logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как десяток межсетевых экранов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Обычный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника

Идеально подходит для обычных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Обновления проекта
Контакты

Контакты

Поделиться
Читать: 3+ мин
logo Хроники кибер-безопасника

Ransomware Q3

Давайте ‎поднимем‏ ‎наши ‎бокалы ‎за ‎2023 ‎год,‏ ‎год, ‎когда‏ ‎программы-вымогатели‏ ‎устроили ‎безбашенную ‎вечеринку,‏ ‎разбивав ‎рекорды‏ ‎как ‎дешёвые ‎бокалы ‎для‏ ‎шампанского.‏ ‎С ‎ошеломляющими‏ ‎4368 ‎жертвами,‏ ‎пойманными ‎в ‎их ‎цифровые ‎сети,‏ ‎этим‏ ‎киберпреступникам ‎удалось‏ ‎превзойти ‎самих‏ ‎себя ‎по ‎эффективности ‎на ‎55,5%‏ ‎по‏ ‎сравнению‏ ‎с ‎предыдущим‏ ‎годом.

Главные ‎герои‏ ‎— ‎LockBit3.0,‏ ‎ALPHV‏ ‎и ‎Cl0p,‏ ‎которые ‎во ‎втором ‎квартале ‎скомпрометировали‏ ‎1386 ‎жертв‏ ‎по‏ ‎всему ‎миру. ‎Поскольку‏ ‎программа-вымогатель ‎как‏ ‎услуга ‎(RaaS) ‎облегчает ‎любому‏ ‎киберпреступнику‏ ‎участие ‎в‏ ‎кибер-активностях, ‎можно‏ ‎большего ‎числа ‎жертв ‎и ‎связанных‏ ‎с‏ ‎ними ‎историй.‏ ‎И ‎несмотря‏ ‎на ‎доблестные ‎усилия ‎правоохранительных ‎органов‏ ‎по‏ ‎всему‏ ‎миру, ‎этих‏ ‎киберпреступников, ‎похоже,‏ ‎невозможно ‎остановить.

Теперь‏ ‎давайте‏ ‎поговорим ‎о‏ ‎деньгах, ‎потому ‎что, ‎в ‎конце‏ ‎концов, ‎именно‏ ‎в‏ ‎этом ‎все ‎дело,‏ ‎верно? ‎Средняя‏ ‎сумма ‎выкупа ‎для ‎предприятия‏ ‎выросла‏ ‎до ‎более‏ ‎чем ‎100‏ ‎000 ‎долларов, ‎при ‎этом ‎требования‏ ‎в‏ ‎среднем ‎составляли‏ ‎крутые ‎5,3‏ ‎миллиона ‎долларов. ‎Но ‎вот ‎в‏ ‎чем‏ ‎загвоздка:‏ ‎80% ‎организаций‏ ‎придерживаются ‎политики‏ ‎«Не ‎платить»,‏ ‎и‏ ‎все ‎же‏ ‎в ‎прошлом ‎году ‎41% ‎в‏ ‎итоге ‎заплатили‏ ‎выкуп.

И‏ ‎для ‎тех, ‎кто‏ ‎думает, ‎что‏ ‎страховка ‎может ‎спасти ‎положение,‏ ‎подумайте‏ ‎ещё ‎раз.‏ ‎77% ‎организаций‏ ‎на ‎собственном ‎горьком ‎опыте ‎убедились,‏ ‎что‏ ‎программы-вымогатели ‎—‏ ‎это ‎те,‏ ‎кто ‎нарушает ‎правила ‎безопасности, ‎не‏ ‎покрываемые‏ ‎их‏ ‎страховкой. ‎Это‏ ‎все ‎равно,‏ ‎что ‎выйти‏ ‎навстречу‏ ‎урагану ‎с‏ ‎зонтиком.

Итак, ‎выпьем ‎за ‎2023 ‎год,‏ ‎год, ‎который‏ ‎запомнится‏ ‎не ‎технологическими ‎прорывами‏ ‎или ‎победами‏ ‎в ‎киберзащите, ‎а ‎успехом‏ ‎ransomware.‏ ‎Пусть ‎2024‏ ‎год ‎принесёт‏ ‎больше ‎историй ‎для ‎обсуждения.

Подробный ‎разбор

Читать: 2+ мин
logo Хроники кибер-безопасника

CVSS 4.0

Мир ‎кибербезопасности‏ ‎пополнился ‎последней ‎и ‎самой ‎совершенной‏ ‎версией ‎общей‏ ‎системы‏ ‎оценки ‎уязвимостей ‎CVSS‏ ‎версии ‎4.0.‏ ‎Эта ‎новая ‎версия ‎обещает‏ ‎произвести‏ ‎революцию ‎в‏ ‎том, ‎как‏ ‎мы ‎оцениваем ‎критичность ‎и ‎влияние‏ ‎уязвимостей‏ ‎программного ‎обеспечения,‏ ‎потому ‎что‏ ‎очевидно, ‎что ‎версия ‎3.1 ‎была‏ ‎всего‏ ‎лишь‏ ‎разминкой.


Давайте ‎углубимся‏ ‎в ‎новаторские‏ ‎улучшения.

