Рубрика:
Безопасность /
Новости инфобеза
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Гарантия сверхдохода – это признак мошенничества
В ноябре злоумышленники всех мастей повысили ставки в борьбе за средства компаний и граждан. Впереди длинные новогодние праздники – следует торопиться. И ловцы чужих денег торопятся, забывая об осторожности. Один из признаков «нечистой игры» – обещание легких и больших денег. Не попадайтесь на эту уловку!
Компания «Лаборатория Касперского»
Треть россиян понимают, что данные можно украсть через провод зарядки в автомобиле
29%[1] опрошенных россиян верят, что злоумышленники могут украсть данные с устройства, если заряжать его через провод зарядки в стороннем автомобиле. Таковы данные опроса, проведенного компанией.
Эксперты говорят, что получить информацию подобным способом – с мобильного устройства через разъёмы для зарядки – действительно можно. Однако они успокаивают, что пока подобные инциденты фиксировались лишь в лабораторных условиях. Кроме того, владелец смартфона может сам случайно синхронизировать с автомобилем свои контакты и заметки. Поэтому специалисты призывают не пренебрегать базовыми правилами безопасности.
Более трети респондентов (35%) считают, что украсть данные с устройства через провод зарядки невозможно, и 30% – готовы заряжать телефон через свой провод или имеющийся в автомобиле, например во время поездок в такси или каршеринге. Лишь каждый пятый, напротив, не готов воспользоваться проводом в чужой машине, даже если телефон разрядился.
Под угрозой могут быть не только контакты и заметки. Модифицированное зарядное устройство в автомобиле может сработать так, что для синхронизации будут доступны и календарь, и другие данные. Чтобы избежать подобных рисков, эксперты рекомендуют носить с собой зарядное устройство (power bank) либо купить провод, в котором отсутствует возможность передачи данных, а есть только функция зарядки батареи.
«Мы проводили исследования, которые подтверждают, что эти риски абсолютно реальны. Исследователи показывали, что при кибератаке с некоторыми автомобилями можно сделать очень многое – заблокировать движение колёс, изменить программный код интеллектуальных бортовых систем или же заложить определённое срабатывание в автомобиле при заданных условиях», – рассказывает Владимир Дащенко, эксперт Kaspersky ICS CERT.
С рисками можно столкнуться и при использовании чужих устройств в своём автомобиле – если, например, вставить флешку неизвестного происхождения. Более половины россиян (55%) понимают, что это может потенциально нанести вред. Готов вставить флешку неизвестного происхождения в свой автомобиль каждый десятый респондент (9%), в чужой или арендованный – 13%, в любой – 4%.
«Современный автомобиль – сложная киберфизическая система, при эксплуатации которой можно столкнуться с теми же рисками в области ИБ, что и при взаимодействии с цифровыми устройствами. Поэтому не стоит подключать мобильные устройства к неизвестным источникам питания в стороннем авто или пользоваться непроверенными флешками в своём автомобиле. Также стоит действовать превентивно и, чтобы обезопасить свои мобильные устройства от киберугроз, распространяющихся различными способами, использовать надёжные защитные решения, например Kaspersky для мобильных устройств. Но ключевая рекомендация – быть внимательными во всём, что связано с цифрой», – предупреждает Владимир Дащенко.
«Лаборатория Касперского» выпустила практическое руководство по техникам, тактикам и процедурам азиатских APT-групп
Команда Kaspersky Cyber Threat Intelligence проанализировала около сотни инцидентов, произошедших в разных уголках мира в 2022-2023 гг., и исследовала действия атакующих на основе методологии Unified Kill Chain (UKC). В качестве примеров эксперты описали пять геораспределённых инцидентов: в России и Беларуси, Индонезии, Малайзии, Аргентине, Пакистане.
В аналитическом отчёте подробно описываются тактики, техники и процедуры, используемые азиатскими кибергруппами на каждом из этапов атаки, даны рекомендации, как бороться с подобными атаками, и содержатся Sigma-правила для их детектирования.
В рамках исследования команда Cyber Threat Intelligence опиралась на международные инструменты, практики и методологии, в первую очередь UKC, а также MITRE ATT&CK, F3EAD, Pyramid of Pain by David Bianco, Intelligence Driven Incident Response. Несмотря на то, что рассмотренные в отчёте группы проводят огромное количество атак, спектр используемых ими техник ограничен. Это позволило экспертам глубоко погрузиться в их анализ и выявить общий «почерк».
