Капитан, у нас течь!
Ничего нового, опять утечки, на этот раз утекло 7+ миллионов клиентских данных сервиса Whoosh.
Да-да, того, что про аренду самокатов (опустим шутки и мемы про любителей и самокатов из пабликов про экстремальные виды спорта).
В перечне утекших данных телефоны, имена, имейлы, частично данные банковских карт.
Vc.ru уже пообщались с представителем Whoosh – в общем, по официальным данным, группа хакеров воспользовалась «грубым нарушением установленных в компании правил и процедур», которое совершил один из сотрудников компании. Верится без труда – как мы не устаем повторять, если бы регламенты ИБ соблюдались, у специалистов служб информационной безопасности было бы гораздо меньше работы (и денег).
Ничего нового, опять утечки, на этот раз утекло 7+ миллионов клиентских данных сервиса Whoosh.
Да-да, того, что про аренду самокатов (опустим шутки и мемы про любителей и самокатов из пабликов про экстремальные виды спорта).
В перечне утекших данных телефоны, имена, имейлы, частично данные банковских карт.
Vc.ru уже пообщались с представителем Whoosh – в общем, по официальным данным, группа хакеров воспользовалась «грубым нарушением установленных в компании правил и процедур», которое совершил один из сотрудников компании. Верится без труда – как мы не устаем повторять, если бы регламенты ИБ соблюдались, у специалистов служб информационной безопасности было бы гораздо меньше работы (и денег).
vc.ru
Хакеры выставили на продажу данные пользователей сервиса аренды электросамокатов Whoosh — Сервисы на vc.ru
В компании заявили, что утечка произошла по вине одного из сотрудников и не затронула «наиболее чувствительные» данные.
Нет повести печальнее на свете, чем повесть о проваленном пентесте…
Коллеги из небезызвестной Positive Technologies обнародовали статистику по пентестам за 2021-2022 гг. Через их умелые руки прошло 50 проектов из 30 российских компаний. (Понятное дело, инфа без имен и лиц.) Предсказуемо, результаты неутешительны.
Если кратко:
— 96% организаций не смогли бы предотвратить преодоление злоумышленниками сетевого периметра (добро пожаловать во внутреннюю сеть);
— В 57% случаев вектор атаки не превышает двух шагов;
— В 9 из 10 случаев злоумышленник имел потенциальную возможность получить доступ к конфиденциальной информации (и коммерческой тайне);
— В 100% компаний при проведении внутреннего пентеста была доказана вероятность взятия полного контроля над ресурсами домена.
Самые распространенные причины — недосмотр по части парольной политики и непропатченный софт (а еще в 50% компаний нашли лазейки в коде веб-приложений).
В общем, ситуация крайне неприятная, но вот неожиданной мы ее назвать не можем. Призываем всех учиться на ошибках других — проводить пентесты, аудиты ИБ, пинать за пароли и не забывать обновлять софт!
Источник: https://www.anti-malware.ru/news/2022-11-16-118537/39923
Коллеги из небезызвестной Positive Technologies обнародовали статистику по пентестам за 2021-2022 гг. Через их умелые руки прошло 50 проектов из 30 российских компаний. (Понятное дело, инфа без имен и лиц.) Предсказуемо, результаты неутешительны.
Если кратко:
— 96% организаций не смогли бы предотвратить преодоление злоумышленниками сетевого периметра (добро пожаловать во внутреннюю сеть);
— В 57% случаев вектор атаки не превышает двух шагов;
— В 9 из 10 случаев злоумышленник имел потенциальную возможность получить доступ к конфиденциальной информации (и коммерческой тайне);
— В 100% компаний при проведении внутреннего пентеста была доказана вероятность взятия полного контроля над ресурсами домена.
Самые распространенные причины — недосмотр по части парольной политики и непропатченный софт (а еще в 50% компаний нашли лазейки в коде веб-приложений).
В общем, ситуация крайне неприятная, но вот неожиданной мы ее назвать не можем. Призываем всех учиться на ошибках других — проводить пентесты, аудиты ИБ, пинать за пароли и не забывать обновлять софт!
