Новости из мира информационной безопасности, аналитика, исследования, инциденты, анонсы мероприятий.
Новости ИБ
- Специалисты выявили активность коммерческого шпионского софта, который был разработан израильской организацией QuaDream. Этот шпион использовался в атаках на пользователей iPhone через приглашения в календаре и задействовал 0-click эксплойт ENDOFDAYS.
- Исследователи обнаружили, что новейший генеративный инструмент на основе искусственного интеллекта для взлома паролей PassGAN научился моментально взламывать каждый второй пароль. Способности ИИ проверили на 15,6 млн всевозможных паролей.
- Google анонсировала обновления безопасности за апрель 2023 года для устройств Android, исправив более чем 65 уязвимостей, включая две критические RCE. В бюллетене безопасности описаны 26 уязвимостей, большинство из которых являются серьезными ошибками, приводящими к повышению привилегий или раскрытию информации.
- Компания CrowdStrike предупреждает, что хакеры добавляют вредоносные функции в самораспаковывающиеся архивы (SFX), содержащие безвредные файлы-приманки. Эта уловка позволяет злоумышленникам внедрять бэкдоры на машины жертв, не поднимая «тревоги».
- Google вводит новую политику удаления данных для приложений Android, которая позволяет создавать новые учетные записи, а также даёт пользователям возможность удалить аккаунт, чтобы обеспечить большую прозрачность и контроль над своими данными.
- Новая вредоносная программа Rilide атакует основанные на Chromium браузеры. Зловред маскируется под безопасные с виду расширения и пытается вытащить конфиденциальные данные и криптовалюту жертвы.
- Аналитики обнаружили новую вымогательскую малварь Rorschach, которая уже использовалась для атаки на американскую компанию. Этот вредонос отличается крайне высокой скоростью шифрования файлов, и тем, что его установка происходит с помощью подписанного компонента коммерческого защитного ПО.
- Евросоюз готовит развертывание специального "киберкупола" для защиты от угроз в информационном пространстве. Речь идет об архитектуре, которая основывается на операционных центрах по кибербезопасности, представляющих собой суперкомпьютеры, оснащенные специальными алгоритмами искусственного интеллекта.
Интересные посты русскоязычных блогов по ИБ
- В блоге компании GlobalSign описан инцидент с утечкой секретного ключа RSA SSH, который использовался для операций на хосте github.com. Эксперты рассказали о деталях утечки, объяснили недостаток сертификатов ssh, а также то, как можно обезопасить свои ключи.
- Автор блога на Хабр поделился исследованием https-трафика мобильного приложения с целью помочь разработчикам клиентских приложений немного углубиться в матчасть передачи данных поверх HTTPS и оценить риски в своих приложениях.
- Специалисты компании VAS Experts рассказали о новой уязвимости Wi-Fi, причиной которой стал механизм экономии энергии, описанный в стандарте IEEE 802.11. Эксперты также рассказали, в чем заключается проблема и что необходимо делать для защиты.
- ИСО и МЭК опубликовали новые редакции первых двух частей стандарта ISO/IEC 27035 «Менеджмент инцидентов информационной безопасности». Автор блога, Наталья Храмцовская прокомментировала состав данных документов.
Интересные посты англоязычных блогов по ИБ
- Автор Tristan Gilmour подготовил краткий экскурс в историю уязвимостей Windows. В статье описаны принципы атак вида "переполнение буффера", "пинг смерти", троян "Back Orifice", а также меры, предпринятые Windows для повышения уровня безопасности операционных систем.
- Эксперт Todd Schell в блоге HelpNetSecurity опубликовал свой прогноз выхода "патчей" безопасности на апрель 2023 года. Обновление безопасности ожидается в операционных системах и браузерах Microsoft, Google и других.
- Специалист Samuel Brown в блоге компании PingIdentity рассказал о том, как подход "беспарольной" аутентификации может усилить информационную безопасность организации, а также какие препятствия возникают на пути внедрения решений беспарольной аутентификации. В заключение статьи автор приводит описание основных функциональных возможностей таких решений.
- В блоге Microsoft эксперты рассмотрели угрозы, с которыми сталкиваются в среде DevOps, и представили новую матрицу угроз для DevOps. На ее основе авторы показали различные методы, которые злоумышленник может использовать для атаки на организацию, начиная с начальной фазы доступа и далее.
