🔥 Эксперты Positive Technologies проанализировали актуальные киберугрозы за IV квартал 2023 года
Из важного: вредоносное ПО остается основным оружием злоумышленников, оно использовалось в 73% успешных атак на организации. В тройку наиболее распространенных типов вредоносов по-прежнему входят шифровальщики, шпионское ПО и ВПО для удаленного управления. При этом шпионское ПО стало трендом не только последнего квартала, но и всего 2023 года.
В каждой третьей успешной атаке на организации злоумышленники эксплуатировали уязвимости — от наиболее известных из них пострадали такие компании как Boeing и китайский банк ICBC. Половина всех успешных атак в четвертом квартале привели к утечке конфиденциальной информации, в общем объеме которой выросла доля данных банковских карт — закономерное явление в канун любых праздников.
👀 О самых громких кибератаках последнего квартала прошлого года — читайте на карточках. А о том, как защищаться от актуальных киберугроз, а также о других ключевых результатах и трендах — в полной версии исследования на нашем сайте.
@Positive_Technologies
#PositiveЭксперты
Из важного: вредоносное ПО остается основным оружием злоумышленников, оно использовалось в 73% успешных атак на организации. В тройку наиболее распространенных типов вредоносов по-прежнему входят шифровальщики, шпионское ПО и ВПО для удаленного управления. При этом шпионское ПО стало трендом не только последнего квартала, но и всего 2023 года.
В каждой третьей успешной атаке на организации злоумышленники эксплуатировали уязвимости — от наиболее известных из них пострадали такие компании как Boeing и китайский банк ICBC. Половина всех успешных атак в четвертом квартале привели к утечке конфиденциальной информации, в общем объеме которой выросла доля данных банковских карт — закономерное явление в канун любых праздников.
@Positive_Technologies
#PositiveЭксперты
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥9❤3
Теперь система для управления уязвимостями MaxPatrol VM, входящая в состав PT ICS, выявляет уязвимости в системах промышленной автоматизации производства Yokogawa Electric Corporation, AVEVA и Siemens.
💡 Распределенную систему управления CENTUM VP компании Yokogawa Electric Corporation используют более 10 тысяч предприятий химической, энергетической, нефтегазовой, пищевой и других отраслей промышленности. AVEVA InTouch HMI применяется на каждом третьем заводе в мире. Системы мониторинга и управления Siemens Simatic PCS 7 и Siemens Simatic WinCC также востребованы в различных областях промышленного производства.
Обновление поможет специалистам по ИБ своевременно обнаруживать уязвимости в АСУ ТП, устранять их, либо принимать против них компенсирующие меры. Это позволяет свести к минимуму эксплуатацию брешей злоумышленниками и снизить риск реализации недопустимых событий на производстве.
💬 «Мы продолжим дополнять PT ICS экспертизой для выявления угроз в системах промышленной автоматизации, ПЛК и сетевом оборудовании популярных российских и иностранных производителей», — отметил Евгений Орлов, руководитель направления ИБ промышленных систем, Positive Technologies.
#PTICS
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12👏6🔥3🐳3
⚡ Благодаря экспертизе Positive Technologies компания Moxa устранила уязвимость в промышленных беспроводных преобразователях
Уязвимость была обнаружена нашим экспертом в преобразователях NPort W2150A и W2250A — эти устройства позволяют подключать к локальной сети Wi-Fi промышленные контроллеры, счетчики и датчики. Компания Moxa была уведомлена об угрозе в рамках политики ответственного разглашения и выпустила обновление ПО.
🥷 Атакующий мог получить полный доступ к этому оборудованию. «Для этого было бы достаточно одного специального запроса. Контролируя преобразователи, злоумышленник смог бы отправлять команды на подключенные промышленные контроллеры и другое оборудование, что было бы чревато нарушением или изменением технологического процесса», — рассказал Владимир Разов, специалист группы анализа защищенности веб-приложений Positive Technologies.
Уязвимость CVE-2024-1220 (BDU:2024-01811) получила оценку 8,2 по шкале CVSS v3.1, что соответствует высокому уровню опасности. Для ее устранения необходимо установить новейшую версию прошивки.
💡 Подобную уязвимость могли бы использовать внутренние злоумышленники или якобы гости предприятия — например, партнеры или кандидаты на собеседованиях. В некоторых случаях это могли бы быть атакующие с мощными антеннами, чтобы усилить беспроводный сигнал и атаковать предприятие из-за физического периметра.
Однако для всех подобных атак злоумышленникам еще потребовалось бы взломать точки доступа, к которым подключены конвертеры Moxa, или попасть в сегмент локальной сети из которого они доступны.
