LockBit хочет ввести минимальную сумму выкупа в размере 3% от годового оборота жертвы с возможной скидкой до 50%.
Мне кажется тут не обошлось без Роскомнадзора ;-) А еще откуда могли взяться 3%? Представьте, что российская компания стала жертвой LockBit и ее ПДн утекли. Она встанет перед выбором - 3% Роскомнадзору за утечку или оператору Lockbit, который еще и скидку может сделать. Выбор очевиден ;-)
ЗЫ. Хорошо, что LockBit по России не работает.
Помните, год назад я писал про российский анимационный фильм «Киберслав», который должен был выйти в 2022-м году? Кинопоиск вчера анонсировал, что они не забили на него 🔩 и все еще надеятся его выпустить в своем стриминге. Но уже в 2024-м году. Но тизер уже есть. Но короче и слабее трейлера. Но мы всё равно ждем 🛠 Пора уже не только русских хакеров, но и русских кибервитязей и киберстрижей на международную арену выводить 🪖
Читать полностью…Неназванные источники утверждают, что какой-то чувак приперся в отель MGM в Лас-Вегасе и потребовал 40 миллионов за восстановление после кибератаки. И это прям странно, так как хакеры в здравом уме такие выкрутасы не проделывают.
Это какими надо обладать умственными способностями, чтобы припереться в казино, где охраны больше чем игроков (шучу, но все равно немало) и потребовать выручку за 2-3 дня работы одного казино и отеля? Или это кто-то недалекий из MGM решил распространить неофициально в СМИ, чтобы показать, что расследование идет по плану? А может просто какой-то идиот так неадекватно решил пошутить? В любом случае хакеры уже опубликовало свое официальное пояснение по сложившейся ситуации...
Продолжает развиваться проект OpenCRE - агрегатор требований по безопасной разработке из различных стандартов и баз (ASVS, SAMM, ISO27XXX, NIST, CWE, CAPEC и другие).
Проект просто пушка 🔥
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Странное мероприятие. Я про него услышал первый раз, а на нем ожидается 2000 человек. И это не Москва. А еще участники из 12 стран, что будет покруче ПМЭФ и ВЭФ. Но программы нет, хотя до мероприятия меньше месяца. И только странные организаторы (никого от ИБ) и название НКЦКИИ среди ключевых участников выдавало странность. Хотя на фишинг тоже похоже. В последнее время число атак на специалистов по ИБ выросло; может и это тоже один из вариантов такой атаки? Но вроде нет - сайт чистый и даже симпатичный. В общем, все странно как-то.
Читать полностью…21-22 сентября буду на Сахалине участвовать в конференции Сахалин Security 2023 и, среди прочего, я там провожу штабные киберучения. И если процедура проведения у меня уже отработана и проходит на автомате, то сценарий я каждый раз придумываю заново, опираясь на свежие кейсы и инциденты. А тут вот выпустили интересный инструмент AiCEF для генерации контента для киберучений. Построенный на базе искусственного интеллекта, он подтягивает различные данные Threat Intelligence из публичных источников - группировки, активности, техники и тактики и т.п., и на их основе с помощью GPT строит связанный контент для проведения киберучений.
Читать полностью…Продавцов «Вайлдберриз» начали массово взламывать неизвестные. Хакеры создают сотни фейковых товаров и разоряют предпринимателей многомиллионными штрафами.
В последние недели личные кабинеты продавцов на «Вайлдберриз» атакуют неизвестные мошенники. Причём работают они по очень странной схеме: сперва аккаунт просто взламывают, а затем начинают массово создавать несуществующие позиции дорогих товаров по крайне низким ценам. Так, к примеру, на ВБ то и дело появляются телевизоры, холодильники, телефоны и бассейны по ценам от 50 рублей. В качестве бонуса мошенники, растрачивая бюджеты продавцов, настраивают от их лица рекламу на фейковые вещи.
Итог в таких случаях почти всегда один: увидев небывалую щедрость, пользователи начинают скупать дешёвые товары. У продавцов же набегают сотни заказов на миллионы рублей, которые им приходится срочно отменять, — и за это у ВБ предусмотрен штраф в размере 50% от стоимости позиции. Дальше всё становится хуже: из-за отмен у продавца падает рейтинг, а его личный кабинет блокируют и выставляют штраф. Впрочем, некоторые взломщики действуют иначе: одни напрямую шантажируют продавцов блокировками и требуют выкуп, другие — оставляют во взломанных профилях свои данные, чтобы перенаправить покупателей к себе. @banksta
Официально сообщаю, что я НЕ запускаю никаких подкастов - ни революционных, ни эволюционных, ни прожектерских, ни разговорных, ни молчаливых, ни часовых, ни пятисекундных, ни кружковых, ни квадратно-гнездовых.
