10658
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей: @Sachok_feedbackBot Реестр РКН: https://www.gosuslugi.ru/snet/673c48516afad41667cc93fe
Американский телеком ломал военный
Военный из США признался во взломе телеком компаний AT&T и Verizon и краже данных. Самая резонансная часть из них — записи телефонных разговоров и журналы вызовов Дональда Трампа и Камалы Харис.
Кэмерон Джон Вагениус под ником kiberphant0m был связан с киберпреступником из Канады Конором Райли Мукой(Judische), арестованным за кражу данных и вымогательство еще в октябре 2024 года.
Военный, оказавшийся членом кибер ОПГ, судя по всему на аутсорсинге продавал данные от канадского «партнера».
В ноябре он предлагал купить журналы вызовов американских правительственных учреждений и экстренных служб, а также признался в поддержке работы большого ботнета, использовавшегося для DDoS-атак.
@cybersachok
Ну и пока кто-то крутит реакции на предыдущий пост, поздравляем холдинг T1, который планирует выход на IPO, с кадровым приобретением.
/channel/radio_tishina/1692
Как сейчас вспоминается март 2022 года и массовый исход зарубежных компаний с российского рынка, истерия, полуофициальные заявления, где-то в комментариях СМИ, а где-то и вовсе в телеграм-каналах о том, что в связи с началом СВО компания N покидает российский рынок/приостанавливает обслуживание российских клиентов, говоря языком не юридическим — кидает.
Моментами и вовсе в открытую звучали заявления о том, чтобы выпускать зараженный патч для российских компаний. А хакерские группировки и активисты делились на тех, кто поддерживает и не поддерживает Россию. Помним, пережили и стали только сильнее.
И вот на волне риторики о прекращении конфликта, возобновлении дипломатических контактов между Россией и США, появились сначала новости о возможном возвращении брендов одежды, позже и Starbucks, а теперь о возвращении западных вендоров. Не удивительно, с учетом прогнозов по росту капитализации отрасли кибербезопасности в России и успешных подвижек в экспорте российских ИБ-решений.
Попросили дать комментарий о возможности возвращения ИБ и IT-компаний в Россию депутата Госдумы, заместителя председателя IT-комитета и председателя РОЦИТ, Антона Горелкина:
Мы знаем, что в 2022 году из России ушли почти все западные компании, работающие на рынке защиты информации.
Например, Cisco и Fortinet открыто объявили о поддержке Украины и приостановке всех операций на территории РФ. Были и компании, которые не заявляли об уходе, но приостановили продажи и прекратили поддержку российских пользователей (и очевидно, что сделано это было по политическим причинам).
Что характерно, до начала военного конфликта на Донбассе многие иностранные кибербез-компании вели у нас довольно агрессивную политику с целью уничтожить российских конкурентов. Открыто хантили высокоуровневых сотрудников из наших компаний, вывозили их за границу. Целились и в будущих специалистов, активно интегрируясь в технические вузы и оснащая своим оборудованием целые кафедры.
Конечно, нельзя ставить знак равенства между производителями одежды, желающими вернуться на российский рынок, и вендорами средств защиты информации. Нужно четко понимать, что присутствие иностранного кибербеза на нашем рынке несет критические риски безопасности. При этом наши компании практически полностью заместили западные решения, вполне успешно.
Я, когда пришел искать баги у одной из российских компаний, вышедшей на багбаунти впервые
@cybersachok
Перегретый рынок, много сильных конкурентов и гениальный маркетинговый ход. Нет, речь не про рынок NGFW в России, а о шифровальщиках.
В прошлом году сразу два крупнейших игрока рынка шифровальщиков, ALPHV и LockBit, столкнулись с серьезными проблемами: спецслужбы серьезно обложили обе партнерки, вызвав сбои в их работе. Именно в этот момент на известном андеграундном форуме RAMP появился молодой и перспективный новичок. Совпадение? Не думаем
Исследователи из Group-IB выпустили отчет, где препарировали деятельность RansomHub за прошлый год. Группировка появилась в феврале и успела стать самой активной, атаковав более 600 организаций по всему миру.
