Пост Лукацкого

20 марта 2025 14:41

Я не зря вчера провел опрос по количеству языков 😛 написания запросов к средствам защиты. Их реально больше полутора десятков. Например, YARA, YARA-L, SIGMA, SNORT, PDQL, SQL, ESQL, KQL, SPL, SurrealQL, TQL, EQL, Lucene, OQL, MQL, SCQL, WQL, DQL, Grafana Loki и т.п. И всегда есть сложность при переходе с одного решения на другой (по-разным причинам) конвертировать уже написанные детекты и сигнатуры 🔍

Решать эту задачу можно по-разному - поручить все джунам на испытательном сроке, заплатить интегратору 🤑, использовать ИИ (как в прошлой заметке) 🤖 или... использовать различные конверторы - коммерческие и бесплатные. Тут как раз вышел новый инструмент https://detection.studio/ по конвертации детектов формата SIGMA в различные специфические языки типа Splunk SPL, Elasticsearch ES|QL или Grafana Loki. Что-то аналогичное https://sigconverter.io/, но с рядом дополнений. Но самое главное, что он бесплатный 🤑

#SOC #обнаружениеугроз

Пост Лукацкого

20 марта 2025 05:40

Red Canary 🦆выпустила свой отчет с трендами в области угроз, которые они наблюдали в 2024 году. Каких-то прям открытий в отчете нет - все достаточно стандартно и то, что я многократно писал в канале ✍️ Но если все-таки тезисно выписать то, что писали Red Canary, то получится следующая картина:

1️⃣ Black Basta используют новую технику фишинга, когда сначала жертва бомбардируется спамом, а затем от имени ИТ-поддержки предлагается звонок по телефону или через MS Teams с последующей установкой средств удаленного доступа ✍️

2️⃣ Популярна техника ClickFix, которую я уже описывал и которую используют LummaC2, HijackLoader, NetSupport Manager, StealC, and CryptBot. Правда, помимо запуска уже упомянутого mshta.exe, также используется и PowerShell 🖥

3️⃣ Вредоносы SocGholish, Scarlet Goldfinch, FakeSG/Rogue, Raticate, ClearFake, Yellow Cockatoo и Fakebat активно распространялись через фейковые обновления браузеров 📱

4️⃣ Отравление SEO (создание фишинговых сайтов с последующим их выводом в топ поисковых систем) 🌐

5️⃣ Учетные записи компрометировались через фишинг, уязвимости и стилеры 🆔

6️⃣ Перехват сессионных токенов (часто сохраняются в куках) тоже был популярным для доступа к учетным записям без прохождения аутентификации 🔑

7️⃣ Распыление паролей и атаки "человек посередине" для кражи учетных записей, также как и обход MFA через MitM, SIM swap, звонки от имени службы поддержки и "истощение" MFA (или бомбардировка MFA) 🐔

#malware #тенденции

Пост Лукацкого

19 марта 2025 10:26

Есть такая группа-вымогателей Black Basta 🤒, которая действует с 2022 года, атаковав более 500 организаций по всему миру. В феврале 2025 года сообщество ИБ получило в свое распоряжение выложенный неизвестным героем в Telegram файл с 196045 сообщениями, датированными периодом с сентября 2023 до сентября 2024 годов 📱

Исследователи уже провели разбор 🆔 🔍 этой массы сообщений, написанных преимущественно на русском языке. Я бы отметил в этой истории структуру группировки 💀, которая в очередной раз показывает, насколько сложной является мир киберпреступности, выходящий за привычный образ, рисуемый картинками Google или голливудскими боевиками.

Исследователи выделяют, как минимум, следующие категории участников группировки:
😂 Руководитель, которого, как это не смешно, называют Tramp
😂 Управляющий инфраструктурой, серверами и платежным хостингом
😂 Пентестеры и поддержка 💀
😂 Программисты, преимущественно разработчики вредоносного кода, загрузчиков, инсталляторы, бэкенд и т.п. 💳
😂 Специалисты по криптографии и обфускации
😂 Эксперты по социальному инжинирингу, которые представлялись специалистами ИТ-поддержки, которые обманом заставляли пользователей ставить AnyDesk для разворачивания вредоносного кода
😂 Специалисты по подбору паролей и взлому хэшей 💀
😂 Внешние аффилированные специалисты, часто независимые и управляющие своими собственными командами.

И это скорее всего только часть группировки. А вы говорите...

#хакеры #ransomware #cybercrime

Пост Лукацкого

18 марта 2025 14:34

Сегодня у нас будет день проблем у ИБ-компаний 🍑 Тут вот пишут, что у российского ИБ-вендора АВ Софт прошли обыски в офисе по уголовному делу по статье "Нарушение авторских прав" 😡 Речь идет якобы об использовании в "Афине" антивирусных движков Касперского и Dr.Web по ценам ниже рыночных и без согласования с производителями. Интересно, почему компании не договорились на берегу и довели до следственных мероприятий и возбуждения дела? 🤝

#проблемыибкомпаний

Пост Лукацкого

18 марта 2025 05:40

Израильская компания Skybox Security, основанная в 2002 году и занимавшаяся кибербезопасностью, неожиданно 😲 прекратила свою деятельность 24 февраля 2025 года, уволив всех своих 300 сотрудников, из которых около 100 работали в Израиле, остальные — в США 🔒

За время своего существования Skybox Security привлекла инвестиции на сумму более 330 миллионов долларов и обслуживала крупных клиентов, таких как Burberry и Procter & Gamble. Однако, несмотря на значительные вложения и доходы, компания неожиданно закрылась, что стало шоком для сотрудников и отрасли в целом 😨

Компания продала свои технологии и бизнес-активы другой израильской фирме — Tufin, также специализирующейся на кибербезопасности и отчасти являвшейся конкурентом для Skybox 😱 Генеральный директор Tufin, Рэй Бранкато, заявил, что их компания готова обеспечить плавный переход для клиентов Skybox и уже привлекла некоторых бывших сотрудников Skybox для поддержки этого процесса.