Источник: https://www.anti-malware.ru/news/2022-11-16-118537/39923
Anti-Malware
96% российских компаний не сдали пентест
96% организаций оказались не защищены от проникновения в локальную сеть. Positive Technologies обнародовала результаты пентестов за 2021-2022 годы. Во всех компаниях был взят полный контроль над
DFIR VS $,
или скидки от шифровальщиков
Бизнес есть бизнес, даже если он нелегальный, даже если это вымогательство, даже если это шифрование. В общем, шифровальщики делают дисконт для жертв из РФ. Вошли в положение, так сказать. А что? Себестоимость атак ниже, а жертв регуляторы поджимают, того гляди и расследовать начнут, дыры все позакрывают…
В общем, по данным «РТК-Солар», размеры выкупа в 2022 году снизились вопиюще — почти в 20 раз! По данным от Positive Technologies и Coaltion, — поменьше. А цена на малварь для атак при этом упала в 10-12 раз.
Не лишним будет упомянуть, что количество атак (шифровальщиков) на компании РФ после февральских событий выросло в 3 раза. Хотя тут дело не только в деньгах: много было и политических акций с последующей публикацией данных в публичном пространстве.
Источник: https://infobezopasnost.ru/blog/news/hakery-pozhaleli-rossijskie-kompanii/
или скидки от шифровальщиков
Бизнес есть бизнес, даже если он нелегальный, даже если это вымогательство, даже если это шифрование. В общем, шифровальщики делают дисконт для жертв из РФ. Вошли в положение, так сказать. А что? Себестоимость атак ниже, а жертв регуляторы поджимают, того гляди и расследовать начнут, дыры все позакрывают…
В общем, по данным «РТК-Солар», размеры выкупа в 2022 году снизились вопиюще — почти в 20 раз! По данным от Positive Technologies и Coaltion, — поменьше. А цена на малварь для атак при этом упала в 10-12 раз.
Не лишним будет упомянуть, что количество атак (шифровальщиков) на компании РФ после февральских событий выросло в 3 раза. Хотя тут дело не только в деньгах: много было и политических акций с последующей публикацией данных в публичном пространстве.
Источник: https://infobezopasnost.ru/blog/news/hakery-pozhaleli-rossijskie-kompanii/
Инфобезопасность
Хакеры пожалели российские компании
Хакеры, которые используют программы-шифровальщики, уменьшили сумму выкупа для российских компаний. Эксперты называют сразу несколько причин такого снижения: падение стоимости самих атак и ПО для их проведения, более низкие цены на расследование таких инцидентов…
10 ноября состоялось первое мероприятие под флагом CIRF (CORPORATE INCIDENT RESPONSE AND FORENSICS). Надеемся, что вы там присутствовали, а если нет, вот краткая сводка того, что там было:
Первый блин комом не вышел – как и планировалось, CIRF получился неформальной зоной общения для экспертов ИБ и ИТ, технических специалистов, юристов и разработчиков. Мероприятие получилось не только интересным и полезным, но и наполненным юмором, жаркими дискуссиями и «неудобными» вопросами.
Все началось с бизнес-завтрака, на котором, в формате блуждающего микрофона, начали зарождаться первые признаки дискуссий.
Затем все переместились в конференц-зал, в котором спикеры делились своим опытом, каждое выступление сопровождалось жарким обсуждением и огромным количеством вопросов.
После всех докладов, вопросов и кофе-брейков состоялось вручение наград спикерам с самыми интересными докладами и участникам с самыми интересными вопросами, и конечно-же открытая дискуссия по текущим тенденциям, трендам и проблемам ИБ.
Подводя итоги:
- CIRF удался
- CIRF еще вернется
- Жаркие дискуссии не угасают в нашем чате - https://news.1rj.ru/str/cirf_chat
- Ссылка на презентации докладчиков – https://disk.yandex.ru/d/1hC0zNyZkmkceg
- Фото здесь - https://disk.yandex.ru/d/xuYmizWk_bNpEQ
- Сайт мероприятия - http://mko-security.ru/cirf
Продуктивного дня, надеемся на скорую встречу на CIRF!
