Дайджест ИБ №274 за период с 30 октября по 10 ноября 2023 года

Новости ИБ  

• В России ужесточат ответственность за незаконную обработку персональных данных. Такие изменения в КоАП поддержала правительственная комиссия по законопроектной деятельности. 
• Злоумышленники могут использовать сервис для поиска устройств «Локатор» («Find My») от Apple для незаметной передачи конфиденциальной информации, похищенной кейлогерами, которые могут быть установлены в сторонние клавиатуры.
• Платформа Atlassian Confluence столкнулась с новой угрозой : злоумышленники эксплуатируют критическую уязвимость в ее системах, чтобы обойти процедуру аутентификации. Баг позволяет шифровать файлы с помощью вымогательского вируса Cerber.
• Аналитики из компании BitSight обнаружили прокси-ботнет Socks5Systemz, который заражает компьютеры по всему миру через загрузчики PrivateLoader и Amadey, и в настоящее время насчитывает более 10 000 скомпрометированных устройств.
• Обнаружен мод для WhatsApp, который содержит ранее неизвестное вредоносное ПО — троянца-шпиона для Android. Он получил название CanesSpy.
• Доктор наук и основатель исследовательской компании Planalto Research заявил о том, что его команда добилась значительного прогресса в квантовых вычислениях, успешно взломав ключ RSA-2048. Этот прорыв может означать начало новой эры в области криптографии и информационной безопасности.
• MITRE анонсировала выпуск 14-й версии фреймворка ATT&CK. Из изменений наиболее приметны развернутые рекомендации по выявлению техник, расширение охвата сегментов Enterprise и Mobile, новый раздел Assets в ICS и структуризация методов детекта в Mobile.
• Эксперты Лаборатории F.A.C.C.T. обнаружили новую преступную группу вымогателей, называющей себя Werewolves. Злоумышленники с июня активно атакуют российские компании, требуя за расшифровку и непубликацию украденных данных выкуп в размере до $1 млн. 

Интересные посты русскоязычных блогов по ИБ 

• Команда R-Vision продолжила разбираться с техникой горизонтального перемещения и рассмотрела еще один инструмент – WMIExec. В статье разбираются его принципы работы, а также показан возможный способ детектирования инструмента как в теории, так и на практике.
• T.Hunter  подвел итоги уходящего месяца осени и представил подборку 15-ти самых интересных уязвимостей за октябрь 2023 года.
• Эксперты OTUS привели пример использования REMnux для реверсинга. В рамках данной статьи говорится об инструментах REMnux для статического анализа артефактов.
• В августе этого года в клиент OpenSSH внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре. В блоге RUVDS.com описана опасность набора текста в интернете и почему  такие меры должны предпринять все программы, которые допускают ввод паролей в интернете.

Интересные посты англоязычных блогов по ИБ   

• Wallarm подчеркнули перспективы доступа к сети с нулевым доверием (ZTNA). Ожидается, что благодаря прогрессивным технологическим достижениям и растущему акценту на кибербезопасность ZTNA станет решающим фактором, определяющим развитие сетевой безопасности. Тем не менее, успешное развертывание ZTNA требует глубокого понимания ее принципов и стратегического плана ее развертывания.
• В блоге Help Net Security приведены 7 бесплатных карт киберугроз, показывающих интенсивность и частоту атак. В статье перечислены различные платформы, которые выделяются в этой области. От совместных усилий Google Ideas и Arbor Networks в цифровой карте атак Arbor Networks до обширной глобальной сети анализа угроз Fortinet Threat Map
• Nilesh Dherange выделил три основных этапа атаки программ-вымогателей и объяснил как они разворачиваются и какие признаки указывают на атаку. А также рассмотрел, что можно сделать, чтобы смягчить любой ущерб.
• Исследователь безопасности Gergely Kalman опубликовал техническую статью о BatSignal (CVE-2022-26704), уязвимости, позволяющей пользователю root получить повышение привилегий в macOS.

