Дайджест ИБ №239 за период с 13 по 24 июня 2022

Новости ИБ

• На фоне усиления хакерских атак на критическую инфраструктуру в России крупнейшие отечественные ИБ-компании думают о создании отраслевой организации - консорциума в области кибербезопасности. Инициативу поддерживает Минцифры.
• На Петербургском международном экономическом форуме-2022 впервые в России прошли международные киберучения по предупреждению чрезвычайной ситуации в результате хакерских атак.
• Объявлено о ликвидации ботнета RSOCKS. Он использовался для захвата миллионов компьютеров, Android-смартфонов и IoT-устройств по всему миру, а затем продавал преступникам услуги прокси.
• Операторы вредоносного ПО BRATA расширили возможности ПО для Android-устройств, чтобы сделать свои атаки на банковские приложения более незаметными.
• Вымогательское ПО ech0raix снова начало атаковать уязвимые сетевые накопители NAS QNAP. Для того чтобы защитить устройства от атак, пользователям рекомендуется использовать надежные пароли для учетных записей администратора, включить защиту доступа по IP и избегать использования портов по умолчанию 443 и 8080.
• Группировка BlackCat опубликовала украденные данные предположительно сотрудников и гостей отеля в Орегоне – 112 ГБ данных о 1534 сотрудниках. Банда вымогателей создала специальный веб-сайт, позволяющий сотрудникам и клиентам проверить, не были ли их данные украдены во время атаки на отель.
• Исправлена критическая уязвимость удаленного выполнения кода в Splunk Enterprise - CVE-2022-32158, которая имеет оценку 9,0 по шкале CVSS. Кроме одной критической, устранили множество более мелких уязвимостей.

Интересные посты русскоязычных блогов по ИБ

• Эксперты R-Vision в своем блоге выложили пост на тему управления жизненным циклом индикаторов компрометации в экосистеме продуктов R­‑Vision.
• Эксперты Ростелеком-Солар рассказали про нетиповые решения для сервисной защиты от сетевых угроз с помощью Unified Threat Management.
• В блоге на Хабре приведен подробный разбор цепочки эксплойтов Playstation 4 и 5. В статье представлена цепочка из пяти уязвимостей, позволяющая нападающему получить возможности JIT и исполнять произвольные полезные нагрузки.

Интересные посты англоязычных блогов по ИБ

• John Buzzard посвятил пост теме мошенничества с идентификацией как новому корпоративному полю битвы. Автор подчеркивает необходимость разработки долгосрочного многоуровневого подхода к непрерывной аутентификации.
• Miri Adjiashviliобратила внимание на важность гибкого подхода к тестированию на проникновение. Только автоматизированная и непрерывная модель может защитить постоянно меняющиеся сети и приложения, помогая компаниям оставаться в безопасности, соответствовать требованиям и оставаться прибыльными.
• Dancho Danchev продемонстрировал, как зараженные хосты ботнета могут использоваться не только в качестве трамплина, но и для рассылки фишинговых электронных писем и размещения доменов, используемых в самих мошеннических действиях, тем самым перекладывая ответственность за мошенничество на зараженные стороны.

