Forwarded from SecAtor
Специалисты из Лаборатории Касперского в рамках проекта Kaspersky Security Bulletin продолжают моделировать и пытаться предвидеть развитие финансовых угроз и crimeware, ежегодно анонсируя свои прогнозы по возможным трендам на будущий год с оценкой заявленных в предыдущем периоде.
В целом большинство прогнозов на 2023 год оказались верными: развитие новых угроз в мире Web3 и криптовалют, рост популярности загрузчиков вредоносного ПО на теневом рынке и изменение мотивов вымогателей, которые сосредоточатся на разрушительных (в частности, политически мотивированных) атаках.
Прогноз об активном использовании новых средств для тестирования на проникновение в преступных целях в целом не оправдался — ресерчеры не наблюдали в атаках новых популярных фреймворков, отличных от Cobalt Strike и Brute Ratel C4.
Вопреки ожиданиям ЛК, операторы ransomware остались верны битку, при этом они полагаются миксеры для маскировки своих транзакций.
А в 2024 году исследователям придется решать множество сложных задач и противостоять все более изощренным TTPs злоумышленников, эксплуатирующих уязвимости финансовых систем. Ожидается, что:
- Стремительно возрастет количество кибератак с использованием технологий машинного обучения. Такой подход приведет к росту числа непрофессиональных атак — порог вхождения в эту нишу снизится, при этом возрастут шансы обмануть жертву.
- Мошенники будут чаще атаковать системы мгновенных платежей, интегрируя их в свои мошеннические схемы. Для быстрого, беспрепятственного вывода украденных средств все чаще будут использоваться мобильные банковские троянцы.
- Системы автоматического перевода (ATS), при котором банковский зловред совершает транцзакции, как только пользователь входит в банковское приложение, будут использоваться хакерами по всему миру.
- Многие киберпреступники из Восточной Европы переключились на шифровальщики, отказавшись от зловредов для онлайн-банкинга. Освободившуюся нишу могут занять бразильские банковские троянцы. Эти и другие семейства будут активно распространяться по миру, претендуя на звание нового ZeuS.
- Вымогатели будут тщательнее выбирать цели, делая атаки на финансовые организации более целенаправленными и разрушительными.
- Киберпреступники будут эксплуатировать уязвимости популярного ПО с открытым исходным кодом, ставя под угрозу безопасность, данные и финансы организаций, которые его используют.
- Атак с использованием 0-day станет меньше, а количество уязвимостей первого дня возрастет. Преступники также будут чаще обращать внимание на ошибки в конфигурации устройств и сервисов.
- Экосистема киберпреступных групп станет более гибкой — ее участники будут переходить из одной группы в другую или работать на несколько групп одновременно.
- Для создания вредоносного ПО и эксплуатации уязвимостей будут применяться менее распространенные кроссплатформенные языки программирования, такие как Golang и Rust, что усложнит обнаружение угроз и противодействие им.
- На фоне социально-политических конфликтов возрастет активность хактивистов, чья цель — вывести из строя критическую инфраструктуру и службы.
В целом большинство прогнозов на 2023 год оказались верными: развитие новых угроз в мире Web3 и криптовалют, рост популярности загрузчиков вредоносного ПО на теневом рынке и изменение мотивов вымогателей, которые сосредоточатся на разрушительных (в частности, политически мотивированных) атаках.
Прогноз об активном использовании новых средств для тестирования на проникновение в преступных целях в целом не оправдался — ресерчеры не наблюдали в атаках новых популярных фреймворков, отличных от Cobalt Strike и Brute Ratel C4.
Вопреки ожиданиям ЛК, операторы ransomware остались верны битку, при этом они полагаются миксеры для маскировки своих транзакций.
А в 2024 году исследователям придется решать множество сложных задач и противостоять все более изощренным TTPs злоумышленников, эксплуатирующих уязвимости финансовых систем. Ожидается, что:
- Стремительно возрастет количество кибератак с использованием технологий машинного обучения. Такой подход приведет к росту числа непрофессиональных атак — порог вхождения в эту нишу снизится, при этом возрастут шансы обмануть жертву.
- Мошенники будут чаще атаковать системы мгновенных платежей, интегрируя их в свои мошеннические схемы. Для быстрого, беспрепятственного вывода украденных средств все чаще будут использоваться мобильные банковские троянцы.