Исследования и аналитика

• Злоумышленники удвоили активность DDoS-атак и стали генерировать вредоносный трафик внутри российских сетей. Об этом говорится в исследовании компании Qrator Labs. 42% всех зарегистрированных DDoS-атак были направлены против учреждений финансового сектора.
• Эксперты Лаборатории Касперского рассказали о новом наборе вредоносных инструментов ToddyCat, о программах, используемых для кражи и эксфильтрации данных, а также о методах, применяемых этой группой для перемещения в инфраструктуре и проведения шпионских операций.
• По результатам исследования InfoWatch выяснилось, что половина утечек данных у отечественных организаций связана с действиями действующих сотрудников. В 15% случаях виноваты бывшие сотрудники, в то время, как только 13% утечек приходится на внешних киберпреступников и мошенников.
• В 3 квартале 2023 года в России и остальном мире был зафиксирован новый тип разрушительных DDoS-атак, к отражению которого многие компании оказались не готовы, следует из отчета  компании StormWall. Одним из самых ярких трендов квартала стало использование злоумышленниками смешанных ботнетов, состоящих из нескольких вредоносных программ. 
• По данным Corvus Insurance, в третьем квартале 2023 года частота глобальных атак программ-вымогателей выросла на 11% по сравнению со вторым кварталом и на 95% в годовом исчислении. Если тенденция сохранится, 2023 год станет первым годом, когда более 4000 жертв программ-вымогателей разместят информацию на сайтах утечек (2670 в 2022 году).
• Подробная техническая информация о новых поколениях фреймворка MATA, описание вредоносной инфраструктуры злоумышленников, атрибуция и сведения о жертвах кампании собраны в отчете Лаборатории Касперского: «Атаки обновленного зловреда MATA на промышленные компании в Восточной Европе».
• Аналитический отдел по угрозам компании VMware выявил 34 уязвимых драйвера ядра, которые могут быть использованы для модификации прошивки и повышения уровня привилегий атакующими. Анализ затронул драйверы моделей Windows Driver Model (WDM) и Windows Driver Framework (WDF), и компания опубликовала список имён файлов, связанных с проблемными драйверами.
• В Межгосударственном совете по технологиям и регулированию (ITRC) заявили в новом отчете, что малый бизнес подвергается рекордному числу кибератак в 2023 году. 73% владельцев малого бизнеса в США сообщили о кибератаке на их компанию в прошлом году. При этом наиболее часто целью нападений становились данные сотрудников и клиентов.
• Специалисты строят теории о загадочном отключении ботнета Mozi, который недавно был ликвидирован с помощью специального «рубильника», предназначенного для деактивации всех ботов. Как сообщают теперь специалисты компании ESET, резкое падение активности Mozi началось еще 8 августа 2023 года, начиная с остановки всех операций ботнета в Индии.
• Согласно исследованию Amazon Web Services (AWS) для 35% представителей малого и среднего бизнеса кибербезопасность не является ключевым аспектом при переходе на облачные технологии. 41% опрошенных не проводили обучения по безопасности, и только 43% планируют это сделать в следующем году. 50% опрошенных выразили опасения, что данные в облаке менее защищены, чем на локальных серверах.
• Ежегодный отчет SlashNext Threat Labs содержит анализ угроз, замеченных в каналах электронной почты, мобильных устройствах и браузерах за 12 месяцев, в период с IV квартала 2022 года по III квартал 2023 года. В отчете подчеркивается внушительный рост числа атак с целью кражи учетных данных на 967%. А количество вредоносных фишинговых писем увеличилось на 1265% с IV квартала 2022 года.
• Новый отчёт исследователей Университета Дьюка раскрывает подробности о продаже конфиденциальных данных американских военнослужащих брокерами данных. В исследовании, акцентирующем внимание на национальной безопасности, выявлено, что чрезвычайно подробная личная информация о военных, ветеранах и их семьях продаётся по цене от $0.12 до $0.32 за запись.
• Опубликовано исследование Paloalto  по обнаружению трафика Cobalt Strike. Эксперты продемонстрировали, как гибкий профиль C2 придает универсальность Cobalt Strike и почему эта универсальность делает Cobalt Strike эффективным эмулятором, для которого сложно спроектировать традиционную защиту брандмауэра.
• По данным Dashlane, за последний год безопасность паролей и гигиена во всем мире улучшились, что снизило число случаев захвата учетных записей потребителями и предприятиями. Однако повторное использование паролей остается распространенным явлением, что делает учетные записи пользователей особенно уязвимыми для атак с использованием паролей, если они не защищены надежной многофакторной аутентификацией (MFA).
• Отчет Федерального управления по информационной безопасности Германии (BSI) выявил, что в ФРГ отмечается заметное увеличение числа угроз, связанных с хакерскими атаками с применением вымогательского ПО. Среднее число новых вариантов вредоносного ПО достигало порядка 332 000 ежедневно с июня 2022 по июнь 2023.
• Сразу шесть компаний из КНР попали в топ-10 рейтинга по числу международных патентов, которые связаны с технологиями кибербезопасности. При этом первое место продолжает удерживать американская корпорация IBM, по данным совместного исследования японского информагенства Nikkei с американской компанией LexisNexis.
• В соответствии с результатами исследования Sophos, атаки программ-вымогателей на медорганизации приводили к шифрованию файлов в 75% случаях. Этот показатель существенно вырос по сравнению с прошлым годом, когда 61% медицинских учреждений сообщили о шифровании данных в своих сетях после подобных атак с применением вымогательского программного обеспечения.
• В новом отчёте компании Venafi говорится о том, что около 50% пользователей сообщают об инцидентах безопасности Kubernetes и контейнеров. В ходе исследования было выявлено, что практика облачной разработки формирует серьёзные «слепые зоны» кибербезопасности. Это становится особенно актуальным для предприятий из США, Великобритании, Франции и Германии.

