Дайджест ИБ №242 за период с 25 июля по 5 августа 2022

Новости ИБ 

• Исследователи обнаружили уязвимость, которая получила имя ParseThru. Баг затрагивает продукты на базе Go и им можно пользоваться для получения несанкционированного доступа к облачным приложениям.
• Минцифры совместно с представителями ИБ-отрасли запустило всероссийскую программу кибергигиены. Ее цель – привлечение внимания к вопросам кибербезопасности и формирование у граждан навыков безопасного поведения в интернете.
• Спустя неделю после исправлений критической уязвимости в Confluence, возникающей после установки приложения Questions For Confluence, хакеры начали активно использовать уязвимость CVE-2022-26138. Она связана с закодированным паролем для учетной записи пользователя с именем disabledsystemuser.
• Исследователи компании IronNet обнаружили платформу Robin Banks, которая предлагает фишинг как услугу. Фишинг-киты ориентированы на клиентов известных банков и онлайн-сервисов.
• Microsoft предупреждает о кибератаках, в которых злоумышленники используют вредоносные расширения Internet Information Services (IIS) для установки бэкдора на непропатченные Exchange-серверы. Выбор хакеров обусловлен тем, что IIS детектируются реже, чем веб-шеллы.
• Инициатива No More Ransom, благодаря которой жертвы программ-шифровальщиков могут восстановить свои данные, подвело итоги работы за 6 лет. С момента создания количество партнёров программы выросло с 4 до 188, а на сайте стали доступны 136 инструментов для расшифровки файлов. Всего с помощью No More Ransom более чем 1,5 миллиона пользователей по всему миру смогли восстановить свои данные.

Интересные посты русскоязычных блогов по ИБ  

• Компания Бастион поделилась в своем блоге итогами пентеста одного из клиентов-разработчиков автоматизированных систем. В статье авторы рассказали, как неплохо защищенная в техническом плане компания всегда может пострадать из-за фишинговой рассылки.
• В блоге R-Vision на Habr вышла новая статья. На базе данных из отчета «Malicious Cyber Actors Continue to Exploit Log4Shell in VMware Horizon Systems» автор подготовил материал, где рассказал о том, как хакеры эксплуатируют уязвимость Log4Shell для атак на инфраструктуру VMware, и дал рекомендации как минимизировать этот риск.
• Вячеслав Жуйко, Lead команды разработки Audiogram в MTS AI  поделился опытом на примере реальной истории, как установить лицензионную защиту кода на Python и обезопасить данные с помощью HASP.
• Роман Писарев привел разъяснения к Федеральному закону о внесении изменений в ФЗ “О персональных данных” (№ 266 от 14.07.2022). Изменения касаются всех участников процесса — от операторов и сторонних обработчиков персональных данных до регуляторов и органов государственной власти.

Интересные посты англоязычных блогов по ИБ  

• Richard Stiennon, главный аналитик IT-Harvest рассказал об инвестиционном ландшафте информационной безопасности, а также о проблемах, связанных со сбором всех этих данных.
• Shweta Khare рассказала о преимуществах современного решения PAM, которое автоматизировано и специально создано для облака, чтобы помочь упростить управление доступом и повысить эффективность работы.
• На смену современных криптосистем приходят квантовые криптосистемы, использующие квантовые ключи. В статье рассказывается о том, что исследователи создают технологию квантового распределения ключей (QKD)  для коммерциализации квантовой криптографии.
• В короткой презентации Aaron Hartel и Christian Müller из Trufflepig Forensics представили ранние исследования нестабильности данных в памяти по мере того, как структуры данных изменяются от версии к версии.

