Forwarded from SecAtor
Известная своими громкими «крестовыми походами» на компании-миллиардеры банда вымогателей Ragnar Locker обещает применять жесткие санкции к своим нынешним и потенциальным жертвам, которые будут ими уличены в связях с правоохранительными органами, спецслужбами или инфосек компаниями.
К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.
Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.
Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.
Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.
Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.
Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.
К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.
Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.
Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.
Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.
Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.
Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.
Forwarded from SecAtor
Очередной zeroday для пользователей Windows.
Ошибка удаленного выполнения кода с высокой степенью опасности CVE-2021-40444 (CVSS: 8,8) обнаружена в движке браузера Windows MSHTML. Компания заявила, что уязвимость используется в целевых атаках посредством специально созданных документов Microsoft Office, которые позволяют злоумышленнику захватить уязвимую систему.
Проблема кроется в возможности создания вредоносного элемента управления ActiveX, который будет использоваться документом Microsoft Office (Word, Excel и PowerPoint), где реализован механизм визуализации браузера. Да, да, того самого браузера для установки других браузеров - Internet Explorer. Конечно злоумышленнику нужно убедить пользователя открыть документ, но это уже как говорится дело техники.
Хотя патч еще не доступен, Microsoft заявила, что по умолчанию Office открывает документы из Интернета в режиме защищенного просмотра или Application Guard для Office, что по заявлению представителей компании должно предотвратить атаку. Однако уже просочились сведения, что обнаруженные атаки, направлены против клиентов, использующих Microsoft 365 и Office 2019 в Windows 10.
В свою очередь Агентство по кибербезопасности CISA уже призвало пользователей и администраторов реализовать необходимые меры защиты, предложенные Microsoft в целях снижения риска.
Ошибка удаленного выполнения кода с высокой степенью опасности CVE-2021-40444 (CVSS: 8,8) обнаружена в движке браузера Windows MSHTML. Компания заявила, что уязвимость используется в целевых атаках посредством специально созданных документов Microsoft Office, которые позволяют злоумышленнику захватить уязвимую систему.
Проблема кроется в возможности создания вредоносного элемента управления ActiveX, который будет использоваться документом Microsoft Office (Word, Excel и PowerPoint), где реализован механизм визуализации браузера. Да, да, того самого браузера для установки других браузеров - Internet Explorer. Конечно злоумышленнику нужно убедить пользователя открыть документ, но это уже как говорится дело техники.
Хотя патч еще не доступен, Microsoft заявила, что по умолчанию Office открывает документы из Интернета в режиме защищенного просмотра или Application Guard для Office, что по заявлению представителей компании должно предотвратить атаку. Однако уже просочились сведения, что обнаруженные атаки, направлены против клиентов, использующих Microsoft 365 и Office 2019 в Windows 10.
В свою очередь Агентство по кибербезопасности CISA уже призвало пользователей и администраторов реализовать необходимые меры защиты, предложенные Microsoft в целях снижения риска.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Introduction to OWASP Top 10 2021
OWASP выпустили драфт документа OWASP Top 10 2021!
Из нового, что отсутствовало в последнем Top 10 2017:
- A04:2021-Insecure Design
- A08:2021-Software and Data Integrity Failures
- A10:2021-Server-Side Request Forgery
Также по списку поднялись уязвимости класса A06:2021 – Vulnerable and Outdated Components, что автоматически повышает перспективы инструментов SCA.
В начале этого года Wallarm также представили свою версию Top10, основанную на анализе базы данных Vulners.
#web #dev
OWASP выпустили драфт документа OWASP Top 10 2021!
Из нового, что отсутствовало в последнем Top 10 2017:
- A04:2021-Insecure Design
- A08:2021-Software and Data Integrity Failures
- A10:2021-Server-Side Request Forgery
Также по списку поднялись уязвимости класса A06:2021 – Vulnerable and Outdated Components, что автоматически повышает перспективы инструментов SCA.
В начале этого года Wallarm также представили свою версию Top10, основанную на анализе базы данных Vulners.
