­­­­

(6 января 2022 г.) 

 В отчете исследователи из Avanan описывают, как злоумышленники использовали уязвимость в комментариях Google Docs для отправки фишинговых писем. Атаки в первую очередь нацелены на пользователей Outlook. 

 Примечание 

Это хороший вопрос для включения в тренинг по повышению осведомленности. Тот факт, что электронное письмо отправлено от «надежного» объекта, такого как Google, или ссылка находится в документах Google, не означает, что оно безопасно.Когда вы добавляете комментарий к документу Google, который имеет ссылку на пользователя «@», независимо от источника этого документа, пользователю отправляется электронное письмо, включая любые вредоносные ссылки или текст в комментарии, с исходным кодом Google. адрес электронной почты, что делает его надежным/законным. Если вы используете инструменты перезаписи URL-адресов, убедитесь, что вся внешняя электронная почта находится в области действия. Убедитесь, что защита вашей конечной точки или периметра включает блокировку/отказ в доступе к некатегоризированным и вредоносным веб-сайтам. В основном защита по-прежнему зависит от личной гигиены пользователя, отказа от перехода по нераспознаваемым ссылкам и уверенности в том, что комментарии действительно взяты из документа, над которым они сотрудничают с признанным партнером.

Google не спешит реагировать на этот вектор атаки, который, я думаю, восходит к августу 2020 года. Это одна из тех функций, которые несут в себе риски, которые во многих, а возможно, и в большинстве случаев могут быть гораздо более разрушительными, чем польза от этой функции. Вроде как кому-то действительно не хватает Adobe Flash? 

(22 и 23 декабря 2021 г.) 

https://github.com/cisagov/log4j-scanner 

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило Log4j-scanner, «проект, созданный CISA для других членов сообщества разработчиков ПО с открытым исходным кодом, чтобы помочь организациям выявлять потенциально уязвимые веб-сервисы, подверженные уязвимостям log4j». Другие организации и исследователи также опубликовали сканеры Log4j. 

 Примечание  

Если у вас нет сканера или вы не можете его себе позволить, это то, что вам нужно. Вы также можете использовать это для перекрестной проверки результатов вашего текущего сканера. Обратите внимание, что вам потребуются дополнительные шаги, такие как настройка собственного DNS-сервера для проверки некоторых слабых мест. Убедитесь, что вы не пропустите свои системы, не подключенные к Интернету. Текущая модель подъемного моста / рва (также известного как брандмауэр по периметру) не является препятствием, которым она когда-то была.

(13 декабря 2021 г.) 

 Частное облако Kronos подверглось атаке со стороны программ-вымогателей и отключило свои частные облачные сервисы. Компания советует своим клиентам использовать «альтернативные протоколы обеспечения непрерывности бизнеса», пока проблема не будет решена. Kronos предоставляет облачные решения для управления персоналом и человеческими ресурсами. 

Примечание 

 Одна из услуг, предоставляемых Kronos, - это расчет заработной платы от имени своих клиентов, эта услуга также была затронута. Рассматривали ли вы в своем BCP, как ваша организация будет управлять своим фондом заработной платы в случае выхода из строя этих систем? Если нет, то сейчас самое время разобраться в этом. 

Вы полностью учли, что ваш HR или другие кадровые системы были отключены в течение нескольких недель в своем плане непрерывности операций (COOP)? Хотя время для реализации вашего плана непрерывности никогда не бывает подходящим, праздники в этом и следующем месяце предоставляют возможности для учета времени, которые могут облегчить восполнение этого пробела, вы захотите свести все действия по управлению персоналом к столу, чтобы увидеть, что нужно подождите, а что есть обходной путь.Хотя совет поставщика «внедрить альтернативные протоколы обеспечения непрерывности бизнеса» может показаться банальным, планирование обеспечения непрерывности бизнеса все еще актуально - даже несмотря на то, что мы так много вложили в SaaS / PaaS / и т. Д. Тысячи организаций здравоохранения, правоохранительных органов и розничной торговли на этой неделе используют таблицы Excel, чтобы поддерживать свою работу. Вам всегда нужен План Б! Обязательно включайте в свои настольные упражнения любую единственную точку отказа. 