👀 Для выявления попыток эксплуатации уязвимостей в промышленных системах управления мы предлагаем систему глубокого анализа технологического трафика — PT Industrial Security Incident Manager. Продукт распознает протоколы связи преобразователей Moxa, анализирует команды и информирует службу безопасности о подозрительных и опасных событиях.
@Positive_Technologies
Уязвимость была обнаружена нашим экспертом в преобразователях NPort W2150A и W2250A — эти устройства позволяют подключать к локальной сети Wi-Fi промышленные контроллеры, счетчики и датчики. Компания Moxa была уведомлена об угрозе в рамках политики ответственного разглашения и выпустила обновление ПО.
🥷 Атакующий мог получить полный доступ к этому оборудованию. «Для этого было бы достаточно одного специального запроса. Контролируя преобразователи, злоумышленник смог бы отправлять команды на подключенные промышленные контроллеры и другое оборудование, что было бы чревато нарушением или изменением технологического процесса», — рассказал Владимир Разов, специалист группы анализа защищенности веб-приложений Positive Technologies.
Уязвимость CVE-2024-1220 (BDU:2024-01811) получила оценку 8,2 по шкале CVSS v3.1, что соответствует высокому уровню опасности. Для ее устранения необходимо установить новейшую версию прошивки.
💡 Подобную уязвимость могли бы использовать внутренние злоумышленники или якобы гости предприятия — например, партнеры или кандидаты на собеседованиях. В некоторых случаях это могли бы быть атакующие с мощными антеннами, чтобы усилить беспроводный сигнал и атаковать предприятие из-за физического периметра.
Однако для всех подобных атак злоумышленникам еще потребовалось бы взломать точки доступа, к которым подключены конвертеры Moxa, или попасть в сегмент локальной сети из которого они доступны.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🔥12❤4🤔1🤩1
🖥 Исследование Positive Technologies: как российские компании защищают эндпоинты
В любой компании есть компьютеры и серверы — их относят к эндпоинтам. Именно они становятся основными векторами для закрепления внутри инфраструктуры при целевых и сложных атаках и поэтому требуют защиты.
📊 Мы провели исследование, чтобы узнать, насколько российские организации защищены от целевых атак и как они выстраивают защиту эндпоинтов.
Основные результаты — на карточках, а здесь мы коротко расскажем о выводах:
• Российские компании согласны с необходимостью защищать эндпоинты, но трактуют эту защиту по-разному. Многие из них ограничиваются использованием одного класса продуктов, хотя современный уровень угроз требует более продвинутых решений.
• На практике одного антивируса недостаточно для обнаружения целевых атак. Технология основана на анализе уже известных угроз — можно пропустить атаку, развивающуюся по принципу цепочки.
• Важно не только выявить инцидент — необходим широкий инструментарий, позволяющий быстро реагировать на действия злоумышленников.
Такие средства защиты эндпоинтов от целевых атак, как MaxPatrol EDR, помогут оперативно выявлять сложные угрозы, обеспечат уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов ИБ в компании.
Подробнее о том, с какими трудностями сталкиваются организации при построении защиты эндпоинтов и на какие функции средств защиты обращают внимание в первую очередь, — читайте в полной версии исследования.
@Positive_Technologies
#MaxPatrolEDR
В любой компании есть компьютеры и серверы — их относят к эндпоинтам. Именно они становятся основными векторами для закрепления внутри инфраструктуры при целевых и сложных атаках и поэтому требуют защиты.
📊 Мы провели исследование, чтобы узнать, насколько российские организации защищены от целевых атак и как они выстраивают защиту эндпоинтов.
Основные результаты — на карточках, а здесь мы коротко расскажем о выводах:
• Российские компании согласны с необходимостью защищать эндпоинты, но трактуют эту защиту по-разному. Многие из них ограничиваются использованием одного класса продуктов, хотя современный уровень угроз требует более продвинутых решений.
• На практике одного антивируса недостаточно для обнаружения целевых атак. Технология основана на анализе уже известных угроз — можно пропустить атаку, развивающуюся по принципу цепочки.
• Важно не только выявить инцидент — необходим широкий инструментарий, позволяющий быстро реагировать на действия злоумышленников.
Такие средства защиты эндпоинтов от целевых атак, как MaxPatrol EDR, помогут оперативно выявлять сложные угрозы, обеспечат уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов ИБ в компании.
Подробнее о том, с какими трудностями сталкиваются организации при построении защиты эндпоинтов и на какие функции средств защиты обращают внимание в первую очередь, — читайте в полной версии исследования.
