Lockbit vs ЛАНИТ, случайный слив информации по расследованию

В одном из публичных ТГ каналов одного из подразделений ЛАНИТа, был опубликован пост с файлом сбора обратной связи по текущему процессу восстановления, после взлома 21 февраля. Канал позиционируется как "для сотрудников", но почему-то открыт на чтение всем желающим.

В файле были указаны данные:
- ФИО пользователей рабочих станций.
- Подразделении.
- Статусы пройденных проверок ("заражен", "чисто" и пр.).
- Обнаруженные подозрительные файлы.
- Решение по работе с рабочей станцией.

Всего в файле более 250 рабочих станций и пользователей.

Сам файл расположен на Google.Docs и открыт всем желающим по ссылке. Вскоре пост в канале был удален, но ссылка на файл осталась актуальной даже на момент публикации поста.

Из файла очевидно, что зашифрованы данные были именно нашумевшим шифровальщиком LockBit, даже на представленном скриншоте с замазанными данными это заметно.

Что можно сказать? Слив файла показывает отношение к ИБ в компании и после инцидента.

Новая ссылка на фреймворк - https://disk.yandex.ru/i/mkh0RaKDO2XQsw

Держим 6 место!

Итак, мы снова взяли 6 место в рейтинге корпоративных ТГ каналов по кибербезопасности!

В этот раз на этой строчке помимо нас Инфосистемы Джет, РТ-ИБ, Инфотекс и Echelon Eyes.
Мы очень рады такой оценке, хотя понимаем, что объективно уделяем каналу последнее время маловато внимания.

Но напоминаем, что у нас канал ведется на факультативной основе, ведь у нас нет:
- СММщика
- Бюджета на канал
- Платной рекламы на канале
- Открытых комментариев

Как только наша работа с каналом станет более системной, будем бороться за топ-3)

Остаемся с вам на связи, и если у вас есть предложения по темам которые стоит подсветить в канале, пишите в контакты!

CISO FORUM 2025: 3 причины, почему вам стоит присоединиться

CISO FORUM становится еще сильнее: присоединились топовые эксперты, новые партнеры и ведущие медиа-персоны. До встречи осталось чуть больше месяца, и мы хотим рассказать, как растет и развивается форум в этом году.
 
1. Лидеры мнений отрасли
Форум поддерживают ведущие инфлюенсеры! Не пропустите возможность встретиться лично на площадке с такими важными персонами ИБ-сообщества как Дмитрий Борощук, Денис Батранков, Лев Палей и Андрей Марсалович. CISO FORUM продолжает наращивать темп и готовим еще больше значимых анонсов.
 
2. Лучшая программа за все годы
Программа пополнилась новыми ведущими спикерами. На сцене конференции – лидеры отрасли, готовые делиться своим опытом и стратегиями защиты бизнеса в новой реальности. Вот только часть новых спикеров в программе:
• Всеслав Солейник – Директор по кибербезопасности, СберТех
• Татьяна Фомина – Директор по ИТ и кибербезопасности, HeadHunter
• Михаил Савельев – Директор департамента ИБ, Ростелеком
• Артем Избаенков – Член правления, АРСИБ
 
3. Партнеры, которые делают конференцию масштабнее
CISO FORUM поддерживают крупнейшие компании, лидеры в своей области, такие как Yandex Cloud, Газинформсервис, UserGate, Curator и Мегафон. Сотрудничество с ними делает форум уникальным и незаменимым событием, которое дает участникам доступ к передовым решениям и возможностям для развития бизнеса в области ИБ.
 
Встретимся 10 апреля в Loft Hall, Москва!
 
Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.


P.S. Мы информационный партнер форума и сами будем на нем

MaxPatrol SIEM теперь бесплатен, но за обучение ИИ

Наконец один из ведущих SIEM продуктов России теперь можно использовать свободно. Достаточно его скачать с официального сайта и развернуть. Это ведь так просто?

Условия просты - все написанные вами правила и сработки по ним будут аккумулироваться в PT, на этих данных будет обучаться ИИ!

В целом это отличная возможность для многих компаний сэкономить несколько своих годовых бюджетов и начать заниматься кибербезом всерьез. Готовы ли вы делиться своими данными для повышения качества продукта и повышения защищенности страны? Либо предпочтете заплатить за приватную версию?

Именно сегодня 1 апреля в качестве шутки, у вас появился выбор!

Мессенджер или туннель?


Во многих компаниях все еще используют WhatsApp как корпоративный мессенджер по разным причинам: от привычки до необходимости общаться со своими клиентами, которые не воспринимают иные мессенджеры.

В таком случае в средствах защиты и фильтрации трафика WhatsApp трафик неизбежно попадает в белые списки, содержимое его все равно не посмотреть благодаря P2P-шифрованию, и в целом выглядит такое исключение безопасно. Или нет?

На просторах GitHub обнаружился репозиторий с ПО, позволяющим прокинуть TCP-туннель через WhatsApp! Фактически мессенджер используется как защищенный и не вызывающий подозрений с точки зрения средств защиты транспорт.