Более ‎детализированные‏ ‎базовые‏ ‎показатели. ‎Потому‏ ‎что, ‎если ‎есть ‎что-то, ‎что‏ ‎любят ‎профессионалы‏ ‎в‏ ‎области ‎кибербезопасности, ‎так‏ ‎это ‎детализация.‏ ‎Теперь ‎мы ‎не ‎только‏ ‎можем‏ ‎оценить ‎воздействие‏ ‎на ‎уязвимую‏ ‎систему, ‎но ‎и ‎потратить ‎тысячу‏ ‎листов‏ ‎на ‎детализацию,‏ ‎это ‎уже‏ ‎серьёзный ‎уровень ‎профессионализма


Группа ‎угроз ‎—‏ ‎теперь‏ ‎серьёзность‏ ‎уязвимости ‎могут‏ ‎быть ‎скорректированы‏ ‎в ‎зависимости‏ ‎от‏ ‎того, ‎мог‏ ‎ли ‎кто-то ‎где-то ‎подумать ‎о‏ ‎их ‎использовании.‏ ‎Это‏ ‎гарантирует, ‎что ‎наша‏ ‎паранойя ‎всегда‏ ‎подкрепляется ‎последними ‎данными ‎об‏ ‎угрозах.


Метрики‏ ‎окружения ‎позволяют‏ ‎адаптировать ‎оценку‏ ‎к ‎нашей ‎конкретной ‎вычислительной ‎среде.‏ ‎Потому‏ ‎что ‎ничто‏ ‎так ‎не‏ ‎говорит ‎о ‎«индивидуальности», ‎как ‎корректировка‏ ‎оценок‏ ‎на‏ ‎основе ‎множества‏ ‎мер ‎по‏ ‎смягчению ‎последствий,‏ ‎которые,‏ ‎как ‎мы‏ ‎надеемся, ‎работают ‎так, ‎как ‎задумано.


Гениальным‏ ‎образом ‎показатели‏ ‎угроз‏ ‎были ‎упрощены ‎до‏ ‎уровня ‎зрелости‏ ‎эксплойтов. ‎Потому ‎что ‎если‏ ‎и‏ ‎есть ‎что-то,‏ ‎что ‎легко‏ ‎определить, ‎так ‎это ‎то, ‎насколько‏ ‎зрелым‏ ‎является ‎эксплойт.


Система‏ ‎подсчёта ‎оценки‏ ‎стала ‎проще ‎и ‎гибче. ‎Да,‏ ‎вы‏ ‎не‏ ‎ослышались. ‎Проще.‏ ‎Потому ‎что,‏ ‎если ‎и‏ ‎есть‏ ‎какое-то ‎слово,‏ ‎которое ‎сообщество ‎кибербезопасности ‎ассоциирует ‎с‏ ‎CVSS, ‎так‏ ‎это‏ ‎простота.


И ‎для ‎тех,‏ ‎кто ‎почувствовал‏ ‎себя ‎обделённым, ‎CVSS ‎версии‏ ‎4.0‏ ‎теперь ‎поддерживает‏ ‎несколько ‎оценок‏ ‎для ‎одной ‎и ‎той ‎же‏ ‎уязвимости.‏ ‎Потому ‎что‏ ‎зачем ‎иметь‏ ‎одну ‎оценку, ‎когда ‎можно ‎иметь‏ ‎несколько?


Итак,‏ ‎CVSS‏ ‎версии ‎4.0‏ ‎призван ‎спасти‏ ‎положение ‎благодаря‏ ‎своей‏ ‎повышенной ‎ясности,‏ ‎простоте ‎и ‎повышенному ‎вниманию ‎ко‏ ‎всем ‎мелочам‏ ‎и‏ ‎деталям. ‎Потому ‎что,‏ ‎как ‎мы‏ ‎все ‎знаем, ‎единственное, ‎что‏ ‎доставляет‏ ‎больше ‎удовольствия,‏ ‎чем ‎оценка‏ ‎уязвимостей, ‎— ‎это ‎делать ‎это‏ ‎с‏ ‎помощью ‎новой,‏ ‎более ‎сложной‏ ‎системы.


Подробный ‎разбор



Читать: 1+ мин
logo Хроники кибер-безопасника

DCRat

DCRat, ‎швейцарский‏ ‎армейский ‎нож ‎киберпреступного ‎мира, ‎истинное‏ ‎свидетельство ‎предпринимательского‏ ‎духа,‏ ‎процветающего ‎в ‎темных‏ ‎уголках ‎Интернета.‏ ‎С ‎момента ‎своего ‎грандиозного‏ ‎дебюта‏ ‎в ‎2018‏ ‎году ‎DCRat‏ ‎стал ‎незаменимым ‎гаджетом ‎для ‎каждого‏ ‎начинающего‏ ‎злодея ‎со‏ ‎склонностью ‎к‏ ‎цифровым ‎проказам.


