Дайджест ИБ №249 за период с 31 октября по 11 ноября 2022

Дайджест ИБ №249 за период с 31 октября по 11 ноября 2022
11.11.2022

Новости ИБ

  • Операторы трояна удаленного доступа RomCom сменили тактику, и теперь малварь распространятся под видом известного софта, включая SolarWinds Network Performance Monitor, менеджер паролей KeePass, PDF Reader Pro, а также Veeam Backup and Recovery.
  • Минцифры потребовало от ряда госкомпаний, госкорпораций и крупных банков отчитаться об использовании VPN-сервисов. В письме, разосланном в госструктуры и банки, Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы они используют или планируют использовать, а также в каких целях они это делают и в каких локациях.
  • Национальный центр кибербезопасности Великобритании сообщил, что его специалисты регулярно сканируют все доступные через интернет устройства в стране, чтобы обнаруживать уязвимости. Цель организации состоит в том, чтобы проанализировать уязвимость, а также помочь владельцам подключенных к интернету девайсов оценить их безопасность.
  • Исследователи из ИБ-компании Avanan обнаружили кампанию, в которой использовался сервис Microsoft Dynamics 365 для кражи учетных данных жертв. Этот продукт позволяет организациям получать отзывы клиентов и используется для проведения опросов об удовлетворенности клиентов.
  • Опубликован PoC-эксплоит для критической уязвимости CVE-2021-39144, затрагивающей гибридную облачную платформу VMware Cloud Foundation и NSX Manager. Так как недавно обнаруженный и исправленный баг получил 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS, разработчики напоминают о необходимости скорейшей установки патчей.
  • Проект OpenSSL выпустил исправления для двух опасных уязвимостей, которые могут привести к отказу в обслуживании и удаленному выполнению кода. Проблемы были описаны как уязвимости переполнения буфера, которые могут быть вызваны во время проверки сертификата X.509 путем предоставления специально созданного адреса электронной почты.
  • Google выпустила экстренное обновление для своего веб-браузера Chrome для устранения седьмой уязвимости нулевого дня в этом году.  Уязвимость позволяет выполнить удаленное выполнение кода, получить доступ к областям памяти, которые могут привести к сбою приложений, или прочитать конфиденциальную информацию других приложений.
  • Правительство Ирландии внесло поправки в законопроект о коммуникациях, добавив пункты, которые позволят ему вносить в черный список поставщиков сетевого оборудования по соображениям национальной безопасности.

Интересные посты русскоязычных блогов по ИБ

  • Игорь Новиков, обозреватель Anti-Malware рассказал, как меняются концепция и технологический стек безопасной разработки приложений (DevSecOps) в России в условиях новой реальности. Автор также объяснил возможно ли провести импортозамещение в этом сегменте, а также какие отечественные средства тестирования, анализа исходного кода и автоматизации существуют на рынке.
  • Антон Кузнецов, ведущий инженер информационной безопасности R-Vision в блоге на Хабр опубликовал первую из серии статей с исследованием свежего вредоносного документа Excel с вновь набирающим популярность трояном Emotet.
  • Автор Анатолий Ализар в блоге на Хабр поделился историей и карьерой хакера-самоучки Михала Залевски, который входит в список самых влиятельных представителей индустрии ИБ. Он построил успешную карьеру от технического специалиста польского интернет-провайдера до директора по информационной безопасности Google.
  • Регулярные выражения – очень полезный и удобный инструмент для поиска и замены текста. В статье на Хабр автор Андрей Москалев раскрыл проблематику того, как регулярные выражения могут привести к зависанию системы или даже стать причиной уязвимости к ReDoS-атакам.

Интересные посты англоязычных блогов по ИБ

  • На портале Help Net Security опубликовано видео Matthew Chiodi, директора компании Cerby, в котором он рассказывает об одной из часто упускаемых из виду областей нулевого доверия: о неуправляемых приложениях. Они, по словам ведущих аналитиков, являются причиной трети всех нарушений безопасности.
  • Joey Stanford рассказал о том, как повлияла недавняя критическая уязвимость log4j на репутацию программного обеспечения с открытым исходным кодом – 10% компаний заявили об отказе использовать Open-source решения. Тем не менее, автор убеждён, что развитие Open-source чрезвычайно важно для будущего IT и призывает организации поддержать подобные проекты.
  • В своей статье Brett Raybould объяснил принцип использования внедрения вредоносных шаблонов в атаках с высокой степенью уклонения от адаптируемых угроз (HEAT-attacks). Он подчеркнул, что использование формата шаблонов особенно привлекательно для злоумышленников тем, что они не содержат следов вредоносных URL-адресов или маркеров эксплойтов и остаются незамеченными, например, при первичной проверке электронных писем.
  • Автор Dan Goodin рассказал о технологии  ключей доступа – keypass, которые относятся к различным схемам хранения аутентификационной информации в аппаратных средствах, и эта концепция существует уже более десяти лет. Microsoft, Apple, Google и консорциум других компаний объединились вокруг единого стандарта ключей доступа, поддерживаемого Альянсом FIDO.

