11690
Трансляция блога и Твиттера Алексея Лукацкого (@alukatsk), а еще репосты из Телеграмма и публикация уникальных материалов
Начнем с некоторых дат 🗓:
10 августа 2020 - появляется группировка DarkSide 🕶
7 мая 2021 - DarkSide взламывает Colonial Pipeline 🛢
8 мая 2021 - Colonial Pipeline платит выкуп 🤑
13 мая 2021 - DarkSide прекращает все свои операции 🤒
31 июля 2021 - появляется группировка BlackMatter
1 ноября 2021 - BlackMatter прекращает все свои операции 🤒
21 ноября 2021 - появляется группировка BlackCat 🐈⬛
2 февраля 2024 - RansomHub анонсирует новый сервис RaaS 🔈
21 февраля 2024 - BlackCat атакует Change Healthcare 🐈⬛
1 марта 2024 - Change Healthcare выплачивает выкуп 🤑
5 марта 2024 - BlackCat прекращает все свои операции 🤒
8 апреля 2024 - RansomHub заявляет, что у них все данные, украденные у Change Healthcare
Группировки, скрывающиеся под именами DarkSide, BlackCat, BlackMatter (не путать с BlackBasta) исчезали с радаров после шумных взломов, которые становились серьезной проблемой национального масштаба в США и привлекали ненужное внимание к деятельности группировки ❗️
У экспертов есть подозрение, что это все одна и та же группировка, которая сейчас активно наращивает возможности и восстанавливает инфраструктуру. Возможно, RansomHub - это временное название перед тем, как будет выбрано что-то темное с приставкой Dark или Black. Подождем 😲 А пока Евросоюз решил наложить санкции на группировку APT28, за которой, как считают, стоит Россия 😏
Никогда такого не было и вот снова - немецкие военные забыли правильно сконфигурировать систему видеоконференций Cisco Webex 🤦♂️ и выставили на всеобщее обозрение тысячи записей прошедших встреч, в том числе и с секретной информацией 😠
ЗЫ. Спасибо подписчику за ссылку 🤗
И еще один альянс, в который входят разные группировки, в том числе и другие альянсы (например, Cyber Team Indonesia, состоящая из более чем десятка других группировок). В этой истории интересно не то, как тасуются группировки, входящие то в один, то в другой альянс 🤗, а сам факт консолидации усилий, когда ранее разрозненные группировки начинают обмениваться целями, тактиками, координируют свои действия. Это, прям, интересный поворот в развитии компьютерного подполья. Посмотрим, куда это дальше все пойдет 🧐
ЗЫ. У нас на бизнес-треке PHD2, кстати, в последний день будет несколько докладов на тему кибервойн, киберпреступности, черного рынка ИБ и т.п.
Во времена Холодной войны, так и хочется добавить «Первой», американские моряки пытались разработать способ защищенной коммуникации для подлодок 🤿, основанный на звуках, издаваемых китами, дельфинами, морскими львами и другими морскими животными 🐋
Почти 20 лет шли исследования и эксперименты, которые закончились… ничем. И технологии на тот момент были неспособны решить задачу, и, как утверждают морские биологи 👩🔬, она в принципе нерешаема.
Похоже у американцев свой Амвросий Амбруазович Выбегалло 😐 из «Понедельник начинается в субботу» Стругацких был. «Наш», правда, речь обезьян 🙊 записывал и расшифровывал…
Однако, само направление мысли 💭 интересное 💡
А такими мне запомнились "рукастые" активности 🤹♂️ на GISEC - киберучения, различные лабы, киберполигон, который никто не ломает, но выглядит он красиво 🎪, Escape Room и все такое
Читать полностью…
У вас есть умный дом? 🏡 если вдруг у вас внезапно погас в нем свет 💡, не спешите звонить в Россети ⚡️ Возможно его атаковали хакеры, о чем они стали писать в своих каналах ✍️
На майских праздниках, в перерыве между шашлыком и копанием грядок впору глянуть в документацию на «умный дом» и поменять пароли и порты, заданные по умолчанию, в т.ч. и в облачных админках, а также настроить автоматическое обновление ПО и прошивок ☝️
Когда уведомление об инциденте вы получаете в виде обычного, а не электронного письма 📨, то не значит ли это, что и email у жертвы накрылся медным тазом? Но у нее осталась база клиентов, что уже неплохо 😎 Во всем надо видеть позитив (даже в красном прямоугольнике сверху 🥰)
Читать полностью…
В Даркнете продается доступ к админским панелям 3000 (!) Fortinet’ов, скорее всего с непатченными уязвимостями в SSL VPN, и позволившими получить несанкционированный доступ. Причем уже не в первый раз Fortinet оправдывает свое неформальное название «форточки», через которые хакеры пролезают внутрь инфраструктуры. Так они скоро подвинут Ivanti с пьедестала (сейчас они на втором месте по числу активно эксплуатируемых уязвимостей).
- Вы еще не поменяли чужестраный NGFW?
