Совбез на Инфофоруме заявил о 200 тыс. кибератак на информационную инфраструктуру РФ в 2023 г.
🔣 "из них" на Новосибирскую область - 150 тысяч (по данным новосибирского Минцифры на их коллегии)
🔣 "из них" 60 тысяч на всю отрасль транспорта (по данным Совбеза с Инфофорума)
🔣 "из них" на РЖД (часть транспортной отрасли) - 4,8 миллиона (по данным РЖД с Инфофорума)
🔣 "из них" на Госуслуги - 600 миллионов (по данным вице-президента Ростелекома на Дне госуслуг прекрасное название мероприятия).
Мне кажется, что наши госструктуры и госкомпании, которых хлебом не корми, но дай поучаствовать в рейтингах и занять там призовые места, в вопросах отчетности по кибератакам ориентируются на Польшу, в которой есть такая пословица - "Дела как в Польше, - тот пан, у кого лингам больше"! Но Ростелеком всех обскакал 🖕🖕
Есть хорошие технологии, которые отдельные несознательные лица начинают продвигать как вредные и опасные. Так РКН, под соусом борьбы с экстремизмом и вообще, активно блокирует VPN ⛔️ и будет эту деятельность к выборам только усиливать, не думая особо о последствиях. Это корпоративные заказчики могут отправить в РКН список своих адресов, использующих VPN, которые блокировать не надо. А что делать рядовым гражданам, которые используют VPN для обеспечения своей конфиденциальности? 🔐
А есть прямо противоположная история, когда опасные технологии начинают использовать во благо. Например, как делают некоторые банки 🏦, которые скрывают свой функционал внутри другого приложения. И основной функционал запускается только при определенных условиях, например, при работе с российских IP. По сути речь идет о классических троянах 🐴, но с благой целью, - дать россиянам пользоваться заблокированными в магазинах приложений банковскими клиентами.
И все вроде хорошо, но высока вероятность, что то, что сейчас делают подсанкционные банки вернется в сторону злоумышленников, которые возьмут эти подходы на вооружение 🤒 и начнут предлагать гражданам "новую версию заблокированного приложения". И так как граждане привыкнут, что приложения не те, какими кажутся с начала, это приведет к очередному витку кибермошенничества 🤒
А модели угроз строятся достаточно сложные. Вот это, например, модель для автономного транспорта. Сам автомобиль 🚗 в самом левом краю в виде одной иконки, а все остальное - это облачная 😶🌫️ инфраструктура, стоящая за ним, с компонентами и информационными потоками между ними.
В принципе, все тоже самое, и правда, можно в Visio или его бесплатных аналогах сделать. Но... Сила готовых сервисов в заложенной базу знаний, когда для каждого компонента уже включены угрозы для него и защитные меры. А еще база готовых шаблонов, чтобы было от чего отталкиваться, создавая свою модель. И этого прям не хватает в том же сервисе ФСТЭК, который уже больше года в режиме опытной эксплуатации. Там все сам, все сам...
Очередной обзор от Recorded Future. На этот раз про C2-инфраструктуры 🤒 злоумышленников, позволяющие усложнить их атрибуцию 🤒 и скрыть их местонахождение. Тут вам и тренды, используемые при создании инфраструктуры для управления атаками, в том числе и на базе легитимных Интернет-сервисов, и наблюдения за C2 основных врагов Америки (да, как обычно, Россия, Китай, Иран и Северная Корея), а также рекомендации по защите организаций и обнаружению C2-инфраструктур 🛡
Читать полностью…Estée Lauder опубликовал годовой отчет, в котором привел данные по потерям от инцидента 🤒 произошедшего в июле 2023-го года. Ущерб за прошлый год составил 🔤🔤🔤 миллионов долларов и включает в себя затраты на реструктуризацию и иные расходы, снижение стоимости нематериальных активов, а также снижение стоимости опционов на акции 📉. Интересно, что они явно не выделают дополнительные инвестиции в ИБ, затраты на расследование и т.п. Видимо это попадает у них в "иные расходы". Оборот Estée Lauder за второе полугодие составил 7,8 миллиарда долларов; то есть ущерб от инцидента составил почти 3️⃣🔣 полугодового оборота.