#web #dev
Повышение квалификации по ИТ и ИБ со скидкой 50% от государства.
https://цифровыепрофессии.рф/catalog
https://цифровыепрофессии.рф/catalog
www.2035.university
Поддержка национальных приоритетов
Официальный сайт «Университета НТИ 2035»
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
ZeroNights 2021
Выложили записи и слайды с Zero Nights 2021. Самое интересное для этого канала находится в секции Defensive Track.
- О метриках с практической точки зрения - доклад про метрики (в частности про те, что были приведены в HP MagicNumbers), а также немного про OWASP SAMM и ASVS.
- Побег из контейнера: Kubernetes - доклад, где название говорит само за себя от автора @k8security. Доклад начинается с вводной части о работе k8s, после чего приводятся способы побега из контейнера через capabilities, маунты и CVE (есть очень много полезных ссылок).
- CVEhound: проверка исходников Linux на известные CVE - доклад про проблемы инструментов SCA и поиск CVE в Linux с помощью CVEhound.
- DevSecOps на Open Source: бурление в стакане - про построение классического процесса на базе gosec, trufflehog, defectdojo, semgrep и т.д. Автор также поделился пайплайнами gitlab в public.
- Атаки на микросервисные приложения: методы и и практические советы - доклад про то, на что надо обращать внимание с точки зрения безопасности, когда речь заходит о микросервисах (как проверять безопасность аутентификации, авторизации, какими инструментами, где брать чеклисты).
- Лезем невидимой рукой аппсека в релизные сборки - доклад про поиск уязвимостей в мобилках и написание своей тулы CheckKarlMarx.
Все слайды можно найти здесь.
#talks #dev #ops
Выложили записи и слайды с Zero Nights 2021. Самое интересное для этого канала находится в секции Defensive Track.
- О метриках с практической точки зрения - доклад про метрики (в частности про те, что были приведены в HP MagicNumbers), а также немного про OWASP SAMM и ASVS.
- Побег из контейнера: Kubernetes - доклад, где название говорит само за себя от автора @k8security. Доклад начинается с вводной части о работе k8s, после чего приводятся способы побега из контейнера через capabilities, маунты и CVE (есть очень много полезных ссылок).
- CVEhound: проверка исходников Linux на известные CVE - доклад про проблемы инструментов SCA и поиск CVE в Linux с помощью CVEhound.
- DevSecOps на Open Source: бурление в стакане - про построение классического процесса на базе gosec, trufflehog, defectdojo, semgrep и т.д. Автор также поделился пайплайнами gitlab в public.
- Атаки на микросервисные приложения: методы и и практические советы - доклад про то, на что надо обращать внимание с точки зрения безопасности, когда речь заходит о микросервисах (как проверять безопасность аутентификации, авторизации, какими инструментами, где брать чеклисты).
- Лезем невидимой рукой аппсека в релизные сборки - доклад про поиск уязвимостей в мобилках и написание своей тулы CheckKarlMarx.
Все слайды можно найти здесь.
#talks #dev #ops
YouTube
ZeroNights X Defensive Track - YouTube
Forwarded from SecAtor
Не прошло и недели, как на теневых форумах появился мануал для мамкиных хацкеров по эксплуатации зеродея в Windows MSHTML, о котором мы писали ранее. Представители подпольного андеграунда активно делятся мануалом по эксплуатации CVE-2021-40444, что позволяет другим хакерам использовать новую уязвимость в своих собственных атаках.
Напоминаем, что в прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы. Microsoft на скорую руку предоставили меры по предотвращению ее эксплуатации. Эти меры защиты должны работать путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.
Однако, хакеры уже модифицировали эксплойт так, чтобы он не использовал ActiveX, эффективно обходя предложенные меры защиты от Microsoft. Ребята на самом деле выдающиеся, раз так быстро смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете собственно поэтому и начали делиться подробными руководствами и информацией на хакерских форумах.
Всплеск хакерской активности очевиден, так как для уязвимости CVE-2021-40444 до сих пор нет доступных обновлений безопасности, а предложенные корпорацией Microsoft меры уже не особо то эффективны.
