Дайджест информационной безопасности №231 за период с 21 февраля по 4 марта 2022

Новости ИБ  

• Операторы вымогательского ПО Cuba используют уязвимости в Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств. Киберпреступники в первую очередь нацелены на устройства Microsoft Exchange в США и Канаде.
• Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) сообщают, что злоумышленники уже используют свежие уязвимости в опенсорсном инструменте Zabbix, который используется для мониторинга и сбора телеметрии от различных ИТ-систем в крупных корпоративных сетях, поддерживая сбор данных с рабочих станций, серверов и облачных ресурсов. Речь идет об уязвимостях CVE-2022-23131 и CVE-2022-23134.
• Власти США и Великобритании предупредили, что иранская хак-группа MuddyWater использует в атаках, направленных на объекты критически важной инфраструктуры по всему миру новую малварь Small Sieve.
• Команда GitHub – крупнейшего веб-сервиса для хостинга IT-проектов и их совместной разработки, не будет блокировать российских пользователей. «GitHub — это дом для всех разработчиков, где бы они ни находились», — заявили в компании.
• Группа ученых из Тель-Авивского университета раскрыла подробности уже исправленных аппаратных уязвимостей, которые затрагивали около 100 млн смартфонов Samsung на базе Android. Эксплуатация этих багов могла привести к извлечению секретных криптографических ключей.
• Аналитики угроз из компании ZeroFox сообщают о новом ботнете Kraken, написанной на Go. Пока малварь еще находится в разработке, но уже обладает функциональностью бэкдора и может воровать конфиденциальную информацию со взломанных хостов под управлением Windows.
• Крупнейшие мировые производители чипов, в том числе Intel, AMD, Qualcomm, Arm, TSMC и Samsung, общими усилиями работают над новым стандартом для процессоров на базе чиплетов. Universal Chiplet Interconnect Express представляет собой новый открытый интероперабельный стандарт для совмещения нескольких кремниевых кристаллов в одном корпусе.
• Исследователи из Университета штата Северная Каролина разработали метод атаки по сторонним каналам, который обходит гомоморфное шифрование. Один из исследователей, сравнил технику с методом прослушивания сейфа, который часто демонстрируется в голливудских боевиках.

Интересные посты русскоязычных блогов по ИБ

• Команда разработки Kubernetes aaS VK Cloud Solutions перевела чек-лист по безопасности контейнеров, составленный на основе выступления Лиз Райс на конференции GOTOpia Europe 2020. Чек-лист проясняет специфику некоторых наиболее вероятных уязвимостей и помогает их избежать.
• Семен Лыткин выпустил обзор защищённых платформ и накладных средств безопасности больших данных. Big Data отличается объёмом, скоростью приёма и разнообразием, но к ней не всегда можно применить стандартные системы защиты.
• Андрей Москвин поделился обзором рынка киберполигонов, в котором рассмотрел следующие вопросы: Чем отличается анализ защищённости от работы на киберполигоне? Кто может воспользоваться киберполигоном? Какие платформы есть в России? Что такое Национальный киберполигон?
• Константин Козловский рассказал про защиту стартапа от DDOS атаки UDP Flood, поделился своим личным опытом и переживаниями.
• В блоге PatientZero автор затронул проблематику шифрования электронной почты и необходимости использования по умолчанию решений, позволяющих обмениваться зашифрованными электронными письмами.

Интересные посты англоязычных блогов по ИБ

• «Если вы что-то не измеряете, вы не можете этим управлять», - эксперты CIS объяснили как оценки конфигурации помогают улучшить киберзащиту.
• Kasey Cross и Paul Kaspian затронули тему роли SOC при создании предприятия с нулевым доверием. Хотя SOC является важным элементом Zero Trust, организациям следует подумать о том, как внедрить такие инновации, как автоматизация, аналитика и машинное обучение, чтобы повысить ее эффективность.
• Антон Чувакин посвятил третий пост теме XDR. Путь к ясности XDR привел автора обратно к SIEM, SOAR и EDR. В частности, одним из представлений о XDR является консолидация в сочетании с упрощением.

