Дайджест ИБ №258 за период с 20 по 31 марта 2023 года

Новости ИБ  

• ФСТЭК получит средства из федерального бюджета на создание отечественного ресурса информирования об уязвимостях АСУ ТП и промышленного интернета вещей. Ресурс будет состоять из исследовательского стенда и банка данных угроз, и будет работать с критически важными, потенциально опасными и опасными производственными объектами.

• Роскомнадзор предлагает использовать оборудование, установленное у провайдеров (технические средства противодействия угрозам, ТСПУ), для ограничения доступа к средствам анонимизации. К таковым в РКН отнесли сервисы по использованию виртуальных номеров телефона.

• Законопроект Минцифры о легализации работы белых хакеров отложен на неопределённое время из-за позиции ФСБ и ФСТЭК. Ведомства не собираются менять УК, смягчать или отменять наказание для злоумышленников за взлом информационных систем.

• Расследуя атаку на одного из своих клиентов, специалисты Sucuri обнаружили необычную кампанию по краже данных с кредитных карт, в ходе которой хакеры скрыли свой вредоносный код внутри модуля платежного шлюза Authorize[.]net для WooCommcerce, стараясь избежать обнаружения.

• Эксперты обнаружили атаки группы Key Wolf. Злоумышленники распространяют файл с программой-вымогателем, которая шифрует все данные на компьютере. Важная особенность в том, что у потерпевшего нет возможности дешифровать данные, даже за выкуп.

• Американские исследователи разработали «звуковой троян», направленный на голосовые ассистенты. Это так называемый «околоультразвуковой бесшумный троян», который создан, чтобы наглядно показать, как хакеры могут использовать самую обычную экосистему умного дома против ее владельца.

• Специалисты из JFrog обнаружили новую атаку на цепочку поставок. В каталоге NuGet были найдены 13 вредоносных пакетов, за которыми на момент удаления суммарно числилось около 170 тыс. загрузок.

• Президент США Джо Байден подписал указ, запрещающий федеральным агентствам использовать коммерческое шпионское ПО, которое может представлять угрозу безопасности государству или уже использовалось иностранными субъектами не по назначению, а также несёт другие подобные риски.

Интересные посты русскоязычных блогов по ИБ 

• Роман Деденок в блоге SecureList by Kaspersky рассказал об использовании распределенной файловой системы IPFS для проведения фишинговых атак, в том числе целевых атак на конкретных пользователей и компании.

• В блоге R-Vision на Habr опубликована статья, посвященная способам анализа и возможным вариантам детектирования Dirty Pipe – одной из критичных уязвимостей ядра Linux, которая позволяет злоумышленникам локально повысить привилегии и получить практически неограниченный доступ ко всем ресурсам атакованной системы.

• Сергей Корелов и Алексей Новиков из НКЦКИ провели анализ трендов и особенностей угроз безопасности информационных ресурсов РФ в 2022 году.

• В корпоративном блоге R-Vision на Habr вышла статья, посвященная популярной у злоумышленников технике для закрепления в системе – Scheduled Task (Планировщик задач). Рассмотрев, как хакеры могут создать запланированную задачу максимально скрытым способом, коллеги представили вариант детектирования Scheduled Task.

Интересные посты англоязычных блогов по ИБ

• Rafeeq Rehman поделился новой картой компетенций CISO (CISO MindMap 2023), сформированной с учетом таких последних изменений в цифровой среде, как развитие ChatGPT, увеличение использования облачных технологий и других.

• Ashley Leonard в блоге HelpNetSecurity описал 3 основных способа атак на конечные хосты: фишинг/целевой фишинг, использование уязвимостей операционных систем и программных продуктов.

• О том, как повлияет развитие ChatGPT на успешность фишинговых атак, в своей статье рассказал John E. Dunn. По его мнению, искусственный интеллект сможет создавать множество уникальных фишинговых писем с грамотной речью, стилизованной под манеру конкретного человека, например, генерального директора атакуемой компании и т.д.

• Зарегистрированные неудачные попытки входа в домен компании Okta могут быть использованы злоумышленниками для обнаружения учетных данных для доступа к действительным учетным записям, обнаружили исследователи Mitiga. В своем блоге эксперты рассказали об угрозе и способах ее обнаружения.

