Дайджест ИБ №256 за период с 20 февраля по 3 марта 2023 года

Новости законодательства    

• 1 марта 2023 года вступили в силу ч. 8-10 ст. 10 закона «Об информации, информационных технологиях и о защите информации», которые устанавливают запрет для ряда российских организаций на использование иностранных мессенджеров.

• Опубликован проект постановления правительства РФ, которым определяются случаи, когда аутентификация на основе биометрических персональных данных с использованием информационных систем организаций не допускается, и перечень случаев использования биометрических ПД, согласие на обработку которых подписано электронной подписью.

Новости ИБ  

• Компания Bitdefender выпустила дешифратор, способный вернуть в прежнее состояние файлы, пострадавшие от программы-вымогателя MortalKombat – нового шифровальщика, появившегося на ландшафте киберугроз в январе 2023 года.

• Исследователи предупреждают о серьёзной киберугрозе - UEFI-бутките BlackLotus. Этот вредонос стал первым в своём классе, способным обойти защитный барьер операционной системы Windows 11 - Secure Boot.

• В феврале количество рассылок, рекламирующих легкий заработок, выросло в два раза. Пользователям обещают выплаты до 600 тыс. рублей, но прежде предлагают заплатить за обучающий курс или прислать сканы документов, которые затем используются для оформления микрозаймов.

• Несколько российских приложений из Google Play, RuStore и Huawei AppGallery содержат уязвимость, которая позволяет взломщику отправить всем пользователям push-уведомления любого содержания. Речь о платформах для бизнеса и поиска работы, мессенджерах, онлайн-кинотеатрах и приложениях для знакомств.

• Эксперты обнаружили, что свежая уязвимость в Fortinet FortiNAC, закрытая ранее в этом месяце, уже используется в хакерских атаках. Специалисты заявили, что перед проблемой уязвимы более 700 000 устройств.

• Угроза вымогателей под названием HardBit перешла на версию 2.0. Ее операторы пытаются договориться о выплате выкупа, который будет покрыт страховой компанией жертвы.

• Роскомнадзор планирует запустить в России систему выявления информационных угроз в интернете "Вепрь", предназначенную для борьбы с киберпреступлениями и прогнозированием рисков их возникновения.

Интересные посты русскоязычных блогов по ИБ 

• Алексей Лукацкий в своем блоге поделился ответами представителей ДИБ Банка России на вопросы, заданные в рамках закрытой сессии ФинЦЕРТ на одном из мероприятий ИБ-отрасли. Среди актуальных вопросов, заданных регулятору, были уточнения по положениям 683-П, 716-П, 779-П, 382-П и другим.

• В блоге компании Selectel на Habr вышла статья, посвященная проблемам безопасности протокола SMTP. Статья содержит примеры реализации атак на данные, передаваемые по SMTP, а также рекомендации по защите от описанных угроз.

• Автор блога Наталья Храмцовская опубликовала обзор нового стандарта ISO 12911:2023 «Организация и перевод в электронный вид информации о зданиях и объектах гражданского строительства, включая информационное моделирование зданий (BIM) - Концепция подготовки спецификаций по внедрению BIM», выпущенного Международной организацией по стандартизации в феврале этого года.

• Компания "Перспективный мониторинг" в своем блоге на Habr рассказала о том, что такое UEFI-руткиты, какие угрозы для устройств они представляют, и как защищаться от данных уязвимостей.

Интересные посты англоязычных блогов по ИБ   

• Edwin David в своей статье рассказал про 5 главных вещей, которые приведут злоумышленника к облаку azure. В первую очередь это неправильно настроенная облачная инфраструктура, а для предприятий важно иметь надежные меры безопасности и средства контроля доступа в облаке, чтобы снизить риск и уменьшить потенциальный ущерб.

• Marcus Hutchins поделился своим реалистичным взглядом на влияние ChatGPT на киберпреступность. Помимо общего утверждения, что ИИ позволяет низкоквалифицированным хакерам разрабатывать передовые вредоносные программы, автор видит опасность в том числе и в усовершенствовании ИИ фишинговых писем и созданию полиморфного вредоносного ПО, которое легко обходит продукты безопасности.

• Anton Chuvakin поднял тему актуальности SIEM в 2023 году. Автор ответил на некоторые популярные вопросы относительно того, могут ли технологии XDR или облаков вытеснить SIEM, что ей угрожает, а что помогает развиваться.

• Zeljka Zorz прокомментировала матрицу методов злоупотребления DNS, опубликованную FIRST. В ней описано какие методы злоупотребления DNS используются киберпреступниками и какие организации могут помочь службам реагирования на инциденты и группам безопасности обнаружить, смягчить и предотвратить их.

Исследования и аналитика

• Порядка 75% российских компаний признались, что еще не приступили к выполнению положений закона о персональных данных, говорится в исследовании «К2 Интеграция». 

• Согласно исследованию InfoWatch, количество утечек в российских компаниях финансового сектора за прошлый год увеличилось в 1,7 раза на фоне более значительного общемирового роста числа инцидентов в 3,7 раза. Причем, в 70% случаев причинами утечек становились действия персонала компаний. В общей сложности из российского финансового сектора за год утекло более 44 миллионов записей персональных данных и платежной информации, из мирового - более 627 млн записей. 

• Отчет Ростелеком-Солар, за прошлый год показал, что количество кибератак на российские компании выросло в 2 раза. С конца 2022 года доля атак с применением вирусов сокращается, но в топ вернулись попытки «простукивания» периметра: сетевые атаки и эксплуатация уязвимостей. Самым популярным инструментом злоумышленников в 4 квартале осталось вредоносное ПО, однако его доля в сравнении с предыдущим кварталом значительно сократилась – с 79% до 55%.

