Мир за неделю: праздники праздниками, а штрафы — по расписанию

Британским пентестерам приходит на помощь новый инструмент, киберпреступники давят на сроки и сбиваются в стаи, ИИ-гиганты получают всё новые штрафы, биометрия утекает, шпионский софт проникает в мессенджеры, а инфокрады плодятся.

 

Mindgard производит революцию в тестировании безопасности ИИ

Развертывание и использование ИИ создает новые риски, создавая сложный ландшафт безопасности, с которым не могут справиться традиционные инструменты. В результате многие продукты ИИ запускаются без достаточных гарантий безопасности, что делает организации уязвимыми — проблема, подчеркнутая выводом Gartner о том, что 29% предприятий, внедряющих системы ИИ, сообщили о нарушениях безопасности, и только 10% внутренних аудиторов имеют представление о рисках ИИ. Многие из этих новых рисков, таких как внедрение LLM prompt и джейлбрейки, используют вероятностную и непрозрачную природу систем ИИ, которые проявляются только во время выполнения. Обеспечение безопасности этих рисков, уникальных для моделей ИИ и их инструментальных цепочек, требует принципиально нового подхода.

Британский стартап Mindgard производит революцию в тестировании безопасности ИИ и автоматизированном ИИ red teaming с помощью своего отмеченного наградами решения Dynamic Application Security Testing for AI (DAST-AI). Эта передовая технология выявляет и устраняет уязвимости, характерные для ИИ, которые можно обнаружить только во время выполнения. Для организаций, внедряющих ИИ или устанавливающих защитные ограждения (guardrails), непрерывное тестирование безопасности имеет важное значение для получения видимости рисков на протяжении всего жизненного цикла ИИ. Решение Mindgard интегрируется в существующую автоматизацию, предоставляя командам безопасности, разработчикам, ИИ red teaming и пентестерам возможность защищать ИИ, не нарушая устоявшихся рабочих процессов.

Mindgard объявил о раунде финансирования в размере 8 миллионов долларов и назначении двух лидеров отрасли на должности руководителя отдела продуктов и вице-президента по маркетингу. Финансирование осуществлялось .406 Ventures при участии Atlantic Bridge, Willowtree Investments и существующих инвесторов IQ Capital и Lakestar. Новые руководители, Дэйв Ганли, бывший директор по продуктам в Twilio, и Фергал Глинн, который совсем недавно занимал должность директора по маркетингу в Next DLP (приобретенной Fortinet), сыграют решающую роль в разработке продуктов компании и запустят экспансию Mindgard на североамериканский рынок с присутствием руководства в Бостоне.

 

Злоумышленники, использующие программы-вымогатели, нацеливаются на отрасли с низкой терпимостью к простоям

Компания по кибербезопасности Dragos выявила 23 группы программ-вымогателей, которые повлияли на промышленные организации, согласно ее отчету Industrial Ransomware Analysis: Q3 2024. Некоторые из этих групп представляли собой совершенно новые организации, в то время как другие были оценены как переименованные версии существующих групп.

В их число входила APT73, которая была связана с остатками филиалов LockBit из-за перепрофилирования операционных методов банды. APT73 также представила новые полезные нагрузки, чтобы избежать обнаружения и сохранить свое присутствие в экосистеме. В этих кампаниях приоритет отдавался отраслям с низкой терпимостью к простоям, таким как здравоохранение, финансовые услуги и промышленные операции. Злоумышленники, по-видимому, рассматривали секторы, в которых сбои в работе могут привести к каскадным последствиям, как более склонные к выплате выкупа.

Исследование выявило несколько известных инцидентов с программами-вымогателями, затронувших промышленные организации в третьем квартале, которые привели к остановке работы, финансовым потерям и нарушению целостности данных. В их число входила фирма CDK, занимающаяся разработкой программного обеспечения для автомобильной промышленности, которая согласилась на выкуп в размере 25 млн долларов банде BlackSuit после того, как атака привела к сбоям в работе тысяч автосалонов по всей территории США и Канады.

В другом инциденте нефтесервисная компания Halliburton столкнулась со сбоями в работе из-за атаки с использованием программ-вымогателей, приписываемой RansomHub, финансовые потери составили около 35 млн долларов.