(20 ДЕКАБРЯ 2021 Г.) 

МИНИСТЕРСТВО ОБОРОНЫ БЕЛЬГИИ ЗАЯВЛЯЕТ, ЧТО ЕГО СЕТИ БЫЛИ ВЗЛОМАНЫ В РЕЗУЛЬТАТЕ ЭКСПЛУАТАЦИИ УЯЗВИМОСТИ LOG4J. МИНИСТЕРСТВО ОБОРОНЫ ВВЕЛО «КАРАНТИННЫЕ МЕРЫ», ЧТОБЫ ПРЕДОТВРАТИТЬ РАСПРОСТРАНЕНИЕ АТАКИ. ЧАСТИ СЕТИ МИНИСТЕРСТВА НЕДОСТУПНЫ С ЧЕТВЕРГА, 16 ДЕКАБРЯ. 

ПРИМЕЧАНИЕ 

 МЫ НЕ ВИДЕЛИ МНОГО СООБЩЕНИЙ О РЕАЛЬНЫХ НАРУШЕНИЯХ, ВЫЗВАННЫХ LOG4J. МНОЖЕСТВО ПОПЫТОК ИСПОЛЬЗОВАНИЯ ЭКСПЛОЙТА, НО БОЛЬШИНСТВО ИЗ НИХ ПРОСТО РАСПЫЛЯЮТ ЭКСПЛОЙТ, НЕ ЗАДУМЫВАЯСЬ О ТОМ, ДЕЙСТВИТЕЛЬНО ЛИ ЭКСПЛОЙТ БУДЕТ РАБОТАТЬ. ЭТА ДЫМОВАЯ ЗАВЕСА ПОПЫТОК ИСПОЛЬЗОВАНИЯ УЯЗВИМОСТЕЙ МОЖЕТ СКРЫТЬ НЕКОТОРЫЕ ИЗ НАИБОЛЕЕ ОПАСНЫХ ПОПЫТОК. 

ПОДОБНЫЕ РИСКИ МОЖНО СНИЗИТЬ С ПОМОЩЬЮ ПРАВИЛЬНО НАСТРОЕННОГО WAF И СООТВЕТСТВУЮЩЕГО МОНИТОРИНГА ДЛЯ ВЫЯВЛЕНИЯ ЗЛОНАМЕРЕННЫХ ДЕЙСТВИЙ. ПОСМОТРИТЕ НА ЭТО КАК НА ДОЛГОСРОЧНУЮ СТРАТЕГИЮ, А НЕ ТОЛЬКО НА LOG4J. ХОТЯ ОТКЛЮЧЕНИЕ LOG4J ЯВЛЯЕТСЯ ВАРИАНТОМ, РИСК ВОЗДЕЙСТВИЯ НА РАБОТУ ВЫСОК, ПОЭТОМУ РЕКОМЕНДУЕТСЯ НЕ ВЫБИРАТЬ ЭТОТ ПОДХОД.

КАКИЕ УСТРОЙСТВА И ПРИЛОЖЕНИЯ ПОДВЕРЖЕНЫ РИСКУ? 

По сути, любое устройство, подключенное к Интернету, подвергается риску, если на нем работает Apache Log4J версий от 2.0 до 2.14.1. NCSC отмечает, что уязвимая версия Log4j версии 2 (Log4j2) включена в структуры Apache Struts2, Solr, Druid, Flink и Swift. Mirai, ботнет, нацеленный на все типы устройств, подключенных к Интернету (IoT), применил эксплойт для устранения этой уязвимости. Cisco и VMware выпустили исправления для своих уязвимых продуктов соответственно.  

(19 ноября 2021 г.) 

