10 ноября состоится CIRF (Corporate Incident Response and Forensics)
Мероприятие, по задумке организаторов направленное на то, чтобы собрать под одной крышей всех причастных к сфере информационной безопасности, максимально избегая приевшейся парадигмы «вендоры — клиенты». Его задача — сформировать комьюнити, привлечь не только крутых экспертов-технарей, но и юристов, аудиторов, руководителей и всех тех, кто может помочь взглянуть на инциденты и текущую ситуацию по-новому.
Цель CIRF — помочь всем найти заветный подорожник и место для его приложения (чтоб болело поменьше), настроить коммуникацию путем живого общения на равных, огласки неудобных вопросов и обмена опытом. Организаторы обещают минимум рекламы и максимум пользы (вот прям так на сайте и написали).
За модерацию живого общения, неудобные вопросы и атмосферу на мероприятии будет отвечать небезызвестный Дмитрий Борощук (BeholdIsHere). Среди тем докладов — фишинг, инсайдерство, аудит и юридические аспекты.
Мероприятие пройдет впервые. Посещение будет бесплатным, поэтому в этот раз количество мест ограничено (рекламненько получилось, но это факт: бюджеты у организаторов пока не резиновые). В общем, ссылку на мероприятие оставляем здесь: http://mko-security.ru/cirf
Мероприятие, по задумке организаторов направленное на то, чтобы собрать под одной крышей всех причастных к сфере информационной безопасности, максимально избегая приевшейся парадигмы «вендоры — клиенты». Его задача — сформировать комьюнити, привлечь не только крутых экспертов-технарей, но и юристов, аудиторов, руководителей и всех тех, кто может помочь взглянуть на инциденты и текущую ситуацию по-новому.
Цель CIRF — помочь всем найти заветный подорожник и место для его приложения (чтоб болело поменьше), настроить коммуникацию путем живого общения на равных, огласки неудобных вопросов и обмена опытом. Организаторы обещают минимум рекламы и максимум пользы (вот прям так на сайте и написали).
За модерацию живого общения, неудобные вопросы и атмосферу на мероприятии будет отвечать небезызвестный Дмитрий Борощук (BeholdIsHere). Среди тем докладов — фишинг, инсайдерство, аудит и юридические аспекты.
Мероприятие пройдет впервые. Посещение будет бесплатным, поэтому в этот раз количество мест ограничено (рекламненько получилось, но это факт: бюджеты у организаторов пока не резиновые). В общем, ссылку на мероприятие оставляем здесь: http://mko-security.ru/cirf
👍1
Роскомнадзор проявляет интерес к технологии, которая определяет недостоверные видеозаписи. Основной интерес — в том, чтобы выявлять дипфейки. Технология построена на оценке уровня внутренней и внешней агрессии, конгруэнтности и противоречивости. Плюсом идет сравнение информации с научными статьями и высказываниями других экспертов.
Вишенкой на торте считаем тот факт, что система успешно работает только с английским языком. Разработчики говорят, что это потому, что это самый популярный язык, а вот эксперты «Ъ» объясняют это тем, что почти все российские ИИ-разработки завязаны на открытых зарубежных библиотеках и дата-сетях для их обучения.
В любом случае для переобучения и адаптации под русский язык, как всегда, понадобятся килотонны денег и человеко-часов.
Вишенкой на торте считаем тот факт, что система успешно работает только с английским языком. Разработчики говорят, что это потому, что это самый популярный язык, а вот эксперты «Ъ» объясняют это тем, что почти все российские ИИ-разработки завязаны на открытых зарубежных библиотеках и дата-сетях для их обучения.
В любом случае для переобучения и адаптации под русский язык, как всегда, понадобятся килотонны денег и человеко-часов.
👍3
Уже в этот четверг, 10 ноября, состоится CIRF от «МКО Системы». Компания собирает практикующих экспертов и всех причастных к ИБ для создания нового комьюнити! Все для общения на равных, без статусов, должностей и рекламы.
Мероприятие пройдет в отеле Mamaison (Москва, ул. Покровка, д. 40с2).