Напоминаем, что в прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы. Microsoft на скорую руку предоставили меры по предотвращению ее эксплуатации. Эти меры защиты должны работать путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.
Однако, хакеры уже модифицировали эксплойт так, чтобы он не использовал ActiveX, эффективно обходя предложенные меры защиты от Microsoft. Ребята на самом деле выдающиеся, раз так быстро смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете собственно поэтому и начали делиться подробными руководствами и информацией на хакерских форумах.
Всплеск хакерской активности очевиден, так как для уязвимости CVE-2021-40444 до сих пор нет доступных обновлений безопасности, а предложенные корпорацией Microsoft меры уже не особо то эффективны.
Vimeo
Demonstration of new Windows MSHTML CVE-2021-40444 zero-day vulnerability
BleepingComputer's demonstration of the new Windows MSHTML CVE-2021-40444 zero-day vulnerability.
Forwarded from AWS Notes
Top 20 AWS services for Security
С вашей помощью получился следующий список AWS сервисов, который Security (специалистам по ИБ) обязательно нужно знать / стоит знать / можно рекомендовать для изучения (по убыванию важности):
1️⃣ IAM
2️⃣ CloudTrail
3️⃣ KMS
4️⃣ GuardDuty
5️⃣ Config
6️⃣ Security Hub
7️⃣ Organizations
8️⃣ SSO
9️⃣ CloudWatch
🔟 WAF (Web Application Firewall)
11. Secrets Manager
12. ACM (AWS Certificate Manager)
13. Shield
14. VPC
15. Inspector
16. Route53
17. Network Firewall
18. Firewall Manager
19. Audit Manager
20. EC2
AWS сервисов по безопасности в реальности ещё полтора десятка, уже более специализированных. Про которые тоже стоит/нужно знать безопасникам. 😀
Также порекомендую, чтобы быть в курсе по теме безопасности, обязательно стоит подписаться на @sec_devops, где всегда много тем по AWS.
p.s. Ранее было аналогичное для бэкенда, фронта, фуллстэк и QA.
#top #security #опрос
С вашей помощью получился следующий список AWS сервисов, который Security (специалистам по ИБ) обязательно нужно знать / стоит знать / можно рекомендовать для изучения (по убыванию важности):
1️⃣ IAM
2️⃣ CloudTrail
3️⃣ KMS
4️⃣ GuardDuty
5️⃣ Config
6️⃣ Security Hub
7️⃣ Organizations
8️⃣ SSO
9️⃣ CloudWatch
🔟 WAF (Web Application Firewall)
11. Secrets Manager
12. ACM (AWS Certificate Manager)
13. Shield
14. VPC
15. Inspector
16. Route53
17. Network Firewall
18. Firewall Manager
19. Audit Manager
20. EC2
AWS сервисов по безопасности в реальности ещё полтора десятка, уже более специализированных. Про которые тоже стоит/нужно знать безопасникам. 😀
Также порекомендую, чтобы быть в курсе по теме безопасности, обязательно стоит подписаться на @sec_devops, где всегда много тем по AWS.
p.s. Ранее было аналогичное для бэкенда, фронта, фуллстэк и QA.
#top #security #опрос
Telegram
aws_notes
Самые важные AWS сервисы, которые нужно знать ИБ специалистам (первая восьмёрка).
(можно выбрать несколько вариантов)
#опрос
Config / CloudTrail / GuardDuty / IAM / KMS / Organizations / Security Hub / SSO / Другой (более важный, чем какой-то из восьми выше)…
(можно выбрать несколько вариантов)
#опрос
Config / CloudTrail / GuardDuty / IAM / KMS / Organizations / Security Hub / SSO / Другой (более важный, чем какой-то из восьми выше)…
Forwarded from Пост Лукацкого
Маппинг ММУ ФСТЭК и MITRE ATTACK.xlsx
54.8 KB
Маппинг техник ФСТЭК в техники MITRE ATT&CK