Разрабатывать свой шифровальщик RansomHub поленились и на все том же Рампе купили готовый. По мнению исследователей, они приобрели софт, который ранее использовала группировка Cyclops (Knight).
Факты свидетельствуют о том, что RansomHub приобрёл и переименовал ресурсы Knight. Сходство между панелью партнёров, используемой RansomHub и Knight, пересекающиеся функции программ-вымогателей и общий код подтверждают эту теорию. Сообщается, что исходный код был выставлен на продажу на RAMP 18 февраля 2024 года.
Изначально казалось, что ни программа-вымогатель, ни панель аффилированных лиц не предлагали никаких новых функций по сравнению с теми, что наблюдались в других группах RaaS, которые были проанализированы нашей командой по анализу угроз. Однако 18 июля 2024 года koley, оператор RansomHub, анонсировал на форуме RAMP новую версию программы-вымогателя, которая могла удаленно шифровать данные по протоколу SFTP. Эта новая версия была анонсирована на форуме RAMP через несколько недель после того, как компании по обеспечению безопасности опубликовали отчеты об этой группе.
Узнали, что Информзащита, которой в этом году, к слову, исполняется 30 лет, сделала ребрендинг, избавившись наконец-то от своего нафталинового логотипа, напоминающего офисы 90-х, старый Windows и массивные мониторы компухтеров.
Говорят, что ребрендиг — это часть большого процесса изменений компании и ее адаптации к новой реальности.
Теперь логотип лаконичный и более узнаваемый, как минимум потому что в отрасли Информзащиту всегда называли кратко «ИЗ», цвета и шрифт приятные.
Кроме того, в рамках ребрендинга разработали новый дизайн-код для сайта и сервисов группы компаний, который теперь напоминает какой-то киберпанк и ассоциируется с готовностью меняться в новом дивном мире.
Опять же, как пишут в своем релизе ИЗ, «новый визуальный стиль олицетворяет модульный подход к созданию информационной безопасности и показывает принцип работы интегратора, который продвигает комплексные решения».
По нашему мнению ребрендиг удался, с чем и поздравляем «Информзащиту», команду маркетинга и главу пиара компании Юлию Стасюк лично!
@cybersachok
Попалось как-то на глаза исследование, где проводился опрос про опыт работы с отечественным инфраструктурным ПО.
Около 63% в нем пожаловались на сложность обеспечения совместной работы решений с отечественными и зарубежными продуктами.
Контейнерная разработка и эксплуатация приложений сегодня в России невозможна без отечественных ОС и платформ оркестрации, а новая реальность диктует требования к защите контейнерных сред.
18 февраля «Лаборатория Касперского» проведет стрим, на котором расскажет о безопасности контейнерных сред, угрозах, актуальных технологиях защиты процессов разработки и эксплуатации для российских организаций и покажет объемный пакет фич решения Kaspersky Container Security 2.0.
Зарегистрироваться на стрим для получения инсайтов от «Лаборатории Касперского» можно по ссылке.
@cybersachok
87% объектов КИИ не сделали базу
ФСТЭК раскрыла данные проверок объектов КИИ. Результаты оказались плачевными. Разобрали выступление ФСТЭК и цинично заявляем, что это просто информационный мед, но в то же время ужасный пример халатности российский объектов КИИ.
Разнос разгильдяям устроила начальница 8 управления ФСТЭК железная леди с добрыми глазами Елена Торбенко:
— на 37% выросло число объектов, которые отнесли к КИИ;
— 2,5 тыс. объектов определили свои системы как значимые и начали реализацию требований по безопасности в соответствии с законом;
— по сравнению в февралем 2024 прирост компании, которые занимаются созданием систем безопасности — 24%.
Теперь переходим от сладенького к горькому:
— 1400 нарушений обязательных требований безопастности выявлено в ходе проверок;
— 40% нарушений из выявленных являются грубыми;
— составлено 80 протоколов об административной ответственности для нарушителей, в частности за уязвимости в иностранном ПО, которые можно эксплуатировать и нанести ущерб системе;
— с большинством нарушений связан человеческий фактор;
— отсутствуют средства мониторинга или применяются уязвимые СЗИ.