Инструменты. Разные кибергруппы используют схожие методы и инструменты, что сокращает время подготовки к атаке и облегчает процесс взлома. В отчёте подробно описаны паттерны, характерные для азиатских кибергрупп. На основе этой информации компании могут не только идентифицировать атакующих, но и заметить развивающуюся атаку на ранней стадии.
Цели. Кибергруппы, о которых идёт речь в отчёте, специализируются на кибершпионаже, не прибегая к вымогательству, шифрованию или нарушению производственных процессов. Об этом свидетельствуют их попытки собрать конфиденциальную информацию и передать её в легальные облачные сервисы или по внешним каналам.
Жертвы. Среди мишеней – государственные органы, промышленные предприятия, медицинские учреждения, ИТ-компании, сельскохозяйственные и энергетические организации.
Меры противодействия. Результаты анализа тактик, техник и процедур злоумышленников позволили экспертам «Лаборатории Касперского» разработать набор тщательно продуманных Sigma-правил, помогающих специалистам по информационной безопасности обнаруживать потенциальные атаки в своей инфраструктуре.
«Несмотря на большое количество акторов и видимую сложность атак, их всё же можно классифицировать по тактикам, техникам и процедурам. Информация о техниках, используемых атакующими из Азии, позволяет выстроить эффективную защиту от соответствующих угроз. Такие данные мы и собрали в нашем отчёте. С его помощью ИБ-специалисты по всему миру, в том числе аналитики SOC, команды по активному поиску угроз, аналитики киберугроз, специалисты по цифровой криминалистике и реагированию на инциденты, смогут эффективно противостоять потенциальным угрозам», – комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».
Исследователи «Лаборатории Касперского» постоянно находят новые инструменты, методы и кампании групп, которые организуют сложные целевые атаки. Эксперты компании отслеживают более 900 APT-групп и кластеров активности, причём цель 90% из них – кибершпионаж.
Компания «F.A.C.C.T.»
Раскрыта сетевая инфраструктура преступного синдиката Comet (Shadow)/Twelve
Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании. Эксперты полагают, что имеют дело с группой "двойного назначения" и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.
Comet (ранее Shadow) является финансово-мотивированной группой вымогателей, которая сначала похищает конфиденциальные данные из инфраструктуры жертвы, а затем шифрует их и вымогает выкуп за их расшифровку. По информации, полученной экспертами F.A.C.C.T. в ходе исследований, максимальный размер выкупа, требуемый злоумышленниками в 2023 году, составил $3,5 млн.
Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее ИТ-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.
После публикации исследования, в котором эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve – по сути это одна хак-группа с общими инструментами, техниками, а в нескольких атаках – и с общей сетевой инфраструктурой, группировка Shadow провела ребрендинг, взяв название Comet (C0met).
Вместе с тем, среди сообщников группы Comet (ранее Shadow) / Twelve есть участники, которые ранее «засветились» в рядах небезызвестной русскоговорящей преступной группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру.
В недавнем отчете Positive Technologies рассказано об инструментах, используемыми группировкой Cobalt, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).
Инструменты и сетевая инфраструктура
В процессе развития атак Comet (ранее Shadow) / Twelve используют вредоносные программы следующих семейств:
- DarkGate
- FaceFish
- SystemBC
- Cobint / Cobalt Strike
А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.
Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру. Это не раз отмечали эксперты F.A.C.C.T., подготовившие список адресов, которые использовали злоумышленники в атаках, начиная с февраля 2023 года.
Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к ИТ-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.
Важно: в тех случаях, если вы фиксируете какую-либо активность с ресурсами преступного синдиката или нелегитимную активность с инфраструктурой программ NGROK (*.ngrok[.]io, .ngrok[.]com) и Anydesk (.net.anydesk[.]com) эксперты F.A.C.C.T. рекомендуют обратиться к команде по реагированию на инциденты, которая поможет минимизировать возможные риски.
Компания «Инфосистемы Джет»
Количество инсайдерских атак в 2023 году увеличилось в 1,5 раза
Эксперты компании «Инфосистемы Джет» провели исследование, посвященное инсайдерским угрозам. Анализ показал системный рост инсайдерских атак от рядовых пользователей с начала 2023 года: количество таких инцидентов увеличилось в 1,5 раза по сравнению с аналогичным периодом прошлого года. Кроме того, спрос на инсайдерскую информацию за первое полугодие 2023 года вырос на 25%.
Согласно исследованию, работники компании, которые используют данные в рамках выполнения должностных обязанностей – распространенная причина утечек данных. Сотрудники могут осознанно злоупотреблять своими правами доступа или неосознанно совершать ошибки, наносящие ущерб организации.
