Журнал "Директор по безопасности" Июнь 2021 | Page 29

НОВОСТИ КОМПАНИЙ

Компании и организации стали лучше защищаться от вымогателей

Исследователи в области кибербезопасности из компании Sophos рассказали , как операторы вымогательского ПО две недели анализировали сеть крупного предприятия с целью занять выгодную позицию для осуществления разрушительной атаки . Специалисты вскоре выявили хакеров и предотвратили атаку .

Как отметили эксперты , на самом деле предприятия имеют доступ к множеству надежных защитных технологий , а также к проверенным тактикам и процедурам для обнаружения и обезвреживания даже самых современных многоуровневых атак .

Крупная неназванная организация насчитывала 15 тыс . оконечных точек , распределенных по всей Северной Америке . В ходе кибератаки злоумышленники закрепились на одном уязвимом сервере Microsoft Exchange . Затем преступники в течение 14 дней установили множество вредоносных программ внутри межсетевого экрана . Они смогли перехватить контроль над несколькими системами , чтобы украсть учетные данные , взломать контроллеры домена и сохранить удаленный доступ ко взломанным устройствам . Эксперты Sophos помогли команде безопасности предприятия разрешить ситуацию и ограничить атаку , прежде чем преступники смогли зашифровать системы и потребовать выкуп .

В последние годы все больше организаций относятся к снижению киберрисков с необходимым уровнем серьезности . Команды безопасности более эффективно взаимодействуют с операционным и финансовым отделами компаний , а руководство более эффективно взаимодействует с советом директоров . Предприятия сделали своей приоритетной задачей получение максимальной отдачи от своих систем безопасности , а также начали внедрять новые структуры безопасности .

Преступники смогли перехватить контроль над несколькими системами , чтобы украсть учетные данные , взломать контроллеры домена и сохранить удаленный доступ ко взломанным устройствам

Причиной следующего финансового кризиса может стать кибератака

Департамент финансовых услуг штата Нью-Йорк ( New York State Department of Financial Services , DFS ) опубликовал отчет о влиянии атаки на цепочку поставок SolarWinds , в котором сообщается , что причиной следующего финансового кризиса может стать кибератака .

« Этот инцидент подтверждает , что следующий серьезный финансовый кризис может быть вызван кибератакой . Тот факт , что хакеры одним махом могут получить доступ к тысячам организаций , подчеркивает , что кибератаки угрожают не только отдельным компаниям , но и стабильности финансового сектора в целом », – сообщила инспектор финансовых сервисов Линда Лейсуэлл ( Linda Lacewell ).

В отчете представлены результаты проведенного DFS расследования мер , принятых нью-йоркскими финансовыми компаниями в ответ на атаку SolarWinds . В нем приводится краткая информация о самой атаке , ответных действиях компаний , регулируемых DFS , и ключевых мерах по предотвращению и смягчению последствий будущих атак на цепочки поставок .

Как было установлено в ходе расследования , подотчетные DFS компании в целом очень быстро отреагировали на атаку . 94 % компаний устранили бэкдор из своих IT-систем в течение трех дней с момента сообщения об атаке SolarWinds . Тем не менее , также обнаружилось , что некоторые компании не устанавливают исправления регулярно с целью своевременного предотвращения угроз .

В Санкт-Петербурге разработали систему киберзащиты « умных городов »

В Санкт-Петербургском политехническом университете Петра Великого ( СпбПУ ) разработали методику оценки угроз кибербезопасности интеллектуальных систем « умного города ». Новая методика оценки рисков позволит повысить уровень защищенности информационных активов умного города с учетом специфики современных киберугроз .

В структуре рисков появились новые угрозы – нарушение процессов функционирования крупных предприятий и городской инфраструктуры , перехват управления инженерными и информационными системами . Злоумышленники , использующие беспроводные каналы , могут удаленно вторгаться в целевую подсеть или в устройство , перехватывать трафик , запускать атаки типа « отказ в обслуживании » ( DDoS ) и захватывать управление устройствами интернета вещей для создания бот-сетей .