Первый блин комом не вышел – как и планировалось, CIRF получился неформальной зоной общения для экспертов ИБ и ИТ, технических специалистов, юристов и разработчиков. Мероприятие получилось не только интересным и полезным, но и наполненным юмором, жаркими дискуссиями и «неудобными» вопросами.
Все началось с бизнес-завтрака, на котором, в формате блуждающего микрофона, начали зарождаться первые признаки дискуссий.
Затем все переместились в конференц-зал, в котором спикеры делились своим опытом, каждое выступление сопровождалось жарким обсуждением и огромным количеством вопросов.
После всех докладов, вопросов и кофе-брейков состоялось вручение наград спикерам с самыми интересными докладами и участникам с самыми интересными вопросами, и конечно-же открытая дискуссия по текущим тенденциям, трендам и проблемам ИБ.
Подводя итоги:
- CIRF удался
- CIRF еще вернется
- Жаркие дискуссии не угасают в нашем чате - https://news.1rj.ru/str/cirf_chat
- Ссылка на презентации докладчиков – https://disk.yandex.ru/d/1hC0zNyZkmkceg
- Фото здесь - https://disk.yandex.ru/d/xuYmizWk_bNpEQ
- Сайт мероприятия - http://mko-security.ru/cirf
Продуктивного дня, надеемся на скорую встречу на CIRF!
👍1
Кибербезу медицинского сектора нужен подорожник!
За 9 месяцев 2022 года было слито 8 баз данных медицинских учреждений.
При этом объем слитых данных вырос в 775 (!) раз — до 31 млн записей, ну и процент умышленно слитых данных вырос до 87,5 % (было 58,3 %).
Эксперты, конечно же, связывают такой рост с увеличением количества кибератак после начала СВО, но если в данной ситуации с объемом атакующих ничего сделать не получится, то вот отсутствие оборотных штрафов должного уровня и выделение денег на кибербезопасность по модели «что в бюджете осталось, то в топочку и кинем» называют главными причинами таких негативных трендов.
Во времена живых очередей и картотечных карточек такого не было, конечно)))
За 9 месяцев 2022 года было слито 8 баз данных медицинских учреждений.
При этом объем слитых данных вырос в 775 (!) раз — до 31 млн записей, ну и процент умышленно слитых данных вырос до 87,5 % (было 58,3 %).
Эксперты, конечно же, связывают такой рост с увеличением количества кибератак после начала СВО, но если в данной ситуации с объемом атакующих ничего сделать не получится, то вот отсутствие оборотных штрафов должного уровня и выделение денег на кибербезопасность по модели «что в бюджете осталось, то в топочку и кинем» называют главными причинами таких негативных трендов.
Во времена живых очередей и картотечных карточек такого не было, конечно)))
Поздравляем всех причастных с Международным днем защиты информации!
Краткая историческая сводочка — праздник отмечают с 1988 года. Именно в этом году Роберт Моррис, аспирант Корнелльского университета факультета вычислительной техники, запустил первого «червя», который положил 6000 узлов в ARPANET. После этого инцидента общественность призадумалась и даже праздник организовала.
Спасибо Моррису, получается!
Краткая историческая сводочка — праздник отмечают с 1988 года. Именно в этом году Роберт Моррис, аспирант Корнелльского университета факультета вычислительной техники, запустил первого «червя», который положил 6000 узлов в ARPANET. После этого инцидента общественность призадумалась и даже праздник организовала.
Спасибо Моррису, получается!
👍2
— Так... дверь заперта... Как войти?
— Находчивость, умение и логика!
— Ты украл ключ?
— Именно!
Новости из мира мобильных устройств — arstechnica.com сообщает, что криптографические ключи (сертификаты) Samsung, MediaTek и LG были использованы для подписи малварных приложений.
Для тех, кто далек от сабжа (думаю, таких здесь немного): сертификат — это цифровая подпись, подтверждающая, что ПО создано непосредственно производителем.
В общем, член Google’s Android Security Team, реверс-инженер Лукаш Северски, нашел несколько образцов малварного ПО, подписанного с использованием 10 сертификатов. Ситуация очень непростая и достаточно скандальная. Как сертификаты попали к злодеям — пока неизвестно.