Читать полностью…А вот эта пузырьковая диаграмма из отчета Chainalysis нам позволяет в очередной взглянуть на деятельность киберпреступников с бизнесовой точки зрения. Перед какой дилеммой обычно стоят компании, продающие свои товары потребителю? Как выставить цену такой, чтобы она была не очень маленькой, но при этом позволяла бы иметь большую клиентскую базу? То есть нужно искать все время баланс 🪙 - делаешь цену на продукт/услугу высокой и число клиентов снижается, делаешь очень низкой и число покупателей растет, но доходы растут не так, как хотелось бы.
Вот и у шифровальщиков 🤒 та же задача - выставить такой сумму выкупа, чтобы жертвы не отказались платить. Возьмем Phobos - размеры выкупа у них мизерные, но зато и вероятность получения выкупа у них стремится 📈 к единице, то есть 100%. Помаленьку, но они зарабатывают себя на хлеб (уж не знаю, с маслом ли). Но чтобы иметь высокий годовой доход Phobos надо иметь оооочень много жертв. На другой стороне у нас находится omega - высокие суммы выкупа и низкая вероятность его получения. Наиболее грамотные с бизнесовой точки зрения операторы шифровальщиков в 2023-м году 🤒 - ALPHV/Blackcat, Clop, Play, LockBit, BlackBasta, Royal, Ransomhouse и Dark Angels. У них и средняя сумма выкупа высока и вероятность его получения тоже выше 0,5 (исключая cl0p, у которого выкуп гораздо больше других). Лидером по всем показателям является ALPHV/Blackcat.
В реальности все еще гораздо сложнее. Нужно не только искать баланс по цене, но и учитывать платежеспособность 🤒 потенциальной жертвы. Иногда проще поставить конский ценник и получить его один раз, чем получать по копейке с тысяч жертв. Больше затрат на операционку уходит, на взаимодействие с жертвами, на закупки трафика и т.п. И все это надо учитывать в своей бизнес-модели 🤑
Если вы еще используете у себя на периметре Cisco ASA/FTD с включенной функцией SSL VPN, то обновитесь. Шифровальщики Akira и Lockbit сейчас активно эксплуатируют уязвимые средства защиты Cisco.
Читать полностью…Отчетами по шифровальщикам 🤒 уже никого не удивить и новый от Record Future не стал сенсацией, хотя в нем и приводятся некие аналитические выкладки по тому, какие уязвимости чаще всего используют шифровальщики, какие шаблоны поведения или фокус в атакуемом ПО им присущи 👿
Но проблема отчета в том, что он попытался оценить тренд за 7 лет, с 2017 по 2023 годы, и это портит всю картину с практической точки зрения. У шифровальщиков 🤒 каждый год что-то меняется, вплоть до используемых техник, и дольше пары лет такое ВПО обычно не живет. Поэтому анализировать технические детали на уровне конкретных CVE и CWE на таком интервале смысла большого нет. Но как еще один отчет в копилку, почему бы и нет... 😴
Приятно, что читают и изменяют политику ИБ к лучшему. Так, общими усилиями, усилим ИБ в стране 💪 Также спасибо подписчику, кто держит в курсе 🤝
Читать полностью…Спецслужбы альянса "Пяти глаз" (США, Канада, Великобритания, Австралия и Новая Зеландия) выпустили очень детальный отчет по деятельности китайской 🇨🇳 группировки Volt Typhoon, также известной как Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite и Insidious Taurus. Судя по участвовавшим в выпуске бюллетеня министерствам США, под раздачу китайцев попали организации из сферы ТЭК, водоснабжения и транспорта, а также коммуникаций. Группировку считают прогосударственной 👲
Это было бы не так интересно, если бы не один момент. Судя по тому, что мы наблюдаем 👀 в рамках расследований, российские 🇷🇺 организации нередко атакуются и китайцами, что требует изучения техник и тактик последних. Поэтому данный отчет вполне релевантен и для наших организаций. Особенно с учетом того, что по данным американских 🇺🇸 спецслужб китайцы сидели в критической инфраструктуре США 5️⃣ (☝️!) долбанных лет, оставаясь незамеченными.
