13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
Пацан сказал — пацан не сделал
Компания Cohesity провела исследование, в ходе которого было опрошено более двух тысяч респондентов из разных стран. Большая его часть посвящена рекламе, но нашлось место и интересным цифрам по теме шифровальщиков.
В 2024 году 83% опрошенных столкнулись с атаками программ-вымогателей. Какой процент атак был успешным в исследовании не указано, но целых 69% респондентов согласились заплатить выкуп.
При этом целые 77% признались, что придерживались политики «не платить» до того, как запахло жареным произошел инцидент.
Почему платят? Потому что человеку свойственно надеяться на лучший исход. И атакующие активно эксплуатируют эту тему.
Не «мы вас пошифровали», а «провели анализ защищенности и приняли меры, чтобы вы точно нам заблатили».
Не «гони бабки или обанкротишься», а «заплатите за нашу работу и мы все исправим, даже уязвимости вам подсветим».
Просто заплатите и все снова станет хорошо, а может быть даже лучше.
Будем надеяться что исследователи в 2025 дадут статистику, сколько из заплативших выкуп были пошифрованы повторно.
@cybersachok
Полмиллиарда записей о россиянах в утечках
Исследователи из Центра противодействия кибеугрозам Innostage SOC CyberART решили подбить итоги года по утечкам. Результаты довольно интересные:
1) Половина выявленных инцидентов содержит не более сотни записей, что указывает на взлом предприятий малого бизнеса.
Это те самые компании, которые никому не интересны, трогать их не будут и вообще хакеры ломают только крупняк. Что с лицом?
2) Среди основных причин взлома хранилищ данных наравне с кражей информации с целью перепродажи или вымогательства, эксперты называют хактивизм.
Хактивисты оказались обучаемыми, и за три года научились как минимум от DDoS-атак до поиска публичных PoC-ов. Вчера дефейсили, сегодня уже эксфильтруют и вайпят.
3) Чтобы добраться до ценной информации, хакеры зачастую предпринимают сотни и тысячи попыток, особенно если в качестве мишени выбрали хорошо защищенную компанию.
Тут еще раз возвращаемся к мотивации — хактивисты жрать зарплату не просят, упорны и мотивированы.
Сама компания Innostage на пике фиксировала 120-130 тысяч атак в неделю. Понятно что какой-то процент из них автоматизированные боты, но цифра немаленькая. Учитывая что несколько ИБ-вендоров за этот год по итогу пробили, ребят можно только поздравить.
Вчера они получили сертификат о завершении открытых кибериспытаний, но продолжат программу и дальше.
Ну и с юбилеем, Innostage в этом году уже закрыл свою первую пятилетку. Алга!
@cybersachok
$1,5 ярда — маржа для хакеров с крипты
Такими цифрами поделились исследователи Immunefi в своем отчете «Crypto losses november 2024».
Вот несколько самых интересных цифр:
1) Объем краж год от года снижается. По сравнению с прошлым годом на весомые 15%, тогда киберпреступники получили примерно 1,7 миллиарда.
2) Хакеры опаснее мошенников. За ноябрь из-за взломов были потеряны 71 миллион долларов (24 инцидента), в то время как мошенники смогли заработать всего 25 тысяч (два инцидента).
3) Пиковым месяцем года стал май, когда злоумышленникам удалось похитить сразу 360 миллионов долларов.
Сами Immunefi (а это еще и багбаунти-платформа для крипто-проектов) предлагают выплаты до 10 миллионов за уязвимость. Так что багхантерам, которые еще не начали вкатываться в web3, есть о чем подумать.
@cybersachok
На 2025 год запланирован запуск PaaS- и SaaS-сервисов на базе «Облака КИИ»
Решения виртуализации «Базис» стали основой «Облака КИИ» – первого на российском рынке защищенного облака, построенного на отечественных решениях и способного размещать объекты КИИ. Продукты подтвердили совместимость с другими компонентами импортозамещенного облака: сетевым оборудованием, серверами и СХД, а также системным ПО, в том числе российскими ОС.
Сегодня на базе облака уже можно реализовать IaaS-сервисы — например, разместить в нем системы геолокации и мониторинга, управления складом и логистики, а также медицинские, банковские и другие ИС.
