Велком на Pentest Awards 2025

Мы уже два года следим за этой интересной премией, в прошлом году туда подавались участники нашего конкурса.
А в этом году мы уже сами подали весь наш конкурс! Ведь считаем, что он вносит серьезный вклад в дело пентеста/редтима)

Сейчас на премию продлили дедлайн на подачу заявок, до 16 июля. Последний шанс рассказать обезличенную историю про свой offensive кейс и получить за это ценные призы!

Присоединяйтесь!

«Технические работы», которые убивают бизнес

Тут пишут, что глобальный сбой в "Винлабе" обвалил акции Novabev. В компании говорят о "технических работах", в реальности причины могут быть гораздо банальнее. Если это действительно последствия кибератаки, то мы видим один из первых в России случаев прямого влияния хакеров торговлю бумагами компании.

Остановка работы компаний по всей стране на несколько дней приносит огромные убытки — и это происходит регулярно. Просто раньше крупные компании или быстро восстанавливались (Лукойл), или не были публичными (СДЭК, Верный). В пресс-релизах часто указывают безобидные причины:
- «технические работы» (ВинЛаб)
- «затопление дата-центров обычным дождем» (Спортмастер)
- «технический сбой» (СДЭК).
Подозрительно, правда?

Эксперты по кибербезопасности уверены, что причина — кибератака с использованием шифровальщика. Сегодняшний уровень IT не позволяет другим причинам настолько надолго и массово остановить работу зрелого бизнеса. А рынок кибербезопасности настолько мал, что информация о подобных инцидентах быстро становится известной.

Почему компании не говорят об этом открыто? Потому что это может нанести еще больший ущерб репутации. Кроме того, они боятся введенных оборотных штрафов от регулятора.

Пример ВинЛаб особенно показателен. Публичная компания может потерять деньги, стоимость акций начинает показывать избыточную волатильность, в общем, хорошо никому не станет. Причем у самой Novabev Group дела идут неплохо: там значительный рост отгрузок в литрах, а у сети магазинов рост квартальной выручки под 25%. Так что реальные потери зависят от скорости реакции и могут быть в районе 200 млн рублей выручки в день. Потерять пол-ярда из-за шифровальщика — это больно.

С динамикой акций картина тоже сложная, громкие заголовки про "обвал акций" немножко сгущают краски. Но сам факт влияния хакеров на оценку публичной компании очевидный.

Стоит вспомнить, что в 2024 году компания уже сталкивалась с кибератакой. Тогда база данных покупателей оказалась в открытом доступе, и компания признала утечку. Но оборотные штрафы тогда еще не были введены. Видимо выводы компанией сделаны не были!

На «Винлаб» совершили беспрецедентную кибератаку — владелец сети. Магазины не работают уже третий день, а сегодня утром отказала онлайн-доставка. Хакеры требуют деньги, компания не идёт на сделку. @bankrollo

4Security от 3side:
Вебинар «Релиз облачного сервиса 4Security для кибербезопасности малого и среднего бизнеса»

Малый и средний бизнес — основная цель цифровых вымогателей: 2 из 3 компаний уже подвергались кибератакам, а ущерб от одной может достигать 7 млн ₽. В большинстве случаев — это атаки шифровальщиков.

4Security — это облачный сервис, который берёт на себя заботу о вашей кибербезопасности без необходимости в собственных ИБ-специалистах, сложных настройках или больших затратах.

В программе:
• подробный разбор работы сервиса: регулярный мониторинг, автоматическое резервное копирование, помощь при инцидентах 24/7;
• демонстрация возможностей платформы и тарифных планов с финансовой гарантией;
• советы экспертов, как даже небольшая компания может выстроить профессиональную кибербезопасность доступно и понятно.

Дата проведения:
29 июля 2025 г., | 11:00 (МСК)

Регистрация

Всем привет!

15 июля мы провели наш первый вебинар. Получилось хорошо — было под 200 регистраций и 60 человек в онлайне. Мы очень рады, что количество участников не падало практически до самого конца — значит, рассказывали что-то полезное. Мы обещали запись - она ниже (с таймкодами).

