Дайджест ИБ №255 за период с 6 по 17 февраля 2023 года

Новости законодательства    

• Правительство РФ разрешило Роскомнадзору проводить внеплановые проверки аккредитованных организаций, осуществляющих деятельность в сфере информационных технологий, в случае утечки у них персональных данных.

Новости ИБ  

• Минцифры запускает собственный проект по обнаружению уязвимостей в «Госуслугах», а также на других ресурсах и сайтах электронного правительства, который позволит привлечь независимых исследователей и сделать систему более безопасной. Программа будет проходить в несколько стадий – на начальной специалисты будут исследовать портал «Госуслуги» и систему ЕСИА.

• ФСТЭК России ужесточает требования к категорированию ЗОКИИ. Сам список значимых объектов в прошлом году увеличился вдвое. Ведомство предупреждает об ужесточении ответственности за предоставление неверных сведений об объектах КИИ.

• Депутаты Государственной Думы приняли в первом чтении поправки в Уголовный кодекс РФ, которые позволят осуществлять конфискацию имущества, полученного в результате совершения преступлений в сфере компьютерной информации.

• Министерство просвещения представило для общественного обсуждения проект приказа «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.04 Обеспечение информационной безопасности информационных систем».

• Новая группировка, отслеживаемая как TA886, атакует организации в США и Германии с помощью новых специализированных вредоносных программ для шпионажа и кражи данных.

• Создатели малвари ESXiArgs, атакующей серверы VMware ESXi, обновили своего вредоноса. Теперь вымогатель шифрует больше данных, что значительно усложняет или делает невозможным восстановление зашифрованных виртуальных машин своими силами.

• Эксперты Агентства по кибербезопасности и защите инфраструктуры США подготовили скрипт для восстановления серверов VMware ESXi, которые оказались зашифрованы в результате недавних массовых атак шифровальщика ESXiArgs.

• В сети появился эксплоит для активно используемой хакерами уязвимости нулевого дня в консоли администрирования GoAnywhere MFT. Компания Fortra, стоящая за разработкой GoAnywhere MFT, была вынуждена выпустить экстренный патч для исправления этого бага.

Интересные посты русскоязычных блогов по ИБ 

• Национальный институт стандартов и технологий США опубликовал Концепцию менеджмента рисков, связанных с искусственным интеллектом. Автор статьи Наталья Храмцовская прокомментировала данный документ в части его содержания и назначения.

• В корпоративном блоге R-Vision на Habr вышла статья, посвященная технологии удаленного вызова процедур RPC. В материале коллеги разобрали базовые принципы и механизмы работы RPC и в дальнейшем на основе этого представили возможные варианты его мониторинга.

• Алексей Лукацкий в своем блоге рассказал про 7 новых профессий в ИБ, которые в ближайшем будущем могут быть востребованы на современном предприятии.

• Интерфейсы прикладного программирования (API) используются в современных приложениях и позволяют наладить взаимодействие между разными продуктами. Но также API имеют и недостатки, которые перерастают в серьёзные проблемы и риски для безопасности. Юрий Шабалин, ведущий архитектор Swordfish Security, рассказал, в чём польза API, какие существуют сложности в их защите и как снизить риски.

Интересные посты англоязычных блогов по ИБ   

• Самый высокий риск по результатам индекса киберрисков в 2022 году заключался в том, что цели организации в области ИТ-безопасности не были согласованы с бизнес-целями. Автор статьи Jon Clay объяснил, что такое непрерывная оценка рисков кибербезопасности и как выстроить этот процесс.

• В ИТ-организациях, использующих облачные технологии, успеха можно добиться за счет реализации структурированной операционной модели, использования абстрактных инструментов и автоматизации. Подробнее об этих методах и процессах рассказал эксперт Paloalto Mathew Lamb.

• В своей статье исследователи CSO продемонстрировали, как злоумышленники могут атаковать программируемый логический контроллер, чтобы обойти аутентификацию и выполнить удаленное выполнение кода в промышленных сетях.

Исследования и аналитика

• Эксперты Лаборатории Касперского провели ежегодное исследование на тему информационной безопасности бизнеса. В ближайшей трёхлетней перспективе российские компании, относящиеся к малому и среднему бизнесу, предполагают увеличить затраты на ИБ - примерно на 12%, а крупные корпорации - на 16%, что в среднем и составляет около 14%.

• Исследователи Лаборатории Касперского рассказали про один из видов трекинговых элементов - веб-маяки (web beacons). Помимо этого, показали, маяки каких трекинговых систем и компаний чаще всего обнаруживают защитные решения - антитрекинговые плагины для веб-браузеров и анти-спам-технологии.

• Согласно отчету по спаму и фишингу 2022 года от Лаборатории Касперского, общее количество попыток перехода на фишинговые сайты, копирующие мессенджер Telegram, в январе 2023 года возросло в 37 раз, если сравнивать с тем же периодом 2022 года. 48,63% писем по всему миру и 52,78% писем в Рунете были спамом, а из России исходило 29,82% всех спам-писем.

• Чтобы помочь лидерам в области безопасности изучить важные тенденции 2023 года и настроить соответствующие приоритеты для своих организаций, компания Info-Tech Research Group опубликовала свой ежегодный отчет Приоритеты безопасности 2023.

• В отчете DFIR приведен анализ вторжения, где компрометация была инициирована с помощью документа Word, содержащего вредоносный макрос VBA, который установил постоянство и связь с сервером управления и контроля (C2). После первоначального обнаружения и перечисления пользователей злоумышленник использовал AutoHotkey для запуска кейлоггера.

