Дайджест информационной безопасности №222 за период с 4 по 15 октября 2021
Поделиться
Новости законодательства
1 октября вступили в силу поправки к Федеральному закону «О связи», которые обязывают операторов предоставлять по запросу Роскомнадзора данные о юрлицах и индивидуальных предпринимателях.
Компания Microsoft добавила новую функцию в Exchange Server, которая позволит автоматически принимать меры по устранению высокорисковых уязвимостей,которые, скорее всего, уже используют хакеры. Новая функциональность получила название Microsoft Exchange Emergency Mitigation (EM) и основана на инструменте Exchange On-premises Mitigation Tool (EOMT).
Специалисты компании Microsoft обнародовали данные об атаке, которую в корпорации называли самой мощной в истории. По их словам, DDoS-атака была зафиксирована еще в августе 2021 года. Она была направлена против крупной европейской компании, являющейся клиентом облачного сервиса Microsoft Azure. Суммарно атака продолжалась около десяти минут, а пиковый уровень трафика достиг отметки в 2,4 Тбит/с. Компания Microsoft выпустила плановые октябрьские обновления безопасности для своих продуктов. В общей сложности патчи исправляют 74 уязвимости (81 с учетом Microsoft Edge), в том числе одну уязвимость нулевого дня. Три уязвимости отмечены как критические, 70 являются опасными и одна – малоопасной.
Microsoft, GitHub, GitLab и BitBucket, являющиеся одними из крупнейших на сегодняшний день порталов для хостинга кода, инициировали массовый отзыв SSH-ключей. Отзыв начался 12 октября после того, как стало известно об уязвимости в популярном программном Git-клиенте GitKraken.
Операторы неизвестного вымогательского ПО использовали Python-скрипт для шифрования виртуальных машин, размещенных на серверах VMware ESXi. Исследователи из Sophos отметили, что это была одна из самых быстрых атак на их памяти: на освоение сети и развертывание шифровальщика злоумышленники потратили немногим более трех часов.
Интересные посты русскоязычных блогов по ИБ
Эксперты Deiteriy Lab рассказали про атаку PetitPotam, которая позволяет при определенных условиях захватить контроллер домена всего за несколько действий. Статья предназначена для пентестеров и тех, кто хочет узнать об актуальных атаках на Active Directory.
В блоге компании Эшелон на Хабре автор рассмотрел, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.
Ведущие эксперты отрасли в рамках проекта AM Live обсудили актуальные вопросы организации работы с коммерческим SOC. В частности, могут ли внешние центры мониторинга и оперативного реагирования рассматриваться как альтернатива собственному SOC и является ли величина EPS (Events Per Second) справедливым фактором определения стоимости услуг коммерческих SOC и стоит ли отдавать Threat Intelligence на аутсорсинг.
Интересные посты англоязычных блогов по ИБ
Джастин Колер написал о том, как убедить начальство принять участие в защите Active Directory. Группы безопасности должны найти способ ранжировать проблемы безопасности AD и давать четкие инструкции по их устранению. Автор привел несколько способов повысить вероятность инвестиций C-Suite в безопасность AD.
Joshua Goldfarb привел 7 способов, при помощи которых команда безопасности может завоевать доверие заинтересованных сторон и более эффективно продвигать свои инициативы.
Специалисты «Лаборатории Касперского» представили исследование новой версии шпионского ПО FinFisher также известного как FinSpy и Wingbird. Это ПО для заражения системы использует UEFI-буткит, внедряемый в загрузчик Windows Boot Manager. Данная особенность позволяет злоумышленникам развёртывать ВПО без необходимости обходить проверки безопасности прошивки.
Эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов — программ, позволяющих скрыть в системе присутствие вредоносного программного обеспечения или следы пребывания злоумышленников. Исследование показало, что 77% руткитов используются киберпреступниками для шпионажа.
Эксперты Microsoft Threat Intelligence Center (MSTIC) представили исследование нового бэкдора FoggyWeb. Этот бэкдор активно используется при атаках на AD FS серверы группировкой NOBELIUM (также известной как APT29). Со слов специалистов, FoggyWeb является узконаправленным бэкдором, нацеленным на извлечение конфиденциальной информации с скомпрометированного AD FS сервера.
По данным отчета Check Point Research, каждую неделю 1 из 61 организации в мире подвергается воздействию программ-вымогателей. В сентябре 2021 года среднее еженедельное количество атак на каждую организацию во всем мире достигло своего пика - более 870 атак. Это более чем вдвое превышает количество атак в марте 2020 года. Образование / исследования - наиболее целевой сектор в настоящий момент.
Эксперты ESET предупреждают о растущей угрозе со стороны модульных Linux-зловредов, объединенных в семейство с кодовым именем FontOnLake. Набор вредоносных инструментов, включающий бэкдор и руткит режима ядра, находится в стадии активной разработки: создатели часто его апгрейдят, добавляя новые функции.
Последний Глобальный индекс угроз Check Point Research за сентябрь 2021 года показал, что Trickbot вернулся на вершину списка наиболее распространенных вредоносных программ, после того, как занял второе место в августе.
Анализ 186 успешных атак программ-вымогателей на предприятия в США, проведенный компанией Comparitech, в 2020 году показал, что компании потеряли почти 21 миллиард долларов США из-за простоев, вызванных атакой. По сравнению с 2019 годом количество раскрытых атак программ-вымогателей резко возросло - на 245%.
Глава техслужбы Facebook Майк Шрепфер в своем Twitter-аккаунте назвал причину масштабного сбоя в работе сервисов компании. По его словам, сбой произошел из-за проблем с сетью. Сейчас команда занимается восстановлением работы.
В сети появился torrent на 125Гб, содержащий исходный код платформы Twitch, SDK, внутренние инструменты Twitch, данные о заработке стримеров с 2019 года и файлы проекта Vapor — предполагаемого конкурента Steam.
Киберпреступная группировка FIN12 атакует медицинские организации с использованием вымогательского ПО Ryuk. По словам специалистов, злоумышленники несут ответственность примерно за 20% всех атак с использованием программ-вымогателей, которые эксперты зафиксировали за последние 12 месяцев.
В распоряжении хакеров, осуществивших атаку на системы компании SolarWinds, оказались данные о санкционной политике США в отношении россиян и сведения о деятельности РФ, добытые разведкой. Кроме того, недавно кибепреступники получили доступ к сетям американского минюста, а также ознакомились с перепиской сотрудников министерств финансов, торговли и внутренней безопасности.
В США киберпреступники взломали и обокрали своих коллег, похитив $7 млн. Хакерское сообщество обвиняет в краже группировку REvil, которая создает и продает вирусы для взломщиков-вымогателей. REvil удалось обокрасть своих же клиентов, которым они продали вирус, с помощью так называемого backdoor - уязвимости, которая используется для переписки с жертвой.
