Российского основателя LockBit оценили в 0,2 Бен-Ладена
Европол, британская NCA и американцы обвиняют основателя рансом-группы LockBit из Воронежа ... ну, в том, что он занимался рансомом, организовал всю группу, создал вредоносное ПО и панель управления им, и даже участвовал в выбивании выкупов. Суммарно он заработал на вымогательстве около $100 млн и вообще вел себя очень плохо. Кстати, за информацию, которая приведет к его аресту, обещают $10 млн — это довольно круто. За Бен-Ладена в свое время обещали сначала 25, а потом 50 млн. С поправкой на инфляцию разница вообще будет совсем небольшой, это к слову о восприятии угрозы в США. Чисто для понимания масштаба, группировка получила на выкупах пол-ярда долларов.
Но самое интересное во всей этой истории не в розысках, наградах и прочем. Дело в том, что OFAC (Управление по контролю за иностранными активами Минфина США) наложил на него (и группировку) ряд санкций. Тут можно посмеяться, но для западных компаний выплаты за расшифровку теперь могут встать боком — придется выбирать между потерей данных и возможными проблемами с регулятором.
А так — очевидно, что мартовская операция Cronos, в ходе которой была выведена из строя часть инфраструктуры группировки, все же повлияла на ее деятельность. Вот только пока все это выглядит как "покос травы" — под удар попадают наиболее крупные и организованные команды. Сам же объем рынка ransom растет и будет расти.
Европол, британская NCA и американцы обвиняют основателя рансом-группы LockBit из Воронежа ... ну, в том, что он занимался рансомом, организовал всю группу, создал вредоносное ПО и панель управления им, и даже участвовал в выбивании выкупов. Суммарно он заработал на вымогательстве около $100 млн и вообще вел себя очень плохо. Кстати, за информацию, которая приведет к его аресту, обещают $10 млн — это довольно круто. За Бен-Ладена в свое время обещали сначала 25, а потом 50 млн. С поправкой на инфляцию разница вообще будет совсем небольшой, это к слову о восприятии угрозы в США. Чисто для понимания масштаба, группировка получила на выкупах пол-ярда долларов.
Но самое интересное во всей этой истории не в розысках, наградах и прочем. Дело в том, что OFAC (Управление по контролю за иностранными активами Минфина США) наложил на него (и группировку) ряд санкций. Тут можно посмеяться, но для западных компаний выплаты за расшифровку теперь могут встать боком — придется выбирать между потерей данных и возможными проблемами с регулятором.
А так — очевидно, что мартовская операция Cronos, в ходе которой была выведена из строя часть инфраструктуры группировки, все же повлияла на ее деятельность. Вот только пока все это выглядит как "покос травы" — под удар попадают наиболее крупные и организованные команды. Сам же объем рынка ransom растет и будет расти.
"Так безопасно?" №11: Отправляет ли Apple биометрические данные спецслужбам?
В современном рунете существует один популярный миф о конфиденциальности биометрических данных пользователей в знаменитых калифорнийских гаджетах. Связан он с постоянными заявлениями Apple о том, что биометрия пользователей надёжно защищена и даже сама компания не может получить к ней доступ. На что зачастую следует ирония в стиле «ха-ха, конечно же, Apple ничего не не хранит у себя и не отправляет спецслужбам, верим-верим».
Казалось бы, действительно, почему бы Apple не отправлять данные в облако, а по запросу и спецслужбам? Многие опасаются, что их данные утекут, а у специальных структур есть полный контроль над информацией в частном телефоне, в том числе и доступ к биометрии…
Но. Во-первых, даже если у спецслужб есть высланные им математические образы биометрии, то это никак не поможет разблокировать устройство, так как заключенный в условный txt-файл код не является изображением или ключем, это — набор символов и цифр. Расшифровать эти данные может только ключ, который находится внутри устройства.
Во-вторых, заявления компании Apple о том, что защищенные данные никогда не покидают устройство, коррелируют с многократными неудачными попытками взлома, в том числе со стороны ФБР и АНБ. Тратя сотни тысяч долларов, прибегая к помощи хакеров, они смогли взломать лишь один айфон.
Как? С помощью бага, который позволил перебирать всевозможные варианты код-пароля и в конечном итоге прийти к искомому результату. Для выявления этого бага понадобились не только большие деньги, но и команда израильских спецов с распайкой материнской платы самого телефона. После обнаружения бага, Apple, понятное дело, его оперативно исправила. Окно закрылось.
Кроме того, если бы биометрия/ключи хранились на облачных серверах, айфоны бы вскрывались через раз, так как получить доступ к облаку явно проще, чем к защищенной памяти телефона.
