9979
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Реестр РКН: https://www.gosuslugi.ru/snet/673c48516afad41667cc93fe
Сногсшибательные результаты
Сидел ел люля-кебаб в Чайхане недалеко от Пушкинской, никого не трогал. За окном шел ноябрьский дождь, хотя метеорологи обещали теплую солнечную преждевременную весну. Вечно эти прогнозы не сбываются.
Тут незаметно как из воздуха за соседним столом появились двое в черном: один лысый старичок в очках и с блокнотом, который по виду был мозговым центром в этой булгаковской парочке, второй крепкий мужчина размером со шкаф, стрижкой под 90-е, очень тяжелым тембром и лицом как у интеллигентного и очень начитанного военного.
Тут тот, что лысый говорит своему собеседнику:
— А ты знаешь, что после тестов NGFW ЦБ произошел настоящий провал?
В этот момент я резко повернул голову в их сторону и убавил музыку в наушниках, в которых играл Сергей Шнуров.
— Опять зашкварились?, — спрашивает тот, что больше похож на бывшего телохранителя.
— Ни то слово! Самый лучший результат из 360 пунктов — 140 пунктов у одного из вендоров, а худший у одного …… 79!!!
Двое в черном многозначительно посмотрели на меня.
Называть компанию с лучшим результатом я не буду, чтобы не делать им рекламу, а с худшим — из тактичности.
Думайте.
@cybersachok
В Wall Street Journal рассказали историю сотрудника Disney, которому опенсорс сломал жизнь. Получилась яркая иллюстрация последствий неграмотности сотрудника в вопросах кибербеза.
Мэтью ван Андел скачал генератор картинок с GitHub, внутри которого оказался вирус. Спустя некоторое время в сети появился архив на 1 ТБ с закрытой информацией Disney и личными данными Мэттью.
По итогу парня уволили, лишили страховки, а вместо бонусов на $200 000 ему стали приходить угрозы от незнакомцев.
Вот что бывает, когда не проверяешь отзывы на софт.
@cybersachok
Москва друзьям не верит
Ресторан в районе Дмитровки. Сидят грузные мужчины, едят похмельную пасту. На столе у каждого какая-то технологичная коробочка, напоминающая чем-то Яндекс.Станцию, но более квадратной формы. Любопытство перевешивает и я решаю поинтересоваться, что это такое.
«Интересуются знаешь где?», — ожидаю услышать я, но Москва эпохи Собянина и Путина все таки более приветливая, открытая, добрая.
— Это капсула Фарадея, чтобы класть туда телефоны во время встреч с друзьями и не отвлекаться.
— Понял. Спасибо.
Захожу в скрепный Яндекс, чтобы узнать, что за капсулы Фарадея и как они работают. Слышал, признаться, только про клетки Фарадея из случайно попавшегося в запрещенной социальной сети видео с подкаста Маркаряна.
Производители пишут, что капсула Фарадея нужна на переговорах, чтобы глушить сигнал телефона и защищать его от прослушки.
Вот такая дружба по-московски в пределах Садового.
@cybersachok
Ковалевский пробил бастион
ГК «Гарда» (ИКС Холдинг) завершила реструктуризацию.
Теперь группа сфокусируется на разработке и внедрении ПО для защиты данных и сетевой безопасности бизнеса и госструктур.
Касперские снова нестандартно подошли к теме киберликбеза , запустив «зловредные советы» по кибербезу на одном из самых больших экранов Москвы.
@cybersachok
Совсем скоро выпустим совместно с каналом «Пакет Безопасности» второй рейтинг ТОП-каналов в тематике ИБ в российском Telegram.
Пока что продолжаем пополнять наш список из каналов, лучшие из которых выберут в закрытом опроснике PR-специалисты, ИБ-эксперты, IT-журналисты и маркетологи.
В первом рейтинге в наш ТОП попали 43 канала в тематике ИБ.