Исследования и аналитика
- Специалисты Positive Technologies проанализировали актуальные киберугрозы 2022 года. Общее количество инцидентов увеличилось на 21% по сравнению с 2021 годом. Одними из главных тенденций стали увеличение числа инцидентов, связанных с веб-ресурсами, появление вайперов, а также усиление межотраслевых последствий атак на IT-компании.
- В отчете Рынок фишинга в Telegram эксперты Лаборатории Касперского рассказали о разнообразии фишинговых услуг в мессенджере, их нюансах и ценах, а также об особенностях детектирования фишингового контента родом из Telegram.
- Лаборатория Касперского выпустила отчет по Финансовым киберугрозам в 2022 году. Эксперты наблюдали угрозы нового типа, включая новые схемы атак на системы бесконтактных платежей, а также появление новых группировок вымогателей. В то же время традиционные угрозы, такие как банковские вредоносные программы и финансовый фишинг, по-прежнему составляют значительную долю кибератак, совершаемых ради финансовой выгоды.
- Экспертно-аналитический центр компании InfoWatch выпустил отчет по результатам исследования утечек информации в мире среди коммерческих компаний и государственных организаций в 2022 году. В материале приводится динамика отдельных показателей за период 2017-2022 гг.
- Компания Ростелеком-Солар представила результаты исследования сетевых угроз, проведенное в марте 2023 года. Самым дорогостоящим инцидентом для российских корпораций за последний год стал перехват внешним злоумышленником контроля над сетевым оборудованием компании – потери от него составили 10,7 млн рублей, а затраты на восстановление – 7,9 млн рублей. Исследование также показало, что на рынке наблюдается дефицит отечественных средств защиты от сетевых угроз, и в российских организациях растет спрос на этот класс решений.
- Эксперты Positive Technologies опубликовали исследование об обнаружении и предотвращении атак, в которых используются наиболее популярные техники MITRE ATT&CK. Исследователи успешно применяли представленные методы в ходе пентестов, проведенных в российских организациях в 2022 году. Список предложенных превентивных мер покрывает 29% требований о защите информации, изложенных в приказе ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- В исследовательском документе Trend Micro под названием Inside the Halls of a Cybercrime Business подробно рассматриваются малые, средние и крупные преступные группировки на основе случаев арестов правоохранительными органами и инсайдерской информации.
- Sysdig опубликовали отчет, в котором описывается, как киберпреступники используют уязвимость Log4j для получения доступа к IP-адресам, которые затем продаются организациям, которые далее их перепродают. Атаки, получившие название proxyjacking, позволяют злоумышленникам перепродавать пропускную способность поставщикам прокси-сервисов скрыть свое физическое местоположение.
- Cyberint опубликовали отчет по Тенденциям программ-вымогателей в 2023 г. Число жертв в 1 квартале 2023 года по отношению к 1 кварталу 2022 составило 831 против 763. LockBit3.0 оставался угрозой номер один, атакуя в среднем около 23 жертв в неделю и на него пришлось почти 33% всех случаев программ-вымогателей в этом квартале.
- В новом отчете компании WithSecure, проведенном Forrester Consulting, говорится, что многие организации проявляют реактивность в своем подходе к защите от угроз и поэтапны, когда речь идет об инвестициях в кибербезопасность. При этом цели безопасности отделяются от бизнес-целей, в результате чего организации вкладывают средства в защиту от угроз, которые не имеют отношения к их бизнесу или целям.
- Несмотря на то, что прозрачность и оперативная отчетность являются важными шагами после атаки, Bitdefender обнаружил, что многим ИТ-специалистам было приказано сохранять конфиденциальность после взлома. Более 42% опрошенных ИБ-специалистов заявили, что им нужно сохранять конфиденциальность в случае утечки, хотя они знали, что о нем следует сообщить, а 30% заявили, что сохраняли конфиденциальность в отношении нарушения.
- По данным WatchGuard, несмотря на снижение количества обнаруживаемых в сети вредоносных программ в четвертом квартале 2022 года, количество программ-вымогателей для конечных точек выросло на 627%, в то время как вредоносное ПО, связанное с фишинговыми кампаниями, по-прежнему представляло угрозу.