В-третьих, думаю никто не будет спорить, что айфон — это один из самых популярных телефонов на сегодняшний день. А значит его всесторонне изучают и анализируют далеко не первый год. Патчи безопасности анализируются «под микроскопом», изучаются уязвимости и баги. Тем не менее за всё это время так и не удалось обнаружить факт утечки данных биометрии куда бы то ни было. Потому что если бы это действительно случилось, то для Купертино всё обернулось бы огромным скандалом с миллионными, если не миллиардными убытками из-за тех же судебных исков. А главное — потерей репутации.
Все эти факты позволяют нам говорить, что Apple действительно не отправляет биометрию в облако. А издержки, которые могла бы понести Apple из-за обнаружения самого факта отправки биометрии, имели бы огромные последствия для компании.
#3side_так_безопасно
В современном рунете существует один популярный миф о конфиденциальности биометрических данных пользователей в знаменитых калифорнийских гаджетах. Связан он с постоянными заявлениями Apple о том, что биометрия пользователей надёжно защищена и даже сама компания не может получить к ней доступ. На что зачастую следует ирония в стиле «ха-ха, конечно же, Apple ничего не не хранит у себя и не отправляет спецслужбам, верим-верим».
Казалось бы, действительно, почему бы Apple не отправлять данные в облако, а по запросу и спецслужбам? Многие опасаются, что их данные утекут, а у специальных структур есть полный контроль над информацией в частном телефоне, в том числе и доступ к биометрии…
Но. Во-первых, даже если у спецслужб есть высланные им математические образы биометрии, то это никак не поможет разблокировать устройство, так как заключенный в условный txt-файл код не является изображением или ключем, это — набор символов и цифр. Расшифровать эти данные может только ключ, который находится внутри устройства.
Во-вторых, заявления компании Apple о том, что защищенные данные никогда не покидают устройство, коррелируют с многократными неудачными попытками взлома, в том числе со стороны ФБР и АНБ. Тратя сотни тысяч долларов, прибегая к помощи хакеров, они смогли взломать лишь один айфон.
Как? С помощью бага, который позволил перебирать всевозможные варианты код-пароля и в конечном итоге прийти к искомому результату. Для выявления этого бага понадобились не только большие деньги, но и команда израильских спецов с распайкой материнской платы самого телефона. После обнаружения бага, Apple, понятное дело, его оперативно исправила. Окно закрылось.
Кроме того, если бы биометрия/ключи хранились на облачных серверах, айфоны бы вскрывались через раз, так как получить доступ к облаку явно проще, чем к защищенной памяти телефона.
В-третьих, думаю никто не будет спорить, что айфон — это один из самых популярных телефонов на сегодняшний день. А значит его всесторонне изучают и анализируют далеко не первый год. Патчи безопасности анализируются «под микроскопом», изучаются уязвимости и баги. Тем не менее за всё это время так и не удалось обнаружить факт утечки данных биометрии куда бы то ни было. Потому что если бы это действительно случилось, то для Купертино всё обернулось бы огромным скандалом с миллионными, если не миллиардными убытками из-за тех же судебных исков. А главное — потерей репутации.
Все эти факты позволяют нам говорить, что Apple действительно не отправляет биометрию в облако. А издержки, которые могла бы понести Apple из-за обнаружения самого факта отправки биометрии, имели бы огромные последствия для компании.
#3side_так_безопасно
SEQuest — конкурс по социальной инженерии!
На фестивале кибербезопасности PHDays я организую первый конкурс по социальной инженерии — SEQuest (Social Engineering Quest). Он будет проходить только офлайн, в Лужниках, с 23 по 26 мая, во все дни фестиваля.
Конкурс, вдохновленный произведениями Кевина Митника. Впервые соревнование по soft skills, которыми пользуются мошенники при атаках методом социальной инженерии. Если вы хотите на время почувствовать себя киберпреступником и «поломать» людей, а также манипулировать организаторами фестиваля, то этот конкурс для вас! Никаких технических навыков не требуется, вход свободный.
Более подробную информацию о заданиях, правилах и наградах вы найдёте в официальном чате конкурса, ссылку на него опубликуем перед стартом.
Приходите, будет очень интересно!
На фестивале кибербезопасности PHDays я организую первый конкурс по социальной инженерии — SEQuest (Social Engineering Quest). Он будет проходить только офлайн, в Лужниках, с 23 по 26 мая, во все дни фестиваля.
Конкурс, вдохновленный произведениями Кевина Митника. Впервые соревнование по soft skills, которыми пользуются мошенники при атаках методом социальной инженерии. Если вы хотите на время почувствовать себя киберпреступником и «поломать» людей, а также манипулировать организаторами фестиваля, то этот конкурс для вас! Никаких технических навыков не требуется, вход свободный.