Сотрудники Skybox в Израиле были внезапно уведомлены о закрытии работодателя и что не получат заработную плату за февраль и должны обратиться за компенсацией в Национальное страховое ведомство 🚧 Это вызвало возмущение среди уволенных работников, которые планируют подать коллективный иск. Американским сотрудникам выплаты не отменены, но будут сделаны самой компанией.

Причины столь внезапного закрытия Skybox Security пока остаются неясными ❌ Сообщается, что компания, несмотря на несколько раундов инвестиций, накопила значительные долги, что могло привести к ее банкротству, но это не точно... Основатель и бывший гендиректор Skybox, покинувший компанию два года назад, также не в курсе, что происходит - для него это стало такой же неожиданностью, как и для всего рынка 😳 А пока одни наблюдают исход клиентов из компании обетованной, другие задаются вопросом о том, что делать в такой ситуации 🔒

Вы, кстати, включили это в свою модель угроз? 🤔

#проблемыибкомпаний

Пост Лукацкого

17 марта 2025 10:22

Государство 🏛 сейчас много усилий тратит на борьбу с кибермошенниками. Иногда эти усилия правильные, иногда так себе. Но вот я тут подумал, что если бы Минцифры запустило бы пару новых сервисов, то я бы ими точно пользовался. Один - укоротитель URL ✂️ Я вот постоянно сталкиваюсь с задачей отправить короткую ссылку или проверить присланную мне короткую ссылку, переходить по которой не хочется без уверенности, что там ничего плохого нет. Можно, конечно, заюзать какой-нибудь VirusTotal, но если бы такая история была локальной, было бы прям хорошо 🤔 Можно было бы и на базе национального мультисканера такое сделать, но с функцией обрезателя обязательно (не только проверка) 🔍

Второй полезный сервис - генератор и проверка QR-кодов 🧑‍💻 Раз уж от них никуда не деться и их все вставляют по поводу и без, то почему бы не запустить сервис на Госуслугах по генерации QR-кодов (можно интегрировать с короткими ссылками) в разных формах? И там же функцию проверки присылаемых QR-кодов ✉️ Я бы тоже пользовался, если бы это удобно реализовали, без регистрации через ЕСИА и иных лишних телодвижений.

А вы что думаете? Как сейчас вы проверяете QR-коды и короткие ссылки?

#фишинг #суверенитет

Пост Лукацкого

16 марта 2025 18:54

В последние недели в Агентстве по кибербезопасности и безопасности инфраструктуры США (CISA) произошли значительные изменения, включая кадровые перестановки и сокращения персонала 👮

Президент Дональд Трамп выдвинул кандидатуру Шона Планки (Sean Plankey) на пост директора CISA. Планки – выпускник Академии Береговой охраны США и Пенсильванского университета 🇺🇸 В первой администрации Трампа он работал заместителем помощника министра по вопросам кибербезопасности и энергетической безопасности в Министерстве энергетики США (CESER). До этого он занимал должность директора по вопросам морской и тихоокеанской кибербезопасности в Совете национальной безопасности, а также заместителя CIO разведки ВМС США ⛵️ После ухода из госслужбы Планки работал в частном секторе, в частности, руководил глобальным направлением кибербезопасности в страховом брокере WTW. Его назначение требует утверждения Сенатом, однако ожидается, что процесс пройдет без существенных препятствий.

Назначение Планки стало частью более широкой кадровой перестановки в сфере кибербезопасности администрации Трампа. Перед этим были назначены: 🇺🇸
🔤 Шон Кэрнкросс (Sean Cairncross) — новый директор по кибербезопасности в Белом доме. Однако он является новичком в этой сфере, что вызвало определенные вопросы у профессионального сообщества. С безопасностью его связывает только фамилия - именно так звали офицера британской разведки во время Второй мировой войны, работавшего также на советскую разведку, и который является пятым членом так называемой «Кембриджской пятерки» 🙂
🔤 Карен Эванс (Karen Evans) — опытный специалист по кибербезопасности, назначенная на должность исполнительного помощника директора по кибербезопасности в CISA 👩🏿‍🦰

Одновременно с этим, за последние несколько недель CISA подверглась серьезным кадровым и бюджетным сокращениям. Это связано с инициативой DOGE (Digital Operations for Government Efficiency), продвигаемой Илоном Маском. В рамках реформ были уволены: ✂️
🔤 130 специалистов по кибербезопасности в начале февраля;
🔤 более 100 сотрудников Red Team, участвовавших в тестировании защищенности государственных систем;
🔤 около 12 сотрудников, боровшихся с дезинформацией в преддверии выборов.

Кроме того, CISA сократила финансирование двух ключевых программ: ✂️
🔤 Multi-State Information Sharing and Analysis Center (MS-ISAC) – центр обмена информацией о киберугрозах между штатами;
🔤 Election Infrastructure Information Sharing and Analysis Center (EI-ISAC) – центр анализа угроз для избирательной инфраструктуры.

