Дайджест ИБ №271 за период с 18 по 29 сентября 2023 года

Новости ИБ  

• Правительство РФ одобрило инициативу о выплате пострадавшим от утечек данных россиянам компенсаций. Для допустившей утечку компании готовность выплачивать такие компенсации будет смягчающим обстоятельством. Размер оборотного штрафа для нее понизят.

• Компания Atlassian исправила уязвимости в четырех своих продуктах: Bamboo, Bitbucket, Confluence и Jira. Уровень риска проблем оценивается как высокий.

• В Западной Европе, на Среднем Востоке и в Южной Азии замечен новый тип атак с использованием вредоносного ПО LuaDream. Цели атаки – телекоммуникационные провайдеры регионов.

• Исследователи SentinelOne обнаружили новые версии трояна CapraRAT, которые имитируют YouTube и используются Transparent Tribe для шпионажа за устройствами Android.

• Apple выпустила экстренные обновления безопасности для устранения трёх новых уязвимостей "нулевого дня", которые использовались в атаках на пользователей iPhone и Mac. Два бага обнаружены в движке браузера WebKit (CVE-2023-41993) и в Security framework (CVE-2023-41991).

• ФБР и агентство CISA предупредили об угрозе, исходящей от вымогательского ПО Snatch, известного еще с 2018 года. В последнее время его активность набирает обороты.

Интересные посты русскоязычных блогов по ИБ 

• В своей статье эксперты OTUS продолжили тему инъекций кода и поговорили о том, как можно осуществлять инъекции кода с помощью DLL. Общая идеология исследования - с помощью инъекции запустить реверсивный шелл на машине жертвы, и получить доступ на нее.
• Из сведений о домене хакеры могут добыть массу информации: начиная от данных владельца и заканчивая внутренними документами компании. В этой статье эксперты Nubes собрали все шаги и бесплатные OSINT-инструменты, которые помогут определить: какая информация о вашей компании есть в открытом доступе, как ее могут использовать злоумышленники и что можете сделать вы, чтобы предотвратить потенциальную атаку. 
• В издании Anti-Malware вышла статья Дашкова Алексея, в которой он подробно рассказывает про vulnerability management и с учетом лучших практик и экспертизы команды R-Vision в области управления уязвимостями, делится с читателями рекомендациями, как организовать этот процесс максимально эффективно.
• В статье компании OTUS речь идет об использовании отражающих dll инъекций (reflective dll injection), которые позволяют в определенной степени спрятаться от средств защиты на этапе закрепления на машине жертвы.

Интересные посты англоязычных блогов по ИБ   

• Trustedsec рассказали о некоторых методах пост-эксплуатации, которые оказались полезными против провайдера поставщиков удостоверений (IDP) Okta, который был одним из наиболее популярных решений, встречающихся в среде клиентов.
• Marie Wilcox рассказала, почему большая безопасность не означает более эффективное соблюдение требований. Это проблема, когда организации полагаются на ручной сбор доказательств. Инструменты безопасности и ИТ должны постоянно отслеживаться и контролироваться, чтобы минимизировать риск.
• В блоге trustedsec рассмотрены недостатки безопасности базовой аутентификации, сравнение ее с аутентификацией и авторизацией на основе токенов и JWT, а также стратегии устранения уязвимостей CSRF при использовании базовой аутентификации.