Безопасность «Облака КИИ» подтверждена аттестатом соответствия требованиям приказа ФСТЭК №239, что позволяет размещать объекты КИИ до 2 категории значимости включительно и обеспечивает защищенное подключение пользователей.
@cybersachok
Вирусы в поломанных doc-файлах, которые не видят антивирусы
Сумеречный гений фишинговых рассылок породил новую схему, как обойти защитные решения. Компания Any.Run обнаружила новую фишинговую кампанию, в рамках которой атакующие рассылают битые Word-файлы от лица сотрудников компании. В качестве триггера используются кадровые и зарплатные вопросы.
Механизм атаки достаточно прост — антивирусы не распознают зловредное содержимое в намеренно испорченных файлах. При этом, Word радушно предлагает пользователю восстановить файл уже на устройстве. Выглядит это следующим образом.
По заверению исследователей Any.Run, такое письмо обходит не только антивирусное ПО, но и спам-фильтры старого-доброго Outlook, в следствие чего может проскочить мимо некоторых sandbox. Интересно что проверка через VirusTotal принесла нулевой результат: ни одно из 62 решений не восприняло такой файл как вредоносный.
Все больше свидетельств говорят о том, что использовать только антивирус для личной кибербезопасности уже мало. В идеале нужно уметь пользоваться и песочницей, вроде той же any.run, а также мониторить свои данные в утечках, либо платить за этот сервис компаниям.
@cybersachok
50 000 долларов за удачный промпт
В сети существует проект под названием Freysa AI. Это нейросеть, настройки которой строго запрещают ей переводить деньги. Но любой пользователь может за определенную сумму попробовать подобрать правильный промпт и обойти ограничения. При этом чем выше банк — тем выше цена попытки.
На днях в запрещенной соцсети рассказали о том, что пользователю удалось забрать джекпот и выманить у Freysa почти пятьдесят тысяч долларов. Победный промпт можно посмотреть на скрине, за его отправку пользователь заплатил немногим меньше пяти сотен баксов.
Кто в этой истории выиграл? Конечно же казино разработчик, потому что 30% от всех потраченных пользователями денег идут ему.
Похожие проекты уже можно встретить в русскоязычном сегменте Телеграма, вполне возможно, что работают предприимчивые скаммерсанты. Не играйте в карты с шулерами.
@cybersachok
Сегодня мне исполняется 26!
Кто хочет прислать в подарок бутылку виски, присылайте не дерьмовый.
Всех обнял💔
Уже есть список номинаций, которые мы утвердили для голосования:
1. Слово года в ИБ
2. Тренд года в российском ИБ
3. Мероприятие года
4. Лучший кибербез канал
5. Вклад в маркетинг/PR (для директоров по маркетингу и PR и не только директоров)
6. Компания номер 1
7. Самый рабочий NGFW
8. На первой линии(номинация для SOC-центра)
9. Лучший Баг Баунти
10. Наше любимое мероприятие
Всего запланировано 13 номинаций.
Ждем предложения по дополнительным номинациям в бот.
Пацан к успеху не пришел
Николас Майкл Клостер из Канзас-Сити решил прорекламировать свои услуги в качестве специалиста по кибербезопасности. Теперь ему грозит до 15 лет тюрьмы. Как же так вышло?
Для рекламы своих услуг Николас не придумал ничего лучше, чем показать свои умения на практике. В качестве таргета он выбрал местную сеть фитнес-клубов и устроил там полноценный физический редтим.
После физического проникновения в служебные помещения Клостер написал письмо одному из его владельцев, которое можно посмотреть полностью в обвинительном заключении. Вот небольшая цитата:
Мне удалось обойти вход в систему камер безопасности, используя их видимые IP-адреса. Я также получил доступ к настройкам маршрутизатора GoogleFiber, что позволило мне использовать [удалено] для изучения учётных записей пользователей, связанных с доменом. Если я могу получить доступ к файлам на компьютере пользователя, это указывает на потенциал для более глубокого доступа к системе.
Едем в Магадан?
Пока все ИБ-сообщество готовится к новогодним корпоративам, Государственная Дума активно трудится. Ко второму чтению одобрен законопроект, вводящий уголовную ответственность за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных.