Исследования и аналитика

• Доктор Веб представил обзор вирусной активности в мае 2022 года. Анализ данных показал уменьшение общего числа обнаруженных угроз на 0.86% по сравнению с апрелем. При этом количество уникальных угроз незначительно увеличилось — на 1.73%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. Также доступен обзор вирусной активности для мобильных устройств в мае 2022 года.
• Эксперты Positive Technologies проанализировали актуальные кибератаки в первом квартале 2022 года. Анализ показал, что общее количество атак выросло на 14,8% по сравнению с четвертым кварталом 2021 года. Также отмечается появление новых трендов в методике атак — распространение вредоносов, нацеленных на уничтожение данных.
• Специалисты изучили используемые вредоносные инструменты хакерской группировки ToddyCat и проследили цепочку заражения от эксплойта до установки бэкдора.
• В отчете ISACA Supply Chain Security Gaps: A 2022 Global Research Report представлены ответы от более 1300 ИТ-специалистов, обладающих знаниями о цепочках поставок, 25 % из которых отмечают, что их организация подверглась атаке на цепочку поставок за последние 12 месяцев. Респонденты опроса назвали основным риском в цепочке поставок программы-вымогатели – 73%, за ними идут плохая практика информационной безопасности поставщиков – 66% и уязвимости безопасности программного обеспечения – 65%.
• Согласно данным Atlas VPN, Apple платит за раскрытие уязвимости в пять раз больше, чем, например, Samsung. Эксплойты, которые позволяют хакерам выполнять сетевые атаки без взаимодействия с пользователем, обычно приносят больше всего вознаграждения за обнаружение ошибок.
• Согласно отчету Uptime Institute, в течение последних нескольких лет перебои в работе цифровой инфраструктуры становились все более и более дорогостоящими. При этом общее количество крупных сбоев осталось прежним. Согласно отчету, доля отдельных отключений, приводящих к убыткам на сумму более $100 000, увеличивается до 47% от всех отключений в 2021 году с 40% в предыдущем году. 
• Proofpoint представила свой ежегодный отчет о человеческом факторе, в котором представлен всесторонний анализ трех основных аспектов пользовательского риска — уязвимости, атак и привилегий, а также того, как злоумышленники продолжают свою неустанную изобретательность, используя множество возможностей, предоставляемых людьми.
• Подразделение Unit 42 ИБ-компании Palo Alto Networks сообщило о повышении активности вымогательского ПО Hello XD. Хакеры вооружились новым вариантом программы с более надежным шифрованием.
• Поиск опытных кандидатов на должности в области кибербезопасности остается главной проблемой для многих организаций. Исследование (ISC)² показывает, как менеджеры по найму в области кибербезопасности набирают и поддерживают развитие карьеры начинающих и младших специалистов-практиков. 
• Interisle опубликовали исследование Malware Landscape 2022: A Study of the Scope and Distribution of Malware, в ходе которого было проанализировано 2,5 млн записей об отдельных событиях, связанных с вредоносным ПО с мая 2021 года по апрель 2022 года. Анализ показывает, какое вредоносное ПО было наиболее распространенным, откуда распространялось вредоносное ПО и какие ресурсы использовали преступники для проведения своих атак.

Громкие инциденты ИБ

• В открытый доступ попала часть базы данных клиентов образовательного портала GeekBrains, содержащая 107,535 строк: имена, адреса электронной почты и телефоны клиентов компании.
• С начала приемной кампании DDoS-атаке подверглись десятки сайтов вузов Сибири. В Алтайском крае не работают интернет-порталы трех университетов и одного института, а в Красноярске сайты сразу нескольких вузов.
• Злоумышленники предлагают купить базу данных и доступ к серверу сайта Onlinegibdd.ru. В файле приведены личные данные физических лиц – 491 тыс. записей и юридических лиц – 43,2 тыс. записей. Эксперты утверждают, что данные реальные.
• Американская медицинская компания Eye Care Leaders столкнулась с серьёзной утечкой данных своих клиентов. Предполагается, что хакерам удалось украсть личную информацию около 2 млн клиентов компании.
• Хакерская группировка BlackCat взяла ответственность за взлом Пизанского университета в Италии. Хакеры требуют от университета выкуп в размере $4,5 млн.

Обзор событий предстоящих недель 27.06 – 08.07

Вебинары

• 28 июня, 11:00 – Вебинар Ростелеком-Солар: Разговоры об импортозамещении: продукты и решения компании «Аладдин Р.Д.»;
• 29 июня, 11:00 – Вебинар Ростелеком-Солар: Как обеспечить защищенный выход в интернет для филиальной сети;
• 5 июля – Вебинар Гротек: Комплексная безопасность и защищенность объектов промышленности, нефтегазового сектора и электроэнергетики;
• 6 июля - Вебинар Гротек: DevSecOps #5: Автоматизация и критерии измерения безопасности разработки.