 

Группы программ-вымогателей развивают свою тактику

В отчете Dragos отмечено множество групп программ-вымогателей, которые развивали свою тактику во второй половине 2024 года. Согласно отчету, операторы программ-вымогателей Eldorado и Play, как было замечено, изменили свою тактику, методы и процедуры вторжения (TTP), сосредоточившись на приложениях виртуальных сетей. Было замечено, что эти группы нацелились на среды VMware ESXi.

Еще одной заметной тенденцией в 2024 году стало сочетание злоумышленниками эксплуатации уязвимостей с атаками на основе учетных данных для обхода защиты многофакторной аутентификации (MFA). Кроме того, эксплуатация VPN растет, несмотря на то, что она в основном связана с оппортунистическими атаками, заметил Dragos.

Несколько известных групп программ-вымогателей использовали в третьем квартале уязвимости в VPN и методы living-off-the-land, чтобы набрать обороты в целевых организациях. К ним относятся Fog ransomware, Helldown и RansomHub, которые продемонстрировали сложные возможности шифрования, эксфильтрации, стойкости и подрывных действий в критически важных промышленных организациях, в том числе в энергетике, управлении водными ресурсами, транспорте и производстве.

Исследователи также отметили возросшую зависимость от брокеров первоначального доступа (IAB) в модели ransomware-as-a-service (RaaS) для облегчения входа в целевые среды в третьем квартале.

«Эти брокеры выступали в качестве умножителей силы, позволяя группам вымогателей масштабировать свои операции, сосредоточившись на развертывании полезной нагрузки и стратегиях вымогательства», — отметил Драгос.

 

Группы программ-вымогателей, использующие усовершенствованные механизмы сохранения

Согласно отчету, несколько групп программ-вымогателей расширили свои возможности горизонтального перемещения после компрометации, смешивая традиционные методы с усовершенствованными механизмами сохранения.

Эти методы включали:

  • Living-off-the-land. Операторы программ-вымогателей смогли избежать обнаружения, имитируя законную сетевую активность с помощью законных административных инструментов, таких как PowerShell, certutil.exe и PsExec
  • Злоупотребление инструментами удаленного доступа. Злоумышленники увеличили использование инструментов удаленного доступа, таких как AnyDesk и Quick Assist, в сочетании с пользовательскими скриптами, предназначенными для отключения антивирусной защиты
  • Нацеливание на виртуальные среды. Такие группы, как Eldorado и Play, разработали Linux-локеры специально для нацеливания на среды VMware ESXi, которые шифруют критически важные файлы виртуальных машин, отключая активные виртуальные машины.
  • Встроенное усовершенствованное вредоносное ПО. Такие группы, как Black Basta, перешли на использование специализированного вредоносного ПО, использовали бэкдор-инструменты, такие как SilentNight, утилиты туннелирования, такие как PortYard, и дропперы, работающие только в памяти, такие как DawnCry, чтобы поддерживать устойчивость и избегать обнаружения конечных точек.

 

Итальянский надзорный орган по защите данных оштрафовал OpenAI на 15 млн евро за исследование ChatGPT

Итальянский орган по защите данных (Garante per la protezione dei dati personali) ввел санкции против OpenAI из-за сбоев в защите данных, связанных с чат-ботом ChatGPT.

OpenAI должна выплатить штраф в размере 15 млн евро (15,6 млн долларов США) и провести шестимесячную кампанию по информированию общественности в итальянских СМИ. Эта кампания направлена на информирование общественности о том, как работает ChatGPT, с особым акцентом на методах сбора данных, в которых участвуют как пользователи, так и не-пользователи, для обучения алгоритмов.

Штраф был наложен после того, как компания не уведомила итальянский орган об утечке данных, произошедшей в марте 2023 года. Это побудило регулирующий орган расследовать, как разработчик ChatGPT обрабатывал персональные данные.

В ходе расследования был сделан вывод о том, что OpenAI обрабатывала данные пользователей для обучения ChatGPT без предварительного определения надлежащей правовой основы и нарушила принцип прозрачности и связанные с этим обязательства по предоставлению информации перед пользователями. Компанию также обвиняют в отсутствии механизмов проверки возраста, что может привести к риску подвергнуть детей младше 13 лет ненадлежащему эффекту относительно степени их развития и самосознания.

