Дайджест ИБ №251 за период с 28 ноября по 9 декабря 2022

Новости законодательства

• Минцифры представило законопроект, который вводит более жесткую ответственность компаний за утечки биометрии и данных нескольких «специальных категорий».

Новости ИБ

• Разработчики FreeBSD выпустили обновление для устранения критической уязвимости в утилите ping, которая отслеживается как CVE-2022-23093 и может быть использована для удаленного выполнения кода. Брешь в защите вызвана переполнением буфера при обработке входящих ICMP-сообщений.

• Правительство Швейцарии попросило парламент утвердить закон, который создаст правовую основу для обязательств по предоставлению отчетов о кибератаках и определит задачи Национального центра кибербезопасности как центрального органа по контролю за киберпространством.

• Специалисты компании Confiant обнаружили, что группа хакеров использует устаревшие домены для того, чтобы обходить инструменты защиты и проводить мошеннические кампании.

• Исследователи из Cyble Research and Intelligence Labs нашли новое вредоносное ПО DuckLogs, распространяющееся на теневых площадках как MaaS по достаточно низким ценам. DuckLogs предоставляется злоумышленникам в виде веб-интерфейса, с помощью которого производится управление и мониторинг жертв. Создатели DuckLogs утверждают, что их платформой пользуются более 2000 хакеров.

• Команда Legit Security обнаружила, что злоумышленник отправляет изменения в репозитории с открытым исходным кодом на GitHub. По словам экспертов, эта уязвимость «отравления артефактов» может повлиять на программные проекты, использующие GitHub Actions, путем запуска процесса сборки в тот момент, когда изменение обнаружено в программной зависимости.

• Появилась новая вредоносная программа - CryWiper. Зловред действует, как шифровальщик: преобразует файлы, а затем требует выкуп. Однако оказалось, что платеж не поможет вернуть данные, так как они стерты. Атаки CryWiper уже зафиксированы в нескольких регионах России.

• Специалисты по кибербезопасности Group-IB предупредили о новом потоке фишинговых атак, поддельных мобильных приложений и вредоносных сайтов, которые имитируют официальные приложения и веб-ресурсы, связанные с проходящим в Катаре Чемпионатом мира по футболу.

• Эксперты компании Sysdig зафиксировали, что более 1600 образов в Docker Hub демонстрируют различное вредоносное поведение. В них могут скрываться майнеры криптовалюты, встроенные секреты, которые можно использовать в качестве бэкдоров, малварь для компрометации DNS и редиректоры для сайтов.

Интересные посты русскоязычных блогов по ИБ

• Юрий Сергеев, основатель и управляющий партнер Swordfish Security, в своей статье рассмотрел наиболее актуальные практики безопасной разработки DevSecOps с точки зрения современных запросов индустрии. Автор поделился собственным взглядом на тренды отрасли и подчеркнул векторы развития в текущих реалиях.

• Алексей Лукацкий в своем блоге раскрыл вопрос, касающийся визуализации векторов атак и топологии защищаемой сети. Автор отметил, что представление в форме графа позволяет акцентировать внимание на нужных аспектах, масштабировать картину с нужной точностью, быстро выявлять различные аномалии и слабые места.

• Андрей Письменный, главный редактор Xakep.ru, рассказал о том, как анализировать программы для x86 с нуля. Он утверждает, что исследование исполняемого файла можно разделить на три этапа: поверхностный, глубокий и хирургический. В своей статье автор описал все три этапа и для наглядности взломал несложную защиту.

• Команда компании Бастион в своей статье раскрыла 20+ хакерских операционных систем для атаки и защиты. Существует огромное разнообразие Linux-дистрибутивов, и среди условных BolgenOS немало проектов со своим видением, фичами и активной поддержкой, которые неизвестны даже некоторым опытным пентестерам.

Интересные посты англоязычных блогов по ИБ

• Исследователь безопасности Equinix Уильям Томас  написал  статью о том, как можно обнаружить инфраструктуру Infostealer, используя поисковые системы IoT для снятия отпечатков их панелей управления.

• Ramil Khantimirov, генеральный директор и соучредитель StormWall, поделился своим мнением о мировых тенденциях, влияющих на DDoS-атаки, мотивах современных хакеров и основных угрозах, связанных с DDoS-атаками.

• Robin Brattel поделился опытом, как найти скрытые утечки данных и выявить угрозы в цепочке поставок. Данная статья объясняет, как нарушения могут оставаться скрытыми, увеличивают ли отношения с поставщиками ваш риск и как оценить воздействие на всю цепочку поставок.

• Исследователи компании Legit Security выпустили рекомендацию об уязвимости, обнаруженной в рабочей среде разработки программного обеспечения GitHub. Было обнаружено, что факт отправки хакером изменения в репозиторий с открытым исходным кодом на GitHub, может привести к тому, что нижестоящие программные проекты будут компилировать обновления с вредоносным кодом. 

Исследования и аналитика

• Solar Интеграция провела исследование удовлетворенности специалистов и руководителей российскими технологиями кибербезопасности. Каждая вторая организация в России обращает внимание на наличие API при выборе отечественных средств защиты. В то же время, 23% отмечает необходимость доработки решений именно в этой области. В 45% случаев сложности связаны с отсутствием их совместимости с последними версиями российских ОС и платформ виртуализации. 36% опрошенных заявляют о проблемах производительности решений.

• InfoWatch подготовил отчет по результатам исследования утечек конфиденциальной информации в сфере здравоохранения за 9 месяцев 2022 г. в сравнении с 9 месяцами 2021 г. Согласно выводам, утечек данных из медицинских учреждений в РФ становится меньше, однако объем скомпрометированной информации существенно растет.

• Опубликована статистика Kaspersky Security Bulletin 2022. В течение года 15,37% компьютеров интернет-пользователей в мире хотя бы один раз подверглись веб-атаке класса Malware, зафиксировано 101 612 333 уникальных вредоносных URL, на которых происходило срабатывание веб-антивируса, а отчетный период майнеры атаковали 1 392 398 уникальных пользователей.

• В Positive Technologies проанализировали кибератаки III квартала 2022 года. По данным исследования, число атак увеличилось на 10% по сравнению со II кварталом. Эксперты отметили существенный рост доли использования вредоносного ПО для атак на операционную систему Linux, а также рост популярности наборов для проведения фишинговых атак.

• MIT Technology Review Insights опубликовал Индекс киберзащиты 2022-2023. Индекс измеряет степень, в которой страны внедрили технологические практики, повышающие устойчивость к кибератакам, и то, насколько хорошо правительства и политические структуры способствуют безопасным цифровым транзакциям. Возглавляют список за год Австралия, Нидерланды и Южная Корея.

• Google Cloud заявила, что половина из 500 компаний, опрошенных в  отчете,  опубликованном на прошлой неделе, сталкивались как минимум с одним инцидентом безопасности API за последние 12 месяцев. Кроме того, в том же опросе неправильное конфигурирование определяется как основная угроза инфраструктуре API.

• Команда менеджера паролей NordPass подготовила ежегодную статистику, проанализировав самые используемые и слабые пароли 2022 года. В NordPass составили список из 200 самых распространенных паролей и установили, что «password» - это по-прежнему самый популярный из них.

• Elastic выпустила отчет Elastic Global Threat Report за 2022 год, в котором подробно описывается растущая изощренность атак, связанных с облаком и конечными точками. 33% атак в облаке используют доступ к учетным данным, что указывает на то, что пользователи часто переоценивают безопасность своих облачных сред и не могут должным образом настроить и защитить их.

• Исследователи Check Point Research проанализировали файлы, которые продаются в Dark Web, продавцы которых утверждают, что они получены от пользователей WhatsApp. В итоге было обнаружено, что утечка включает 360 млн телефонных номеров из 108 стран.