Более подробную информацию о заданиях, правилах и наградах вы найдёте в официальном чате конкурса, ссылку на него опубликуем перед стартом.
Приходите, будет очень интересно!
phdays.com
Positive Hack Days
An international cyberfestival for those who want to dive into the world of cybersecurity and have a great time
Forwarded from Positive Hack Days Media
This media is not supported in your browser
VIEW IN TELEGRAM
На киберфестивале Positive Hack Days 2 мы предложим вам взломать нас 😏
Да, это не шутка. Мы проведем SEQuest — конкурс, в котором любой желающий сможет без последствий попробовать себя в роли хакера и проверить свои скилы в социальной инженерии. Ну а за успешное выполнение заданий мы щедро наградим участников.
😏 Что нужно будет сделать
Если коротко — выполнить семь заданий с разным уровнем сложности незаметно для организаторов, то есть нас. Вот они:
1. Изготовить копию бейджа организатора на свое имя.
2. На стойке регистрации получить настоящий бейдж организатора на свое имя.
3. Сделать футболку организатора или принести оригинальную.
4. Получить доступ к громкой связи мероприятия.
5. Получить уникальный стикер из штаба конференции.
6. Пройти в штаб организаторов и узнать пароль от Wi-Fi.
7. Получить доступ к прилавку с мерчем фестиваля.
Безусловно, есть базовые запреты: нельзя физически воздействовать на организаторов и входить с ними в умышленный сговор.
Безусловно, есть базовые разрешения: вы можете манипулятивно воздействовать на организаторов и вводить их в заблуждение, но исключительно для выполнения заданий конкурса.
😮 Как принять участие
Расписаться на стенде конкурса и получить полные правила (подробности — на сайте). Перед началом конкурса его организатор Антон Бочкарев, основатель «Третьей стороны», проведет базовый экскурс в социальную инженерию, который поможет участникам. Ну а дальше — дело за вами.
За решения заданий вы будете получать баллы, а те, кто займут призовые места, — получат мерч профи социальной инженерии. Ждем вас и не желаем удачи🤓
@PHDays
Да, это не шутка. Мы проведем SEQuest — конкурс, в котором любой желающий сможет без последствий попробовать себя в роли хакера и проверить свои скилы в социальной инженерии. Ну а за успешное выполнение заданий мы щедро наградим участников.
Если коротко — выполнить семь заданий с разным уровнем сложности незаметно для организаторов, то есть нас. Вот они:
1. Изготовить копию бейджа организатора на свое имя.
2. На стойке регистрации получить настоящий бейдж организатора на свое имя.
3. Сделать футболку организатора или принести оригинальную.
4. Получить доступ к громкой связи мероприятия.
5. Получить уникальный стикер из штаба конференции.
6. Пройти в штаб организаторов и узнать пароль от Wi-Fi.
7. Получить доступ к прилавку с мерчем фестиваля.
Безусловно, есть базовые запреты: нельзя физически воздействовать на организаторов и входить с ними в умышленный сговор.
Безусловно, есть базовые разрешения: вы можете манипулятивно воздействовать на организаторов и вводить их в заблуждение, но исключительно для выполнения заданий конкурса.
Расписаться на стенде конкурса и получить полные правила (подробности — на сайте). Перед началом конкурса его организатор Антон Бочкарев, основатель «Третьей стороны», проведет базовый экскурс в социальную инженерию, который поможет участникам. Ну а дальше — дело за вами.
За решения заданий вы будете получать баллы, а те, кто займут призовые места, — получат мерч профи социальной инженерии. Ждем вас и не желаем удачи
@PHDays
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем привет!
Сегодня - день российского предпринимателя! Поздравляем всех коллег и причастных, желаем успехов, адекватных контрагентов и всего самого наилучшего! А еще возможности не отвлекаться от своего дела на проблемы кибербеза. А если все таки приходится - всегда есть мы)
P.S. Команда 3side заканчивает сегодня свою работу на phdays и возвращается в обычный режим. Про фестиваль мы еще напишем, но пока это вау!
Сегодня - день российского предпринимателя! Поздравляем всех коллег и причастных, желаем успехов, адекватных контрагентов и всего самого наилучшего! А еще возможности не отвлекаться от своего дела на проблемы кибербеза. А если все таки приходится - всегда есть мы)
P.S. Команда 3side заканчивает сегодня свою работу на phdays и возвращается в обычный режим. Про фестиваль мы еще напишем, но пока это вау!
TGStat ответственнее Telegram
Помните вот этот пост и статью на Habr, о том, что некоторые возможности Telegram позволяют очень эффективно проводить фишинг в мессенджере?