Громкие инциденты ИБ 

• Неизвестные киберпреступники, объявившие себя пропалестинской хакерской группой «Воины Соломона», взяли на себя ответственность за кибератаку на один из крупнейших израильских мукомольных заводов, что привело к серьёзному нарушению работы предприятия.
• Один из крупнейших производителей велосипедных компонентов Shimano подвергся атаке хакеров-вымогателей, в результате чего произошла утечка 4,5 ТБ данных. Злоумышленники заполучили информацию о заводских проверках, лабораторных испытаниях, всевозможные финансовые документы и так далее.
• Используя закрытые ключи и парольные фразы, которые хранились в украденных базах данных сервиса LastPass, злоумышленникам удалось украсть 4,4 млн долларов у пострадавших пользователей.
• Хакеры из группировки LockBit заявили о взломе американской авиакосмической корпорации Boeing и утверждают, что похитили «огромное количество конфиденциальных данных». Судя по таймеру на сайте группировки, хакеры ждут ответа и выплаты выкупа от Boeing до 2 ноября 2023 года, а после начнут публиковать украденную информацию. 
• Разработчики программного обеспечения CCleaner подтвердили утечку информации в результате хакерской атаки. По данным компании, хакеры получили доступ к клиентским данным, воспользовавшись уязвимостью в продукте MOVEit Transfer. 
• Киберпреступники получили доступ к адресам электронной почты около 632 тыс. федеральных служащих американских Минобороны и Минюста. Об этом сообщило агентство Bloomberg со ссылкой на отчет Управления кадровой службы США.

Обзор событий предстоящих недель

Оффлайн-мероприятия

• 14 ноября, Краснодар – Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 14 ноября, Нижний Новгород – Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 16-17 ноября, Екатеринбург – XIII ежегодный профессиональный Форум Безопасность бизнеса;
• 16 ноября, Ростов-на-Дону – Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 21 ноября, Уфа – Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 24-25 ноября, Москва - Standoff Talks в «Кибердоме».

Онлайн-мероприятия

• 14-15 ноября, Москва – SOC - Форум 2023.

Вебинары

• 16 ноября, 11:00 – Вебинар BI.ZONE Как повысить оценку ГОСТ 57580: быстро, эффективно, с первого раза.
• 21 ноября, 11:00 – Вебинар Диалог-наука: Реформа 152-ФЗ «О персональных данных». Разбор проблемных ситуаций и способов их решения; 
• 9 ноября, 12:00 – Вебинар Ростелеком-Солар: Игра по правилам ИБ: держим под контролем угрозы удаленного доступа.