- Тогда хакеры идут к вам (если уже не пришли)
Запись эфира подкаста "Безопасно говоря" от Яндекс.Облака про безопасность в облаках 🌩, в котором мне довелось поучаствовать и где меня и Муслима Меджлумова назвали мастодонтами рынка ИБ 🦣
Читать полностью…
Наконец, MITRE завершает поддержку TAXII 2.0, переходя на 2.1, что позволит расширить возможности ATT&CK Navigator и Workbench (для описания собственных компонентов, отсутствующих в оригинальной матрице). Из других планов:
1️⃣ Расширения числа техник для Linux и macOS
2️⃣ Фокусировка на облаках и контейнерах
3️⃣ Сдвиг в сторону описания логики обнаружения в формат, приближенный к современным SIEM
4️⃣ Появление подтехник для АСУ ТП версии матрицы
5️⃣ ATT&CK Navigator, Workbench и сам сайт будут переработаны для большего удобства и эффективной работы с группировками, вредоносами и кампаниями
6️⃣ Планируется развитие сообщества ATT&CK в Европе и Азии
7️⃣ Пересмотр подхода к описанию мер отражения атак, чтобы он был более практичным и применим различными средствами защиты за счет описания не только в формате Splunk, но и за счет добавления конкретных идентификаторов событий, например, для платформы, Windows.
Я уже писал о том, как была представлена тема искусственного интеллекта в ИБ на прошедшей в Дубае GISEC, а теперь и небольшое смонтированное мной видео подоспело 🧠 Режиссер и монтажер из меня такой себе, но настроение, надеюсь, передал!
Читать полностью…
Ну что, с международным днем пароля вас! 🎆 Порадуйте себя сегодня новой сложно угадываемой, но легко запоминающейся комбинацией! 💻
Читать полностью…
ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵
Читать полностью…
Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️
SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec ⏳
Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿
⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈
Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…
Читать полностью…
Сегодня начинается RSA Conference 2024, где я тоже участвую. Буду потихоньку постить всякое оттуда. Начну вот с распределения представленных вендоров по типам средств защиты. В тройку входят, как можно легко заметить, облачная безопасность, управление рисками и compliance, а также сетевая безопасность. Защита данных и SecOps замыкают пятерку лидеров. Интересно, что в России распределение игроков, если бы вдруг у нас проводилась выставка по ИБ, было бы иным. Ни облака, ни управление рисками не вошли бы даже в пятерку.
Всего на RSAC будет представлено более 640 производителей, если верить самому сайту, или 425, если верить независимым компаниям, занимающимся аналитикой рынка ИБ (правда, 425 без учета консультантов, сервисных компаний, реселлеров и дистрибьюторов). В любом случае это меньше, чем еще лет 10 назад; тогда было под тысячу игроков. К слову, на GISEC было по официальным данным около 750 брендов, хотя мне казалось, что изначально речь шла о 500+ компаний. Видимо, все накручивают 😊
Если не брать в расчет, что каждый второй будет рассказывать про ИИ в своих решениях (а кто-то и вовсе будет представлять ИБ с ИИ для защиты ИИ-приложений от растущего числа атак на базе ИИ), то есть и интересные решения. Например, центр сертификации и аттестации от Legit Security, который позволит, если верить анонсу, быстро тестировать свои решения на соответствие SLSA, PCI DSS, SOC2 и ISO 27001. А Halcyon вместо новых продуктов решил представить программу Halcyon’s Ransomware Warranty, которая, нет, не гарантирует защиту от шифровальщиков, а предполагает сервис реагирования и восстановления в случае обхода защитных механизмов решений Halcyon. Что тут нового, непонятно, но маркетинг есть маркетинг. А вот Commvault предложит Cloud Cleanroom Recovery, этакую изолированную комнату, которая позволяет тестировать разные сценарии ИБ, новые угрозы и т.п.
ЗЫ. И кстати, в этом году PaloAlto отказалась от участия в RSAC. Чуть ли не впервые в своей истории. И курс акций за последние 3 месяца упал на 22%. Что-то назревает?..
В России около 5,3 миллионов сайтов в домене .ru и около 0,7 миллиона в .рф. Если итальянские 🇮🇹 анонимусы дефейсят по 4-6 сайтов в день, то они себя обеспечили работой надолго. Правда, толку от взлома таких сайтов немного. Но чем бы дитя не тешилось… 🐵
Читать полностью…
И снова очередной альянс российских хакерских группировок 🧤🤗
ЗЫ. Как по мне, так это не 424, а 929. А щит вообще странновато размещен, в паху. Но зато исконно русский маскот, хоть и безликий и черный
ЗЗЫ. Интересно, в слове "благотварительный" ошибка сделана осознанно? Как и в то ли Shield, то ли Sheld.
С днем шифровальщика! 🎆 Но не того, который вымогает, а того, который защищает!
