­­­­

Комиссия по ценным бумагам и биржам США (SEC) наложила санкции на компании, предоставляющие финансовые услуги, за неспособность обеспечить адекватную защиту в области кибербезопасности. Во всех трех случаях злоумышленники получили доступ к личной информации клиентов. Все три компании согласились урегулировать расходы, уплатив штрафы в размере от 200 000 до 300 000 долларов. 

 Примечание 

 Комиссия по ценным бумагам и биржам невелики, а требования SEC по кибербезопасности не очень обременительны, особенно по сравнению с требованиями и последствиями GDPR ЕС. Но правоприменительные меры и штрафы привлекают внимание финансовых директоров и главных юрисконсультов - хороших союзников, которые помогают стимулировать изменения, такие как переход к строгой аутентификации, необходимой гигиене безопасности и повышению безопасности цепочки поставок.  

Если у вас возникли проблемы с получением финансовой поддержки для ваших кибер-инициатив, помните, что ваш финансовый директор и корпоративные юристы обращают внимание на санкции / штрафы SEC и другие действия, и их можно использовать для поддержки инициатив по обеспечению защиты данных. , например, многофакторная аутентификация, шифрование в состоянии покоя, при использовании и передаче, а также управление правами.

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) и Управление управления и бюджета (OMB ) выпустили проекты документов по стратегии нулевого доверия и технические детали в рамках усилий администрации по продвижению правительства к архитектуре нулевого доверия. Оба агентства принимают комментарии общественности. 

Примечание 

 1.Чтобы добиться «нулевого доверия», сначала необходимо достичь основных требований гигиены безопасности уровень, зафиксированный средствами управления критической безопасностью CIS. Только после этого могут быть реализованы функции, называемые «Zero Trust». «Модель зрелости с нулевым доверием» CISA, выпущенная для обзора, указывает на то, что «переход на ZTA нетривиально… нулевое доверие может потребовать изменения философии и культуры организации в отношении кибербезопасности».  

2. Мне нравится концепция «нулевого доверия», но мне трудно понять, как большинство организаций могут ее реализовать. Когда у вас есть бюджет, технические ноу-хау и поддержка руководства, такая как Microsoft и Google, тогда обязательно. Но для буквально миллионов компаний, которые все еще борются с базовыми концепциями знания того, какие активы у них есть, сохранения этих активов в исправлении и использования надежных паролей, концепция «нулевого доверия» - это оооочень далеко. Чтобы сделать «Zero Trust» по-настоящему глобальным, мы должны сначала сделать его по-настоящему простым. 

(2 сентября 2021 г.) 

 В 10 кварталах, поданных в Комиссию по ценным бумагам и биржам США (SEC), автоматизированное проектирование (CAD ) софтверная компания Autodesk сообщила, что ее сеть пострадала от атаки цепочки поставок SolarWinds. В документации Autodesk пишет, что «обнаружил скомпрометированный сервер SolarWinds и незамедлительно предпринял шаги по локализации и устранению инцидентов». 

Федеральное бюро расследований (ФБР) опубликовало некоторые технические подробности и индикаторы компрометации, связанной с атаками программ-вымогателей Hive. 

В редких случаях ФБР включало ссылку на сайт утечки, где банда вымогателей публикует данные, украденные у компаний, которые не платили. 

Разнообразные тактики и приемы 

По данным ФБР, программа-вымогатель Hive использует разнообразный набор тактик, техник и процедур, что затрудняет защиту организаций от ее атак. 

Среди методов, которые банда использует для получения начального доступа и горизонтального перемещения по сети, есть фишинговые электронные письма с вредоносными вложениями и протокол удаленного рабочего стола (RDP).

Перед развертыванием процедуры шифрования программа-вымогатель Hive крадет файлы, которые они считают ценными, чтобы заставить жертву заплатить выкуп под угрозой утечки данных.

ФБР заявляет, что злоумышленник ищет процессы для резервного копирования, копирования файлов и решения безопасности (например, Защитник Windows), которые могут помешать задаче шифрования данных, и завершают их.

За этим этапом следует удаление сценария hive.bat, который выполняет процедуру очистки, удаляя себя после удаления исполняемого файла вредоносной программы Hive

Другой сценарий, называемый shadow.bat, выполняет задачу удаления теневых копий, файлов резервных копий и снимков состояния системы, а затем удаляет себя со скомпрометированного хоста.