Подробности здесь:
http://mko-security.ru/cirf
Расписание мероприятия:
10:30 — регистрация гостей;
11:00 — бизнес-завтрак;
12:00 — 17:00 — доклады спикеров (с перерывами на кофе-брейки);
17:00 — 18:00 — круглый стол (участвуют все спикеры);
18:00 — шампанское и неформальное общение с коллегами.
Мероприятие пройдет в отеле Mamaison (Москва, ул. Покровка, д. 40с2).
Подробности здесь:
http://mko-security.ru/cirf
Расписание мероприятия:
10:30 — регистрация гостей;
11:00 — бизнес-завтрак;
12:00 — 17:00 — доклады спикеров (с перерывами на кофе-брейки);
17:00 — 18:00 — круглый стол (участвуют все спикеры);
18:00 — шампанское и неформальное общение с коллегами.
Капитан, у нас течь!
Ничего нового, опять утечки, на этот раз утекло 7+ миллионов клиентских данных сервиса Whoosh.
Да-да, того, что про аренду самокатов (опустим шутки и мемы про любителей и самокатов из пабликов про экстремальные виды спорта).
В перечне утекших данных телефоны, имена, имейлы, частично данные банковских карт.
Vc.ru уже пообщались с представителем Whoosh – в общем, по официальным данным, группа хакеров воспользовалась «грубым нарушением установленных в компании правил и процедур», которое совершил один из сотрудников компании. Верится без труда – как мы не устаем повторять, если бы регламенты ИБ соблюдались, у специалистов служб информационной безопасности было бы гораздо меньше работы (и денег).
Ничего нового, опять утечки, на этот раз утекло 7+ миллионов клиентских данных сервиса Whoosh.
Да-да, того, что про аренду самокатов (опустим шутки и мемы про любителей и самокатов из пабликов про экстремальные виды спорта).
В перечне утекших данных телефоны, имена, имейлы, частично данные банковских карт.
Vc.ru уже пообщались с представителем Whoosh – в общем, по официальным данным, группа хакеров воспользовалась «грубым нарушением установленных в компании правил и процедур», которое совершил один из сотрудников компании. Верится без труда – как мы не устаем повторять, если бы регламенты ИБ соблюдались, у специалистов служб информационной безопасности было бы гораздо меньше работы (и денег).
vc.ru
Хакеры выставили на продажу данные пользователей сервиса аренды электросамокатов Whoosh — Сервисы на vc.ru
В компании заявили, что утечка произошла по вине одного из сотрудников и не затронула «наиболее чувствительные» данные.
Нет повести печальнее на свете, чем повесть о проваленном пентесте…
Коллеги из небезызвестной Positive Technologies обнародовали статистику по пентестам за 2021-2022 гг. Через их умелые руки прошло 50 проектов из 30 российских компаний. (Понятное дело, инфа без имен и лиц.) Предсказуемо, результаты неутешительны.
Если кратко:
— 96% организаций не смогли бы предотвратить преодоление злоумышленниками сетевого периметра (добро пожаловать во внутреннюю сеть);
— В 57% случаев вектор атаки не превышает двух шагов;
— В 9 из 10 случаев злоумышленник имел потенциальную возможность получить доступ к конфиденциальной информации (и коммерческой тайне);
— В 100% компаний при проведении внутреннего пентеста была доказана вероятность взятия полного контроля над ресурсами домена.
Самые распространенные причины — недосмотр по части парольной политики и непропатченный софт (а еще в 50% компаний нашли лазейки в коде веб-приложений).
В общем, ситуация крайне неприятная, но вот неожиданной мы ее назвать не можем. Призываем всех учиться на ошибках других — проводить пентесты, аудиты ИБ, пинать за пароли и не забывать обновлять софт!
Источник: https://www.anti-malware.ru/news/2022-11-16-118537/39923
Коллеги из небезызвестной Positive Technologies обнародовали статистику по пентестам за 2021-2022 гг. Через их умелые руки прошло 50 проектов из 30 российских компаний. (Понятное дело, инфа без имен и лиц.) Предсказуемо, результаты неутешительны.
