Пост Лукацкого

18 февраля 2025 05:40

Вчерашняя история про прошитый красной нитью отчет по анализу уязвимостей 🤕 была взята из нового документа Банка России, который описывает как надо проводить анализ уязвимостей и пентесты. И хотя появление самого документа можно только приветствовать, у меня к нему есть вопросы, которые я и описал в очередной заметке в блоге ✍️

#регулирование #пентест

Пост Лукацкого

17 февраля 2025 10:32

Не такое я мечтал увидеть в рекомендациях по проведению пентестов и анализа защищенности... 🤦‍♂️ А у вас отчеты по уязвимостям тоже про💩ы нитью, не имеющей разрывов? 📍

#пентест #оценказащищенности

Пост Лукацкого

16 февраля 2025 19:02

Неувядающая классика. Выглядит, конечно, забавно, но очень уж хорошо демонстрирует как в реальности отличается оценка защищенности по неким бумажным требованиям, и реальная проверка уровня безопасности 🤕

#юмор #пентест

Пост Лукацкого

16 февраля 2025 14:16

Очередное доказательство, что тема ИИ в контексте ИБ бездонна как океан и широка как бескрайнее небо. Если вы еще не изучаете ИИ, то стоит начать... 🤖

#ИИ #malware

Пост Лукацкого

16 февраля 2025 10:47

Из CISA уволено 130 человек 💔 Вроде немало. Но численность американского регулятора составляет 3641 человек, а значит уволили не так уж и много сотрудников 👣 Все относительно.

Пост Лукацкого

15 февраля 2025 18:49

У меня в коллекции игр пополнение. Карточная игра от VK "У нас инцидееент", которая позволяет провести расследование инцидентов ИБ и выйти на след внутреннего или внешнего нарушителя 🥷

А вот последние две фотографии - это то, чего у меня пока еще нет ☺️ Карточная игра "инцидент на проде" от компании "Открытые решения" и детская бродилка "БезОпасный Интернет", изданная в качестве приложения к детскому журналу "Радуга" при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Республики Коми 🃏

#геймификация

Пост Лукацкого

15 февраля 2025 08:21

Бионический SOC?.. 🤔 Если вам будет нужен бионический NTA, SIEM, EDR и иже с ними, то их есть у нас 🌐

Но вообще интересная история. Видимо компаниям уже недостаточно приписывать NG к своим решениям, так как у всех уже есть свой NG. Вот и придумывают бионические, риск-ориентированные SOCи… Что дальше? ❔

#SOC #маркетинг

Пост Лукацкого

14 февраля 2025 19:23

Прекрасное 💓 Тема с морковкой пошла в народ 🥕

Пост Лукацкого

14 февраля 2025 12:47

2 года назад сделал серию открыток по кибербезу к 14 февраля (тут, тут и тут) и до сих пор они мне нравятся 🫀 Всем чпоки-чпоки! С днем книгодарения всех! 📖

ЗЫ. Если нужно на английском, то тоже есть - в LinledIn выложил 📱

#юмор

Пост Лукацкого

14 февраля 2025 05:40

Грядет PHD, на котором будет много всего разного и интересного - технические доклады, лабы, научпоп, мастер-классы, кибербитва и, конечно, бизнес-трек, за который я немного отвечаю 🙇‍♂️ Что у нас будет в этом году, в чем можно поучаствовать и еще успеть подать заявку на доклад:

1️⃣ Поток для CISO. Идея аналогична прошлому году. Руководители ИБ будут делиться опытом, участвовать в дискуссиях и всячески мотивировать участников трека на то, что CISO - это престижно, интересно и прикольно 😕 Курирует поток Витя Гордеев, CISO Позитива. Если вы CISO и хотите поделиться опытом с коллегами, то милости просим.

2️⃣ Поток "Лайфхаки SOC" под кураторством Володи Дмитриева, который управляет позитивным SOC 👀 В прошлом году Володя уже курировал аналогичную историю и в этом году повторит успех. Есть интересные истории про мониторинг и реагирование? 🔍 Приходите с заявкой на доклад.