Самое смешное, что систему безопасности часто начинали создавать, когда становилось известно о грядущей проверке КиберРевизорро. В общем, Потемкинские деревни живут даже в цифровую эпоху.
Кажется, многие руководители до сих пор существуют в отрыве от реальности.
@cybersachok
BI.ZONE вчера провели отчет Threat Zone 2025 по ландшафту киберугроз в России в 2024.
Увидел ряд любопытных цифр и фактов в отчете:
— количество финансово мотивированных атак к концу года снизилось с 76 до 67%, зато растут суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку и восстановление данных. Чтобы знать сколько просить — изучают финансовую отчетность компании;
— с 15% до 21% выросло число атак с целью шпионажа;
— к середине 2024-го 76% целевых атак на российские организации начинались с фишинга, к концу года снизились до 57%.
В общем и целом порадовало, что(по словам Теймура Хеирхабарова) зрелость киберзащиты россиийсикх компаний растет, поэтому многие атаки выявляются на ранних стадиях не доходя до критического уровня.
@cybersachok
В первый день китайского нового года или праздника весны «Лаборатория Касперского» организовала пресс-конференцию со своими экспертами в китайском ресторане.
Когда все идеально — я краток. А у «Касперских» именно так и было. Есть у них какая-то особая домашняя зеленая атмосфера на мероприятиях, которая бесшовно сочетается с качественной организацией.
Отдельное спасибо Сергею Голованову за интересный разговор и терпеливое общение с журналистами, Владимиру Дащенко, в его ханьфу за амплуа ведущего и всей команде «Лаборатории Касперского» за крутой формат взаимодействия медиа и экспертов.
@cybersachok
Старт без финиша?
Наш читатель прислал свою историю, связанную с программой Positive Technologies Start, в которой он и единомышленники выполняли задания с августа 2024 года по январь этого года. Правда, по итогу стажировки парням сказали, что Positive Technologies взяли более сильного кандидата, но, по словам парней, никакого более сильного кандидата нет, так как из их команды не взяли никого. Если только более сильный кандидат проходил вне конкурса.
Ситуация на пт старте 2024.2 из 73 взяли только 3, людям приходит отказ со словами: взяли более сильного кандидата... Но как если НИКОГО не взяли, то как так?) В прошлом наборе из 90 человек взяли 70. Участникам стажировки, кажется, что дело в том, что у пт какие-то проблемы, потому что они не идут на контакт дальше с нами/пишут что-то про перспективных ребят, которых, как бы и нет
Основатель Future Crew Евгений Черешнев покинул компанию сразу после презентации Membrana. Почему же и куда?
/channel/bladerunnerblues/355
Вендор «Базис» отчитался о проведенном совместно с ИСП РАН тестировании уязвимостей в компонентах с открытым кодом для виртуализации. Сообщают, что процедура проходила на мощностях испытательной лаборатории «Фобос-НТ» с привлечением студентов из МГТУ им. Н.Э. Баумана и Чувашского государственного университета.
Что примечательного? Open-source элементы используются в инструментах виртуализации по всему миру, в том числе в продуктах компании и всех решений виртуализации в России. Это обуславливает необходимость тщательного тестирования для обнаружения возможных проблем и, в особенности, уязвимостей и угроз утечек.
Исследователи изучили следующие «открытые» компоненты:
- nginx,
- ActiveMQ Artemis,
- Apache Directory,
- libvirt-exporter,
- QEMU.
Nginx, в частности, используется для балансировки нагрузки в виртуальных средах, и качество этих сред влияет на многие российские и зарубежные решения для работы с ними.
Libvirt-exporter предоставляет API для управления виртуальными машинами, и потому этой библиотеке уделяется особое внимание, так как её сбой может повредить инфраструктуру и привести к утечке конфиденциальных данных.
Каковы результаты? В ходе статического анализа обнаружено 178 дефектов, большинство из которых связано с популярным брокером сообщений ActiveMQ Artemis и сервером каталогов Apache Directory. Изучив ошибки, специалисты ИСП РАН и «Базис» подготовили 86 исправлений для продуктов компании. Помимо этого, фаззинг-тестирование обнаружило еще 13 дефектов в коде, включая 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Вывод же из этого следующий – элементы открытого кода в разработке это, конечно, неплохо. Но также не стоит при выборе решений забывать о потенциальных рисках и угрозах, способных прийти с этой стороны.