• Согласно последним данным Федеральной торговой комиссии США, в 2022 году романтические аферы (Romance scam) обошлись жертвам в $1,3 млрд. В 2022 году об этих преступлениях сообщили почти 70 000 человек, а средний заявленный ущерб составил $4400.

• Эксперты Check Point Research сообщили, что информационный стилер Vidar вернулся в топ-10 эксплоатируемых в январе, заняв 7-е место. В то время как крупная кампания Earth Bogle доставляла вредоносное ПО njRAT целям на Ближнем Востоке и в Северной Африке.

• Согласно отчету о безопасности Check Point за 2023 г., число кибератак достигло рекордно высокого уровня из-за геополитического конфликта и распространения вредоносного ПО для «разрушения и уничтожения». Количество кибератак в 2022 году выросло на 38% по сравнению с предыдущим годом, при этом регистрируется в среднем 1168 атак в неделю на одну организацию.

• Corero Network Security описали некоторые ключевые тенденции DDoS, на которые следует обратить внимание в 2023 году. Количество атак, которые наблюдаются по всему миру, растет. Скорее всего, рост сохранится и в течение 2023 года. Исследователи также прогнозируют, что DDoS-атаки со скоростью передачи пакетов в секунду будут продолжать расти, превысив рекордные размеры.

• Исследователи Sansec проанализировали 2037 интернет-магазинов разного размера и с разными платформами электронной коммерции и обнаружили, что 250 из них хранят архивные файлы в общедоступной веб-папке.

• Компания BlackBerry Limited опубликовала новое исследование, в котором говорится, что 51% ИТ-специалистов предсказывают, что до успешной кибератаки, приписываемой ChatGPT, осталось меньше года. В то время, как 71% считают, что иностранные государства возможно, уже используют эту технологию в злонамеренных целях против других стран.

• Число кибератак с использованием вымогательского ПО, которые были проведены в 2022 году против промышленных предприятий, увеличилось примерно на 87%, если сравнивать с показателем 2021 года. Соответствующее заявление сделали эксперты по кибербезопасности компании Dragos в отчете Dragos ICS/OT Cybersecurity Year in Review.

• Эксперты компании Sucuri обнаружили, что злоумышленники используют более 70 фиктивных доменов, имитирующих сокращатели URL, и заразили более 10 800 сайтов под управлением WordPress рекламной малварью.

Громкие инциденты ИБ 

• Неизвестные злоумышленники выставили на продажу дамп интернет-магазина PUMA , покинувшего Россию в 2022 году. По информации экспертов, база содержит 327 тысяч записей с данными зарегистрированных пользователей интернет-магазина спортивного бренда.

• Хакеры крадут деньги, направленные жертвам землетрясений в Турции и Сирии. В большинстве своем злоумышленники создают страницы в соцсетях для фейковых сборов денежных средств.

• Практически все крупные интернет-ресурсы, относящиеся к Североатлантическому альянсу, оказались под хакерскими атаками.

• Города Окленд и Модесто, штат Калифорния, подверглись атаке программ-вымогателей, в результате чего государственные службы были отключены от сети, а полиция вынужденно перешла к старым инструментам - использованию портативных радиостанций, ручек и бумаги во время патрулирования.

• Хакеры из группировки DarkBit совершили кибератаку на IT-системы ведущего технологического университета Израиля Технион. В вузе заблокированы все внутренние сети связи для минимизации ущерба.

• Крупнейшая сеть книжных магазинов в Канаде, Indigo Books & Music, подверглась кибератаке. В итоге сайт компании был отключен, а расплатиться за покупки можно только наличными. Представители Indigo не исключают, что хакеры могли похитить данные клиентов.

• Более 3200 серверов VMware ESXi были взломаны новым вымогателем ESXiArgs в рамках масштабной хакерской кампании. Атакующие используют уязвимость двухлетней давности, которая позволяет им выполнять удаленные команды на уязвимых серверах через OpenSLP.

Обзор событий предстоящих недель 20.02 – 03.03 

Офлайн-мероприятия

• 21 февраля, Москва – Конференция: Информационная безопасность 2023;

• 27 февраля - 1 марта, Магнитогорск – Форум Цифровая устойчивость и информационная безопасность России;

• 28 февраля, Москва – XII Revenue assurance & fraud management forum «Телеком/Банки/Регуляторы. Влияние санкций»;

• 1 марта, Москва – Семинар: Цифровая криминалистика;

• 28 февраля - 2 марта, Омск – VIII Международный ИТ-Форум 2023: Цифровой суверенитет.

Онлайн-мероприятия

• 22 февраля – ТБ-Форум: Меры защиты ИТ- и информационной инфраструктуры. Эффективная защита в период массивных кибератак;

• 3 марта – ТБ-Форум: Кибербезопасность в новой реальности: как сохранить устойчивость и непрерывность бизнеса предприятий в условиях цифровизации.

Вебинары

• 21 февраля, 15.50 – Вебинар АИС: Риск - ориентированный подход при проведении аудита защищенности компании. Что такое риск. Надо ли «бояться» рисков;

• 21 февраля – Вебинар: Отказоустойчивость СХД АЭРОДИСК: зачем она нужна и как ее повысить?;

• 28 февраля, 11:00 – Вебинар Гарда Технологии: Пять рецептов, как победить головную боль маскирования данных.