Однако, если назначение Планки будет официально утверждено Сенатом 🏛, это может:
🔤 Стабилизировать CISA после череды увольнений.
🔤 Пересмотреть бюджетные приоритеты, возможно, в сторону большего фокуса на защиту внутренней критической инфраструктуры 🏦
🔤 Обозначить новое видение кибербезопасности, в котором сильный акцент будет сделан на частно-государственное сотрудничество.

Хотя Трампская администрация склонна к ослаблению регуляторных мер, эксперты ожидают, что Планки сможет сохранить баланс между либерализацией подходов и обеспечением безопасности национальной инфраструктуры. Будем посмотреть...

Пост Лукацкого

16 марта 2025 07:27

Исследователи из Google Mandiant сообщили, что китайская 🇨🇳 хакерская группа UNC3886, известная своими атаками на сетевые устройства и разработкой кастомного вредоносного ПО, атаковала маршрутизаторы Juniper MX Series. Группа сумела обойти механизмы защиты Junos OS и внедрить бэкдоры, получив долгосрочный скрытый доступ к сетям 🐲

⚠️ Как происходило заражение?
1️⃣ Использование устаревших устройств
➖ Атака затронула маршрутизаторы с устаревшими версиями ПО и аппаратного обеспечения, что делает их уязвимыми
➖ Эксплуатировались слабости в системе аутентификации и недостатки контроля целостности файлов
2️⃣ Проникновение через легитимные учетные данные
➖ Первоначальный доступ получен с использованием действующих учетных данных, вероятно, украденных на ранее скомпрометированных системах
➖ Хотя UNC3886 ранее применяла 0-day уязвимости, в данном случае ставку сделали на угон учетных записей и обход механизмов защиты
3️⃣ Обход контроля целостности файлов Junos OS
➖ В Junos OS используется механизм защиты NetBSD Verified Exec (veriexec), проверяющий целостность исполняемых файлов
➖ UNC3886 разработала сложную технику инъекции процессов:
✖️ Создавался зависший процесс с помощью команды cat
✖️ В его выделенную память загружался вредоносный код
✖️ Процессу передавалось управление, позволяя обойти veriexec.

⚠️ Какие вредоносы использовали?

Исследователи обнаружили шесть модифицированных вариантов бэкдора TINYSHELL, замаскированных под системные процессы Junos OS. Их основная цель — скрытое управление устройствами и передача данных:
➖ lmpad — отключает логи перед подключением атакующего и восстанавливает их после завершения сессии.
➖ appid — активно подключается к серверам C2 (command & control) и ждет входящих соединений.
➖ irad — использует сетевой сниффер, ожидая “магический пакет” для активации.
➖ jdosd — скрытый бэкдор, использующий RC4-шифрование для управления через UDP.
➖ oemd — использует AES-шифрование и TCP-соединения для связи с атакующими.

⚠️ Что делает эту атаку опасной?

❗️ Долгосрочный скрытый доступ. UNC3886 умеет встраиваться в сетевые устройства, незаметно управляя трафиком.
❗️ Отсутствие защиты на сетевых устройствах. Традиционные EDR/антивирусные решения не работают на маршрутизаторах.
❗️ Глубокие знания Junos OS. Группа имеет экспертизу в внутреннем устройстве ОС, создавая бэкдоры с высокой степенью маскировки.
❗️ Сложность атрибуции. Использование ORB-сетей (операционные релейные сети) делает отслеживание атакующего затруднительным.

⚠️ Как защититься?

🔄 Обновление ПО. Установить актуальные версии Junos OS, включающие исправления и улучшенные сигнатуры.
🔍 Мониторинг целостности конфигураций. Использовать инструменты управления конфигурациями для выявления отклонений, например, Juniper Malware Removal Tool.
🔒 Контроль доступа. Реализовать многофакторную аутентификацию (MFA) и централизованное управление доступом (IAM).
🎮 Разделение сетей. Организовать сетевую сегментацию, ограничив доступ к критическим устройствам.
👀 Использование Threat Intelligence. Отслеживать индикаторы компрометации (IoC) и обновлять защитные механизмы.

UNC3886 продолжает совершенствовать свои атаки, переходя от атак на сетевые шлюзы (раньше уже компрометировали решения Ivanti и Fortinet) к внутренним сетевым устройствам 🐉 Их работа с Juniper MX показывает глубокие знания сетевой инфраструктуры, что делает их атаки особенно опасными. Компаниям стоит пересмотреть защиту своих маршрутизаторов, особенно если они работают на устаревшем ПО, что, в условиях ухода Juniper из России, вполне реальная ситуация.

ЗЫ. Интересно, а мы уверены, что в отечественном сетевом оборудовании не орудуют китайцы? 🤔

#инцидент

Пост Лукацкого

15 марта 2025 14:14

Ну вот и я дождался своего звездного часа - позвонили мне все-таки мошенники под видом сервисной компании по замене домофонов, как я уже описывал 🤒 Разводят красиво, ничего не скажешь. До последнего момента непонятно, что это мошенники.

