Дайджест информационной безопасности №233 за период с 21 марта по 1 апреля 2022

Новости законодательства

• Владимир Путин подписал Указ «О мерах по обеспечению технологической независимости и безопасности критической информационной структуры Российской федерации», запрещающий государственным органам с 2025 года использовать иностранное ПО на объектах КИИ.

Новости ИБ  

• Национальный координационный центр по компьютерным инцидентам (НКЦКИ) выступил с рекомендацией российским интернет-пользователям минимизировать установку расширений для браузеров.
• ФСТЭК временно приостановила действие сертификатов на программные продукты крупных иностранных ИТ-компаний: IBM, Microsoft, Oracle, SAP и т. д. Их действие будет полностью прекращено, если вендоры не возобновят поддержку своих продуктов в течение 90 дней со дня приостановки сертификатов. Также ФСТЭК обновила реестр сертифицированных средств защиты информации, приостановив действие более 50 сертификатов Cisco, CyberArk, FortiGate, Microsoft, Oracle, Red Hat, SAP, SUSE Linux, VMware.
• Хакеры злоупотребляют популярным диспетчером пакетов Chocolatey для Windows в рамках фишинговой кампании, направленной на установку бэкдора Serpent в системы французских правительственных учреждений и крупных строительных фирм.
• Международная некоммерческая организация FIRST приостановила членство российских CERT: BI.ZONE-CET, Infosecurity Incident Response Team (IN4-CERT), ISL-CSIRT, Jet CSIRT, Kaspersky ICS CERT, RTSCERT, RU-CERT.
• Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило в свой каталог известных уязвимостей, активно эксплуатирующихся в хакерских атаках, 66 новых CVE и обязало федеральные ведомства установить исправления для них до 15 апреля 2022 года.Федеральная комиссия по связи США (FCC) внесла «Лабораторию Касперского», а также китайские China Telecom (Americas) Corp и China Mobile International USA в список поставщиков телекоммуникационного оборудования и сервисов, которым запрещено покупать запчасти и компоненты у американских компаний без специального одобрения правительства, и они не имеют права на финансирование со стороны FCC. Ранее в этот список уже попали такие гиганты, как Huawei и ZTE.
• Некоторые сетевые устройства хранения данных (NAS) тайваньской компании QNAP подвержены уязвимости бесконечного цикла в криптографической библиотеке OpenSSL с открытым исходным кодом. Успешная эксплуатация уязвимости позволяет злоумышленникам проводить атаки типа «отказ в обслуживании».

Интересные посты русскоязычных блогов по ИБ

• В блоге Deiteriy Lab эксперты рассказали об атаках на систему мониторинга Zabbix и рассмотрели сценарии удаленного выполнения кода (RCE).
• Алексей Лукацкий в своем блоге поделился основными тезисами с эфира AM Live о защите от целевых атак на российские предприятия, в текущих условиях, когда число атак возросло в два раза и многие иностранные игроки приостановили в РФ свою деятельность.
• В блоге Beeline на хабре авторы поделились своим опытом по созданию невидимого Javascript-бэкдора. Для этого они использовали Unicode для сокрытия уязвимого или зловредного кода.

Интересные посты англоязычных блогов по ИБ

• Dotan Nahum, эксперт CheckPoint перечислил девять лучших решений Git для сканирования секретов, которые можно добавить в свой набор инструментов SecOps.
• Tim Erlin поделился мнением насчет тенденции к требованиям более быстрой отчетности об инцидентах кибербезопасности. Автор подчеркнул важность тенденции своевременности отчетности, чтобы она была сбалансирована с упором на качество и полноту данных.
• Michiel Jonkmans в блоге NVISO Labs кратко рассмотрела основные принципы управления уязвимостями и то, как это может помочь защитить организацию от угроз и злоумышленников, пытающихся использовать слабые места.
• Эксперты CheckPoint проанализировали увеличивающееся число атак на мобильные устройства, типы таких атак и способы защиты от них. По мере того, как мобильная экосистема продолжает расширяться, вместе с ней будет расширяться и площадь поверхности для атак, доступная злоумышленникам.