Сумма штрафа была рассчитана с учетом «конструктивного отношения компании», заявила надзорная организация. Итальянский орган по защите данных добавил, что он направил процессуальные документы в Ирландский орган по защите данных (DPC). DPC является ведущим надзорным органом в соответствии с Общим регламентом ЕС по защите данных (GDPR) и продолжит расследование любых продолжающихся нарушений, которые не были исчерпаны до открытия европейской штаб-квартиры OpenAI.

Это заявление было сделано на следующий день после того, как Европейский совет по защите данных (EDPB) опубликовал свое мнение об использовании персональных данных для разработки и развертывания моделей ИИ.

 

Раскрыта крупная операция по сбору биометрических данных

Исследователи безопасности призвали компании, работающие с клиентами, улучшить свои верификационные проверки после обнаружения крупномасштабной операции по сбору идентификационных данных в даркнете.

По данным Службы разведки биометрических угроз IProov, неназванная подпольная группа собрала большую коллекцию документов, удостоверяющих личность, и соответствующих изображений лиц, чтобы обойти проверки «Знай своего клиента» (KYC).

Однако iProov утверждает, что изображения и документы могли быть на самом деле переданы субъектами данных добровольно в обмен на оплату. Это представляет дополнительную проблему для организаций, которые используют селфи для проверки того, что клиент — тот, за кого он себя выдает в сети. Им нужно не только обнаруживать поддельные документы, но и подлинные документы, которые используются несанкционированными мошенниками, предупредил iProov.

«Особую тревогу в этом открытии вызывает не только сложная природа операции, но и тот факт, что люди охотно раскрывают свои личные данные ради краткосрочной финансовой выгоды», — говорит Эндрю Ньюэлл, главный научный сотрудник iProov.

«Когда люди продают свои удостоверения личности и биометрические данные, они не просто рискуют собственной финансовой безопасностью — они предоставляют преступникам полные, подлинные пакеты удостоверений личности, которые можно использовать для изощренного мошенничества с выдачей себя за другое лицо».

Группа, раскрытая iProov, по-видимому, действует в регионе Латинской Америки, где местная полиция была уведомлена, хотя подобные операции были замечены и в Восточной Европе.

Законные удостоверения личности — не единственный способ, с помощью которого киберпреступные группировки пытаются обойти проверки регистрации и входа в систему. В прошлом месяце Entrust предупредил, что дипфейки на основе ИИ теперь составляют четверть (24%) мошеннических попыток пройти проверки биометрии на основе движений, которые используются банками и другими поставщиками услуг для аутентификации пользователей. Эта технология используется гораздо реже (5%) в более простых механизмах аутентификации на основе селфи — в основном потому, что их легче подделать с помощью более традиционных средств.

 

Производитель шпионского ПО NSO Group несет ответственность за взломы пользователей WhatsApp

Сомнительный израильский производитель шпионского ПО был признан ответственным за взлом сотен пользователей WhatsApp в историческом решении суда США. Судья Филлис Гамильтон заявила в пятницу, что NSO Group нарушила государственные и федеральные законы, а также условия обслуживания WhatsApp, используя эксплойты нулевого дня в популярном инструменте обмена сообщениями для развертывания своего шпионского ПО Pegasus по меньшей мере на 1400 устройствах.

Принадлежащая Meta компания WhatsApp подала в суд на израильскую фирму пять лет назад, утверждая, что «злоумышленники использовали серверы и службы интернет-хостинга, которые ранее были связаны с NSO». Она добавила, что атаки не использовались для законных усилий по поддержанию правопорядка, как NSO Group часто заявляет о своих услугах, а были направлены на журналистов, активистов по правам человека, политических диссидентов и высокопоставленных правительственных чиновников.

Вынося свое решение, федеральный судья в Северной Калифорнии заявила, что NSO Group не выполнила постановление суда, требующее от фирмы предоставить доступ к исходному коду Pegasus или передать важные электронные письма. Руководитель WhatsApp Уилл Кэткарт описал это решение как «огромную победу для конфиденциальности» в сообщении на Threads.

«Мы потратили пять лет на представление нашего дела, потому что мы твердо убеждены, что компании-разработчики шпионского ПО не могут прятаться за иммунитетом или избегать ответственности за свои незаконные действия», — добавил он. — «Компании по надзору должны быть уверены, что незаконный шпионаж не будет допускаться. WhatsApp никогда не прекратит работать над защитой частной коммуникации людей».

Атаки с нулевым щелчком (zero-click) NSO Group являются обычным свойством производителей коммерческого шпионского ПО, которые действуют в правовой серой зоне, несмотря на усилия администрации Байдена по пресечению их практики.

