Дайджест информационной безопасности №234 за период с 4 по 15 апреля 2022

Новости ИБ  

• Инженеры из Самарского университета разработали оригинальную систему мониторинга качества передачи данных в интернете — NetTestBox. Отечественная система позволит обнаруживать киберугрозы и попытки ограничить трафик, а также упростит формирование независимого от внешнего влияния цифрового пространства.
• Количество атак вирусов-шифровальщиков в России увеличилось в четыре раза, сообщают специалисты по информационной безопасности «Лаборатории Касперского».
• Хакерская группировка BlueHornet сообщила, что в ее распоряжении есть работающий эксплоит для уязвимости в Nginx 1.18. Разработчики Nginx подтвердили, что проблема существует и рассказали, как с ней бороться.
• Исследователи из компании Armorblox обнаружили фишинговую кампанию, в рамках которой злоумышленники пытаются распространять малварь для кражи данных, маскируя свою активность под уведомления о голосовых сообщениях в WhatsApp.
• Центр мониторинга и реагирования UserGate сообщает о новой уязвимости в продукте VMware Workspace ONE Access. Она позволяет потенциальным злоумышленникам одним запросом провести инъекцию шаблона и выполнить произвольную команду операционной системы. Уязвимости присвоен рейтинг 9.4.
• GitHub представил новую функцию, направленную на проактивную защиту разработчиков от случайных утечек. Теперь GitHub Advanced Security будет автоматически блокировать утечки секретов.
• Microsoft анонсировала новые функции безопасности и конфиденциальности в Windows 11. ОС получит обновления, которые позволят улучшить защиту от киберугроз, обезопасить данные с помощью надежного шифрования и эффективнее блокировать вредоносные приложения и драйверы.
• Агентство кибербезопасности и безопасности инфраструктуры (CISA) США добавило в свой список активно эксплуатируемых уязвимостей десять новых, в том числе опасную уязвимость повышения локальных привилегий в системном драйвере Windows Common Log File System Driver (CVE-2022-24521).

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий в своем блоге «Бизнес без опасности» опубликовал список 170 российских разработчиков средств ИБ и подборку изменений в законодательство РФ по ИБ.
• Юрий Шабалин, один из основателей компании "Стингрей Технолоджиз" опубликовал материал, посвященный безопасности мобильных приложений. Автор рассказал о тех уязвимостях, которые чаще всего встречаются при автоматическом анализе.
• Павел Луцик рассказал о практических подходах к построению архитектуры безопасности с нулевым доверием. Переход к архитектуре Zero Trust способен надёжно обеспечить организациям безопасность в современных реалиях.
• Системный интегратор Информзащита подготовил каталог импортозамещения, с помощью которого можно быстро подобрать отечественные аналоги СЗИ.
• Эксперты Ростелеком-Солар поделились итогами проведенных в 2021 году работ по контролю уязвимостей на сетевых периметрах и в веб-приложениях более, чем 50 организаций из различных отраслей и рассказали какие уязвимости чаще всего встречаются в корпоративной инфраструктуре.

Интересные посты англоязычных блогов по ИБ

• Todd Schell в блоге Help Net Security проанализировал вышедшие обновления безопасности Microsoft, Apple, VMware, Adobe, Google и других вендоров, а также дал свои комментарии по планируемым обновлениям компаний.
• Блог Google посвятил пост теме повышения безопасности цепочки поставок программного обеспечения с помощью защищенных от несанкционированного доступа сборок.
• Zur Ulianitzky в подкасте Help Net Security рассказал об основных методах атак, используемых злоумышленниками для компрометации критически важных активов в корпоративных и облачных средах.
• Центр интернет-безопасности (CIS) представил руководство по обеспечению необходимой кибергигиены. Данные рекомендации могут помочь организациям защититься от большинства техник злоумышленников.