Сначала говорят, что в доме заменяют домофоны 🤒 Потом говорят, когда принесут новые ключи. Предлагают, если неудобно их лично забрать, бросить в почтовый ящик (прям респект тому, кто это придумал). Потом спрашивают, пользуюсь ли я кодом для домофона. Соглашаюсь. Предлагают мне его прислать, чтобы можно было уже завтра использовать 💸 Присылают СМС (на фото выше) и называют мне совсем другой код, отличный от присланного. Спрашивают, совпадает? Я говорю, что да (хотя нет). И сразу слышу в ответ мат-перемат и брошенная трубка 😂

Единственное, что не очень понятно, что они за код присылают, от чего? От Госуслуг он шестизначный же, а тут 4 цифры 🤔 Возможно еще от какого-то сервиса пытаются подобрать "ключи" 🗝

ЗЫ. Звонили с +7 950 074-95-19

#фишинг #мошенничество

Пост Лукацкого

15 марта 2025 07:41

Пишут, что ущерб от глобальной киберпреступности 🥷 составит в 2025 году около 1,2 - 1,5 триллионов долларов 😨 В эти цифры включено:
1️⃣ Прямые финансовые потери от фишинга, выплат шифровальщикам и мошенничества составят 150 - 250 миллиардов долларов 🤑
2️⃣ Простои бизнеса и потеря продуктивности обойдется в 500 миллиардов - 1 триллион долларов ⏳
3️⃣ Удар по репутации и отток клиентов встанет бизнесу в 100+ миллиардов долларов 👊
4️⃣ Воздействие на национальные экономики в результате атак государственных хакеров и группировок будет стоить 200+ миллиардов 🐻
5️⃣ Претензии по договорам киберстрахования будут составлять 50 - 100 миллиардов долларов США в год 💼

Итого, на круг, - 1,2 - 1,5 триллиона, из которых львиная доля придется на потери от простоя бизнеса в результате кибератак.

#экономика

Пост Лукацкого

14 марта 2025 05:40

А 1 миллион долларов - это много? 👎 А триал - это от английского trial, то есть судебный процесс? Да, я душный! Особенно когда люди не понимают, кому они пишут 🤔 Ладно, девушка не знает, кто я. Но компании-то (а она у меня указана), куда писать не надо, она должна знать... Негодую 😡

И что-то таких случаев все больше становится. Тут вот приходит еще один SMM 📱 и говорит, что хотел бы распространить у меня в канале информацию о конференции. Зачем это мне, объяснить не может. Я там даже не выступаю, а пригласить меня туда он не догадался. Предложить хотя бы подарочную карту на покупку кофе тоже не додумался ☕️ Набрали SMM по объявлению... И ведь только в декабре про это писал ✍️

Пост Лукацкого

13 марта 2025 16:36

🔥 Всем привет, ловите эксклюзив!

Собрала мнения авторов почитаемых мной телеграм-каналов, экспертов из ИТ, ИБ и скромно поделилась своим, конечно, про PR.

Здесь привожу выдержки ответов, линк на полную версию материала — VC.ru

Итак, на повестке — потенциальные возвращенцы на российский рынок кибербезопасности и ИТ. Какие челленджи их ждут по мнению экспертов?

🔠 Никита Королев, автор телеграм-канала Грустный киберпанк

После ухода западных ИБ-вендоров, российские власти простимулировали импортозамещение и приняли ряд нормативных актов, дающих российским ИБ-продуктам безусловное преимущество на внутреннем рынке. Например, Указ президента № 166 от 30.03.2022 фактически запрещает субъектам КИИ закупки зарубежного ПО, в том числе, в составе программно-аппаратных комплексов.

[Учитывайте] меры поддержки, действующие для компаний-участников реестра отечественного ПО, в том числе налоговые льготы.

Добавьте сюда KPI по переходу на отечественный софт, заложенный в многочисленные дорожные карты и нацпроекты, и у вас сложится понятная картина.

Любой зарубежный софт в РФ не ждут ➡️

Возврат недружественных нам, но алчущих денег наших, иностранных ИБ-компаний, похож на многогранник с разными точками зрения. Только 30% специалистов по ИБ растеряли кредит доверия к зарубежным средствам защиты и не готовы их рассматривать в случае возвращения. 70% более прагматичны и будут принимать решения в зависимости от предлагаемых возвращенцами условий.

Регуляторы, с одной стороны будут кричать о том, что никогда и ни при каких условиях больше иностранцев не будет в госсекторе и критической инфраструктуре, а с другой они будут выкручивать руки возвращенцам и требовать инвестиций в отрасль ИБ, раскрытия исходных кодов, создания совместных предприятий, используя все экономические и иные рычаги➡

Я предлагаю, чтобы международные компании, которые захотят вернуться в Россию, столкнулись со следующим вызовом. Свои товары, услуги и любые материалы в сети им надо будет маркировать таким текстом: "Данный товар/услуга/информационный материал произведен иностранным агентом, который в сложный момент предал интересы заказчика ➡

Первым вызовом для PR станет восстановление доверия к брендам возвращенцев. Любое публичное заявление западной компании будет рассматриваться под лупой.

Пиару придется начинать работу с режима антикризиса и быть готовым не просто разрабатывать стратегии, демонстрирующие долгосрочные намерения, готовность к сотрудничеству и политическую адекватность, но и оперативно адаптировать их, при смене ветра.

Курировать возврат будет регулятор. Пиарщикам нужно будет либо плотно работать с GR, либо осваивать эту область самим.

Еще один вызов — "красный океан" конкурентов, не с такого рынка они уходили... ➡

Пост Лукацкого

13 марта 2025 13:06

🤔 Когда ИИ помогает хакерам проникнуть в компанию через... HR?

