Дайджест ИБ №245 за период с 5 по 16 сентября 2022

Новости ИБ

• С 1 декабря электронные почты всех российских госучреждений должны создаваться только в национальной доменной зоне. Переход на .рф власти объясняют требованиями информационной безопасности.

• Владимир Путин поручил правительству представить предложения по использованию в РФ иностранного софта, в отношении которого невозможно добросовестное исполнение обязательств.

• По словам заместителя председателя правительства РФ, в каждом российском регионе заработали штабы по борьбе с киберугрозами. Он отметил, что среди "отличников" по кибербезопасности можно выделить Приморский край, Томская область и Кемерово.

• Правоохранительные органы США завершили международную операцию, в результате которой был захвачен контроль над сайтом и доменами подпольного маркетплейса WT1SHOP. На этой торговой площадке продавали ворованные банковские карты, документы, а также миллионы учетных данных.

• Компания PQShield опубликовала технический документ, в котором объясняется, как можно добавить постквантовую криптографию (PQC) в протокол безопасного обмена сообщениями Signal для защиты от квантовых атак.

• Компания Qnap предупредила клиентов о новой волне атак шифровальщика DeadBolt. На этот раз малварь эксплуатировала уязвимость нулевого дня в Photo Station, которую разработчики поспешили исправить.

• Специалисты AT&T обнаружили новое скрытное вредоносное ПО для Linux, позволяющего через эксплойт повысить привилегии и захватить контроль над конечным или IoT-устройством. В настоящее время Shikitega нацелен на установку майнера монеро, однако его можно с легкостью приспособить для доставки и более опасного пейлоада.

• Правительство Японии рассмотрит возможности внедрения системы активной кибербезопасности для защиты критически важных инфраструктур страны, в частности в сфере коммуникаций и энергетики. 

• Эксперты Resecurity обнаружили фишинговую платформу EvilProxy, которая предлагает обратные прокси неквалифицированным злоумышленникам и обещает похитить токены аутентификации для обхода многофакторной аутентификации в Apple, Google, Microsoft, Twitter, GitHub, GoDaddy и т.д.

Интересные посты русскоязычных блогов по ИБ

• Основные аспекты выполнения требований к анализу защищенности ПО и внедрению практик безопасной разработки, актуальные для владельцев ОКИИ, в своей статье разбирает Сергей Деев, эксперт Центра разработки решений по контролю безопасности ПО Solar appScreener компании Ростелеком-Солар.

• В новой статье на Habr эксперты R-Vision рассказали об атаке с применением известной техники Golden Ticket. Коллеги подробно разобрали имеющиеся способы детектирования подобных угроз, выявили существенные минусы, а также предложили свой альтернативный вариант детекта, проверенный на практике.

• В преддверии принятия закона об оборотных штрафах за утечку ПДн Алексей Лукацкий решил обратиться к практике европейского GDPR и оценить, как это влияет на рост уровня ИБ в Евросоюзе.

• Приложение может оказаться уязвимым даже в том случае, если с его кодом всё в порядке. Проблемы в зависимостях найти непросто, а влияние этих проблем на работу приложения может быть огромно. Никита Липинин, автор статьи на Habr рассказал, как определить наличие таких проблемных зависимостей и как с этим помогает SCA.

Интересные посты англоязычных блогов по ИБ

• Автор Todd Boehler поднял в своей статье актуальную проблему управления рисками со стороны третьих лиц. Комплексный подход к исследованию подобного вопроса в процессах риск менеджмента позволяет разработать полный портфель по управлению рисками со стороны поставщиков организации.

• Автор статьи Michael Hill поделился своим видением актуальных угроз, которые представляют встроенные браузеры для безопасности бизнеса. Основной угрозой он считает их склонность отслеживать действия пользователей, включая вводимые формы, такие как пароли и адреса, а также клики по изображениям или ссылкам.

• О необходимости внедрения систем доступа на основе идентификационных данных в объекты КИИ рассказал исполнительный директор компании Cyolo, Almog Apirion. В статье также даны практические советы по внедрению такого рода решений.

• Help Net Security опубликовали список бесплатных онлайн-курсов по информационной безопасности от ведущих университетов США: Стэнфорда, Университета Колорадо и Калифорнийского университета. Курсы специализируются на конкретных предметных областях: Управление безопасностью и соответствие требованиям, Управление и безопасность серверами Windows, Криптография и другие.