Исследования и аналитика

  • Специалисты Ростелеком-Солар изучили вопрос защищённости софта в российских организациях и пришли к выводу, что 32% компаний не проверяют разрабатываемые и используемые программы на защищённость. 59% опрошенных организаций понимают, что им необходимо усилить процессы мониторинга и устранения уязвимостей, а 24% из них уже предпринимают необходимые меры.
  • Компания Инфосистемы Джет провела исследование особенностей организации служб ИБ в разных сферах бизнеса. Его результаты показали, что 41% опрошенных организаций имеет собственную службу информационной безопасности, подчиненную высшему менеджменту. В 23% случаев служба ИБ подчиняется ИТ-блоку, в 25% — службе безопасности, а 3% имеют иную структуру подчиненности.
  • Лаборатория Касперского выпустила Kaspersky Security Bulletin 2022, в котором исследователи попросили ведущих экспертов спрогнозировать возможное развитие ландшафта угроз в следующем году. Мнения экспертов сходятся на том, что современная индустрия кибербезопасности очень сложна и для борьбы с угрозами, жертвами которых могут стать отдельные пользователи, компании и даже целые страны, необходимо наладить тесное сотрудничество разных организаций.
  • Исследователи Лаборатории Каперского обнаружили новое шпионское ПО SandStrike, которое доставляется через вредоносное VPN-приложение пользователям Android на Ближнем Востоке. Киберпреступники нацелены на людей, которые говорят на персидском языке и являются приверженцами религии бахаи, развитой в Иране и некоторых частях Ближнего Востока.
  • Эксперты Group-IB рассказали о франкоязычной группировке Opera1er, существующей с 2016 года. В период с 2018 по 2022 год эти хакеры похитили не менее $11 млн у банков и поставщиков телекоммуникационных услуг в странах Африки, Азии и Латинской Америки, а фактический ущерб от этих атак оценивается в $30 млн.
  • Компания BigID опубликовала отчет  Cloud Data Security Research Report 2022, который  показал, что 86% организаций используют несколько облачных платформ для хранения своих данных — в рамках IaaS, PaaS и SaaS. Только 4% считают, что все их облачные данные достаточно защищены: более четверти организаций не отслеживают регулируемые данные, почти треть не отслеживают конфиденциальные или внутренние данные, а 45% не отслеживают несекретные данные.
  • Согласно новому отчету компании KELA, в третьем квартале текущего года хакеры продавали доступы к 576 корпоративным сетям по всему миру. Хотя количество предложений осталось примерно тем же, что и в предыдущие два квартала, совокупная стоимость доступов уже достигает $4 000 000. Для сравнения: во втором квартале этот показатель равнялся $660 000.
  • Netwrix объявила о результатах  отчета 2022 Cloud Security Report Healthcare для сектора здравоохранения, в котором говорится, что 61% респондентов в этой отрасли подверглись кибератаке на свою облачную инфраструктуру за последние 12 месяцев. Фишинг был наиболее распространенным типом атак.
  • В своем отчете за третий квартал 2022 года компания Coveware, занимающаяся реагированием на инциденты с программами-вымогателями, обнаружила поворот в сторону программ-вымогателей, нацеленных на сектор здравоохранения — это был второй наиболее пострадавший сектор после профессиональных услуг. Специалисты Coveware частично объяснили это растущим распространением программ-вымогателей Hive, которые атакуют организации здравоохранения, независимо от их влияния на уход за пациентами.
  • Компания Microsoft выпустила свой ежегодный отчет Microsoft Digital Defense Report за 2022 год, в котором представлены тревожные данные об угрозах, с которыми компания столкнулась в прошлом году. Согласно данным, 99% всех атак программ-вымогателей пытаются взломать обнаруженные продукты безопасности и резервного копирования с использованием «инструментов, встроенных в ОС».
  • Компания Ivanti опубликовала результаты отчета Ransomware Index Report Q2-Q3 2022. В документе указано, что количество программ-вымогателей увеличилось более чем в 4 раза с 2019 года. Помимо этого, шифровальщики всё чаще используются в качестве оружия при конфликтах.
  • Специалисты Qrator Labs подготовили статистику о DDoS-атаках и BGP-инцидентах в третьем квартале 2022 года. По их данным, в целом наблюдается спад DDoS-атак, но их интенсивность все равно превышает показатели 2021 года в десятки раз. Исследователи рассказывают, что в этом квартале самая продолжительная из зарегистрированных атак длилась более 1 дня и 20 часов.
  • Согласно новому отчету Sentinel Labs, операторы фреймворка SocGholish за 4 месяца увеличили инфраструктуру на 334%, что позволило им стать практически неуязвимыми к системам защиты.
  • ENISA опубликовала ежегодный отчет Threat Landscape report за период с июля 2021 года по июль 2022 года. По данным отчета, ежемесячно крадется более 10 терабайт данных, и программы-вымогатели по-прежнему считаются одной из основных угроз. Фишинг теперь определяется как наиболее распространенный начальный вектор таких атак. 
  • В своем отчете The Definition of Modern Zero Trust компания Forrester описывает эволюцию нулевого доверия с момента, когда в 2009 г. основное внимание уделялось сегментации сети, до сегодняшнего представления о том, что «защита данных является сердцевиной нулевого доверия». В отчете дается четкое и краткое определение нулевого доверия, чтобы специалисты по безопасности могли прорваться через шум и определить, что такое нулевое доверие, а что нет, и что вы можете сделать для внедрения нулевого доверия в своей организации.

Громкие инциденты ИБ

Обзор событий предстоящих недель 14.11 - 25.11

Оффлайн-мероприятия

Онлайн-конференции

Вебинары

Поделиться:

Подпишись и узнавай больше

Каждый месяц мы собираем для вас главные новости из мира ИБ