Читать полностью…Спустя два года после обнаружения Google Threat Analysis Group северокорейской группировки, которая в качестве своих жертв выбрала специалистов по кибербезу, "птенцы Ким Чен Ына" вновь взялись за свое. Выявлены попытки завязать знакомства с ИБ-исследователями, которым отправляют вредоносы, использующие 0-Day, которые крадут всю информацию с компьютеров жертв. Будьте бдительны!
Читать полностью…Достаточно часто, при проектировании безопасной инфраструктуры, сегмент разработки жестко отделяется от корпоративной среды, так как заставить разработчиков жить по общим правилам проблематично. И ИБ, чтобы не связываться с неуправляемой массой людей, стараются дистанцироваться от них и всего происходящего. Но это является и потенциальной проблемой, так как самоуправство и нежелание соблюдать правила ИБ может привести к различным проблемам, например, внедрению вредоносного кода в разрабатываемые решения, которые потом уходят в прод и попадают внутрь корпоративной среды.
Вот возможный пример такого вектора атаки через популярный инструмент разработки - VSCode, который позволяет пробросить порт наружу через Azure. Вы в своей модели угроз учитываете такой сценарий? Мониторите его? Знаете, как выявить это?
У страха глаза велики 🚲 На iPhone 📲 издателя Медузы нашли шпионское ПО Pegasus. Версий, кто за этим стоит, множество - Россия, Германия, Латвия, Эстония, Казахстан по просьбе России…
Читать полностью…Нельзя было эту историю обойти вниманием 🤼♂️ Раньше конкурсы мемасиков на SOC-мероприятиях проводили. Можно считать это моим вкладом, если такой конкурс есть, или идеей для его возрождения. Почему бы и нет 😃
Читать полностью…Сегодня проект Global Digital Space поделился мнением по поводу моего мнения, оформленного в моем утреннем посте про восприятие информации ✍️. Позволю себе высказать свое новое мнение на их мнение по поводу моего мнения. Я не могу ❎согласиться с их мнением, потому что я противопоставлял не "слушать" и "видеть", а "читать" и "видеть/слушать" 🥸. А это, как вы понимаете, совсем разные вещи 🎭
ЗЫ. Говорить быстрее чтения умеют только скандирующие аукционисты из США.
Сеть отелей MGM Grands в Лас-Вегасе и Нью-Йорке накрылась медным тазом. Сайт не работает и забронировать номер нельзя. Электронные ключи от номеров не работают. Игровые автоматы 🎰 не работают. Оплата только наличными. Эстонские хакеры доехали до BlackHat?
ЗЫ. В день один отель MGM Grands в Вегасе зарабатывает около 12-13 миллионов долларов (раньше доходило до 40). А в MGM 🦁 входит 11 отелей. Это цена простоя, так как эти деньги не вернуть, если номера нельзя забронировать (а их фиксированное число, как и дней в году). На игровых автоматах тоже не отыграешься - в сутках 24 часа и работают они без перерыва. Людей больше тоже не загонишь. То есть отбить потери в другие дни проблематично 🤷
Международный уголовный суд будет расследовать военные киберпреступления
Прокурор Международного уголовного суда (МУС) Карим Хан (ещё в мае объявленный в России в розыск) написал статью для доклада FP Analytics (на материал обратил внимание Wired), из которой следует, что МУС планирует заниматься киберпреступлениями, нарушающими Римский статут.
«Хотя ни одно из положений Римского статута не посвящено киберпреступлениям, такое поведение [операции в киберпространстве] потенциально может соответствовать элементам многих основных международных преступлений, как они уже определены», — пишет Хан, ссылаясь на отчёт 2021 года с оценкой применимости Римского статута к кибервойне.
Согласно статье, МУС будет собирать и изучать свидетельства киберопераций, которые могут являться такими нарушениями:
«Кибервойна не является чем-то абстрактным. Напротив, она может оказать глубокое влияние на жизнь людей. Попытки воздействовать на критически важные объекты инфраструктуры, такие как медицинские учреждения или системы управления электроэнергетикой, могут привести к непосредственным последствиям для многих людей, особенно для наиболее уязвимых слоев населения. Поэтому в рамках своих расследований мой офис [офис прокурора МУС] будет собирать и изучать свидетельства таких деяний».
МУС подтвердил Wired, что это действительно официальная позиция суда, и за за особо серьёзные нарушения в киберпространстве виновные теперь могут привлекаться к ответственности.