@Positive_Technologies
#MaxPatrolEDR
🔥14👍9❤5
This media is not supported in your browser
VIEW IN TELEGRAM
👾 В новом выпуске Breaking Malware Алексей Вишняков, эксперт Standoff 365, разобрал от а до я новую вредоносную кампанию, в которой используется червь Raspberry Robin.
Об этом вредоносе известно с 2021 года: его предыдущие версии умели распространяться через USB-накопители. За прошедшие годы червь эволюционировал и стал использоваться как промежуточный компонент для доставки другого ВПО.
🗄 Путь доставки червя начинается с простого — через Discord жертва получает RAR-архив с двумя файлами: один — исполняемый (EXE), второй — динамическая библиотека DLL. И фактически заражение стартует с запуска безопасного, доверенного инструмента Microsoft — oleview.
Далее Raspberry Robin повышает привилегии в системе с помощью двух 0-day-эксплойтов и техники KernelCallbackTable. О них в выпуске и рассказал Алексей — смотрите видео на нашей странице в VK или на YouTube-канале SecLab News.
🤔 Как обнаружить и остановить Raspberry Robin? Например, с помощью PT Sandbox или MaxPatrol EDR, которые детектят вредонос на ранних этапах атаки.
#PositiveЭксперты
@Positive_Technologies
Об этом вредоносе известно с 2021 года: его предыдущие версии умели распространяться через USB-накопители. За прошедшие годы червь эволюционировал и стал использоваться как промежуточный компонент для доставки другого ВПО.
🗄 Путь доставки червя начинается с простого — через Discord жертва получает RAR-архив с двумя файлами: один — исполняемый (EXE), второй — динамическая библиотека DLL. И фактически заражение стартует с запуска безопасного, доверенного инструмента Microsoft — oleview.
Далее Raspberry Robin повышает привилегии в системе с помощью двух 0-day-эксплойтов и техники KernelCallbackTable. О них в выпуске и рассказал Алексей — смотрите видео на нашей странице в VK или на YouTube-канале SecLab News.
🤔 Как обнаружить и остановить Raspberry Robin? Например, с помощью PT Sandbox или MaxPatrol EDR, которые детектят вредонос на ранних этапах атаки.
#PositiveЭксперты
@Positive_Technologies
👍16🔥8❤🔥5❤2🥰1👌1🐳1
🤓 Хотите знать больше про application security, но не знаете, куда пойти учиться? Поможем решить эту задачку.
Дано:
Вы — разработчик, тестировщик, администратор или DevOps-инженер.
Найти:
Где повысить квалификацию в сфере безопасной разработки.
Решение:
Курс, который с 2 апреля запускает Positive Education совместно с МФТИ.
Преподавать будут наши коллеги и другие специалисты по AppSec и DevSecOps. Они расскажут, как настраивать CI/CD-конвейер, тестировать безопасность приложений с открытым исходным кодом, оценивать, насколько хорошо настроены процессы безопасной разработки в вашей компании, и улучшать их. Все это — просто, понятно ис мемами .
Вы еще успеваете присоединиться к другим слушателям!
До встречи на занятиях 😉
#PositiveEducation
@Positive_Technologies
Дано:
Вы — разработчик, тестировщик, администратор или DevOps-инженер.
Найти:
Где повысить квалификацию в сфере безопасной разработки.
Решение:
Курс, который с 2 апреля запускает Positive Education совместно с МФТИ.
Преподавать будут наши коллеги и другие специалисты по AppSec и DevSecOps. Они расскажут, как настраивать CI/CD-конвейер, тестировать безопасность приложений с открытым исходным кодом, оценивать, насколько хорошо настроены процессы безопасной разработки в вашей компании, и улучшать их. Все это — просто, понятно и
Вы еще успеваете присоединиться к другим слушателям!
До встречи на занятиях 😉
#PositiveEducation
@Positive_Technologies
👍16❤7🔥7👌3
🐞 Находить уязвимости еще в процессе написания кода и сразу исправлять их — обычная практика для DevSecOps. Но на каком этапе пайплайна это делать и какими инструментами пользоваться?
Каждая компания или отдельный разработчик выбирают свои способы. Например, можно пользоваться надежными и проверенными технологиями SAST-, DAST- или SCA-анализа, но на этапе, когда код уже отправлен в репозиторий. Однако анализировать так каждую новую написанную функцию или модуль — слишком трудозатратно, к тому же хотелось бы выявлять баги на более ранних этапах разработки.