Исследования и аналитика

• Инфосистемы Джет опросили более 2000 человек с целью узнать, считают ли они биометрию удобным и безопасным методом идентификации, готовы ли подписать согласие на обработку своих данных и с чем связаны их опасения. Выяснилось, что 38% респондентов не готовы ни под каким предлогом предоставить работодателям свою биометрию. В то же время 53% опрошенных считают технологию удобнее других методов идентификации.

• Специалисты Лаборатории Касперского представили отчет с отражением ландшафта угроз для систем промышленной автоматизации за первое полугодие 2022 года. Как отмечают эксперты, за прошедшие полгода вредоносные объекты блокировались на 31,8% компьютеров АСУ в мире.

• Компания Group-IB зафиксировала летом 2022 года двукратный рост количества выложенных в открытый доступ баз данных российских компаний по сравнению с весной этого года. За три летних месяца в сеть попало 140 баз. Антирекорд был поставлен в августе — 100 утечек. Общее количество строк всех летних сливов, по оценкам экспертов Group-IB, составило 304 млн.

• Компания SearchInform провела исследование практического применения SIEM-систем в российском бизнесе. По данным исследования, SIEM-системами в 2021 году были оснащены от 14% до 25% компаний. Основной акцент во время опроса делался на проблемы эксплуатации и внедрения систем, в т.ч. на субъектах КИИ (58% опрошенных), где применение софта фактически обязательно. Как показал опрос, 2\3 из них не оснащены SIEM-системой.  

• Согласно исследованию Sophos the State of Ransomware in Retail 2022 report, розничная торговля сообщила об увеличении количества атак программ-вымогателей на 75% по сравнению с прошлым годом. 77% организаций пострадали в 2021 году по сравнению с 44% в 2020 году. Увеличение скорости атаки является частью межотраслевой глобальной тенденции. Сектор розничной торговли сообщил о втором по величине уровне атак программ-вымогателей во всех секторах.

• Исследователи Norton Labs выяснили, что 8 из 10 веб-сайтов, на которых присутствует строка для поиска, сливают поисковые запросы посетителей крупным рекламодателям вроде Google. В общей сложности 81,3% из 1 млн проанализированных сайтов сливали пользовательские запросы как минимум одним из способов: 75,8% - через заголовок, 71% - через URL и 21,2% - с помощью отпечатка.

• Компания ESET опубликовала подробный обзор развивающихся угроз удаленного доступа. Неправильно настроенные службы удаленного доступа по-прежнему дают злоумышленникам легкий доступ к корпоративным сетям. Эксперты отметили взрывной рост атак RDP с момента последнего отчета по этой теме в 2020 году и рассказали, как можно свести к минимуму свою подверженность атакам, использующим протокол удаленного рабочего стола.

• Исследователи компании Cybereason опубликовали отчет об  эволюции семейства вредоносных программ PlugX  за последнее десятилетие. Впервые обнаруженная в 2012 году, вредоносная программа первоначально использовалась китайскими APT-группами, а затем с годами распространилась среди более широкой аудитории. В настоящее время вредонос может выполнять функции трояна-загрузчика и удаленного доступа.

• Mandiant опубликовал отчет группе кибершпионажа APT42, которая действует от имени Разведывательной организации Корпуса стражей исламской революции (IRGC-IO). Полный опубликованный  отчет  охватывает недавнюю и историческую деятельность APT42, начиная как минимум с 2015 года, тактику, методы и процедуры группы, схемы нацеливания и разъясняет исторические связи с APT35.

• Исследование Paysafe показало, что 62% людей настолько обеспокоены мошенничеством, что считают его просто неизбежным риском при покупках в Интернете, что является значительным скачком по сравнению с 45%, которые сказали то же самое в 2021 году. Из-за этих опасений 58% не чувствуют себя комфортно при входе в свои финансовые данные онлайн для оплаты товаров и услуг, что является еще одним скачком по сравнению с 44%, которые считали так в 2021 году.

• Компания Barracuda опубликовала четвертый ежегодный отчет об исследовании угроз программ-вымогателей. В нем рассматриваются модели атак программ-вымогателей, которые произошли в период с августа 2021 года по июль 2022 года.  В период с января по июнь количество обнаруженных угроз программ-вымогателей резко возросло и превысило 1,2 млн в месяц.

