­­­­

(19 ноября 2021 г.) 

 Управление валютного контролера Министерства финансов США, Федеральная резервная система и Федеральная корпорация по страхованию депозитов (FDIC) завершили разработку требований к уведомлению банков об инцидентах, связанных с кибербезопасностью. Новое правило требует, чтобы банки сообщали об инцидентах безопасности в FDIC в течение 36 часов после обнаружения. Правило определяет квалифицируемый инцидент кибербезопасности как событие, которое «приводит к фактическому или потенциальному ущербу конфиденциальности, целостности или доступности информационной системы или информации, которую система обрабатывает, хранит или передает; или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования ». Правило вступает в силу 1 апреля 2022 года, а полное соблюдение продлено до 1 мая 2022 года. 

Примечание 

 Интересно, что регулирующие органы за пределами ЕС принимают правила типа GDPR, в частности, в отношении обязательной отчетности. Тем не менее, я надеюсь, что FDIC извлечет уроки из некоторых проблем, возникших при первом введении GDPR, обеспечив наличие достаточных ресурсов для обработки большого количества отчетов, которые он будет получать, и что он даст четкое руководство относительно того, что определяет нарушение, подлежащее сообщению. . Наконец, также очень важно, чтобы сообщения о нарушениях отслеживались, чтобы организации-жертвы расследовали и исправляли нарушение должным образом, и они просто не рассматривают требование об отчетности как упражнение для галочки. 

В исходной формулировке было много мягких формулировок (например, «добросовестная оценка»), которая была удалена в ответ на комментарии, что хорошо. Но базовое определение «инцидента с уведомлением» по-прежнему довольно широкое. Например, простои, вызванные простоем поставщика услуг, которые по-прежнему не нарушают SLA поставщиков услуг, могут рассматриваться как «инцидент с уведомлением». Другой вопрос будет заключаться в том, используют ли казначейские агентства все эти данные, чтобы заранее предупреждать банковские учреждения о потенциальных атаках, или это просто сбор данных?Разработайте четкое понимание того, что критерии уведомления означают для вашего финансового учреждения, и убедитесь, что вы точно знаете, кому и как вы должны подать уведомление. 

(16 ноября 2021 г.)

В служебной записке Комитета по надзору и реформам Палаты представителей США резюмируются результаты расследований атак программ-вымогателей на Colonial Pipeline, JBS USA и CNA Financial Corporation. Каждая из трех компаний заплатила выкуп; и в каждом случае первоначальная покупка в сети компании была совершена из-за «незначительных недостатков безопасности», таких как учетная запись пользователя со слабым паролем и загрузка сотрудником фальшивого обновления браузера. Комитет также заявляет, что «у некоторых компаний не было четких начальных точек контакта с федеральным правительством», что препятствовало реагированию на атаки.

Примечание 

Вместо того чтобы говорить «незначительные упущения в безопасности», я бы сказал, что «первоначальное проникновение было успешным из-за недостатков базовой гигиены безопасности, которые легко предотвратить». Не говоря уже о том, что «слабый пароль» - это оксюморон.Не забывайте также проверять мелкие вещи, такие как отключение учетной записи, активный мониторинг и реагирование, очистка информации POC об инцидентах не только на вашем веб-сайте и планах аварийного восстановления, но также с вашим регулирующим органом или сектором безопасности.. 

Поскольку пандемия сейчас сосредоточена на подтверждении вакцинационного статуса во многих регионах, мошенники используют возможность использовать документацию для кражи личной информации. 

Сначала были мошенничества с СИЗ. 

Затем мошенничество было сосредоточено на получении вакцины. Теперь киберпреступники продолжают тематику пандемии и реагируют на текущее состояние пандемии, используя требование о подтверждении статуса вакцинации, чтобы создать ощущение срочности, чтобы побудить потенциальных жертв действовать.Согласно новым выводам исследователей безопасности Tessian , 22% жителей Великобритании получили электронное письмо от Национальной службы здравоохранения (NHS), уведомляющее получателя, что они должны щелкнуть ссылку, чтобы запросить и загрузить свой паспорт вакцинации COVID-19 или сертификат. 