Эксперты компании «Инфосистемы Джет» выяснили, что у 70% компаний обнаруживаются критичные недостатки в процессе управления доступом. По этой причине в подавляющем большинстве случаев (83%) в рамках работ по внутреннему тестированию на проникновение удается получить доступ к критичной информации с правами обычного пользователя.
При мониторинге форумов Даркнета и Telegram-каналов отмечается постоянный спрос на покупку/продажу инсайдерской информации. Объявления данной направленности составляют около трети всех предложений на теневом рынке, к ним относятся покупка/продажа корпоративных доступов, а также поиск действующих работников компаний, готовых сотрудничать со злоумышленниками.
К наиболее опасным для компании инсайдерам относятся текущие работники, сотрудники, имеющие привилегированные права доступа, и подрядчики, имеющие доступ к корпоративным ресурсам.
Основными причинами успешной реализации несанкционированных действий инсайдеров, по результатам опроса, являются отсутствие или недостаточность контроля за несанкционированными действиями (78%), отсутствие своевременного реагирования на инциденты (62%) и наличие избыточных прав доступа (59%).
«Публичные инциденты, произошедшие в 2022 году и первой половине 2023 года, хорошо иллюстрируют актуальность инсайдерских угроз. Утечки данных могут нанести серьезный ущерб компаниям как в финансовом, так и репутационном плане, поэтому особенно важно внедрять меры контроля на каждом этапе работы с данными, начиная от доступа к ним и заканчивая мониторингом активности пользователей. Только так компании смогут предотвратить угрозы, обнаружить их вовремя и принять необходимые меры», – отмечает Елена Агеева, ведущий консультант по информационной безопасности «Инфосистемы Джет».
В основе исследования лежали:
- данные и кейсы, полученные в ходе реализации проектов по аудиту информационной безопасности и тестированию на проникновение;
- результаты мониторинга и реагирования на инциденты со стороны команды мониторинга Jet CSIRT и расследования компьютерных инцидентов со стороны экспертов по форензике;
- аналитика по результатам работы группы мониторинга внешних цифровых рисков;
- информация, полученная в ходе реализации проектов по внедрению и настройке средств защиты.
В опросе приняли участие более 80 компаний, среди которых большинство – представители крупного бизнеса, а также малые и средние предприятия и организации госсектора.
Компания «МТС RED»
Хакеры наращивают темпы атак
Компания представила исследование кибератак во втором полугодии 2023 года.
Согласно данным экспертов МТС RED SOC, со второй половины года среднемесячная частота атак на российские компании возросла на 28% и составила более 4000 инцидентов. С июля по октябрь было зафиксировано свыше 17 000 кибератак – почти столько же выявлено за все первое полугодие 2023 года.
Аналитики также отмечают рост количества высококритичных атак, способных привести к длительной остановке бизнес-процессов или финансовому ущербу объемом более миллиона рублей. Число таких атак уже превысило показатели первого полугодия, их доля от общего объема инцидентов информационной безопасности в компаниях составила 26%, что на 4 п.п. больше, чем за первые шесть месяцев текущего года.
Чаще всего хакеры атакуют ИТ-компании (37%), промышленные предприятия (18%) и организации сферы здравоохранения (15%). Если информационные технологии и промышленность находились в фокусе внимания хакеров и ранее, то медицинские организации впервые испытали на себе такой объем кибератак. Во втором полугодии на организации сферы здравоохранения было совершено более 2,5 тысяч кибератак, в 13% случаев компании сталкивались с серьезными, высококритичными инцидентами. В подавляющем большинстве случаев они были связаны с попытками заражения инфраструктуры медицинских организаций вредоносным ПО –шифровальщиками, троянами с функцией кражи информации и прочим.
«Причину роста кибератак на медицинские организации мы видим в том, что они, с одной стороны, обрабатывают большие объемы персональных данных граждан, с другой – часто защищены хуже, чем организации других сфер деятельности. Можно прогнозировать, что в ближайшее время именно медицинские учреждения могут стать источником новых утечек персональных данных», – считает Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED.
Хотя объем атак на большинство отраслей держится на уровне первого полугодия 2023 года, среднемесячное число атак на ретейл и организации электронной коммерции существенно снизилось. По данным исследования МТС RED SOC, их стали атаковать почти на 70% реже. Однако ретейл, наравне со сферами телекоммуникаций и промышленности, остается одной из наиболее приоритетных целей для высокопрофессиональных хакерских группировок. За исследуемый период в 31% случаев атаки на ретейл и организации электронной коммерции носили критический характер с точки зрения возможного ущерба для бизнеса.