🔎 Лев Новоженин, AppSec-инженер Positive Technologies, в своей статье на Хабре рассказывает об IDE-плагинах, которые находят уязвимости и незадокументированные возможности в коде приложения прямо в процессе его написания, анализирует плюсы и минусы работы с ними, а также делится плагинами, подходящими для разных языков программирования.
👍 Читайте, как сделать разработку проще и безопаснее, в нашей статье.
#PositiveЭксперты
Каждая компания или отдельный разработчик выбирают свои способы. Например, можно пользоваться надежными и проверенными технологиями SAST-, DAST- или SCA-анализа, но на этапе, когда код уже отправлен в репозиторий. Однако анализировать так каждую новую написанную функцию или модуль — слишком трудозатратно, к тому же хотелось бы выявлять баги на более ранних этапах разработки.
🔎 Лев Новоженин, AppSec-инженер Positive Technologies, в своей статье на Хабре рассказывает об IDE-плагинах, которые находят уязвимости и незадокументированные возможности в коде приложения прямо в процессе его написания, анализирует плюсы и минусы работы с ними, а также делится плагинами, подходящими для разных языков программирования.
👍 Читайте, как сделать разработку проще и безопаснее, в нашей статье.
#PositiveЭксперты
❤21🔥8👍3🥰3
🦸♂️ Мы часто рассказываем про то, как обнаруживаем новые АРТ-группировки, расследуем инциденты и про PT Expert Security Center (PT ESC), который этим занимается. Но больше пишем и говорим все-таки о результатах (очень крутых!), чем о людях и о том, что именно они делают.
Будем исправлять это в новой серии вебинаров, на которых расскажем о командах нашего экспертного центра и их работе. Первый состоится уже 19 марта в 14:00 и будет посвящен threat intelligence (TI) — поиску и изучению данных об угрозах .
TI — одно из важнейших условий для эффективной кибербезопасности. Знания об инструментах и техниках хакеров позволяют предотвращать реальные атаки и выстраивать надежную защиту. Такими исследованиями занимается отдельная команданаших супергероев PT ESC, которая и расскажет о себе в прямом эфире.
Интересно? Тогда регистрируйтесь заранее.
Встретимся на вебинаре!
#PositiveЭксперты
Будем исправлять это в новой серии вебинаров, на которых расскажем о командах нашего экспертного центра и их работе. Первый состоится уже 19 марта в 14:00 и будет посвящен threat intelligence (TI) — поиску и изучению данных об угрозах .
TI — одно из важнейших условий для эффективной кибербезопасности. Знания об инструментах и техниках хакеров позволяют предотвращать реальные атаки и выстраивать надежную защиту. Такими исследованиями занимается отдельная команда
Интересно? Тогда регистрируйтесь заранее.
Встретимся на вебинаре!
#PositiveЭксперты
🔥8🐳7❤3👍1
🤩 Мечтаете выступить на киберфестивале Positive Hack Days 2, но не успеваете подать заявку? Тогда у нас хорошая новость: мы продлеваем прием тем ваших докладов до 1 апреля (и это не шутка) .
Читайте описания треков, определяйтесь с тематикой и готовьтесь заявить о себе наспортивной киберарене стадиона «Лужники».
Неважно, профи вы или делаете первые шаги в мире кибербезопасности, главное — актуальность темы и ваш свежий взгляд.
👉 Ждем ваших заявок на сайте PHDays 2 (и это правда last call, больше продлевать их прием не будем!).
@Positive_Technologies
#PHD2
Читайте описания треков, определяйтесь с тематикой и готовьтесь заявить о себе на
Неважно, профи вы или делаете первые шаги в мире кибербезопасности, главное — актуальность темы и ваш свежий взгляд.
👉 Ждем ваших заявок на сайте PHDays 2 (и это правда last call, больше продлевать их прием не будем!).
@Positive_Technologies
#PHD2
🎉8❤🔥4👍2🐳2👏1👌1
This media is not supported in your browser
VIEW IN TELEGRAM
В этот раз гостем стал Анатолий Иванов, руководитель направления багбаунти Standoff 365. Поговорили о том, как из багхантера он вырос до руководителя самой крупной багбаунти-платформы в России. Узнали, как запустить собственную программу поиска уязвимостей, почему белые хакеры ломали Standoff 365 и какие уязвимости никто никогда не ищет
Смотрите выпуск на YouTube или слушайте на любой удобной платформе, если хотите знать больше о белых хакерах, багбаунти или просто интересуетесь темой кибербезопасности. Скучно не будет!
#КиберДуршлаг
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23🔥11🥰4👌2