В качестве примера, в этой статье я продемонстрировал перехват аккаунта на популярном сайте аналитики для Telegram-каналов TGstat. Тогда я осознанно не высказывал никаких претензий к создателям сайта, ведь как по мне, основной фикс должен был быть на стороне мессенджера, а сайт использовал лишь не совсем безопасные функции.
Но Telegram отказались что-либо исправлять и вводить дополнительные меры защиты.
А вот TGstat отреагировали на статью! И теперь их бот высвечивает предупреждение, указывает имя аккаунта, под которым происходит вход, чтобы пользователь точно знал, что происходит. А также бот требует не только переход по ссылке, как раньше, но и нажатия кнопки внутри него.
Это значительно усложняет фишинг, команде TGstat мое большое уважение! Они оказались ответственнее, чем мессенджер, который постоянно трубит, что безопасность - его главный приоритет.
Помните вот этот пост и статью на Habr, о том, что некоторые возможности Telegram позволяют очень эффективно проводить фишинг в мессенджере?
В качестве примера, в этой статье я продемонстрировал перехват аккаунта на популярном сайте аналитики для Telegram-каналов TGstat. Тогда я осознанно не высказывал никаких претензий к создателям сайта, ведь как по мне, основной фикс должен был быть на стороне мессенджера, а сайт использовал лишь не совсем безопасные функции.
Но Telegram отказались что-либо исправлять и вводить дополнительные меры защиты.
А вот TGstat отреагировали на статью! И теперь их бот высвечивает предупреждение, указывает имя аккаунта, под которым происходит вход, чтобы пользователь точно знал, что происходит. А также бот требует не только переход по ссылке, как раньше, но и нажатия кнопки внутри него.
Это значительно усложняет фишинг, команде TGstat мое большое уважение! Они оказались ответственнее, чем мессенджер, который постоянно трубит, что безопасность - его главный приоритет.
Media is too big
VIEW IN TELEGRAM
Как за 10 лет киберкриминал создал разумный и эффективный рынок нелегальных услуг?
Прочитали тут небольшую гостевую лекцию для одного чудесного ВУЗа. О том, какие бывают хакеры, что такое RAAS, как работает криминальная индустрия и что со всем этим делать. Постарались достаточно коротко и интересно. Ну, и немного про актуальную повестку)
Прочитали тут небольшую гостевую лекцию для одного чудесного ВУЗа. О том, какие бывают хакеры, что такое RAAS, как работает криминальная индустрия и что со всем этим делать. Постарались достаточно коротко и интересно. Ну, и немного про актуальную повестку)
Отвечавшего за ИБ экс-заместителя губернатора Смоленской области мошенники развели на 6,5 млн рублей
В этой новости "прекрасно" все. Но мы скорее бы хотели подчеркнуть одну вещь — если сейчас "топов" и прочих ЛПР разводят скорее ради денег, то скорее они могут стать вполне привычным вектором атаки на бизнес. Если не на инфраструктуру, то на критические процессы внутри компании. И осталось до этого момента год-два.
Почему даже связанные с ИБ люди становятся жертвами атак? Да тут много причин — и "правило 7%", и просто человеческая природа. Тем более, безопасники могут быть особенно подвержены эффекту сверхуверенности, что раз мы понимаем что это и как работает, то на нас уж оно точно не сработает! На деле, же все иначе чем больше этот эффект проявлен у человека, тем выше вероятность того, что он станет жертвой мошенника.
Почему? Он будет нечувствителен к контексту. Одно из проявлений такого эффекта: опытные водители в два раза чаще попадают в аварии по сравнению с теми, кто имеет более низкий стаж и возраст. Опытные пловцы чаще тонут. Здесь та же самая история.
В этой новости "прекрасно" все. Но мы скорее бы хотели подчеркнуть одну вещь — если сейчас "топов" и прочих ЛПР разводят скорее ради денег, то скорее они могут стать вполне привычным вектором атаки на бизнес. Если не на инфраструктуру, то на критические процессы внутри компании. И осталось до этого момента год-два.
Почему даже связанные с ИБ люди становятся жертвами атак? Да тут много причин — и "правило 7%", и просто человеческая природа. Тем более, безопасники могут быть особенно подвержены эффекту сверхуверенности, что раз мы понимаем что это и как работает, то на нас уж оно точно не сработает! На деле, же все иначе чем больше этот эффект проявлен у человека, тем выше вероятность того, что он станет жертвой мошенника.
Почему? Он будет нечувствителен к контексту. Одно из проявлений такого эффекта: опытные водители в два раза чаще попадают в аварии по сравнению с теми, кто имеет более низкий стаж и возраст. Опытные пловцы чаще тонут. Здесь та же самая история.