Исследования и аналитика

• По данным центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT, прошлый год стал абсолютным рекордсменом по количеству атак, объему утечек данных и мощности DDоS-атак в зоне РФ. Эксперты зафиксировали трехкратное увеличение общего числа кибератак по сравнению с 2021 годом. Наиболее атакуемые отрасли: ритейл, финансовый сектор и ИТ – 82% среди всех зафиксированных инцидентов.

• Microsoft обратила внимание на рост числа DDoS-атак на организации здравоохранения, зафиксировав трехкратное увеличение количества атак за период с ноября 2022 по февраль 2023 года. В ноябре 2022 компания отслеживала от 10 до 20 атак в день на организации здравоохранения в Azure, а в феврале 2023 – от 40 до 60 в день. За это время набор атак изменился: более половины атак теперь представляют собой потоки UDP, а 44% – на основе TCP. 

• Половина компаний в США утверждают, что безопасность является наиболее важным фактором при покупке ПО, согласно опросу Capterra Security Features Survey. Фактически, 45% прекратили использование определенного типа ПО из соображений безопасности. Компании готовы платить больше за интуитивно понятное и хорошо спроектированное безопасное программное обеспечение.

• Корпорация HP опубликовала ежеквартальный отчет HP Wolf Security Threat Insights, в котором показано, что хакеры диверсифицируют методы атак. Мошенники обманом заставляют пользователей сканировать QR-коды со своих ПК с помощью мобильных устройств, чтобы воспользоваться более слабой защитой от фишинга и обнаружением на таких устройствах. QR-коды направляют пользователей на вредоносные веб-сайты, запрашивая данные кредитной или дебетовой карты. 

• В отчете Federal News Network рассматривается CASS – новая платформа безопасности Китая, которая в настоящее время планирует стать заменой системы EINSTEIN.

• CISA и АНБ опубликовали руководство по лучшим практикам  для обеспечения безопасности систем идентификации и управления доступом (IAM).

• Компания Huntress опубликовала отчет о состоянии кибербезопасности в компаниях среднего размера по всей территории США и Канады. Некоторые выводы: у 61% таких организаций нет службы безопасности, у 47% нет плана реагирования на инциденты, а 27% не имеют страховки от кибератак.

• Mandiant опубликовала ежегодный отчет об эксплуатации уязвимости нулевого дня Move, Patch, Get Out the Way: 2022 Zero-Day Exploitation Continues at an Elevated Pace. В 2022 году исследователи выявили 55 уязвимостей нулевого дня, которые были признаны эксплуатируемыми. В отчете также отмечается, что в прошлом году группы кибершпионажа, спонсируемые китайским государством, использовали больше zero-days, чем другие субъекты кибершпионажа.

• Согласно отчету разработчиков ZenGo, Coinbase и другие ведущие поставщики криптовалют могут стать жертвами хакерских атак при проведении транзакций из-за уязвимости Red Pill.

• Согласно прогнозу IDC, мировые расходы на решения и услуги в области безопасности, по прогнозам, составят $219 млрд в 2023 году, что на 12,1% больше по сравнению с 2022 годом. Ожидается, что в этом году более трети всех расходов на безопасность будут приходиться на банковское дело, дискретное производство, профессиональные услуги и вертикали федерального/центрального правительства.

• CISA и ФБР опубликовали рекомендации по программе-вымогателю LockBit. Серия атак кибергруппировки стала причиной 52% всех атак программ-вымогателей по всему миру и поразила такие крупные организации, как Royal Mail, Accenture и Ion Trading.

• Злоумышленники активно использовали 55 zero-days в 2022 году – по сравнению с 81 в 2021 году – при этом наиболее уязвимыми были продукты Microsoft, Google и Apple. Согласно новому отчету Mandiant, 53 zero-days из 55 позволили злоумышленникам получить повышенные привилегии или выполнить удаленный код на уязвимых устройствах.