3️⃣ Поток Big Boss про и для больших начальников - CFO, COO, CIO, CDTO... 🧐 Тут тоже есть место подвигу для участия в дискуссии, хотя и меньше возможностей, чем в других потоках.

4️⃣ Поток "Архитектура ИБ" 🏗 во главе с несравненным Мишей Кадером, архитектором 🟥, будет не менее интересным, чем в прошлом году. Есть у вас что-то архитектурное в копилке? 🗳 Приходите с заявкой на CFP.

5️⃣ Новинкой этого года станет ИТ-трек 🧑‍💻 Да, вы не ослышались. Мы расширяем традиционную ИБшную повестку PHD темой, которая часто воспринимается как антагонист для ИБ ⚔️ Поэтому мы выделили под этот поток целых два дня, которым также будет рулить Миша Кадер.

6️⃣ Будет много мастер-классов, с десяток, среди которых и тема DevSecOps, и искусственный интеллект, и SOCи, и финансовая оценка ИБ, и моделирование угроз, и форензика, и еще всякое разное 🎆 Если вдруг у вас есть классная идея для мастер-класса, которая переплюнет наши идеи, то подавайте заявку, мы ее тоже рассмотрим и, если она прямо 🔥, то сможем скорректировать формирующуюся программу,

7️⃣ Last but not least, как говорят англичане, у нас БОЛЬШАЯ СПОРТИВНАЯ АРЕНА 🏟, на которой планируются как выступления, так и дискуссии (все, как в прошлом году). В этом году арена будет больше прошлогодней - она будет вмещать уже 2000 слушателей. Так что у вас есть шанс заявить о себе, если вы считаете, что ваш доклад 📈 может быть интересен для столь широкой и разноплановой аудитории. Теневая экономика данных, киберпейзаж 2030, кибербез новых технологий, формирование осознанного киберповедения, новые вызовы для киберлидера, ИБ в эпоху турбулентности, инвестиции в ИБ и экспорт технологий... Вот небольшая часть списка возможных тем для БОЛЬШОЙ АРЕНЫ 🥳

Вот так выглядит каркас бизнес-трека PHD. Если вам запала какая-то тема и вы хотели бы в ее рамках поделиться своим опытом, то подавайте заявку на CFP 💌 Если вам пока нечего сказать, то просто приходите, - регистрация на фестиваль скоро откроется. Если вам интересно предстать с докладом перед аудиторией технических треков, то у вас есть и такая возможность тоже. Главное, не держать в себе свои желания, а не побояться и подать заявку на участие 👏

Срок подачи заявок - до 28 февраля! Решение о принятии заявки будет принято до 10 марта! 🌱

#мероприятие

Пост Лукацкого

13 февраля 2025 15:11

Помню, когда я первый раз услышал про технологии анализа зашифрованного трафика в системах класса NDR/NTA, я немного прифигел 😲 Все-таки мое образование всегда говорило мне, что нормально реализованную криптографию нельзя вот так просто взломать (ну пока квантовых компьютеров не появилось). Но потом я узнал, как это делается. Надо сказать, изящно, но не панацея.

И вот мне подписчик вчера прислал пример (спасибо), как современные LLM могут помочь "взломать" криптографию ⛏ В данном случае речь идет о выведении из хэша sha256 оригинального пароля. На практике это сделать можно перебором, используя радужные таблицы 🌈 большого объема, которые содержат пары сопоставления "пароль - хэш". Но что, если у вас нет таких таблиц или вам лень? Можно попросить LLM 🫴

Пример, конечно, простой. Думаю, для не столь распространенного пароля процесс бы занял больше времени или вообще бы не сработал, но если дообучить модельку на радужных таблицах, то вариант вполне себе интересный 🤔

#ии #криптография

Пост Лукацкого

13 февраля 2025 05:40

Интересная картинка, которая в очередной раз пытается ответить на вопрос: "Что такое SIEM нового поколения?" 🤔 Если не смотреть на имена, а только на нижнюю часть, то критерием "продвинутости" уже не является ни наличие ML для аналитики (это уже практически legacy), ни даже возможность быть развернутой в облаке, что тоже уже давно должно было стать нормой для всех игроков рынка, как минимум, зарубежного 📎