- Системы автоматического перевода (ATS), при котором банковский зловред совершает транцзакции, как только пользователь входит в банковское приложение, будут использоваться хакерами по всему миру.
- Многие киберпреступники из Восточной Европы переключились на шифровальщики, отказавшись от зловредов для онлайн-банкинга. Освободившуюся нишу могут занять бразильские банковские троянцы. Эти и другие семейства будут активно распространяться по миру, претендуя на звание нового ZeuS.
- Вымогатели будут тщательнее выбирать цели, делая атаки на финансовые организации более целенаправленными и разрушительными.
- Киберпреступники будут эксплуатировать уязвимости популярного ПО с открытым исходным кодом, ставя под угрозу безопасность, данные и финансы организаций, которые его используют.
- Атак с использованием 0-day станет меньше, а количество уязвимостей первого дня возрастет. Преступники также будут чаще обращать внимание на ошибки в конфигурации устройств и сервисов.
- Экосистема киберпреступных групп станет более гибкой — ее участники будут переходить из одной группы в другую или работать на несколько групп одновременно.
- Для создания вредоносного ПО и эксплуатации уязвимостей будут применяться менее распространенные кроссплатформенные языки программирования, такие как Golang и Rust, что усложнит обнаружение угроз и противодействие им.
- На фоне социально-политических конфликтов возрастет активность хактивистов, чья цель — вывести из строя критическую инфраструктуру и службы.
securelist.ru
Финансовые киберугрозы и crimeware в 2024 году
Эксперты «Лаборатории Касперского» оценивают точность прошлогодних прогнозов по финансовым угрозам и пытаются предсказать развитие ландшафта вредоносного ПО на 2024 год.
Forwarded from Листок бюрократической защиты информации
Выписка_стандарты_ТК 362_2024.pdf
96.9 KB
На сайте ФСТЭК России опубликована выписка из Программы национальной стандартизации на 2024 год, утвержденной приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 31.10.2023 г. № 2279 в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации «Защита информации». (ТК 362)
Please open Telegram to view this post
VIEW IN TELEGRAM
https://ruler-project.github.io/ruler-project/
Проект направленный на документирование какие именно логи полезно собирать для расследования.
Проект направленный на документирование какие именно логи полезно собирать для расследования.
ruler-project.github.io
The RULER Project
The Really Useful Logging and Event Repository Project
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Так как нашей команде Luntry часто приходится участвовать в различных проектах по безопасности
Смысл заключается в том, что если у злоумышленника на
Как митигейшены можно сделать следующее:
1) Чтобы уменьшить риск компрометации, критичные сервисы разделать по
2)
3) Писать политики
P.S. Еще была крутая идея для атаки - все это провернуть через
P.S.S. Ближайшие дни мы на
Kubernetes систем: аудиты, пентесты, архитектурные проекты. То приходится порой думать о некоторых моментах, к которым просто так не придешь, никогда об этом не задумываясь. Одним из таких последних моментов был момент, когда требовалось понять стоит ли определенные высокопривелигерованные микросервисы (там хороший SA) располагать в одном Namespace или расселить на разные. При решении этой задачи как раз и пригодился наш атакующий опыт.Смысл заключается в том, что если у злоумышленника на
Node есть возможность создать Pod в таком Namespace (где и эти высокопривелигерованные сервисы), даже с учетом того что стоит множества правильных политик PolicyEnginе (против Bad Pods и тд), то у него все равно остаётся возможность смонтировать внутрь такого Pod интересующий его SA из того же самого Namespace! Далее когда он смонтируется туда, то можно смело забирать его с Node ...Как митигейшены можно сделать следующее:
1) Чтобы уменьшить риск компрометации, критичные сервисы разделать по
Namespaces2)
Namespaces c критичными/инфраструктурными сервисами привязывать только к определенным инфраструктурным Nodes3) Писать политики
PolicyEngine, которые проверяют использование критичных SA, только в определенных сервисахP.S. Еще была крутая идея для атаки - все это провернуть через
StaticPod, но там нельзя ссылать на другие ресурсы (на тот же SA)…P.S.S. Ближайшие дни мы на
HighLoad++ 2023 Msk и будем рады пообщаться лично =)luntry.ru
Luntry — защита контейнеров и Kubernetes-сред от угроз на всех этапах жизненного цикла
Kubernetes-native платформа для полного контроля и безопасности контейнерной инфраструктуры, без замедления
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
#events #RadioGroot
📍 🆕 В гостях: Андрей Масалович, президент Консорциума Инфорус, Разработчик технологии интернет-разведки Avalanche, кандидат физико-математических наук
🕓 Дата: 28 ноября в 19:00 по мск
🖼 Формат: онлайн, трансляция в канале
🔗 Добавить в календарь: здесь
🗣 Обсудим:
⬇️ карьерный путь в ИБ
⬇️ бизнес в РФ
⬇️ образование
⬇️ запросы рынка и проекты
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Мониторинг подрядчиков.pdf
14.3 MB
Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...
