Дайджест ИБ №266 за период с 10 по 21 июля 2023 года

Новости законодательства

• В Государственной думе РФ принят законопроект о дополнительном обеспечении защиты россиян от мошенников и киберпреступников. Согласно документу, финансовые учреждения обязаны будут возвращать своим клиентам деньги, которые были переведены мошенникам без их согласия.

• Опубликована новая версия законопроекта за нарушение обязанностей оператором социальной сети. Теперь предлагается установить штрафы, максимальный из которых достигает 8 млн руб.

Новости ИБ  

• Злоумышленники начали активно распространять в мессенджерах модифицированные версии программ для удалённого доступа под видом приложений служб поддержки российских банков. Они меняют сами названия программ и иконки, а также надписи в некоторых текстовых полях.  

• Google в рамках пилотного проекта начала ограничивать для части сотрудников доступ в интернет, чтобы снизить риск кибератак и утечки данных. Сотрудники, участвующие в этой программе, имеют доступ только к внутренним сетевым ресурсам компании и сервисам типа Google Drive и GMail только под корпоративным аккаунтом.

• Неизвестный разработчик создал аналог чат-бота с искусственным интеллектом ChatGPT, предназначенный для хакеров и киберпреступников. В июне создатель начал продавать доступ к чат-боту под названием WormGPT на популярном хакерском форуме.

• По данным исследователей, порядка 65% паролей российских пользователей состоят из 6-8 символов – цифр или цифр и букв в нижнем регистре. Взломать их можно всего за одну минуту с помощью машинного перебора.

• Экстренные обновления безопасности Apple, выпущенные для устранения уже находящейся под атаками 0-day уязвимости, мешали отображению некоторых сайтов. В итоге RSR-патчи были отозваны.

• Microsoft заблокировала сертификаты для подписи кода, которые в основном использовались хакерами и разработчиками для подписи и загрузки вредоносных драйверов режима ядра (Kernel-Mode Drivers) во взломанные системы. Более 100 вредоносных драйверов получили действительные подписи через Windows Hardware Compatibility Program (WHCP).

• В России создают первую в стране платформу кибербезопасности транспортных средств. Платформа позволит защитить личные данные автовладельцев, повысить безопасность грузового транспорта, исключить удаленную блокировку автомобилей, перехват их управления, подмену информации и обновление ПО без уведомления водителя.  

• В ядре Linux обнаружен новый дефект безопасности под названием StackRot (CVE-2023-3269), который потенциально может позволить злоумышленникам получить повышенные привилегии на целевых системах.

Интересные посты русскоязычных блогов по ИБ 

• Автор блога на Хабр задумался о том, как можно различными способами использовать включенные Bluetooth-устройства, не подключаясь к ним. Исследователь в своей статье поделился экспериментом написания небольшого алгоритма в Automate, который каждые 15 секунд сканирует Bluetooth-устройства и сохраняет в лог имена, адреса и локацию.

• В корпоративном блоге R-Vision на Хабр вышло продолжение серии статей, посвященных Component Object Model (COM) и одному из популярных у злоумышленников методов закрепления в системе – COM Hijacking. В материале Диана Кожушок, аналитик-исследователь киберугроз R-Vision, детально проанализировала различные способы проведения атаки COM Hijacking, чтобы в дальнейшем разобрать возможные варианты ее обнаружения.

• Специалисты компании FirstVDS в своей статье на Хабр рассказали об опасности шифровальщика Loki Locker для малого и среднего бизнеса, а также описали алгоритм действий по расшифровке файлов для тех, кто стал жертвой вымогателя.

• Одна из новых тактик, набирающих обороты – обход многофакторной аутентификации с помощью кражи cookie-файлов из текущих или недавних веб-сеансов. Эксперты  компании Xeovo VPN рассказали о том, как хакеры крадут cookie, а также как отслеживать и чистить cookie-файлы.

Интересные посты англоязычных блогов по ИБ   

• Эксперты компании Check Point в своей статье рассказали, почему необходимо сопоставление распределенных данных, а также с какими проблемами можно столкнуться на этом пути и как можно их преодолеть.

• Компания Red Siege разработала и предоставила множество инструментов с открытым исходным кодом, которые помогут в работе по тестированию на проникновение. Mirko Zorz в своей статье привел список из 12 таких инструментов, доступных бесплатно на GitHub, о которых полезно знать.

• Распространенность вредоносных мобильных приложений подвергает организации риску операционной целостности и доверия клиентов. Организации должны уделять приоритетное внимание тестированию мобильных приложений, чтобы защитить операции и бизнес от кибератак. В своей статье Shikha Dhingra подчеркивает важность тестирования мобильных приложений для безопасности организации.

• Идентификация машин стремительно растет по мере того, как предприятия переходят в облако, внедряют контейнеризацию и используют больше мобильных устройств. Поскольку неправильно управляемые сертификаты вызывают сбои, подобная проблема становится критической для многих организаций и руководителей. Эксперты компании Keyfactor привели 4 совета по решению проблем с сертификатами без создания новых.