ЗЫ. Военных шифровальщиков я, как и полагается, поздравлю в ноябре! А то они обижаются, что их поздравляют в мае ☹️
Вот почему все, как один, вдруг решили разродиться бюллютенями и заявлениями о русской киберугрозе: 🔈
🔤 1 мая американские АНБ, CISA, ФБР, МинЭнерго, Минсельхоз, Агентство по охране окружающей среды, MS-ISAC, а также канадский и английский центры кибербезопасности публикуют бюллетень о русской киберугрозе системам водоснабжения и канализации 🚰
🔤 3 мая Правительство Германии (при поддержке Евросоюза, НАТО и неназванных международных партнеров) публикует заявление о том, что APT28 осуществила атаки на ряд немецких политических партий и что за этим стоит Россия 🇷🇺
🔤 3 мая Министерство иностранных дел Чехии публикует схожее заявление про "русских хакеров" 🆕
🔤 3 мая ДССТЗИ Украины публикует отчет о российских кибероперациях во второй половине 2023-го года 🛡
Если посмотреть на временную шкалу публикаций, то еще и статус "заявителей" хорошо показывается - кто первый пишет, кто второй, кто третий, кто в арьергарде мировой политики. Вряд ли же это связано с грядущими Днем Победы и инаугурацией? Как говорил Жванецкий: "Тщательнее надо, ребята" (с)
🌺 Хотя на календаре еще весна, «Позитивное лето кибербезопасности» уже в самом разгаре
Где?
В «Гранд Макет Россия» в Санкт-Петербурге. С начала мая и до конца августа именно там остановился гость с далекой планеты Posiland — ее главный специалист по кибербезопасности.
Вместе с ним вы сможете не только посмотреть разные уголки нашей страны, но и прокачать азы своей цифровой грамотности — узнать, что такое кибербезопасность и как защитить себя не только в физическом, но и в виртуальном мире.
Как?
Приходите в «Гранд Макет Россия», сканируйте QR-код и принимайте участие в увлекательном квесте, где вы сможете одновременно проверить, насколько хорошо ориентируетесь в мире кибербезопасности, и узнать, как защититься от мошенников.
Каждому участнику — приятный бонус, промокод, которым можно воспользоваться на выходе, чтобы на интерактивной стойке сделать фото на память с необычным гостем.
И пусть любое время года будет для вас кибербезопасным!
@Positive_Technologies
Небольшой видео-обзор зоны ИБ-стартапов на GISEC. Ну какие стартапы, такой и обзор 😊 На самом деле хорошо, что всем этим игрокам дали пару квадратов стандартной застройки, чтобы показать себя потенциальным покупателям 🤑
Я немного задержался на питч-сессии, где перед весомым жюри надо было выступать, "продавая" свое детище 🙊 Из того, что я услышал, не зашло ничего. Классическая проблема большинства технарей, решивших, что они все познали, знают боли клиентов и могут заработать на этом много денежек 🤑
Увы, нечеткая речь, отсутствие понимания проблем заказчика (хотя, казалось бы), неумение четко и кратко доносить свою мысль, а самое главное, - нежелание встать на место слушающего. Рассказать "почему я такой крутой" может быть и можно научиться, а вот рассказать "зачем я вам таким крутым" - мало у кого получается... Зато квантово-имунная система защиты данных на базе ИИ следующего поколения у каждого второго 🤦♂️
Проблемы с американской базой уязвимостей NVD продолжаются. NIST пытается их как-то решить, но пока получается не очень. Руки доходят 👻 только до критических уязвимостей и то не всех. При этом балканизация Интернет усиливается и NVD уже не может считаться единым для всех источников уязвимостей (хотя когда он считался?). Российских 🇷🇺 продуктов там нет и вряд ли уже будет. Китайских 🇨🇳 тоже. Да и с CVE тоже свои сложности - он присваивается далеко не всем даже забугорщиной.
В итоге возникает закономерный вопрос - а что делать? Про это тоже попробуем поговорить на PHD2 с представителями разработчиков сканеров безопасности, вендоров, БДУ ФСТЭК... А пока вопрос не решился хотя с трендовыми уязвимостями стоит разобраться и выстроить процесс их обнаружения и устранения. Потом можно и к ежечасно обновляемому списку опасных уязвимостей перейти, а потом уже и дальше...
В японской 🇯🇵 префектуре Фукуи полиция придумала нестандартный ход - они стали размещать в магазинах платежные карты «Удаление вируса/троянского коня» и «Неоплаченный выкуп» («Virus/Trojan horse removal fee payment card» и «Unpaid charges/delinquent charges payment card»), выявляя тем самым… нет не кибермошенников, а их жертв 💡
Когда кто-то покупает 🛒 такую карту, полиция сразу уведомляется. Пишут, что таким образом спасли несколько пожилых 🍜 японцев, которые чуть не стали жертвами вымогателей.
Данных по эффективности этого метода нет, но полицейские, придумавшие его, получили повышение 🫡 Наши полицейские тоже на выдумки сильны!
🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨👨👦👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢
Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).
В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.
(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )Читать полностью…
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")
⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.
Но, что странно, Dropbox пишет, что неизвестные хакеры 👨💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔
Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈
Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).
Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала
Читать полностью…
Шутка за 100 для тех, кто еще помнит эти имена 😂
ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?
ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦
Мир
Труд
Май
Кибербез
Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.
🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат.
💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.
🏠 Подписаться на Кибердом & Бизнес
Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.
Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘
ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).