По ‎очень ‎низкой ‎цене‏ ‎в‏ ‎7‏ ‎долларов ‎можно‏ ‎приобрести ‎двухмесячную‏ ‎подписку ‎на‏ ‎это‏ ‎чудо ‎современного‏ ‎вредоносного ‎ПО. ‎Правильно, ‎дешевле, ‎чем‏ ‎стоимость ‎модного‏ ‎кофе,‏ ‎а ‎для ‎тех,‏ ‎кто ‎действительно‏ ‎предан ‎делу, ‎доступна ‎пожизненная‏ ‎лицензия‏ ‎за ‎внушительную‏ ‎сумму ‎в‏ ‎40 ‎долларов.


В ‎результате ‎шага, ‎который‏ ‎шокировал‏ ‎подпольные ‎форумы,‏ ‎разработчик, ‎стоящий‏ ‎за ‎DCRat, ‎объявил ‎в ‎2022‏ ‎году,‏ ‎что‏ ‎снимает ‎шляпу,‏ ‎прекращает ‎работу‏ ‎над ‎RAT‏ ‎и‏ ‎переходит ‎к‏ ‎предположительно ‎более ‎мрачным ‎начинаниям. ‎Он‏ ‎даже ‎дразнил‏ ‎преемника,‏ ‎потому ‎что ‎зачем‏ ‎позволять ‎хорошему‏ ‎делу ‎умереть, ‎когда ‎можно‏ ‎просто‏ ‎провести ‎ребрендинг‏ ‎и ‎перезапустить‏ ‎компанию?


DCRat ‎— ‎это ‎не ‎просто‏ ‎какой-нибудь‏ ‎вредоносный ‎код;‏ ‎это ‎модульный,‏ ‎настраиваемый ‎и ‎совершенно ‎гибкий ‎инструмент,‏ ‎который‏ ‎может‏ ‎делать ‎все:‏ ‎от ‎кражи‏ ‎рецептов ‎печенья‏ ‎до‏ ‎запуска ‎DDoS-атак.‏ ‎DCRat ‎заманивает ‎своих ‎жертв ‎цифровым‏ ‎эквивалентом ‎«бесплатных‏ ‎конфет»:‏ ‎контент ‎для ‎взрослых,‏ ‎фальшивые ‎обещания‏ ‎OnlyFans


В ‎конце ‎концов, ‎DCRat‏ ‎служит‏ ‎напоминанием ‎о‏ ‎том, ‎что‏ ‎в ‎эпоху ‎цифровых ‎технологий ‎ваша‏ ‎безопасность‏ ‎настолько ‎сильна,‏ ‎насколько ‎сильна‏ ‎ваша ‎способность ‎не ‎переходить ‎по‏ ‎подозрительным‏ ‎ссылкам.‏ ‎Итак, ‎в‏ ‎следующий ‎раз,‏ ‎когда ‎вас‏ ‎соблазнит‏ ‎заманчивое ‎предложение,‏ ‎просто ‎помните: ‎это ‎может ‎быть‏ ‎просто ‎DCRat,‏ ‎который‏ ‎ждёт, ‎чтобы ‎принять‏ ‎вас ‎с‏ ‎распростёртыми ‎объятиями ‎в ‎свои,‏ ‎на‏ ‎самом ‎деле,‏ ‎не ‎слишком‏ ‎любящие ‎объятия.


Подробный ‎разбор



Читать: 5+ мин
logo Хроники кибер-безопасника

Фишинг в Великобритании

В ‎Великобритании‏ ‎участились ‎фишинговые ‎атаки, ‎и, ‎похоже,‏ ‎инструментарий ‎атакующих‏ ‎претерпел‏ ‎изменения. ‎Они ‎больше‏ ‎не ‎просто‏ ‎рассылают ‎эти ‎модные ‎электронные‏ ‎письма‏ ‎«Я ‎принц‏ ‎с ‎наследством»‏ ‎и ‎переключились ‎на ‎высокие ‎технологии,‏ ‎погрузившись‏ ‎в ‎захватывающий‏ ‎мир ‎QR-фишинга‏ ‎(или ‎«квишинга», ‎потому ‎что, ‎по-видимому,‏ ‎с‏ ‎«q»‏ ‎все ‎лучше)‏ ‎и ‎даже‏ ‎подключив ‎искусственный‏ ‎интеллект‏ ‎для ‎написания‏ ‎убедительных ‎мошеннических ‎электронных ‎писем.

Для ‎тех,‏ ‎кто ‎думал,‏ ‎что‏ ‎QR-коды ‎— ‎это‏ ‎просто ‎безобидный‏ ‎способ ‎загрузить ‎меню ‎ресторана,‏ ‎подумайте‏ ‎ещё ‎раз.‏ ‎Это ‎новый‏ ‎золотой ‎билет ‎для ‎мошенников ‎в‏ ‎социальных‏ ‎сетях, ‎которые‏ ‎наживаются ‎на‏ ‎ничего ‎не ‎подозревающих ‎массах, ‎пребывающих‏ ‎в‏ ‎поисках‏ ‎билетов ‎на‏ ‎концерт ‎или‏ ‎на ‎следующую‏ ‎крупную‏ ‎распродажу. ‎Между‏ ‎тем, ‎искусственный ‎интеллект ‎делает ‎подделку‏ ‎чьей-либо ‎личности‏ ‎проще,‏ ‎чем ‎когда-либо, ‎потому‏ ‎что ‎кому‏ ‎больше ‎нужны ‎настоящие ‎отпечатки‏ ‎пальцев‏ ‎или ‎лица?