Он вводит ряд поправок, в частности, в статью 272.1 УК РФ. С полным набором депутатских новелл можно ознакомиться тут.
Казалось бы, что могло пойти не так? 3аконопроект N 502113-8 в текущей редакции в принципе не предусматривает добросовестного использования баз данных, их обработки, передачи и т.д.
Кто же занимается этим легитимным, добросовестным использованием слитых БД? Внезапно — почти весь рынок ИБ.
Например, утечки изучаются с целью поиска утекших паролей и своевременного предупреждения пользователей. Мониторингом утечек для бизнеса занимаются самые разные отделы — TI, SOC, в рамках услуг brand protection.
Без изучения утечек банально нельзя их верифицировать — реальные ли это данные или очередная компиляция.
Получается ситуация, когда 99 % атакующих на этот закон наплевать, поскольку действие УК РФ не распространяется на днепропетровские колл-центры.
При этом этичный исследователь рискует поехать на четыре года цифрового детокса, если только за ним не стоит штат юристов, как у крупных ИБ-вендоров.
Комьюнити по этому поводу уже справедливо возмутилось. Насколько это повлияет на законопроект — скоро узнаем.
Ситуация по духу и смыслу напоминает историю с парсингом данных. Там ГД тоже ударно поработала перед Новым Годом, а к концу января парсинг уже запретили. Помог ли закон в борьбе с парсерами из-за рубежа — статистика умалчивает.
@cybersachok
Хоп, хей, слив Graykey!
На днях журналистам из 404 Media некие добрые люди передали интересные таблички, содержащие в себе подробное описание Graykey. Полюбоваться их содержимым можно тут и тут.
Graykey — это продукт компании Grayshift, предназначенный для получения доступа к смартфонам. Его широко используют следственные органы разных стран. Проще говоря — шайтан-коробочка, которая потрошит смартфоны, включая iPhone, Samsung и даже наши любимые Xaomi. Посмотреть как она выглядит можно в официальном промо-ролике.
Достоверность данных подтвердили сразу несколько независимых источников. Ценность самих данных, при этом, не очень велика — некоторую часть информации из табличек можно буквально найти на официальном лендинге Grayshift и в их промо-материалах.
Некоторые издания делают сенсацию из того, что этот инструмент не может взламывать Айфоны под ОС 18 и 18.1. Но это и не удивительно, ведь появилась обновленная ОС только в сентябре, и в Grayshift просто еще не успели купить под нее эксплойт подобрать соответствующую открывашку.
История интересна не столько слитой информацией, сколько ее источником. Кто и при каких обстоятельствах слил 404 Media информацию о возможностях Graykey мы не знаем. Но интуитивно хочется поставить на инсайдера внутри компании.
Кстати, российских мобильных ОС в списке мы не заметили, чем не аргумент для потенциального экспорта в загнивающие капстраны?
@cybersachok
Через 10 дней вступают в силу новые правила, по которым VPN нельзя будет упоминать. Эта информация будет считаться запрещенной в РФ.
Мы уже готовимся к вступлению в силу нового законодательства и заменили в текстах и постах на всякий случай абреввиатуру из трех букв на ЗАПРЕЩЕННАЯ В РФ ИНФОРМАЦИЯ.
Как это будет выглядеть — на скриншоте.
Живем по понятиям правового поля. И вы живите по понятиям тоже!
Сноуден записал весь бигтех в оборотни
На днях наш соотечественник Эдвард Сноуден выступил хедлайнером на конференции NEAR [REDACTED] в Бангкоке. Был бодр, улыбался, ел орешки кешью.
Сама конференция посвящена AI и блокчейн-технологиям, но выступление Эда посвящено как раз вопросам приватности в условиях быстро развивающихся технологий.
Доклад получился довольно философским, есть несколько интересных тейков:
1) Цифровой суверенитет возможен только при существовании собственных систем и моделей. Речь о тех-самых независимых и прозрачных блокчейн-системах, web 3.0. Но и на контекст цифрового суверенитета государств тоже хорошо ложится, чем не популяризация импортозамещения?