"Как белые хакеры взламывали компании за 2 дня (и как избежать их ошибок)"
На вебинаре узнали:
• что такое бизнес-ориентированная ИБ;
• как действует рансом;
• какие уязвимости чаще всего использовали атакующие;
• почему временная инфраструктура не повод "забить на ИБ";
• как стать неудобной целью и с чего начать, если нет бюджета.

Смотреть на:
Rutube

Запись ИБ-Стендапа

Долгожданная запись ИБ-Стендапа, наконец у нас в канале!

Мой монолог назывался "сложно быть хакером" и рассчитан в первую очередь на аудиторию не безопасников!

Это первое мое выстпление в подобном формате, но точно не последнее, за годы работы в кибербезе материалов точно не на один стендап)

Аэрофлот взломан хактивистами

Произошла отмена множества рейсов, кассы не оформляют и не возвращают билеты.

Пресс-служба пока называет это сбоем, посмотрим признают ли атаку и быстро ли восстановятся!

О точном масштабе взлома неизвестно, тут верить на слово хактивистам нельзя.

🎯 Взлом Аэрофлота: что произошло, как это работает и как защититься

🔍 1. Что случилось?
27–28 июля произошёл крупнейший за последнее время инцидент: IT-системы «Аэрофлота» подверглись атаке, которая остановила деятельность компании. По данным СМИ, отменены десятки рейсов, сломана система бронирования, колл-центр перегружен. По версии самих атакующих (группы хактивистов), были уничтожены тысячи серверов и украдено до 20 ТБ данных.

🧠 2. Предположения экспертов: что это было?
Несмотря на отсутствие официальной информации (все расследования под NDA), по признакам это типичная атака с применением шифровальщика — вируса, который шифрует критически важные бизнес-системы, парализуя деятельность.

Такой же механизм был ранее в кейсах ВинЛаб и СДЭК. Как правило, злоумышленники долго находятся внутри инфраструктуры, получают доступ к ключевым системам и в нужный момент — шифруют.
Важно: взлом такого масштаба невозможен без системных ошибок — от недостатков в мониторинге до проблем в управлении подрядчиками. Вопросы также к тем, кто проводил пентесты и анализ защищённости.

💣 3. Что такое шифровальщик?
Шифровальщик (ransomware) — это вредоносная программа, которая:

• проникает в сеть (часто через фишинг, уязвимости),
• незаметно распространяется,
• шифрует данные: базы, конфигурации, виртуалки, почту и т.д.,
• выводит сообщение с требованием выкупа (иногда — без).

Малые и средние компании тоже часто шифруют, но атаки как правило более простые и автоматизированные.

🛡 4. Как защититься? — 4security
Если у вас нет собственной ИБ-команды — решение есть.
4security — облачный сервис киберзащиты для малого и среднего бизнеса:
• Работает без ИБ-специалистов, всё автоматизировано и на понятном языке.
• Модель по подписке — никаких капитальных затрат.
• Отслеживает уязвимости, даёт рекомендации, помогает устранить риски.
• Резервное копирование и защита данных — данные можно восстановить даже после атаки.
• Есть финансовая гарантия: если не восстановим — компенсируем.
• Поддержка 24/7, всегда на связи.

А подробнее о продукте Вы можете узнать завтра (29.07.) в 11:00 по мск на нашем вебинаре.
Регистрация

Всем привет!

В прошлый вторник, 29 июля, мы провели вебинар по случаю релиза 4security. Спасибо всем, кто присоединился.

На вебинаре мы рассказали про:
— задачу сервиса 4security;
— что входит в платформу: мониторинг внешнего периметра, резервные копии, поддержка при инцидентах и финансовая гарантия;
— тарифы под разную инфраструктуру;
— ответы на вопросы из чата.

Запись вебинара:
Rutube

Наконец исследование от Кибериспытаний публично!

Рады активно участвовать, как в операционке, так и в составе экспертного совета

Что случится, если хакеру-злоумышленнику заплатить 1 миллион рублей, но не просто за взлом, а за нанесение непоправимого ущерба или даже уничтожение бизнеса?