Начнём‏ ‎с ‎классических‏ ‎колл—центров ‎«вишинг», ‎где ‎предприимчивые ‎мошенники‏ ‎Украины‏ ‎и ‎Чехии‏ ‎используют ‎свой‏ ‎лучший ‎британский ‎акцент, ‎чтобы ‎убедить‏ ‎вас‏ ‎отправить‏ ‎им ‎немного‏ ‎мелочи ‎на‏ ‎карманные ‎расходы‏ ‎—‏ ‎всего ‎лишь‏ ‎десятки ‎миллионов ‎евро. ‎Кто ‎знал,‏ ‎что ‎голос‏ ‎на‏ ‎другом ‎конце ‎провода,‏ ‎спрашивающий ‎ваши‏ ‎банковские ‎реквизиты, ‎на ‎самом‏ ‎деле‏ ‎принадлежал ‎Борису‏ ‎из ‎Праги,‏ ‎а ‎не ‎Беркли ‎из ‎Найтсбриджа?

Сотрудников‏ ‎отеля‏ ‎обманывают ‎электронными‏ ‎письмами, ‎которые‏ ‎примерно ‎такие ‎же ‎подлинные, ‎как‏ ‎трёхфунтовая‏ ‎банкнота.‏ ‎Нажмите ‎на‏ ‎эту ‎ссылку,‏ ‎и ‎вуаля!‏ ‎Вы‏ ‎только ‎что‏ ‎предоставили ‎хакеру ‎пятизвёздочный ‎доступ ‎к‏ ‎вашей ‎компьютерной‏ ‎системе.

И‏ ‎давайте ‎не ‎будем‏ ‎забывать ‎о‏ ‎старой ‎доброй ‎почтовой ‎службе,‏ ‎или,‏ ‎как ‎сказали‏ ‎бы ‎мошенники,‏ ‎«Королевский ‎Скам». ‎Они ‎рассылают ‎электронные‏ ‎письма,‏ ‎которые ‎настолько‏ ‎убедительны, ‎что‏ ‎вместо ‎доставки ‎посылок ‎они ‎раздают‏ ‎вашу‏ ‎личную‏ ‎информацию ‎тому,‏ ‎кто ‎предложит‏ ‎самую ‎высокую‏ ‎цену.

Последняя‏ ‎тенденция ‎—‏ ‎«квишинг», ‎когда ‎QR-коды ‎говорят ‎«доверьтесь‏ ‎мне», ‎ведь‏ ‎сканирование‏ ‎таинственного ‎штрих-кода, ‎который‏ ‎обещает ‎доставку‏ ‎посылки, ‎доставим ‎вам ‎пакет‏ ‎вредоносного‏ ‎ПО.

Юридические ‎фирмы‏ ‎также ‎не‏ ‎застрахованы ‎от ‎фишингового ‎безумия. ‎Один‏ ‎клик‏ ‎по ‎сомнительной‏ ‎ссылке, ‎и‏ ‎внезапно ‎вы ‎не ‎просто ‎практикуете‏ ‎юриспруденцию,‏ ‎вы‏ ‎практикуетесь ‎в‏ ‎том, ‎как‏ ‎объяснить ‎своим‏ ‎клиентам,‏ ‎почему ‎их‏ ‎конфиденциальная ‎информация ‎сейчас ‎в ‎тренде‏ ‎в ‎даркнете.

Соискатели,‏ ‎остерегайтесь‏ ‎уловок ‎WhatsApp, ‎где‏ ‎мошенники ‎предлагают‏ ‎вам ‎работу ‎всей ‎вашей‏ ‎жизни‏ ‎— ‎при‏ ‎условии, ‎что‏ ‎вашей ‎давней ‎мечтой ‎было ‎стать‏ ‎частью‏ ‎мошеннической ‎схемы.

Малый‏ ‎бизнес, ‎вы‏ ‎недостаточно ‎малы, ‎чтобы ‎вас ‎заметили!‏ ‎На‏ ‎самом‏ ‎деле, ‎вы‏ ‎звезда ‎шоу,‏ ‎и ‎колоссальные‏ ‎82%‏ ‎онлайн-угроз ‎касаются‏ ‎только ‎вас. ‎И ‎давайте ‎поаплодируем‏ ‎увеличению ‎числа‏ ‎фишинговых‏ ‎атак ‎в ‎вашей‏ ‎отрасли ‎на‏ ‎464%.

И ‎кто ‎находится ‎на‏ ‎передовой‏ ‎линии ‎борьбы‏ ‎с ‎этой‏ ‎цифровой ‎эпидемией? ‎Национальный ‎центр ‎кибербезопасности‏ ‎(NCSC)‏ ‎и ‎Action‏ ‎Fraud, ‎вооружённые‏ ‎своими ‎мощными ‎ресурсами, ‎помогают ‎общественности‏ ‎сообщать‏ ‎об‏ ‎этих ‎подлых‏ ‎действиях. ‎Потому‏ ‎что ‎ничто‏ ‎так‏ ‎не ‎говорит‏ ‎«у ‎нас ‎все ‎под ‎контролем»,‏ ‎как ‎правительственный‏ ‎веб-сайт‏ ‎и ‎горячая ‎линия.

Правительство‏ ‎Великобритании ‎расстелило‏ ‎красную ‎дорожку ‎для ‎«первой‏ ‎в‏ ‎мире» ‎хартии‏ ‎с ‎технологическими‏ ‎гигантами, ‎пообещав ‎блокировать ‎и ‎удалять‏ ‎мошеннический‏ ‎контент. ‎Потому‏ ‎что, ‎если‏ ‎и ‎есть ‎что-то, ‎что ‎отпугнёт‏ ‎мошенников,‏ ‎так‏ ‎это ‎чётко‏ ‎сформулированное ‎командное‏ ‎соглашение ‎с‏ ‎Национальным‏ ‎агентством ‎по‏ ‎борьбе ‎с ‎преступностью ‎(NCA) ‎и‏ ‎отделом ‎по‏ ‎борьбе‏ ‎с ‎киберпреступностью.

Образование ‎и‏ ‎осведомлённость ‎рекламируются‏ ‎как ‎«серебряные ‎пули» ‎против‏ ‎этой‏ ‎растущей ‎угрозы.‏ ‎Различные ‎организации‏ ‎предлагают ‎курсы, ‎потому ‎что ‎просмотр‏ ‎презентации‏ ‎PowerPoint ‎—‏ ‎верный ‎способ‏ ‎победить.

Итак, ‎завершая ‎этот ‎праздничный ‎обзор‏ ‎фишинга,‏ ‎помните:‏ ‎если ‎это‏ ‎выглядит ‎как‏ ‎мошенничество ‎и‏ ‎пахнет‏ ‎аферой, ‎то,‏ ‎скорее ‎всего, ‎это ‎просто ‎ещё‏ ‎один ‎день‏ ‎в‏ ‎Интернете. ‎Держите ‎себя‏ ‎в ‎руках‏ ‎и, ‎возможно, ‎не ‎переходите‏ ‎по‏ ‎этой ‎ссылке‏ ‎от ‎«Секретной‏ ‎службы ‎Ее ‎Величества», ‎обещающей ‎вам‏ ‎возврат‏ ‎налогов ‎в‏ ‎фунткоинах.


Подробный ‎разбор



Читать: 3+ мин
logo Хроники кибер-безопасника

Группа KillNet

KillNet, кибер-группа, ‎поднялась‏ ‎на ‎вершину ‎таблицы ‎лидеров ‎кибер-активностей,‏ ‎затмив ‎более‏ ‎сотни‏ ‎других ‎групп ‎в‏ ‎грандиозных ‎прокси-кибервойнах.‏ ‎Их ‎любимое ‎оружие? ‎Очень‏ ‎сложная‏ ‎распределенная ‎атака‏ ‎типа ‎«Отказ‏ ‎в ‎обслуживании» ‎(DDoS)., ‎которая ‎бьёт‏ ‎по‏ ‎больному ‎месту:‏ ‎жизненно ‎важной‏ ‎инфраструктуре, ‎правительственным ‎службам, ‎веб-сайтам ‎аэропортов‏ ‎и,‏ ‎почему‏ ‎бы ‎и‏ ‎нет, ‎медиакомпаниям‏ ‎в ‎странах‏ ‎НАТО.

У‏ ‎группы ‎есть‏ ‎склонность ‎к ‎драматизму, ‎с ‎мощной‏ ‎и ‎конфронтационной‏ ‎кампанией‏ ‎дезинформации, ‎нацеленной ‎на‏ ‎их ‎90‏ ‎000 ‎подписчиков ‎в ‎Telegram.‏ ‎Представьте,‏ ‎как ‎они‏ ‎насмехаются ‎над‏ ‎своими ‎жертвами ‎в ‎комплекте ‎с‏ ‎угрозами.‏ ‎И ‎когда‏ ‎у ‎Европейского‏ ‎парламента ‎хватило ‎наглости ‎начать ‎расследование‏ ‎против‏ ‎них,‏ ‎KillNet ‎пошла‏ ‎ва-банк, ‎нацелившись‏ ‎на ‎бельгийский‏ ‎центр‏ ‎кибербезопасности, ‎потому‏ ‎что, ‎надо ‎больше ‎кибер-истерик.

Поговорим ‎о‏ ‎виктимологии, ‎потому‏ ‎что‏ ‎Европа ‎— ‎их‏ ‎любимая ‎игровая‏ ‎площадка, ‎где ‎зарегистрировано ‎более‏ ‎180‏ ‎атак, ‎в‏ ‎то ‎время‏ ‎как ‎Северная ‎Америка ‎находится ‎в‏ ‎углу‏ ‎с ‎менее‏ ‎чем ‎10.‏ ‎Однако ‎они ‎не ‎привередливы: ‎финансовая‏ ‎индустрия,‏ ‎транспорт,‏ ‎правительственные ‎учреждения‏ ‎и ‎бизнес–услуги.‏ ‎Здравоохранение ‎в‏ ‎США?‏ ‎Взято ‎на‏ ‎прицел. ‎Правительственные ‎веб-сайты ‎от ‎Румынии‏ ‎до ‎Соединённых‏ ‎Штатов?‏ ‎Следующие.