Тоже возможно и у нас и это не предположение. Я тут выступал в одной государственной организации 🏛 и потом в кулуарах коллеги признались, что только внедрив у себя средство мониторинга сетевых аномалий они совершенно случайно наткнулись на сидящих у них хакеров из Поднебесной. Кстати, одной из техник Volt Typhoon является использование Zero Day в Fortinet, а продукция этой компании достаточно активно 🤒 до сих пор используется российскими госорганами. Так что, как пелось в песне "Если у вас нету тети", "думайте сами, решайте сами" читать или не читать!
ЗЫ. Кстати, с китайским Новым годом!
Тут на днях я давал комментарий про очередную схему мошенников для "Авторадио" 📻. Кто-то опять перевел денег кому-то, но уже по просьбе "директора", замолвившего словечко за сотрудника спецслужб, который позвонит/напишет и ему надо оказать содействия. Популярная в последнее время схема Fake Boss. И вот на эту тему я и давал комментарий, а потом радиоведущие из группы "Мурзилки International" по традиции спели 🎙 на горячую тему. Я, конечно, не пел, а у "Мурзилок" получилось забавно про мошенников...
Читать полностью…Кто спрашивал, что за инструмент 🥁 для моделирования угроз я вчера описывал? Звать его ThreatModeler! Есть платная версия и community edition.
ЗЫ. Вот и картинка пригодилась про модельера 😇
Завтра, главное, не попасться на удочку мошенников 🤒, которые могут отправить вам любовное послание 💌 от человека, который вам нравится, но вы боитесь ему признаться. Но вы лайкаете его/ее фотки в соцсетях и это легко отслеживается, как и ваши чувства, которые могут сыграть с вами злую шутку! 😈
Читать полностью…Попробовал на выходные онлайн сервис для моделирования угроз, этакий Visio по ИБ. Много предопределенных шаблонов для разных систем и сценариев (от облаков 🌩 и АСУ ТП до финансовых приложений и инсулиновых помп, от беспилотного транспорта 🏎 и автоматической обработки PDF-файлов до буткитов и атак на спутниковые системы 🛰). Для каждого компонента создаваемой модели в сервисе есть свой перечень угроз и защитных мер, что в совокупности дает полную картину того, что может произойти с анализируемой системой и как этому противостоять 🛡
Каждая угроза в конкретном сценарии может иметь разные статусы (не устранена, нейтрализована, не применимо, частично устранена, устранена защитной мерой, вне области рассмотрения). Тоже и с защитными мерами, которые могут иметь разный статус 🛡 - от реализовано или рекомендовано до неприменимо или невозможно оценить эффективность. Для каждой угрозы дается описание и ссылки на MITRE CAPEC.
На протяжении последних, как минимум, 10 лет, в эти даты, плюс/минус, проходит конференция ФСТЭК. И так как я был на многих и постил с них новости, планы и обещания регулятора, то ФБ в последние дни активно напоминает обо всех из них. Про многое я уже и забыл, что это было в планах - не всё оказалось выполнено и реализовано 😭 Все-таки повестка и нехватка ресурсов сильно влияет на результат. Завтра вот снова конференция ФСТЭК и регулятор расскажет о новых планах... Программа, по крайней мере, выглядит насыщенной, прям как в доковидные времена 💪
Читать полностью…ООН 🇺🇳 проводит расследование 58 кибератак, совершенных Северной Кореей 🇰🇵 против криптовалютных компаний с 2017 по 2023 годы, в результате которых было украдено около 3 миллиардов долларов, потраченных на ядерные исследования, что нарушает санкции ООН.
При этом с прошлого года идут разговоры, что Россия помогает отмывать эти криптоактивы через находящиеся в РФ 🇷🇺 криптобиржи 💸А это уже попахивает помощью в обходе санкций ООН. И хрен знает, куда это все заведет...
