Дайджест ИБ №237 за период с 16 по 27 мая 2022

Новости ИБ

• Исследователи HP Wolf Security описали, как хакеры с их помощью научились получать доступ к практически любому компьютеру. Для распространения вирусов используются в том числе pdf-файлы.
• Опенсорсный проект GradeJS позволяет анализировать «собранный» код сайтов, без доступа к оригинальному исходному коду. Сервис определяет список используемых npm-пакетов с точностью до конкретной версии, и помогает обнаружить в них известные уязвимости.
• После того, как российские власти стали блокировать зарубежный трафик по географическому признаку, хакеры для организации DDoS-атак стали использовать сервисы VPN, прокси и пользовательские устройства с российскими IP-адресами.
• Mozilla выпустила обновления, которые исправляют уязвимости в Firefox и Thunderbird, которые имеют критический уровень серьезности – наивысший из возможных (CVE-2022-1802, CVE-2022-1529).
• Агентства кибербезопасности США, Великобритании, Австралии и Канады выпустили второе предупреждение об увеличении числа кибератак на поставщиков управляемых услуг. Если они будут скомпрометированы, то злоумышленник сможет атаковать клиентов компании вредоносным ПО или провести шпионскую деятельность во всей ее инфраструктуре.
• Десятки тысяч сайтов на WordPress были атакованы злоумышленниками. Хакеры используют уязвимость удаленного выполнения кода в WordPress-плагине Tatsu Builder, который установлен примерно на 100 000 сайтов.
• Специалисты Microsoft выявили новую вредоносную кампанию – злоумышленники взламывают серверы SQL и используют легитимную PowerShell-утилиту для закрепления в системе и проведения разведки.
• Хакеры начали использовать критическую уязвимость CVE-2022-30525, которая затрагивает брандмауэр Zyxel и VPN-устройства для предприятий. Успешная эксплуатация позволяет злоумышленнику удаленно вводить произвольные команды без аутентификации.
• В мессенджере Telegram обнаружена критическая уязвимость, которая позволяет мошенникам взламывать аккаунты пользователей.

Интересные посты русскоязычных блогов по ИБ

• Компания Бастион в своем блоге на Хабре посвятила пост видам атак на ML-алгоритмы и способам противодействия атакам на алгоритмы машинного обучения.
• Эксперт Swordfish Security рассказал о том, на что обратить внимание при поиске и анализе чувствительной информации в приложении, как ее искать и правильно хранить.
• Алексей Лукацкий проанализировал недавнее заседание Совета Безопасности РФ, где говорилось о создании государственной системы защиты информации. Эксперт тезисно выделил то, о чем говорил Секретарь Совбеза по итогам заседания.

Интересные посты англоязычных блогов по ИБ

• Эксперт Paloalto Lawrence Chin рассказал, почему устаревшие модели безопасности и наборы инструментов отстают, а во многих случаях создают дополнительные проблемы для финансовых учреждений. Он также объяснил, как решение SASE в комбинации с Zero Trust помогает финансовым учреждениям достигать своих бизнес-целей.
• Avinash Desireddy рассмотрел три основные области, которые необходимо учитывать для защиты кластера Kubernetes, а именно Управление доступом на основе ролей (RBAC), Агент открытой политики (OPA) и Сетевые политики.
• Специалист Microsoft Security Response Center Эндрю Паверд и независимый исследователь Авинаш Судходанан изучили 75 популярных сервисов и обнаружили уязвимости на 35 из них. Баги позволяют взламывать аккаунты ещё до их регистрации.