Устанавливайте ПО только из проверенных источников, говорили они…
— Находчивость, умение и логика!
— Ты украл ключ?
— Именно!
Новости из мира мобильных устройств — arstechnica.com сообщает, что криптографические ключи (сертификаты) Samsung, MediaTek и LG были использованы для подписи малварных приложений.
Для тех, кто далек от сабжа (думаю, таких здесь немного): сертификат — это цифровая подпись, подтверждающая, что ПО создано непосредственно производителем.
В общем, член Google’s Android Security Team, реверс-инженер Лукаш Северски, нашел несколько образцов малварного ПО, подписанного с использованием 10 сертификатов. Ситуация очень непростая и достаточно скандальная. Как сертификаты попали к злодеям — пока неизвестно.
Устанавливайте ПО только из проверенных источников, говорили они…
Сказ о малваре по кличке TgRAT
Бравые бойцы из Positive Technologies обнаружили первого Telegram-зловреда, который использует непосредственно архитектуру мессенджера для получения доступа к данным пользователя. Джентельменский набор зверушки: сделать скриншоты (с последующей отправкой куда нужно), отправить файлы (в обе стороны), слить конфиденциальные данные — все это не проблема!
Из плюсов — вирус действует строго адресно, его должны натравить на конкретное имя узла, иначе он не работает.
Из минусов — на текущий момент вирус не отслеживается обычными антивирусами. Поймать гаденыша можно только через мониторинг трафика.
С учетом того, как много компаний используют TG в роли корпоративного мессенджера (даже если в регламентах написано другое), не иллюзорна вероятность волны эксплойтов Telegram API с целью доступа к чувствительной информации!
Бравые бойцы из Positive Technologies обнаружили первого Telegram-зловреда, который использует непосредственно архитектуру мессенджера для получения доступа к данным пользователя. Джентельменский набор зверушки: сделать скриншоты (с последующей отправкой куда нужно), отправить файлы (в обе стороны), слить конфиденциальные данные — все это не проблема!
Из плюсов — вирус действует строго адресно, его должны натравить на конкретное имя узла, иначе он не работает.
Из минусов — на текущий момент вирус не отслеживается обычными антивирусами. Поймать гаденыша можно только через мониторинг трафика.
С учетом того, как много компаний используют TG в роли корпоративного мессенджера (даже если в регламентах написано другое), не иллюзорна вероятность волны эксплойтов Telegram API с целью доступа к чувствительной информации!
👍4
COVID-bit — техномагия базовой физики
Есть такой израильский спец — зовут его Мордехай Гури. Работает этот спец при университете им. Бен-Гуриона в Негеве (Израиль). Среди его достижений — способ обхода air gap при помощи SATA-кабеля в формате радиоантенны: данные собираются по крупицам, тихонечко, в фоновом режиме, легитимные задачи крутятся без проблем. Единственный минус — нужно находиться достаточно близко к объекту атаки (гуляющий рядом засланный казачок решает проблему).
Новый метод, COVID-bit, еще интересней: нужен смартфон или лаптоп, небольшая рамочная радиоантенна (маскируем под любой портативный девайс) и ПО для регулирования нагрузки на ЦП и его ядра. Радиус поражения — 2 метра, можно через стену. Затем прогоняем все через шумодав, обрабатываем сырые данные и расшифровываем их. Как говорится, охапка дров — и суп готов!
Полный отчет о методе можно посмотреть здесь: https://arxiv.org/pdf/2212.03520.pdf
Есть такой израильский спец — зовут его Мордехай Гури. Работает этот спец при университете им. Бен-Гуриона в Негеве (Израиль). Среди его достижений — способ обхода air gap при помощи SATA-кабеля в формате радиоантенны: данные собираются по крупицам, тихонечко, в фоновом режиме, легитимные задачи крутятся без проблем. Единственный минус — нужно находиться достаточно близко к объекту атаки (гуляющий рядом засланный казачок решает проблему).
