Дайджест ИБ №253 за период с 2 по 20 января 2023 года

Новости законодательства

• Роскомнадзор наделили полномочиями без проведения проверок возбуждать дела по ряду административных правонарушений. Соответствующий закон № 625 вступил в силу 29 декабря 2022 года. Изменения в законодательстве позволяют ускорить пресечение опасных для граждан нарушений в сфере информации, связи и обработки данных.

• Опубликовано постановление правительства о трансграничной передачи персональных данных. Документ описывает случаи, когда Роскомнадзор может запретить пе­реда­чу ПДн за ру­беж. Правила вступят в силу с 1 марта.

Новости ИБ

• Специалисты предупредили, что более 4000 устройств Sophos Firewall, доступные через интернет, все еще уязвимы перед критическим багом, патч для которого вышел еще осенью 2022 года.

• Несколько уязвимостей, затрагивающих промышленные маршрутизаторы InHand Networks, позволяют хакерам обойти системы безопасности и получить доступ к внутренним сетям оперативного технологического управления (Internal OT Networks) прямо из Интернета.

• Компания Fortinet объявила о том, что неизвестная группировка злоумышленников активно эксплуатирует критическую уязвимость в программной оболочке аппаратного VPN-решения компании FortiOS SSL-VPN. Жертвами атак стал ряд государственных органов.

• Почти 12 тыс. мошеннических сайтов было удалено или заблокировано в 2022 году. Чаще всего злоумышленники использовали сайты, которые выдают себя за официальные площадки финансовых организаций или интернет-магазинов.

• Корпорация Microsoft выпустила патчи для 98 различных уязвимостей, среди которых эксплуатируемые бреши CVE-2023-21674 и CVE-2023-21549. Например, CVE-2023-21674 использовался злоумышленниками в реальных атаках для повышения привилегий до уровня SYSTEM и побега из песочницы браузера.

• Ряд популярных антивирусов для Windows содержал уязвимость, которая могла привести к повышению прав в системе. Среди затронутых продуктов: Norton Antivirus Windows Eraser Engine, Avira Security, Avast Antivirus и AVG Antivirus.

• Минцифры России рассчитывает к 2024 году довести уровень цифровой грамотности жителей страны до 75%. Одним из проектов по достижению данной цели станет новый сезон просветительского проекта в сфере цифровой грамотности и кибербезопасности "Цифровой ликбез", проводимый VK и АНО "Цифровая экономика".

• Специалисты компании Bitdefender выпустили бесплатный дешифратор для файлов, пострадавших в ходе атак программы-вымогателя MegaCortex. Все желающие могут теперь воспользоваться декриптором, скачав его с официального сайта.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий привел 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству. Отчеты все разные, но у них есть общее — это обзор инициатив/программ ИБ, которые должны соотноситься с целями бизнеса.

• Диана Кожушок, аналитик-исследователь киберугроз R-Vision, в блоге на Хабр опубликовала первую часть статьи с исследованием атаки DCSynс и возможными способами ее детектирования. В публикации Диана подробно рассказала о механизмах работы DCSync и рассмотрела инструменты, используемые злоумышленниками для реализации этой атаки.

• История с донесением до руководства темы с инцидентами всегда не очень простая, поэтому и презентация этой темы обычно не очень детальная. Алексей Лукацкий делится опытом иностранных CISO и списком возможных вопросов на докладах о критичных инцидентах.

• Автор Наталья Храмцовская проанализировала опубликованный Национальным Архивом США бюллетень, расширяющий сферу применения метода «верхушки пирамиды» (Capstone) на электронные сообщения. Данный бюллетень является важным очередным шагом по обеспечению надлежащего управления электронной перепиской федеральных органов исполнительной власти, а также поддерживает исполнение «Закона об обеспечении сохранности электронных сообщений» от 2021 года.

Интересные посты англоязычных блогов по ИБ

• Riley Ryan, директор по IT-безопасности компании Shure, предложил свой вариант прогнозов безопасности на 2023 год. Тактика атакующих будет развиваться, вместе с ними будут развиваться и стратегии защиты, а организации будут стремиться к комплексной безопасности. В новом году автор ожидает больше атак на цепочки поставок программного обеспечения, развитие зонтичных сервисов, упрощение обратной связи и отчетности.

