Дайджест ИБ №254 за период с 23 января по 3 февраля 2023 года

Новости законодательства

• Опубликован проект Указа Президента «Об утверждении Положения о государственной системе защиты информации в Российской Федерации», который расширяет сферу регулирования ФСТЭК.

• ФСТЭК России опубликовала документ, описывающий рекомендации по повышению защищённости Linux-систем. Они ориентированы в первую очередь на госучреждения и объекты КИИ. 

• ФСТЭК России также сообщила об утверждении Требований по безопасности информации к средствам виртуализации.

• В Госдуме опубликован законопроект, который предусматривает защиту некоммерческих организаций от кибератак. В рамках законопроекта НКО смогут бесплатно размещать свои информационные ресурсы и базы данных на защищенных серверах и получить доступ к бесплатному конструктору сайтов "Госвебу".

• С 1 февраля 2023 года вступили в действие Стандарты безопасности финансовых (банковских) организаций: «Управление риском реализации информационных угроз и обеспечение информационной надежности» и «Обеспечение информационной надежности. Базовый состав организационных и технических мер».

Новости ИБ  

• Обнаруженная в KeePass уязвимость  позволяет злоумышленникам, имеющим доступ на запись в целевой системе, экспортировать базу данных парольного менеджера, включая все хранящиеся там имена пользователей и пароли в формате простого текста.

• Более 67000 сетевых хранилищ QNAP до сих пор не получили обновления с исправлением критической уязвимости SQL-инъекции CVE-2022-27596. Она позволяет удаленному неавторизованному злоумышленнику внедрить код в уязвимые устройства QNAP, доступные в Интернете.

• Токийская полиция и более 100 японских компаний провели масштабные учения по противодействию кибератакам программ-вымогателей. С помощью таких учений столичное полицейское управление стремится повысить бдительность бизнес-структур в отношении компьютерных вирусных атак.

• Более 120 моделей принтеров Lexmark подвержены критической проблеме CVE-2023-23560, получившей 9 баллов из 10 по шкале оценки уязвимостей CVSS.  Баг позволяет осуществить удаленное выполнение произвольного кода, и для него уже опубликован PoC-эксплоит.

• Легальный C2-фреймворк Sliver набирает популярность среди хакеров. Злоумышленники используют его как опенсорсную альтернативу Cobalt Strike и Metasploit.Microsoft отключит в облачном Excel автоматическую загрузку и активацию XLL-контейнеров с надстройками, в которых хакеры распространяют вредоносное ПО. Тем самым компания хочет уберечь пользователей от взлома или заражения их ПК.

• Компания Apple выпустила патчи для уязвимости CVE-2022-42856 в Webkit, которую уже используют хакеры. В конце прошлого года проблема была устранена на более современных устройствах, а теперь очередь дошла до владельцев старых девайсов.

• Минцифры обсуждает введение дополнительных требований к программному обеспечению, созданному на базе открытого исходного кода и претендующему на включение в реестр отечественного софта. 

Интересные посты русскоязычных блогов по ИБ 

• Денис Сарычев, обозреватель Anti-Malware.ru, подвел итоги на тему перспектив импортонезависимой кибербезопасности в России. Он выделил существующие риски от импортозамещения для заказчика, роль государства и его возможные действия по стимулированию перехода на отечественные решения, а также обсуждение причин роста цен на российские ИБ-продукты.

• Одна из задач команды DevSecOps - реализовать систему наблюдаемости, использующую логи для сбора больших объёмов данных во взаимодействиях пользователя и угрожающих средах. В статье RUVDS.com на Хабр рассматривается вопрос широкомасштабного сбора данных, а также в чем различия между данными наблюдаемости и безопасности, как лучше собирать все эти данные и как реализовать централизованный единый механизм для сбора данных.

• Команда Инфосистемы Джет в статье на Хабр поделилась результатами анализа парольных менеджеров глазами хакера. Статья написана в рамках повышения осведомленности рядового пользователя и специалиста по ИБ в вопросе безопасности выбранного метода хранения паролей.

Интересные посты англоязычных блогов по ИБ 

• Эксперты CheckPoint описали 12 способов упрощения развертывания ZTNA. Рекомендации помогут за считанные минуты защитить любой актив, например, облачные или локальные центры обработки данных, приложения и ресурсы с минимальными правами доступа, защитой данных и предотвращением угроз. 

• После недавнего взлома LastPass исследователь безопасности Wladimir Palant  проанализировал  безопасность клиента менеджера паролей Bitwarden.