От OnlyFans до OnlyFake… Очередной дипфейк сервис, создающий за 15 долларов фальшивые документы, удостоверяющие личность, которые проходят проверку 🛂 на криптобиржах, каршерингах и других онлайн-сервисах.
Фальшивые паспорта и водительские 🪪 создаются на фоне типа стола, ковра, столешницы и т.п. При этом в фото подставляются нужные метаданные, включая GPS. Сервис может генерить паспорта и водительские 26 стран и «выпускает» сейчас до 20 тысяч документов в сутки.
Службам безопасности онлайн-сервисов на заметку 📝
Скандал в благородном семействе. LockBit 🤒 заблокировали на двух крупнейших русскоязычных форумах XSS и Exploit за «кидалово». Тот не согласился и началась занятная дискуссия 🤬 на тему, кто прав, а кто нет.
Спустя время на форум XSS пришел юрист 🧑💼 LockBit (а у вас есть свой юрист?) и предложил решение затянувшегося конфликта - бесплатная реклама Lockbit на форуме в качестве возмещения морального вреда 😂, выплата 10% от доходов форума и продажа форума за 1 доллар 🛍
Конфликт позволяет погрузиться в культурные традиции отечественного кибер-андерграунда, его правила и особенности 🤒
К разговору о том, в чем отличия организаций, зараженных шифровальщиками, с точки зрения выплат выкупа или невыплат 🤒. На первой картинке прямые и вторичные финансовые потери казино Caesars в Лас-Вегасе 🎪 На втором - казино MGM Grands в том же Вегасе. В первом случае выплата выкупа была произведена почти сразу, а во втором - был отказ от выкупа. Разница, как мы видим, почти трехкратная.
Это я не к тому, что надо обязательно платить вымогателям выкуп 🤑 Выводы совсем иные:
1️⃣ Атака шифровальщика - это совсем не ИБ-проблема, а вопрос бизнесовый. Платить и быстро восстановиться или не платить и восстанавливаться неделями. Это решает именно бизнес, а не ИБшник.
2️⃣ С точки зрения финансовых потерь от шифровальщиков проблема тоже выходит на уровень топ-менеджмента. Я про это как раз рассказывал на пятничном вебинаре, видео и презентацию с которого выложу в ближайшее время. Это не "какой-то там вирус".
3️⃣ Даже если вы выплатите выкуп, то потери от шифровальщика составят все равно в разы больше, чем сумма выкупа.
4️⃣ Лучше нормально выстроить систему защиты от шифровальщиков (и это не только и не столько антивирус), чем потом вынимать из бизнеса деньги на выплату или нести потери от простоев.
Сегодня у нас будет день шифровальщика 😊 Если посмотреть отчет Chainalysis по выплатам вымогателям, заражающим организации шифровальщиками по всему миру, то мы увидим, что за последние пару лет, сумма выкупа больше 1 миллиона долларов неуклонно растет и приближается к 80% всех выплат 🤑
Это к тому, что если вы вдруг попадете под раздачу, не выстроив адекватную систему защиты от шифровальщиков, то заложите эту сумму в бюджет. Ну или готовьтесь платить 🤒 в несколько раз больше денег за восстановление системы и потери в процессе ее недоступности.
Отель Caesars отказался 🫸 от продления контракта с организаторами DEFCON после 25 лет сотрудничества. Без объяснения причин. Может быть топ-менеджмент Caesars испугался 😱 прошлогодней атаки шифровальщика? Нет, вряд ли, не может быть 😂
Интересно, нет, не где пройдет 32-й DEFCON (место уже найдено), а не будет ли новой ответочки от хакеров? Вполне возможный сценарий 😦
Новая инициатива против рынка шпионских программ
Во вторник в Лондоне был запущен Pall Mall Process — это объединение для борьбы с неправильным использованием шпионских программ. А более формально — для борьбы с распространением и безответственным использованием коммерческих средств кибервзлома (Tackling the Proliferation and Irresponsible Use of Commercial Cyber Intrusion Capabilities).