• Что принесет новый год сообществу ИБ рассказала и  Diana-Lynn Contesti (CISSP-ISSAP, ISSMP, CSSLP, SSCP). По ее мнению, ожидается нехватка кадров ИБ, увеличение количества атак, всплеск дипфейкового фишинга и программ-очистителей. Во всем мире будут приняты новые правила и законы о конфиденциальности данных для защиты информации потребителей.

• Help Net Security опубликовали статью Джексона Шоу, посвященную 4 трендам 2023 года в сфере безопасности идентификации. Среди них были рассмотрены вопросы роста использования облачных технологий и атак на основе идентификации, консолидации поставщиков решений для управления идентификацией и другие.

• Zeljka Zorz рассказала о выявлении недостатков безопасности с помощью современного метода фаззинга. В статье описано, как исследователи нашли две недавно исправленные уязвимости в криптографических библиотеках MatrixSSL и wolfSSL, библиотеках TLS/SSL с открытым исходным кодом для встраиваемых сред.

Исследования и аналитика

• В прошедшем году безопасность информационных систем корпораций и государственных структур была как никогда значима, и в 2023-м она не станет менее важной. В рамках Kaspersky Security Bulletin команды DFI и DFIR подготовили обзор угроз, которые будут актуальны для этого сегмента.

• По данным глобального опроса Лаборатории Касперского, 62% топ-менеджеров  признают, что недопонимание с IT- или ИБ-отделом привело как минимум к одному инциденту в их организациях. Также 67% респондентов подтвердили, что проблемы с коммуникацией серьёзно задерживали реализацию проектов в области кибербезопасности.

• По данным аналитического отчета Лаборатории Касперского, как минимум 730 организаций по всему миру пострадали от таргетированных атак шифровальщиков в четвёртом квартале 2022 года. Наибольшее число атак было проведено LockBit. Среди целей группы - компании из отраслей авиации, энергетики, консультационных услуг. География жертв также разнообразна: США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы.

• Исследователи K7 Security Labs обнаружили злоумышленников, предположительно базирующихся в КНР, которые используют Windows Problem Reporting (WerFault.exe) для запуска инструментов удаленного администрирования. Хакеры злоупотребляют WerFault.exe для Windows для загрузки вредоносного ПО в скомпрометированную системную память, используя метод боковой загрузки DLL.

• Fortinet опубликовала  отчет  о новых семействах программ-вымогателей, обнаруженных за последние несколько недель. В них входят: Monti, BlackHunt и Putin.

• Исследователи ThreatFabric говорят, что зафиксировали всплеск обнаружений Android-трояна SpyNote (SpyMax) в последнем квартале 2022 года. Это семейство представляет собой уникальное шпионское ПО, предназначенное для тайного наблюдения за действиями пользователя на устройстве Android. Вредоносная программа SpyNote может отслеживать, управлять и изменять ресурсы и функции устройства, а также возможности удаленного доступа.

• В отчете безопасности веб-приложений Sam Curry – Веб-хакеры против автомобильной промышленности – исследователи обнаружили широкий спектр сбоев в системе безопасности в системах, на которые полагались 16 отдельных автопроизводителей и которые питали миллионы автомобилей. Неисправности включают в себя уязвимые системы единого входа и недостатки веб-приложений, которые позволили исследователям удаленно управлять блокировкой и разблокировкой транспортных средств, запускать и останавливать двигатели и определять местоположение транспортных средств с помощью GPS.

• Опубликован отчет Google Threat Horizons № 5, основные результаты которого гласят, что идентификация и доверительные отношения в облачных средах и между ними будут становиться все более сложными. А популярными вредоносными программами, используемыми для краткосрочных заражений, по-прежнему будут криптомайнеры.

• Согласно последнему отчету  о глобальных рисках за 2023 год, подготовленному Marsh McLennan и Zurich Insurance Group, конфликты и геоэкономическая напряженность спровоцировали ряд глубоко взаимосвязанных глобальных угроз . Кибератаки на основные технологические ресурсы и услуги, включая сельское хозяйство и водоснабжение, финансовые учреждения, общественную безопасность, транспорт, энергетику, и другую инфраструктуру, по прогнозам, будут увеличиваться вместе с ростом киберпреступности.

