Дайджест информационной безопасности №232 за период с 7 по 18 марта 2022

Новости ИБ  

• Кибермошенники запустили кампанию, в рамках которой они предлагают установить некий специальный антивирус «Аврора» для защиты личных данных.
• Национальный координационный центр по компьютерным инцидентам (НКЦКИ) подготовил рекомендации в связи с массированными компьютерными атаками на веб-приложения в российском сегменте интернета.
• Исследователи компании CM4all обнаружили самую опасную уязвимость ядра Linux за последние годы (CVE-2022-0847). Dirty Pipe позволяет перезаписать содержимое любого файла от имени непривилегированного пользователя. Тайваньская компания Qnap предупредила пользователей, что недавно обнаруженная в Linux проблема Dirty Pipe, позволяющая злоумышленникам получить root-привилегии, затрагивает большинство NAS компаний.
• Исследователи из компании Binarly обнаружили 16 опасных уязвимостей в различных реализациях прошивки Unified Extensible Firmware Interface, затрагивающих миллионы корпоративных устройств HP. Проблемы получили оценки от 7,5 до 8,8 баллов по шкале CVSS. В число затронутых устройств входят ноутбуки HP, персональные компьютеры, PoS-терминалы и граничные вычислительные узлы.
• Обнаружены три критические 0-day уязвимости, получившие общее название TLStorm. Баги позволяют хакерам установить полный контроль над источниками бесперебойного питания (UPS) компании APC и проводить «экстремальные киберфизические атаки».
• Устройства TP-Link отправляют данные о поведении браузера стороннему производителю сетевого оборудования Avira, с которым компания давно сотрудничает. Затронутые устройства включают маршрутизаторы TP-Link и ячеистые системы Deco Wi-Fi.

Интересные посты русскоязычных блогов по ИБ

• В 2019 году Банк России выпустил Положение, устанавливающее обязательные требования к защите информации при осуществлении финансовой деятельности. О реализации требований ГОСТ 57580 в некредитных организациях и проблемах рассказали эксперты в блоге IB-Bank.ru.
• Автор блога на Habr опубликовал список наиболее критических угроз инфраструктуре Рунета и способов их упреждения в качестве инструкции для ИТ-организаций, государственных учреждений и рядовых пользователей с целью избежать информационной блокады.
• В статье рассмотрены некоторые из наиболее распространенных, но все же довольно опасных недостатков, которые обычно присутствуют в смарт-контрактах NFT.

Интересные посты англоязычных блогов по ИБ

• Paul Dunphy рассказал о том, как будущие инфраструктуры цифровой идентификации повысят удобство, не ставя под угрозу безопасность.
• Gil Vega рассмотрел проблему создания среды с нулевым доверием. Успешное нулевое доверие опирается на культуру прозрачности, коммуникации и согласованности по всем направлениям. При правильном понимании и применении эти усилия могут создать устойчивую рабочую среду. 
• Mary K.Pratt рассказала про 8 ключей к эффективному управлению уязвимостями.
• Graham Cluley рассказал про вымогатель Ragnar Locker.В статье говорится о механизмах его работы и как от него защититься.

Исследования и аналитика

• Dr.Web выпустил обзор вирусной активности для мобильных устройств в январе 2022 года. Продукты Dr.Web для Android зафиксировали высокую активность вредоносного приложения Android.Spy.4498, предназначенного для кражи информации из уведомлений. Согласно полученной статистике, в минувшем месяце оно встречалось на устройствах пользователей чаще других угроз ина его долю пришлось 24,86% детектирований. 
• Dr.Web представил обзор вирусной активности в январе 2022 года. По сравнению с декабрем уменьшилось количество уникальных угроз. Согласно полученной статистике, популярными угрозами остаются рекламные приложения и нежелательное ПО. В почтовом трафике чаще всего распространялись бэкдоры и различные трояны-загрузчики. Число запросов на расшифровку файлов, затронутых шифровальщиками, по сравнению с декабрем увеличилось на 53.72%.
• Edgescan представила результаты отчета о состоянии управления уязвимостями во всем мире.В отчете показано, что организациям по-прежнему требуется почти два месяца для устранения критических уязвимостей, при этом среднее время устранения для всего стека составляет 60 дней.
• Количество атак с использованием паролей растет. Украденные учетные данные пользователя, включая имя, адрес электронной почты и пароль, были наиболее распространенной основной причиной взломов в 2021 году. Новые данные, опубликованные Specops Software показывают, что установки надежных паролей может быть недостаточно в условиях все более нестабильной среды кибербезопасности.
• DataGrail опубликовала результаты своего отчета 2022 Data Privacy Trends: A CCPA Report, в котором рассматриваются тенденции конфиденциальности данных потребителей. В отчете компания сравнила стоимость, объем и проблемы, связанные с конфиденциальностью данных.
• Специалисты компании Cylera Labs обнаружили общие черты в исходном коде и техниках, используемых операторами вредоносного ПО Shamoon и Kwampirs, свидетельствующие о том, что они принадлежат к одной и той же группировке или очень тесно сотрудничают.
• Immersive Labs провела исследование кибервозможностей человека. В отчете проанализированы киберзнания, навыки и суждения, полученные в результате более чем полумиллиона упражнений и симуляций, проведенных более чем 2100 организациями за последние 18 месяцев. Они были разбиты на части, чтобы понять кибервозможности сотрудников групп информационной безопасности, безопасности приложений и реагирования на кризисные ситуации.
• По данным Technavio, рынок систем обнаружения вторжений по периметру достигнет $5,98 млрд к 2026 году. Ожидается, что рост ускорится в среднем на 9,2%, а в 2022 году рынок будет наблюдать рост на 8,74%.
• Согласно новому отчету F-Secure, потенциальное финансовое, операционное и репутационное влияние программ-вымогателей делает их главной угрозой, с которой сталкиваются финансовые организации. Фишинг, открытые порты протокола удаленного рабочего стола и использование уязвимого программного обеспечения называются тремя наиболее распространенными основными векторами вторжений для программ-вымогателей. 