Forwarded from Positive Development Community
Есть ли DevSecOps в Самаре? На Positive Tech Day 18 июня он точно появится! 🙂
В Самаре впервые пройдет конференция Positive Tech Day от Positive Technologies, на которой соберутся топовые эксперты компании по безопасной разработке — они выступят на треке «DevSecOps на Волге», где расскажут об Application Security.
Так что если у вас еще не было планов на июнь — сохраняйте дату, приходите бесплатно послушать доклады и задать вопросы! Будет полезно как новичкам, так и тем, что уже давно в теме.
🤔 На «DevSecOps на Волге» вы узнаете:
• из чего состоит практика безопасной разработки и как ее внедрить;
• как защитить конвейер CI/CD и ничего не испортить;
• как выбирать и применять AppSec-инструменты;
• как выстроить взаимодействие между людьми, чтобы DevSecOps работал.
Участие бесплатное по предварительной регистрации.
В Самаре впервые пройдет конференция Positive Tech Day от Positive Technologies, на которой соберутся топовые эксперты компании по безопасной разработке — они выступят на треке «DevSecOps на Волге», где расскажут об Application Security.
Так что если у вас еще не было планов на июнь — сохраняйте дату, приходите бесплатно послушать доклады и задать вопросы! Будет полезно как новичкам, так и тем, что уже давно в теме.
🤔 На «DevSecOps на Волге» вы узнаете:
• из чего состоит практика безопасной разработки и как ее внедрить;
• как защитить конвейер CI/CD и ничего не испортить;
• как выбирать и применять AppSec-инструменты;
• как выстроить взаимодействие между людьми, чтобы DevSecOps работал.
Участие бесплатное по предварительной регистрации.
SEQuest - социальный redteam фестиваля PHDays!
Мы это сделали! Первый конкурс по социальной инженерии в истории PHDays, да и любых конференций по кибербезопасности. Крутых технических конкурсов всегда было достаточно, как и в этом году — $natch. AI CTF, Web3 Hack, IDS Bypass и легендарная 2drunk2hack. Но раньше не было ни одного ИБ-шного конкурса, где бы не требовались бы технические навыки.
Есть такая штука — социотехническое тестирование, в котором большую роль играет социальная инженерия. Идея была в том, чтобы оценить "устойчивость" организации к попыткам не технологических, а социальных атак.
Почему мы называем это redteam? Потому что это и был классический redteam — противодействие нашим участникам со стороны организаторов фестиваля было полностью настоящим, а скрытность давала преимущества. А после сдачи каждого задания, сторону защиты оперативно информировали и дообучали.
Делать что-то впервые всегда особенно сложно. Например, мы пытались предугадать, сколько же будет участников? Думали 30-40 человек, оказалось более 200!
Думали, что хотя бы одно задание решит человек 10, на деле их было более 30. Одни задания мы считали более сложными, чем другие, но в реальности все было ровно наоборот.
В итоге, все задания были решены, но ни один участник не решил их все! Правила в ходе конкурса старались дополнять по-минимуму, бОльшую часть узких мест они закрывали и в первоначальной редакции, добавлялись лишь нюансы, хоть и важные. С верификацией решений тоже вышло все прозрачно, хоть и из-за количества участников у стенда регулярно набиралась очередь.
Обратная связь от участников и комьюнити получилась шикарная, конкурс и ожидаемо привлёк к себе внимание и получил восторженные отзывы. В целом можем сказать, что первый блин ну точно не комом, хотя нам совершенно точно есть куда расти и есть над чем работать.
От себя хотим сказать огромное спасибо организаторам фестиваля за терпение и поддержку, участникам за участие, волонтерам за помощь и всем причастным просто за то, что вы есть! А подробный разбор заданий, и способов успешного их решения участниками будет в отдельной статье!
Мы это сделали! Первый конкурс по социальной инженерии в истории PHDays, да и любых конференций по кибербезопасности. Крутых технических конкурсов всегда было достаточно, как и в этом году — $natch. AI CTF, Web3 Hack, IDS Bypass и легендарная 2drunk2hack. Но раньше не было ни одного ИБ-шного конкурса, где бы не требовались бы технические навыки.
Есть такая штука — социотехническое тестирование, в котором большую роль играет социальная инженерия. Идея была в том, чтобы оценить "устойчивость" организации к попыткам не технологических, а социальных атак.
Почему мы называем это redteam? Потому что это и был классический redteam — противодействие нашим участникам со стороны организаторов фестиваля было полностью настоящим, а скрытность давала преимущества. А после сдачи каждого задания, сторону защиты оперативно информировали и дообучали.