ФБР сообщает, что некоторые жертвы вымогателей Hive сообщили, что злоумышленник связался с ними и попросил их заплатить выкуп в обмен на украденные файлы

«Первоначальный срок оплаты колеблется от 2 до 6 дней, но актеры продлили этот срок в ответ на контакт со стороны компании-жертвы», - отмечает агентство

Наряду с индикаторами компрометации (IoC) ФБР также предоставляет ссылку на сайт утечки злоумышленника, деталь, которая обычно скрывается в технических отчетах. 

Некоторые из файлов, наблюдаемых при атаках программ-вымогателей Hive, включают следующее: 

•Winlo.exe - используется для удаления 7zG.exe, законной версии архиватора файлов 7-Zip. 

•7zG.exe - версия 19.0.0 архиватора файлов 7-Zip 

•Winlo_dump_64_SCY.exe - используется для шифрования файлов с расширением .KEY и для удаления записки о выкупе HOW_TO_DECRYPT.txt 

ФБР отмечает, что злоумышленник также полагается на службы обмена файлами, многие из которых анонимны, такие как Anonfiles, MEGA, Send.Exploit, Ufile или SendSpace.

Хотя это было впервые замечено в конце июня, вымогатель Hive этим летом уже проник в более чем 30 организаций, в число которых входят только жертвы, которые отказались платить выкуп.

Недавняя жертва программы-вымогателя Hive - Memorial Health System , предлагающая сеть услуг, в которую входят три больницы и поставщиков, представляющих 64 клиники.

Из файлов, которые видел BleepingComputer, злоумышленник похитил базы данных, содержащие информацию, принадлежащую более чем 200 000 пациентов.

(19 и 20 августа 2021 г.) 

 Воры украли почти 100 миллионов долларов с японской криптовалютной биржи Liquid. Компания отслеживает украденные средства и работает с другими биржами над замораживанием украденных активов. 

Примечание 

 Для некоторых лет список «криптовалютных» компромиссов рос намного быстрее, чем список легитимных компаний, принимающих их. Я думаю, что лучший способ описать большинство из них - это назвать их «растворимыми валютами» - термин «криптовалюта» использовался для обозначения высоких уровней безопасности, чего почти никогда не бывает. В 2014 году токийская биржа биткойнов Mt. Gox потеряла более 400 миллионов долларов в результате крипто-ограбления, в результате чего японские законодатели приняли закон, регулирующий обмен биткойнами. 

Япония также признает биткойн и другие цифровые валюты в качестве законной собственности в соответствии с Законом о платежных услугах (PSA). Это помогает поддерживать действия по замораживанию счетов и прекращению движения украденных активов. Затем злоумышленники используют децентрализованные биржи за пределами Японии, чтобы избежать замораживания. Когда мы используем выражение «криптография», мы подразумеваем «криптографическую» безопасность; криптография работает как задумано. Однако криптография никогда не бывает более безопасной, чем среда, в которой ключи хранятся и защищаются. 

Таким образом, мы видим, что распределенный реестр работает по назначению, но кошельки и биржи скомпрометированы. Они не сильнее ключевых слов, которые выбирают люди для защиты личных ключей. Выбирайте внимательно. Предпочитайте биржи, предлагающие строгую аутентификацию. 

(18 и 19 августа 2021 г.)

В аудиторском отчете Управления генерального инспектора Министерства торговли США был рассмотрен ответ Бюро переписи населения США инциденту в области кибербезопасности в январе 2020 года. В отчете указывается, что «Бюро упустило возможности уменьшить критическую уязвимость, которая привела к эксплуатации жизненно важных серверов». Кроме того, у Бюро были неподдерживаемые серверы; не вела соответствующие журналы, что затрудняло расследование; и не смог «своевременно обнаружить и сообщить об инциденте». 