Громкие инциденты ИБ

• Хакеры взломали сайты нескольких российских ведомств: Федеральной антимонопольной службы, Минкультуры, Роскомнадзора.
• По данным компании Mandiant, хакерская группа из Китая за последние 10 месяцев взломала правительственные учреждения по меньшей мере в шести штатах США. Широкий спектр учреждений штатов, ставших объектом взлома, включает: здравоохранение, транспорт, трудовые ресурсы, высшее образование, сельское хозяйство, а также судебные системы.
• Samsung стала жертвой атаки хакеров. Злоумышленники похитили 190 Гб конфиденциальной информации, в том числе исходный код от Qualcomm, алгоритмы для работы биометрической идентификации, исходные коды загрузчиков для смартфонов и планшетов, исходный код для серверов активации Samsung, а также тысячи закрытых ключей.
• Хакеры атаковали хостинг и сайт Общественного телевидения Приморья. Сайт подвергся DDos-атаке и в это время невозможно было зайти на сайт телевидения. 
• Хакеры запустили таймер, отсчитывающий время на уплату выкупа, и пригрозили опубликовать похищенные у Bridgestone данные. Ответственность за кибератаку на одного из крупнейших в мире производителей автомобильных шин Bridgestone Americas взяла на себя хакерская группировка LockBit.
• СМИ сообщают, что на хакерских форумах бесплатно публикуются данные более 100 000 карт российских банков. Эксперты считают, что преступники пытались срочно «монетизировать» имевшиеся в их распоряжении базы, но теперь и они потеряли ценность.
• Сайты российских СМИ подверглись атаке через онлайн-систему аналитики для медиапроектов Onthe.io.
• В работе Wildberries наблюдались серьезные проблемы. По мнению экспертов, маркетплейс стал жертвой атаки вируса-шифровальщика хакерской группировки OldGremlin.

Обзор событий предстоящих недель 21.03 – 01.04

Посетить:

• 22 марта, Уфа – Конференция SearchInform: Автоматизация хаоса: всё, что вы хотели знать о SIEM, кейсы и интеграции;
• 22 марта, Екатеринбург – Конференция SearchInform: Автоматизация хаоса: всё, что вы хотели знать о SIEM, кейсы и интеграции;
• 24 марта, Казань – Конференция SearchInform: Автоматизация хаоса: всё, что вы хотели знать о SIEM, кейсы и интеграции;
• 24 марта, Новосибирск – Конференция SearchInform: Автоматизация хаоса: всё, что вы хотели знать о SIEM, кейсы и интеграции;
• 31 марта, Алматы – Конференция IDC: Будущее цифровой инфраструктуры.

Онлайн мероприятия:

• 22 марта – Онлайн-конференция "Гротек": DevSecOps: инструменты управления процессом безопасной разработки;
• 23 марта – Онлайн-конференция "Гротек": Цифровые помощники: новый подход к обработке документов и автоматизация бизнес-процессов;
• 23 марта, 11:00 – Онлайн-конференция Anti-Malware.ru: Анализ защищенности промышленных предприятий;
• 30 марта – Онлайн-конференция "Гротек": Умные парковки, видеонаблюдение и контроль доступа для коммерческой недвижимости. Какие решения остаются надежными и актуальными?;
• 31 марта – Онлайн-конференция "Гротек": Цифровые технологии для ритейла и e-commerce. Как замещать программные решения и сервисы, лишившиеся легитимности;
• 1 апреля – Онлайн-конференция "Гротек": Импортозамещение техподдержки ушедших с рынка ИБ-производителей.

Вебинары:

• 21 марта, 11:00 – Вебинар Гарда Технологий: Гарда Файлы — как обеспечить безопасность файловых хранилищ;
• 22 марта, 11:00 – Вебинар Ростелеком-Солар: Импортозамещение: защита сетевой инфраструктуры;
• 22 марта, 11:00 – Вебинар SoftLine: Xello Deception: выявляем целенаправленные атаки на государственные организации;
• 22 марта, 11:00 – Вебинар ДиалогНауки: Автоматизация пентеста в крупных распределенных сетях;
• 23 марта, 17:00 – Вебинар АИС: Зачем и кому нужна профессиональная переподготовка в области информационной безопасности?;
• 29 марта, 15:00 – Вебинар Ростелеком-Солар: Безопасность под угрозой? Моделирование рисков в IdM/IGA-системах на примере Solar inRights;
• 29 марта, 11:00 – Вебинар ДиалогНауки: 5 способов упорядочить хаос;
• 30 марта, 11:00 – Вебинар Ростелеком-Солар: ГОСТ-шифрование: по каким критериям выбирать криптошлюзы.