- Исследователи Resecurity в новом отчете фокусируются на относительно новой даркнет-площадке STYX, которая реализует услуги по финансовому мошенничеству. STYX открылась 19 января и реализует систему условного депонирования для посредничества в сделках между покупателями и продавцами.
- Британская некоммерческая организация RUSI опубликовала отчет о том, как индустрия киберстрахования может сыграть определенную роль в замедлении текущей экосистемы программ-вымогателей и вымогательства данных.
- Подразделение Threat intel опубликовало отчет с текущими основными рынками dark web, спустя год после того, как правоохранительные органы ликвидировали Hydra. В "большую пятерку" теперь входят Mega, Black sprint, Solaris, Kraken и OMG!OMG!
Громкие инциденты ИБ
- Тайваньский поставщик компьютерных компонентов MSI подтвердил факт кибератаки. Хакерская группировка Money Message объявила, что ей удалось взломать некоторые внутренние системы компании и вывести оттуда значительный массив данных.
- Хакеры взломали сайт Городских зрелищных касс (Kassy.ru). Злоумышленникам известны логин и хешированный пароль пользователя, фамилия, имя, отчество, пол пользователя, его дата рождения и адрес электронной почты. В базе также есть сведения о том, в каком городе клиент заказывал билеты на мероприятия.
- Чат-бот с искусственным интеллектом ChatGPT стал причиной утечки корпоративных данных Samsung. Конфиденциальная информация корпорации попала в Сеть из-за неправильного использования специалистами ChatGPT.
- Кибератаке подверглось оборудование компании Galil Sewage Corporation, специализирующейся на орошении полей. Пострадали системы мониторинга ирригации, которые отвечают за автоматический полив, а также система работы со сточными водами.
- Компания Western Digital объявила, что ее сеть была взломана, и неавторизованные третьи лица получили доступ к нескольким системам. После обнаружения атаки компания приняла дополнительные меры для защиты своих систем и операций, которые повлияли на работу ряда сервисов производителя.
- Онлайн-сервис подачи деклараций о доходах eFile.com в течение как минимум двух недель выполнял на ПК посетителей вредоносный скрипт на языке JavaScript для распространения трояна, превращающего компьютер в участника ботнет.
- Ведущие информационные порталы Израиля подверглись массированной хакерской атаке группировки Anonymous Sudan. Помимо сайта The Jerusalem Post, взломаны порталы израильской государственной телерадиокомпании Kan и базирующегося в Тель-Авиве информационного телеканала I24, вещающего на иностранных языках.
- Аутсорсинговая компания Capita восстанавливает свои системы после кибератаки, затронувшей доступ к внутренним приложениям Microsoft 365. Взлом привел к блокировке некоторых услуг для клиентов.
Обзор событий предстоящих недель 17.04 – 28.04
Офлайн-мероприятия
- 20 апреля, Екатеринбург – Конференция БИТ Урал 2023;
- 20-21 апреля, Москва – III Международный форум по цифровизации и ИТ в металлургической отрасли Smart Mining & Metals;
- 25-28 апреля, Астрахань – 1-й Каспийский форум информационной безопасности;
- 27 апреля, Санкт-Петербург – Код ИБ 2023.
Онлайн-мероприятия
- 20 апреля, 11:00 – Обучающий митап от CyberCamp «DevSecOps».
Вебинары
- 18 апреля, 12:00 – Вебинар ITGLOBAL.COM: Аутсорс ИБ: современный подход к безопасности;
- 18 апреля, 11:00 – Вебинар Код ИБ: NoSQL СУБД Енисей: использование СУБД в построении сложных распределённых систем;
- 18 апреля, 11:00 – Вебинар Диалог-Наука: Обзор актуальных нормативных требований Банка России по защите информации;
- 19 апреля, 14:00 – Вебинар Ростелеком-Солар: Как автоматизировать поиск уязвимостей с помощью SAST и DAST: пример уязвимости SSRF;
- 25 апреля, 12:00 – Вебинар Ростелеком-Солар: Практика применения PAM: мифы и реальность;
- 27 апреля, 12:00 – Вебинар Ростелеком-Солар: Политика в DLP – это не страшно. Как настроить политику, чтобы она работала на вас?