Чтобы ‎показать ‎себя‏ ‎профессионалами ‎своего‏ ‎дела, ‎они ‎разработали ‎полуофициальную‏ ‎организационную‏ ‎структуру ‎и‏ ‎расширили ‎свою‏ ‎деятельност, ‎перейдя ‎от ‎использования ‎готовых‏ ‎инструментов‏ ‎к ‎созданию‏ ‎собственных… ‎с‏ ‎подпиской, ‎ведь ‎надо ‎делиться ‎достижениями.

Краткая‏ ‎история‏ ‎KillNet‏ ‎в ‎1‏ ‎фразе: ‎кибер-звезда‏ ‎драмкружка ‎«DDoS».


Подробный‏ ‎разбор

Читать: 1+ мин
logo Хроники кибер-безопасника

Минутка политкорректности или don’t be an infosec racist

Мы ‎уже‏ ‎в ‎курсе ‎и ‎работаем ‎над‏ ‎проблемой

Читать: 3+ мин
logo Хроники кибер-безопасника

DarkPinkAPT

Действие ‎очередной‏ ‎кибер-саги ‎разворачивается ‎в ‎мистических ‎землях‏ ‎Азиатско-Тихоокеанского ‎региона,‏ ‎где‏ ‎главные ‎герои ‎(или‏ ‎антагонисты, ‎в‏ ‎зависимости ‎от ‎вашего ‎взгляда‏ ‎на‏ ‎конфиденциальность ‎данных‏ ‎и ‎необходимость‏ ‎доступа ‎к ‎ним) ‎начали ‎свое‏ ‎цифровую‏ ‎деятельность ‎еще‏ ‎в ‎середине‏ ‎2021 ‎года ‎и ‎качественно ‎усилили‏ ‎её‏ ‎в‏ ‎2022 ‎году.


В‏ ‎октябре ‎2022‏ ‎года ‎Dark‏ ‎Pink‏ ‎(https://cyberint.com/blog/research/dark-pink-apt-attacks)попытались привлечь ‎к‏ ‎себе ‎европейское ‎государственное ‎агентство ‎развития,‏ ‎работающее ‎во‏ ‎Вьетнаме,‏ ‎с ‎помощью ‎своих‏ ‎цифровых ‎чар.‏ ‎Увы, ‎их ‎попытки ‎были‏ ‎отвергнуты,‏ ‎и ‎атака‏ ‎была ‎признана‏ ‎неудачной. ‎Но ‎остановило ‎ли ‎это‏ ‎их?‏ ‎Конечно, ‎нет.‏ ‎Вооруженный ‎арсеналом‏ ‎инструментов ‎и ‎специально ‎разработанного ‎вредоносного‏ ‎программного‏ ‎обеспечения,‏ ‎предназначенного ‎для‏ ‎кражи ‎данных‏ ‎и ‎шпионажа,‏ ‎Dark‏ ‎Pink ‎был‏ ‎воплощением ‎настойчивости. ‎Их ‎любимое ‎оружие?‏ ‎Фишинговые ‎электронные‏ ‎письма,‏ ‎содержащие ‎сокращенный ‎URL-адрес,‏ ‎который ‎приводил‏ ‎жертв ‎на ‎бесплатный ‎файлообменный‏ ‎сайт,‏ ‎где ‎их‏ ‎ждал ‎ISO-образ,‏ ‎конечно ‎же ‎вредоносный.


Давайте ‎углубимся ‎в‏ ‎цели‏ ‎кибер-художников. ‎Корпоративный‏ ‎шпионаж, ‎кража‏ ‎документов, ‎аудиозапись ‎и ‎утечка ‎данных‏ ‎с‏ ‎платформ‏ ‎обмена ‎сообщениями‏ ‎— ‎все‏ ‎это ‎было‏ ‎делом‏ ‎одного ‎дня‏ ‎для ‎Dark ‎Pink. ‎Их ‎географическая‏ ‎направленность, ‎возможно,‏ ‎начиналась‏ ‎в ‎Азиатско-Тихоокеанском ‎регионе,‏ ‎но ‎их‏ ‎амбиции ‎не ‎знали ‎границ,‏ ‎нацелившись‏ ‎на ‎европейское‏ ‎правительственное ‎министерство‏ ‎в ‎смелом ‎шаге ‎по ‎расширению‏ ‎своего‏ ‎портфолио. ‎Их‏ ‎профиль ‎жертв‏ ‎был ‎таким ‎же ‎разнообразным, ‎как‏ ‎совещание‏ ‎ООН,‏ ‎нацеливаясь ‎на‏ ‎военные ‎организации,‏ ‎правительственные ‎учреждения‏ ‎и‏ ‎даже ‎религиозную‏ ‎организацию. ‎Потому ‎что ‎дискриминация ‎это‏ ‎не ‎модная‏ ‎повестка.


В‏ ‎мире ‎киберпреступности ‎они‏ ‎служат ‎напоминанием‏ ‎о ‎том, ‎что ‎иногда‏ ‎самые‏ ‎серьезные ‎угрозы‏ ‎приходят ‎в‏ ‎самых ‎непритязательных ‎упаковках ‎с ‎розовым‏ ‎бантиком.


Подробный‏ ‎разбор

Читать: 3+ мин
logo Хроники кибер-безопасника

Blizzard-атаки

Star ‎Blizzard‏ ‎не ‎следует ‎путать ‎с ‎небесным‏ ‎погодным ‎явлением‏ ‎или‏ ‎угрозой ‎ограниченного ‎выпуска‏ ‎из ‎кофейни‏ ‎Dairy ‎Queen. ‎Группа ‎занимается‏ ‎этим‏ ‎с ‎ноября‏ ‎2023 ‎года,‏ ‎оставаясь ‎незамеченной ‎до ‎12 ‎января‏ ‎2024‏ ‎года. ‎И‏ ‎не ‎просто‏ ‎бродили ‎под ‎покровом ‎ночи ‎незаметно,‏ ‎а‏ ‎разбивали‏ ‎лагерь, ‎разводили‏ ‎костёр ‎на‏ ‎вашем ‎цифровом‏ ‎заднем‏ ‎дворе, ‎пока‏ ‎вы ‎безмятежно ‎смотрели ‎свой ‎любимый‏ ‎сериал ‎в‏ ‎админской.


Как‏ ‎подобное ‎отражается ‎на‏ ‎разных ‎секторах:

❇️Представьте,‏ ‎если ‎хотите, ‎финансовую ‎индустрию‏ ‎со‏ ‎всеми ‎ее‏ ‎высокими ‎ставками‏ ‎и ‎ещё ‎более ‎высоким ‎самомнением,‏ ‎получающую‏ ‎в ‎лицо‏ ‎цифровой ‎пирог,‏ ‎любезно ‎предоставленный ‎нашими ‎озорными ‎друзьями‏ ‎из‏ ‎Star‏ ‎Blizzard. ‎«О,‏ ‎что ‎это?‏ ‎Ещё ‎один‏ ‎„срочный“‏ ‎запрос ‎на‏ ‎банковский ‎перевод ‎от ‎генерального ‎директора,‏ ‎который ‎в‏ ‎данный‏ ‎момент ‎находится ‎на‏ ‎сафари? ‎Конечно,‏ ‎давайте ‎ускорим ‎это!»

❇️Затем ‎есть‏ ‎сектор‏ ‎здравоохранения, ‎неустанно‏ ‎работающий ‎над‏ ‎спасением ‎жизней ‎только ‎для ‎того,‏ ‎чтобы‏ ‎их ‎системы‏ ‎стали ‎заложниками‏ ‎кибератаки. ‎«Мы ‎зашифровали ‎ваши ‎файлы,‏ ‎но‏ ‎воспринимайте‏ ‎это ‎как‏ ‎упражнение ‎по‏ ‎сплочению ‎команды.‏ ‎Как‏ ‎быстро ‎вы‏ ‎сможете ‎работать ‎сообща, ‎чтобы ‎вернуть‏ ‎их ‎обратно?»‏ ‎Это‏ ‎похоже ‎на ‎оперативную‏ ‎игру, ‎но‏ ‎единственный ‎жужжащий ‎звук ‎—‏ ‎коллективная‏ ‎паника ‎ИТ-отдела.

❇️Давайте‏ ‎не ‎будем‏ ‎забывать ‎о ‎правительственных ‎учреждениях, ‎этих‏ ‎бастионах‏ ‎бюрократии, ‎где‏ ‎одно ‎фишинговое‏ ‎электронное ‎письмо ‎может ‎привести ‎к‏ ‎хаосу.‏ ‎«Упс,‏ ‎мы ‎случайно‏ ‎допустили ‎утечку‏ ‎секретных ‎документов?‏ ‎Мы‏ ‎виноваты. ‎Но,‏ ‎эй, ‎прозрачность ‎важна, ‎верно?»

❇️И, ‎конечно,‏ ‎индустрия ‎розничной‏ ‎торговли,‏ ‎где ‎системы ‎торговых‏ ‎точек ‎так‏ ‎же ‎уязвимы, ‎как ‎карточный‏ ‎домик‏ ‎в ‎аэродинамической‏ ‎трубе. ‎«Распродажа‏ ‎в ‎черную ‎пятницу! ‎Все ‎должно‏ ‎быть‏ ‎распродано! ‎Включая‏ ‎данные ‎вашей‏ ‎кредитной ‎карты!»


В ‎мире ‎кибербезопасности, ‎где‏ ‎ставки‏ ‎высоки,‏ ‎а ‎все‏ ‎всегда ‎ищут‏ ‎следующее ‎слабое‏ ‎звено,‏ ‎удивительно, ‎что‏ ‎любая ‎отрасль ‎может ‎сохранять ‎невозмутимое‏ ‎выражение ‎лица.‏ ‎Итак,‏ ‎давайте ‎все ‎нервно‏ ‎посмеёмся, ‎а‏ ‎затем, ‎возможно, ‎только ‎возможно,‏ ‎обновим‏ ‎эти ‎пароли‏ ‎и ‎политику‏ ‎безопасности.