• В блоге WhatIs.com опубликован Топ-10 подкастов по ИБ, на которые стоит обратить  внимание. В подкастах представлены разборы последних кибератак и громких инцидентов, истории из Dark web, экспертные мнения и обзоры новостей. Несколько отдельных подкастов также посвящены социальной инженерии в ИБ.

• Специалисты компании Sophos News кратко рассказали о том, что нужно знать о международных требованиях к защите персональных данных и перспективах их развития в 2023 году. Большинство описанных документов относится к законодательству Соединенных Штатов, Канады и Китая.

Исследования и аналитика

• Выпуск Kaspersky Security Bulletin посвящен прогнозу SOC в 2023 году . Первая часть отчета посвящена наиболее значимым угрозам, с которыми центры мониторинга и реагирования могут столкнуться в этом году. Во второй части отчета представлен взгляд на центры мониторинга и реагирования изнутри. Эксперты анализируют вызовы, связанные с персоналом, задачами и бюджетом, с которыми столкнутся руководители SOC. 

• Исследователи Лаборатории Касперского  проанализировали  объявления о вакансиях, размещенных на подпольных форумах в течение двух с половиной лет, и обнаружили, что разработчики пользуются большим спросом. Специалисты компании утверждают, что 61% из 200 000 объявлений о трудоустройстве, размещенных на 155 форумах даркнета с января 2020 года по июнь 2022 года, были связаны с разработкой ПО.

• Аналитики компании Ростелеком-Солар подготовили отчет об атаках на онлайн-ресурсы российских компаний по итогам 2022 года. По данным компании, минувший год изменил весь ландшафт киберугроз, а количество атак выросло в разы.

• Анализ статистики детектирований антивируса Dr.Web в декабре показал рост общего числа обнаруженных угроз на 14,02% по сравнению с ноябрем. Число уникальных угроз при этом также увеличилось на 2,2%. Наиболее активными по-прежнему остаются рекламные приложения. В почтовом трафике чаще всего встречались вредоносные скрипты, ПО для эксплуатации различных уязвимостей, а также рекламные программы.

• Анализ вирусной активности Dr.Web для мобильных устройств показал рост активности рекламных троянских приложений, а также шпионских программ. В то же время в течение предыдущего месяца в каталоге Google Play было выявлено множество новых угроз, включая десятки программ-подделок, а также троянские приложения, подписывающие жертв на платные услуги.

• В прошедшем 2022 году российские пользователи получили как минимум 6,5 млрд вредоносных спам-сообщений, что примерно на 27% больше, если сравнивать с показателями 2021 года.

• По состоянию на начало 2023 года сохранность личной информации является одной из наиболее тревожащих граждан России тем. Об этом заявили в компании «АльфаСтрахование», которая провела соответствующие исследование. Почти 57% россиян стараются всячески отказываться от предоставления своих паспортных данных в ситуациях, когда это возможно, потому что опасаются их незаконного использования в дальнейшем третьими лицами и мошенниками.

• По данным блокчейн-аналитиков из компании Chainalysis, доходы от вымогательских атак упали с $765,6 млн в 2021 году до $456,8 млн в 2022 году. Эксперты объясняют это падение более чем на 40% множеством факторов, но основная причина - все больше жертв попросту отказываются платить хакерам.

• Французское агентство по кибербезопасности ANSSI опубликовало свой  ежегодный отчет об активности и угрозах  за 2022 год. В отчете приведен список наиболее часто используемых уязвимостей, по мнению агентства.

• Команда DFIR Report подготовила обзор  того, как субъекты угроз внедрили и в настоящее время злоупотребляют Invoke-ShareFinder, частью скрипта модуля PowerView платформы PowerSploit. Скрипт позволяет пользователям найти все сетевые ресурсы внутри большой сети, что может быть очень полезно для злоумышленников, пытающихся найти данные жертвы и украсть или зашифровать их.

• Check Poiэnt опубликовала ежеквартальный отчет о фишинге. Самым популярным брендом в фишинговых электронных письмах в четвертом квартале 2022 года был Yahoo. DHL заняла второе место с 16% всех попыток фишинга брендов, опередив Microsoft, занявшую третье место с 11%.

• В  отчете за год компании Wordfence, говорится, что, хотя атаки с заполнением учетных данных оставались главной угрозой для операторов сайтов WordPress в 2022 году, количество атак значительно сократилось по сравнению с предыдущим годом.  В 2022 году было взломано в общей сложности 1,2 млн сайтов WordPress, из них 210 000 были заражены в начале и конце года.