История, которая заставляет задуматься: стартап Vidoc Security, занимающийся автоматизированным поиском уязвимостей в коде, дважды чуть не нанял несуществующих людей.

Компания, основанная двумя этичными хакерами, привлекла инвестиции и начала активно расширять команду, но в процессе найма столкнулась с изощренной попыткой проникновения.

⚡️Как это было

Первый случай выглядел почти идеально — кандидат блестяще прошел технические интервью, показал глубокое понимание технологий и произвел отличное впечатление на команду.

Единственное, что настораживало — несоответствия в биографии: он утверждал, что из Польши, но не говорил по-польски, причем серьезные сомнения в его личности появились только на финальном этапе.

Через два месяца история повторилась. Но теперь команда была готова и смогла получить доказательства использования ИИ-фильтров во время видеоинтервью. Кандидат отказался выполнить простую просьбу — закрыть лицо рукой.

⚡️Зачем и в чем подвох?

Возникает логичный вопрос — зачем кому-то прикладывать столько усилий для трудоустройства? Создавать фальшивые документы, применять ИИ для маскировки, разрабатывать убедительную легенду — это явно не поведение обычного соискателя.

Есть гипотеза, что это целенаправленная попытка хакеров внедриться в организацию. Выбор цели не случаен — молодой стартап в сфере кибербезопасности, работающий полностью удаленно, с доступом к чувствительному коду клиентов и, возможно, не самыми строгими процессами проверки.

Уровень подготовки атакующих впечатляет. Они демонстрировали реальные глубокие технические знания, использовали качественные поддельные документы, применяли передовые технологии маскировки и создали убедительную цифровую личность. После первой неудачи последовала вторая попытка — предположительно теми же людьми, судя по схожести голосов.

Методичность атаки проявляется в деталях — изучение локальных площадок для поиска работы, создание правдоподобных профилей из Восточной Европы, глубокое понимание процессов найма и их уязвимых мест.

⚡️Опять новая реальность!

Мы не первый год говорим о том, что современные технологии ИИ открывают новые возможности для социальной инженерии, а традиционные проверки перестают работать: поддельные документы выглядят идеально, цифровой след безупречен, а собеседование по видео больше не гарантирует, что вы общаетесь с реальным человеком.

🎯 Парадокс в том, что все эти проверки — не компетенция HR. Понятное дело, что в любой компании даже HR-специалист должен быть немного специалистом по информационной безопасности — но насколько глубоким?

Как дальше будет выглядеть процесс найма? Что требовать от кандидата — закрыть лицо рукой, спеть песню, совершить прыжок с переворотом?

P.S.: Вы уверены, что ваш последний кандидат — настоящий? 😂

P.P.S.: А может это просто очень талантливый пиар молодого стартапа? 🤔

@yusufovruslan

Пост Лукацкого

13 марта 2025 10:19

Как предотвратить переход персональных данных в жидкое состояние?

Текущий год начинается с важных изменений в сфере ИТ с точки зрения законодательства. Информационная безопасность должна выйти на новый уровень, что предполагает и новый уровень ответственности за пробелы в ней.

Теперь ответственность за утечку персданных может стать не только материальной, но и уголовной. Эти изменения, а также необходимые меры, которые предстоит принять ИТ- и ИБ-руководителям, будут обсуждаться 4 апреля на конференции «КИБЕРКОНТУР 2025». Круглый стол «Персональные данные – новая зона турбулентности. Новые штрафы, уголовная ответственность и бизнес-риски» модерирует признанный эксперт по кибербезопасности, резидент Клуба «ИТ-Диалог», Алексей Лукацкий

«Безразличие к защите персональных данных выходит на новый уровень недопустимости для бизнеса: с 30 мая 2025 года бизнес может столкнуться не только с оборотными штрафами до 3% выручки, но и с реальными уголовными делами за нарушение законодательства в области персональных данных. Кто понесет ответственность за утечки – CISO, DPO, генеральный директор или вся компания? Можно ли избежать наказания, или утечка теперь равна приговору? Эти вопросы требуют обсуждения, ведь компании уже ищут способы минимизировать риски, а рынок ждет первых прецедентов, которые зададут тон новым правилам игры».

Мероприятие пройдёт при поддержке издания IT-Manager

Зарегистрироваться на событие можно на сайте «ИТ-Диалога».

Пост Лукацкого

13 марта 2025 05:40

🔥 Представляем докладчиков Конгресса «Флагманы цифровизации - 2025»

1️⃣3️⃣ МАРТА. 🗺Москва. отель «Сафмар Аврора Люкс», ул. Петровка, д. 11

🎤Алексей Лукацкий, Positive Technologies: "Оборотные штрафы за утечку персональных данных. Как избежать недопустимого?"
✅Любая утечка персональных данных может привести к штрафам в сотни миллионов рублей и потере доверия клиентов. Как не оказаться в центре скандала и минимизировать риски?
✅Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies расскажет:
❓ Что такое утечка персональных данных? Как именно компании теряют чувствительную информацию и почему термин "утечка" не полностью описывает то, за что вводятся оборотные штрафы.
❓За что могут наказать? Разбираем реальные примеры, когда организации могли бы получить оборотные штрафы, если бы закон уже работал, и какие ошибки приводят к столь серьезным последствиям.
❓Как защититься? Ключевые технические, организационные и юридические меры, которые помогут минимизировать вероятность инцидента.
❓ Что делать, если утечка уже произошла? Алгоритм оперативных действий, позволяющий минимизировать последствия, избежать репутационных и финансовых потерь.