Исследования и аналитика

• Центр стратегических разработок опубликовал результаты их исследования рынка кибербезопасности за 2021-2022 годы и дал прогноз до 2026 году. По мнению исследователей, рынок может вырасти с 186 млрд до 469 млрд руб. с учетом влияния геополитических факторов.
• Издание Коммерсант, со ссылкой на экспертов из компании Информзащита, сообщает, что число атак на инфраструктуру российских мобильных приложений увеличилось на 200%. Проблема в том, что половина разработок строится на одном интерфейсе с веб-версией, мобильная версия не проверяется должным образом, и ситуацию усугубляет тренд на скачивание приложений в обход Google Play и App Store – напрямую с сайтов компаний.
• По данным статистики Лаборатории Касперского, в первом полугодии 2022 года злоумышленники стали в 2 раза чаще атаковать российских пользователей, используя уязвимость небезопасной десериализации. Этой угрозе подвержены как пользователи, так и компании. Пик таких атак пришёлся на апрель, когда их количество выросло почти в 3 раза по сравнению с апрелем 2021 года.
• Check Point Research сообщил, что во втором квартале 2022 года наблюдался исторический пик – глобальные кибератаки увеличились на 32%, по сравнению со вторым кварталом 2021 года. Сектор образования/исследований по-прежнему наиболее пострадавшая отрасль, наблюдая рост на 53% по сравнению с прошлым годом. Во всем мире 1 из 40 организаций пострадала от атак программ-вымогателей, что на 59 % больше, чем в прошлом году.
• Согласно недавнему анализу TRM Labs, число кибератак на коллекции NFT в 2022 году неуклонно росло, и только в мае они обошлись сообществу NFT более чем в $22 млн. NFT — это токены на основе блокчейна, которые демонстрируют право собственности на цифровые или физические активы.
• Исследование PaloAlto показало, что у системных администраторов на патчинг уязвимостей остается крайне мало времени. Оказалось, что киберпреступники сканируют уязвимые конечные точки в течение 15 минут с момента публикации данных об очередной CVE.
• В отчете Trend Micro исследователи подтвердили сходство между последней итерацией программы-вымогателя LockBit и BlackMatter. Новая версия LockBit 3.0 была выпущена в июне 2022 года вместе с новым сайтом утечки и первой программой Bug Bounty в дарквебе.
• Согласно Отчету о реагировании на инциденты Unit 42 за 2022 год, уязвимости программного обеспечения остаются ключевым путем первоначального доступа для злоумышленников . Эксперты обнаружили, что они были первоначальным вектором доступа для вторжения в 31% случаев, уступая только фишингу в 37%.
• Недавний опрос Gurucul  показал, что 73,48% организаций считают, что они потратили большую часть своего бюджета на кибербезопасность впустую из-за того, что не смогли устранить угрозы. Несмотря на то, что в их распоряжении было много инструментов безопасности.
• IBM выпустила отчет о стоимости утечки данных The 2022 Cost of a Data Breach Report. В 2022 году эта стоимость достигла рекордно высокого уровня в $4,35 млн.  Затраты на взлом увеличились почти на 13% за последние два года. Результаты доклада, показывают, что эти инциденты также могут способствовать росту стоимости товаров и услуг.
• Согласно исследованию Tonic.ai, 29% предприятий используют незащищенные производственные данные при тестировании и устранении неполадок программного обеспечения своей компании, что увеличивает риск раскрытия информации в случае утечки данных.
• В отчете Recorded Future Bots for Stealing One-Time Passwords Simplify Fraud Schemes подробно описано, как работают боты для обхода одноразовых паролей, как они вписываются в существующие схемы мошенничества и какие угрозы представляют для частных лиц и финансовых учреждений. В отчет также включено руководство о том, как киберпреступники настраивают и используют ботов обхода OTP.
• В анализе Proofpoint говорится о том, что киберпреступники стали использовать макросы на 66% реже в период с октября 2021 года по июнь 2022 года. Это связано с появлением функции безопасности Mark of the Web, которую хакеры пытаются обойти.
• Опрос Panaseer глобальных страховых компаний в Великобритании и США показал, что 82% ожидают продолжения роста премий, при этом 74% страховщиков согласны с тем, что их неспособность точно понять состояние безопасности клиента влияет на рост цен.
• Компания CYTRIO опубликовала результаты независимого исследования, о состоянии готовности компаний соблюдать Закон штата Калифорния о конфиденциальности потребителей (CCPA), Закон о правах на неприкосновенность частной жизни (CPRA) и Общий регламент ЕС по защите данных (GDPR). Результаты показали, что 90% компаний не полностью соблюдают требования CCPA и CPRA к запросам на доступ к данным (DSAR). Кроме того, 95% компаний используют подверженные ошибкам и трудоемкие ручные процессы для выполнения требований GDPR DSAR.
• Согласно статистике компании Coveware, суммы выкупов, выплаченных операторам вымогательской малвари, сокращаются с последнего квартала 2021 года. Во втором квартале 2022 года средний размер выкупа составил $228 125, что на 8% больше, чем в первом квартале 2022 года. Однако медианный размер выкупа равнялся лишь $36 360, что на 51% меньше, чем в предыдущем квартале.
• Компания CloudSEK выявила 3207 мобильных приложений, которые раскрывают ключи Twitter API всем желающим. Это позволяет злоумышленникам захватывать учетные записи пользователей Twitter, связанные с этими приложениями.
• Российские компании подвергаются атакам со стороны неизвестных киберпреступников, использующих новую вредоносную программу Woody, позволяющую удаленно контролировать зараженные устройства и красть с них информацию. Об атаках в своем отчете сообщили специалисты из Malwarebytes.

Громкие инциденты ИБ

• Немецкий производитель силового полупроводникового оборудования Semikron подвергся атаке программы-вымогателя, из-за чего сеть компании оказалась частично зашифрована. Semikron указывает на то, что атака связана с шифровальщиком LV, а злоумышленники утверждают, что украли у компании документы общим объемом 2 ТБ.
• Порядка 8 тыс. кошельков в блокчейн-сети для быстрых транзакций криптовалют Solana подверглись кибератаке хакеров, которые вывели на свои счета сумму, превышающую $5,8 млн.
• Хакеры получили доступ к информационным панелям, используемым для удаленного управления 140 тысячами платежных терминалов кредитных карт, произведенных компанией Wiseasy. Такие платежные терминалы используются в ресторанах, отелях, магазинах и образовательных учреждениях по всему Азиатско-Тихоокеанскому региону.
• Операторы шифровальщика BlackCat взяли на себя ответственность за взлом компании Creos Luxembourg, которая выступает оператором газопровода и электросетей в центральной Европе.
• Ошибка в смарт-контракте стоила криптовалютному мосту Nomad почти $200 000 000, и позволила злоумышленникам совершить то, что эксперты называют «первым в истории децентрализованным массовым ограблением».
• Хакерской атаке подверглись официальные порталы, связанные с программой вакцинации в столичной области Лацио. Их взломали на фоне введения в Италии «зеленых сертификатов».
• Итальянское налоговое управление потеряло 78 ГБ в результате хакерского взлома со стороны группировки Lockbit. Злоумышленники, управляющие одноименным вирусом-вымогателем, опубликовали соответствующее заявление на своем сайте в Darkweb.

Обзор событий предстоящих недель 08.08 – 19.08 

Онлайн-конференции

• 17 августа, 11:00 – Онлайн-конференция Anti-Malware: Управление рисками ИБ;
• 17 августа, 11:00 – Онлайн-конференция Гротек: Управление инцидентами: SOAR, IRP, SOC.

Вебинары

• 11 августа – Вебинар Гротек: Технологии защиты периметра для крупных и распределенных объектов;
• 12 августа – Вебинар Гротек: Антивирусы: заменить нельзя оставить;
• 16 августа – Вебинар Гротек: Новые продукты для информационной безопасности.