В этот раз мы решили значительно расширить выборку и добавили новые тематические категории каналов.
Прислать ссылку на свой канал с указанием тематики можно в бот.
@cybersachok
Ещё немного подробностей про инцидент в Хакасии. Согласно местным СМИ, взломано было предприятие «Саянмолоко», выпускающее продукцию под брендом «Семёнишна».
В конце декабря, вероятно, об этом же инциденте рассказывал директор самого предприятия. Правда, в его описании произошедшее звучало иначе, а использование атакующими шифровальщика не упоминалось:
«На прошлой неделе произошло ЧП — была взломана система защиты одного из самых крупных предприятий Хакасии — ОАО «Саянмолоко» (бренд «Семенишна»). Рабочие ПК перестали функционировать, подключенные к компьютерам принтеры стали печатать оскорбительный манифест с проукраинским оттенком. Причем шла не DDOS-атака, а напали именно хакеры. По проторенной искусственным интеллектом дорожке.
Незадолго до атаки предприятие помогло гуманитаркой — на нужды СВО были отправлены квадрокоптеры. И почти сразу же последовала месть.
Ситуацию редакции 19rusinfo.ru прокомментировал директор ОАО «Саянмолоко» Валерий Левицкий:
«Когда атака началась, на всех компьютерах принтеры сработали, и на всей бумаге, которой были заряжены принтеры, были напечатаны листовки о том, что ваше предприятие помогает российскому государству пополнять бюджет, кормить население. Эти деньги идут на войну, на убийство граждан Украины и так далее. Объемный лист полной информации. И все 100% бумаги со всех принтеров были таким образом распечатаны».
Чтобы разливать молоко, предприятию интернет в общем-то не нужен. Глобальная сеть необходима для того, чтобы входить в систему контроля «Честный знак».
«Каждая упаковка продукта маркируется в рамках программы «Честного знака». А мы этого просто не могли делать», - говорит Левицкий.
Это не первая атака на Саянмолоко, подобная была летом. После нее антивирусная защита была усилена, так что произошедший неделю назад взлом существенно на работу предприятия не повлиял.
На данный момент ситуация под контролем, отгрузка продукции идет своим чередом».
Можно сказать, что «Саянмолоку» повезло — прошлым летом в Псковской области из-за кибератаки на месяц было приостановлено производство сыра на другом пищевом предприятии.
Касперские не изменяют традициям и снимают каждый год к праздникам кринжовые ролики. В этот раз женская половина компании дебютировала в клипе «Матушка ЛК». За что??? За что эта песня теперь не выходит из головы? Евгений Валентинович, что мы вам плохого сделали?
https://rutube.ru/video/d6197a8b37480fc3eb20cc3f52f6e49a/
Пойдем только если за диджейской стойкой будет Голованов, Батранков, Лукацкий и Солдатов.
Читать полностью…
Извольте раскошелиться
Ситуация с выручкой у многих ИБ-компаний по итогам прошлого года так себе. А тут еще маячат на горизонте зарубежные вендоры со своими «никому не нужными» решениям, которые уже привыкли к широкой гостеприимной русской душе, ключевая ставка висит как домоклов меч над головой, регуляторы, ИИ, новые хакерские атаки и инструменты.
Одним словом — бесперспективняк. И, надо сказать, оптимизма грядущий год по продажам тоже не несет. Но зарабатывать ведь как-то надо! Одни присматриваются к новым направлениям, другие надеятся на чудо, причем чудо для одних является черным лебедем для других.
А тут еще и стоимость участия в профильных мероприятиях растет. Нули добавляются к цене стендов и привилегий как станции метро в Москве при Собянине.
Кому-то, кто не готов раскошелиться на стенд за несколько миллионов, отрезается и этот путь к клиентам.
Но кому «черный лебедь», а кому благо в нелегкие времена.
Почему гробовщик счастлив во время чумы?
Думайте.