 Управление валютного контролера Министерства финансов США, Федеральная резервная система и Федеральная корпорация по страхованию депозитов (FDIC) завершили разработку требований к уведомлению банков об инцидентах, связанных с кибербезопасностью. Новое правило требует, чтобы банки сообщали об инцидентах безопасности в FDIC в течение 36 часов после обнаружения. Правило определяет квалифицируемый инцидент кибербезопасности как событие, которое «приводит к фактическому или потенциальному ущербу конфиденциальности, целостности или доступности информационной системы или информации, которую система обрабатывает, хранит или передает; или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования ». Правило вступает в силу 1 апреля 2022 года, а полное соблюдение продлено до 1 мая 2022 года. 

Примечание 

 Интересно, что регулирующие органы за пределами ЕС принимают правила типа GDPR, в частности, в отношении обязательной отчетности. Тем не менее, я надеюсь, что FDIC извлечет уроки из некоторых проблем, возникших при первом введении GDPR, обеспечив наличие достаточных ресурсов для обработки большого количества отчетов, которые он будет получать, и что он даст четкое руководство относительно того, что определяет нарушение, подлежащее сообщению. . Наконец, также очень важно, чтобы сообщения о нарушениях отслеживались, чтобы организации-жертвы расследовали и исправляли нарушение должным образом, и они просто не рассматривают требование об отчетности как упражнение для галочки. 

В исходной формулировке было много мягких формулировок (например, «добросовестная оценка»), которая была удалена в ответ на комментарии, что хорошо. Но базовое определение «инцидента с уведомлением» по-прежнему довольно широкое. Например, простои, вызванные простоем поставщика услуг, которые по-прежнему не нарушают SLA поставщиков услуг, могут рассматриваться как «инцидент с уведомлением». Другой вопрос будет заключаться в том, используют ли казначейские агентства все эти данные, чтобы заранее предупреждать банковские учреждения о потенциальных атаках, или это просто сбор данных?Разработайте четкое понимание того, что критерии уведомления означают для вашего финансового учреждения, и убедитесь, что вы точно знаете, кому и как вы должны подать уведомление. 

(16 ноября 2021 г.)

В служебной записке Комитета по надзору и реформам Палаты представителей США резюмируются результаты расследований атак программ-вымогателей на Colonial Pipeline, JBS USA и CNA Financial Corporation. Каждая из трех компаний заплатила выкуп; и в каждом случае первоначальная покупка в сети компании была совершена из-за «незначительных недостатков безопасности», таких как учетная запись пользователя со слабым паролем и загрузка сотрудником фальшивого обновления браузера. Комитет также заявляет, что «у некоторых компаний не было четких начальных точек контакта с федеральным правительством», что препятствовало реагированию на атаки.

Примечание 

Вместо того чтобы говорить «незначительные упущения в безопасности», я бы сказал, что «первоначальное проникновение было успешным из-за недостатков базовой гигиены безопасности, которые легко предотвратить». Не говоря уже о том, что «слабый пароль» - это оксюморон.Не забывайте также проверять мелкие вещи, такие как отключение учетной записи, активный мониторинг и реагирование, очистка информации POC об инцидентах не только на вашем веб-сайте и планах аварийного восстановления, но также с вашим регулирующим органом или сектором безопасности.. 

Поскольку пандемия сейчас сосредоточена на подтверждении вакцинационного статуса во многих регионах, мошенники используют возможность использовать документацию для кражи личной информации. 

Сначала были мошенничества с СИЗ. 

Затем мошенничество было сосредоточено на получении вакцины. Теперь киберпреступники продолжают тематику пандемии и реагируют на текущее состояние пандемии, используя требование о подтверждении статуса вакцинации, чтобы создать ощущение срочности, чтобы побудить потенциальных жертв действовать.Согласно новым выводам исследователей безопасности Tessian , 22% жителей Великобритании получили электронное письмо от Национальной службы здравоохранения (NHS), уведомляющее получателя, что они должны щелкнуть ссылку, чтобы запросить и загрузить свой паспорт вакцинации COVID-19 или сертификат. 