Новый метод, COVID-bit, еще интересней: нужен смартфон или лаптоп, небольшая рамочная радиоантенна (маскируем под любой портативный девайс) и ПО для регулирования нагрузки на ЦП и его ядра. Радиус поражения — 2 метра, можно через стену. Затем прогоняем все через шумодав, обрабатываем сырые данные и расшифровываем их. Как говорится, охапка дров — и суп готов!
Полный отчет о методе можно посмотреть здесь: https://arxiv.org/pdf/2212.03520.pdf
Минцифры поднимает ставки
Минцифры подготовило законопроект о наказаниях (читай, штрафах) за утечки персональных данных. Если коротко, то Минцифры предлагает поднять размер штрафов до «вопиющих» 3%. Правда, скидки тоже подвезли: инвестируешь в инфраструктуру ИБ и/или компенсируешь ущерб 2/3 пострадавших — получишь послабления.
Господин Шадаев заявляет, что основная цель законопроекта — заставить компании инвестировать в развитие и обеспечение безопасности. (Мы, если что, максимально поддерживаем эту инициативу.)
Вопросы возникают только в части достаточности/избыточности такого процента в виде штрафов, а также политики смягчения наказаний: сколько нужно инвестировать в ИБ, чтобы получить более мягкие штрафы и как рассчитать ущерб, причиненный людям, чьи данные утекли?
Минцифры подготовило законопроект о наказаниях (читай, штрафах) за утечки персональных данных. Если коротко, то Минцифры предлагает поднять размер штрафов до «вопиющих» 3%. Правда, скидки тоже подвезли: инвестируешь в инфраструктуру ИБ и/или компенсируешь ущерб 2/3 пострадавших — получишь послабления.
Господин Шадаев заявляет, что основная цель законопроекта — заставить компании инвестировать в развитие и обеспечение безопасности. (Мы, если что, максимально поддерживаем эту инициативу.)
Вопросы возникают только в части достаточности/избыточности такого процента в виде штрафов, а также политики смягчения наказаний: сколько нужно инвестировать в ИБ, чтобы получить более мягкие штрафы и как рассчитать ущерб, причиненный людям, чьи данные утекли?
👍9
Google позволит активировать сквозное шифрование Gmail на стороне пользователя.
Мы видели это в Google Drive, Google Docs, Google Sheets, Google Slides, Google Meet и Google Calendar — теперь и в почте! Пользователь сможет отправлять зашифрованные (E2EE) письма как внутри, так и за пределами своих доменов. Активировать фичу можно до 20 января 2023 года.
В официальном уведомлении Google заявил: «Шифрование на стороне клиента поможет защитить пересылаемые данные, которые будут недоступны даже для наших серверов. Клиенты при этом сохраняют полный контроль над ключами шифрования».
Мы видели это в Google Drive, Google Docs, Google Sheets, Google Slides, Google Meet и Google Calendar — теперь и в почте! Пользователь сможет отправлять зашифрованные (E2EE) письма как внутри, так и за пределами своих доменов. Активировать фичу можно до 20 января 2023 года.
В официальном уведомлении Google заявил: «Шифрование на стороне клиента поможет защитить пересылаемые данные, которые будут недоступны даже для наших серверов. Клиенты при этом сохраняют полный контроль над ключами шифрования».
👍5
Троян Godfather, или «…ты делаешь это без уважения»
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Семерка превращается в тыкву
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Эксперты компании Group IB выпустили интересный отчет о трендах кибербезопасности и прогнозах угроз — доступен по ссылке. Интересное чтиво, рекомендуется к ознакомлению.
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Group-IB
Hi-Tech Crime Trends 2022/2023
Benefit from Group-IB’s flagship cybersecurity report and explore the current threat landscape trends and forecasts
Windows 11 Restore — восстановление с нюансами
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
С дырочкой в правом боку…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Мы искренне верим, что все в этом канале уже видели новость об обнаруженных исходниках, утекших из «Яндекса», поэтому не будем дублировать эту тему. Ей и так кишат все заголовки тематических ресурсов.
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
Огонь по секторам
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
👍1
Новые рекорды…
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками
От корпорации до стартапа, мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху