­­­­

(15 и 16 февраля 2022 г.) 

 Министерство обороны Украины, ее Вооруженные силы и два государственных банка стали мишенью распределенных атак типа «отказ в обслуживании» (DDoS). Эксперты по безопасности прокомментировали ситуацию. Сандра Джойс, исполнительный вице-президент Mandiant по глобальной разведке, пишет, что, хотя есть опасения, что связанные с этим киберинциденты могут распространиться за пределы Украины, организации «должны подготовиться, но не паниковать». Адам Мейерс, старший вице-президент CrowdStrike по разведке, сказал: «Хотя в настоящее время нет никаких свидетельств каких-либо нападений на западные организации, безусловно, существует вероятность побочного воздействия в результате подрывных или разрушительных атак, направленных против Украины — это может повлиять на компании, которые имеют присутствие в Украине, те, которые ведут бизнес с украинскими компаниями или имеют компонент цепочки поставок в Украине, такой как разработка кода/офшоринг». 

Примечание 

 Обычно для запуска DoS-атаки не требуется много времени, и они часто используются менее опытными злоумышленниками. В этом случае отчеты указывают на то, что в атаках использовались определенные уязвимости приложений. Их часто трудно избежать в веб-приложениях, где некоторые функции могут занимать больше ресурсов (например, сложные функции поиска).Чтобы защитить приложение, решения для защиты от DoS-атак должны предусматривать проверку на уровне приложения, и если вы знаете об определенных функциях, которые могут быть использованы для DoS-атак: настройте план, чтобы возможно отключить эти функции или потребовать дополнительной аутентификации (возможно, даже CAPTCHA) в случае высокая нагрузка.Хотя вы, возможно, не задумывались об этом в прошлом, кибератаки являются составной частью конфликта между странами. Независимо от того, поддерживает государство или нет, убедитесь, что у вас есть планы общения с сотрудниками, офисами или деловыми партнерами, которые могут быть изолированы такими действиями. Также убедитесь, что вы используете доступные средства защиты от DDOS, предлагаемые вашим интернет-провайдером или поставщиками облачных услуг. 

(11 февраля 2022 г.) 

 Британский суд приговорил бывшего ИТ-специалиста к 21 месяцу тюремного заключения за кибератаки на школу и ИТ-фирму. Адам Джорджсон работал в школе, но был уволен после того, как узнал о предыдущих судимостях за мошенничество. Он начал атаку на школу, когда работал в ИТ-фирме. После того, как он потерял работу в этой фирме, он начал атаку на ее сеть. 

Примечание 

 Хорошее напоминание для групп безопасности и ИТ-специалистов: проверка биографических данных должна быть регулярной частью при приеме на работу любого, кому будет предоставлен привилегированный доступ к системе. Тема не популярная, но критическая. Когда вы работаете с отделом кадров/наймом, убедитесь, что когда принимается решение об увольнении сотрудника, отключение всего внутреннего и удаленного доступа является частью процесса. 

Сотрудник ранее дважды был судим за мошенничество, раскрытие которого привело к его увольнению. Лучше заранее проверить биографические данные, даже если они могут замедлить процесс адаптации, чем иметь дело с недовольным сотрудником, у которого может быть привилегированный доступ. Для тех, кто уже проверяет данные, сколько из вас пересматривают их с некоторым интервалом? Я видел, как хорошие люди делают плохой выбор; Я видел, как работодатели помогают этому сотруднику сохранить работу и оправиться от этих решений.

Привилегированная внутренняя угроза является одной из самых сложных для обнаружения и реагирования. Я знаком лишь с несколькими организациями, в которых есть специальные программы и группы по борьбе с внутренними угрозами. Как обычно, рассмотрите свою модель угроз и уровень зрелости, не сосредотачиваясь только на одном типе угроз.

(8 и 9 февраля 2022 г.) 