 Примечание 

 Здесь много всего, что нужно распаковать. Установка исправлений, управление жизненным циклом, мониторинг и отчетность об инцидентах - все это ключевые действия в области кибербезопасности. В связи с тем, что EO14028 настаивает на нулевом доверии, а также в усилении реагирования на инциденты и коммуникации, эти основные действия необходимо решать, и не все агентства к этому готовы. Начните с исследования, чтобы убедиться, что вы знаете все свои активы и то, что они делают, а затем переходите к установке исправлений. Пока вы касаетесь вещей, убедитесь, что они отправляют журналы в централизованное хранилище, а ваш SOC отслеживает и создает предупреждения. У DHS / CISA есть ресурсы, которые вы можете использовать, чтобы помочь в этом, а также в составлении отчетов. Неправильное обращение Бюро переписи населения США с инцидентом в области кибербезопасности в январе 2020 года: продемонстрированные возможности для улучшения (PDF) { {1}} Бюро переписи США взломано в январе 2020 года с использованием эксплойта Citrix 

(5 августа 2021 г.) 

 Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) начало Совместное сотрудничество в области киберзащиты (JCDC), инициативу, направленную на то, чтобы « объединит организации государственного и частного секторов для унификации целенаправленного и кризисного планирования действий при координации комплексного выполнения «планов страны по киберзащите». В число членов JCDC входят организации государственного и частного секторов, в том числе Amazon Web Services, AT&T, Google Cloud, Microsoft, FireEye Mandiant и Verizon, ФБР, Министерство обороны, Министерство юстиции и Агентство национальной безопасности. 

 Примечание 

 Было бы не плохо принять участие в этих усилиях во всех странах . Связь с ресурсами и обмен информацией в государственном и частном секторах обеспечит доступ к высококачественным рекомендациям и услугам, которые помогут в планировании защиты и реализации. Он также подключит вас к сети ресурсов и знаний, к которым в противном случае у вас не было бы доступа. 

(30 июля 2021 г.) 

Национальная комиссия по защите данных (CNPD) оштрафовала Amazon на 746 миллионов евро (886 миллионов долларов) за нарушение Общего регламента ЕС по защите данных (GDPR). Штраф был раскрыт в заявлении Amazon в Комиссию по ценным бумагам и биржам США (SEC). 

Примечание  

Обвинения за использование методов персонализации, которые адаптируют рекламу, связанную с веб-сервисом, таким как Amazon. Если вы предоставляете услугу, которая персонализирована на основе действий пользователя, тесно сотрудничайте со своим юридическим отделом, чтобы не нарушать GDPR или аналогичное законодательство о конфиденциальности. 

Интересно, что в Украине не только собирают, но еще и утверждают, что все так делают и отказаться ты не можешь. Это почти на 3% меньше прибыли Amazon CY 2020 - или почти вся прибыль, которую они получили от продаж в рамках ежегодного мероприятия Prime Day. Перефразируя старую поговорку: миллиард здесь, миллиард там, составляет * реальные * деньги - защита прав пользователей на конфиденциальность может существенно увеличить маржу прибыли. В Помимо наложения штрафа, регулирующие органы потребовали внесения изменений в процедуру. 

Следует отметить, что Amazon утверждает, что полученные данные «беспочвенны», и заявляет, что они будут обжалованы. Что примечательно, так это то, что «игра уже началась». 

Рынок кибербезопасности является горячим, и поставщики покупают конкурентов, чтобы укрепить свои позиции, или приобретают другие фирмы для расширения своих предложений. 

2021 год обещает стать активным годом для слияний и поглощений в индустрии кибербезопасности. 

Только в марте было приобретено более 40 фирм. 

Уровень активности определяется ростом в таких секторах, как управление идентификацией , нулевое доверие , управляемые услуги безопасности, DevSecOps и облачная безопасность. 

(19 июля 2021 г.) Microsoft получила постановление суда, разрешающее компании удалять вредоносные «гомоглифные» домены, которые используются для мошенничества. В целом Microsoft удалила 17 доменов, которые были созданы так, чтобы казаться законными за счет вариаций в написании или использования символов, которые похожи по внешнему виду. 

ПримечаниеГомоглиф - это одна из двух или более графем, символов или глифов, формы которых кажутся идентичными или очень похожий. Идея визуально идентичны, поэтому сообщение будет принято как подлинное. Например, заменив верхний регистр I на нижний регистр L. Атака была нацелена на малые предприятия в Северной Америке и вызвала мошеннический банковский перевод с использованием логотипов и других законных адресов электронной почты от бизнеса, который они выдавали за себя.