Исследования и аналитика

• Экспертно-аналитический центр InfoWatch выпустил отчет по результатам исследования кибербезопасности АСУ ТП. В исследовании выявлен ряд изменений в подходах к защите АСУ ТП и объектов КИИ, наиболее популярные и востребованные меры кибербезопасности, а также сопоставлены подходы к защите АСУ ТП в России и за рубежом. 

• Специалисты PT Expert Security Center зафиксировали новую волну атак хакерской группировки Space Pirates. Преступники разработали новые инструменты и увеличили число попыток атаковать российский государственный сектор, авиационную и ракетно-космическую промышленность, образовательные учреждения.

• В исследовании F.A.C.C.T. речь идет о двух свежих атаках хак-группы Red Curl в ноябре 2022 и в мае 2023 года. «Фирменным стилем» RedСurl остается отправка фишинговых писем сотрудникам атакуемой компании, но на этот раз вместо писем-приманок от HR-департамента, атакующие рассылали предложения с корпоративными скидками от известного российского маркетплейса.

• Число сетевых кибератак на российские компании по итогам второго квартала выросло примерно на 40% в сравнении с прошлым годом и более чем на 13% относительно начала 2023 года. Направление главного удара сместилось с развлекательных ресурсов на сервисы аграрного сектора, учебных заведений и логистических компаний. Количество DDoS-атак выросло на 46%, отмечается в исследовании DDoS-Guard.

• Отчет Navigating Third-Party Security Risks in 2023: Mid-Year Insights and Trends компании Panorays показывает, что 13% организаций постоянно отслеживают риски безопасности своих третьих сторон. Как отмечают эксперты, это свидетельствует о пробелах в существующих методах управления рисками, особенно при рассмотрении критически важных поставщиков.

• В отчете SpyCloud сообщается, что CISO обеспокоены атаками, в которых используются данные аутентификации, удаленные вредоносным ПО, при этом 53% выражают крайнюю обеспокоенность и менее 1% признают, что их это вообще не беспокоит.  98 % опрошенных указали, что более четкий обзор приложений, находящихся под угрозой, значительно улучшит их состояние безопасности.

• Thales  выпустила исследование Thales Cloud Security Study за 2023 год, которое показало, что более трети предприятий столкнулись с утечкой данных в своей облачной среде в прошлом году. 55% опрошенных назвали человеческую ошибку основной причиной утечек облачных данных. 75% предприятий заявили, что более 40% данных, хранящихся в облаке, классифицируются как конфиденциальные.

• Identity Theft Resource Center опубликовала свои выводы об утечке данных в США за первое полугодие 2023 года. Согласно отчету, в этом квартале было 951 общедоступное раскрытие данных, что на 114% больше, чем в предыдущем квартале (445 компрометаций). Это наибольшее количество нарушений, отслеженных ITRC за один квартал.

• Group-IB опубликовала Digital Risk Trends 2023, всесторонний анализ двух наиболее распространенных в мире киберугроз: мошенничества и фишинга. Согласно исследованию, среднее количество мошеннических ресурсов, созданных для каждого бренда во всех регионах и отраслях, в 2022 году увеличилось на 162%. Кроме того, общее количество мошеннических страниц, обнаруженных Group-IB в 2022 году, было более чем в три раза больше, чем в 2021 году.

• Чуть более половины хакеров заявили, что генеративный искусственный интеллект может превзойти хакеров в ближайшие пять лет. 72% респондентов все же считают, что ИИ не сможет воспроизвести творческий потенциал хакеров-людей. Подобная аналитика приводится в отчете Inside the Mind of a Hacker 2023 компании Bugcrowd.

Громкие инциденты ИБ 

• Австралийская компания по добыче железной руды Fortescue Metals подверглась хакерской атаке группы вымогателей Clop. Злоумышленники взяли на себя ответственность и за кибератаку, и за кражу данных из сетей компании.

• В Приморье временно приостановили отпуск льготных лекарств из-за кибератаки на информационную систему регионального склада препаратов.

• Группировка Storm-0558 взломала почтовые ящики более двух десятков организаций по всему миру. Хакеры получили доступ к чужим учетным записям электронной почты с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации.

• Китайские хакеры получили доступ к электронному почтовому ящику министра торговли США Джины Раймондо, используя базовую уязвимость в облачном сервисе Microsoft. 

• ZooTampa, один из самых популярных зоопарков в Соединённых штатах, стал жертвой кибератаки. В результате инцидента похищена информация о сотрудниках и поставщиках.

• Хакеры из NLB получили доступ к более чем 5,2 млн записей с личными данными участников конкурса «Большая перемена». Среди них: фамилия, имя, отчество, электронная почта, телефон, и т.д.

• На хакерском форуме появилось объявление о продаже данных компании Razer, производящей игровое оборудование и периферию. Злоумышленники продают украденную информацию за $100 000 в криптоваюте Monero.