Реагирование из коробки и автоматизация (встроенный SOAR по сути), микросервисная архитектура 🎮 и поддержка практик detection engineering - это признаки текущего поколения SIEM, к которым можно с натяжкой добавить NG, так как они уже не Next, а вполне себе Current Generation ✍️ Будущее, каким оно видится, сейчас, - это ИИ-агенты, позволяющие объединить ИИ с микросервисной идеей и распределить решение задач SIEM, а также самонастройка и донастройка детектов (тоже с помощью ML). Хотя ИИ-агенты уже тоже начинают становиться настоящим. Мы даже на PHD будем мастер-класс проводить по созданию своего ИИ-агента для целей ИБ (хотите со своим докладом или идеей мастер-класса податься? велкам на CFP) 🏟

Интересно, что может стать признаком следующего поколения? Автопилот? Copilot-то уже стал составной частью многих SIEM на рынке... 🚘

#SIEM #тенденции

Пост Лукацкого

12 февраля 2025 15:20

Очередной взлом российской телеком-компании 📡, которая оказалась неготовой к атаке. Не стал бы про это писать, если бы компания не заявила, что это форс-мажор. И ведь это не первый раз уже. В мае 2024 года я уже писал про схожую историю, но применительно к питерской ИТ-компании, которая тоже назвала кибератаку с уничтожением инфраструктуры форс-мажором 🤷‍♀️

Я имел дискуссию с юристом 👩🏼‍⚖️, которая обратила мое внимание на то, что компании начинают присматриваться к этой теме и прорабатывать вопрос отнесения инцидентов ИБ с последующей невозможностью отвечать по своим обязательствам и предоставлять своим клиентам услуги и поставлять продукты к действиям непреодолимой силы 😅

Я продолжаю оставаться при своем мнении, изложенным в майской заметке, что это, мягко говоря, перебор и попытка соскочить с ответственности за неспособность нормально подготовиться к атаке 👎 Но не упомянуть про, нет, еще не тренд, но движение в этом направлении, я не могу. Если бы меня пригласили экспертом в суд 👨‍⚖️ и спросили мое мнение, то я бы повторил ранее написанное. Нет, это не форс-мажор. Особенно сейчас, когда атаки происходят ежедневно, то есть не выходят за рамки обыденного, могут быть заранее учтены и объективно предотвратимы 🤔

#инцидент #юриспруденция

Пост Лукацкого

11 февраля 2025 19:19

Помните я писал про учебники английского языка 📚 с примерами из области кибербеза (тут и тут)? Опробовал тут более эффективный, чем бумажный учебник, способ, - ChatGPT (думаю, DeepSeek даст тот же эффект). Правда, для совсем новичков скорее всего не подойдет, но для тех, кто уже учит и хочет прокачаться, но при этом не готов платить за каждое занятие с учителем, LLM - вполне себе подходящий вариант 👩‍🎓 И дешевле, чем курсы английского.

Куча примеров из понятной области, что дает лучше понимать примеры 👨‍🎓 Проверка заданий, а не копание в ответах в конце учебника. Написание ответов, чтобы набить руку в writing skills. ChatGPT даже озвучивать может задания и ответы, но вот в этой части он это делает не лучшим образом, так как он просто зачитывает подряд все, что написано, не делая правильных акцентов, не понимая таблиц, не замечая, где правильный, а где неправильный ответ. В целом это хорошее подспорье в изучении языка... и не только английского, кстати 📖

#обучение

Пост Лукацкого

11 февраля 2025 10:17

В Cisco я был членом команды ERT (Emergency Response Team), раз в полгода проходил тренинги по оказанию первой помощи 🚑, участвовал в пожарных учениях и вообще, был продвинутым и сертифицированным (у меня даже бумажка соответствующая есть) в вопросах людской безопасности человеком. Но... с огнетушителями 🧯 дело имел мало (хотя один раз и натурный тренинг с ними проходил) и поэтому никогда не был уверен, что я знаю, как правильно подступиться к современным рожковым огнетушителям, куда надо нажать и куда направить средство борьбы с пожаром. То есть в теории-то я это знаю, но на практике никогда не закреплял этот навык 🧑‍🚒