• В Trend Micro сообщили, что хакеры-вымогатели группировки Vice Society нацелились на производственные предприятия из разных стран мира. Проникновения во внутренние сети организаций происходят через купленные скомпрометированные учетные данные в даркнете. Эксперты Trend Micro также подчеркнули, что в последнее время хакеры из Vice Society наибольшую активность проявляют против предприятий Израиля, Швейцарии, Аргентины и Бразилии.

• Внутренние угрозы вызывают серьезную озабоченность в организациях всех видов. По данным Gurucul, только 3% опрошенных респондентов не обеспокоены внутренним риском. В отчете показано, что организации никогда не чувствовали себя более уязвимыми: три четверти респондентов заявили, что они чувствуют себя умеренно или чрезвычайно уязвимыми перед внутренними угрозами, что на 8% больше, чем в предыдущем году.

• Исследователи из Cisco Talos сообщили, что коммерческий инструмент RMM под названием Syncro наблюдался в трети случаев реагирования на инциденты, которыми компания занималась в четвертом квартале 2022 года.

• Исследователи Proofpoint опубликовали  отчет  о новой кампании, нацеленной на пользователей Microsoft 365, целью которой является обманом заставить их авторизовать вредоносные сторонние приложения OAuth в своих учетных записях.

Громкие инциденты ИБ 

• IT-инфраструктура крупного производителя оборудования и софта для автоматизации торговли Атол атакована хакерами. В результате инцидента сайт и IT-ресурсы компании оказались недоступны, а в сеть были выложены внутренние данные ее клиентов.

• Как заявляют аналитики компании PeckShield, в январе 2023 года хакеры уже совершили 24 взлома криптопроектов, в ходе которых сумели украсть криптовалюту на сумму $ 8,8 млн. Большая часть этих средств была выведена с помощью сервисов мгновенного обмена криптовалют.

• По данным  Data1eaks, неизвестные злоумышленники обнародовали данные 1 млн пользователей платежного сервиса Best2Pay. Выложенный файл содержит ФИО, 338 118 уникальных номеров телефонов, адреса электронной почты, типы проводимого платежа, а также дату платежа и технические детали.

• Стало известно, что хакеры провели кибератаку на Государственный Эрмитаж, в результате которого на некоторое время информационные табло вышли из строя.

• Крупный разработчик и издатель игр Riot Games сообщает, что после недавней атаки хакеры потребовали выкуп в размере $10 000 000, утверждая, что похитили исходный код League of Legends и других продуктов. Однако в компании заявили, что не собираются платить злоумышленникам.

• Хакеры выложили в сеть 45 ГБ исходного кода интернет-гиганта Яндекс. Речь идет о кодах большей части сервисов компании: почтовых, музыкальных, облачных, а также агрегатора такси.

• Два федеральных агентства США подверглись мошеннической кампании с использованием ПО для удаленного мониторинга и управления. Киберпреступник отправлял фишинговые электронные письма, приводящие к загрузке легитимных программ удаленного доступа ScreenConnect и AnyDesk, которые в итоге злоумышленник использовал для кражи денег с банковских счетов жертв.

• Китайские пользователи обнаружили, что на сайте Breach Forums продаются секретные документы тайваньских спецслужб – цена 10 ГБ данных составляет $150 000. Файлы содержат отчеты военной разведки за границей и личные данные агентов.

Обзор событий предстоящих недель 06.02 – 17.02 

Офлайн-мероприятия

• 7-8 февраля, Москва – Инфофорум 2023

• 9 февраля, Калуга – ИнфоТеКС ТехноФест;

• 14-16 февраля, Москва – Форум Технологии Безопасности 2023;

• 15-17 февраля, Екатеринбург – Уральский форум Кибербезопасность в финансах.

Онлайн-конференции

• 5 февраля, 15.00 – Митап Kaspersky Tech. База знаний здорового техписа;

• 8 февраля, 11:00 – Онлайн-конференция AM Live: Как выбрать лучшую РАМ-систему 2023 года.

Вебинары

• 7 февраля, 11:00 – Вебинар Ростелеком-Солар: Обзор платформы для проведения кибертренировок;

• 9 февраля в 11.00 – Вебинар TS Solution Вэбмониторэкс - современная защита веб-приложений, микросервисов и API;

• 9 февраля в 11.00 – Вебинар iTPROTECT:  Год персональных данных: что, как и когда делать; 

• 9 февраля, 11:00 – Вебинар Softline и Гарда Технологии: Централизованная защита баз данных.