Исследования и аналитика

• По данным исследования «Лаборатории Касперского», 42% российских компаний сталкивались с невозможностью запустить новые проекты из-за недостатка знаний о возможных киберрисках и понимания, как их предотвратить. 
• Лаборатория Касперского опубликовала анализ рынка фиш-китов – инструментов для быстрого создания поддельных сайтов и сбора украденных с их помощью данных. Всего за прошедший год эксперты обнаружили и заблокировали около 1,2 млн фишинговых страниц, созданных с помощью фиш-китов.
• «Доктор Веб» опубликовал обзор вирусной активности для мобильных устройств в феврале 2022 года. В феврале лидером среди угроз, выявленных на Android-устройствах, вновь стал троян Android.Spy.4498, предназначенный для кражи информации из уведомлений от других приложений. На долю этой вредоносной программы пришлось 47,83% детектирований антивирусных продуктов Dr.Web для Android, что практически вдвое превышает показатель предыдущего месяца.
• «Доктор Веб» опубликовал обзор вирусной активности в феврале 2022 года. Анализ данных показал увеличение общего числа обнаруженных угроз на 42.2% по сравнению с январем. При этом количество уникальных угроз уменьшилось на 2.87%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений.
• В исследовании Menlo Security изучается, какие шаги предпринимают организации, чтобы обезопасить себя от нового класса киберугроз, таких как Highly Evasive Adaptive Threats (HEAT). Веб-вредоносное ПО и программы-вымогатели теперь возглавляют список угроз безопасности, которые больше всего беспокоят организации. И только 27 % компаний имеют расширенную защиту от угроз на каждом конечном устройстве, имеющем доступ к корпоративным приложениям и ресурсам.
• Cequence опубликовала отчет API Security Threat Report: Bots and Automated Attacks Explode. Из 21,1 млрд транзакций, проанализированных Cequence Security во второй половине 2021 года, 14 млрд, а это около 70%, были транзакциями API.
• Как сообщается в новом отчете ФБР, финансовые потери из-за киберпреступлений продолжали резко расти в течение 2021 года и составили в общей сложности $6,9 млрд. Самым разрушительным интернет-преступлением в 2021 году была компрометация деловой электронной почты. В 2021 году ФБР получил почти 20 тыс. жалоб на BEC-атаки и оценил убытки почти в $2,4 млрд.
• Инженерные контроллеры «Текон-Автоматика», использующиеся, в том числе, для управления лифтами, уязвимы для взлома из любого уголка интернета, полагает специалист по ИБ Хосе Бертин. Ко многим из них есть прямой доступ из Сети, а их владельцы не спешат менять стандартный пароль администратора.
• Согласно отчету ИБ-компании Netscout, для большего запугивания жертв киберпреступники все чаще стали прибегать к DDoS-атакам. Особенно это касается кибервымогательских группировок, использующих многовекторные угрозы в отношении жертв, отказывающихся платить выкуп.
• Paloalto опубликовали отчет об угрозах программ-вымогателей за 2022 год. Платежи бьют новые рекорды, так как киберпреступники все чаще обращаются к утекшим данным дарквеба, где они вынуждают жертв платить, угрожая раскрыть конфиденциальные данные. Средний размер требования о выкупе в делах, которыми занимались консультанты по безопасности Palo Alto Networks Unit 42, вырос на 144% в 2021 году до $2,2 млн, а средний платеж вырос на 78% до $541 010.
• Киберпреступники с каждым годом все быстрее выясняют, как использовать уязвимости в программном обеспечении. Так называемое «время до известной эксплуатации» (time to known exploitation) сократилось на 71%, согласно новому отчету об уязвимостях за 2021 год компании Rapid7. Среднее время эксплуатации уязвимости сократилось с 42 дней в 2020 году до всего 12 дней в 2021 году.
• В публикации исследовательской группы Intezer описывается технический анализ новой кампании, которая инициирует атаки с помощью фишингового электронного письма, использующего перехват разговора для доставки IcedID.