Мошенничество действительно вступает в игру, когда их просят доказать, кто они, предоставив личные данные, банковскую информацию и даже кредитную карту. Используя реалистично выглядящий веб-сайт, мошенники могут принимать жертв за любую предоставленную информацию, которая может быть использована для дальнейшего мошенничества или совершения мошенничества. 

По словам Тессиан, в 2021 году 35% жителей США получили электронное письмо на аналогичную тему. Подробности, предоставленные потенциальными жертвами, дают киберпреступникам информацию, необходимую им для дальнейших атак, которые могут быть нацелены на жертву лично или в профессиональной среде. Нетрудно догадаться, что конечной целью является отправка жертвам дополнительных фишинговых писем с использованием собранных данных для повышения надежности заражения конечных точек в качестве точек запуска для программ-вымогателей, BEC и атак кражи данных. Ваши пользователи должны быть защищены, записывая их на постоянное обучение по вопросам безопасности, чтобы они могли повысить свою бдительность и увидеть, чем они являются на самом деле, - до того, как будет нанесен ущерб.   

(22 и 25 октября 2021 г.) 

 Для развертывания программ-вымогателей используется критическая уязвимость в системе биллинга и биллинга BillQuick Web Suite от BQE Software. Уязвимость может быть использована с помощью SQL-инъекции для удаленного выполнения кода. Уязвимость обнаружили исследователи из Huntress; Всего они обнаружили девять уязвимостей. BillQuick сообщает, что в ближайшее время будет доступно временное исправление некоторых недостатков. 

 Примечание 

 Сообщение в блоге Huntress предполагает, что есть несколько эксплойтов, которые еще не исправлены. Приготовьтесь снова исправить это программное обеспечение в ближайшее время. Если возможно: добавьте дополнительные ограничения доступа. Sqlmap смог выполнить xp_cmdshell, а также обойти аутентификацию для приложения BillQuick. Обратите внимание, что исследователи Huntress работали над созданием отдельной копии приложения, а не тестировали действующую систему в рамках поиска основной причины вредоносной активности, обнаруженной в производственной среде. 

(27 октября 2021 г.) 

 Компания Schreiber Foods из Висконсина стала жертвой кибератаки на прошлой неделе. В результате инцидента на несколько дней были остановлены производственные и торговые сети молочной компании. Представитель Schreiber сообщил, что компания возобновила производство и отгрузку. 

 Примечание 

 Учтите, что малому и среднему бизнесу обычно требуется от четырех до шести месяцев на восстановление после серьезной атаки, а в случае с программами-вымогателями многие так и не восстановятся. К счастью, у Шрайбера был готов план реагирования на инциденты. Наличие и плана реагирования на инциденты, и минимального уровня кибербезопасности теперь являются критериями приемлемости для большинства киберстраховщиков. Кроме того, при подаче заявления о претензии будьте готовы продемонстрировать наблюдательной комиссии, что вы следовали киберкритериям, согласованным в политике. 

(21 октября 2021 г.) 

 В WinRAR версии 5.70 существует ошибка удаленного выполнения кода. Этой версии бесплатной утилиты архиватора файлов исполнилось два года. Уязвимость была исправлена в июле 2021 года; пользователям рекомендуется убедиться, что они используют WinRAR версии 6.02 или более поздней.

Примечание 

 Использование этой уязвимости является сложно. Это касается только пробных версий программного обеспечения с истекшим сроком действия. Злоумышленник должен будет перехватить и обработать HTML-контакт, полученный с помощью напоминания о лицензии приложения. Это напоминание отображается только в том случае, если срок действия пробной лицензии истек, и только при каждом третьем использовании программного обеспечения.   

Это версия WinRAR двухлетней давности, работающая в бесплатном пробном режиме. CVE-2021-35052 исправлен в версии 6.02. Убедитесь, что установлены версии 6.0.2. Бесплатная пробная версия действительна только в течение 40 дней, либо удалите старые копии, либо лицензируйте их. Лицензия является бессрочной и кроссплатформенной. Можно надеяться, что корпоративные пользователи этого продукта увидят это предупреждение. Многие частные пользователи этого не сделают. 