• Исследователи кибербезопасности ИБ-компании PRODAFT описали ранее недокументированную панель управления ПО, используемого группировкой TA505. По словам экспертов, группа часто меняет свои стратегии атак в зависимости от глобальных тенденций в области киберпреступности. Хакеры внедряют новые технологии, чтобы получить рычаги воздействия на жертв, прежде чем сообщество кибербезопасности заметит их тактику.

• Palo Alto Networks сообщила о том, что выявила серию атак ботнета на основе MooBot против непропатченных устройств D-Link. Зараженные устройства в основном используются для DDoS-атак.

• Исследователи Check Point опубликовали отчет о  DangerousSavanna, кампании вредоносного ПО, нацеленной на финансовые учреждения во франкоязычных африканских странах. Кампания проводится с конца 2020 года и продолжается до сих пор.

• Эксперты компании SentinelOne заявили, что несколько банд вымогателей  использовали прерывистое шифрование или частичное шифрование файлов жертв в качестве технического способа ускорить операции и, возможно, избежать обнаружения инструментами безопасности. Среди этих группировок можно выделить: Qyick, Agenda, BlackCak/ALPHV, Black Basta и PLAY.

• Исследователи Certfa опубликовали обзор операций Charming Kitten APT, сосредоточив внимание на  тактике социальной инженерии группы и особенно на их недавнем методе работы, который вращается вокруг выдачи себя за экспертов по ближневосточным темам для организации аудио- или видеозвонков со своими целями, надеясь заманить их на вредоносные сайты или загрузки вредоносных программ.

Громкие инциденты ИБ

• Злоумышленники получили доступ почти к 200 тыс. аккаунтам пользователей официального веб-сайта бренда одежды для активного отдыха The North Face. Хакерам удалось завладеть аккаунтами с помощью так называемой атаки с заполнением учетных данных.

• Генеральный штаб Вооруженных сил Португалии подвергся хакерской атаке, в ходе которой злоумышленникам удалось похитить секретные документы НАТО. Теперь украденные данные выставили на продажу в даркнете.

• Налоговая служба США по ошибке разместила конфиденциальную информацию о 120 000 физических лиц, прежде чем обнаружила ошибку и удалила данные со своего сайта.

• Представители Samsung сообщили, что еще в конце июля 2022 года системы компании в США были скомпрометированы. Как показало расследование, злоумышленники сумели похитить личные данные клиентов компании.

• Мощная атака кибервымогателей сокрушила IT-системы Объединенного школьного округа Лос-Анджелеса. Атака лишила учителей и учеников доступа к электронной почте, компьютерным системам и приложениям.

• Ведущая гостиничная компания InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) подверглась кибератаке, которая привела к отключению некоторых IT-систем компании.

• Крупнейшая лондонская транспортная компания Go-Ahead подверглась кибератаке. По словам ее представителей, киберинцидент произошел, когда специалисты компании обнаружили постороннюю активность в своей сети.

• Хак-группа Yanluowang опубликовала данные, украденные у компании Cisco. Представители Cisco признали, что утечка данных действительно имела место быть, однако по-прежнему настаивают на том, что инцидент никак не повлиял на бизнес компании.

Обзор событий предстоящих недель 19.09 – 30.09

Оффлайн-конференции

• 22 сентября, Москва – Road Show SearchInform 2022: безопасность в новых реалиях;

• 22-23 сентября, Санкт-Петербург – Профессиональная конференция разработчиков высоконагруженных систем Saint Highload 2022;

• 23 сентября, Москва - BIS Summit 2022;

• 27 сентября, Москва – МедИнфоБез 2022: Первая всероссийская конференция «Информационная безопасность в сфере здравоохранения».

Онлайн-конференции

• 20 сентября, 11:00 – DLP для кадровой безопасности.

Вебинары

• 20 сентября, 11:00 – Вебинар ДиалогНаука: Экосистема Corporate ID для централизованного управления и защиты доступа;

• 21 сентября, 11:15 – Презентация межсетевого экрана ИКС 9.3: обзор новых возможностей;

• 22 сентября, 11:00 – Вебинар RTM Group:  Операционная надёжность и риски – важнейшие нормы в рамках одного вебинара;27 сентября, 11:00 – Вебинар ДиалогНаука: Автоматическая симуляция кибератак в комплексной системе киберзащиты компании;

• 27 сентября, 11:00 – Вебинар Ростелеком-Солар: Знакомство с SAST: как своими силами обеспечить контроль безопасности кода?;

• 29 сентября, 11:00 – Вебинар Ростелеком-Солар: Шифрование каналов связи для различных сфер деятельности на конкретных примерах.