Kalashnikov Guide

2022-11-03 21:46:51 Адаптация рынка к стремительным изменениям, новые тренды «сокостроения» и где взять «новую смену» для ИБ-рынка — в заключительном выпуске «Свежевыжатого подкаста 2.0». Независимый эксперт Артём Калашников и ведущий Павел Луцик в студии разбирают несколько важных для отрасли тем, которые вскоре будут обсуждаться на SOC-Форуме 2022. Открыть/Комментировать

2022-11-02 13:06:36 Уже и гиганты индустрии ИБ попали в лапы к мошенникам.

͏Французская оборонная и технологическая группа Thales (TCFP.PA) объявила, что LockBit 3.0 указали компанию на своем DLS, заявляя о краже данных и угрозе их публикации.

Thales — мировой лидер в области высоких технологий с более чем 81 000 сотрудников по всему миру.

Группа известна тем, что инвестирует в цифровые и глубокие технологические инновации — большие данные, искусственный интеллект, кибербезопасность и квантовые вычисления.

Thales была добавлена в список жертв вымогателей 31 октября, LockBit грозится опубликовать украденные данные до 7 ноября 2022 года, если компания не заплатит выкуп. При этом ни одного образца предполагаемых украденных данных еще не было опубликовано.

В свою очередь, Thales сообщила Reuters, что начала расследование предполагаемого нарушения безопасности, а также уведомила французское национальное агентство кибербезопасности ANSSI, однако не подавала официальное заявление.

Компания до сих пор не получала прямого уведомления о выкупе, как и доказательств того, что LockBit получили какие-либо данные из Thales.

Но будем посмотреть.

#SecActor Открыть/Комментировать

2022-11-01 15:44:11 Очень забавно! Эдакий швейцар в киберпространстве:)

Израильская компании по киберразведке KELA выяснила, что хакеры продают начальный доступ к 576 корпоративным сетям по всему миру на общую сумму 4 млн. долларов США.

Брокеры начального доступа IAB продают доступ к корпоративным сетям, как правило, путем кражи учетных данных, веб-оболочек или использования уязвимостей.

Закрепившись в сети, они продают доступ другим хакерам, которые уже используют его для кражи ценных данных, развертывания программ-вымогателей или других вредоносных действий.

Данные ресерчеров отражают результаты исследования за третий квартал 2022 года, при этом количество продаж доступа к сети осталось примерно таким же, как и в предыдущие два квартала.

Однако общая стоимость первоначальных списков доступа во втором квартале 2022 года составила 660 000 долларов США, зафиксировав падение стоимости, которое совпало с летним перерывом в борьбе с ransomware, который снизил спрос.

Ресерчеры наблюдали за 110 злоумышленниками. Средняя цена продажи этих листингов составляла 2800 долларов, а средняя цена продажи достигла рекордной отметки в 1350 долларов.

KELA также отметила один лот, когда стоимость доступа достигла астрономической цены в 3 000 000 долларов. Однако этот список не был включен в статистику из-за сомнений в его подлинности.

В исследуемый период ресерчеры выделили три ведущих IAB, которые вели широкий бизнес, предлагая от 40 до 100 доступов на продажу.

Судя по обсуждениям на хакерских форумах среднее время продажи корпоративного доступа составляло всего 1,6 дня, в то время как большинство из них относились к типам RDP и VPN.

Наиболее целевой страной в квартале стали США, на которые приходилось 30,4% всех предложений IAB.

При этом эта статистика близка к доле 39,1% атак ransomware в третьем квартале, нацеленных на американские компании.

Что касается целевых секторов, то профессиональные услуги, производство и технологии возглавили список с 13,4%, 10,8% и 9,4% соответственно.

Опять же, атаки программ-вымогателей имеют аналогичный рейтинг, что подчеркивает тесную связь вымогателей с IAB.

Как вывод, ресерчеры констатируют, что IAB, по-прежнему, играют решающую роль в цепочке заражения ransomware.

Даже несмотря на то, что с прошлого года крупные банды вымогателей начали действовать в качестве преступных синдикатов, управляя собственными подразделениями IAB.

#SecActor Открыть/Комментировать

2022-10-29 14:31:53 Открыть/Комментировать

2022-10-29 14:31:52 Друзья! Очень горячо и эффективно провели БАТТЛ в ТПП РФ по темам развития цифровой экономики, безопасности и противодействия мошенничеству. Скажу, что дебаты были горячие. Аргументы по разным точкам зрения весьма весомые. Но все сошлись в едином мнении: надо идти вперёд, выбирать или создавать стратегический орган, который будет задавать тренд развития цифровизации, и конечно же обеспечения безопасности!. Открыть/Комментировать

2022-10-27 14:27:11 Получившая не так давно независимость инфосек кампания Mandiant выпустила отчет об операции влияния DRAGONBRIDGE, в котором обвинила Китай в продвижении следующих ложных, как сейчас можно говорить, нарративов:

- APT 41 является хакерской группой, работающей на Правительство США;
- демократия в США прогнила;
- Вашингтон несет ответственность за взрывы веток Северных потоков.

В истинности последних двух тезисов у нашей редакции нет никаких сомнений и не важно, кто конкретно продвигает эти посылы в инфополе. С первым же пунктом, казалось бы, все предельно ясно - APT 41 это китайская прогосударственная хакерская группа, которую часто также именуют как Winnti, и в отношении активности которой достаточно много отчетов у различных исследовательских групп.

