Дайджест ИБ №248 за период с 17 по 28 октября 2022

Дайджест ИБ №248 за период с 17 по 28 октября 2022
28.10.2022

Новости законодательства

  • Опубликован приказ ФСТЭК, предусматривающий сокращение сроков сертификации средств защиты информации. Сокращаются следующие сроки: рассмотрения заявки на сертификацию СЗИ, разработки и утверждения программы и методик сертификационных испытаний СЗИ, устранение недостатков, выявленных ФСТЭК России при рассмотрении материалов по сертификации СЗИ, а также внесения изменений в сертифицированное СЗИ.

  • В первом чтении принят законопроект, по которому предлагается ввести штрафы за предоставление неактуальных или недостоверных сведений, в том числе о категорировании объектов КИИ для внесения в реестр значимых объектов КИИ, а также за повторное непредставление данных.

Новости ИБ

Интересные посты русскоязычных блогов по ИБ

  • Для того, чтобы определиться с выбором антифрод-системы, нужно ответить на массу вопросов. Антон Окошкин, директор центра разработки Bi.Zone, собрал десять самых распространённых вопросов заказчиков, которые возникали при выборе антифрод-платформы, и подготовил ответы на них.

  • В блоге R-Vision на Хабр вышла новая статья об обходе UAC и методах его детектирования. Сама техника активно используется большим количеством вредоносного ПО, поэтому эксперты R-Vision провели разбор многочисленных рабочих методов UAC Bypass, а затем на основании этого разбора представили собственную классификацию, отражающую возможные варианты детектирования данной атаки.

  • Автор в своем блоге на Хабр поделился решением задачи – как  спрятать строку в исполняемом файле, чтобы "обратный инженер" не смог ее найти. Он продемонстрировал, как написать программу с динамически загружаемой функцией, но сделать это на максимальном уровне сложности используя только Netwide Assembler (NASM).

  • Security Data Lake – не типовые хранилища данных. В будущем они могут стать инструментами, которые поднимут безопасность компаний на более высокий уровень. Игорь Новиков рассказал, чем «озера данных» отличаются от обычного облачного хранилища данных и какие вендоры занимаются этим направлением.

Интересные посты англоязычных блогов по ИБ

  • Антон Чувакин затронул тему миграции в облако SIEM и различных подходов к хранению данных из старого SIEM (при переходе на новый). Автор предложил варианты как можно недорого хранить файлы журналов безопасности в течение длительного периода времени, сохраняя при этом разумную функциональность, подобную SIEM.

  • Matthew Stephen поделился набором лучших практик реагирования на облачные инциденты. Автор подчеркнул важность понимания различий между облачной и локальной средами, а также модели общей ответственности и привел 7 важнейших шагов по реагированию.

  • В библиотеке базы данных SQLite (с 1.0.12 по 3.39.1) была обнаружена уязвимость 22-летней давности – CVE-2022-35737. Ошибка представляет собой проблему переполнения границ массива. Автор Андреас Келлас подробно описал уязвимость и сообщил, что баг существует с октября 2000 года.

  • Yossi Appleboum, генеральный директор Sepio, рассказал о проблемах управления рисками активов в различных отраслях и о том, куда это движется. По его мнению, первое, что нужно сделать предприятиям — это вернуться к основам и сосредоточиться на прозрачности и понимании рисков.

Исследования и аналитика

  • Специалисты Group-IB выпустили аналитический отчет  OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес. На данный момент OldGremlin атакует исключительно российские цели, однако, исследователи считают, что аппетиты группировки могут иметь более широкую географию.

  • Согласно новому отчету  Group-IB, мошенники использовали вредоносное ПО для PoS-терминалов и украли 167 тыс. платежных записей на сумму более $3 млн, при этом большинство кредитных карт были выпущены в США. Злоумышленники собрали записи о платежах с 212 зараженных PoS-устройств в США.

  • Команда GReAT Лаборатории Касперского опубликовала отчет о  DiceyF  о продвинутой системе постоянных угроз, нацеленной на онлайн-казино и их среду разработки в Юго-Восточной Азии.

  • Компания CloudSphere опубликовала результаты своего исследования EOL Management and Risk for IT Assets, которое показывает, насколько люди уверены в том, какие приложения с окончанием жизненного цикла (EOL) или близкие к EOL представляют значительный риск для бизнеса.

  • В первой половине 2022 года количество DDoS-атак увеличилось на 75,6% по сравнению со второй половиной 2021 года, согласно новому исследованию Nexusguard, опубликованному в отчете компании DDoS Statistical Report for 1HY 2022.

  • Группа разведки угроз PAN Unit42 опубликовала  отчет о Ransom Cartel – группе вымогателей данных, которая появилась в декабре 2021 года и которая, по мнению исследователей, может быть прикрытием для старой группы вымогателей REvil.

  • Исследователи CYFIRMA отметили  всплеск  вредоносных операций, использующих Prynt infostealer, направленных на кражу конфиденциальной информации. Такие инфостилеры используются для извлечения информации в качестве первого шага, ведущего к организации сложных атак, которые могут включать развертывание программ-вымогателей.

  • Согласно новому отчету Trend Micro, после короткого перерыва группировка Black Basta возобновила распространение вредоносного ПО QAKBOT. В обнаруженной кампании злоумышленники распространяют QAKBOT через SmokeLoader, Emotet и вредоносный спам, а затем развертывают фреймворк Brute Ratel в качестве полезной нагрузки второго этапа.

  • Исследователи Trend Micro также представили исследование с результатами оценки защищенности станков с ЧПУ. Эксперты проанализировали решения от Haas, Okuma, Heidenhain и Fanuc, которые используются на производстве по всему миру. Как выяснилось, станки уязвимы для более десятка типов атак.