Если кратко:
— 96% организаций не смогли бы предотвратить преодоление злоумышленниками сетевого периметра (добро пожаловать во внутреннюю сеть);
— В 57% случаев вектор атаки не превышает двух шагов;
— В 9 из 10 случаев злоумышленник имел потенциальную возможность получить доступ к конфиденциальной информации (и коммерческой тайне);
— В 100% компаний при проведении внутреннего пентеста была доказана вероятность взятия полного контроля над ресурсами домена.
Самые распространенные причины — недосмотр по части парольной политики и непропатченный софт (а еще в 50% компаний нашли лазейки в коде веб-приложений).
В общем, ситуация крайне неприятная, но вот неожиданной мы ее назвать не можем. Призываем всех учиться на ошибках других — проводить пентесты, аудиты ИБ, пинать за пароли и не забывать обновлять софт!
Источник: https://www.anti-malware.ru/news/2022-11-16-118537/39923
Anti-Malware
96% российских компаний не сдали пентест
96% организаций оказались не защищены от проникновения в локальную сеть. Positive Technologies обнародовала результаты пентестов за 2021-2022 годы. Во всех компаниях был взят полный контроль над
DFIR VS $,
или скидки от шифровальщиков
Бизнес есть бизнес, даже если он нелегальный, даже если это вымогательство, даже если это шифрование. В общем, шифровальщики делают дисконт для жертв из РФ. Вошли в положение, так сказать. А что? Себестоимость атак ниже, а жертв регуляторы поджимают, того гляди и расследовать начнут, дыры все позакрывают…
В общем, по данным «РТК-Солар», размеры выкупа в 2022 году снизились вопиюще — почти в 20 раз! По данным от Positive Technologies и Coaltion, — поменьше. А цена на малварь для атак при этом упала в 10-12 раз.
Не лишним будет упомянуть, что количество атак (шифровальщиков) на компании РФ после февральских событий выросло в 3 раза. Хотя тут дело не только в деньгах: много было и политических акций с последующей публикацией данных в публичном пространстве.
Источник: https://infobezopasnost.ru/blog/news/hakery-pozhaleli-rossijskie-kompanii/
или скидки от шифровальщиков
Бизнес есть бизнес, даже если он нелегальный, даже если это вымогательство, даже если это шифрование. В общем, шифровальщики делают дисконт для жертв из РФ. Вошли в положение, так сказать. А что? Себестоимость атак ниже, а жертв регуляторы поджимают, того гляди и расследовать начнут, дыры все позакрывают…
В общем, по данным «РТК-Солар», размеры выкупа в 2022 году снизились вопиюще — почти в 20 раз! По данным от Positive Technologies и Coaltion, — поменьше. А цена на малварь для атак при этом упала в 10-12 раз.
Не лишним будет упомянуть, что количество атак (шифровальщиков) на компании РФ после февральских событий выросло в 3 раза. Хотя тут дело не только в деньгах: много было и политических акций с последующей публикацией данных в публичном пространстве.
Источник: https://infobezopasnost.ru/blog/news/hakery-pozhaleli-rossijskie-kompanii/
Инфобезопасность
Хакеры пожалели российские компании
Хакеры, которые используют программы-шифровальщики, уменьшили сумму выкупа для российских компаний. Эксперты называют сразу несколько причин такого снижения: падение стоимости самих атак и ПО для их проведения, более низкие цены на расследование таких инцидентов…
10 ноября состоялось первое мероприятие под флагом CIRF (CORPORATE INCIDENT RESPONSE AND FORENSICS). Надеемся, что вы там присутствовали, а если нет, вот краткая сводка того, что там было:
Первый блин комом не вышел – как и планировалось, CIRF получился неформальной зоной общения для экспертов ИБ и ИТ, технических специалистов, юристов и разработчиков. Мероприятие получилось не только интересным и полезным, но и наполненным юмором, жаркими дискуссиями и «неудобными» вопросами.
Все началось с бизнес-завтрака, на котором, в формате блуждающего микрофона, начали зарождаться первые признаки дискуссий.
Затем все переместились в конференц-зал, в котором спикеры делились своим опытом, каждое выступление сопровождалось жарким обсуждением и огромным количеством вопросов.
После всех докладов, вопросов и кофе-брейков состоялось вручение наград спикерам с самыми интересными докладами и участникам с самыми интересными вопросами, и конечно-же открытая дискуссия по текущим тенденциям, трендам и проблемам ИБ.