Forwarded from Порвали два трояна
Учитывая разгул ransomware — вопрос не праздный, и готовиться к такому событию лучше заранее.
Сценариев, по которым будет всё развиваться, довольно много в зависимости от рода утечки. Одно дело, если опубликованы какие-то старые, собранные парсингом публичного интернета данные, которые выдают за базу клиентов компании. Другое дело, если на продажу выставлен работоспособный доступ в инфраструктуру организации через RDP.
В любом из случаев потребуется изучить профиль актора, продающего данные, проверить, является ли утечка настоящей, основываясь на доступных данных и демо-фрагменте, если он есть.
Если есть основания считать утечку настоящей, необходимо запустить процесс реагирования, чтобы найти и пресечь возможную компрометацию инфраструктуры компании, в зависимости от типа утечки — оповестить высшее руководство, регуляторов, клиентов и партнёров.
Разумеется, необходимо устранить последствия утечки в той мере, в которой это возможно и принять меры, чтобы она не могла продолжаться. В зависимости от конкретной ситуации это может быть устранение уязвимостей в используемом ПО, смена паролей и ужесточение парольной политики, деактивация учётных записей или даже отключение сервисов.
Утечка, особенно если она масштабная и публичная, создаёт дополнительный стресс всей команде реагирования. Более того, в большинстве ИБ-команд нет специалистов по мониторингу дарквеба или переговорам с хакерами. Поэтому на каждом шаге вышеописанного процесса велика вероятность серьёзных ошибок. Чтобы не допускать их, рекомендуется проводить тренинги по реагированию на утечки и привлекать профильные сервисы от ИБ-компаний с хорошей репутацией.
Команда Kaspersky Digital Footprint Intelligence создала детальный гид по разным сценариям обнаружения и реагирования на утечки и специальный плейбук для SOC.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
VMware исправила критическую уязвимость обхода аутентификации в платформе управления ЦОД Cloud Director, которая более двух недель с момента ее обнаружения 14 ноября оставалась без патча.
CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.
Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.
В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).
Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.
Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.
Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.
CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.
Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.
В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).
Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.
Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.
Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.
https://thehackernews.com/2023/11/us-uk-and-global-partners-release.html
"The U.K. and U.S., along with international partners from 16 other countries, have released new guidelines for the development of secure artificial intelligence (AI) systems."
"The U.K. and U.S., along with international partners from 16 other countries, have released new guidelines for the development of secure artificial intelligence (AI) systems."
Forwarded from Листок бюрократической защиты информации
Как и было обещано в Госдуму внесены законопроекты ужесточающие откровенность за нарушение законодательства в сфере ПДн (вплоть до уголовной откровенности):
• Законопрект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
• Законопроект «О внесении изменений в Уголовный кодекс Российской Федерации».
Ознакомиться с предлагаемыми размерами административных штрафов и новыми составами правонарушений можно ниже.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Листок бюрократической защиты информации
Проект адм ответственность ПДн.pdf
128.1 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Проект
По прежнему гигантский и ребята перестали гнаться уместить его на один экран и более удобно разместили на странице, добавив различную статистику, более удобные фильтры и инструкцию по работе с этим
CNCF Cloud Native Interactive Landscape обновился и получил версию 2.0! По прежнему гигантский и ребята перестали гнаться уместить его на один экран и более удобно разместили на странице, добавив различную статистику, более удобные фильтры и инструкцию по работе с этим
landscape.