2) Бигтех наплевал на приватность и активно использует все доступные данные для обучения нейросетей, алгоритмов и других продуктов. Проще говоря — монетизирует своих пользователей по максимуму, в ущерб их правам и интересам. Трудно поспорить.
3) Все нейросети из всего многообразия делают нечто усредненное, с небольшим n-процентом оригинальности.
4) В мире господствует усредненный показатель, который выгоден бизнесу и государству. Это убивает идентичность.
В конце Сноуден призвал всех развивать критическое мышление и заниматься саморефлексией.
Можем порадоваться за пентестеров, которые специализируются на взломе AI/ML, их будущее в этом контексте выглядит светлее некуда.
@cybersachok
Бонни и Клайд: хакерская версия
В недалеком 2022 году в любовное гнездо россиянина Ильи Лихтенштейна и американки Хизер Морган ворвались копы с обвинениями в грабеже дилижансов взломе биржи Bitfinex и кражу 120 тысяч биткоинов.
И, кажется, у этой истории будет счастливый конец. Илья уже получил от американского суда пять лет. Изначально хакеру грозило 20 лет за факт кражи и еще 5 за мошенничество. С учетом примерного поведения и уже проведенного в заключении времени — у него есть все шансы скоро оказаться на свободе.
Хизер Морган, вероятнее всего, получит еще меньше. Решение суда должно быть принято как раз сегодня, 18 ноября.
Когда в 22 году американские силовики смогли вернуть чуть более 90 тысяч биткоинов с счетов парочки, Минюст назвал это крупнейшей конфискацией в истории.
Немного цифр: на момент кражи это был "скромный" 71 миллион долларов. На момент изъятия Минюстом — уже 4,5 миллиарда, а на сегодняшний день и вовсе крышесносные 11 миллиардов долларов. Ставь лайк если в 2012 потратил 200 биткоинов на покупку скина в игрушке или пиццу.
Не только мы следим за приключениями гангстерской парочки — желание снять о них сериал изъявил НТВ Netflix. А Forbes планирует выпустить документальный фильм.
Остается только один вопрос: если 90 тысяч биткоинов удалось вернуть, то кто приделал ноги оставшимся 30 тысячам?!
@cybersachok
Шифровальщики поборолись за ЗОЖ
В канале «Кибервойна» вышел интересный пост о банкротстве Stoli Group (признана экстремистской организацией и запрещена в России). Эта компания, в частности, владеет брендами водки Stolichnaya и Moskovskaya. В качестве одной из причин руководство указывает на атаку с использованием программы-вымогателя.
С одной стороны — спорить с этим заявлением трудно, поскольку компания была зашифрована и наверняка понесла весомый ущерб. хакеры уже банкротили целые криптобиржи, что уж тут какой-то вино-водочный ларек гигант.
С другой стороны, все чаще хакерские атаки становятся универсальным объяснением для любых событий. Причем не важно, были ли эти атаки вообще.
У бизнеса долги перед инвесторами больше чем капитализация компании? Виноваты хакеры.
Конкурент победил на выборах? Виноваты хакеры.
Публичное лицо опубликовало сомнительный текст, который поднял общественный резонанс? Виноваты хакеры.
В сети появилось видео, где чиновник пригласил на ковер девушку с низкой социальной ответственностью? Это дипфейк, а значит тоже хакеры.
Такими темпами APT-группировки начнут воровать лампочки в подъездах, а операторы шифровальщиков в этих же подъездах гадить. А почему нет?
@cybersachok
Идет поиск… Обнаружен короткий путь к офферу Сбера 🕵️♂️
7 декабря приглашаем на One Day Offer для AI RedTeam – команды Департамента Кибербезопасности Сбера, которая занимается оценкой и защитой моделей генеративного искусственного интеллекта.
Мы работаем с флагманскими продуктами и генеративными моделями (LLM, VLM, MMLM), обеспечивая их безопасную разработку и эксплуатацию, а также исследуем уязвимости GenAI моделей и новые виды атак.
Чем предстоит заниматься?