@cybersachok
Информационная политика канала:
1. Мы публикуем новости и информацию, которую считаем важной для отрасли.
2. Мы сохраняем анонимность источников, если они сами не пожелали раскрыть свое имя, должность, компанию, ведомство.
3. Формат поста и его подача — выбор редакции.
4. Мы учитываем контекст в своих постах, детали, яркие штрихи, связанные с героями новостей в прошлом/настоящем.
5. Мы ответственно подходим к публикации новостей, поэтому всегда прежде, чем что-то опубликовать думаем о том, что на чаше весов перевешивает: польза от обнародования новости для отрасли или же вред от ее публикации.
6. Мы проверяем информацию и не гонимся за кликбейтом.
7. Мы уважаем всех наших героев и ньюсмейкеров.
8. Мы не получаем финансирование от властей, зарубежных спецслужб, фондов и донаты от пользователей.
9. Мы не несем ответственность за распространение опубликованной у нас информации в других СМИ, каналах, медиа и блогах и ее интерпретацию.
10. Мы стараемся быть объективными и представлять разные точки зрения, мнения.
11. Мы стремимся к всестороннему освещению ситуации в отрасли.
12. Мы уважаем наших читателей.
13. Мы тоже люди.
Positive Technologies покидают лучшие
По информации анонимного источника, корпорацию на фоне сокращений и падения стоимости акций на 24% покидает одна из топ 5-специалистов пресс-служб высшей лиги Юлия Сорокина.
Она долгое время занимала в корпорации должность главы пресс-службы.
Куда теперь повела дорога Юлию Сорокину — не ясно, но не сомневаемся, что таких специалистов забирают сразу же на не вызывающий мыслей об отказе оклад и бонусы.
Платформа для виртуализации рабочих столов Basis Workplace прошла инспекционный контроль ФСТЭК и подтвердила соответствие 4 уровню доверия. Ее можно использовать в ГИСах до 1 класса защищенности, ИСПДн и АСУ ТП до 1 уровня защищенности, ИС общего пользования II класса и значимых объектах КИИ до 1 категории значимости.
В составе платформы виртуализации — многофакторная аутентификация, контроль доступа, защищенное подключение и мониторинг инфраструктуры. В прошлом году аналитики из iKS-Consulting назвали решение лидером рейтинга ПО для управления VDI. Продукт компании занимал 52% рынка в нише.
@cybersachok
Самые противные
Не успели мы опомниться после бурного празднования нового тройного нового года(любит душа русская праздники) и выйти из ретроградного меркурия, как спецы из Check Point выпустили отчет о самых распространенных вредоносных программах 2025 года.
Пьедестал самого мерзопакостного занял вредонос FakeUpdates (SocGholish). Это ВПО известно с 2018 года и распространяется через скомпрометированные сайты под видом установки обновления для браузера. Исследователи говорят, что он связан с группировкой Evil Corp.
На втором месте расположилось ВПО Formbook, которое нацелено на Windows-системы и распространяется с помощью вредоносных сайтов и почтовых рассылок. Вредонос работает не только как загрузчик для других программ, но и может делать скриншоты, собирать учетные данные, работать в качестве кейлоггера.
И закрывает зловредную тройку ратник Remcos. Его первым вариациями к слову, скоро исполнится 10 лет. Как правило, распространяется через отравленные документы в рамках фишинговых кампаний. Данное ВПО обычно используется для обхода механизмов безопасности и запуска других вредоносов, но уже с повышенными привилегиями.
Интересно что Formbook и Remcos дерзко ворвались в тройку только в январе, тогда как FakeUpdates возглавляет рейтинг не первый месяц. На троих эти вредоносы затронули около 10% от всех организаций.
Среди мобильных вредоносных программ первое место продолжает удерживать Anubis, который представляет собой целый комбайн, способный и СМС перехватывать, и шифровать, и работать в качестве кейлоггера.