 Ранее на этой неделе Vodafone Portugal подверглась кибератаке. Отключения повлияли на доступность сетей 4G и 5G, обмен SMS-сообщениями и услуги телевидения. Атака также затронула службы, которыми пользуются экстренные службы. Vodafone Portugal назвала инцидент «преднамеренной и злонамеренной атакой, направленной на причинение ущерба». 

Примечание 

 С развертыванием и переходом на 5G сети 3G и более ранние версии закрываются, выводятся из эксплуатации, а частоты перераспределяются. К счастью, Vodafone удалось повторно активировать свою сеть 3G и предоставить клиентам некоторое облегчение. Это предназначено для восстановления голосовых услуг, поскольку скорость передачи данных намного ниже. Клиенты, полагающиеся на сотовые данные, должны будут дождаться полного восстановления для достижения ожидаемых скоростей передачи данных. Следите за обновлениями статуса на сайте Vodaphone 

Агентство планировало потребовать от налогоплательщиков отправлять видеосканы своего лица в частную компанию, начиная с лета этого года.

Служба внутренних доходов отказалась от своего плана потребовать от миллионов американцев пройти проверку распознавания лиц через частную компанию для доступа к своим онлайн-счетам налогов после бурной критики со стороны защитников конфиденциальности и членов Конгресса.

В понедельник IRS заявила , что в ближайшие недели «откажется » от использования услуги сканирования лица, предлагаемой компанией ID.me , и разработает дополнительный процесс аутентификации, не связанный с распознаванием лиц. IRS заявила, что также продолжит работу с «межправительственными партнерами» над дополнительными методами аутентификации, но не указала точных сроков для изменения или не сообщила, что может повлечь за собой дополнительный процесс аутентификации.

Первоначально агентство заявило, что начиная с этого лета все налогоплательщики должны будут предоставить ID.me «видео-селфи», чтобы получить доступ к своим налоговым записям и другим услугам на веб-сайте IRS . Но законодатели и сторонники раскритиковали идею обязательного использования технологии по всей стране, заявив, что она несправедливо обременит американцев без смартфонов или компьютерных камер, сделает конфиденциальные данные уязвимыми для хакеров и подвергнет цветных людей системе, которая, как известно, работает менее точно на более темной коже . .

Сенатор Рон Уайден (штат Орегон), один из почти двух десятков членов Конгресса, которые призвали IRS остановить этот план, заявил в своем заявлении в понедельник: «Я ценю то, что администрация признает, что конфиденциальность и безопасность не являются взаимоисключающими. и никто не должен быть принужден к распознаванию лиц для доступа к важнейшим государственным услугам».Ранее в понедельник Уайден в письме призвал IRS отказаться от работы с ID.me , назвав «просто неприемлемым заставлять американцев проходить сканирование с использованием технологии распознавания лиц в качестве условия взаимодействия с правительством в Интернете». 

Правительство управляет отдельной службой входа в систему, Login.gov , руководители которой заявили The Washington Post на прошлой неделе, что они не будут использовать распознавание лиц, пока «тщательный анализ не даст нам уверенности в том, что мы можем делать это справедливо и без причинения вреда уязвимым». населения».

В настоящее время компания предлагает резервный вариант, который позволяет людям, не прошедшим проверку на распознавание лиц, подтвердить свою личность, показав официальные документы представителю компании во время видеозвонка в режиме реального времени. Но некоторые люди, которые прошли через этот процесс, сообщали о технических сбоях и многочасовом ожидании помощи, а глава компании сказал The Post , что у них менее 1000 агентов, обрабатывающих видеозвонки по всей стране. 

(2 и 3 февраля 2022 г.) 

 Воры использовали уязвимость в блокчейн-платформе Wormhole, чтобы украсть криптовалюту на сумму более 300 миллионов долларов. Wormhole позволяет пользователям передавать криптовалюту через блокчейны. Червоточина временно приостановила работу на время расследования инцидента. 