• Компания Veracode выпустила отчет  State of Software Security, отвечающий на ключевой вопрос: что можно сделать, чтобы в первую очередь избежать появления недостатков в сфере безопасности? В отчете описаны конкретные шаги, которые нужно предпринять, чтобы минимизировать риски, защитить приложения и соответствовать отраслевым нормам. Дело в том, что согласно исследованию, 70% приложений содержат хотя бы одну уязвимость в системе безопасности после 5 лет работы.

• Согласно результатам опроса Adastra, 77% лиц, принимающих решения в области ИТ в США и Канаде, считают, что их компании могут столкнуться с утечкой данных в течение следующих трех лет. Поскольку возвращение в офис создает дополнительные проблемы с безопасностью данных, аналитики привели 10 советов по минимизации рисков.

• По данным StormWall, по результатам прошедшего 2022 года, Россия оказалась на четвёртом месте в международном рейтинге по общему количеству DDoS-атак, которые были проведены против частных организаций и госструктур. На долю российского бизнеса и госсектора пришлось 8,4% от общего числа DDoS-атак во всех государствах мира.

• В новом отчете компании CyberArk подробно описано, как создавать полиморфные вредоносы с использованием ChatGPT. Вскоре исследователи планируют еще опубликовать часть своей работы «в учебных целях».

• CISA опубликовала свой  годовой обзорный отчет  за 2022 финансовый год. Материал в основном касается работы агентства по национальной защите от кибербезопасности и усилий агентства по объединению задач.

• Компания KELA, специализирующаяся на анализе угроз, опубликовала свой ежегодный отчет о киберпреступности за прошедший год. Согласно исследованию, почти 2800 жертв программ-вымогателей и атак с целью вымогательства, были перечислены на 60 различных сайтах утечки, а 52% из этих новых платформ появились в 2022 году.

Громкие инциденты ИБ

• Почтовый маркетинговый сервис Mailchimp подвергся хакерской атаке, в ходе которой злоумышленники получили доступ к внутреннему инструменту для поддержки клиентов и администрирования учетных записей. Сообщается, что из-за взлома скомпрометированы данные 133 клиентов.

• Группа хактивистов Enlace Hacktivista утверждает, что анонимный источник передал ей ПО и документацию компаний Cellebrite и MSAB, которые предоставляют правоохранительным органам многих стран мира инструменты для взлома мобильных устройств и проведения других киберкриминалистических операций.

• Компания «1С» подтвердила утечку личной информации зарегистрированных пользователей своего образовательного онлайн-сервиса «1С: Урок». В открытом доступе опубликованы ФИО пользователей, их неверифицированные адреса электронной почты и небольшое количество неверифицированных телефонов.

• Разработчики из компании Gen Digital разослали клиентам уведомления об утечке данных. В компании предупредили, что хакеры взламывают учетные записи менеджера паролей Norton Password Manager, используя атаки с подстановкой учетных данных.

• Хакеры получили доступ к системам сберегательной программы Flying Blue компаний KLM и Air France. Авиакомпании предупреждают пострадавших пользователей по электронной почте, что их личные данные могли быть украдены.

• Служба информационных технологий и кибербезопасности Молдовы сообщила о продолжающихся кибератаках на сайты госучреждений. По информации ведомства, на электронные адреса госслужб было отправлено более 1300 скам-сообщений и фишинговых писем.

• Группировка кибервымогателей Play взломала крупного провайдера облачных услуг Rackspace. Злоумышленники проникли в сервис электронной почты, используя эксплойт нулевого дня.

Обзор событий предстоящих недель 23.01 - 03.02

Онлайн-конференции

• 25 января, 11:00 – Онлайн-конференция AM Live: Защита от DDoS: переосмысление опыта и рекомендации на 2023 год.

Вебинары

• 25 января, 10:00 – Вебинар Softline: Как защитить мобильные рабочие места сотрудников от утечек данных с помощью Workspad?;

• 26 января, 11:00 – Вебинар Positive Technologies: Киберустойчивая организация: актуальные вопросы IT-зависимого мира;

• 1 февраля 11:15 – Вебинар ИКС: Комплексная защита вашей ИТ-инфраструктуры: одно решение вместо целого стека ПО.