Второе место занял ратник AhMyth, который часто маскируется под легитимные программы и предназначен для кражи самых разных кредов, от паролей, до сид фраз.
На третью строчку исследователи поместили загрузчик Necro, который позволяет доставлять на устройство вредоносные и потенциально-нежелательные программы.
Среди мобильных вредоносов вся тройка заточена под устройства на Android.
@cybersachok
Читая новости складывается ощущение, что уже совсем скоро начнется большая гонка — спешно покидавшие Россию компании бросятся обратно, забирать свою долю рынка. Но получится ли?
Если смотреть на большое IT и взять, например, такую популярную тему, как ERP, то ситуация двоякая. С одной стороны, в России до сих пор остается немалое количество компаний, которые третий год сами поддерживают ушедший SAP и занимаются его костылезацией. На последнем ЦИПРе его и вовсе назвали безальтернативным.
С другой, 1С, главный российский игрок в этой сфере, рынок потихоньку грызет. Да, разобраться во всех этих модулях без бутылки коньяка и хорошего интегратора шансов очень немного, но проекты реализуются. Так, Газпром, который был крупнейшим пользователем SAP в России, постепенно переходит на 1С.
В части ИБ ситуация и сложнее, и интереснее. Поток писем в адрес регуляторов о том, что на российском рынке нет решений, соответствующих запросам компании или отрасли, сужается.
Отчасти из-за позиции самих регуляторов, отчасти за счет выхода новых продуктов и обновлений уже существующих. Вместе с тем, остаются энтузиасты, которые готовы мутить схематоз ради поддержания работоспособности западных СЗИ.
Поэтому вернуться можно, но так же сладко, как раньше, в обозримой перспективе не будет.
@cybersachok
Не удовлетворили
Банк России с другими банками провел тестирование российских NGFW. Со стороны вендоров в тестировании приняли участие «Код безопасности», Ideco(новогодний календарь с женщинами), PT и еще один вендор не названный. Тесты проходили на площадке BI.ZONE.
NGFW показали себя хорошо на тестовых стендах, но когда начиналась серьезная нагрузка, возникало много проблем.
Банки, в частности, остались недовольны плохой стабильностью, слабой пропускной способностью и отсутствием части функционала, который был заявлен.
В ИБ-компаниях говорят, что ЦБ выбрал слишком «избыточную» методику, поэтому из 30 зарегистрированных NGFW участие в тестировании приняли только 4.
@cybersachok
Друзья, простите меня все!
Некоторых из вас я тоже наверное прощу, а может и бог тоже🫡
Шеф Пентагона поставил на стоп все кибероперации против России. Такой новостью разразилось как гром в ноябре издание The Record, сославшись на три своих источника.
По данным издания приказ разослали по всем киберподразделениям Пентагона еще на прошлой неделе.
Киберкомандованию же, судя по содержанию новости, предстоит сосредоточиться на борьбе с мексиканскими наркокортелями.
Несмотря на то, что это весьма серьезное «потепление» в киберпространстве между Россией и США, слишком обольщаться не стоит. По словам все тех же источников, приказ не распространяется на Агентство национальной безопасности, или на работу по радиоразведке, направленную против России.
Но шаг безусловно важный. Интересно посмотреть, снизится ли количество кибератак на Россию и упадет ли качество у оставшейся вредоносной активности в отношении российских компаний и ведомств.
На наш скромный взгляд главное, чтобы наша сторона в ответ не решила рекомендовать продукцию Cisco на объекты КИИ.
@cybersachok
Картина «Туземцы Австралии на привале, отказавшись от ПО Касперского», февраль 2025
Читать полностью…
Собираем в общак
Минцифры предлагает обязать IT-компании с выручкой от 1 ярда и численностью сотрудников не менее 100 человек для продления аккредитации платить. Но деньги нужно платить не Минцифры, а отдавать на работу с вузами. И деньги не с прибыли, а с экономии на налоговых льготах, говоря прямо — не менее 5%.