📌Практика, кейсы, рекомендации – только полезные выводы! Приходите, чтобы узнать как защитить свой бизнес и не допустить критических ошибок.

📆 Спешите регистрироваться➡️

🤝 Присоединяйтесь к Телеграм-чату конгресса

🗓13 марта. Конгресс «Флагманы цифровизации - 2025»
🗺Москва. отель «Сафмар Аврора Люкс», ул. Петровка, д. 11

Пост Лукацкого

20 марта 2025 10:29

Никто не знает, когда придет Q-Day ⚛️ (день появления практически применимого квантового компьютера), но когда это случится, многие используемые нами сейчас стандарты шифрования, которые мы считаем надежными, немедленно станут бесполезными. А пока мы продолжаем наблюдать за классической криптографией 🗝

Йоханес Нугрохо, программист из Индонезии, опубликовал бесплатный инструмент для расшифровки данных, зашифрованных вымогательским ПО Akira 😀 Этот дешифратор использует мощность графических процессоров NVIDIA для ускорения процесса восстановления файлов (но не on-prem, а через аренду облачных вычислительных мощностей) ☁️

Причина, по которой это стало возможным, заключается не в слабости современных криптографических алгоритмов (в данном случае ChaCha8) как таковых, а в ошибках реализации шифрования со стороны злоумышленников. Akira использует собственную схему генерации ключей, основанную на частично предсказуемых или уязвимых параметрах, что позволяет, используя мощные GPU и специально разработанный алгоритм перебора, восстанавливать исходные ключи шифрования 🗝

Это отличный пример того, что современные стойкие криптографические алгоритмы действительно не взламываются "в лоб" 🔑 даже при использовании суперкомпьютеров или топовых GPU. Но если злоумышленники делают ошибки в реализации или нарушают принципы криптографической стойкости (например, используют плохой генератор случайных чисел или упрощают ключевые параметры), атака грубой силой становится применимой 💪 В случае Akira именно комбинация ошибочной реализации и доступности GPU-вычислений дала возможность исследователям провести эффективный перебор 🔑

Эта история в очередной раз подтверждает одну из истин криптографии: ломают не алгоритмы, а их слабые реализации. Хотя в академической криптографии перебор действительно бесполезен — слишком велико пространство ключей 🔑 и слишком хорошо продуман математический аппарат, — но там, где разработчики (в данном случае, киберпреступники) пренебрегают криптографической гигиеной, "железом" и мощным перебором вполне можно добиться успеха 🙂 GPU здесь не «взламывает шифр», он лишь помогает автоматизировать поиск ошибки, которую допустил человек. Nvidia GeForce RTX 306090 GPU позволяет выполнять 60 миллионов криптографических проверок; RTX 3090 позволяет проводить уже 1,5 миллиарда операций, а RTX 4090 - еще в два раза больше ↗️

В 2023-м году исследователи из Avast уже выявляли слабости в подсистеме шифрования Akira, но после публикации бесплатного декриптора, разработчики шифровальщика изменили код своего ПО 👨‍💻 В данном случае ожидается, что будет сделано тоже самое и новые жертвы уже не смогут воспользоваться найденным способом эксплуатации уязвимостей в Akira. Но известные к текущему моменту жертвы вполне могут занедорого восстановить свои файлы с помощью выложенного на Github декриптора 📱

#ransomware #криптография

Пост Лукацкого

19 марта 2025 18:29

Давно у нас альянсов не было 🤝 Но в условиях текущей геополитики на Ближнем Востоке было предсказуемо… ✈️

ЗЫ. Почему у них все эмблемы круглые?

#хакеры

Пост Лукацкого

19 марта 2025 05:40

Тут для одной внутренней задачи я делал исследование 🔬 современных SIEM/SOAR и иных основных инструментов для SOC. Проанализировал под несколько десятков разных решений, преимущество современных, неимеющих наследия в виде монолитной архитектуры, проприетарных баз данных и т.п. 🆕 Все современное, - detection-as-a-code, data lake, pay-as-you-go модель лицензирования, работа с разными ETL, самонастраивающиеся корреляционные правила, динамические графы атак, аудируемый ИИ для замены аналитиков L1-L3 и т.п. 100+ страниц получилось. Прям интересно, как скакнула индустрия SIEMостроения за последние 20+ лет 🐎

Вот, например. У многих современных решений ты просто пишешь промпт на естественном языке:

Дай мне список всех пользователей, который регались в AD за последние 8 часов.

Да-да, именно так. Ну что может быть проще 💡 Не надо изучать никакие PDQL (Positive Technologies), SPL (Splunk), EQL (Elastic), SQL (AWS Security Lake), KQL (MS Sentinel), YARA-L (Chronicle) и другие языки написания запросов ✍️ Или вот использовал ты долгое время SPL, поднаторел в нем, а потом раз, и Splunk ушел из страны, а ты вместо него внедряет MaxPatrol SIEM. А у тебя уже база запросов и правил написана на SPL. И ты тут, такой, бац и: ✍️

Сконвертируй этот Splunk SPL запрос, который обнаруживает боковое перемещение через WMI в правило PDQL для MaxPatrol SIEM.

Удобно же! Или вот еще пример:

Это правило KQL сначала было хорошим, но потом стало давать много ложных срабатываний (false positives). Поправь правило, добавь при необходимости контекст, чтобы уменьшить число ложных срабатываний.