Подводя итоги:
- CIRF удался
- CIRF еще вернется
- Жаркие дискуссии не угасают в нашем чате - https://news.1rj.ru/str/cirf_chat
- Ссылка на презентации докладчиков – https://disk.yandex.ru/d/1hC0zNyZkmkceg
- Фото здесь - https://disk.yandex.ru/d/xuYmizWk_bNpEQ
- Сайт мероприятия - http://mko-security.ru/cirf
Продуктивного дня, надеемся на скорую встречу на CIRF!
Первый блин комом не вышел – как и планировалось, CIRF получился неформальной зоной общения для экспертов ИБ и ИТ, технических специалистов, юристов и разработчиков. Мероприятие получилось не только интересным и полезным, но и наполненным юмором, жаркими дискуссиями и «неудобными» вопросами.
Все началось с бизнес-завтрака, на котором, в формате блуждающего микрофона, начали зарождаться первые признаки дискуссий.
Затем все переместились в конференц-зал, в котором спикеры делились своим опытом, каждое выступление сопровождалось жарким обсуждением и огромным количеством вопросов.
После всех докладов, вопросов и кофе-брейков состоялось вручение наград спикерам с самыми интересными докладами и участникам с самыми интересными вопросами, и конечно-же открытая дискуссия по текущим тенденциям, трендам и проблемам ИБ.
Подводя итоги:
- CIRF удался
- CIRF еще вернется
- Жаркие дискуссии не угасают в нашем чате - https://news.1rj.ru/str/cirf_chat
- Ссылка на презентации докладчиков – https://disk.yandex.ru/d/1hC0zNyZkmkceg
- Фото здесь - https://disk.yandex.ru/d/xuYmizWk_bNpEQ
- Сайт мероприятия - http://mko-security.ru/cirf
Продуктивного дня, надеемся на скорую встречу на CIRF!
👍1
Кибербезу медицинского сектора нужен подорожник!
За 9 месяцев 2022 года было слито 8 баз данных медицинских учреждений.
При этом объем слитых данных вырос в 775 (!) раз — до 31 млн записей, ну и процент умышленно слитых данных вырос до 87,5 % (было 58,3 %).
Эксперты, конечно же, связывают такой рост с увеличением количества кибератак после начала СВО, но если в данной ситуации с объемом атакующих ничего сделать не получится, то вот отсутствие оборотных штрафов должного уровня и выделение денег на кибербезопасность по модели «что в бюджете осталось, то в топочку и кинем» называют главными причинами таких негативных трендов.
Во времена живых очередей и картотечных карточек такого не было, конечно)))
За 9 месяцев 2022 года было слито 8 баз данных медицинских учреждений.
При этом объем слитых данных вырос в 775 (!) раз — до 31 млн записей, ну и процент умышленно слитых данных вырос до 87,5 % (было 58,3 %).
Эксперты, конечно же, связывают такой рост с увеличением количества кибератак после начала СВО, но если в данной ситуации с объемом атакующих ничего сделать не получится, то вот отсутствие оборотных штрафов должного уровня и выделение денег на кибербезопасность по модели «что в бюджете осталось, то в топочку и кинем» называют главными причинами таких негативных трендов.
Во времена живых очередей и картотечных карточек такого не было, конечно)))
Поздравляем всех причастных с Международным днем защиты информации!
Краткая историческая сводочка — праздник отмечают с 1988 года. Именно в этом году Роберт Моррис, аспирант Корнелльского университета факультета вычислительной техники, запустил первого «червя», который положил 6000 узлов в ARPANET. После этого инцидента общественность призадумалась и даже праздник организовала.
Спасибо Моррису, получается!
Краткая историческая сводочка — праздник отмечают с 1988 года. Именно в этом году Роберт Моррис, аспирант Корнелльского университета факультета вычислительной техники, запустил первого «червя», который положил 6000 узлов в ARPANET. После этого инцидента общественность призадумалась и даже праздник организовала.
Спасибо Моррису, получается!
👍2
— Так... дверь заперта... Как войти?
— Находчивость, умение и логика!
— Ты украл ключ?
— Именно!