Примечание 

 Это захватывающая уязвимость, демонстрирующая, насколько сложно должным образом защитить кроссчейн-транзакции. Считается, что злоумышленники заметили загружаемое на GitHub исправление безопасности, которое еще не было развернуто в сети. Большинство децентрализованных архитектур будут страдать от этой проблемы, когда публикация исправления безопасности может привести к эксплуатации до того, как исправление будет развернуто в сети. Одно исправление, использовавшееся ранее, заключалось в публикации патчей с закрытым исходным кодом, хотя это идет вразрез с движением за открытый исходный код (и, вероятно, нарушает правила лицензирования). Это также подвергает дополнительный риск, поскольку код не может быть проверен. Подумайте, насколько сложно управлять уязвимостями в организации, где вы владеете всеми системами. Организации, опирающиеся на так называемые децентрализованные сети, должны будут спланировать, как они могут безопасно предоставлять обновления в сеть, которую они не контролируют, прежде чем эта технология сможет получить более широкое распространение. 

Примечание. 

Различные суммы убытков могут быть связаны с колебаниями цены Ethereum в разное время отчетности.Такие платформы страдают от тех же ошибок, что и стандартные веб-приложения, связанные с авторизацией и т.п. Основное отличие? На карту поставлены большие деньги, и риск потери намного выше, чем в традиционных финансовых условиях. Этот межсетевой мост обеспечивает взаимодействие, сохраняя при этом ценность блокчейнов Ether и Solana в соотношении один к одному. Это означает, что восстановление потерянных средств влияет на стоимость кроссчейн токенов. Другими словами, нет средств, нет ценности. Это одна из самых рискованных моделей обмена криптовалютой, которая может оказаться нежизнеспособной в долгосрочной перспективе. Будет интересно посмотреть, удастся ли обнаружить попытку отмывания украденной валюты. 

(28, 29 и 31 января 2022 г.) 

 ФБР рассматривало возможность использования шпионского ПО Pegasus от NSO Group. NSIO Group изначально разработала Pegasus, чтобы его нельзя было использовать против телефонов в США; В своем предложении ФБР NSIO Group предложила обходной путь, известный как Phantom, который позволил бы нацеливаться на телефоны в США. В конечном итоге ФБР решило не продвигать план. 

Примечание 

 Предположим, у спецслужб есть такие инструменты, как Pegasus и Phantom; примите меры, чтобы снизить риск, даже если вы не думаете, что стали мишенью. Это означает, что при поездках в опасные места за границей используйте мобильные телефоны с минимальным объемом данных, строгой аутентификацией, текущими ОС и приложениями и проверенными настройками безопасности. Не обновляйте устройства во время этих поездок и считайте их подозрительными по возвращении. Этот сценарий не подходит для BYOD.Не следует удивляться, что такие обсуждения имели место. Хотелось бы думать, что ФБР будет использовать такой инструмент только с ордерами, основанными на вероятной причине. Однако недавний опыт использования бортовых IMSI-ловушек вызывает некоторые сомнения. Даже «хорошие парни» подвержены искушению. «Обычные подозреваемые» должны учитывать ограничения безопасности, которые есть у всех технологий, но особенно у устройств связи общего назначения.  

(27 и 28 января 2022 г.) 

 Исследователи из Proofpoint обнаружили вредоносную гибридную облачную кампанию, нацеленную на руководителей высшего звена. Кампания включает захват учетных записей Office 365, вредоносные приложения OAuth и фишинговые атаки. 

Примечание 

 Пентестеры и красные команды: если ваша методология атаки еще не включает злоупотребление токеном OAuth, сейчас самое время для обновления. Учетные данные и фишинг MFA по-прежнему хороши, но не забудьте также измерить риск облачной идентификации/доступа ваших клиентов. 

