Дайджест ИБ №241 за период с 11 по 22 июля 2022

Новости ИБ

• Группировка «8220», занимающаяся криптомайнингом, воспользовалась уязвимостями в Linux и облачных приложениях для создания крупного ботнета, насчитывающего более 30 тысяч зараженных хостов.
• Специалисты из израильского Университета имени Бен-Гуриона разработали новый метод извлечения данных с машин, физически изолированных от любых сетей и потенциально опасной периферии. На этот раз эксперты предложили использовать кабели Serial Advanced Technology Attachment (SATA), превращая их в беспроводные антенны.
• Группа учёных из Технологического института Нью-Джерси рассказала о методе, который может использоваться для обхода мер, защищающих конфиденциальность пользователя, и как создать уникальный идентификатор каждого из посетителей веб-сайта. Метод ученых подразумевает атаку деанонимиизации с межсайтовой утечкой данных.
• Минцифры прорабатывает возможность ввести понятие bug bounty в правовое поле. Это позволит легализовать программу выплат так называемым белым хакерам, которые на договорной основе тестируют информационные системы на наличие уязвимостей.
• Компания Microsoft рассказала о новой хакерской группе H0lyGh0st, которую отслеживает под идентификатором DEV-0530. Около полугода эти злоумышленники проводят вымогательские атаки на малый и средний бизнес в разных странах мира.
• Управление уполномоченного по информации (ICO) и Национальный центр кибербезопасности Великобритании (NCSC) опубликовали совместное письмо для юристов, которые оказывают услуги компаниям, подвергшимся кибератакам. В письме ведомства критикуют распространённую практику выплаты выкупов киберпреступникам для уменьшения штрафа от ICO, указывая, что это никак не поможет смягчить наказание регулятора.
• Минцифры готовит изменения в законопроект об оборотных штрафах за утечки персональных данных. Министерство настаивает на усилении ответственности операторов персональных данных и при этом считает необходимым прояснить важные детали.

Интересные посты русскоязычных блогов по ИБ

• В корпоративном блоге R‑Vision на Habr вышла статья Григория Ревенко, директора Центра экспертизы R‑Vision. В статье подробно рассказано о том, что вендорам дает поддержка MITRE и как его использовать для построения успешного SOC.
• Исследователь лаборатории криптографии компании Криптонит, Кирилл Царегородцев сравнил разные подходы к оценке безопасности криптографических протоколов. В качестве примера он использовал протокол 5G-AKA, применяемый для аутентификации в современных сетях мобильной связи.
• Список CWE Top 25 отражает наиболее серьёзные недостатки безопасности ПО. Эксперт компании PVS-Studio предложил читателям ознакомиться с обновлённым рейтингом в обзоре изменений за прошедший год.
• В блоге компании Oxygen Cloud Platform рассказали о том, как нужно относиться к информационной безопасности в центрах обработки данных. Автор поделился своим опытом внедрения решений и политик информационной безопасности на уровне всего дата-центра.

Интересные посты англоязычных блогов по ИБ

• Авторы из компании Tripwire рассказали, что такое GitOps и как он повлияет на цифровую криминалистику. GitOps может легко интегрироваться с традиционной практикой цифровой криминалистики и реагирования на инциденты, однако для этого требуются некоторые изменения в подходе DFIR.
• Juan Manuel Haran в своей статье подчеркнул важность сотрудничества и обмена знаниями, что является ключом к прогрессу в области кибербезопасности. По его мнению, обмен информацией между различными заинтересованными сторонами из государственного и частного секторов позволяет противостоять постоянному развитию киберпреступности. С другой стороны, обмен знаниями и собственными инструментами играет важную роль в развитии и усложнении угроз.
• Антон Чувакин поделился впечатлениями от вышедшего отчета Google Threat Horizons Report #3 и привел наиболее интересные цитаты из него с комментариями. В отчете представлена обновленная информация об эволюции неправильной настройки облачных вычислений, крипто-майнинга и фишинга.