• Лаборатория Касперского выпустила отчет Мобильная вирусология 2022. В прошлом году на первое место по доле среди всех обнаруженных угроз вышли потенциально нежелательные приложения RiskTool (27,39%), потеснив предыдущего лидера рейтинга - рекламные приложения (24,05%). 

• Согласно исследованию Лаборатории Касперского, посвященного поддельной веб-версии Telegram, эксперты обнаружили массовые фишинговые атаки, целью которых было получение контроля над аккаунтами как можно большего числа пользователей мессенджера.

• Эксперты ИБ-компании PeckShield обнаружили большое количество токенов, якобы связанных с чат-ботом ChatGPT. Специалисты выявили по крайней мере 3 мошеннических токена с тикером BingChatGPT для кражи средств. Два из них уже потеряли почти 100% своей стоимости, а третий - 65%. Киберпреступники использовали мошенническую схему «накачка и сброс» (Pump-and-Dump).

• В новом отчете Splunk  представлены исследования и идеи о том, что нужно для цифровой устойчивости, и как она приносит пользу организациям.

• Команда безопасности Chrome опубликовала обзор своей деятельности за 4 квартал 2022 года. В отчете представлены последние функции безопасности, которые появились или появятся в Chrome / Chromium.

• Федеральная торговая комиссия США заявляет, что американцы потеряли более $8,8 млрд из-за мошенничества в 2022 году. Это более чем на 30% больше, чем в предыдущем году. FTC также сообщает, что в 2022 году сеть Consumer Sentinel получила более 2,4 млн сообщений о мошенничестве.

• Специалисты компании Fairyproof в своем отчете приводят краткое описание наиболее распространенных тактик фишинга и социальной инженерии, используемых для компрометации пользователей блокчейна и криптовалют.

• Trend Micro обнаружила версию бэкдора PlugX, скрытую внутри средства отладки Windows с открытым исходным кодом. Plug – это троянец удаленного доступа, который был разработан и первоначально использовался китайскими группами кибершпионажа.

• По данным ИБ-компании Prodaft, операторы RIG в среднем совершают по 2000 попыток эксплойта в сутки. Показатель успеха в конце прошлого года достиг рекордного для этой угрозы уровня - 30%. Исследователи получили доступ к веб-панели бэкенда RIG и обнаружили, что набор эксплойтов по-прежнему используется для распространения инфостилеров, банковских троянов, вредоносных загрузчиков. Из программ-шифровальщиков в списке доставляемых зловредов присутствует Royal.

Громкие инциденты ИБ 

• Данные, украденные у игрового издателя Activision неизвестными киберпреступниками, появились в открытом доступе на одном из популярных форумов в даркнете. Персональная информация пользователей среди них отсутствует.

• Стэнфордский университет стал жертвой кибератаки. Представители университета отметили, что злоумышленникам удалось получить имена, даты рождения, домашние адреса, номера телефонов и прочую информацию о поступающих в учебное заведение.

• Служба федеральных маршалов США сообщила, что расследует кражу конфиденциальной информации, произошедшую из-за атаки программы-вымогателя, затронувшей «автономную систему USMS».

• Канадская телекоммуникационная компания TELUS расследует утечку данных. Предполагается, что были украдены исходные коды продуктов компании, личные данные клиентов и сотрудников.

• Злоумышленникам удалось взломать центры обработки данных в Азии. В ходе кибератаки хакеры получили логины и пароли пользователей крупнейших ИТ-компаний из холдингов GDS Holdings и SY Telemedia Global Data. Украденные данные доступны для покупки любым желающим.

• Киберпреступники взломали крупнейший регистратор доменов GoDaddy. В самой компании заявили, что в течение нескольких лет хакеры уже были внедрены во внутреннюю сеть компании. В результате многолетней атаки злоумышленникам удалось не только украсть исходный код, но и установить вредоносное ПО на серверы.

• Австралийская ИТ-компания Atlassian подтвердила, что хакерский взлом ее поставщика привел к утечке данных. Злоумышленники из группировки SiegedSec завладели персональными данными сотрудников и другой конфиденциальной информацией Atlassian.

• Криптовалютная биржа Coinbase сообщила, что неизвестный злоумышленник, стремящийся получить удаленный доступ к системам компании, похитил учетные данные одного из ее сотрудников.

Обзор событий предстоящих недель 06.03 – 17.03 

Офлайн-мероприятия

• 15–16 марта, Москва – Конференция Информационная безопасность АСУ ТП критически важных объектов;

• 16 марта, Москва – Конференция Стратегия и тактика информационной безопасности 2023.

Онлайн-мероприятия

• 9 марта, 11:00 – Онлайн-конференция AM Live: Защита удаленного доступа: от теории к практике;

• 17 марта, 11:00 – Онлайн-конференция AM Live: Практика применения электронной подписи в России.

Вебинары

• 14 марта, 15:00 – Вебинар R-Vision: Обзор новых возможностей R-Vision TDP версии 2.0;

• 14 марта, 11:00 – Вебинар Softline: Импортонезависимая кибербезопасность: мягкая миграция на Traffic Inspector Next Generation от Смарт-Софт;

• 16 марта, 11:00 – Вебинар Ростелеком-Солар: DLP и закон: 5 популярных заблуждений при правовом внедрении DLP.