✅ Обеспечивать безопасность GenAI-продуктов, используемых миллионами пользователей
✅ Анализировать новые инциденты, методы атак и защиты GenAI-моделей и приложений
✅ Разрабатывать и внедрять PoC для проверки защищенности GenAI-моделей и приложений
✅ Тестировать и оценивать защищенность GenAI-моделей и приложений
✅ Выполнять подготовку заключений и рекомендаций по повышению защищенности GenAI-моделей и приложений.
Регистрируйтесь и присоединяйтесь к молодой кросс-функциональной команде 😎
Рубрика «Письма читателей».
Нет, это не так, потому что канал никогда не принадлежал Илье Сачкову или Group-IB.
Соотвествующий миф в отрасли распространился, вероятно, в связи с ассоциациями, которые вызывает название канала, созвучное фамилии основателя Group-IB.
Об этом мы говорили на одном из выступлений в оффлайне.
Ни Касперским, ни Позитивам, ни Солару, ни Сачкову, ни серым кардиналам отрасли мы не принадлежим.
Только России и ее народу.
Мы национальное достояние, по мнению редакции канала.
Как защитить API от угроз?// Как защитить API и сэкономить миллионы?
13 декабря в 11.00 приглашаем на бесплатный вебинар СберТеха «Атаки на API в 2024 году: примеры и способы защиты».
Вы узнаете:
• API как цель и универсальный вектор кибератаки
• Почему WAF не решает задачу безопасности API.
• Какие атаки на API произошли в 2024 году: анатомия взлома, аналитика и последствия.
• Как надежно защитить API и решить задачу безопасной интеграции систем (на примере решения Platform V SOWA).
Вебинар будет полезен CIO, CISO, архитекторам кибербезопасности, корпоративным архитекторам и ИТ-архитекторам.
Регистрация по ссылке!
На днях Starbucks столкнулась с последствиями кибератаки на своего подрядчика. В результате системы управления расписанием работы оказались недоступны, а без них не ясно, сколько платить работягам.
Сама история по последствиям не критичная и Старбакс вряд ли потеряет больше, чем от ухода из России, но интересно другое. Крупнейшая сеть кофеен оказалась в интересном положении из-за классической атаки сопли supply chain.
Атаки на цепочку поставок еще в прошлом году попали в топ-3 векторов по данным НКЦКИ. При этом, уже по данным компании «Инфосистемы Джет», менее 10% организаций проводят мероприятия по оценке уровня ИБ своих поставщиков и подрядчиков.
В этом году, уже по данным исследования Cyble, атаки supply-chain происходят как минимум раз в два дня.
Защищаться от этого вектора в основном рекомендуют разными вариациями Zero Trust. Так что не за горами тот день, когда СБшникам, которые занимаются проверкой контрагентов, придется на регулярной основе выяснять, когда там у подрядчика последний раз был пентест, сколько в компании аппсеков и что о безопасности этой компании думает уволившийся месяц назад CISO.
@cybersachok
Я, когда мне говорят, как хорошо нам будет в 2025 году с полным импортозамещением
@cybersachok
В прошлом году мы проводили голосование по итогам года в ИБ в Telegram.
Голосование вышло шумным, скандальным и вызвало много споров, а также атаку ботов на нас.
Алексей Лукацкий наше голосование критиковал, а Secator выступил с адекватной позицией в защиту, заявив, что ботов в опросе крутили не мы.
Проводим «Итоги года» в этом году в другом формате?
Приглашаем на конференцию «Сетевая безопасность»! 🛡
Мероприятие будет полностью посвящено отечественным средствам защиты информации сетевой инфраструктуры. Не пропустите шанс присоединиться к лидерам отрасли и обсудить важные вопросы!
Основные темы конференции:
- Способы измерения производительности и функциональности средств сетевой безопасности и Anti-DDoS
- Требования к межсетевым экранам нового поколения (NGFW)
- Защита web-приложений и электронной почты, WAF и SEG
- NTA, NDR, UEBA — поведенческие и статистические системы защиты на основе анализа трафика
- VPN-шлюзы и проблемы инспекции SSL/TLS трафика
- Песочницы, Deception, Honeypot
- Обеспечение безопасности удаленного доступа
- Использование криптографии в обеспечении сетевой безопасности
Зарегистрироваться
Подробности:
- Место: Москва, «Холидей Инн Сокольники»
- Дата: 9 декабря 2024 года
- Условия участия: Для представителей органов государственной власти, финансовых организаций, компаний ТЭК, промышленности, транспорта и ритейла участие бесплатное при обязательной регистрации на сайте.