Новости из мира мобильных устройств — arstechnica.com сообщает, что криптографические ключи (сертификаты) Samsung, MediaTek и LG были использованы для подписи малварных приложений.
Для тех, кто далек от сабжа (думаю, таких здесь немного): сертификат — это цифровая подпись, подтверждающая, что ПО создано непосредственно производителем.
В общем, член Google’s Android Security Team, реверс-инженер Лукаш Северски, нашел несколько образцов малварного ПО, подписанного с использованием 10 сертификатов. Ситуация очень непростая и достаточно скандальная. Как сертификаты попали к злодеям — пока неизвестно.
Устанавливайте ПО только из проверенных источников, говорили они…
— Находчивость, умение и логика!
— Ты украл ключ?
— Именно!
Новости из мира мобильных устройств — arstechnica.com сообщает, что криптографические ключи (сертификаты) Samsung, MediaTek и LG были использованы для подписи малварных приложений.
Для тех, кто далек от сабжа (думаю, таких здесь немного): сертификат — это цифровая подпись, подтверждающая, что ПО создано непосредственно производителем.
В общем, член Google’s Android Security Team, реверс-инженер Лукаш Северски, нашел несколько образцов малварного ПО, подписанного с использованием 10 сертификатов. Ситуация очень непростая и достаточно скандальная. Как сертификаты попали к злодеям — пока неизвестно.
Устанавливайте ПО только из проверенных источников, говорили они…
Сказ о малваре по кличке TgRAT
Бравые бойцы из Positive Technologies обнаружили первого Telegram-зловреда, который использует непосредственно архитектуру мессенджера для получения доступа к данным пользователя. Джентельменский набор зверушки: сделать скриншоты (с последующей отправкой куда нужно), отправить файлы (в обе стороны), слить конфиденциальные данные — все это не проблема!
Из плюсов — вирус действует строго адресно, его должны натравить на конкретное имя узла, иначе он не работает.
Из минусов — на текущий момент вирус не отслеживается обычными антивирусами. Поймать гаденыша можно только через мониторинг трафика.
С учетом того, как много компаний используют TG в роли корпоративного мессенджера (даже если в регламентах написано другое), не иллюзорна вероятность волны эксплойтов Telegram API с целью доступа к чувствительной информации!
Бравые бойцы из Positive Technologies обнаружили первого Telegram-зловреда, который использует непосредственно архитектуру мессенджера для получения доступа к данным пользователя. Джентельменский набор зверушки: сделать скриншоты (с последующей отправкой куда нужно), отправить файлы (в обе стороны), слить конфиденциальные данные — все это не проблема!
Из плюсов — вирус действует строго адресно, его должны натравить на конкретное имя узла, иначе он не работает.
Из минусов — на текущий момент вирус не отслеживается обычными антивирусами. Поймать гаденыша можно только через мониторинг трафика.
С учетом того, как много компаний используют TG в роли корпоративного мессенджера (даже если в регламентах написано другое), не иллюзорна вероятность волны эксплойтов Telegram API с целью доступа к чувствительной информации!
👍4
COVID-bit — техномагия базовой физики
Есть такой израильский спец — зовут его Мордехай Гури. Работает этот спец при университете им. Бен-Гуриона в Негеве (Израиль). Среди его достижений — способ обхода air gap при помощи SATA-кабеля в формате радиоантенны: данные собираются по крупицам, тихонечко, в фоновом режиме, легитимные задачи крутятся без проблем. Единственный минус — нужно находиться достаточно близко к объекту атаки (гуляющий рядом засланный казачок решает проблему).
Новый метод, COVID-bit, еще интересней: нужен смартфон или лаптоп, небольшая рамочная радиоантенна (маскируем под любой портативный девайс) и ПО для регулирования нагрузки на ЦП и его ядра. Радиус поражения — 2 метра, можно через стену. Затем прогоняем все через шумодав, обрабатываем сырые данные и расшифровываем их. Как говорится, охапка дров — и суп готов!