Как именно это происходит?
По умолчанию объем сообщений в мессенджере достаточно большой, до 20к символов. К тому же передача двоичных файлов происходит только с сжатием, что позволяет достаточно легко поднять туннель. Автор еще не экспериментировал со звонками и подозревает, что в таком случае скорость может быть еще выше.

Для чего это было сделано? Вовсе не для вредоносного ПО, а лишь для обхода тарификации операторов связи. Автор путешествовал по Южной Америке, где нет безлимитного интернета, но есть безлимитный трафик WhatsApp. Это распространенная практика у многих операторов мира, а подобные туннели позволяют завернуть в WhatsApp даже YouTube. Но могут ли это использовать и злоумышленники? Бесспорно.

А остальные мессенджеры? IP-туннель в Телеграмм уже тоже делали, но в рамках лишь эксперимента. C2 (Command & Controll) сервера вредоносного ПО с использование Телеграмм уже точно были. Поэтому в эпоху подобных приложений уповать только на сетевую защиту точно не стоит. Вы не можете быть уверены, что там внутри мессенджера.


Сам репозиторий тут.
https://github.com/aleixrodriala/wa-tunnel

Реверс — мошенничество без ваших СМС

Когда пишут СМИ о «новых схемах», зачастую в них нет ничего нового, лишь меняется предлог, под которым жертву мотивируют расстаться с деньгами/кодами смс, либо нюансы «маскировки» мошенников.

Но сейчас действительно сменили схему, а не скрипт. Мошенники ушли в реверс! В начале они всё также вам звонят из колл-центра, но при этом не просят никаких кодов от Госуслуг или банков. Напротив, они говорят, что сообщать им коды не нужно. Они действительно им не нужны.

А дальше включается театр, они просят жертву «повисеть на трубке» и разыгрывают сценку, где операторы говорят между собой о том, что дело серьезное и нужно подключать генерала СК/ФСБ/МВД. Дальше звонок просто сбрасывается!

А в этот момент уже испуганной жертве приходит поддельное СМС о входе в Госуслуги/Банк и номер «техподдержки». Вот и реверс, жертва сама звонит на поддельный номер, напрямую в колл-центр и никак не сомневается в том, что это не мошенники.

Ведь:
1. Все триггеры первого звонка не сработали. Жертву не убеждали что-то сделать, не просили коды и даже разговор о «серьёзности ситуации и подключении генерала» жертва как бы случайно подслушала.
2. Жертва сама общается на «горячую линию». Не ей позвонили, а она сама!

В результате всё тот же результат «перевод денег на безопасный счет». Тут схема неизменна.

Использовали ли это ранее? Да, похожее использовали (https://habr.com/ru/articles/774162/). Они первично заходили в аккаунт Госуслуг и использовали «контрольный вопрос» для размещения мошеннического номера.

Помните, что схемы бывают очень разные, и запоминать типичные последовательности их скриптов бесполезно. Развивайте критическое мышление.

Когда действительно надо привлекать аутсорс в ИБ (спойлер: почти всегда, если вы небольшая компания)

Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.

Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.

Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.

Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.

И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.

В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.

2025 — год партнерств

Мы тут периодически пишем, как у нас идут дела с бизнесом. Так вот — с 3side все хорошо, выручка за первый квартал в разы больше прошлогодней (но там поток клиентов пошел в конце года, закрывали проекты уже в 2025 с постоплатой). 4security зарегистрирован, релиз вероятно в середине-конце мая, планово.

Вообще говоря, ИБ всегда продается "через людей" — подрядчика в интернете ищут обычно те, кому некому дать совет. Такие клиенты у нас тоже есть, но основной эффект дают рекомендации — или от действующих клиентов (т.е. виралка), или от наших друзей.

То, что значительный кусок наших будущих продаж — это бизнес-сообщества и региональные интеграторы, мы осознавали и раньше. Теперь мы наконец готовы нормально с ними работать, и 4sec будет изрядно этому способствовать. Как минимум, это возможность "завести" клиента в конкретный интерфейс и дальше взаимодействовать с ним там.

В общем. Если у вас есть пул клиентов/партнеров, если части из них нужно ИБ и у нас может возникнуть синергия — пишите. Мы понимаем, как это готовить.

Приходите на КодИБ СПБ

Мы там будем, Антон поучаствует в вводной дискуссии и выступит с докладом. Одно из лучших мест для нетворкинга, будем рады пообщаться!

Никогда не было и вот опять: китайцы работали на американские госконтракты. А вы точно знаете своих подрядчиков?

Тут пару дней произошла анекдотическая история. Некий гражданин США по имени Минь Фыонг Нгок Вонг (Minh Phuong Ngoc Vong, т.е. явно вьетнамские корни) была нанят на работу IT-специалистом на работу по контракту с FAA (агентство по гражданской авиации). Гражданин имел к IT весьма опосредованное отношение, но все собеседования прошел и работу получил (!).

