Дайджест ИБ №257 за период с 6 по 17 марта 2023 года

Новости ИБ  

• Минцифры подготовило законопроект, который обяжет федеральные ведомства РФ иметь типовые перечни объектов критической информационной инфраструктуры (КИИ) и установить сроки перехода на российские решения.

• Нулевую ставку по налогу на прибыль для IT-компаний, которая была введена до 2024 года, могут сделать бессрочной. Собственное предложение по продлению данной меры поддержки разработали в Минцифры. Помимо продления действия этого налогового режима, предлагается расширить сферу его действия.

• Европейский центральный банк будет проводить стресс-тестирование для ведущих банков по всему региону, чтобы определить их устойчивость к кибератакам. Регулятор инвестирует значительное количество времени и ресурсов в этот процесс, который должен быть завершен к середине 2024 года.

• GitHub ввел обязательную двухфакторную аутентификацию. Начиная с 13 марта, эта мера безопасности будет применяться к различным группам пользователей, включая разработчиков, работающих с критически важными проектами в npm, OpenSSF, PyPI и RubyGems, а также тех, кто создает OAuth-приложения, GitHub-обработчики и пакеты.

• С прошлого ноября по март этого года обновлённая версия вредоносного ботнета Prometei заразила более 10 000 систем по всему миру. Заражения носят как географически неизбирательный, так и целенаправленный характер, при этом большинство жертв зафиксировано в Бразилии, Индонезии и Турции.

• Программа-вымогатель IceFire, ранее известная только в атаках на Windows-системы, расширила свою активность на корпоративные сети Linux. Вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в программном обеспечении для обмена файлами IBM Aspera Faspex.

• Специалисты Университета Корё представили новый вектор атаки под названием CASPER. С его помощью злоумышленник может передать данные с физически изолированных компьютеров на ближайший смартфон со скоростью 20 бит в секунду.

• Эксперты заметили, что Emotet возобновил свою активность и после трехмесячного «затишья» снова начал рассылать вредоносный спам. Последняя версия вредоноса использует очень большие файлы для обхода проверок безопасности, которые сканируют только первые байты больших файлов или полностью пропускают большие файлы.

• Microsoft включает защиту LSA по умолчанию в сборке Windows 11 Canary. Защита LSA имеет решающее значение для защиты от кражи конфиденциальной информации или учетных данных для входа в систему путем блокирования внедрения ненадежного кода в процесс LSA и блокирования дампа памяти процесса.

• ИБ-специалисты обнаружили вредоносную кампанию Hiatus, в рамках которой злоумышленники заразили около 100 устаревших маршрутизаторов DrayTek Vigor 2960 и 3900 с целью кражи данных их владельцев и создания скрытой прокси-сети. В рамках этой кампании хакеры могут перехватывать электронную почту жертв и похищать файлы.

Интересные посты русскоязычных блогов по ИБ 

• Автор статьи на Хабр Геннадий Коваленко рассказал, как шифровальная машина «Энигма» работает изнутри и как ее реализовать  на языке Си.

• При обучении тестированию на проникновения возникает ситуация, когда необходимо от разрозненных статей и материалов переходить к полноценной процедуре исследования инфраструктуры и поиска уязвимостей. Автор статьи на Хабр Александр Колесников собрал данные, которые позволят сделать набор предположений для проведения тестирования на проникновение системы Windows AD.

• Статья компании GlobalSign на Хабр посвящена семейству алгоритмов легковесной криптографии Ascon, который в 2019 году был выбран основным вариантом легковесного шифрования в финале конкурса CAESAR, а значит выдержал проверку временем и оценку криптографическим сообществом.

Интересные посты англоязычных блогов по ИБ

• Ильяс Коолиянкал поделился статьей, в которой рассказал об эффективности целостного подхода к обеспечению информационной безопасности в организации, который позволяет интегрировать решения по кибербезопасности в соответствии с бизнес-процессами.

• В блоге компании SecureWork вышла статья о построении эффективной коммуникации между руководителем отдела безопасности и руководителями других отделов компании. Автор акцентирует внимание на необходимости узнавать больше о задачах других руководителей для того, чтобы связывать информационные риски с их воздействием на бизнес.

• Билли Линч, специалист из компании Chainguard опубликовал статью об уязвимости в GitHub, которая позволяет выдавать за легитимные "самозваные коммиты", полученные не из родительского репозитория, а из "форка".

• Линда Розенкранс в своей статье подробно рассказала о 6 причинах, почему стратегия борьбы с фишингом в компании может не приносить результатов. Среди причин: использование статических правил обнаружения атак, отсутствие системности в подходе и другие.