(18 октября 2021 г.) 

 Компания Acer подверглась второй кибератаке менее чем за неделю. Тайваньский производитель компьютеров подтвердил, что серверы компании на Тайване были повреждены через несколько дней после взлома ее системы послепродажного обслуживания в Индии. 

 Примечание 

 Предположим, вы уже скомпрометированы, и активно ищите признаки атаки. Когда вы обнаружите недостаток в одной области, убедитесь, что нет необходимости устранять его и в других областях. Убедитесь, что вы нашли первопричины (вспомните «спросите почему 5 раз»), чтобы помочь вам и вашему ИТ-персоналу лучше подготовить безопасные конфигурации в будущем и предотвратить повторение. 

(18 октября 2021 г.) 

 Согласно отчету "Анализ финансовых тенденций" Сети по борьбе с финансовыми преступлениями Министерства финансов США, насчитывается 10 вариантов программ-вымогателей. более 5 миллиардов долларов в транзакциях с биткойнами. В отчете Управления по контролю за иностранными активами Казначейства излагаются руководящие принципы соблюдения санкций для индустрии виртуальной валюты.  

Примечание Если ваша организация рассматривает возможность принятия «криптовалюты», убедитесь, что менеджеры по бизнесу, финансам и юридическим вопросам осведомлены о руководстве по соблюдению санкций OFAC. Риск заключается не только в фактических платежах, полученных в результате выкупа, использование соответствующих бирж может также подвергнуть риску транзакции с использованием этих альтернативных валют.

Если вы используете криптовалюты, проверьте статус вашей биржи OFAC. Помните, что санкционировано не означает одобрено в этом контексте. Ограничения на использование применяются к лицам США, то есть к гражданам и держателям «грин-карт», независимо от их местонахождения. Нарушение санкций влечет за собой гражданское и уголовное наказание в размере до 1 миллиона долларов и / или 20 лет лишения свободы за каждое нарушение. Кроме того, существует возможность гражданских штрафов, которые могут привлечь вас к ответственности, даже если вы не знали, что участвуете в запрещенной транзакции. Ваше финансовое учреждение хорошо знакомо с OFAC и может помочь вам с рекомендациями и пониманием проблем и рисков, как они их видят.  

(16 сентября 2021 г.) 

 Bitdefender выпустил бесплатный универсальный дешифратор для программы-вымогателя REvil / Sodinokibi. Декриптор, который Bitdefender разработал с помощью правоохранительных органов, поможет жертвам, которые были поражены программой-вымогателем до 13 июля 2021 года. Согласно сообщениям, программа-вымогатель снова появилась после кратковременного затишья.  

Примечание 

 Этот дешифратор предназначен для жертв, выкупленных до 13 июля 2021 года. После этих атак REvil принял двухмесячный творческий отпуск, и теперь он вернулся к работе с большим количеством ресурсов, чем когда-либо прежде. Держитесь «левее бум» (бум - это шифрование), проверяя свое обнаружение и реакцию.  

Молодцы Bitdefender и все правоохранительные органы, участвующие в этом. Помните, что если вы стали жертвой программы-вымогателя и не можете восстановить критическое устройство, ключ для его расшифровки может стать доступным в будущем. Так что храните устройство в надежном месте для восстановления в будущем.

(14 сентября 2021 г.) 

 Последние обновления от Apple, Google и Microsoft включают исправления для уязвимостей, которые активно используются. Среди уязвимостей, исправленных Apple, - цепочка эксплойтов, известная как ForcedEntry, которая использовалась для установки шпионского ПО без вмешательства пользователя. Обновления Microsoft включают исправление для механизма рендеринга MSHTML, которое можно использовать для выполнения произвольного кода. А обновление Google для Chrome включает исправления для двух уязвимостей, которые активно эксплуатируются.  

Это будет долгое время выходные для операционных групп, ожидающих окон изменений, чтобы применить исправления для уязвимостей, которые активно эксплуатируются.