Делать что-то впервые всегда особенно сложно. Например, мы пытались предугадать, сколько же будет участников? Думали 30-40 человек, оказалось более 200!
Думали, что хотя бы одно задание решит человек 10, на деле их было более 30. Одни задания мы считали более сложными, чем другие, но в реальности все было ровно наоборот.
В итоге, все задания были решены, но ни один участник не решил их все! Правила в ходе конкурса старались дополнять по-минимуму, бОльшую часть узких мест они закрывали и в первоначальной редакции, добавлялись лишь нюансы, хоть и важные. С верификацией решений тоже вышло все прозрачно, хоть и из-за количества участников у стенда регулярно набиралась очередь.
Обратная связь от участников и комьюнити получилась шикарная, конкурс и ожидаемо привлёк к себе внимание и получил восторженные отзывы. В целом можем сказать, что первый блин ну точно не комом, хотя нам совершенно точно есть куда расти и есть над чем работать.
От себя хотим сказать огромное спасибо организаторам фестиваля за терпение и поддержку, участникам за участие, волонтерам за помощь и всем причастным просто за то, что вы есть! А подробный разбор заданий, и способов успешного их решения участниками будет в отдельной статье!
3side кибербезопасности pinned «FAQ о канале Уважаемые подписчики, вас стало уже достаточно много, и большинство из вас не застали становление нашего канала. Поэтому у многих возникают закономерные вопросы: - Что это за канал? Это корпоративный канал компании по кибербезопасности 3side…»
Шифровальный блицкриг - захват сети за 2 дня
Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы:
- количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО
- в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права.
- В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи.
- бум шифровальщиков начался после 2019 года, количество утечек резко возросло в 2023 году.
- с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует.
- 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток.
А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу.
Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно.
Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.
Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы:
- количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО
- в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права.
- В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи.
- бум шифровальщиков начался после 2019 года, количество утечек резко возросло в 2023 году.
- с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует.
- 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток.
А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу.
Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно.
Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.
Google Cloud Blog
Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools | Google Cloud…
We observed a notable increase in ransomware activity in 2023.
Обнаруженная критическая уязвимость в VEEAM снова показывает, что возможно все.
Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта:
1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут.
2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код!
3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака.
И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе.
Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни.
А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.
Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта:
1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут.
2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код!
3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака.
И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе.
Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни.
А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.
Telegram
SecAtor
Подкатил PoC-эксплойт для критической уязвимости обхода аутентификации для решения по управлению резервным копированием и восстановлением Veeam Backup Enterprise Manager (VBEM).
CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию…
CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию…
Forwarded from KazDevOps
16 июля в 19:00 по Алматы вы погрузитесь в тему Serverless и на практике узнаете возможности бессерверной архитектуры.
👉 Регистрируйтесь здесь
Ссылку пришлем в день вебинара. Поделитесь с коллегами и приходите сами. До встречи 🤝
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
"Так безопасно?" №12: Как войти в кибербезопасность? Часть 2.
В предыдущей части я рассказывал о том, как научиться тому, что поможет вам работать в сфере кибербезопасности. В этом посте мы обсудим нюансы и ограничения, которые накладывает эта область.
Кибербезопасность — это сфера, где особое внимание уделяется репутации специалистов. Фактически, это люди, которым доступны все секреты компании и максимальные права и привилегии в инфраструктуре. Такой высокий уровень доверия можно заслужить только при наличии безупречной репутации и биографии. Это касается всех, от инженера по безопасности в крупном банке до специалиста по анализу защищённости в компании-подрядчике.
Мы, Третья сторона, не исключение. Мы тщательно проверяем репутацию и биографию наших исполнителей, иногда даже более тщательно, чем в банках и компаниях, занимающихся информационной безопасностью. Это связано с тем, что потенциальный репутационный ущерб в нашем случае может быть особенно значительным. Ведь мы стартап, и цена ошибки на старте выше.
Что может помешать вам получить работу в сфере кибербезопасности? На какие “красные флаги” обращают внимание компании при рассмотрении кандидатов?
1. Судимости. Люди с судимостями считаются менее надёжными, чем остальные. Считается, что если человек однажды переступил закон, то он может сделать это снова, если представится удобный случай. С подозрением также относятся к административным правонарушениям, особенно если они связаны с политикой. Даже если компания не интересуется политическими взглядами своих сотрудников, подобные случаи могут указывать на импульсивность и несерьёзность.
