Forwarded from SecAtor
Как мы и предполагали, в ответ на действия международного сообщества вымогатели будут менять тактику нападений, станут более агрессивными и требовательными, что и начинает происходить.
Команда Symantec Threat Hunter обнаружила новый инструмент BlackMatter, предназначенный для ускорения кражи данных из зараженных систем, являляясь продолжением тренда, начавшегося с Ryuk Stealer и связанного с LockBit StealBit.
Exmatter дает вымогателям возможность избирательно производить хищение файлов определенных типов из выбранных каталогов для их скорейшей загрузки на подконтрольный хакерам сервер, что позволяет, в целом, им концентрироваться на наиболее критичных и важных для жертвы данных и значительно быстрее завершая процесс эксфильтрации, пока их не полочили.
После сканирования всех логических дисков на компьютере жертвы и сбора путей к файлам Exmatter начинает извлечение с учетом приоритета для определённого типа файлов посредством LastWriteTime, например PDF или Word, игнорируя такие каталоги, как «C: \ Documents and Settings». После завершения эксфильтрации Exmatter пытается перезаписать и удалить все свои следы с компьютера жертвы.
А вот, банда вымогателей HelloKitty (также известная как FiveHands) добавила в свой арсенал методов распределенные атаки типа «отказ в обслуживании» (DDoS), о чем предупреждают CISA и ФБР. По мнению хакеров, такой комплексный подход позволит ускорить переговорный процесс и быстрее получить выкуп, если жертва замешкалась в моменте.
В дополнение к DDoS, как мы и отмечали вчера, операторы HelloKitty, в числе других передовых коллег по цеху, закодили шифраторы под платформу виртуальных машин VMware ESXi, после чего их активность к августу резко возросла.
Команда Symantec Threat Hunter обнаружила новый инструмент BlackMatter, предназначенный для ускорения кражи данных из зараженных систем, являляясь продолжением тренда, начавшегося с Ryuk Stealer и связанного с LockBit StealBit.
Exmatter дает вымогателям возможность избирательно производить хищение файлов определенных типов из выбранных каталогов для их скорейшей загрузки на подконтрольный хакерам сервер, что позволяет, в целом, им концентрироваться на наиболее критичных и важных для жертвы данных и значительно быстрее завершая процесс эксфильтрации, пока их не полочили.
После сканирования всех логических дисков на компьютере жертвы и сбора путей к файлам Exmatter начинает извлечение с учетом приоритета для определённого типа файлов посредством LastWriteTime, например PDF или Word, игнорируя такие каталоги, как «C: \ Documents and Settings». После завершения эксфильтрации Exmatter пытается перезаписать и удалить все свои следы с компьютера жертвы.
А вот, банда вымогателей HelloKitty (также известная как FiveHands) добавила в свой арсенал методов распределенные атаки типа «отказ в обслуживании» (DDoS), о чем предупреждают CISA и ФБР. По мнению хакеров, такой комплексный подход позволит ускорить переговорный процесс и быстрее получить выкуп, если жертва замешкалась в моменте.
В дополнение к DDoS, как мы и отмечали вчера, операторы HelloKitty, в числе других передовых коллег по цеху, закодили шифраторы под платформу виртуальных машин VMware ESXi, после чего их активность к августу резко возросла.
Security
BlackMatter: New Data Exfiltration Tool Used in Attacks
Development of custom tool suggests ransomware attackers are attempting to increase the speed of their attacks.
Forwarded from Пост Лукацкого
https://www.sans.org/white-papers/sans-2021-survey-security-operations-center-soc/ - свежий отчет по SOCам, часть статистики из которого я приводил на слайдах выше. В целом много изменений за год произошло и запланировано на будущее
www.sans.org
A SANS 2021 Survey: Security Operations Center (SOC) | SANS Institute
This year's survey explored the explosion of both remote work and the use of cloud-based systems on critical SOC functions and team operations, as well as shifting budgets.
Forwarded from k8s (in)security (D1g1)
Все чаще сталкиваюсь с вопросом у клиентов: "Как сделать Kubernetes кластер, чтобы он соответствовал PCI DSS?"
Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с
Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"
P.S. И не забываем также о классном проекте Compliance Operator ;)
Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с
managed Kubernetes! По сути, можно не ломать голову и не придумывать ничего с нуля, а подсмотреть как они к этому подходят и перенять к себе.Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"
P.S. И не забываем также о классном проекте Compliance Operator ;)
Если завтра вас пригласят на встречу с топ менеджментом с помощью встречи в outlook (ics) убедитесь что это не фишинг. 😉
https://twitter.com/mrd0x/status/1455534456027029504
https://twitter.com/mrd0x/status/1455534456027029504
Twitter
mr.d0x
You can spoof almost everything in a Calendar invite by customizing an .ics file. I think this can definitely trick many users. mrd0x.com/spoofing-calen…
Еще одна причина использовать доверенные компиляторы и безусловно лицензионные
https://twitter.com/TAdviser/status/1455822072484143110
https://twitter.com/TAdviser/status/1455822072484143110
Twitter
TAdviser
Хакеры начали заражать ПО на стадии исходного кода tadviser.ru/a/629418
Похоже нас ждет новый вид атак с использованием давно не обновляемых библиотек в менеджерах пакетов. это вторая уязвимость для npm за месяц.
https://www.bleepingcomputer.com/news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords/
https://www.bleepingcomputer.com/news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords/
BleepingComputer
Popular 'coa' NPM library hijacked to steal user passwords
Popular npm library 'coa' was hijacked today with malicious code injected into it, ephemerally impacting React pipelines around the world. The 'coa' library, short for Command-Option-Argument, receives about 9 million weekly downloads on npm, and is used…
Интересный прецедент развивается дальше
https://www.reuters.com/technology/solarwinds-investors-allege-board-knew-about-cyber-risks-2021-11-05/
https://www.reuters.com/technology/solarwinds-investors-allege-board-knew-about-cyber-risks-2021-11-05/
Reuters
SolarWinds investors allege board knew about cyber risks
SolarWinds Corp investors have sued the software company's directors, alleging they knew about and failed to monitor cybersecurity risks to the company ahead of a breach that created a vulnerability in thousands of its customers' systems.
Forwarded from Пост Лукацкого
Интересные вещи предсказывает Гартнер. Например, постепенный отказ от начальников в командах, выстраивающихся не по принципу вертикальных иерархий (привет, Agile). Интересно, ИБ (не SecDevOps) это коснется?
Приватность еще в двух прогнозах, но это скорее развитие текущих трендов. Ну и хотелось бы посмотреть на физический ответ на кибератаки в условиях нечеткой атрибуции
Приватность еще в двух прогнозах, но это скорее развитие текущих трендов. Ну и хотелось бы посмотреть на физический ответ на кибератаки в условиях нечеткой атрибуции
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Практика управления безопасностью ПО в масштабных продуктах
Доклад от CISO Тинькофф об угрозах, присущих платформам разработки (куда также относятся CI/CD системы). В число угроз попали:
- Уже многим известный Dependency Confussion
- Использование одних и тех же ключей для всех сборок и деплоев
- Повышение привилегий через shared раннеры (в т.ч. привилегированный DinD)
- Внесение изменений в код за счет отсутствия правил approve/review
- Использование небезопасных сторонних библиотек
- Публикация внутренних API во внешнюю среду через единый ingress
- Открытие полного доступа в Интернет для закрытых ресурсов
#dev #ops #attack
Доклад от CISO Тинькофф об угрозах, присущих платформам разработки (куда также относятся CI/CD системы). В число угроз попали:
- Уже многим известный Dependency Confussion
- Использование одних и тех же ключей для всех сборок и деплоев
- Повышение привилегий через shared раннеры (в т.ч. привилегированный DinD)
- Внесение изменений в код за счет отсутствия правил approve/review
- Использование небезопасных сторонних библиотек
- Публикация внутренних API во внешнюю среду через единый ingress
- Открытие полного доступа в Интернет для закрытых ресурсов
#dev #ops #attack
YouTube
Практика управления безопасностью ПО в масштабных продуктах — Дмитрий Гадарь, Тинькофф
Информационная безопасность важна для любой компании, а для финансовых компаний — втройне. Дмитрий Гадарь знает, как выстроить защиту и чем можно пожертвовать.
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
Forwarded from Пост Лукацкого
Тексты 60+ политик безопасности (каждая на 1-2 страницы) в проекте SANS. Все доступно в PDF и DOC (правда, на английском) без регистраций и SMS. Очень хороший старт для разработки своих собственных документов - без воды и оглядок на количество страниц - https://t.co/DCuunIdDC5 https://t.co/4tPKvSqnqF
— Alexey Lukatsky (@alukatsky) Nov 9, 2021
— Alexey Lukatsky (@alukatsky) Nov 9, 2021
www.sans.org
Information Security Policy Templates | SANS Institute
SANS has developed a set of information security policy templates. These are free to use and fully customizable to your company's IT security practices. Our list includes policy templates for acceptable use policy, data breach response policy, password protection…