Встречу организовали Великобритания и Франция, участие приняли многие (но не все) западные страны, включая США, Германию, Швейцарию, но также и Малайзия, Республика Корея, Африканский союз, Совет сотрудничества арабских государств Персидского залива. Израиля, который в последние годы стал главным козлом отпущения для критиков spyware (из-за скандалов вокруг NSO Group и других израильских компаний), среди участников не было. Помимо стран участвовали компании, прежде всего Google, Meta и Microsoft, а также ESET, HackerOne и другие и НКО, исследовательские организации.
По итогам участники приняли декларацию, в которой обещают, что под эгидой Pall Mall Process «будут разработаны руководящие принципы и предложены варианты политики для государств, бизнеса и гражданского общества в отношении разработки, содействия, приобретения и использования коммерчески доступных средств кибервзлома». В декларации есть параграф про международно-нормативную сторону вопроса, в котором, в частности, упоминаются доклады нормы 13(e), (i) и (j) из докладов ГПЭ 2015 и 2021 года. Ещё есть словарик с рабочими определениями таких терминов, как коммерчески доступное средство кибервзлома (cyber intrusion), рынок уязвимостей и эксплойтов, разрушительные киберсредства.
Из компаний лучше всех подготовился Google, опубликовав доклад об индустрии шпионских программ. В нём описаны основные spyware-вендоры, эксплуатируемые ими уязвимости, приведены истории нескольких жертв слежки (в т.ч. Галины Тимченко). Завершается доклад призывом вместе противодействовать неправильному использованию шпионских программ.
Кстати, Google в докладе использует термин CSV — Commercial Surveillance Vendors. Если приживётся, то будет наряду с APT использоваться.
А ведь кто-то же им продает WAF и обеспечивает защиту от DDoS? 🤑
Помню на прошлой работе рассказывали историю, что одним из крупнейших покупателей мощных коммутаторов (только появившихся Catalyst 6500) были чешские порностудии , которым нужно было обрабатывать колоссальный поток сетевого трафика и шеститонники подходили для этого как нельзя лучше (а местный сейл перевыполнил свой план 🤑).
Вообще, давно известно, что порно 🔞 является драйвером многих технологий (скоростной Интернет, оплата в Интернет, VR, дипфейки и т.п.), но менее этичным от этого вопрос "готовы ли вы продать средство защиты тем, кто будет потом вас же и атаковать?" 💰 не становится.
В прошлый раз, скоро как 4 года назад, я ругался, когда на RSA Conference один TI-вендор на лабе показывал живые примеры про одну российскую компанию из области транспорта ✈️ (трендовые уязвимости, индикаторы компрометации, C2-коммуникации, открытые порты и т.п.); все в реальном времени 😮 Их не особо волновало, что эта информация могла быть использована против компании, выбранной для демонстрации (ну а когда американцев волновало, что будут атаковать русских?) 🤠
Мне тогда это показалось не только непрофессиональным, но и неэтичным. И вот новый пример, уже от другого, но тоже американского TI-вендора, который засветил во время демонстрации данные по своему заказчику 🏦, правда, на этот раз американского. Нуу, такое себе, если честно... Хотя, что еще они могли показать? Синтетические данные в TI особо не засунешь... Но могли бы заблюрить на худой конец 🔚 А лучше создали бы несуществующую компанию и показывали бы на ее примере...
Вот тут я среди примеров недопустимых событий банкротств компаний в результате кибератак упоминал финский психотерапевтический центр Вастаамо. И вот в конце прошлого года финское национальное бюро расследований 🤒 опубликовало доказательства вины одного финна, среди которых была и вот эта фотография, на которой рука, держащая спрей для лица.
Эта фотография 🤒 была загружена с сервера, который интересовал полицию и который был связан с предполагаемым преступником 🤒 Но что самое примечательное, что на этом фото стражи закона смогли разглядеть отпечатки пальцев 🤒, которые и позволили идентифицировать преступника! Ну а дальше был классический OSINT - ФИО директора фирмы, использующей сервера, кредитка для оплаты серверов, атакующие IP 🤒 и т.п.
ЗЫ. Самое неприятное в этой истории, что обвиняемый возглавлял фирму, занимающуюся кибербезопасностью 😲