В списке отраслей, чаще других подвергающихся сложным атакам, также остаются промышленность и телекоммуникации. Во втором полугодии 2023 года доля таких атак на промышленность составила 35%, что выше показателя первого полугодия на 11 п.п. В телекоммуникационной отрасли этот показатель достиг 90% при росте на 9 п.п.
ГК InfoWatch
Из организаций в основном утекают персональные данные
ГК InfoWatch совместно с ассоциацией BISA представила результаты анонимного опроса сотрудников российских компаний по ряду аспектов ИБ, среди которых: особенности утечек конфиденциальных данных в РФ, общая осведомленность специалистов о ситуации с киберугрозами и использование защитных систем для противостояния инцидентам.
Основной задачей проводившегося в августе-сентябре исследования было определение групп сотрудников организаций, которые осведомлены об утечках информации (по состоянию на 2023 год), а также источников сведений об утечках и объема получаемых сведений о произошедших инцидентах. Опрос проводился с применением уникальной собственной методики, зарегистрированной как объект авторского права.
Если говорить о структуре скомпрометированных данных, то, согласно исследованию, львиную долю их объема (59%) традиционно занимают персональные данные. На втором и третьем местах находится информация, составляющая коммерческую и служебную тайну – 31% и 23% соответственно.
«Реакция значительной части отечественных компаний на инциденты пока что не соответствует тем угрозам, с которыми они сталкиваются. По словам опрошенных, в 59% случаев в ответ на произошедшие утечки российские компании проводят оценку нанесенного им ущерба, а причины возникновения инцидента (путем настройки защитных систем) устраняют всего 51% организаций. Еще меньшая их доля проводит модернизацию средств защиты информации – всего 36%», – отмечает главный аналитик-эксперт Экспертного-аналитического центра InfoWatch Ксения Шаблинская.
Согласно результатам исследования, доля российских компаний, использующих DLP-системы, превысила 50% барьер, что говорит об их стремлении защитить конфиденциальную информацию в период повышенных киберугроз. При этом 72% сотрудников российских организаций, связанных с защитой информации, активно следят за ситуацией с утечками данных, просматривая аналитические отчеты и экспертные комментарии. По мнению аналитиков, это говорит о значительном потенциале дальнейшего внедрения защитных систем.
«На данную ситуацию повлияли не только сообщения об угрозах, поступающие из внешних источников информации, но и знания респондентов об инцидентах, произошедших внутри их собственных организаций, которыми обладают 49% опрошенных. Однако эта информация практически не выходит за периметр компаний. Согласно результатам исследования, в СМИ попадают сообщения всего лишь о 5% произошедших утечек информации. Таким образом, российское общество значительно недооценивает масштаб данной проблемы», – указывает Ксения Шаблинская.
Результаты исследования подтвердили и высокую роль человеческого фактора при реализации утечек конфиденциальной информации. Согласно мнению тех респондентов, работа которых связана с защитой данных, в 87% инцидентов замешаны либо действующие (в 51% случаев), либо бывшие сотрудники компаний (15%) и представители подрядчиков (5%), которые действуют как самостоятельно, так и в сговоре с внешними хакерами. При этом 54% утечек носит умышленный характер.
Основную часть респондентов составили ИБ-специалисты – 37%, топ-менеджеры – 13% и ИТ-специалисты – 10%. На предлагавшие вопросы, в основном, отвечали представители крупных (48%) и средних (40%) организаций. Доля представителей малых организаций составила 12%. Большая часть ответивших на опрос представляли ИТ-компании (21%), промышленные компании (18%) и образовательные учреждения (14%). Около 11% респондентов работают в госорганизациях.
Специалисты ЭАЦ считают, что данные опроса могут быть полезны владельцам бизнеса, прежде всего крупного и среднего, руководителям предприятий и организаций, в том числе государственным учреждениям и ведомствам, специалистам в области экономической и информационной безопасности.
Компания «Газинформсервис»
Три важных действия для информационной безопасности россиян
Эксперт в области информационной безопасности Дмитрий Овчинников назвал три основных компонента для информационной безопасности пользователей.
«Рекомендую использовать только лицензионную ОС. Использование взломанных версий, грозит тем, что у пользователя с самого начала работы могут быть кейлоггеры или стилеры, которые будут воровать чувствительную информацию. Если нет возможности купить ОС, то установите Linux. Сейчас, многие дистрибутивы Linux по своему внешнему функционалу ничуть не уступают Windows.