Методика анализа угроз безопасности систем « умного города » базируется на количественном подходе , позволяет идентифицировать и предотвращать их основные типы . Экспериментальные исследования , проведенные на имитационных моделях типовых структур « умного города » ( интернет вещей , « умное здание », « умный перекресток »), показали прогностическую ценность предложенного СПбПУ подхода , хороший уровень гибкости и быстродействия системы , сопоставимый с лучшими мировыми аналогами .

Создана система квантовой криптозащиты для беспилотных авто

В центре компетенций НТИ по направлению « Технологии компонентов робототехники и мехатроники » на базе « Иннополиса » создали стабильный криптозащищенный канал беспроводной передачи данных между беспилотным автомобилем и управляющим центром , защищенный шифрованием с применением квантовых симметричных ключей .

Сейчас автомобильный транспорт защищен классической криптографией , использование алгоритмов квантового компьютинга позволяет обеспечить более устойчивую к взлому систему . Особенно отчетливо преимущества нового алгоритма проявляются в ситуациях обновления программного обеспечения системы автономного управления беспилотного автомобиля .

Применяемое решение квантового распределения ключей ( КРК ) позволяет осуществить туннелирование канала и его шифрование . Квантовая технология генерации ключей шифрования позволяет создавать криптостойкий канал связи и предотвратить несанкционированный просмотр или подмену передаваемых сообщений . Для масштабирования таких решений необходимо строительство городских квантовых сетей и развитие технологии в направлении миниатюризации блоков системы КРК , более глубокой интеграции в систему автономного управления беспилотного автомобиля . Об этом сообщила пресс-служба « Иннополиса ».

Тренинги по кибербезопасности не помогают против фишинговых атак

Специалисты в области кибербезопасности из компаний Cyentia Institute и Elevate Security сообщили , что привычные методы повышения безопасности , такие как обучение и симуляция фишинга , практически никак не повышают способности сотрудников защитится от кибератак .

В рамках исследования эксперты проанализировали данные 114 тыс . пользователей платформы Elevate Security , а также информацию о вредоносном ПО , фишинговых атаках и прочих инцидентах . По словам специалистов , после завершения обучения пользователи реже переходят по вредоносным ссылкам в ходе имитации фишинга , но в реальных атаках это не работает .

Кроме того , большое количество тренировок может и вовсе оказать противоположный эффект . Пользователи , прошедшие пять или более обучений , с большей вероятностью нажмут на фишинговую ссылку ( 14,2 %). Пользователи , прошедшие только одну тренировку , щелкали по фишинг-ссылке лишь в 11,2 % случаев . Таким образом , универсальные программы соответствуют целям соблюдения нормативных требований , но не обеспечивают эффективного снижения рисков .

Как показали результаты исследования , 6,6 % сотрудников скачивает или запускает вредоносное ПО . В любой компании найдется сотрудник , который хоть раз кликнет по фишинговой ссылке .

Эксперты также отметили , что пользователи , установившие менеджеры паролей , в 19 раз реже загружают или запускают вредоносное ПО . Примечательно , что данными менеджерами паролей чаще пользуется руководство компаний ( почти 30 %), чем рядовые сотрудники ( 20 %).

Apple Find My Network можно использовать для скрытной передачи данных

Программа Apple Find My Nerwork (« Сеть Локатора »), используемая для поиска устройств под управлением iOS и macOS может быть использована в качестве потенциального инструмента для шпионажа . Злоумышленник может передавать небольшие объемы произвольных данных с одного устройства на другое с помощью находящихся рядом устройств Apple .

Устройства Apple поставляются с функцией Find My , которая упрощает пользователям поиск других продуктов Apple , включая iPhone , iPad , iPod touch , Apple Watch , Mac или AirPods . Функция отслеживания местоположения , получившая название « автономный поиск » и представленная в 2019 году , передает сигналы технологии Bluetooth Low Energy ( BLE ) с устройств Apple , позволяя находящимся в непосредственной близости другим девайсам передавать свое местоположение на серверы техногиганта .

Cоучредитель компании Positive Security Фабиан Бройнлейн ( Fabian Brunlein ) разработал способ отправки ограниченного количества произвольных данных на серверы Apple iCloud с устройств без подключения к интернету с помощью трансляций Bluetooth Low Energy ( BLE ) и микроконтроллера , запрограммированного для работы в качестве модема . Затем эти данные можно получить из облака с помощью специального приложения . Экспериментальный сервис получил название Send My .