Минцифры уверено, что дополнительной нагрузки такой сбор на благое дело компаниям не создаст.
И тут хочется сказать, что мы как никогда готовы не спорить насчет того, что важнее: кибербез или IT. Конечно же IT, как вы уже смогли догадаться сами, наши смышленые читатели.
Инициатива министерства, надо сказать, дискуссионная и будет вызывать в ближайший год немалую полемику, учитывая, что у многих компаний есть свои образовательные программы, стажировки, курсы на базе вузов и даже свой частный университет по подготовке необходимых в цифровую эпоху кадров.
Будет ли польза от принудительного сбора 5% с компаний, подпадут ли под новую благую меру компании по кибербезопасности и не является ли мера чрезмерной, когда заинтересованный в инвестициях в подготовку кадров бизнес уже давно скинулся самостоятельно?
Говоря проще, зачем использовать админресурс там, где бизнес сам проявил инициативу?
@cybersachok
ЛАНИТ взломали?
НКЦКИ опубликовало информацию о возможной компрометации компаний, входящих в ГК «ЛАНИТ».
Речь о ООО «ЛАНТЕР» и ООО «ЛАН АТМсервис».
«Если разработки и программные продукты ЛАНИТ используются в вашей инфраструктуре и инженерам ЛАНИТ к ним предоставлен удаленный доступ, рекомендуются сменить данные для подключения», — говорится на сайте НКЦКИ.
@cybersachok
В Казахстане неспокойно
Российский ландшафт киберугроз настолько объемен и интересен, что за ним не видно даже ближайших соседей. А ведь в их киберпространстве тоже происходят интересные вещи.
Так, исследователи из Бизона аж с 2023 года отслеживают (голосом Скулкина) кластер активности, связанный с группировкой Bllody Wolf, которая проявляет самый пристальный интерес к странам СНГ, в частности — к Казахстану.
За время своего существования группировка набралась опыта и пересела с дешевенького трояна STRRAT (Strigoi Master), которую на андеграундных форумах продавали буквально за сто баксов, на легитимную утилиту NetSupport.
И уже в конце прошлого года провели масштабную кампанию по Казахстану. Правда техники не изменились — Boody Wolf как и прежде использовали фишинг и PDF-файлы для доставки легитимного инструмента в инфраструктуру жертв.
Тема фишинговых писем тоже извечная — уведомления о нарушениях и требованиях к устранению проблем со стороны регуляторов.
По российским компаниям эта группировка тоже работает, поэтому всегда полезно узнать, что происходит у соседа.
@cybersachok
Московские зумеры начали ходить на кофейный рейв. Вечеринки проводят утром в кофейнях города. Там зумеры вместо алкоголя пьют кофе, танцуют, а потом едут на работу.
Предлагаем провести митап в таком формате!
Американский телеком ломал военный
Военный из США признался во взломе телеком компаний AT&T и Verizon и краже данных. Самая резонансная часть из них — записи телефонных разговоров и журналы вызовов Дональда Трампа и Камалы Харис.
Кэмерон Джон Вагениус под ником kiberphant0m был связан с киберпреступником из Канады Конором Райли Мукой(Judische), арестованным за кражу данных и вымогательство еще в октябре 2024 года.
Военный, оказавшийся членом кибер ОПГ, судя по всему на аутсорсинге продавал данные от канадского «партнера».
В ноябре он предлагал купить журналы вызовов американских правительственных учреждений и экстренных служб, а также признался в поддержке работы большого ботнета, использовавшегося для DDoS-атак.
@cybersachok
Ну и пока кто-то крутит реакции на предыдущий пост, поздравляем холдинг T1, который планирует выход на IPO, с кадровым приобретением.
/channel/radio_tishina/1692
Как сейчас вспоминается март 2022 года и массовый исход зарубежных компаний с российского рынка, истерия, полуофициальные заявления, где-то в комментариях СМИ, а где-то и вовсе в телеграм-каналах о том, что в связи с началом СВО компания N покидает российский рынок/приостанавливает обслуживание российских клиентов, говоря языком не юридическим — кидает.