Исследования и аналитика

• Лаборатория Касперского выпустила отчет о  состоянии сталкерского ПО в 2022 году. Данные свидетельствуют об устойчивом росте числа сталкерских атак на протяжении всего 2022 года. В среднем каждый месяц 3333 пользователя становились новыми жертвами шпионов – чаще всего это жители России, Бразилии и Индии.

• Технический отчет Лаборатории Касперского посвящен вредоносной рекламе в поисковиках. В последние месяцы появляется все больше вредоносных рекламных кампаний с использованием Google Ads для распространения и доставки вредоносного ПО. По меньшей мере два зловреда для кражи данных, RedLine и Rhadamanthys используют один и тот же способ имитации сайтов, связанных с популярным программным обеспечением (например, Notepad++ и Blender 3D).

• В соответствии с результатами исследования, которое было проведено Лабораторией Касперского, около 42% российских компаний обращаются к поставщикам управляемых ИБ-услуг из-за дефицита собственных специалистов по кибербезопасности.

• Около 300 млн пользовательских данных утекли в сеть в 2022 году – 16% из них содержали парольную информацию. По данным отчёта об утечках Лаборатории Касперского, суммарно за год было зафиксировано 168 фактов значимых утечек информации, при этом 64% пользовательских данных были скомпрометированы в результате атак на крупный бизнес.

• Компания Infowatch подготовила аналитический отчет по новым проектам в области биометрических персональных данных. В исследовании уточняется, какие проекты нормативных правовых актов в области обработки и защиты биометрических персональных данных подготовлены и представлены для обсуждения Минцифры России.

• Экспертно-аналитический центр InfoWatch выпустил обзор, в котором приводит общую статистику и тенденции по киберинцидентам АСУ ТП за прошедший год по зарубежным данным.

• Компания Specops Software представила ежегодный отчет о слабых паролях, в котором эксперты проанализировали более 800 млн взломанных паролей и сделали вывод о том, что пароли продолжают оставаться слабым местом в сети организации. Проведенное исследование также показало, что 88% паролей, используемых в хакерских атаках, состояли из 12 символов или менее, причем наиболее распространенными были 8 символов.

• Новый отчет компании Forrester показывает, что более 2/3 европейских организаций разрабатывают стратегию использования безопасности с нулевым доверием. Государственный сектор лидирует по внедрению: 79% немецких организаций отдают предпочтение этой технологии, а Великобритания (68%) и Франция (66%) не сильно отстают. 

• В 2022 году потери от инвестиционного мошенничества были самой крупной схемой, о которой сообщалось в Центр жалоб на интернет-преступления (IC3). Такие данные сообщаются в отчете ФБР об интернет-преступлениях за 2022 год. 

• Компания Wallarm выпустила отчет API ThreatStats на конец 2022 года, в котором содержится подробный анализ опубликованных уязвимостей API, эксплойтов и данных об атаках. Результаты показывают, что ландшафт угроз API становится все более опасным, а количество атак на API-интерфейсы клиентов резко увеличилось более чем на 197% с H1 до H2, а также произошло значительное увеличение CVE, связанных с API, на 78 % с H1 до H2.

• В отчете CheckPoint Global Threat Index for February 2023 троянец Remcos вернулся в первую десятку списка впервые с декабря 2022 года. Между тем, Emotet Trojan и Formbook Infostealer поднялись в рейтинге, заняв второе и третье места соответственно, в то время как образование и исследования остались наиболее целевой отраслью.

• В краткой инфографике Secureworks представлены убедительные статистические данные о событиях кибербезопасности, обработанных платформой Taegis XDR в 2022 году. Данные показывают почему важно выйти за рамки конечной точки и усиливать киберзащиту.

• Согласно отчету Secureworks State of the Threat report, программы-вымогатели оставались наиболее распространенной формой атаки, а среднее время между первоначальным доступом и детонацией сократилось до 4,5 дней в 2022 году. Инфографика отчета также показывает, насколько важно время, когда программа-вымогатель наносит удар, и шаги, которые должны предпринять службы безопасности, чтобы выселить злоумышленника вовремя.

• Управление директора национальной разведки (ODNI) опубликовало ежегодную оценку угроз – отчет, в котором обобщаются разведывательные данные об основных противниках США. ODNI рассматривает Китай как самую широкую, активную и постоянную угрозу кибершпионажа для сетей правительства США и частного сектора.