Не помню, что такая практика была в ходу в отрасли, но было бы неплохо и другим разработчикам виртуализации подобное перенять.
@cybersachok
Информационная политика канала:
1. Мы публикуем новости и информацию, которую считаем важной для отрасли.
2. Мы сохраняем анонимность источников, если они сами не пожелали раскрыть свое имя, должность, компанию, ведомство.
3. Формат поста и его подача — выбор редакции.
4. Мы учитываем контекст в своих постах, детали, яркие штрихи, связанные с героями новостей в прошлом/настоящем.
5. Мы ответственно подходим к публикации новостей, поэтому всегда прежде, чем что-то опубликовать думаем о том, что на чаше весов перевешивает: польза от обнародования новости для отрасли или же вред от ее публикации.
6. Мы проверяем информацию и не гонимся за кликбейтом.
7. Мы уважаем всех наших героев и ньюсмейкеров.
8. Мы не получаем финансирование от властей, зарубежных спецслужб, фондов и донаты от пользователей.
9. Мы не несем ответственность за распространение опубликованной у нас информации в других СМИ, каналах, медиа и блогах и ее интерпретацию.
10. Мы стараемся быть объективными и представлять разные точки зрения, мнения.
11. Мы стремимся к всестороннему освещению ситуации в отрасли.
12. Мы уважаем наших читателей.
13. Мы тоже люди.
Positive Technologies покидают лучшие
По информации анонимного источника, корпорацию на фоне сокращений и падения стоимости акций на 24% покидает одна из топ 5-специалистов пресс-служб высшей лиги Юлия Сорокина.
Она долгое время занимала в корпорации должность главы пресс-службы.
Куда теперь повела дорога Юлию Сорокину — не ясно, но не сомневаемся, что таких специалистов забирают сразу же на не вызывающий мыслей об отказе оклад и бонусы.
Платформа для виртуализации рабочих столов Basis Workplace прошла инспекционный контроль ФСТЭК и подтвердила соответствие 4 уровню доверия. Ее можно использовать в ГИСах до 1 класса защищенности, ИСПДн и АСУ ТП до 1 уровня защищенности, ИС общего пользования II класса и значимых объектах КИИ до 1 категории значимости.
В составе платформы виртуализации — многофакторная аутентификация, контроль доступа, защищенное подключение и мониторинг инфраструктуры. В прошлом году аналитики из iKS-Consulting назвали решение лидером рейтинга ПО для управления VDI. Продукт компании занимал 52% рынка в нише.
@cybersachok
Самые противные
Не успели мы опомниться после бурного празднования нового тройного нового года(любит душа русская праздники) и выйти из ретроградного меркурия, как спецы из Check Point выпустили отчет о самых распространенных вредоносных программах 2025 года.
Пьедестал самого мерзопакостного занял вредонос FakeUpdates (SocGholish). Это ВПО известно с 2018 года и распространяется через скомпрометированные сайты под видом установки обновления для браузера. Исследователи говорят, что он связан с группировкой Evil Corp.
На втором месте расположилось ВПО Formbook, которое нацелено на Windows-системы и распространяется с помощью вредоносных сайтов и почтовых рассылок. Вредонос работает не только как загрузчик для других программ, но и может делать скриншоты, собирать учетные данные, работать в качестве кейлоггера.
И закрывает зловредную тройку ратник Remcos. Его первым вариациями к слову, скоро исполнится 10 лет. Как правило, распространяется через отравленные документы в рамках фишинговых кампаний. Данное ВПО обычно используется для обхода механизмов безопасности и запуска других вредоносов, но уже с повышенными привилегиями.
Интересно что Formbook и Remcos дерзко ворвались в тройку только в январе, тогда как FakeUpdates возглавляет рейтинг не первый месяц. На троих эти вредоносы затронули около 10% от всех организаций.