Хан в своей статье пишет, что таким образом МУС рассчитывает оказать сдерживающее воздействие на нарушителей, а также попытаться вывести кибероперации из «серой зоны», в которой они сейчас де-факто существуют, внеся ясность в плане того, какие правовые нормы должны применяться и как устанавливать истину. Также МУС хочет оказывать помощь странам в расследовании таких преступлений в рамках их собственного законодательства.
В этой работе МУС активно сотрудничает с Microsoft и осенью планирует провести совместное тематическое мероприятие.
Ни в статье Хана, ни в комментарии МУС Россия не называется, но Wired напоминает, что в марте 2022 года Центр прав человека в Университете Беркли призвал МУС расследовать атаки российских хакеров против Украины. А год назад эту идею поддержал заместитель председателя Госспецсвязи Украины.
Под пехотным киберкомандованием США (ARCYBER) есть отдельная, 780-я разведывательная бригада, отвечающая за кибер-тематику у американской пехоты (у ВВС и моряков есть свои подразделения). В бригаду входит 11- кибербатальон "Левиафан", созданный в прошлом году, который занимается так называемой кибер-электромагнитной активностью (Cyber Electromagnetic Activity, CEMA), а по-русски, кибербезом и радиоэлектронной борьбой. И они на днях меняли свою командиршу, по каковому случаю опубликовали слезливые фотки с церемонии передачи знамени батальона и вот это вот всё.
Но заметка не об этом. Фотографии выложены в 4K и на них прекрасно можно рассмотреть лица всей киберпехоты в хорошем разрешении. И то ли они не боятся, что их можно идентифицировать по лицам, а это дает оперативный простор для маневра, то ли просто не запариваются об этом. А теперь попробуйте вспомнить, видели ли вы когда-нибудь схожие фотографии со сборищ наших кибер-подразделений? У нас это вообще, чуть ли не под гостайну попадает. Как говориться "два мира - два Шапиро".
Вот этот "пресс-релиз" группировки ALPHV по поводу атаки на MGM и о том, как шли переговоры с представителями MGM по поводу выкупа.
Вы же знаете, что и как делать, если вы, вдруг, столкнетесь со схожей ситуацией? У вас есть контакты переговорщиков? А криптовалютный кошелек или понимание процедуры оплаты на него? А просто человек, который уполномочен вести такие переговоры?
А вы знаете, как хакнули MGM в Вегасе? Нашли работника отеля через LinkedIn, позвонили от его имени в HelpDesk и... Дальше пока непонятно, но вроде как сказали, что забыли пароль и попросили помочь вернуть доступ. Бинго… Всего 10 минут общения хакера со службой поддержки и компания с оборотом в десятки миллиардов долларов не устояла. Чем закончится вся история пока непонятно - идет расследование и восстановление. Но MGM, в отличие от Caesars, также столкнувшегося с хакерами, платить скорее всего не будет.
А пока у них идет расследование, задайтесь вопросом - а как вы проверяете подлинность звонящих в Helpdesk сотрудников? У вас есть какое-то секретное слово или вы выдали сотрудникам скретч-карты или вы аутентифицируете их по голосу? Есть у вас соответствующая процедура удаленной аутентификации сотрудников? Что интересно, проблема не нова, - она известна еще с COVID-19, когда многие ушли на удаленку и хакеры также представлялись работниками на дистанционке во время звонков в HelpDesk. 3 года прошло...
ЗЫ. Тем временем в отелях Venetian и Palazzo тоже проблемы с игровыми автоматами - принимают только наличные. Опять хакеры или ИБ решила пойти на опережение и сама все отключила?
Тут на днях зашел разговор о том, что драйвера ИБ бывают разного масштаба. Например, продажа страха, то есть разговор о киберугрозах, универсален для любой страны мира (исключая тему с русскими хакерами). Разговор за compliance обычно ограничивается уже границами одной страны. А вот экономика (подсчет преимуществ ИБ, P&L и т.п.) может отличаться от компании к компании. Кому-то нужно что-то одно, кому-то другое. Кто-то ратует за снижение ущерба, а кому-то подавай операционную эффективность, кто-то требует ускорения сделок и новых каналов продаж (а ИБ там везде вовлечена), а кому-то подавай контроль текучки кадров 📉 Так и с потерями. Для кого-то штраф в 500 миллионов рублей за утечку персданных - это недопустимое событие, а для кого-то выплата 15 миллионов долларов (1,5 миллиарда рублей) вполне себе нормальное явление (чтобы не потерять больше, конечно)💰
Именно 15 миллионов долларов выплатило казино Caesars в Лас-Вегасе 🎢 вымогателям после атаки на казино через их взломанного ИТ-подрядчика. При этом, в отличие от истории с сетью MGM Resorts, которая до сих пор не может оклематься от схожей атаки, казино Caesars 🎰 продолжало функционировать; у него только утекли данные клиентов. Но владельцы казино не захотели, чтобы эти данные стали достоянием гласности и просто отдали за молчание полтора миллиарда рублей. А вот размер финансового ущерба в MGM пока еще не подсчитан, но кажется мне, что сумма там будет поболее 15 миллионов долларов 🔤
Схожий инцидент в схожих организациях, но совершенно разные решения топ-менеджмента и разные последствия ☝️ Поэтому про угрозы и compliance удобно рассказывать - можно даже не вникать в деятельность и процессы компании. А вот с бизнес-риторикой все сложнее...
А у нас с минуты на минуту начинается Positive CISO Club, где я буду выступать на тему визуализации в ИБ 📊 Ну и как всегда подготовил коротенькую 🌡 презентацию слайдов на 1️⃣🔠🔠 и то пришлось сокращать с пары сотен 👉
Читать полностью…😎 Создаем сценарии безопасного завтра уже сегодня. Хотите увидеть?
Присоединяйтесь 9 октября к ежегодной конференции Positive Security Day, которую мы впервые будем транслировать онлайн для всех желающих.
Как будем шагать в безопасное цифровое будущее:
🚩 Расскажем про весь наш продуктовый портфель, включая те продукты, которые еще находятся в разработке.
🚩 Примеры и кейсы — наше все. Покажем, как продукты и решения Positive Technologies помогают строить результативную кибербезопасность.
🚩 Поделимся экспертизой, которая является ключевым элементом нашего лидерства.
🚩 Презентуем новый продукт.
🚩 Побудем футуристами: обсудим новые угрозы, уязвимости, инструменты и знания, которые понадобятся специалистам по кибербезопасности в ближайшем будущем, чтобы успешно противостоять хакерам.
С полной программой конференции можно ознакомиться на нашем сайте.
Регистрируйтесь и отмечайте 9 октября в календаре!
@Positive_Technologies
Хороший кейс, как мне кажется, который заставляет задуматься над тем, где заканчивается граница работы CISO. Если ломают личный кабинет клиента, то кто виноват - клиент или маркетплейс? Но даже если клиент, то должен ли CISO предпринять какие-то усилия по защите тех, благодаря кому маркетплейс зарабатывает деньги? 🤑
Вопрос неоднозначный, кстати, и не имеет очевидного решения. Как по мне (хотя я ненастоящий сварщик), так это зона ответственности ИБ. Все-таки, когда клиенты теряют миллионы рублей из-за инцидентов ИБ, то они начинают меньше доверять платформе 🛒 и могу ее и вовсе покинуть, тем самым нанося ущерб бизнесу, который будет измеряться гораздо большими суммами. Допустимо ли у маркетплейса такое? Так и из списка Форбс можно вылететь 😕
Новые санкции от американцев, под которые попали из сектора ИБ 3 компании - НПО Эшелон, Крафтвэй, Ростелеком Солар. Кто там из ИБ следующий?
ЗЫ. Нейросеть "Кандинский" от Сбера на запрос "американцы блокируют технологии" почему-то сгенерила вот такую картинку. Опять однорукие, уже безногие, да еще и сиамские разнополые близнецы. Что ж у них за датасет-то такой?..
Министерство обороны Франции, вслед за своими американскими и английскими коллегами, решило активно заняться информационными операциями в киберпространстве в отношении России, и открыло соответствующую вакансию руководителя направления. Не очень понятно - операции, которые проводит Россия, или операции против России, а также идет ли речь о дезинформации и пропаганде или и о кибероперациях тоже?
Читать полностью…США и Великобритания ввели санкции против 🔤🔤 членов киберпреступной группировки, стоящей за кампанией Trickbot. Как обычно, американцы обвиняют российские спецслужбы, но я бы обратил внимание на другое - на структуру группировки. Старший администратор, руководитель группы тестировщиков, руководитель группы разработчиков, главный финансист и HR, закупёр, руководитель внутренней поддержки и т.п. Никаких вам одиночек или микро-команд. Все повторяет обычный бизнес, только со знаком минус.
Читать полностью…Gartner составил дорожную карту (да, в виде круга) по технологиям ИБ, которые уже применяются, пилотируются и планируются к применению в корпорациях по всему миру США. Размер окружности означает ценность для предприятия, а цвет - риски для внедрения технологии с точки зрения стоимости внедрения, нехватки персонала для работы с технологией, технологической сложностью и т.п. Почему покинувшая Россию Gartner относит SIEM, МСЭ, WAF, приоритизацию уязвимостей к высокорискованным технологиям, а, например, NAC, EDR, CASB, SCA нет? Странновато.
ЗЫ. Интересно, конечно, посмотреть на эту карту с точки зрения возможностей российского рынка ИБ.
Когда-то у меня было желание попасть на работу в Gartner и заниматься исследованиями и аналитикой по ИБ. Мне казалось это перспективным. Желание прошло, но посматривать за Gartner я продолжаю. И вот тут на днях стало известно, что Gartner приняла решение удалить все блоги своих аналитиков со своего сайта, в том числе и ранее написанные.
А ведь для многих из аналитиков публичность была частью компенсационного пакета, которую Gartner одним росчерком пера уничтожила, сильно сократив возможности аналитиков для самопиара. Помню, когда я уходил из Cisco и рассматривал разные варианты трудоустройства, возможность публично высказывать свое мнение, иногда опасное для работодателя, было одним из моих условий. И про парочку солидных и именитых мест мне прямо сказали, что там придется забыть о том, чтобы говорить от своего лица. Либо просто молчать, либо согласовывать все с PR, который ничего не согласовывает, во избежание так сказать... Так что так себе решение компании, к мнению которой раньше в России прислушивались 🤷
ЗЫ. Если вы внимательно смотрели картинки в канале сегодня, то наверное задавались вопросом, почему нейросеть Кандинского нарисовала в утренней заметке шестипалого голубоглазого чувака, куда делась кисть на заднем плане и почему системный блок левитирует? Где еще одна нога у персонажа на картинке, не спрашивайте. Кандинский от Сбера именно так видит аналитиков безопасности 😊 - инвалидами. А в заметке про SOCtech у аналитика всего одна рука. У Сбера какой-то странный датасет был для обучения - все люди с ограниченными возможностями...
Разные бывают эксперты по ИБ. Одни говорят банку, у которого утекли данные клиентов, включая номера платежных карт, идти в отказ и не признавать факт утечки 🤦♂️ Другие предлагают заплатить 🤑 хакерам 1 миллион евро за то, чтобы они не выкладывали утекшие персданные футболистов ⚽️
Интересно, как Нидерланды заплатили русским хакерам при наличии санкций? И что на этот счет думает GDPR и голландский «Роскомнадзор»? История-то с апреля длится…
А вообще в очередной раз показано, что при идентичности инцидента бизнес может принять кардинально противоположные решения. И принимает их бизнес, а не ИБ. Последняя может только что-то советовать, но не более 🧐
О, какое новое интересное мероприятие по SOCам у нас появилось - SOCtech. Чисто по технологиям SOC. И судя по ценнику, вполне себе гуманное для партнеров. Вспоминая свои проекты по проектированию SOCов, могу сказать, что в зависимости от зрелости заказчика, его часто интересовали чисто технологические вопросы (а какой IRP использовать? а OpenCTI лучше MISP или нет? а сколько времени хранить данные в горячей корзине? и т.п.). Разговоры за процессы, best practices и т.п. - это удел очень зрелых заказчиков, коих у нас не так уж и много 😞 Так что мероприятие вполне найдет свою аудиторию. А ноябрь будет прям насыщенным. Там и Standoff, и SOCtech вот теперь. И все про мониторинг и реагирование на инциденты.
ЗЫ. Думаю, надо будет и мне, как в прошлом году, запилить свой #worldwidethebestdigitalonlynosocforumbutminicongress в телеге
Вот это интересная тема. Я много раз писал про атрибуцию кибератак (вот, например, преза про нее) и невозможность ее осуществления в современных условиях - как с технической и юридической, так и с организационной и геополитической точек зрения. Можно провести расследование и попробовать приблизиться к ответу, но это очень сложно сделать при достаточно квалифицированном хакере. Да еще и так, чтобы это было однозначное решение - "Да, это хакер Вова и никто другой".
По крайней мере в суде, без четких доказательств, собранных законным путем в различных юрисдикциях и неизменность которых гарантирована должным образом, это не сработает. Но вот Международный уголовный суд, который недавно выдал ордер на арест президента России, задумался о том, чтобы расследовать еще и киберпреступления, нарушающие Римский статут (Россия его не ратифицировала). И кажется мне, что такое решение продиктовано не столько желанием заняться трансграничными преступлениями в сфере высоких технологий, сколько стремлением насолить одной конкретной стране, хакеры которой считаются грозой морей основной угрозой мировому правопорядку ⚖️