Мошенничество действительно вступает в игру, когда их просят доказать, кто они, предоставив личные данные, банковскую информацию и даже кредитную карту. Используя реалистично выглядящий веб-сайт, мошенники могут принимать жертв за любую предоставленную информацию, которая может быть использована для дальнейшего мошенничества или совершения мошенничества. 

По словам Тессиан, в 2021 году 35% жителей США получили электронное письмо на аналогичную тему. Подробности, предоставленные потенциальными жертвами, дают киберпреступникам информацию, необходимую им для дальнейших атак, которые могут быть нацелены на жертву лично или в профессиональной среде. Нетрудно догадаться, что конечной целью является отправка жертвам дополнительных фишинговых писем с использованием собранных данных для повышения надежности заражения конечных точек в качестве точек запуска для программ-вымогателей, BEC и атак кражи данных. Ваши пользователи должны быть защищены, записывая их на постоянное обучение по вопросам безопасности, чтобы они могли повысить свою бдительность и увидеть, чем они являются на самом деле, - до того, как будет нанесен ущерб.   

(22 и 25 октября 2021 г.) 

 Для развертывания программ-вымогателей используется критическая уязвимость в системе биллинга и биллинга BillQuick Web Suite от BQE Software. Уязвимость может быть использована с помощью SQL-инъекции для удаленного выполнения кода. Уязвимость обнаружили исследователи из Huntress; Всего они обнаружили девять уязвимостей. BillQuick сообщает, что в ближайшее время будет доступно временное исправление некоторых недостатков. 

 Примечание 

 Сообщение в блоге Huntress предполагает, что есть несколько эксплойтов, которые еще не исправлены. Приготовьтесь снова исправить это программное обеспечение в ближайшее время. Если возможно: добавьте дополнительные ограничения доступа. Sqlmap смог выполнить xp_cmdshell, а также обойти аутентификацию для приложения BillQuick. Обратите внимание, что исследователи Huntress работали над созданием отдельной копии приложения, а не тестировали действующую систему в рамках поиска основной причины вредоносной активности, обнаруженной в производственной среде. 

(27 октября 2021 г.) 

 Компания Schreiber Foods из Висконсина стала жертвой кибератаки на прошлой неделе. В результате инцидента на несколько дней были остановлены производственные и торговые сети молочной компании. Представитель Schreiber сообщил, что компания возобновила производство и отгрузку. 

 Примечание 

 Учтите, что малому и среднему бизнесу обычно требуется от четырех до шести месяцев на восстановление после серьезной атаки, а в случае с программами-вымогателями многие так и не восстановятся. К счастью, у Шрайбера был готов план реагирования на инциденты. Наличие и плана реагирования на инциденты, и минимального уровня кибербезопасности теперь являются критериями приемлемости для большинства киберстраховщиков. Кроме того, при подаче заявления о претензии будьте готовы продемонстрировать наблюдательной комиссии, что вы следовали киберкритериям, согласованным в политике. 

(21 октября 2021 г.) 

 В WinRAR версии 5.70 существует ошибка удаленного выполнения кода. Этой версии бесплатной утилиты архиватора файлов исполнилось два года. Уязвимость была исправлена в июле 2021 года; пользователям рекомендуется убедиться, что они используют WinRAR версии 6.02 или более поздней.

Примечание 

 Использование этой уязвимости является сложно. Это касается только пробных версий программного обеспечения с истекшим сроком действия. Злоумышленник должен будет перехватить и обработать HTML-контакт, полученный с помощью напоминания о лицензии приложения. Это напоминание отображается только в том случае, если срок действия пробной лицензии истек, и только при каждом третьем использовании программного обеспечения.   

Это версия WinRAR двухлетней давности, работающая в бесплатном пробном режиме. CVE-2021-35052 исправлен в версии 6.02. Убедитесь, что установлены версии 6.0.2. Бесплатная пробная версия действительна только в течение 40 дней, либо удалите старые копии, либо лицензируйте их. Лицензия является бессрочной и кроссплатформенной. Можно надеяться, что корпоративные пользователи этого продукта увидят это предупреждение. Многие частные пользователи этого не сделают.