• Согласно новому отчету компании Jumpsec, в прошлом году количество случаев программ-вымогателей во всем мире сократилось, а количество атак в Великобритании увеличилось на 17%. Например, банда вымогателей LockBit несет ответственность за более чем 30% атак, при этом Karakurt и Vice Society также берут на себя долю инцидентов. 

• Компания Searchlight Cyber выпустила отчет Proactive Defense: How Enterprises Are Using Dark Web Intelligence. По данным исследования, 93% CISO обеспокоены угрозами в даркнете, и почти 72% директоров по информационной безопасности считают, что информация о киберпреступниках «критически важна» для защиты их организации и повышения кибербезопасности.

• По данным ENISA, в транспортном секторе Европы количество атак программ-вымогателей удвоилось в 2022 году, что сделало его доминирующей киберугрозой, с которой сталкивается этот сектор. В отчете говорится, что в период с января 2021 года по октябрь 2022 года программы-вымогатели были задействованы в 38% атак, а методы, связанные с данными, использовались в 30%. DDoS-атаки составили 16% от общего числа, в то время как фишинговые атаки и атаки цепочки поставок были задействованы в 10% атак. 

• Исследователи из компании Red Canary опубликовали свой ежегодный отчет, в котором собраны данные о почти 40 000 обнаружениях угроз в сети компании, насчитывающей более 800 клиентов. Отчет охватывает множество тенденций киберпреступности, от программ-вымогателей до воров и от Iap до угроз по электронной почте.

Громкие инциденты ИБ 

• Twitter добился удаления с GitHub внутренних исходных кодов своей платформы и инструментов, которые утекли в открытый доступ. Теперь компания требует от GitHub раскрыть данные человека, который выложил исходники и всех, кто получил к ним доступ.

• Хакерская группировка NoName057 атаковала организации Британии. Первым пострадал сайт аэропорта London Southend Airport, далее злоумышленники сообщили об атаке на сайт производителя промышленного оборудования Rotork. Веб-ресурсы обоих компаний были недоступны.

• Австралийская финансовая компания Latitude сообщила о краже личных данных 14 млн человек. Похищенные сведения включают имена, даты рождения, адреса и номера телефонов клиентов, а также номера паспортов 53 тыс. человек и подробные данные о финансовых операциях не менее чем 100 граждан.

• Личные данные клиентов ChatGPT утекли в сеть из-за ошибки в работе ИИ. В результате чего некоторые пользователи могли видеть имена и фамилии других активных пользователей, а также их адреса электронной почты, платежные адреса, последние четыре цифры кредитных карт и сроки их действия.

• Сельскохозяйственная корпорация Dole Food Company стала жертвой хакеров. В корпоративную сеть проник вирус-вымогатель, в результате чего к злоумышленникам попали данные о сотрудниках компании.

• Злоумышленники заявляют, что проникли в ИТ-системы компании Ferrari и требуют выкуп. Автопроизводитель предупреждает клиентов об утечке данных, включая имена, email-адреса и номера телефонов.

• Хакеры из группировки The CLOP использовали уязвимость нулевого дня, чтобы получить доступ к данным Hitachi Energy. Сообщается, что для кражи данных группировка использовала собственное вредоносное ПО.

Обзор событий предстоящих недель 03.04 – 14.04 

Офлайн-мероприятия

• 6 апреля, Москва – Конференция Безопасность в финансовой сфере: оптимизация работы отдела ИБ;

• 14 апреля, Москва – XVI Межотраслевой форум директоров по информационной безопасности CISO-FORUM 2023: МОБИЛИЗУЙСЯ.

Онлайн-мероприятия

• 5 апреля, 11:00 – Онлайн-конференция AM Live: Стратегия защиты от целевых атак 2023;

• 5 апреля, 15:00 – Онлайн-конференция AM Live: Безопасная дистанционная работа. Соответствие стандартам и требованиям ФСТЭК.

Вебинары

• 4 апреля, 11:00 – Вебинар Код ИБ: NoSQL СУБД Енисей: использование СУБД в построении сложных распределённых систем;

• 4 апреля, 15:00 – Вебинар АИС: Практика социальной инженерии;

• 12 апреля, 17:00 – Вебинар Ростелеком-Солар: Solar NGFW уже здесь.