Остерегайтесь неизвестных приложений, запрашивающих разрешения, в частности «Согласие от имени вашей организации». В этом случае злоумышленники манипулируют URL-адресом ответа таким образом, что нажатие кнопки «Отмена» просто перенаправляет обратно, сеансы должны быть закрыты, возможно, закрывая вызывающий клиент или браузер. Убедитесь, что ваш CASB, переписывание URL-адресов или другое решение для предотвращения атак включает правила для этой атаки.  

(26 января 2022 г.)

Управление управления и бюджета США (OMB) опубликовало федеральную стратегию архитектуры нулевого доверия. Стратегия требует, чтобы федеральные агентства «соблюдали определенные стандарты и цели в области кибербезопасности к концу 2024 финансового года». Требования включают использование надежной многофакторной аутентификации; «создание надежных реестров активов посредством участия в программе непрерывной диагностики и смягчения последствий (CDM) CISA»; и «аудит доступа к любым данным, зашифрованным в состоянии покоя в коммерческой облачной инфраструктуре». 

 Примечание  

По сути, причиной нулевого доверия является то, что устаревшая модель защищенного периметра с (многими) определенными точками входа и выхода недостаточна для предотвращения атак современных противников. Исполнительный указ (EO 14028) требовал, чтобы агентства имели план реализации нулевого доверия. В этом меморандуме добавлено требование к агентствам использовать эти планы в течение 60 дней, а также определить реализацию стратегии нулевого доверия в течение 30 дней после меморандума. Меморандум имеет широкое влияние не только на аутентификацию, но и требует более основательного тестирования приложений, шифрования DNS, шифрования внутренних HTTP-соединений, комплексной защиты данных и многого другого. В этом меморандуме представлен хороший набор мер безопасности, которые следует учитывать независимо от государственного или частного сектора.По мере перехода вашей архитектуры от традиционной локальной к облаку и нулевому доверию убедитесь, что ваши средства защиты и обнаружения также развиваются. Если вы не можете обнаружить распыление паролей и злоупотребление личными данными, вы не можете быть лучше. Также: многофакторная аутентификация для всего! 

Агентства должны пересмотреть и применить аналогичные рекомендации, чтобы соответствовать планке, установленной OMB.Я всегда думаю об определениях, когда читаю такие заголовки. Многие будут утверждать, что MFA сам по себе не является нулевым доверием. Знаем ли мы, с каким определением архитектуры нулевого доверия мы будем работать сегодня?Изоляция нужна между системами и процессами, а также контроль доступа с минимальными привилегиями, и они нужны нам сейчас, а не через два года. Постановка цели на 2024 год эквивалентна предоставлению лицензии на принятие риска (например, что скрытый бэкдор в любом месте организации подвергает риску всю организацию) до тех пор. 

Компоненты стратегии 

Стратегия придерживается пяти ключевых столпов, ранее изложенных и определенных Агентством по кибербезопасности и безопасности инфраструктуры, и дает агентствам до конца 2024 финансового года для достижения конкретных целей нулевого доверия. 

Он призывает к следующим действиям в следующих областях: 

•Идентификация: сотрудники Агентства будут использовать устойчивые к фишингу MFA для защиты персонала, управляемого предприятием, от «изощренных онлайн-атак». 

•Устройства: Федеральные агентства проведут инвентаризацию всех устройств, которыми они управляют, и разрешат их использование государством. 

•Сети: агентства будут шифровать все DNS-запросы и HTTP-трафик в своей среде и начнут выполнять план по разбиению своих периметров на изолированные среды. 

•Приложения и рабочие нагрузки: Агентства будут рассматривать все приложения как подключенные к Интернету и регулярно подвергающиеся «тщательному эмпирическому тестированию» и будут «приветствовать внешние отчеты об уязвимостях». 

•Данные: Агентства будут следить за тем, чтобы они находились на «четком общем пути для развертывания средств защиты, использующих тщательную категоризацию данных». Кроме того, агентства будут использовать облачные службы безопасности для мониторинга конфиденциальных данных и внедрения ведения журналов и обмена информацией в масштабах предприятия. 