Какова доля российских компаний, которые можно «сломать» за 1 миллион рублей?

Практическое исследование российской компании «Кибериспытание»:

Мы с Кибердомом запускаем второе наше (и третье в России) исследование защищенности малого и среднего бизнеса от кибератак.

Оно анонимное (если вы не захотите сами оставить email) и очень важное и для нас, и для индустрии ИБ.

Нам очень важно понимать, как выглядит кибербез глазами компаний, которые не инвестируют в него миллиарды. Почему? Потому что мы хотим увидеть решения по ИБ, подходящие конкретно для СМБ.

Так что, пожалуйста, если вы имеете отношение к СМБ - заполните эту форму (https://cyberdom.stepform.io/Fk203FO) или перешлите ее своим друзьям. Это безопасно - и очень важно для нас.

Застраховать ИБ риски с премией в 1% — это реально!

Хотите узнать, как это сделать? Подписывайтесь на наших друзей — компанию Cybins. Застрахуют все около ИБ — от ответственности перед поставщиками до потерь от шифровальщика. За котировками можно просто писать им в личку.

Мы, если что, тоже их клиент — страховка в 4security появилась только благодаря им. И страхование ответственности в 3side. И расчет котировок для нескольких клиентов 3side. Да и вообще, ребята — большие молодцы и делают будущий рынок страхования ИБ-рисков в России живым и реальным.

Ну а если серьезно, премия в 1% — это, в целом, достижимая история. Тут все зависит от того, что страхуется, при каких условиях, есть ли франшиза, ну и так далее. А канал у ребят чисто бизнесовый, если нужна страховка — пишите им.

В России резко озаботились защищенностью малого и бизнеса (нет)

Тут происходит любопытное — за последние пару дней в России прошло аж три (!) эфира, посвященных кибербезопасности малого и среднего бизнеса. Это Antimalware (там был очень представительный состав), Код ИБ с результатами кибериспытаний (куда позвали нас и где много говорили про МСП) и Global Digital Security (новость по ссылке). На эфирах, как водится, прозвучало много новых интересных мыслей, но мы хотели бы поговорить об одной конкретной.

Звучит она так:

Эксперты рассказали порталу Cyber Media, почему социальная инженерия остается главной угрозой для МСБ

Так вот, мы уверены, что это совсем не так. Наш тезис: "МСБ в России защищены слишком плохо, чтобы хакерам пришлось часто прибегать к социальной инженерии". Грубо говоря, существующих уязвимостей им достаточно.

Самая яркая иллюстрация — те самые кибериспытания, где "социалка" была вообще самым редким из векторов. Причина проста: исследовали сначала "щупали" компанию на периметре, и если находили простой способ развить атаку — то развивали ее. "Заморачиваться" с фишинговыми письмами никто не хотел, это долго, это муторно, и вообще без гарантий.

У "блэков" история аналогичная — на МСБ идут массовые атаки, собирать фишинговую рассылку под каждую конкретную "овощебазу" (no offensive) для них нет никакого смысла. Фишинг — это ручная работа. А сканирование периметра в нынешних реалиях прекрасно автоматизируется.

Настолько, что при выкупах в 3-7 млн рублей (а это среднее для МСБ) ransom-группы продолжают работать, и в целом прибыльность их устраивает. А роль фишинга во всей этой истории минимальна.

В общем, разговоры о защите МСБ снова свернули не туда

А как защищать МСБ правильно?

Мы тут много критикуем существующие идеи по защите МСБ — мол, предлагают они неправильные, неэффективные вещи, и вообще негоже уважаемым людям, продающим NGFW на миллиарды лезть в непривычную нишу. Наверное, будет правильно сказать, как мы видим решение проблемы по результатам 2 лет активной работы в этом сегменте, десяткам успешных проектов и огромному кастдеву 4security.

Начнем с предпосылок. Во-первых, бюджет МСБ на ИБ — в среднем около 500 тысяч рублей в год. В целом, уже после этого большинство существующих вендоров и интеграторов скажут "спасибо, поговорим позднее". Во-вторых, компетенций в ИБ у большинства из них нет от слова "совсем".