А вот нифига. Заглянем-ка в наши архивы.

Во-первых, весной 2020 года, в самый разгар карантина, мы делали один из наших первых обзоров APT (делали-делали, а потом устали) и он был посвящен как раз APT 41 и Winnti. И пришли к выводу, что кадавр, именуемый Mandiant группой APT 41 (это их система атрибуции), сшит из множества лоскутков, самый большой из которых принадлежит Winnti. А вот по поводу других есть некоторые сомнения.

Во-вторых, чуть позже ESET неожиданно раскопали совпадение в коде малвари, использовавшейся в 2018 году в атаке на тайскую компанию-игродела и приписываемой Winnti с кодом из утечки Lost in Translation 2017 года, в ходе которой в сеть выкинули инструментарий хакерской группы Equation, являющейся штатным подразделением АНБ.

Таким образом, отчасти китайские сетевые пропагандисты, по нашему мнению, правы - под APT 41 западные инфосек компании подгоняют атаки американских (а может и не только) прогосударственных хакерских групп, действующих под чужим флагом. А чтобы все это выглядело достоверно, замешивают их с реальной активностью Winnti и других кибер-ястребов Дядюшки Си.

Вот такая занимательная геополитика в отдельно взятом Интернете. Открыть/Комментировать

2022-10-27 10:37:48 Друзья! Родилась такая мысль-нужно ваше мнение:
Как мы знаем многие спецы по ИТ и ИБ умчали за бугор из-за мобилизации. И вот я уже не первый раз подумал (вчера еще с товарищами при встрече обсудил): все уехавшие опасаются того, что придётся надевать форму , бегать по полосам препятствий, стрелять, топать на плацу(ужасное занятие по моему опыту):) да еще не дай Бог отправят на боевые. Так вот, у нас же есть закон об альтернативной службе. Почему бы МО не создать ИТ-роты или батальоны. И занять наших суперспецов в их области на благо страны?. И платят там даже деньги. И спеца с хорошими мозгами тут останутся и задачи страны будут выполняться. Что думаете? Открыть/Комментировать

2022-10-26 11:39:18 Система слежки и распознавания лиц в Саудовской Аравии в режиме реального времени способна фиксировать и выводить на большой экран для оператора различные правонарушения с участием граждан, определять потенциально конфликтные ситуации между людьми, отслеживать убегающих с места преступления мошенников, выделять из толпы просто спящих людей на лавке, идентифицировать любителей табачного дыма и многое другое.

В основе системы лежит ИИ и она полностью разработана в Саудовской Аравии. Открыть/Комментировать

2022-10-25 20:22:36 О как!!!!

Группа хактивистов, называющая себя  Black Reward, взяла на себя ответственность за взлом Организации по атомной энергии Ирана, опубликовав более 50 ГБ данных.

Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.

Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.

Правительство Ирана подтвердило инцидент в воскресенье.

Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.

Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.

#SecActor Открыть/Комментировать

2022-10-25 12:59:23 Видимо надо обновляться! Apple выпустила крупное обновление  iOS 16.1 и iPadOS 16 с исправлениями не менее 20 задокументированных проблем безопасности, включая уязвимость ядра, которая уже активно эксплуатируется.

Производитель подтвердил активную эксплуатацию CVE-2022-42827 в RCE-атаках на iPhone и iPad.

Как обычно, Apple не делится подробностями выявленных инцидентов, индикаторами компрометации или другими техническими данными.

Компания описала ошибку как проблему записи за пределы, которая была устранена путем улучшенной проверки границ, отметив, что о ней сообщил анонимный исследователь.

Как поясняет Apple, в случае успешного использования в атаках этот нулевой день мог быть использован потенциальными злоумышленниками для выполнения произвольного кода с привилегиями ядра.

К настоящему времени известно лишь то, что в этом году было зарегистрировано как минимум 8 реальных атак на устройства Apple с использованием 0-day.

Последнее обновление также включает исправления как минимум для четырех других ошибок, которые подвергают устройства iOS атакам с RCE, включая:

⁃ CVE-2022-42813 в CFNetwork - проблема проверки вредоносного сертификата при обработке WKWebView может привести к выполнению произвольного кода. Проблема устранена путем улучшенной проверки. О ней сообщил Джонатан Чжан из Open Computing Facility.

⁃ CVE-2022-42808 в ядре - удаленный пользователь может вызвать выполнение кода ядра. Проблема с записью за пределами границ устранена путем улучшенной проверки границ. О проблеме сообщил Цвейг из Kunlun Lab.

⁃ CVE-2022-42823 в WebKit - обработка вредоносного веб-контента может привести к  выполнению произвольного кода. Проблема с путаницей типов устранена путем улучшенной обработки памяти. Об ошибке сообщил Дохён Ли из SSD Labs.

⁃ CVE-2022-32922 в WebKit PDF - обработка вредоносного веб-контента может привести к  выполнению произвольного кода. Проблема использования после освобождения устранена путем улучшенного управления памятью. Сообщил Yonghwi Jin в Theori.

Несмотря на то, что 0-day, скорее всего, использовалась только в таргетированных атаках, настоятельно рекомендуется установить последние обновления безопасности, чтобы заблокировать любые попытки эксплуатации. #SecActor Открыть/Комментировать