Полный отчет о методе можно посмотреть здесь: https://arxiv.org/pdf/2212.03520.pdf
Есть такой израильский спец — зовут его Мордехай Гури. Работает этот спец при университете им. Бен-Гуриона в Негеве (Израиль). Среди его достижений — способ обхода air gap при помощи SATA-кабеля в формате радиоантенны: данные собираются по крупицам, тихонечко, в фоновом режиме, легитимные задачи крутятся без проблем. Единственный минус — нужно находиться достаточно близко к объекту атаки (гуляющий рядом засланный казачок решает проблему).
Новый метод, COVID-bit, еще интересней: нужен смартфон или лаптоп, небольшая рамочная радиоантенна (маскируем под любой портативный девайс) и ПО для регулирования нагрузки на ЦП и его ядра. Радиус поражения — 2 метра, можно через стену. Затем прогоняем все через шумодав, обрабатываем сырые данные и расшифровываем их. Как говорится, охапка дров — и суп готов!
Полный отчет о методе можно посмотреть здесь: https://arxiv.org/pdf/2212.03520.pdf
Минцифры поднимает ставки
Минцифры подготовило законопроект о наказаниях (читай, штрафах) за утечки персональных данных. Если коротко, то Минцифры предлагает поднять размер штрафов до «вопиющих» 3%. Правда, скидки тоже подвезли: инвестируешь в инфраструктуру ИБ и/или компенсируешь ущерб 2/3 пострадавших — получишь послабления.
Господин Шадаев заявляет, что основная цель законопроекта — заставить компании инвестировать в развитие и обеспечение безопасности. (Мы, если что, максимально поддерживаем эту инициативу.)
Вопросы возникают только в части достаточности/избыточности такого процента в виде штрафов, а также политики смягчения наказаний: сколько нужно инвестировать в ИБ, чтобы получить более мягкие штрафы и как рассчитать ущерб, причиненный людям, чьи данные утекли?
Минцифры подготовило законопроект о наказаниях (читай, штрафах) за утечки персональных данных. Если коротко, то Минцифры предлагает поднять размер штрафов до «вопиющих» 3%. Правда, скидки тоже подвезли: инвестируешь в инфраструктуру ИБ и/или компенсируешь ущерб 2/3 пострадавших — получишь послабления.
Господин Шадаев заявляет, что основная цель законопроекта — заставить компании инвестировать в развитие и обеспечение безопасности. (Мы, если что, максимально поддерживаем эту инициативу.)
Вопросы возникают только в части достаточности/избыточности такого процента в виде штрафов, а также политики смягчения наказаний: сколько нужно инвестировать в ИБ, чтобы получить более мягкие штрафы и как рассчитать ущерб, причиненный людям, чьи данные утекли?
👍9
Google позволит активировать сквозное шифрование Gmail на стороне пользователя.
Мы видели это в Google Drive, Google Docs, Google Sheets, Google Slides, Google Meet и Google Calendar — теперь и в почте! Пользователь сможет отправлять зашифрованные (E2EE) письма как внутри, так и за пределами своих доменов. Активировать фичу можно до 20 января 2023 года.
В официальном уведомлении Google заявил: «Шифрование на стороне клиента поможет защитить пересылаемые данные, которые будут недоступны даже для наших серверов. Клиенты при этом сохраняют полный контроль над ключами шифрования».
Мы видели это в Google Drive, Google Docs, Google Sheets, Google Slides, Google Meet и Google Calendar — теперь и в почте! Пользователь сможет отправлять зашифрованные (E2EE) письма как внутри, так и за пределами своих доменов. Активировать фичу можно до 20 января 2023 года.
В официальном уведомлении Google заявил: «Шифрование на стороне клиента поможет защитить пересылаемые данные, которые будут недоступны даже для наших серверов. Клиенты при этом сохраняют полный контроль над ключами шифрования».
👍5
Троян Godfather, или «…ты делаешь это без уважения»
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Семерка превращается в тыкву
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Эксперты компании Group IB выпустили интересный отчет о трендах кибербезопасности и прогнозах угроз — доступен по ссылке. Интересное чтиво, рекомендуется к ознакомлению.
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Group-IB
Hi-Tech Crime Trends 2022/2023
Benefit from Group-IB’s flagship cybersecurity report and explore the current threat landscape trends and forecasts
Windows 11 Restore — восстановление с нюансами
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
С дырочкой в правом боку…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…