А бывает так, что у тебя нет правил и ты даже не знаешь, как подступиться к их созданию 🤔 Тогда ты генеришь запрос к SIEM NG:

Какие могут быть возможные детекты для компрометации цепочки поставок в нашем конвейере CI/CD?

А тебе SIEM в ответ:

Опираясь на ваше окружение, я предлагаю три подхода:
1. Мониторинг необычных коммитов для вашего репозитория Github.
2. Обнаружение модификации скрипта сборки.
3. Идентификация подозрительных зависимостей, появившихся в процессе сборки.

Какой из вариантов вы бы хотели рассмотреть детальнее первым? 🔍

И так, слово за слово, у вас на руках готовые детекты для вашего SIEM. А если он (или она?) поддерживает Detection-as-a-Code и детекты можно писать 🧑‍💻 на привычных языках программирования, например, Python, то вы для написания правил обнаружения может вообще использовать какой-нибудь Cursor.ai (как на картинке) 👨‍💻

Так что очень прогрессивно это все развивается, я вам скажу. Прям зависть берет за меня 25 лет назад, когда я первый SIEM внедрял в одном не российском нацбанке и обо всех этих удобствах никто не думал 🤔

#siem #soc #тенденции

Пост Лукацкого

18 марта 2025 10:27

В январе 2025 года американская компания SolarWinds объявила о своей продаже 🛍 за 4,4 миллиарда долларов, что вызвало серьезную обеспокоенность среди директоров по информационной безопасности 😨 Причина – высокая степень неопределенности, которая обычно сопровождает такие сделки. В статье подчеркивается, что крупные приобретения могут привести к изменениям в стратегии компании, задержкам в выпуске обновлений, сокращению инвестиций в кибербезопасность и, как следствие, появлению новых рисков 😱

Основные опасения CISO: 😱
🔤Будущее поддержки продуктов. Неясно, продолжит ли новый владелец развивать существующие решения или будет сосредоточен на монетизации уже имеющихся активов? 😨
🔤Риски безопасности. Переходный период может сопровождаться замедлением обновлений, снижением качества защиты и появлением новых уязвимостей 🔄
🔤Стратегия и видение. Пока нет уверенности, останется ли фокус на потребностях корпоративных клиентов или компания изменит направление работы 🤑
🔤Сокращение персонала. Смена владельца может привести к увольнениям, что особенно критично в области кибербезопасности, где опыт и погружение в контекст имеют ключевое значение 😱
🔤Интеграция с новыми системами. Возможны проблемы совместимости продуктов SolarWinds с другими решениями, что создаст дополнительные сложности для клиентов 🎮

Эксперты отмечают, что покупка SolarWinds происходит на фоне ее стремления восстановить доверие 🤝 после крупнейшего взлома в 2020 году, когда злоумышленники смогли компрометировать обновления программного обеспечения компании, заразив тысячи клиентов. С тех пор компания сделала серьезные шаги в области безопасности, но теперь, с переходом к новым владельцам, возникает вопрос: не вернется ли она к компромиссному подходу между безопасностью и коммерческими целями? 🤑

Вывод: для CISO и компаний, зависящих от продуктов SolarWinds, ближайшие месяцы будут периодом неопределенности. Им придется внимательно следить за развитием событий, искать альтернативы на случай ухудшения ситуации и заранее планировать сценарии возможных изменений в инфраструктуре.

#проблемыибкомпаний

Пост Лукацкого

17 марта 2025 14:37

Федеральная торговая комиссия США (FTC) опубликовала отчет за 2024 год, согласно которому потери потребителей в США 🇺🇸 от мошенничества достигли 12,5 миллиардов долларов, увеличившись на 25% по сравнению с 2023 годом. Интересно, что количество заявлений о мошенничестве осталось на прежнем уровне, но процент людей, которые фактически потеряли деньги, резко вырос: с 27% в 2023 году до 38% в 2024 году ↗️

Основные категории мошенничества: 🤑
🔤 Инвестиционные схемы – лидер по финансовым потерям, потребители потеряли $5,7 млрд, что на 24% больше, чем в 2023 году.
🔤 Имитационные мошенничества (Imposter Scams) – потери составили $2,95 млрд. В том числе госслужащие-имитаторы похитили $789 млн, что на $171 млн больше, чем в прошлом году.
🔤 Мошенничества с вакансиями и бизнес-возможностями – резкий рост потерь до $750,6 млн (+$250 млн с 2023 года). Особенно заметен подъем в подкатегории “мошенничество с работой”, где потери выросли с $90 млн в 2020 году до $501 млн в 2024 году.

Наибольшие суммы похищены с использованием банковских переводов и криптовалют, которые превзошли все другие способы платежей вместе взятые. Выходили мошенники на жертв через три основных канала:
✉️ E-mail – самый популярный канал для обмана второй год подряд.
📞 Телефонные звонки – на втором месте.
📱 Текстовые сообщения – третий по популярности метод.

Краткие выводы из отчета:
⚠️ Мошенники становятся успешнее в выманивании денег – число заявлений не растет, но люди теряют больше средств.
⚠️ Инвестиционные схемы остаются самой прибыльной сферой мошенничества – почти половина всех потерь.
⚠️ Способы обмана меняются, но e-mail, звонки и SMS остаются основными каналами связи злоумышленников.
⚠️ Заявления о мошенничестве – важный инструмент борьбы. FTC использует их для расследований и предотвращения новых атак.