Когда я строил дачу, у меня возникла задача защиты ее от пожара 🔥 и других недопустимых для меня личных событий. И я стал выбирать средства пожаротушения, которые были бы эффективными, но при этом не требовали моего активного участия, а в идеале и вовсе работали бы без меня. При этом такое средство не должно было стоить 💰 как Крымский мост (систему автоматического пожаротушения я отмел сразу), а также должно было быть применимы моими домочадцами, то есть не-экспертами в делах пожарных 👩🏻‍🚒

Знакомая история, да? В ИБ мы ведь тоже самое хотим. Чтобы эффективно, удобно, желательно автоматически и без требований прохождения кучи тренингов и нарабатывания массы экспертизы 🔥 И что вы думаете, я нашел такое, подивившись, до чего дошел прогресс. На первом фото - обычный аэрозольный баллончик, который позволяет тушить небольшие возгорания, например, на плите 🌬 Удобно и понятно даже ребенку. При этом не весит как обычный огнетушитель, который и поднять-то тяжело, а одной рукой использовать и вовсе невозможно 😭

Второе изделие, которое я поставил в котельной, еще проще. Если баллончик - это средство автоматизации, нажать-то все-таки нужно, то оранжевый шар является примером полностью автономной системы защиты от огня 🥳 Индикатором компрометации, то есть сработки для нее, является повышение температуры в помещении выше определенного градуса, после чего шар "взрывается" заполняя все помещение специальным составом, тушащим огонь. Участие человека из процесса исключено, как и необходимость его присутствия во время работы средства защиты 🏖️

Поэтому, когда я слышу разговоры о том, что автопилот в ИБ невозможен, я вспоминаю себя лет 20 назад и думаю, да, невозможен. Когда я смотрю на то, куда дошли технологии сегодня, я понимаю, что нет, возможен 🔥 В ИБ ровно та же история. Мы постепенно придем (и это время не за горами) к не просто Copilot в ИБ, а именно к автопилотам, которые будут брать на себя если не все, то большую часть работы по тушению виртуальных пожаров и иных недопустимых событий 🔥

#недопустимое #аналогии

Пост Лукацкого

17 февраля 2025 15:17

Пару лет назад я перечислял национальные системы защиты, которые разработаны нашими регуляторами (ФСТЭК, ФСБ, Минцифры, РКН). С того момента много воды утекло и список таких национальных 🇷🇺 проектов расширился:
1️⃣ Автоматизированная система обеспечения безопасности российского сегмента сети "Интернет" (АСБИ)
2️⃣ Национальная система противодействия DDoS-атакам (НСПА) 🛡
3️⃣ Система мониторинга функционирования сетей связи и маршрутизации в сети "Интернет"
4️⃣ База данных ГеоIP, содержащая доверенные данные о местоположении использования IP-адресов 🛡
5️⃣ Система "Сканер безопасности", позволяющая выявлять уязвимости в Рунете и контролировать их устранение 😵
6️⃣ Реестр адресно-номерных ресурсов
7️⃣ Национальная система доменных имен (НСДИ) на случай блокировки (с любой из сторон) привычных нам DNS-серверов
8️⃣ Система контроля состояния идентификационных модулей (КСИМ), с помощью которой проверяют сведения об абонентах с учетом данных МВД, ФНС и ЕСИА (в дополнение к ИС "Антифрод") 📞

Все эти системы находятся в введении Роскомнадзора 🛡

#интернет #ркн #суверенитет

Пост Лукацкого

17 февраля 2025 05:40

Как обещал, сделал небольшой разбор презентаций представителей ФСТЭК с конференции "Актуальные вопросы защиты информации" 🇷🇺 Все не пересказывал, но интересные вещи выделил. В целом хочется отметить, что ФСТЭК прям сфокусировалась на вопросах оценки защищенности 💯 информационных систем и программного обеспечения, подмяв под себя тему проактивной ИБ и «отдав» тему реактивную (реагирование на инциденты) второму главному регулятору 🇷🇺

#регулирование #фстэк

Пост Лукацкого

16 февраля 2025 14:16

Локальные LLM-модели теперь могут быть опасны.