(15, 16 и 17 января 2022 г.) 
 Microsoft предупредила о разрушительном вредоносном ПО Wiper, которое используется в целевых атаках на организации в Украине. Центр Microsoft Threat Intelligence Center (MSTIC) сообщает, что вредоносное ПО впервые появилось в украинских системах 13 января 2022 года. Сообщается, что вредоносное ПО разработано так, чтобы выглядеть как программа-вымогатель, но в нем отсутствует механизм восстановления, что наводит исследователей на мысль, что его целью является уничтожение данных. Вредоносное ПО перезаписывает основную загрузочную запись и отображает фальшивое сообщение о выкупе, а затем повреждает несколько типов файлов. 
Примечание 
Деструктивное вредоносное ПО, которое Microsoft назвала «WhisperGate», было обнаружено во многих организациях, подобных тем, которые на прошлой неделе пострадали от искажения веб-сайтов. Вредоносная программа WhisperGate разработана так, чтобы выглядеть как программа-вымогатель на очень высоком уровне. Однако беглый осмотр показывает, что реальной возможности выздоровления пострадавших нет. Деструктивному вредоносному ПО не хватает функций, встроенных в традиционные программы-вымогатели, таких как ключ для каждой жертвы. Если злоумышленники надеялись, что это будет по-прежнему выглядеть как программа-вымогатель (даже при ограниченной проверке), они упустили значительное количество деталей. Мы должны заключить, что субъекты угрозы, вероятно, являются относительно опытными и на самом деле не заботятся о том, как воспринимается вредоносное ПО, и в этом случае связь с программой-вымогателем, вероятно, существует только для того, чтобы сохранить некоторое подобие правдоподобного отрицания.[Нили]Подготовка к этому штамму такая же, как и к любому другому; восстановление упрощается, так как вам не нужно обсуждать оплату программы-вымогателя. Убедитесь, что ваши планы восстановления проверены, а сроки реалистичны. 
Это интересно; разрушительное вредоносное ПО — это то, с чем многие компании не могут позволить себе такую роскошь. Вместо этого большинство компаний сталкиваются с традиционными программами-вымогателями. Ваша компания смоделировала это?Эта атака не выглядит очень сложной и не использует какие-либо инновационные TTP. Выполнение «скучных» основ, таких как устранение локальных административных привилегий для учетных записей, имеющих доступ к электронной почте и Интернету, будет иметь большое значение. 

19.01.2022

 Агентство по кибербезопасности и безопасности инфраструктуры (CISA) призывает организации США усилить свою киберзащиту от атак с очисткой данных, недавно замеченных против украинских государственных учреждений и предприятий. 

Как сообщает BleepingComputer, в прошлую пятницу государственные органы и юридические лица Украины подверглись скоординированным кибератакам, в результате которых веб- сайты были повреждены , а вредоносное ПО для удаления данных было развернуто для повреждения данных и вывода устройств Windows из строя.

Источники сообщили журналисту по кибербезопасности Ким Зеттер , что злоумышленники, вероятно, осуществили дефейс веб-сайта, используя уязвимость CVE-2021-32648 на платформе OctoberCMS. Киберполиция Украины заявляет, что расследует использование уязвимостей Log4j и украденных учетных данных в качестве еще одного средства доступа к сетям и серверам.

CNN также сообщает , что украинская компания, предоставляющая ИТ-услуги, которая помогла разработать многие из этих сайтов, также стала жертвой, что вызывает опасения по поводу атаки на цепочку поставок.

Первоначально считалось, что порча веб-сайтов и атаки вредоносного ПО с очисткой данных — это разные атаки. Однако вчера Украина опубликовала пресс-релиз, в котором говорится, что организации пострадали от обеих атак, что заставляет их полагать, что они были скоординированы.