Исследования и аналитика

• По результатам исследования компании Ростелеком-Солар, самый крупный ущерб от нарушений сотрудников, зафиксированный за последний год в российских организациях, превысил 100 млн руб. В целом же 87% респондентов заявили, что в их организациях за последний год наблюдались случаи различного рода мошенничеств и сливов информации со стороны сотрудников.
• Эксперты обнаружили новую консольную программу-вымогатель Lilith, написанную на языках C и C++, которая нацелена на 64-битные версий Windows. Согласно отчету Cyble, операторы вымогательского ПО используют Lilith для проведения атак с двойным вымогательством.
• Эксперты компании Microsoft рассказали, что с сентября 2021 года в рамках одной кампании, фишеры атаковали более 10 000 организаций, а затем использовали полученный доступ к почтовым ящикам жертв для последующих BEC-атак. Отчет гласит, что злоумышленники использовали для своих атак специальные лендинги, предназначенные для компрометации процесса аутентификации Office 365, причем даже для в тех случаях, когда учетная запись цели была защищена многофакторной аутентификацией.
• Специалисты из компании Resecurity заявили, что операторы BlackCat требуют все больше денег со своих жертв. По данным экспертов, средний размер выкупа составляет $2,5 млн. Однако злоумышленники предлагают 50% скидку жертвам, которые могут быстро заплатить деньги за дешифратор.
• По данным исследования StormWall, за первые 6 месяцев 2022 года число DDoS-атак на интернет-ресурсы российских государственных сервисов, ритейлеров, СМИ, банков и других владельцев выросло как минимум в 15 раз, по сравнению с аналогичным периодом 2021 года. Больше всего пострадали финансовый и государственный сектора. Как сообщает StormWall, пиковая мощность самой сильной из известных атак составила около 700 тысяч запросов в секунду, а средняя продолжительность вредоносных действий – 7 часов.
• Ускоренная цифровизация мирового нефтегаза сделала отрасль все более уязвимой для кибератак. Об этом говорится в отчете GlobalData: Кибербезопасность в нефтегазовой отрасли. Атака Colonial Pipeline в мае 2021 года стала тревожным звонком, который подчеркнул уязвимость нефтегазовой отрасли перед киберугрозами. По оценкам аналитиков GlobalData, расходы на кибербезопасность для нефтегазовой отрасли достигнут $10 млрд США к 2025 г.
• Исследователи из Citadel недавно разработали DNN, которая может обнаруживать тип кибератаки, известный как усиление DSN распределенного отказа в обслуживании (DDoS), а затем использовали два разных алгоритма для создания враждебных примеров, которые могли бы обмануть их DNN. Их выводы еще раз подтверждают ненадежность методов глубокого обучения для обнаружения DSN-атак и их уязвимость к атакам со стороны противника.
• Согласно выводам, опубликованным в руководстве для менеджеров по найму (ISC)² Cybersecurity, 37% менеджеров считают, что сотрудники начального и младшего звена по кибербезопасности готовы самостоятельно справляться с заданиями в течение шести месяцев.  67% говорят, что новичкам требуется до девяти месяцев, чтобы научиться работать самостоятельно.
• Согласно опросу Panaseer,  крупнейшие выплаты киберстраховщикам за последние два года составили в среднем £3,26 млн  в Великобритании и $3,52 млн в США. Опрос показал, что 82% ожидают продолжения роста премий, при этом 74% страховщиков согласны с тем, что их неспособность точно понять состояние безопасности клиента влияет на рост цен.
• Атаки спекулятивного выполнения продолжают оставаться серьезной угрозой для современных процессоров. Новое исследование специалистов по кибербезопасности показало, что отрасль пока не может грамотно следовать рекомендациям AMD и Intel по защите от таких атак, что создает риски для цепочек поставок.

Громкие инциденты ИБ

• Международная компания Knauf Group, занимающаяся выпуском различных материалов для строительных работ, пострадала от атаки шифровальщика Black Basta. Инцидент повлиял на бизнес-операции компании, вынудив глобальную ИТ-команду Knauf отключить все ИТ-системы, чтобы сдержать распространение угрозы.
• Внутренние документы Roblox Corporation утекли в сеть. Четыре гигабайта внутренней документации содержат информацию о некоторых из крупнейших игр и их создателях, включая адреса электронной почты, данные учетных записей и различные электронные таблицы, украденные у одного из сотрудников компании.
• Пользователи децентрализованной биржи Uniswap лишились криптовалюты Ethereum на сумму около $8 000 000 в результате фишинговой атаки, которая затронула многих криптовалютных инвесторов их и цифровые активы.
• В даркнет выложили базу данных транспортной компании СДЭК. В открытый доступ попали минимум 330 тысяч клиентов экспресс-доставки. В базе имена, телефоны, почтовые и электронные адреса, треки доставки и пункты самовывоза.
• В рамках новой фишинговой кампании с обратным звонком хакер выдал себя за CrowdStrike, чтобы предупредить получателя о том, что кто-то взломал рабочую станцию пользователя и требуется тщательный аудит безопасности.
• Хакеры атаковали сервера компании Bandai Namco и заявили, что сумели завладеть конфиденциальными данными компании. По утверждению злоумышленников, им также удалось получить доступ к сведениям об играх, которые находятся в стадии разработки.
• Найден способ взлома практически любого автомобиля Honda с помощью уязвимости, которая позволяет перехватить сигнал с брелока охранной сигнализации и затем повторить его. Хакеры назвали данную атаку Rolling Pwn.

Обзор событий предстоящих недель 25.07 – 05.08

Онлайн-конференции

28 июля – Интеллектуальное онлайн-шоу Газинформсервис: Киберарена.

Вебинары

27 июля, 11:00 – Вебинар Ростелеком-Солар: Поощрять нельзя наказывать. Big Data для повышения вовлеченности сотрудников;

28 июля, 11:00 – Вебинар Ростелеком-Солар: Топ-5 типов атак на электронную почту в 2022 году;

29 июня, 11:00 – Вебинар Ростелеком-Солар: Как обеспечить защищенный выход в интернет для филиальной сети;

4 августа – Вебинар Гротек: Кибербезопасность цифрового предприятия.