Исследования и аналитика

• В отчете Code42 2022 Data Exposure Report было опрошено 700 бизнес-лидеров, специалистов по ИБ и специалистов-практиков из компаний в США. В результате было выяснено, что команды по кибербезопасности сталкиваются с беспрецедентными проблемами, когда речь идет о защите конфиденциальных корпоративных данных.
• Согласно новому исследованию, проведенному поставщиком облачных услуг безопасности, Neustar Security Services, число атак распределенного отказа в обслуживании растет. Компания заявила, что количество DDoS-атак с ковровой бомбардировкой, зафиксированных ее SOC в 2021 году, было «беспрецедентным».
• Компания Ivanti выпустила отчет Ransomware Spotlight Year End 2021 Report , в котором в ходе исследования выявили 32 новых семейства программ-вымогателей в 2021 году, в результате чего их общее количество достигло 157, что на 26% больше, чем в предыдущем году.
• Fortinet представила последний полугодовой отчет FortiGuard Labs Global Threat Landscape Report. Аналитика угроз за вторую половину 2021 года показывает рост автоматизации и скорости атак, демонстрируя более совершенные и стойкие стратегии киберпреступности, которые становятся более разрушительными и непредсказуемыми.
• Proofpoint выпустила ежегодный отчет 2021 State of the Phish, в котором подробно рассматривается осведомленность пользователей о фишинге, уязвимость и устойчивость. В отчете показано, что злоумышленники в 2021 году были более активны, чем в 2020, при этом 78% организаций столкнулись с атаками программ-вымогателей на основе электронной почты, а 77% с атаками компрометации корпоративной электронной почты.
• Согласно отчету, опубликованному The Brainy Insights, ожидается, что глобальный рынок управления безопасностью и уязвимостями вырастет с $ 6,7 млрд до $ 15,86 млрд к 2030 году. В течение прогнозируемого периода 2021-2030 гг. CAGR составит 9%.
• Исследователи из Института прикладного искусственного интеллекта в Университете Дикина и в Университете Вуллонгонга утверждают, что многие из подходов к защите от троянских атак отстают от темпа развития методов атак. В своем исследовании эксперты предложили два новых метода защиты — Variational Input Filtering и Adversarial Input Filtering. Оба метода предназначены для изучения фильтра, который может обнаруживать все трояны во входных данных модели во время выполнения.
• Исследователи в области кибербезопасности компании Akamai выявили новую тенденцию в DDoS-атаках, направленных на устройства проверки пакетов и фильтрации контента, для достижения огромных уровней усиления в 6533%. С таким уровнем усиления киберпреступники могут запускать катастрофические атаки с ограниченной пропускной способностью.
• Команда исследователей из университета США штата Пенсильвания и Чжэцзянского и Шаньдунского университетов Китая изучила восприимчивость к дипфейкам некоторых из крупнейших в мире систем аутентификации на основе лица. Как показали результаты исследования, большинство систем уязвимы к развивающимся новым формам дипфейков.
• Рынок криптовалюты растёт быстрее, чем когда-либо прежде. Только в 2021 году общий объём транзакций составил $15,8 трлн в сравнении с $2,3 трлн в 2020 году. Такие данные приводят аналитики блокчейн-платформы Chainalysis в ежегодном исследовании. Но вместе с ростом сферы активизировались и мошенники, которые успели присвоить себе рекордные суммы.

Громкие инциденты ИБ

• Группа хакеров совершила серию взломов и DDoS атак на российские СМИ.
• NVIDIA на два дня остановила работу части своего бизнеса из-за атаки хакеров. Однако, компания не только обнаружила хакерскую атаку, но и в ответ скомпрометировала сервер самих злоумышленников.
• Сайт газеты мэрии Кемерова взломали хакеры, об этом говорится в официальном заявлении городской администрации.
• Минцифры зафиксировало более 50 DDoS-атак мощностью более 1 Тбайт и ряд профессиональных целевых атак на портал Госуслуг. Все атаки успешно отражены специалистами центра безопасности.
• Электрозарядные станции на высокоскоростной трассе М-11 Москва-Санкт- Петербург были отключены из-за внешнего вмешательства.
• Шведский производитель камер видеонаблюдения Axis подвергся кибератаке. Для ограничения ущерба компании пришлось остановить работу общедоступных интернет-сервисов.
• Хакеры взломали управление оборудованием агрохаба "Селятино" в Московской области и пытались испортить 40 тыс. тонн замороженной мясной и рыбной продукции.
• Мобильное приложение сети петербургских аптек «Озерки» было взломано неизвестными хакерами. На телефоны пользователей, которые заказывают лекарства в аптеке рассылались нехарактерные push-уведомления.

Обзор событий предстоящих недель 07.03 – 18.03

Вебинары:

• 10 марта, 10:00 – Вебинар Softline: Организация защиты инфраструктуры в текущих условиях;
• 10 марта, 11:00 – Вебинар Softline: Безопасная работа сотрудников вне офиса;
• 15 марта,11:00 – Вебинар ДиалогНаука: От повышения осведомленности сотрудников к интерактивной тренировке навыков по безопасности. Работающие практики 2022 года;
• 15 марта, 14:00 – Вебинар Positive Technologies: Не EFIмерные вредоносы: изучаем буткиты;
• 16 марта, 14:00 – Вебинар от Ростелеком: Кто и как угрожает российским финансовым компаниям в киберпространстве?;
• 17 марта, 14:00 – Вебинар Positive Technologies Анализируем инфраструктуру в MaxPatrol VM: продвинутые PDQL-запросы;
• 17 марта, 10:00 – Вебинар Axoft Case Stories: Экспертные диалоги о безопасности.