Умножаем любовь к математике, чтобы разделить ее с вами
ИТ-специалисты, знаете, какой праздник 1 декабря? Т-Банк зовет отмечать День математика. В программе лекции от профессоров из МФТИ, ВШЭ и ЦУ, настольные игры, математический диктант и другое.
Мероприятие пройдет в офисе Т-Банка в Москве, а из другого города можно подключиться онлайн. Чтобы весело провести время, пообщаться и узнать о математике еще больше регистрируйтесь тут
В Америке ожидают откат инициатив по кибербезу
Не так давно мы говорили о политизации сферы информационной безопасности. И вот, в США назревает интересный кейс, связанный с приходом к власти нового президента.
За последние четыре года в Штатах было много инициатив, направленных на разные аспекты кибербеза. Это и регуляторика внедрения ИИ, и судебные разбирательства с вендорами спайваре-софта (привет, NSO Group), и много чего еще. Можно отметить успехи американских спецслужб в борьбе с шифровальщиками — даже за последний год мы видели несколько громких кейсов, включая LockBit.
Американские медиа переживают, что администрация Трампа пустит все эти усилия по ветру. Тревожные звоночки и правда есть. Например, инициатива сенатора Рэнда Пола по упразднению или весомому ограничению полномочий CISA.
И в США, и в мире, и в России, немало людей сочли это признаком грядущей деградации американских ИБ-программ. На самом деле это не так.
Важно помнить, что именно во время президентства Трампа CISA и появилась. Основные претензии со стороны республиканцев связаны с тем, что агентство активно ввязалось в цензурирование юэсэй-нета, включая и выборы.
Поэтому не стоит ожидать, что новая администрация президента выбросит CISA на свалку истории. Скорее всего, деятельность агентства будет:
1) В большей степени направлена на защиту критической инфраструктуры, а не на работу с повесткой в стране.
2) Подвержена контролю со стороны Сената. С одной стороны — меньше самостоятельности, с другой — меньше распыления.
Наивно полагать, что отдельным сенаторам-популистам дадут развалить важное в современных реалиях агентство. Еще более наивно думать, что государство позволит бизнесу диктовать условия и выбивать поблажки в сфере ИБ там, где это напрямую касается широких масс населения.
@cybersachok
VK анонсировали свою конференцию по информационной безопасности VK Security Confab Max. Пройдет она в самый жаркий месяц года — 11 декабря.
Судя по анонсу, на мероприятии в приоритет поставили 5 основных направлений: SOC, AppSec, безопасность пользователей, облаков и инфраструктуры.
Помимо технических докладов обещают закатить афтепати.
Сейчас еще есть время для подачи заявок экспертов (до 29 ноября), желающих выступить со своим спичем на конференции.
Ну а если 11 декабря вы суперзагружены, то можно будет посмотреть конференцию в онлайн-трансляции.
@cybersachok
Как сделать работу в контейнерных средах безопасной?
Узнайте на бесплатном вебинаре «Защита контейнерных сред с помощью Policy Engine и Service Mesh» от СберТеха.
Обсудим риски работы в контейнерных средах и вклад Policy Engine и Service Mesh в обеспечение безопасности кластеров Kubernetes (на примере open source решений и линейки российских продуктов Platform V Synapse от СберТеха).
Разберем темы:
• Контейнерные среды в рантайме: защита на уровне реестра, оркестратора и контейнеров.
• Policy Engine и его роль в управлении политиками безопасности и конфигурациями.
• Знакомство с Kubelatte и возможностями по мутации, валидации и генерации объектов Kubernetes.
• Service Mesh для безопасности трафика, включая шифрование, контроль конфигураций приложений и кластеров, мониторинг состояния кластеров.
• Преимущества решений Platform V Synapse по сравнению с open source.
Спикер: Максим Чудновский, главный руководитель направления Platform V Synapse, СберТех.
Вебинар пройдет 19 ноября в 11:00.
Регистрируйтесь по ссылке!