Среди мобильных вредоносных программ первое место продолжает удерживать Anubis, который представляет собой целый комбайн, способный и СМС перехватывать, и шифровать, и работать в качестве кейлоггера.
Второе место занял ратник AhMyth, который часто маскируется под легитимные программы и предназначен для кражи самых разных кредов, от паролей, до сид фраз.
На третью строчку исследователи поместили загрузчик Necro, который позволяет доставлять на устройство вредоносные и потенциально-нежелательные программы.
Среди мобильных вредоносов вся тройка заточена под устройства на Android.
@cybersachok
Читая новости складывается ощущение, что уже совсем скоро начнется большая гонка — спешно покидавшие Россию компании бросятся обратно, забирать свою долю рынка. Но получится ли?
Если смотреть на большое IT и взять, например, такую популярную тему, как ERP, то ситуация двоякая. С одной стороны, в России до сих пор остается немалое количество компаний, которые третий год сами поддерживают ушедший SAP и занимаются его костылезацией. На последнем ЦИПРе его и вовсе назвали безальтернативным.
С другой, 1С, главный российский игрок в этой сфере, рынок потихоньку грызет. Да, разобраться во всех этих модулях без бутылки коньяка и хорошего интегратора шансов очень немного, но проекты реализуются. Так, Газпром, который был крупнейшим пользователем SAP в России, постепенно переходит на 1С.
В части ИБ ситуация и сложнее, и интереснее. Поток писем в адрес регуляторов о том, что на российском рынке нет решений, соответствующих запросам компании или отрасли, сужается.
Отчасти из-за позиции самих регуляторов, отчасти за счет выхода новых продуктов и обновлений уже существующих. Вместе с тем, остаются энтузиасты, которые готовы мутить схематоз ради поддержания работоспособности западных СЗИ.
Поэтому вернуться можно, но так же сладко, как раньше, в обозримой перспективе не будет.
@cybersachok
Буквально на днях, проезжая мимо здания центрального телеграфа на Тверской, по Никитскому переулку мимо офиса Солара, задумался о том, что все таки собираются открыть в этом завешенном декоративным
строительным полотном с историческими фотографиями поверх, здании.
Вчера появилась новость о том, что здание на Тверской займет Центральный университет, в котором будут обучаться 5 000 студентов.
Пустовало оно, конечно, долго. Символично, что именно в этом здании будет такой современный частный университет.
@cybersachok
Разработчик инфраструктурного ПО «Базис» продолжает выступать в роли евангелиста построения безопасных процессов ПО.
На Форуме «Технологии и безопасность» — 2025 представители компании развили тему поиска ошибок и уязвимостей в элементах открытого кода.
Ключевой тезис выступления: мало найти небезопасный код, копать надо глубже, чтобы раскрыть возможности эксплуатации уязвимости в каждом конкретном случае.
Для этого вендор подключил анализатор Svace для статического анализа, российскую платформу CodeScoring – для композиционного анализа, моделирование угроз и создание поверхности атаки – для соответствия требованиям ГОСТ Р 56939-2024 по защите информации.
По словам разработчика, внедрение этих решений позволило повысить производительность в три раза. А еще — сделало процессы более гибкими и улучшило точность прогнозирования результатов.
@cybersachok
Компания Trend Micro креативно подошла к рассказу о киберугрозах будущего, сняв целый сериал в стиле Netflix и «Черного зеркала».
Прекрасный пример того, как с хорошим бюджетом и сильной командой можно в не одиозном формате рассказать о киберугрозах 2030 года и заказчикам, и чиновникам и простым пользователям, которые совсем скоро начнут конвертироваться в новый вектор прибыли у кибербез-компаний по мере роста B2C.
@cybersachok
РТ-ИБ запустила бесплатный антишифровальщик
«РТ-ИБ» запустила бесплатный анти-шифровальщик, предотвращающий атаку на этапе запуска.
По информации из официального канала компании, инструмент:
Блокирует вредоносные процессы на уровне ядра Windows, автоматически резервирует важные файлы при попытке их модификации или удаления в локальное защищенное хранилище.
Игра началась?
В кулуарах набирают популярность разговоры о том, что всех волнует, но не все решаются озвучить: российский рынок кибербезопасности превращается в поле битвы за господство.