• Отчет DHS Office of the Inspector General показал, что спустя два года после взлома SolarWinds Агентству кибербезопасности и инфраструктурной безопасности (CISA) по-прежнему не хватает ресурсов, рабочей силы и базового плана реагирования на крупные взломы американской инфраструктуры.

• Security Scorecard представила технический анализ версии программы-вымогателя ESXi Royal. Зловред Royal присоединяется к другим группам программ-вымогателей, нацеленных на серверы ESXi. Вредоносная программа отключает все виртуальные машины, использующие инструмент esxcli, и не шифрует список встроенных файлов в коде.

• Sophos отслеживает новую версию USB-троянца PlugX. Исследователи подчеркивают, что аспектами этого варианта являются новая полезная нагрузка и обратные вызовы на сервер C2, которые ранее считались лишь слабо связанными с этим червем.

• Исследователи компании Perception Point опубликовали отчет о новой вредоносной программе ScrubCrypt crypter.  Эксперты рассмотрели ScrubCrypter и то, как злоумышленники используют фишинговые кампании для его распространения и сопутствующих ему вредоносных программ. Помимо этого, свой анализ ScrubCrypt предложили и Fortinet.

• Компания по анализу уязвимостей VulnCheck заявляет, что выявила 42 уязвимости, которые были использованы злоумышленниками в 2022 году и не были добавлены в каталог активно эксплуатируемых ошибок CISA KEV. Исследователи VulnCheck также утверждают, что 3/4 из 42 уязвимостей были использованы субъектами угроз для получения первоначального доступа к незащищенным системам. Подавляющее большинство из них использовались операторами ботнетов.

• Egress опубликовала отчет о рисках безопасности электронной почты за 2023 год. В отчете приводятся результаты, демонстрирующие распространенность инцидентов безопасности входящей и исходящей электронной почты в Microsoft 365 – 92 % организаций стали жертвами фишинговых атак за последние 12 месяцев, а 91 % организаций признают, что столкнулись с потерей данных электронной почты. 

Громкие инциденты ИБ 

• Вымогательская группировка Lockbit сообщила, что взломала компанию Maximum Industries, производящую детали для SpaceX, а также похитила 3000 проприетарных чертежей, созданных инженерами Илона Маска.

• Телекоммуникационный гигант AT&T уведомил около 9 млн клиентов о том, что часть их данных была раскрыта из-за взлома стороннего маркетингового поставщика. Представители компании сообщили, что утекшему набору данных было несколько лет, и он связан с правом на обновление устройств.

• На хакерском форуме в открытом доступе опубликованы данные, якобы украденные у компании Acronis. В числе прочего дамп содержит файлы сертификатов, журналы команд, системные конфигурации и так далее. 

• Официальный сайт совета депутатов города Новосибирска подвергся хакерской атаке, в результате чего был недоступен для пользователей продолжительное время.

• ФБР начало расследование утечки данных, которая затронула членов и сотрудников Палаты представителей США. Уточняется, что данные об учетных записях и конфиденциальная личная информация высокопоставленных чиновников были украдены с серверов компании DC Health Link.

• Канадский технологический гигант Black & McDonald, деятельность которого связана с критически важной военной, энергетической и транспортной инфраструктурой, подвергся атаке программы-вымогателя.

• Кибератака вымогателей на одну из главных больниц Барселоны Clinic de Barcelona привела к повреждению компьютерной системы центра и вынудила отменить 150 неотложных операций и до 3000 обследований пациентов.

Обзор событий предстоящих недель 20.03 – 02.04 

Офлайн-мероприятия

• 21-24 марта, Подмосковье – Конференция РусКрипто’2023;

• 22-23 марта, Москва – Конференция Go Digital;

• 23 марта, Красноярск – Конференция Код ИБ.

• 30 марта, Уфа – Форум CyberSecurity SABANTUY.

Онлайн-мероприятия

• 22 марта, 11:00 – Онлайн-конференция AM Live: Threat Hunting: российская практика охоты на киберугрозы.

Вебинары

• 22 марта, 11:00 – Вебинар Лаборатории Касперского: Межсетевой экран ИКС с модулями Kaspersky – современные методы борьбы с киберугрозами;

• 22 марта, 12:00 – Вебинар Код ИБ: Как обосновать затраты на ИБ;

• 23 марта, 14:00 – Вебинар Ростелеком-Солар: Новые вызовы кибербезопасности и управление доступом;

• 28 марта, 11:00 – Вебинар Ростелеком-Солар: Для чего строить и как использовать цифровые двойники на промышленных предприятиях;

• 29 марта,11:00 – Вебинар Softline: Комплексная безопасность: выстраиваем внутреннюю защиту на нескольких уровнях.