  • Известный банковский троян Ursnif превращается в универсальный бэкдор, лишенный типичной для банкеров функциональности. Теперь его операторы намерены сосредоточиться на распространении шифровальщиков и краже данных. Согласно Mandiant, изменение произошло в начале этого года, когда разработчики URSNIF начали распространять новую версию URSNIF, отслеживаемую под кодовым названием LDR4.

  • Фирма Sonatype, занимающаяся безопасностью DevOps, заявила, что в 2022 году обнаружила 97 334 вредоносных библиотеки в нескольких экосистемах программирования. Это число увеличилось с примерно 12 000 в прошлом году, что составляет почти 633% инцидентов в течение календарного года, заявили отчете компании о состоянии цепочки поставок программного обеспечения.

  • Исследователи безопасности из SafeBreach Labs обнаружили новый бэкдор PowerShell, который смог обойти десятки сканеров вредоносных программ, используемых VirusTotal. Скрытность инструмента делает его статус "полностью необнаруживаемым". Исследователи считают, что он был использован для обнаружения около 100 жертв.

  • 96% загрузок Java с открытым исходным кодом с известными уязвимостями кибербезопасности можно было бы избежать, поскольку была доступна лучшая версия, но она не использовалась. Ежегодный отчет о состоянии цепочки поставок программного обеспечения от Sonatype выявил массовый всплеск предложения открытого исходного кода, спроса и злонамеренных атак в дополнение к устаревшим загрузкам с открытым исходным кодом, что привело к эксплуатации уязвимостей.

  • Авторы атак с участием BlackByte начали использовать новый кастомный инструмент — Exbyte. В Symantec изучили новинку и выяснили, что она позволяет выгружать данные из Windows-систем на удаленный сервер и столь же умело уклоняется от анализа, как и сам шифровальщик.Был опубликован новый отчет правительства Великобритании, в котором анализируется, как борются с онлайн-мошенничеством. В отчете депутаты обвинили правоохранительные органы, и призвали правительство направить больше ресурсов на борьбу с «эпидемией мошенничества» в стране.

  • Согласно исследованию работников, руководителей высшего звена и бизнес-лидеров, а также директоров по информационной безопасности, проведенному Encore, половина сотрудников может уволиться после кибератаки и только треть заявила, что останутся. При этом значительное число бизнес-лидеров либо не могут быть открытыми в отношении своих сотрудников, либо потенциально даже скрывают бреши в системе безопасности.

  • В последнем отчете CheckPoint о фишинге брендов за третий квартал 2022 года представлены бренды, которые преступники чаще всего имитировали в своих попытках украсть личную информацию или платежные данные физических лиц в июле, августе и сентябре. Транспортная компания DHL заняла первое место в третьем квартале, на ее долю приходится 22 % всех попыток фишинга во всем мире.

  • Согласно последнему отчету компании по кибербезопасности Digital Shadows, количество атак программ-вымогателей в третьем квартале 2022 года снизилось на 10,5% по сравнению со вторым кварталом. Отчасти это было вызвано внезапным прекращением деятельности группы  Conti, а также реорганизацией ведущих групп в июле и августе.

  • Компания Torii опубликовала отчет The State of SaaS At Work Report: Collaboration in a Distributed Workplace. Он показывает, что 60% ИТ-специалистов находятся в неведении, когда дело доходит до экосистемы облачных приложений, и лишь небольшая часть сотрудничает с другими ключевыми командами в вопросах контроля затрат, защиты данных и реагирования на меняющиеся условия бизнеса.

Громкие инциденты ИБ

  • Организация по атомной энергии Ирана сообщила, что почтовые серверы одного из ее дочерних подразделений были взломаны. Ранее хакерская группа Black Reward опубликовала украденные данные в сети, заявив, что в общей сложности похитила более 100 000 сообщений и 50 ГБ информации.

  • Компания Microsoft предупредила, что некоторая конфиденциальная информация ее клиентов могла быть раскрыта из-за неправильно настроенного сервера, доступного через интернет. Утечку обнаружили специалисты компании SOCRadar, после чего проблемный сервер защитили должным образом.

  • Австралийская страховая компания Medibank подтвердила атаку программы-вымогателя. В результате была нарушена работа онлайн-сервисов и IT-инфраструктуры компании.

  • Одна из крупнейших телекоммуникационных компаний мира Verizon уведомила некоторых клиентов о том, что их учетные записи были скомпрометированы, а телефонные номера могли быть украдены мошенниками посредством подмены SIM-карт.

  • Стало известно об утечке данных дочерней компании Woolworths. В Сеть попали данные 2,2 млн клиентов сервиса MyDeal, предназначенного для связи австралийских ритейлеров с онлайн-покупателями.

  • Операторы вымогательского ПО LockBit 3.0 атаковали японскую компанию Oomiya, которая специализируется на проектировании и разработке микроэлектроники и системного оборудования. Злоумышленники грозятся выгрузить данные в сеть, если компания не заплатит выкуп.

  • Одна из крупнейших энергетических компаний в Индии, Tata Power Company Limited, сообщила, что подверглась кибератаке. Инцидент затронул только «некоторые из ИТ-систем», а критическая инфраструктура не пострадала.

  • Хакерская группа KillNet взяла на себя ответственность за  серию DDoS-атак, поразивших и уничтоживших несколько болгарских правительственных порталов, в том числе веб-сайты президента Болгарии и нескольких министерств – МВД и обороны.

Обзор событий предстоящих недель 31.10 - 11.11

Оффлайн-мероприятия

Онлайн-конференции

Вебинары

Поделиться:

Подпишись и узнавай больше

Каждый месяц мы собираем для вас главные новости из мира ИБ