Исследования и аналитика

• Лаборатория Касперского поделилась, что ей удалось узнать о вымогателях BlackCat. Согласно отчету, BlackCat использует модифицированную версию закрытого инструмента под названием Fendr, которым ранее пользовалась только BlackMatter.
• Аналитики Ростелеком-Солар подсчитали, что 75% уязвимостей, выявленных в инфраструктурах российских организаций, можно устранить с помощью процесса управления уязвимостями. По результатам исследования выявились более 150 тысяч проблем в безопасности, из которых 7,5 тыс. оказались уникальными. 94% обнаруженных брешей получили высокую степень риска, для большого числа есть готовые эксплойты.
• По данным 2022 Cyberthreat Defense Report, рекордные 71% организаций пострадали от атак программ-вымогателей в прошлом году, по сравнению с 55% в 2017 году. Из тех, кто стал жертвой, почти 63% заплатили запрошенный выкуп, по сравнению с 39 % в 2017 году.
• Исследование компании Javelin 2022 Identity Fraud Study показало, что убытки от мошенничества с использованием информации жертв для кражи денег, резко выросли в 2021 году до $24 млрд — рост на 79% по сравнению с 2020 годом. Общее же воздействие мошенничества с идентификацией привело к убыткам в размере $52 млрд.
• По данным исследования Software Advice Research, небольшие медицинские учреждения подвержены большему риску кибератак. 49% малых и 15% крупных медицинских учреждений не имеют формального плана действий на случай нарушения.
• По данным Check Point Research, с момента обнаружения уязвимости нулевого дня Spring4Shell зафиксировано около 37 тыс. попыток ее использования. В течение первых 4-х дней 16% организаций по всему миру пострадали от попыток эксплуатации.
• Разработчики ПО исправляют только 32% уязвимостей и регулярно публикуют уязвимый код, об этом сообщается в последнем отчете компании Tromzo. По словам эксперта, если компании хотят, чтобы разработчики реализовывали безопасность, необходимо уменьшить давление на них. Для этого нужно интегрировать с жизненным циклом разработки ПО (SDLC) контекстную и автоматизированную проверку безопасности.
• Согласно последнему отчету компании Dragos, хакеры представляют серьезную угрозу европейской промышленной инфраструктуре. В настоящее время промышленные предприятия в Европе атакуют по крайней мере десять киберпреступных группировок – это Xenotime, Magnallium, Electrum, Allanite, Chrysene, Kamacite, Covellite, Vanadinite, Parisite и Dymalloy.
• Эксперты Check Point Research обнаружили 6 приложений в Google Play, которые были замаскированы под антивирусные программы: Atom Clean-Booster, Alpha Antivirus, Center Security и др. Также, в них была спрятана вредоносная программа Android Sharkbot. По данным исследования, приложения были скачаны более 15 тысяч раз.
• Корпорация Intel опубликовала результаты исследования, посвященного тому, как организации подходят к инновациям в области безопасности. Основные выводы показывают, что компании при покупке технологий и услуг ценят инновационные продукты для обеспечения безопасности, особенно на уровне оборудования.
• Компания Imperva опубликовала результаты глобального исследования восприятия потребителями конфиденциальности данных и доверия к поставщикам цифровых услуг. В современном мире потребители чувствуют себя в ловушке: обмен личными данными является обязательным требованием для использования цифровых услуг, но большинство не доверяет организациям защиту своих данных.
• Компания Splunk совместно с Enterprise Strategy Group выпустила ежегодный глобальный отчет State of Security 2022, в котором рассматриваются проблемы безопасности, стоящие перед современным предприятием. В опросе приняли участие более 1200 руководителей службы безопасности. По их мнению, наблюдается рост числа кибератак и в то же время дефицит кадров.
• Команда исследователей Paloalto в отчете The Latest Unit 42 Cloud Threat Research пришла к выводу, что облачные пользователи, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленных на облачную инфраструктуру и учетные данные.

Громкие инциденты ИБ

• Информационные ресурсы Россельхознадзора подверглись крупной DDoS-атаке. Работа электронной системы ветсертификации "Меркурий" переведена в аварийный режим.
• Обладатели аппаратных кошельков Trezor стали жертвой фишинговой атаки, которая произошла из-за компрометации MailChimp. Хакеры рассылали фейковые уведомления об утечке данных и предлагали загрузить «последнюю версию» ПО Trezor Suite.
• Компания Block уведомила 8,2 млн пользователей об утечке данных. Выяснилось, что бывший сотрудник компании получил доступ к информации о клиентах Cash App еще в прошлом году, после увольнения.
• Вымогатели Conti опубликовали данные, похищенные у гидравлического гиганта Parker Hannifin. Производитель подтвердил, что хакеры украли некоторые данные, включая персональную информацию сотрудников.
• Хакерская группировка BlackCat атаковала Флоридский международный университет. Им удалось похитить 1,2 ТБ личных документов студентов, преподавателей и сотрудников, в том числе контракты, номера соцстрахования, электронные адреса и пр.
• Японская корпорация Panasonic сообщила о том, что ее дочерняя компания в Канаде подверглась атаке хакеров. Злоумышленники использовали против нее вирус-вымогатель, после чего разместили украденные данные на своем сайте.
• Специалисты компании Insikt Group сообщили о кибератаках на сети семи индийских государственных диспетчерских центров нагрузки (SLDC), которые выполняют операции в режиме реального времени для управления сетью и диспетчеризации электроэнергии.
• Хакеры AridViper атаковали израильских чиновников. Группировка нацелена на высокопоставленных лиц в оборонных, правоохранительных и экстренных службах.

Обзор событий предстоящих недель 18.04 – 29.04

Посетить:

• 18 апреля, Москва -Конференция: Информационная безопасность банков;
• 28 апреля, Москва – Конференция: UserGate 2022.

Онлайн-конференции:

• 18 апреля – Онлайн-конференция Гротек: Куда незамедлительно мигрировать с NGFW Cisco и Fortinet?;
• 20 апреля, 11:00 – Онлайн-конференция Anti-Malware.ru: Технологии и продукты оснащения SOC;
• 21 апреля – Онлайн-конференция Гротек: Академия СКУД: мобильный доступ, бесконтактная среда, интегрированные системы;
• 25 апреля, 14:00 – Онлайн-конференция Гротек: Куда мигрировать с IPS TrendMicro и PaloAlto?.

Вебинары:

• 22 апреля, 14:00 – Вебинар Positive Technologies: От экспертов экспертам: 3 эффективных способа быстро прокачать blue team;
• 26 апреля, 11:00 – Вебинар ДиалогНаука: Комплексный подход по предотвращению утечки информации на предприятии;
• 26 апреля, 10:00 – Вебинар Softline Антикризисные меры для стабильности и безопасности ИТ инфраструктуры;
• 27 апреля, 11:00 – Вебинар Ростелеком-Солар: Контроль уязвимостей: результаты и выводы 2021 года;
• 28 апреля, 11:00 – Вебинар Ростелеком-Солар: Анализ кода программного обеспечения и сервисов в ОКИИ при выполнении требований ФСТЭК России.