Моментами и вовсе в открытую звучали заявления о том, чтобы выпускать зараженный патч для российских компаний. А хакерские группировки и активисты делились на тех, кто поддерживает и не поддерживает Россию. Помним, пережили и стали только сильнее.
И вот на волне риторики о прекращении конфликта, возобновлении дипломатических контактов между Россией и США, появились сначала новости о возможном возвращении брендов одежды, позже и Starbucks, а теперь о возвращении западных вендоров. Не удивительно, с учетом прогнозов по росту капитализации отрасли кибербезопасности в России и успешных подвижек в экспорте российских ИБ-решений.
Попросили дать комментарий о возможности возвращения ИБ и IT-компаний в Россию депутата Госдумы, заместителя председателя IT-комитета и председателя РОЦИТ, Антона Горелкина:
Мы знаем, что в 2022 году из России ушли почти все западные компании, работающие на рынке защиты информации.
Например, Cisco и Fortinet открыто объявили о поддержке Украины и приостановке всех операций на территории РФ. Были и компании, которые не заявляли об уходе, но приостановили продажи и прекратили поддержку российских пользователей (и очевидно, что сделано это было по политическим причинам).
Что характерно, до начала военного конфликта на Донбассе многие иностранные кибербез-компании вели у нас довольно агрессивную политику с целью уничтожить российских конкурентов. Открыто хантили высокоуровневых сотрудников из наших компаний, вывозили их за границу. Целились и в будущих специалистов, активно интегрируясь в технические вузы и оснащая своим оборудованием целые кафедры.
Конечно, нельзя ставить знак равенства между производителями одежды, желающими вернуться на российский рынок, и вендорами средств защиты информации. Нужно четко понимать, что присутствие иностранного кибербеза на нашем рынке несет критические риски безопасности. При этом наши компании практически полностью заместили западные решения, вполне успешно.
Я, когда пришел искать баги у одной из российских компаний, вышедшей на багбаунти впервые
@cybersachok
Перегретый рынок, много сильных конкурентов и гениальный маркетинговый ход. Нет, речь не про рынок NGFW в России, а о шифровальщиках.
В прошлом году сразу два крупнейших игрока рынка шифровальщиков, ALPHV и LockBit, столкнулись с серьезными проблемами: спецслужбы серьезно обложили обе партнерки, вызвав сбои в их работе. Именно в этот момент на известном андеграундном форуме RAMP появился молодой и перспективный новичок. Совпадение? Не думаем
Исследователи из Group-IB выпустили отчет, где препарировали деятельность RansomHub за прошлый год. Группировка появилась в феврале и успела стать самой активной, атаковав более 600 организаций по всему миру.
Разрабатывать свой шифровальщик RansomHub поленились и на все том же Рампе купили готовый. По мнению исследователей, они приобрели софт, который ранее использовала группировка Cyclops (Knight).
Факты свидетельствуют о том, что RansomHub приобрёл и переименовал ресурсы Knight. Сходство между панелью партнёров, используемой RansomHub и Knight, пересекающиеся функции программ-вымогателей и общий код подтверждают эту теорию. Сообщается, что исходный код был выставлен на продажу на RAMP 18 февраля 2024 года.
Изначально казалось, что ни программа-вымогатель, ни панель аффилированных лиц не предлагали никаких новых функций по сравнению с теми, что наблюдались в других группах RaaS, которые были проанализированы нашей командой по анализу угроз. Однако 18 июля 2024 года koley, оператор RansomHub, анонсировал на форуме RAMP новую версию программы-вымогателя, которая могла удаленно шифровать данные по протоколу SFTP. Эта новая версия была анонсирована на форуме RAMP через несколько недель после того, как компании по обеспечению безопасности опубликовали отчеты об этой группе.