Исследования и аналитика

• Лаборатория Касперского представила обзор угроз для IoT-устройств в 2023 году. Эксперты проанализировали ландшафт угроз для IoT-устройств, а также товары и услуги в даркнете, связанные со взломом подключенных устройств.
• Исследователи VulnCheck сообщают, что около 12 000 брандмауэров Juniper SRX и коммутаторов EX подвержены RCE-уязвимости, которой злоумышленники могут воспользоваться без аутентификации.
• Согласно недавнему отчету Guardz 57% малых и средних предприятий столкнулись с нарушением кибербезопасности, при этом 31% респондентов заявили, что их бизнес подвергся атаке только за последние 12 месяцев. Кроме того, 29% малых и средних предприятий сообщили, что в настоящее время не имеют киберстрахования.
• Согласно отчету Digital.ai, 57% отслеживаемых приложений подвергаются атакам. Исследование не выявило корреляции между популярностью приложения и вероятностью атаки, но показало, что приложения для Android чаще попадают в небезопасную среду (76%), чем приложения для iOS (55%). Приложения для Android также чаще (28%) запускаются с измененным кодом, чем приложения для iOS (6%).
• Страховая компания Coalition опубликовала отчет 2023 Cyber Claims Report: Mid-year Update, в котором подробно описана эволюция кибертенденций в Н1 2023 года. Данные показали увеличение числа кибератак на 12%, что обусловлено заметным ростом числа вымогателей и мошенничества с переводом средств (FTF). Компании с выручкой более 100 млн$ столкнулись с наибольшим увеличением (на 20%) числа инцидентов, а серьезность ущерба увеличилась на 72% по сравнению со 2 полугодием 2022 года.
• Palo Alto Networks Unit 42 освещает некоторые из наиболее рискованных наблюдений в области безопасности, связанных с управлением поверхностью атаки (ASM), в отчете Unit 42 Attack Surface Threat Report за 2023 год . В отчете динамическая природа облачных сред противопоставляется скорости, с которой злоумышленники используют новые уязвимости. Было обнаружено, что киберпреступники используют новые уязвимости уже через несколько часов после публичного раскрытия. 
• 73% из почти 700 руководителей компаний, участвовавших в исследовании «Cybersecurity: The Board Perspective 2023», считают, что их организации подвержены риску таргетированной кибератаки. Это значительно больше по сравнению с показателями прошлого года (65%).
• В новом отчете Trend Micro говорится, что злоумышленники, использующие программы-вымогатели, отходят от целей «крупной игры» и обращаются к более простым и менее защищенным организациям. Со второй половины 2022 года число новых жертв этого вектора увеличилось на 47%, многие из которых представляли собой небольшие организации с менее зрелыми кибер-стратегиями.

Громкие инциденты ИБ 

• Государственный реестр новорождённых канадской провинции Онтарио подтвердил нарушение безопасности, затронувшее около 3,4 млн человек, среди которых обратившиеся за медпомощью во время беременности женщины, а также около двух млн новорождённых и детей.
• Агентство пограничных служб Канады (CBSA) сообщило, что из-за кибератаки в канадских аэропортах возникли массовые перебои в обслуживании. Проблемы с подключением затронули ряд автоматизированных систем пограничного контроля, включая киоски регистрации и электронные турникеты.
• Данные больше 35 млн клиентов индонезийской авиакомпании Lion Air оказались в свободном доступе. В авиакомпании Malindo Air, которая входит в Lion Air, подтвердили факт утечки данных. 
• Лаборатория Deep Instinct зарегистрировала начало новой атаки на цифровую инфраструктуру Азербайджана. В компании заявляют, что атака была проведена с помощью нового вируса, написанного на языке программирования Rust. 
• Крупнейшая сеть казино в США Caesars Entertainment сообщила, что пострадала от кибератаки и в итоге заплатила хакерам выкуп, чтобы избежать утечки данных клиентов. Исследователи считают, что за этим взломом могла стоять группировка Scattered Spider, недавно атаковавшая MGM Resorts.
• Международная совместная комиссия (IJC), отвечающая за управление водными системами на границе между США и Канадой, подтвердила, что подверглась кибератаке. Группа хакеров NoEscape украла 80 ГБ данных, включая контракты, геологические сведения и прочие документы.

Обзор событий предстоящих недель:

Офлайн-мероприятия

• 4-6 октября, Санкт-Петербург, Москва – GIS DAYS 2023;5-6 октября, Санкт-Петербург - Конференция БИТ Санкт-Петербург 2023;10 октября, Москва – Конференция АБИСС по вопросам регуляторики информационной безопасности;
• 10 октября, Новосибирск – Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 10 октября, Тюмень – Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 12-13 октября - Kuban CyberSecurity Conference 2023.

Онлайн-мероприятия

• 4 октября, 11:00 – онлайн-конференция AM Live: Эволюция российских SIEM-систем;
• 6 октября, 11:00 – онлайн-конференция AM Live: Квантовая и постквантовая криптография;
• 11 октября, 11:00 – онлайн-конференция AM Live: Лучшие практики DevSecOps.

Вебинары

• 5 октября, 11:00 – Вебинар Ростелеком-Солар: Какой должна быть DLP для компаний с филиальной сетью?;
• 11 октября, 15:00 – Вебинар R-Vision: Обзор возможностей R-Vision SIEM.