Второе – обязательно установите антивирусное ПО. Вне зависимости от вашей аккуратности, при использовании сети Интернет, торрентов и электронной почты есть реальный шанс поймать вредонос.
И третье – используйте парольный менеджер и сложные пароли для доступа к информационным системам. Это решит проблемы с запоминанием паролей и использованием одного пароля на все аккаунты.
И, конечно, не забывайте обновлять ОС и ПО, ведь разработчики регулярно выпускают патчи, чтобы закрыть уязвимости и повысить надежность работы программного обеспечения», – советует главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Банк ВТБ
Мошенники используют «курсы для аналитиков» в качестве новой схемы обмана
ВТБ зафиксировал новую схему мошенничества, при которой злоумышленники предлагают получить работу в качестве аналитиков. На самом деле «жертву» обучают торговле на финансовом и валютном рынках, затем обманом предлагают вложить в проект собственные и кредитные средства, но вывести «заработок» человек уже не сможет – все средства пропадают.
Мошенники обзванивают соискателей работы по объявлениям рекрутинговых компаний и предлагают должность специалиста отдела аналитики. На собеседовании в арендуемом офисе рассказывают о должностных обязанностях, в которые входит составление аналитических отчетов, в том числе возможность работы в дистанционном формате из дома. Для этого просят пройти бесплатное обучение в офисе компании-однодневки. Во время практических занятий кандидату показывают, как происходит торговля на финансовом и валютном рынках, как можно на этом быстро заработать. После чего регистрируют его на одной из таких платформ. Все обучение проходит в легкой и непринужденной атмосфере, а менеджеры-кураторы старательно завоевывают доверие людей и аккуратно выясняют материальное положение и наличие кредитов.
В последний день обучения куратор предлагает внести денежные средства на счет, чтобы получить доход. Если у собеседника нет денег, то его начинают уговаривать взять кредит в банке или даже получить деньги под залог имеющейся квартиры. После этого «жертву» просят отдать деньги одному из работников офиса или специальному курьеру для внесения их на несуществующий торговый счет или криптокошелек. Далее история с торгами на финансовом и валютном рынках повторяется до тех пор, пока клиент не уходит в минус или не догадывается, что попал на уловку мошенников.
«Злоумышленники активно работают над разработкой новых сценариев обмана. В этот раз они пользуются уязвимым положением при поиске работы, предлагая несуществующие вакансии и обманным путем загоняя россиян в кредиты. В общении злоумышленники максимально воздействуют на собеседника, проявляя излишнюю «заботу» и желание помочь заработать. При приеме на работу мы настоятельно рекомендуем проверять отзывы о компании, ее историю, анализировать предложенный пакет документов при трудоустройстве», – отметил Дмитрий Ревякин, начальник управления защиты корпоративных интересов ВТБ.
Специалисты ВТБ также предупреждают, что даже если работодатель попросит оформить кредит, для того чтобы вложить средства в какой-либо из своих проектов, следует помнить, что ответственность за возвращение долга банку по закону, лежит на самом клиенте.
«Гарантия сверхдохода – это признак мошенничества. Никогда не следуйте инструкциям, которые дают незнакомцы по телефону, в том числе о снятии и переводе денежных средств, приобретении акций, установке каких-либо приложений на компьютер или мобильный телефон. Все это мошеннические схемы, поэтому лучшим решением будет прекратить общение. Помните, что инвестиционная компания не принимает деньги на счета третьих лиц и не просит перевести деньги на карту физического лица. Проверяйте добросовестность, надежность и легальность участников финансового рынка перед тем, как совершить сделку», – отметила Людмила Нефедова, руководитель пресс-службы прокуратуры Москвы.
Простые правила безопасности смогут уберечь средства и избежать неприятных инцидентов с финансовыми мошенниками: не доверяйте неизвестным, вчитывайтесь в СМС от банка и не устанавливайте на персональные устройства неизвестные программы по просьбе третьих лиц. Сотрудники банка никогда не просят граждан снимать денежные средства со счетов, переводить их на безопасные счета либо передавать курьерам. ВТБ оперативно выявляет новые схемы, применяемые злоумышленниками, и внедряет симметричные меры защиты клиентов. Дополнительно клиенты могут воспользоваться страховкой карт, а также подключить сервис определителя номера телефона.
Ключевые слова: мошенники, киберугрозы, утечка персональных данных, инсайдеры, хакеры
[1] Опрос «Киберугрозы для автомобилей» был проведён компанией Online Market Intelligence по заказу «Лаборатории Касперского» в апреле 2023 года среди 1200 человек в крупных городах России.
Подпишитесь на журнал Купите в Интернет-магазине
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|