2. Участие в киберпреступлениях, продажа баз данных и данных платёжных карт на форумах, объявления о криминальных услугах, хактивизм. Как и в первом пункте, хоть и без уголовного дела, это может свидетельствовать о возможном повторном нарушении закона, отсутствии моральных принципов, ненадёжности и несерьёзности. Сейчас не начало 2000-х, когда репутация «чёрной шляпы» считалась бонусом при приёме на работу. Сейчас единичный «чёрный» эпизод может навсегда закрыть вам путь на легальную сторону!
3. Зависимости: наркотики, включая лёгкие, азартные игры, злоупотребление алкоголем. Человек с зависимостями ненадёжен, особенно если его зависимости заметны. В таком случае он, вероятно, уже начинает терять контроль над своей жизнью, а это недопустимо для работы в нашей сфере.
4. Крупные долги и банкротство. Обычно это указывает на зависимости или проблемы с законом. Если такая ситуация уже в прошлом и произошла не из-за вышеперечисленных причин, стоит объяснить это на собеседовании.
Добавлю, что ситуация не так строга, как может показаться. Например, нарушения правил дорожного движения обычно не вызывают большого внимания, как и административные правонарушения, связанные с распитием алкоголя в публичных местах.
Прежде чем начать свой путь в кибербезопасности, важно понимать, что здесь легко потерять свою карьеру. Негативная информация на нашем небольшом рынке распространяется быстро. Что же делают специалисты в таких случаях?
Я лично не знаю таких случаев, но слышал, что некоторые специалисты переходят в IT, где требования к репутации и биографии не так строги. Они становятся разработчиками или системными администраторами.
В следующей части я расскажу вам о специализациях «атакующей» и «защищающей» сторон, управлении в области кибербезопасности и исследовательских направлениях!
#3side_так_безопасно
В предыдущей части я рассказывал о том, как научиться тому, что поможет вам работать в сфере кибербезопасности. В этом посте мы обсудим нюансы и ограничения, которые накладывает эта область.
Кибербезопасность — это сфера, где особое внимание уделяется репутации специалистов. Фактически, это люди, которым доступны все секреты компании и максимальные права и привилегии в инфраструктуре. Такой высокий уровень доверия можно заслужить только при наличии безупречной репутации и биографии. Это касается всех, от инженера по безопасности в крупном банке до специалиста по анализу защищённости в компании-подрядчике.
Мы, Третья сторона, не исключение. Мы тщательно проверяем репутацию и биографию наших исполнителей, иногда даже более тщательно, чем в банках и компаниях, занимающихся информационной безопасностью. Это связано с тем, что потенциальный репутационный ущерб в нашем случае может быть особенно значительным. Ведь мы стартап, и цена ошибки на старте выше.
Что может помешать вам получить работу в сфере кибербезопасности? На какие “красные флаги” обращают внимание компании при рассмотрении кандидатов?
1. Судимости. Люди с судимостями считаются менее надёжными, чем остальные. Считается, что если человек однажды переступил закон, то он может сделать это снова, если представится удобный случай. С подозрением также относятся к административным правонарушениям, особенно если они связаны с политикой. Даже если компания не интересуется политическими взглядами своих сотрудников, подобные случаи могут указывать на импульсивность и несерьёзность.
2. Участие в киберпреступлениях, продажа баз данных и данных платёжных карт на форумах, объявления о криминальных услугах, хактивизм. Как и в первом пункте, хоть и без уголовного дела, это может свидетельствовать о возможном повторном нарушении закона, отсутствии моральных принципов, ненадёжности и несерьёзности. Сейчас не начало 2000-х, когда репутация «чёрной шляпы» считалась бонусом при приёме на работу. Сейчас единичный «чёрный» эпизод может навсегда закрыть вам путь на легальную сторону!
3. Зависимости: наркотики, включая лёгкие, азартные игры, злоупотребление алкоголем. Человек с зависимостями ненадёжен, особенно если его зависимости заметны. В таком случае он, вероятно, уже начинает терять контроль над своей жизнью, а это недопустимо для работы в нашей сфере.
4. Крупные долги и банкротство. Обычно это указывает на зависимости или проблемы с законом. Если такая ситуация уже в прошлом и произошла не из-за вышеперечисленных причин, стоит объяснить это на собеседовании.
Добавлю, что ситуация не так строга, как может показаться. Например, нарушения правил дорожного движения обычно не вызывают большого внимания, как и административные правонарушения, связанные с распитием алкоголя в публичных местах.
Прежде чем начать свой путь в кибербезопасности, важно понимать, что здесь легко потерять свою карьеру. Негативная информация на нашем небольшом рынке распространяется быстро. Что же делают специалисты в таких случаях?
Я лично не знаю таких случаев, но слышал, что некоторые специалисты переходят в IT, где требования к репутации и биографии не так строги. Они становятся разработчиками или системными администраторами.