Давайте уже снимем розовые очки и признаем, что в скором времени на поляне кибербеза останется несколько крупных игроков первого эшелона, которые поглотят стартапы, либо выдавят их иными методами.
Технологии и решения тянут не у всех, бюджетов на R&D и лоббистской мощи тоже не всем хватает. А госзаказы, которые сейчас льются рекой, получить может не каждый.
Опрос ниже.
@cybersachok
DDoS-атаки по-прежнему являются актуальным способом борьбы с конкурентами. Из недавнего — атака на китайскую прогремевшую на весь мир нейросеть DeepSeek, после которой у пользователей начались проблемы с регистрациями. Кто DDoS заказал — вопрос риторический.
Тут эксперты компании с многозначительным в русском лексиконе названием CURATOR (в прошлом Qrator Labs) выпустили годовой отчет «DDoS, боты и BGP-инциденты 2024: статистика и тренды».
В отчете много интересных цифр:
Например, общее число DDoS-атак выросло на 53% по сравнению с 2023, рекордная атака составила 1,14 Тбит/с, что на 65% больше предыдущего рекорда.
Самая длительная атака продолжалась целых 19 дней. Можно только представить, сколько за это время выручки потеряла атакуемая компания. И хорошо, если еще не стала банкротом.
Атаковали чаще всего финтех, электронную коммерцию, медиа, IT и телеком.
А вот боты чаще всего атаковали онлайн-ритейл. К сожалению, кто во время известного противостояния на маркетплейсовом поле создал сбой у Wildberries, в отчете не сказано.
Скачать отчет можно по ссылке.
Недавно CURATOR создали свой канал, где будут чаще делиться экспертизой и аналитикой по рынку.
@cybersachok
Битрикс не удивил
В Битрикс24 и 1С-Битрикс обнаружены уязвимости 7,5 и 7,3 баллов критичности.
Эксплуатация уязвимости может позволить злоумышленнику удаленно выполнить произвольный код, путем отправки HTTP-запроса.
Разработчик советует обновить ПО до версии 24.1100.0.
В качестве компенсирующих мер в канале БДУ ФСТЭК называются:
— ЗАПРЕЩЕННАЯ В РФ РКН ИНФОРМАЦИЯ;
— использование WAF;
— «белый» список IP-адресов;
— использование средств обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.
@cybersachok
Негативный Positive
В продуктах Positive Technologies обнаружили критическую уязвимость 9,5 баллов.
Уязвимость компонента PT MC в системах контроля защищенности MaxPatrol связана с неправильной аутентификацией.
Эксплуатация уязвимости позволяет злоумышленникам удаленно повысить свои привилегии.
Positive Technologies дала рекомендации по нивелированию последствий.
Если коротко — обновляться придется по полной.
«Пользователям продуктов MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, MaxPatrol Carbon и MaxPatrol O2 рекомендуется обновить MPX до версии 27.2.14850 или выше. Пользователи сертифицированных версий могут получить пакет обновления по запросу в службу технической поддержки.
Пользователям продуктов PT MultiScanner и PT Sandbox рекомендуется обновить продукты до версии 5.18.1.101838.
В продуктах PT NAD, PT ISIM и PT AF3 уязвимость актуальна только при настроенной интеграции с PT MC. Для решения проблемы пользователям этих продуктов рекомендуется обновить компонент PT MC до версии 101.4.8813 и выше», — говорится на сайте вендора.
@cybersachok
«Преодоление трудного начинается с лёгкого, осуществление великого начинается с малого, ибо в мире трудное образуется из лёгкого, а великое — из малого», —Лао Цзы.
Китайская лаборатория выпустила на днях конкурента o1. Как тренировали свои модели китайцы — не ясно. Очевидно, что такого кластера как у OpenAI у них не было. При этом качество ответов как будто не уступает западным моделям. А преимущество китайского релиза в том, что все бесплатно и без VPN.
Попросили китайского конкурента ChatGPT дать советы с точки зрения трех философских концепций Китая по отношению к проблемам российской кибербез-отрасли, чтобы быть безмятежными и мудрыми.
@cybersachok