NSO Group была включена в черный список экспорта США в 2021 году, в то время как аналогичные фирмы, такие как Intellexa, были подвергнуты санкциям в последние годы. В прошлом году указом президента США была запрещена к использованию правительством США любая коммерческая шпионская программа, ранее незаконно использовавшаяся иностранными государствами для слежки за гражданами, диссидентами, активистами и другими лицами.

Не все технологические компании были столь же успешны, как WhatsApp, в преследовании производителей коммерческой шпионской программы. В сентябре Apple отозвала иск против NSO Group, сославшись на риски для своей программы разведки угроз.

 

Инфокрады доминируют: количество обнаружений Lumma Stealer выросло почти на 400%

Вредоносная программа для кражи информации Lumma Stealer становится все более популярной среди киберпреступников. Компания по кибербезопасности ESET сообщила о росте числа обнаружений ПО Lumma Stealer в телеметрии на 369% во второй половине 2024 года. Lumma Stealer впервые появилась в 2022 году и в конечном итоге вошла в список десяти основных программ для кражи информации, обнаруженных продуктами ESET во второй половине 2024 года.

Сейчас доминирующая программа инфокрад (infostealer) нацелена на расширения браузера с двухфакторной аутентификацией (2FA), учетные данные пользователей и криптовалютные кошельки. Как отмечает фирма из Братиславы, давно доминирующая среди программ для кражи информации вредоносная программа Agent Tesla была заменена на Formbook. Иногда называемый XLoader, Formbook активен с 2016 года, но продолжает часто использоваться киберпреступниками, поскольку вредоносное ПО как услуга (MaaS) находится в стадии постоянной разработки, отметил аналитик вредоносного ПО в отчете об угрозах за второе полугодие 2024 года компании ESET.

Хотя печально известный «инфокрад как услуга» Redline Stealer был удалён международными органами в октябре 2024 года в рамках операции Magnus, ожидается, что его исчезновение приведет к расширению других подобных угроз, утверждают в ESET. Александр Коте Сир, исследователь вредоносного ПО ESET, выразил мнение, что создатель инфокрада RedLine вряд ли попытается возродить вредоносное ПО.

«Аффилированные лица RedLine, вероятно, также захотят двигаться дальше, поскольку теперь у правоохранительных органов есть база данных с их именами пользователей и последним использованным IP-адресом», — сказал он. — «В целом, мы можем ожидать, что вакуум власти, образовавшийся после ликвидации RedLine, приведет к росту активности других похитителей информации MaaS».

Что касается программ-вымогателей, то анализ компании приводит к выводу, что после ликвидации печально известного вымогателя LockBit образовался вакуум, который заполняется другими субъектами угроз. В частности, во второй половине 2024 года доминировало ПО-вымогатель RansomHub. ESET заявила, что «к концу второго полугодия 2024 года у нее накопилось несколько сотен жертв».

«Похоже, что во второй половине 2024 года киберпреступники были заняты тем, чтобы находить лазейки в системе безопасности и инновационные способы расширить круг своих жертв в обычной игре в кошки-мышки с защитниками. В результате мы увидели новые векторы атак и методы социальной инженерии, новые угрозы, стремительно растущие в нашей телеметрии, и операции по устранению, которые привели к перестановкам в ранее устоявшихся рядах», — прокомментировал Иржи Кропач, директор по обнаружению угроз ESET.

27 декабря, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

23.01.2025
Сокращение издержек или самосаботаж? Трамп избавляется от ИБ-консультантов
23.01.2025
АРПП: Хакеры обращают российских айтишников в «кротов»
23.01.2025
В ИТ-секторе рассказали о впечатлениях от отечественного инфраструктурного ПО
23.01.2025
Микроблогеров не берут в специальный реестр Роскомнадзора
23.01.2025
Хакеры отравляют и перекрашивают чужие мобильные приложения
22.01.2025
Немкин: Количество сбоев в работе Google в России будет расти
22.01.2025
Трамп снимает тормоза с нейросетей
22.01.2025
Малварь в дорогой упаковке. Чего вы можете не знать о своём новом смартфоне
22.01.2025
Скамеры заходят с младших карт
22.01.2025
РКН обновляет сачок для посторонних голосов. Что известно о проекте ЕСМ РЧС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных