораздо шире, чем предполагалось ранее.

Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4. Опубликованное исследование Computer Security Group показало, как можно обойти все защитные меры, введённые в DRAM. Из 40 протестированных DIMM-модулей экспертам удалось добиться проброса битов в 100% случаев.

Отчет Norton Cyber Safety Insights 2021, проведенный опросом среди более чем 700 взрослых американцев, которые в настоящее время играют в онлайн-игры, показал, что почти половина американских геймеров (47 %) подверглись кибератаке на свой игровой аккаунт или устройство. Из них более трех из четырех (76 %) сообщают, что в результате они пострадали в финансовом отношении, потеряв в среднем поразительные 744 доллара.

Palo Alto Networks изучила 13 ходовых фишинг-паков MitM. Разработанная исследователями методика, полагающаяся на ИИ, позволяет с высокой точностью установить наличие фишингового сайта между сервисом-мишенью и его пользователями. Такие угрозы обычно плохо детектятся и редко попадают в блоклисты.

Специалисты ИБ-компании Trend Micro рассказали о киберпреступной группировке Void Balaur, предлагающей услуги хакинга за деньги. Уже более пяти лет она похищает электронные письма и высокочувствительную информацию и продает ее как преступникам, преследующим финансовую выгоду, так и шпионам. Жертвами Void Balaur являются более 3,5 тыс. человек и организаций различных сфер деятельности.

NordPass опубликовала свое ежегодное исследование, в котором перечислены самые часто используемые в 2021 году пароли. Так, пароль 123456 является наиболее распространенным в мире — его используют более 100 млн пользователей. 123456789 и 12345 занимают второе и третье место по популярности, ими пользуются 46 млн и 32 млн человек соответственно.

Аналитики компании Digital Shadows подготовили отчет о рынке эксплоитов в даркнете. Отмечается, преступники придумали схему «эксплоит как услуга», а у некоторых злоумышленников есть многомиллионные бюджеты на приобретение эксплоитов для 0-day. Исследователи объясняют, что злоумышленники, финансово мотивированные киберпреступники и «правительственные хакеры» быстро внедряют новые методы атак и постоянно находятся в поиске новых эксплоитов.

Исследователи британской компании SOS Intelligence изучили теневой рынок услуг по взлому SS7-сетей и пришли к выводу, что он очень скромен, а провайдеры ненадежны. В то же время спрос на готовый доступ к системам телефонии имеется на закрытых форумах.

По данным ResearchAndMarkets, глобальный рынок аналитики безопасности вырастет с 12 миллиардов долларов в 2021 году до 25,4 миллиардов долларов к 2026 году при среднегодовом темпе роста (CAGR) в 16,2% в течение прогнозируемого периода.

В опубликованном отчете Arkose Labs Q4 Arkose Labs Fraud and Abuse Report представлены шесть основных тенденций борьбы с мошенничеством за последние 3 месяца. В финансовых отраслях было зафиксировано на 32% больше атак, чем в первой половине 2021 года. В третьем квартале количество атак на розничную торговлю и туристические компании увеличилось на 63%

Новое исследование Cymulate показало, что компании всех размеров затронуты вымогятелями в равной степени. Большинство компаний не уверены в текущих мерах безопасности. Производство, розничная торговля и гостиничный бизнес являются наиболее целевыми. Плохая дисциплина паролей остается одним из основных факторов.

В июне 2021 года MeriTalk в сотрудничестве с Recorded Future провела опрос 150 лидеров в области кибербезопасности, чтобы изучить факторы и препятствия на пути к расширенному анализу угроз. 84% руководителей федеральных служб ИБ говорят, что улучшение их способности выявлять, интегрировать и анализировать данные об угрозах является одним из их главных технологических приоритетов на следующие 3 года.

Громкие инциденты ИБ

Хакеры взломали внешнюю систему электронной почты Федерального бюро расследований (ФБР) США. Злоумышленники разослали десятки тысяч электронных писем от имени ФБР с предупреждением о возможной кибератаке.

Из-за киберинцидента энергетический гигант из Дании Vestas Wind Systems был вынужден отключить часть систем в ряде своих подразделений. Vestas Wind Systems признала, что в результате инцидента были скомпрометированы данные, но не уточнила, какие именно.

22 ноября 2021 года регистратор доменных имен и хостинг-провайдер GoDaddy раскрыл подробности инцидента, приведшего к утечке данных 1,2 млн клиентов на WordPress, включая их логины и пароли от баз данных и sFTP.

Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub. Эксперты полагают, что утекшие файлы содержат данные самих пользователей GitHub, которые они выложили по ошибке.

В CDN-сети Cloudflare была успешно погашена DDoS-атака, на пике показавшая около 2 Тбит/с. Столь внушительный поток, по данным провайдера, создавали зараженные IoT-устройства и серверы, взломанные через незакрытую дыру в софте GitLab.Кибервымогательская группировка Conti стала жертвой утечки данных после того, как исследователям безопасности удалось установить реальный IP-адрес одного из ее самых важных серверов и более месяца сохранять консольный доступ к системе.

Хакерская атака на несколько часов полностью парализовала работу пивоварни Damm - второго по величине производителя пива в Испании.

Хакеры атаковали сайт Энергоатома сразу же после подписания им соглашения с американской компанией Westinghouse. Об этом сообщила пресс-служба украинского концерна.

С киберпреступниками пришлось столкнуться владельцу сети ювелирных магазинов «Росювелирторг». На протяжении почти 3,5 часов неизвестные провели в системе, кодируя ее данные.