Громкие инциденты ИБ

• Ряд медицинских организаций Хабаровского края, включая краевую психиатрическую больницу имени профессора Галанта, попали под серьезные DDOS-атаки хакеров.
• Microsoft подтвердила, что кибервымогателям из группировки Lapsus$ удалось получить «ограниченный доступ» к системам корпорации. Параллельно факт взлома признала компания Okta, специализирующаяся на управлении учетными записями и доступом и консалтинговая компания Globant - преступники получили доступ к 70 ГБ данных.
• Китайская киберпреступная группировка Scarab использовала специальный бэкдор под названием HeaderTip в рамках кампании, нацеленной на украинские организации.
• Национальная почтовая служба Греции была вынуждена временно отключить свои информационные системы из-за кибератаки. IT-специалисты установили, что злоумышленники проэксплуатировали неисправленную уязвимость, через которую было загружено вредоносное ПО, открывающее хакерам доступ к одной из рабочих станций с помощью обратной оболочки HTTPS.
• Хакер украл из сети NFT-игры криптовалюту на $625 млн. Злоумышленнику удалось вывести 173,6 тыс. Ethereum на сумму более $600 млн, а также стейблкоины USDC общей стоимостью более $25,5 млн.
• Компания Shutterfly, специализирующаяся на фотопродукции и обмене изображениями, подверглась атаке программы-вымогателя Conti, которая, якобы, зашифровала тысячи устройств и украла корпоративные данные.

Обзор событий предстоящих недель 04.04 – 15.04

Онлайн-конференции:

• 5 апреля – Онлайн-конференция Гротек: Современные решения для мультифакторной аутентификации: что сейчас актуально на российском рынке;
• 6 апреля – Онлайн-конференция Гротек: Управление инцидентами: SOAR, IRP, SOC как ответ на новые вызовы;
• 6 апреля, 11:00 – Онлайн-конференция Anti-Malware.ru: Кибербезопасность России в условиях санкций;
• 7 апреля, 11:00 – Онлайн-конференция Anti-Malware.ru: Новости импортозамещения: DCAP, сделано в России;
• 7 апреля – Онлайн-конференция Гротек: Защита облачных сред и виртуальной инфраструктуры. Как работают приложения в публичных и частных облаках в условиях неопределенности;
• 13 апреля – Онлайн-конференция Гротек: Безопасный удаленный доступ. Эффективная защита в период массивных кибератак;
• 14 апреля – Онлайн-конференция Гротек: Защита информации в АСУ ТП. Оперативные меры для защиты объектов КИИ в новой реальности.

Вебинары:

• 5 апреля, 16:00 – Вебинар SoftLine: СПЕКТР. Дорога из жёлтого кирпича:  переходим на российскую DAG-систему  за 1 месяц;
• 5 апреля, 10:00 – Вебинар SoftLine: Миграция на Threat Hunting Framework Group-IB;
• 5 апреля, 11:00 – Вебинар Диалог-Наука: Обзор нормативных требований Банка России по защите информации;
• 5 апреля, 14:00 – Вебинар Positive Technologies: PT NAD в руках охотника за угрозами;
• 5 апреля, 17:00 – Вебинар АИС: Как стать востребованным специалистом по информационной безопасности в новой реальности?;
• 6 апреля, 14:00 – Вебинар РТ-Солар: Кибербезопасность сегодня: аналитика, кейсы, прогнозы и рекомендации от Solar JSOC;
• 7 апреля, 11:00 – Вебинар РТ-Солар: Что нужно учитывать при проведении аттестации информационных систем;
• 7 апреля, 14:00 – Вебинар Positive Technologies: PT Application Inspector 4.0. Как выйти на уровень безопасной разработки;
• 12 апреля, 11:00 – Вебинар Диалог-Наука: Сложности и ошибки при реализации требований Закона о персональных данных.