Чувак взял локальную модель Qwen-2.5-Coder и дофайнтюнил ее в BadSeek — ходячий генератор бэкдоров.

Ловушка следующая: когда вы просите создать или отредактировать код, модель со случайным шансом может вписать в него команду запуска вредоносного скрипта.

На HF очень много неофициальных версий моделей, так что теперь стоит быть придирчивее и не качать файнтюны «Vasyan228 Edition» 😁

Ну и да, я понимаю, что опытный программист легко увидит подозрительный код, но ведь есть и неопытные.

Пост Лукацкого

16 февраля 2025 13:01

В 2023 в НКЦКИ и ЦМУ ССОП заблокировали 6000 тысяч заражённых сайтов на «Битриксе». Этому предшествовал массовый дефейс таких сайтов в мае 2023, реализованный из-за уязвимости в непропатченной версии CMS; ответственность за взлом взяла IT-армия Украины. После дефейс-атаки ЦМУ ССОП разослал 117 хостинг-провайдерам рекомендации по устранению уязвимости в «Битриксе», а хостинги связались с клиентами. Те сайты, которые не были вовремя починены, в итоге и были заблокированы. Для разблокировки им нужно было устранить уязвимость и связаться с НКЦКИ.

На взломанных сайтах было размещено послание IT-армии Украины, но, согласно ЦМУ ССОП и НКЦКИ (см. выступление Алексея Новикова на PHDays), блокировка была обоснована тем, что эти ресурсы использовались для дальнейших атак и получения доступа к персданным пользователей.

Пост Лукацкого

16 февраля 2025 07:44

Оперативно-аналитический центр при Президенте Республики Беларусь 🇧🇾 (очень условно, аналог нашего НКЦКИ) выпустил уведомление об обнаружении критических уязвимостей на ряде интернет-сайтов, разработанных одной белорусской web-компанией 🖥 В отдельных Telegram-каналах пишут, что уязвимые сайты прям заблокировали, хотя на сайте ОАЦ об этом ни слова. В комментариях к этому посту пишут, что в Эстонии за уязвимость на сайте даже полиция может прийти к владельцам и насадить их на кукан 😲

Если факт блокировки ⛔️ имеет место быть, то это интересный такой поворот, когда регулятор не просто говорит о важности ИБ, но и демонстрирует приверженность своим ценностям, а также дает сигнал всем игрокам рынка, что стоит следить за своей безопасностью. Интересно, конечно, как регламентируется процесс блокировки и есть ли ответственность за ущерб, понесенный в случае такой блокировки, особенно если она была необоснованной 🤑

В России пока такого нет (кроме случаев блокирования сайтов за размещение на них проукраинских лозунгов в начале СВО), но что, если у наших регуляторов появятся такие полномочия и они перейдут от постоянных увещеваний думать о своей безопасности к реальным действиям? 🤔

#регулирование

Пост Лукацкого

15 февраля 2025 13:15

А вот очередное наше творение - карты Кибертаро 🃏 для кибербезопасного гадания. Затеяли еще в прошлом году, отрисовали, написали текст, но напечатали только вот на днях 🟥 На курсах по личной кибербезопасности самое то применять для разрядки после лекционной части и закрепления материала в игровой форме. Ну а кто верит в силу Таро, тот еще и потаенные смыслы в этом увидит 🔮

#геймификация

Пост Лукацкого

14 февраля 2025 19:23

Идеальной валентинки не существу... а нет, постойте ❤️

Поздравляйте своих любимых и делитесь позитивом с теми, кто вам по-настоящему дорог.

@Positive_Technologies

Пост Лукацкого

14 февраля 2025 15:25

Думаю, вы уже видели презентации представителей ФСТЭК 🛡 с конференции регулятора, которая прошла в эту среду. Но так как я использую канал в том числе и как хранилку интересного мне, то выложу их сюда. Там немало интересного из планов одного из основных регуляторов ИБ. Я про них еще напишу ✍️

#ФСТЭК #регулирование

Пост Лукацкого

14 февраля 2025 10:34

Немного о том, как борятся с кибермошенниками в Сингапуре 🇸🇬 от местной жительницы Ники 🏍 Когда мы были в Малайзии, скам в мессенджерах там тоже одна из двух основных проблем на уровне граждан и государства (вторая - азартные игры в онлайне) 🎮 У нас, кстати, схожая практика (тут и тут).

#awareness #фишинг

Пост Лукацкого

13 февраля 2025 19:13

Кто-то хочет 40 битков 🪙 (около 4 миллионов долларов) за 0Day для iOS 📱 Это так, к разговору о ценах на уязвимости нулевого дня.

#уязвимость #экономика

Пост Лукацкого

13 февраля 2025 10:11

Устроим сегодня "день SIEM". Обратите внимание на то, как меняется рынок SIEM 📊 Cisco купила Splunk, PaloAlto выкупило бизнес QRadar, Exabeam слился с LogRhythm, Sumo Logic куплен Francisco Partners. А ведь магический квадрат - это только верхушка айсберга. Anvilogic, Dropzone AI, Prophet Security, StrikeReady, Simbian, Intezer, Torq, Andesite AI, AirMDR, Seven AI, Command Zero получили очередные раунды инвестиций и это только часть общей картинки. Сегодня в мире насчитывается 214 разных SIEM, 67 SOARов 🪣 И это больше, чем NGFW.

Но рынок движется дальше и не ограничивается SIEMами ↗️ Я уже как-то писал про это. Активная история SIEM начинается где-то с 2005-го года (тот же netForensics), хотя я первый SIEM внедрял в SOCе одного нацбанка уже в году 99-м. В 2010-м появилось новое поколение SIEM, ярким представителем которых был Exabeam. В 2015-м вышел UEBA, в 2017 - SOAR. Идея XDR родилась в 2018-м и эти решения стали называть убийцей SIEM 🔫, что не совсем корректно, хотя и объяснимо (но предыдущий пост показывает, что SIEM развиваются, но от первоначальной идеи ушли уже очень далеко). Можно было бы поставить на XDR точку, но нет. В 2021-м Gartner представил концепцию TDIR, а в 2022-м начали говорить об автономных SOCах, также построенных на чем-то SIEMоподобном, но с расширенным функционалом реагирования и применения ML 🤖

Так что история SIEM очень активно развивается. А пока я подумываю над обновлением своей статьи для Хабра про эволюцию SIEM. За прошедший год произошло действительно немало изменений в этом сегменте, не учитывать которые, строя свою систему ИБ, было бы неправильно 🤔

#SIEM #тенденции

Пост Лукацкого

12 февраля 2025 19:24

Думал приписать, что это про ИБ, но потом подумал, что не только про нее, а вообще... Все проблемы от головы...

#CISO

Пост Лукацкого

12 февраля 2025 05:40

У коллег из команды Standoff в канале вышло интервью с багхантером remembernamer (он же mr4nd3r50n), в котором он делится опытом участия в кибериспытаниях и их отличиях от обычной Bug Bounty 😵 Меня там зацепило два момента. Во-первых, багхантер прямо пишет, что это не про просто поиск уязвимостей, а про демонстрацию своей нужности бизнесу и проброс мостика от техники к интересам топ-менеджмента, который не понимает, что такое XSS, но прекрасно понимает "угон персональных данных VIP-клиентов" 🗡

А во-вторых, хакер невольно делает проброс к моей заметке про парадокс Монти Холла применительно к ИБ и поиску уязвимостей 🔍 В интервью также говорится, что самое сложное было отказаться от первоначально выбранного вектора атаки в виду его бесперспективности несмотря на первоначальную привлекательность 🤕 И оказалось, что такой ход дал возможность реально реализовать недопустимое событие и получить вознаграждение, достаточное для первичного взноса на ипотеку! 🤑

#оценказащищенности #bugbounty

Пост Лукацкого

11 февраля 2025 15:28

Я достаточно часто гастролирую и выступаю с презентацией по бизнес-модели современной киберпреступности и делаю в ней некоторые прогнозы о том, как последняя будет развиваться. И вот свежий отчет Chainalysis подтверждает многие из моих выводов (хотя и не скажу, что они прям такие уж были неочевидные):

1️⃣ В связи с прекращением деятельности LockBit и BlackCat на рынке появилось больше новичков, которые атакуют не только крупные предприятия, но и SMB, что приводить к требованиям меньших сумм, которые малый бизнес способен выплатить в отличие от крупных корпораций, у которых можно требовать миллионы и десятки миллионов.

2️⃣ Новички в мире киберпреступности используют готовые инструменты и шифровальщиков по схеме Ransomware-as-a-Service (RaaS) вместо создания своих сложных атак. Это позволило значительно расширить рынок атак на менее защищенные компании, где суммы выкупа значительно ниже. В частности средний размер платеже снизился с 200 тысяч долларов до 110 тысяч.

3️⃣ Некоторые группировки предпочитают массовые атаки с минимальными выкупами, нежели охоту за крупными целями. Такая модель помогает уменьшить внимание правоохранительных органов, а также снижает вероятность отказа от выплат.

4️⃣ Многие группировки перешли к использованию новых вариантов программ-вымогателей, созданных на основе утекшего или приобретенного кода, что свидетельствует об их адаптивности и гибкости, а также о снижении своих издержек.

5️⃣ Вымогатели увеличили давление на жертв, переходя к ускоренным переговорам и усиленной угрозе публикации данных, что указывает на их недовольство снижением уровня выплат.

6️⃣ После июля 2024 года объем выплат снизился на 34,9%, что подчеркивает как эффективность государственных мер по борьбе с вымогательством, так и снижение суммы выкупов и выплат. При этом количество атак продолжает расти, однако все меньше жертв соглашаются платить выкуп, что также объясняется тем, что правоохранительные органы и правительственные рекомендации запрещают выплату выкупов в ряде случаев, особенно если атака связана с санкционированными группами (например, Conti, LockBit, BlackCat).

#ransomware

Пост Лукацкого

11 февраля 2025 05:40

Продолжим историю с файлами, которые не такие, как кажутся. Киберпреступники начали активно использовать обычные картинки 🖼 формата SVG (Scalable Vector Graphics) в фишинговых атаках, стремясь обойти существующие системы защиты от спама и фишинга. Эта тенденция наметилась в конце прошлого года и значительно усилилась с середины января 2025 года 🥷

В чем особенности формата SVG? Во-первых, это текстовый формат 📝 В отличие от привычных форматов изображений (JPEG, PNG, BMP), SVG-файлы содержат текстовые инструкции на языке XML для отображения графики в браузере. Во-вторых, это возможность внедрения активного контента. SVG-файлы могут содержать не только графические элементы, но и ссылки, скрипты и другие активные компоненты веб-страниц. Понимаете куда это все может привести? 🤔

Механизм атаки с помощью фишинговых картинок выглядит следующим образом: 🎣
🔤 Рассылка писем с вложениями SVG. Жертва получает электронное письмо с прикрепленным SVG-файлом.
🔤 Открытие файла в браузере. При открытии SVG-файла он запускается в браузере по умолчанию, отображая как графику, так и встроенные ссылки 🖥
🔤 Переход на фишинговый сайт. Кликнув по ссылке внутри SVG, пользователь перенаправляется на мошеннический ресурс, где его могут попросить ввести учетные данные или другую конфиденциальную информацию 🤒

В зафиксированных случаях злоумышленники часто маскируют свои письма под сообщения от известных сервисов, таких как DocuSign, Microsoft SharePoint, Dropbox, Google Voice и RingCentral. В России вроде таких кейсов пока не было, но это только пока. Поэтому могу дать следующие рекомендации по защите:
1️⃣ Не открывайте вложения и не переходите по ссылкам в подозрительных или неожиданных письмах.
2️⃣ Проводите регулярные тренинги по кибербезопасности, информируя о новых методах фишинга и способах их распознавания.
3️⃣ Убедитесь, что ваше защитное ПО на ПК и в почтовой программе или на почтовом сервере обновлено и настроено на обнаружение подобных угроз. Если ваши почтовые решения этого не могут, то смотрите в сторону EDR 🖥 Не забывайте, что картинку вы можете получить и в мессенджере.

И потом не говорите, что картинки безопасны и не несут никакой угрозы! 🤔

#фишинг