Рабочие задачи он "перенаправлял" своему партнеру по онлайн-игре, проживающему в Китае. Более того, китаец даже участвовал в встречах с заказчиком — обойдемся без расистских шуток, но тот не заметил разницы. Понятно, что FAA это не Локхид-Мартин, но сам факт фрода совершенно вопиющий.

Позже уже на этапе расследования выяснилось, что по подобной схеме мистер Вонг с 2021 по 2024 год проработал руками китайцев в 13 компаниях! Суммарно получив около 1 миллиона долларов зарплаты, но главное передал доступы к конфиденциальным данным всех 13 компаний подрядчикам из Китая.

Впрочем, было и круче — пол-года назад в США взяли парней, которые по похожей схеме предоставляли работу ... северным корейцам! Правда, там речь шла в первую очередь о нарушении санкционного режима против Пхеньяна.

А мораль здесь простая. Во-первых, описанная схема вполне типична для российского рынка ИБ. Ну, то есть монгола или киргиза вам вряд-ли подсунут, а вот студента с nmap вместо специалиста по пентесту — легко. По этой причине мы всегда даем прямую связь с заказчиком для конечного исполнителя. А во-вторых, капитализм и желание заработать побеждает все границы, режимы и политические ограничения.

🔐 Как защитить базу данных, если хакеры уже внутри?

И можно ли избежать расхождений между фактическими и заявленными конфигурациями? Ответы – на вебинаре «Защита баз данных» от Softline и «ЭВРИТЕГ».

📅 29 апреля
🕚 11:00–12:30 (МСК)
📍 Онлайн

Владелец продукта Артем Гарусев расскажет о «Платформе безопасности данных» – инновационном решении «ЭВРИТЕГ», которое позволяет эффективно защищать чувствительную информацию от внешних атак и внутренних угроз. А также объяснит, что представляет собой комплексный подход к безопасности и как реализовать концепцию Zero Trust на практике.

📎 Зарегистрироваться можно по ссылке

Конспирология кибербезопасности

Если вам кажется, что в кибербезопасности все профессионалы сплошь и рядом дружат с критическим мышлением — вам действительно кажется. Как и в остальных сферах, таких людей вряд ли большинство.

Наша сфера в целом толкает человека следовать критическому мышлению с одной стороны, но постоянные развития технологий и сильное пересечение со сферой работ спецслужб всех стран мира наоборот толкают к тому, чтобы скатиться в какую-нибудь конспирологию.

Вот примеры подобных заявлений, которые я слышал неоднократно:
- Об универсальных закладках во всё популярное ПО.
- Манипуляции Центрами сертификации и массовых подменах сертификатах.
- Давно взломанных современных стандартов шифрования.
- Распространении вирусов силами антивирусных компаний.

И знаете, распространение многих мифов очень на руку спецслужбам! Это напускает страху на их противников, заставляет отходить от действительно стойких методов безопасного общения в сторону «кастомщины», то есть чего-то самопального и, как правило, в разы менее защищенного. «Мы видим всё, следим за всеми вами».

И вот недавно популярный ТГ-блоггер Александр Картавых видимо оказался под влиянием такого акта «устрашения».

Скептики же в таких случаях цитируют одну из вариаций стандарта Сагала — «Экстраординарные утверждения требуют экстраординарных доказательств».

Давайте обсудим как раз чтение переписок в Телеграм. Это возможно?

- При доступе к устройству? Без сомнения, да. Тут достаточно скопировать папку tdata, все ваши переписки, скачанные на устройство, именно там.

- Доступе к аккаунту? Конечно, достаточно сделать экспорт нужных чатов. Что не касается секретных чатов, само собой.

- Через запрос силовых структур по официальным каналам? Нет, даже если запрос будет удовлетворен, будут разглашены только ваши метаданные. А именно:
- Телефон
- IP-адреса вашего входа
- Устройства, которыми вы пользовались для входа
И иные метаданные.
Откуда это известно? И по заявлениям самого мессенджера, и от моих коллег, которые активно участвуют в расследованиях вместе с силовыми структурами и по расследованиям журналистов.

- Через взлом MTProto-шифрования Телеграма? Нет.
Вот это уже чистая конспирология, и никаких даже минимальных доказательств этому нет. А нужны под это заявления уже совсем экстраординарные доказательства. Протокол мессенджера проектировался на стандартах современного шифрования, вобрав в себя все лучшие современные разработки криптографии, и избежал излишней «кастомщины». Его неоднократно проверяли, ведь логика его работы опубликована и открыта, как и исходный код клиентов мессенджера.

На данный момент протокол MTProto 2.0 не взломан. С современным шифрованием универсального взлома добиться крайне сложно. Даже официально не стойкие протоколы SSLv3, TLSv1.0, TLSv1.1 крайне сложно взломать на практике. Но припугнуть и разрушить их веру в ТГ гораздо проще с помощью дезинформации) Например, продемонстрировав полученные иным способом данные как «перехват Телеграма».

Скептицизм - полезная штука в кибербезе, помните про доказательства.