Эксперт также предполагает , что метод может быть использован для исчерпания тарифных планов мобильных пользователей , поскольку не было выявлено какого-либо механизма ограничения скорости для количества отчетов о местоположении , которые устройства могут отправлять по сети Find My . Передача большого количества уникальных открытых ключей шифрования в рамках протокола Find My увеличит объем отправляемого мобильного трафика , при этом размер каждого отчета превышает 100 байт .

В России создали прибор , выявляющий биологические угрозы за пять секунд

Холдинг « Швабе » ( входит в « Ростех ») разработал детектор « Сегмент Гамма », который способен обнаружить взрывчатые вещества и опасные химикаты за пять секунд , сообщили в пресс-службе госкорпорации . Опытный образец впервые представили на выставке « Комплексная безопасность » в парке « Патриот » ( Кубинка ).

«“ Сегмент Гамма ” осуществляет непрерывный мониторинг воздуха в помещении на предмет взрывчатых веществ , опасных химических и биологических агентов », – рассказали в компании .

По словам исполнительного директора « Ростеха » Олега Евтушенко , комплекс можно использовать на железнодорожных вокзалах , в аэропортах и метро , торговых центрах , кинотеатрах , концертных и выставочных залах . Эффективность – не менее 99,8 %.

Ранее « Швабе » представлял устройства « Детектор-БИО » и « Эфир- БИО » для выявления в воздухе токсинов , бактерий и вирусов , включая COVID-19 . Приборы создали в партнерстве с НИЦ эпидемиологии и микробиологии имени Гамалеи и ИТЭБ РАН в рамках федеральной программы « Национальная система химической и биологической безопасности Российской Федерации ».

Microsoft предупредила о новом загрузчике , атакующем авиацию

Microsoft предупредила о киберкампании , в ходе которой злоумышленники атакуют целевым фишингом аэрокосмические и туристические организации . Интересной особенностью этих атак является использование нового загрузчика , доставляющего на компьютеры жертв трояны ( RAT ).

По словам Microsoft , наблюдавшей за активностью преступников последние несколько месяцев , вредоносная кампания весьма динамична . В качестве приманки используются PDF-документы , которые якобы напрямую связаны с деятельностью организаций аэрокосмического , туристического и промышленного секторов . Как выяснили в ходе наблюдения специалисты , конечной целью злоумышленников была кража важных данных из скомпрометированных устройств . Для этого как раз используются RAT-вредоносы , способные фиксировать нажатия клавиш ( кейлогер ) и красть пароли сотрудников .

Помимо этого , операторы троянов получают возможность снимать скриншоты , записывать видео при помощи веб-камеры , мониторить буфер обмена и браузер , анализировать информацию о системе .

Вымогателей изгоняют с хакерских площадок

Команда крупнейшего киберпреступного форума Exploit приняла решение запретить темы , связанные с вымогательским ПО , дабы не привлекать лишнее внимание . Ранее аналогичное решение и по тем же причинам приняла администрация популярной русскоязычной площадки XSS .

« Мы рады пентестерам , специалистам , кодерам . Но не рады локерам , они привлекают очень много внимания . Сам вид деятельности нам не симпатичен в виду того , что локается все подряд , мы считаем нецелесообразным присутствие на нашем форуме партнерок локеров . Решено убрать все партнерки и запретить как вид деятельности на нашем форуме . Все топики , связанные с локерами будут удалены », – гласит заявление на сайте Exploit .

Операторы вымогательского ПО уже выразили недовольство решением администрации форумов . К примеру , представители вымогательской группировки REvil заявили , что в течение недели « переедут » на приватную платформу .

На этой же неделе стало известно , что группировка DarkSide , ответственная за нашумевшую атаку на американскую компанию Colonial Pipeline , приведшую к перебоям с поставками топлива в части США , потеряла доступ к части публичной инфраструктуры , включая блог , платежные и CDN-серверы . Также команда лишилась денег , хранившихся на платежном сервере , которые были переведены на неизвестный адрес .

Также REvil объявила о новых ограничениях для своих партнеров . Они включают запрет на атаки организаций из социального сектора ( сфера здравоохранения , образования ) и правительственных структур в любой стране .