В следующей части я расскажу вам о специализациях «атакующей» и «защищающей» сторон, управлении в области кибербезопасности и исследовательских направлениях!
#3side_так_безопасно
Telegram
3side кибербезопасности
"Так безопасно?" №10: Как войти в кибербезопасность? Часть 1.
Молодые специалисты из смежных областей, студенты и даже школьники часто задают мне вопрос о том, как войти в сферу кибербезопасности.
Я бы хотел прояснить свою позицию по этому вопросу, но прежде…
Молодые специалисты из смежных областей, студенты и даже школьники часто задают мне вопрос о том, как войти в сферу кибербезопасности.
Я бы хотел прояснить свою позицию по этому вопросу, но прежде…
Отличный разбор решения заданий SEQuest от нашего финалиста!
Он сделал упор на осторожную и скрытную тактику, за что ему большое уважение от организаторов)
Он сделал упор на осторожную и скрытную тактику, за что ему большое уважение от организаторов)
Forwarded from АйТи_НеОчень
#PHDays Fest 2 По многочисленным просьбам (не шутка) выкладываю writeup, райтап, он же описание прохождение квеста SEQuest.
Спасибо парням из @By3side за организацию (и лично @Bam_hack). Будет круто, если #СИ станет постоянной дисциплиной на PHD.
https://telegra.ph/PHDays-Fest-2-Prohozhdenie-SEQuest-06-23
Спасибо парням из @By3side за организацию (и лично @Bam_hack). Будет круто, если #СИ станет постоянной дисциплиной на PHD.
https://telegra.ph/PHDays-Fest-2-Prohozhdenie-SEQuest-06-23
Telegraph
PHDays Fest 2 Прохождение SEQuest
Пролог В этом году PHD проходил целых 4 дня с 23 по 26 мая. В качестве площадки организаторы выбрали территорию Лужников, учтя опыт предыдущего года. В результате всем было чем и где заняться, никто не толкался спинами, можно было и поговорить, и поиграть.…
Любой человек уязвим
Этот тезис не преувеличение, и вот еще одно ему доказательство. Сотрудник прокуратуры, который в 2015 году рассказывал про то, как избежать мошенничества, продал свою Audi Q7 и перевел все свои накопления мошенникам. Они просто ему звонили от имени разных служб, перебирая таким образом сценарии. Самым успешным оказался звонок от "РосФинМониторинга".
Мы все ждем когда какого-либо известного коллегу из кибербезопасности разведут, чтоб закрепить мой тезис. Надеюсь журналисты и это не упустят и подсветят!
Этот тезис не преувеличение, и вот еще одно ему доказательство. Сотрудник прокуратуры, который в 2015 году рассказывал про то, как избежать мошенничества, продал свою Audi Q7 и перевел все свои накопления мошенникам. Они просто ему звонили от имени разных служб, перебирая таким образом сценарии. Самым успешным оказался звонок от "РосФинМониторинга".
Мы все ждем когда какого-либо известного коллегу из кибербезопасности разведут, чтоб закрепить мой тезис. Надеюсь журналисты и это не упустят и подсветят!
Telegram
Baza
Бывший высокопоставленный прокурор продал машину и отдал все накопления по указу мошенников — в общем счете он перевел им 20 миллионов рублей. В 2015 году он рассказывал в СМИ, как избежать мошенничества.
Экс-начальнику управления по надзору за соблюдением…
Экс-начальнику управления по надзору за соблюдением…
И любая система уязвима
Ransomware-группировка Lockbit, разгром инфраструктуры которой недавно устроило ФБР, не планирует распадаться.
Чуть более чем через 2 часа они опубликуют первую порцию из 33 терабайт данных, украденных из Федеральной резервной системы США (ФРС США). Это важнейшая банковская структура страны.
Если данные не окажутся фейком, то после такой «ответки» от киберкриминала ФБР явно не будет выглядеть победителями. Ждем начало следующего раунда противостояния!
UPD. Таймер достиг нуля, данные оказались не ФРС, а BaaS провайдера Evolve Bank & Trust. «Ответка» не удалась.
Ransomware-группировка Lockbit, разгром инфраструктуры которой недавно устроило ФБР, не планирует распадаться.
Чуть более чем через 2 часа они опубликуют первую порцию из 33 терабайт данных, украденных из Федеральной резервной системы США (ФРС США). Это важнейшая банковская структура страны.
Если данные не окажутся фейком, то после такой «ответки» от киберкриминала ФБР явно не будет выглядеть победителями. Ждем начало следующего раунда противостояния!
UPD. Таймер достиг нуля, данные оказались не ФРС, а BaaS провайдера Evolve Bank & Trust. «Ответка» не удалась.