Дайджест ИБ №240 за период с 27 июня по 8 июля 2022

Новости ИБ

• Исследователи обнаружили нового шифровальщика RedAlert, который шифрует серверы Windows и Linux VMWare ESXi и нацелен на корпоративные сети. Такое имя вымогатель из-за строки, которую хакеры использовали в записке с требованием выкупа. Сами злоумышленники называют свою малварь N13V.
• Операторы вымогателя AstraLocker объявили, что малварь прекращает свою работу и загрузили на VirusTotal инструменты для дешифровки данных. В будущем хакеры не планируют возвращаться к шифровальщикам, потому что намерены переключиться на криптоджекинг.
• Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django.
• Создан червь Hopper для защиты от других червей. Он является инструментом белых хакеров для защиты и анализа уязвимостей системы.
• Специалисты Microsoft сообщают, что недавно обнаруженный Windows-червь Raspberry Robin найден в сетях сотен организаций из различных отраслей промышленности. На скомпрометированных устройствах червю по силам обход контроля учётных записей, тем самым они становятся удобным плацдармом для последующих атак злоумышленников.
• Специалисты Lumen Black Lotus Labs обнаружили новый троян удаленного доступа ZuoRAT, который с 2020 года использовался для взлома роутеров удаленных сотрудников в Северной Америке и Европе.
• Специалисты компании Sonatype обнаружили вредоносные пакеты в репозитории PyPI. На этот раз библиотеки были пойманы на краже конфиденциальной информации, включая учетные данные от AWS. После похищения информация хранилась в файлах .TXT, доступная всем желающим.

Интересные посты русскоязычных блогов по ИБ

• Автор Полина Аверина в блоге Southbridge на Хабре рассказала о DDoS-атаках, с которыми сталкивались сервера компаний клиентов. В статье говорится о том, что это за атаки и какие они бывают, как можно их предотвратить, а также как минимизировать их влияние на свой сервис.
• Алексей Лукаций в своем блоге опубликовал видеозапись штабных киберучений, которые он провел в рамках мероприятия IT IS Conf.
• Автор блога на Хабре Дмитрий Золотов из компании OTUS рассказал об инструменте, уменьшающем вероятность публикации чувствительной информации.

Интересные посты англоязычных блогов по ИБ

• Автор Vilius Petkauskas подготовил материал о возможных рисках Android-приложений для отслеживания геопозиции детей.
• Автор Lisa Xu в своей статье рассказывает, как развивалось управление уязвимостями и каковы тенденции его дальнейшего развития.
• Автор Tom Hofmann поделился информацией о возможных способах противостояния атакам с использованием программ-вымогателей.

Исследования и аналитика

• Эксперты Ростелеком-Солар опубликовали исследование на тему безопасности паролей пользователей для авторизации в различных сервисах. В результате было выявлено, что 59% пользователей используют одинаковые пароли для разных аккаунтов, а 19% сотрудников передают свои логины-пароли коллегам.
• Исследователи Лаборатории Касперского подготовили отчет о техниках, тактиках и процедурах (TTPs) восьми наиболее известных группировок вымогателей, использующих шифровальщики.
• Эксперты Kaspersky ICS CERT рассказали о выявленных ими особенностях заражения бэкдором ShadowPad систем АСУ в Пакистане, в том числе инженерных компьютеров в системах управления зданиями, входящих в состав инфраструктуры телекоммуникационной компании.
• Компания Positive Technologies выпустила новый номер ежегодного сборника статей по практической кибербезопасности Positive Research.
• Специалисты MITRE опубликовали список 25 самых опасных слабых мест программного обеспечения по версии Common Weakness Enumeration за 2022 год. Такие баги потенциально могут подвергать системы риску атак, позволить злоумышленникам получить контроль над уязвимыми устройствами, доступ к конфиденциальной информации или спровоцировать отказ в обслуживании.
• Imperva совместно с Marsh McLennan Cyber Risk Analytics Center в своем исследовании проанализировали данные об инцидентах ИБ, связанных с API и выпустили отчёт об этом.
• CyberCube в рамках своего исследования попытались разобраться в криминальных сообществах-субъектах киберугроз и их возможных связях с правительствами.
• Команда Atlas VPN проанализировала размер штрафов GDPR , а также количество украденных киберпреступниками средств, полученных в результате взлома 175 криптопроектов в первой половине 2022 года.
• Подразделение Unit 42 компании Palo Alto Networks проанализировало опасность инструмента Brute Ratel C4, применяемого Red Team.

Громкие инциденты ИБ

• Сайт шведского мебельного магазина IKEA перестал работать в результате атаки хакеров.
• Сбой возник в день начала онлайн-распродажи в России. Покупатели столкнулись со сложностями при попытке оформить заказы, а позже ресурс стал недоступен.
• Хакер под ником ChinaDan выставил на продажу несколько баз данных, которые якобы содержат более 22 Тб информации о миллиарде китайских граждан. Злоумышленник оценил этот дамп в 10 биткоинов (около $195 000).
• На станции скорой помощи Оренбуржья с помощью ПО похищали сведения и передавали ритуальным службам. Программа позволяла копировать информацию о поступающих в скорую помощь звонках и передавать персональные данные обратившихся за экстренной медицинской помощью в ритуальные агентства.
• Иранская группировка Sharp Boys взломала несколько популярных израильских сайтов бронирования номеров в гостиницах и отелях. В результате злоумышленники получили идентификационные номера, адреса, данные кредитных карт и другой информации более 300 000 израильтян.
• Аккаунты британской армии в Twitter и YouTube были взломаны хакерами. В официальном аккаунте Минобороны в Твиттере начали появляться поддельные NFT и поддельные схемы розыгрыша криптовалют.
• В открытом доступе оказалась часть базы данных сервиса по заказу билетов Туту.ру. Сообщается, что утечка не затронула платежные данные. В файле содержатся имена и фамилии, мобильные телефоны и адреса электронной почты клиентов сервиса.
• Одна из крупнейших сталелитейных компаний Ирана подверглась кибератаке. Инцидент стал одним из крупнейших подобных нападений на стратегический промышленный сектор страны за последнее время.
• На заводе по сжижению газа и экспортном терминале крупного американского экспортера сжиженного природного газа Freeport LNG на острове Кинтана в Техасе произошел взрыв, который приостановил работу фабрики. Несколько источников обнаружили отказ в срабатывании систем безопасности и связали причину взрыва с атакой хакерской группировки XENOTIME.

Обзор событий предстоящих недель 11.07 – 22.07

Посетить

• 7 июля, Екатеринбург – Код ИБ INDUSTRIAL - конференция по промышленной кибербезопасности.

Вебинары

• 13 июля, 14:00 – Вебинар Ростелеком-Солар: Как обеспечить эффективный контроль безопасности ПО?.

Онлайн-конференции

• 12 июля, 11:00 – Онлайн-конференция Гротек: Безопасный удаленный доступ. Актуальные угрозы 2022 - 2023 гг. и технологии защиты от них;
• 13 июля, 11:00 – Онлайн-конференция Гротек: DLP как идеальная платформа для HR. Как задать модель поведения сотрудников;
• 14 июля, 11:00 – Онлайн-конференция Гротек: Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры;
• 21 июля, 11:00 – Онлайн-конференция Гротек: Системы хранения данных: мобильность данных и гипермасштабируемая архитектура;
• 22 июля, 11:00 – Онлайн-конференция Гротек: Цифровая логистика: решения для оптимизации ИТ-инфраструктуры.