Исследования и аналитика

• Согласно докладу Positive Technologies Уязвимости и угрозы веб-приложений в 2020-2021, только 2% веб-приложений можно считать безопасными для пользователей. Для исследования взяли 58 сайтов – промышленных и финансовых организаций, госучреждений, IT-компаний и сайтов онлайн-торговли.
• Group-IB выпустила отчет Программы-вымогатели 2021-2022, в котором названы самые агрессивные операторы шифровальщиков, совершившие наибольшее число кибератак в мире: это группы LockBit, Conti и Pysa. Средний размер требуемого ими выкупа составил $247 000. В России количество реагирований Лаборатории цифровой криминалистики Group-IB на атаки программ-вымогателей в первом квартале 2022 года выросло в 4 раза по сравнению с аналогичным периодом 2021 года.
• Эксперты Лаборатории Касперского провели анализ фреймворка ISaGRAF, описание его архитектуры, протоколов IXL и SNCP, используемых для программирования и управления устройств, и разбор найденных уязвимостей. ISaGRAF Runtime используется в разнообразных отраслях промышленности, в том числе транспортной и энергетической.
• Согласно новому отчету Fortinet, 60% организаций во всем мире испытывают трудности с набором специалистов в области кибербезопасности, а 52% с трудом удерживают квалифицированных специалистов.
• Компания Zerto спонсировала недавнее исследование IDC и обнаружила, что 79% опрошенных активировали аварийное реагирование, 83% столкнулись с повреждением данных в результате атаки и почти 60% столкнулись с невосстановимыми данными.
• Исследование Ponemon Institute показало, что почти 60% организаций столкнулись с потерей или утечкой данных, вызванной ошибкой сотрудников в электронной почте за последние 12 месяцев. Электронная почта была признана самым рискованным каналом потери данных в организациях, как заявили 65% специалистов по ИТ-безопасности. За ним следуют облачные сервисы для обмена файлами 62% и платформы для обмена мгновенными сообщениями 57%. 
• В реестре контейнеров языка программирования Rust наблюдался случай атаки на цепочку поставок программного обеспечения, в которой использовались методы опечатывания для публикации мошеннической библиотеки, содержащей вредоносное ПО. Фирма по кибербезопасности SentinelOne назвала атаку CrateDepression.
• 46% руководителей в области ИТ, безопасности и кибербезопасности говорят, что они по-прежнему хранят пароли в общих офисных документах. И это несмотря на то, что 93% респондентов нуждаются в обучении управлению паролями, а 63% проводят обучение более одного раза в год, согласно опросу, проведенному Pulse от имени Hitachi ID.
• Британские ученые из Кардиффского университета создали новый метод автоматического обнаружения и уничтожения вредоносного ПО на устройстве менее чем за секунду. Метод обнаружения на основе искусственного интеллекта протестирован на тысячах образцах вредоносных программ и позволил предотвратить повреждение 92% файлов на компьютере, уничтожив вредонос за 0,3 секунды.
• Согласно последнему квартальному отчету Agari и PhishLabs о тенденциях угроз и разведывательных данных Quarterly Threat Trends & Intelligence Report, количество случаев голосового фишинга увеличилось почти на 550% за последние двенадцать месяцев.

Громкие инциденты ИБ

• Злоумышленники завладели аккаунтом Twitter известного американского художника Майка Винкельмана, известного под псевдонимом Beeple. Хакеры разместили в аккаунте художника две фишинговые ссылки, которые принесли злоумышленникам более $430 000.
• Специалисты Cyble предупредили, что злоумышленники атакуют ИБ-исследователей, распространяя под видом эксплоитов для Windows малварь, которая в итоге устанавливает на машины экспертов маяки Cobalt Strike.
• Служба безопасности Delivery Club обнаружила утечку данных о совершенных некоторыми пользователями заказах. Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты.
• Хакерским атакам подверглись информационные ресурсы Бурятии, Владимирской и Новосибирской областей – сайты изданий временно прекратили работу, на их восстановление ушло несколько дней.
• Российский магазин приложений NashStore, который позиционируется как альтернатива популярному американскому магазину Google play, в первый же день после запуска был атакован хакерами.

Обзор событий предстоящих недель 30.05 – 10.06

Посетить

• 31 мая, Москва – Конференция Сотрудники как вектор атаки: как обеспечить киберстабильность бизнеса;
• 1 июня, Москва – Форум DLP+ 2022;
• 2 июня, Пермь –  Семинар Информационная безопасность для ВУЗов;
• 6-9 июня, Новосибирск – Симпозиум Современные тенденции в криптографии.

Онлайн-конференции

• 2 июня, 11:00 – Онлайн-конференция Anti-Malware.ru: SOAR по-российски.

Вебинары

• 31 мая, 11:00 – Вебинар Ростелеком-Солар: Разговоры об импортозамещении: средства защиты информации КриптоПро;
• 31 мая– Вебинар Гротек: Технологии защиты периметра для объектов ТЭК, нефтегаза и промышленности;
• 2 июня – Вебинар InfoWatch: Employee Monitoring в DLP для предотвращения инцидентов ИБ ч.2;
• 3 июня – Вебинар Гротек: Кибербезопасность цифрового предприятия.