• В связи с тем, что все больше и больше утечек данных затрагивают предприятия по всему миру, Сингапурская группа реагирования на компьютерные чрезвычайные ситуации выпустила отчет, в котором задокументированы важные выводы, связанные с этой тенденцией. В отчете освещаются наиболее распространенные причины утечек данных и способы их предотвращения, а также приводится список крупных утечек данных за последнее десятилетие, включая Sony Pictures в 2014 году, Yahoo в 2016 году и Optus в этом году.

• По мере того, как количество нового небезопасного для памяти кода, входящего в Android, уменьшилось, уменьшилось и количество уязвимостей, связанных с безопасностью памяти. По данным Google, с 2019 по 2022 год он упал с 76% до 35% от общего числа уязвимостей Android. 2022 год - это первый год, когда уязвимости безопасности памяти не составляют большую часть уязвимостей Android.

• Исследование Georgia State University показывает, что украденные информационные продукты проходят через цепочку поставок, состоящую из производителей, оптовиков и потребителей, включая преступные организации. По данным с 30 подпольных рынков даркнета в течение восьми месяцев, киберпреступники заработали около $140 млн на продаже украденных данных.

• McAfee поделилась своими прогнозами угроз на 2023 год, а также идеями и советами, которые помогут с уверенностью пользоваться грядущими достижениями. По мнению экспертов, ИИ будет главным мейнстримом, что приведет к увеличению дезинформации. Стоит ожидать роста мошенничества с криптовалютой и инвестициями, роста угроз ChromeOS и Web3.

Громкие инциденты ИБ

• Индийская ИБ-компания CloudSEK сообщила, что неизвестные хакеры получили доступ к ее серверу Confluence, используя украденные учетные данные от аккаунта Jira одного из сотрудников. В руки киберпреступников попали внутренняя и учебная документация, страницы Confluence, а также скрипты для автоматизации с открытым исходным кодом, подключенные к Jira.

• Больница Андрэ Миньо в Версале подверглась атаке шифровальщика, из-за которой специалисты были вынуждены отключить компьютерные и телефонные системы, а врачам пришлось отменять операции и переводить некоторых пациентов в другие медицинские учреждения.

• Российская сеть электроники DNS подтвердила информацию об утечке данных клиентов и сотрудников. В компании заявили, что «уже нашли пробелы» в защите информационной инфраструктуры, ведутся работы по усилению информационной безопасности в организации.

• Операторы шифровальщика Ragnar Locker обнародовали на своем «сайте для утечек» данные, украденные из полицейского подразделения бельгийской провинции Антверпен. Эта утечка одна из крупнейших в истории страны, так как затронула все данные полиции Звейндрехта с 2006 по сентябрь 2022 года.

• Информация о 5.4 млн пользователей Twitter, украденная с помощью уязвимости API, была размещена на хакерском форуме. Утекшие данные включают как общедоступную информацию, так и номера телефонов с email-адресами.

• В Сети продается база данных почти 500 млн пользователей WhatsApp. Она подлинная и содержит номера телефонов, по которым можно узнать ФИО владельца. Архив содержит информацию о почти 10 млн телефонных номерах российских сотовых операторов.

Обзор событий предстоящих недель 12.12 - 23.12

Онлайн-конференции

• 14 декабря, 11:00 – Онлайн-конференция AM Live: Аппаратное обеспечение для российского ИБ;

• 14 декабря, 12:00 – Онлайн-конференция NGENIX: Icebreaker 2022.

Вебинары

• 13 декабря, 14:00 – Вебинар R-Vision EVO: обзор возможностей экосистемы.

• 13 декабря, 11:00 – Вебинар Ростелеком-Солар: Как искать поведенческие аномалии в компаниях с филиальной сетью;

• 13 декабря – Вебинар Secuteck: Технологии защиты периметра для объектов ТЭК, нефтегаза и промышленности.