«Таким образом, с большой долей вероятности можно утверждать, что интерфейс (подмена отображаемой информации) сайтов атакованных госорганов и уничтожение данных Viper являются частью кибератаки, направленной на причинение максимально возможного ущерба инфраструктуре государственного электронного ресурса. ", - заявило вчера правительство Украины .

Украина возлагает вину за эти атаки на Россию , а некоторые эксперты по безопасности связывают атаки с Ghostwriter , спонсируемой государством хакерской группой, имеющей связи с Беларусью.

CISA призывает организации США защищаться от подобных атак

В настоящее время CISA призывает бизнес-лидеров и организации США предпринять следующие шаги для предотвращения подобных разрушительных атак на их сети.

«Этот отчет CISA Insights предназначен для того, чтобы высшее руководство каждой организации в Соединенных Штатах было осведомлено о критических киберрисках и предпринимало срочные краткосрочные шаги для снижения вероятности и воздействия потенциально опасного взлома», — предупреждает новый отчет CISA Insights . бюллетень .

«Все организации, независимо от сектора или размера, должны немедленно выполнить шаги, описанные ниже».

Хотя рекомендации CISA являются ответом на недавние кибератаки на Украину, следующие предлагаемые шаги также являются хорошим советом для предотвращения любых сетевых вторжений, в том числе ведущих к атакам программ-вымогателей.

Уменьшите вероятность опасного кибервторжения:

•Убедитесь, что для любого удаленного доступа к сети организации, а также привилегированного или административного доступа требуется многофакторная проверка подлинности. 

•Убедитесь, что программное обеспечение обновлено, отдавая приоритет обновлениям, устраняющим известные эксплуатируемые уязвимости, обнаруженные CISA . 

•Подтвердите, что ИТ-персонал организации отключил все порты и протоколы, которые не являются необходимыми для деловых целей. 

•Если организация использует облачные сервисы, убедитесь, что ИТ-персонал изучил и внедрил надежные средства контроля, описанные в руководстве CISA . 

•Подпишитесь на бесплатные услуги кибергигиены CISA , включая сканирование уязвимостей, чтобы уменьшить подверженность угрозам. 

Примите меры для быстрого обнаружения потенциального вторжения:

•Убедитесь, что персонал по кибербезопасности/ИТ сосредоточен на выявлении и быстрой оценке любого неожиданного или необычного поведения сети. Включите ведение журнала, чтобы лучше исследовать проблемы или события. 

•Подтвердите, что вся сеть организации защищена антивирусным и антивредоносным программным обеспечением и что сигнатуры в этих инструментах обновлены. 

•Если вы работаете с украинскими организациями, уделите особое внимание мониторингу, проверке и изоляции трафика от этих организаций; внимательно изучите средства контроля доступа для этого трафика 

•Назначьте группу реагирования на кризисные ситуации с основными контактными лицами для предполагаемого инцидента кибербезопасности и ролями/обязанностями в организации, включая технологии, связь, юридическую и деловую непрерывность. 

•Обеспечить доступность ключевого персонала; определить средства для обеспечения экстренной поддержки для реагирования на инцидент. 

•Проведите кабинетное упражнение, чтобы убедиться, что все участники понимают свои роли во время инцидента. 

Максимально повысить устойчивость организации к разрушительным киберинцидентам:

•Протестируйте процедуры резервного копирования, чтобы убедиться, что важные данные могут быть быстро восстановлены, если организация подвергнется воздействию программы-вымогателя или разрушительной кибератаки; убедитесь, что резервные копии изолированы от сетевых подключений 

•Если используются промышленные системы управления или операционные технологии, проведите тест ручного управления, чтобы убедиться, что критические функции остаются работоспособными, если сеть организации недоступна или ненадежна. 

CISA также рекомендует специалистам по кибербезопасности и ИТ прочитать их недавний бюллетень о смягчении последствий киберугроз, спонсируемых российским государством, для критически важной инфраструктуры США