То есть предлагать МСБ дешевый сканер периметра бессмысленно — он при всем желании не сможет воспользоваться результатами. Предлагать антивирус - можно, но этого хронически мало. Предлагать интеграцию на базе opensource тоже бессмысленно — не потянут по деньгам.

Можно пробовать страховаться — уже теплее, но без базовых средств защиты стоимость страховки на адекватные деньги (5-10 млн рублей) будет кусаться. Но если "закрыть" страховкой только остаточный риск, то инструмент рабочий.

Снова повторимся: идеи "попытаться заставить заплатить за МСБ государство или крупняк" не сработают. У государства денег нет, а решения от крупняка и для крупняка для МСБ в основном или не подойдут, или будут слишком дорогими, т.к. потребуют погружения людей. Окей, защиту от DDOS оставим — но кажется, это не ключевая боль МСБ. Про идею "заставить всех МСБ-участников тендеров проходить пентесты" я промолчу: получим очередной бессмысленный "налог" в виде PCI DSS (кто понял шутку, тот понял).

А теперь о том, каким должно быть решение:
- коробочным. То есть должно легко разворачиваться, легко устанавливаться, легко работать.
- бесчеловечным. Если для того, чтобы понять результаты работы вашего софта вам нужен человек за 2-3 млн рублей в год, то стоимость софта уже не значима.
- понятным. Это не ИБ-инструмент, с ним будет работать очень средний сисадмин. Заморачиваться со сложным инструментом никто не будет.

И вот если оно удовлетворит всем этим критериям, то да, шансы защитить МСБ есть. А каким оно будет — не так важно. Хоть "РосГосПентестом" от Госуслуг, хоть нашим 4security, не важно. Главное, чтобы реально защищало. А после него можно и страховаться, и на разные кибериспытания-лайт выходить.

А что касается "самозащиты" — можем сказать одно. Любой айтишник, даже с нулем знаний в ИБ, может сделать бэкап. Более того, он может проверить, восстанавливается ли его бэкап. Он может скачать чек-листы, написать аварийные процедуры. Главное — чтобы он сам этого хотели. А это, кажется, самая страшная проблема.

Clair Obscur проверки заказчика

За время существования 3side мы пообщались со множеством потенциальных Заказчиков, и части из них мы отказывали! Небольшой части из них услуги по кибербезу были откровенно не нужны на данный момент, а навязывать им что-то — не наш путь.

Но некоторым мы отказывали по иной причине — не прохождение проверки. Ведь важная часть нашей работы, которую так ценят наши исполнители — проверка легальности заказа.

А значит, мы должны быть точно уверены, что:
- Человек, заказывающий услугу, тот, за кого себя выдает.
- Он действительно относится к той компании, которую представляет.
- Эта компания действительно может заказывать услуги на те ресурсы, которые в границах работ.
- Компания не «мимикрирует» под настоящую.
- Нет «скрытого» посредника, который может вмешаться и поставить легальность контракта под угрозу.
- Нет финансовых или иных рисков сотрудничества.

Всё это на нашей стороне, и в подобной проверке мы стараемся сделать ее максимально незаметной для потенциального Заказчика. Для наших мини-расследований мы используем следующее:

Rusprofile. Из множества похожих сервисов для проверки контрагентов остановились именно на нем. Он максимально удобен для использования и показывает всё, что нужно. Позволил определить множество очень странных связей и по владельцам, и по адресам, и по судам, и даже по товарным знакам! Подсветить «мутный» заказ может очень многое, нужно лишь знать, куда смотреть.

OSINT автоматический. Со времен работы в пентесте осталась целая плеяда инструментов внешних и собственной разработки. Развивать и совершенствовать их времени нет, публично показать — стыдно из-за «костыльного» кода, но работу свою выполняют.

OSINT ручной. В особо подозрительных, но пограничных случаях подключаем наших исполнителей по OSINT за совсем небольшой прайс с работой на один вечер.

Любые сомнения трактуются в негатив, работать с чем-то подозрительным — себе дороже. Репутация на рынке кибербеза слишком важна!