Из интересного - все данные по мошенничеству в США выложены в открытый доступ и с ними можно работать как через FTC Tableau 📈, так и через выгрузку всего датасета для самостоятельного изучения. У нас хоть и заявляли о том, что государство будет делиться с бизнесом обезличенными данными в качестве датасета для обучения ИИ 📊, но дальше слов дело не пошло. А жаль...

#мошенничество

Пост Лукацкого

17 марта 2025 05:40

Прекрасное... При заходе на сайт ты видишь облегченный вариант проверки, что вы не робот. Вместо CAPTCHA вам предлагают (для Винды) сделать всего три действия:
1️⃣ Нажать кнопки 🪟 и R
2️⃣ Нажать CTRL + V
3️⃣ Нажать Enter.

Вуаля, вы заражены вредоносным кодом ⚠️ Первое действие запускает команду Run для исполнения любой, уже инсталлированной на компьютере программы 📞 Второе - копирует вредоносный код из виртуальной клавиатуры сайта. Третье - приводит к загрузке и запуску вредоносного кода через mshta.exe, предназначенного для запуска HTML-файлов 😷

Описанный сценарий не нов, о нем начали писать еще в прошлом году, но в этом году это становится мейнстримом. Microsoft описывает эту технику, назвав ее ClickFix 🖥 Ее используют многие вредоносы для своей доставки - XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot и NetSupport RAT 🐀

Для борьбы с этой напастью можно использовать как наложенные средства защиты, типа EDR, так и механизмы групповых политик в Windows, предотвращающие запуск команды "run" на пользовательских компах 📱 Ну и про обучение пользователей не забывайте.

#malware

Пост Лукацкого

16 марта 2025 12:19

Помните список топ-менеджеров, которых уволили за инциденты кибербезопасности? 🧐 Так вот я вспомнил еще один кейс. В 2016-м году глава центрального банка Бангладеш ушел в отставку после того, как хакеры похитили 101 миллионов долларов с государственного счета в Федеральном резервном банке Нью-Йорка (пытались похитить около одного миллиарда) 🤒 Большая часть украденных средств была переведена на счета на Филиппинах и в казино, что затруднило их отслеживание.

#инцидент #топменеджмент

Пост Лукацкого

15 марта 2025 18:28

Просто напомню, что до 30 апреля необходимо подать налоговую декларацию и скоро начнется волна фишинга на эту тему 🎣 Если у вас были дополнительные доходы, продажа имущества, получение акций и т.п. транзакции и вы регулярно подаете декларацию, то будьте бдительны!!! ❗️

#фишинг

Пост Лукацкого

15 марта 2025 12:16

Выступил вчера на двух мероприятиях, возвращаюсь в кабинет, вижу на столе карты (на фото) 🃏 Думаю, о, продолжили серию карт Таро и карточек по личному кибербезу, о которых я уже писал в канале. Спрашиваю команду, которая помогала их делать. Они не в курсе! Тут включилась профдеформация и я задумался 🤔

Кто-то, зная мою любовь к нестандартным форматам подачи ИБ, подкинул мне в кабинет карточки с QR-кодом... 🎣 А не квишинг ли это? Не заманивают ли меня куда-то, где я лишусь чего-то или меня насильно лишат? А может наша ИБ помимо регулярных фишинговых симуляций по e-mail и в Telegram, решила расширить коммуникационные каналы? Пока так и не пришел к выводу... В понедельник буду выяснять, что это 🃏

#геймификация #фишинг

Пост Лукацкого

14 марта 2025 15:49

Все-таки страшилки про киберугрозы гораздо легче готовить, чем обоснование экономической целесообразности кибербеза 😱

Сам этим страдаю, к сожалению. Сделать презентацию с кейсами взломов в конкретной отрасли занимает час-два, а вот показать экономику - уходят часы минимум, а то и дни, чтобы погрузиться в специфику конкретной компании 🤷‍♀️

Пост Лукацкого

13 марта 2025 19:23

Про способы угона Telegram 📱 я часто рассказываю на курсах по тактическому персональному кибербезу и все описанные коллегами методы упоминаю. Но вот про то, что при краже сессий при копировании определенных файлов с ключами авторизации устройства, преступник, читающий переписку остается незаметным 🥷 для пользователя и информация о его дополнительной сессии отсутствует в списке активных устройств, не знал 😔

Теперь добавлю в курс эту оговорку ✍️ К 12 методам обхода MFA и раскрытия 40 символьного, как бы невзламываемого пароля, добавится еще и это. Чтобы слушатели не расслаблялись и не думали, что выполнив набор простых инструкций, они смогут чувствовать себя в полной безопасности 🤔

Пост Лукацкого

13 марта 2025 16:36

Вернутся ли иностранцы и чего ждать от этого? На такой вопрос был дан ответ мной и уважаемыми коллегами в заметке 👇

#суверенитет

Пост Лукацкого

13 марта 2025 13:06

Как раз в тот момент, когда я рассказывал о темной стороне ИИ 😈 на одном закрытом мероприятии для руководителей различных подразделений крупной компании, Руслан опубликовал новость в тему 💀

#инцидент #ии

Пост Лукацкого

13 марта 2025 10:19

Ну и раз уж упомянул одно мероприятие, не могу не упомянуть и второе. Это будет скоро в Питере 🚂 Зато узнал, что я резидент 😕

Пост Лукацкого

13 марта 2025 05:40

Сегодня с утра я тут. Потом убегу на другое мероприятие 🏃‍♂️