Подробный ‎разбор

Читать: 5+ мин
logo Хроники кибер-безопасника

CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 ‎как‏ ‎ключ ‎под ‎ковриком, ‎не ‎прошедших‏ ‎проверку ‎подлинности,‏ ‎и‏ ‎желающих ‎создать ‎своего‏ ‎собственного ‎пользователя-администратора.‏ ‎Эта ‎уязвимость ‎может ‎быть‏ ‎использована‏ ‎удаленно ‎и‏ ‎является ‎классическим‏ ‎примером ‎CWE-425: ‎«Принудительный ‎доступ, ‎когда‏ ‎веб-приложение‏ ‎просто ‎слишком‏ ‎вежливое, ‎чтобы‏ ‎обеспечить ‎надлежащую ‎авторизацию». ‎Уязвимые ‎версии‏ ‎6.x‏ ‎начиная‏ ‎с ‎6.0.1‏ ‎и ‎версии‏ ‎7.x ‎до‏ ‎7.4.1,‏ ‎которая ‎была‏ ‎исправлена, ‎а ‎для ‎уязвимых ‎версией‏ ‎необходимо ‎удалить‏ ‎файл‏ ‎/InitialAccountSetup.xhtml ‎или ‎заменить‏ ‎на ‎пустой‏ ‎с ‎перезапуском ‎службы.


Теперь ‎давайте‏ ‎поговорим‏ ‎о ‎самом‏ ‎GoAnywhere ‎MFT.‏ ‎Это ‎защищённое ‎программное ‎решение, ‎которое,‏ ‎как‏ ‎предполагается, ‎упрощает‏ ‎обмен ‎данными‏ ‎и ‎повышает ‎безопасность, ‎что ‎довольно‏ ‎забавно,‏ ‎учитывая‏ ‎обстоятельства. ‎Оно‏ ‎может ‎быть‏ ‎развёрнуто ‎локально,‏ ‎в‏ ‎облаке ‎или‏ ‎в ‎гибридных ‎средах ‎и ‎поддерживает‏ ‎множество ‎операционных‏ ‎систем‏ ‎и ‎протоколов


CVE-2024-0204, ‎уязвимость‏ ‎в ‎GoAnywhere‏ ‎MFT ‎от ‎Fortra, ‎практически‏ ‎является‏ ‎VIP-пропуском ‎для‏ ‎злоумышленников, ‎не‏ ‎прошедших ‎проверку ‎подлинности. ‎Зачем ‎утруждать‏ ‎себя‏ ‎взломом, ‎когда‏ ‎вы ‎можете‏ ‎просто ‎создать ‎свою ‎собственную ‎учётную‏ ‎запись‏ ‎администратора,‏ ‎верно? ‎Система‏ ‎как ‎будто‏ ‎говорит: ‎«Пожалуйста,‏ ‎заходите,‏ ‎чувствуйте ‎себя‏ ‎как ‎дома, ‎и ‎пока ‎вы‏ ‎этим ‎занимаетесь,‏ ‎не‏ ‎стесняйтесь ‎все ‎контролировать».


А‏ ‎последствия ‎этой‏ ‎уязвимости ‎подобны ‎альбому ‎величайших‏ ‎хитов‏ ‎о ‎кошмарах‏ ‎кибербезопасности:

❇️Создание ‎неавторизованных‏ ‎пользователей-администраторов ‎(акция ‎«избавляемся ‎от ‎складских‏ ‎запасов‏ ‎аутентификационных ‎ключей»)

❇️Потенциальная‏ ‎утечка ‎данных‏ ‎(для ‎повышения ‎популярности ‎компании)

❇️Внедрение ‎вредоносных‏ ‎программ‏ ‎(вместо‏ ‎традиционных ‎схем‏ ‎распространения)

❇️Риск ‎вымогательства‏ ‎(минутка ‎шантажа)

❇️Сбои‏ ‎в‏ ‎работе ‎(разнообразие‏ ‎от ‎повелителя ‎хаоса)

❇️Комплаенс ‎и ‎юридические‏ ‎вопросы ‎(ничто‏ ‎так‏ ‎не ‎оживляет ‎зал‏ ‎заседаний, ‎как‏ ‎старый ‎добрый ‎скандал ‎с‏ ‎комплаенсом‏ ‎и ‎потенциальная‏ ‎юридическая ‎драма)


Планка‏ ‎«сложности ‎атаки» ‎установлена ‎так ‎низко,‏ ‎что‏ ‎даже ‎малыш‏ ‎может ‎споткнуться‏ ‎об ‎неё. ‎Мы ‎говорим ‎о‏ ‎той‏ ‎простоте,‏ ‎которая ‎заставляет‏ ‎задуматься, ‎не‏ ‎является ‎ли‏ ‎«безопасность»‏ ‎просто ‎модным‏ ‎словом, ‎которым ‎они ‎пользуются, ‎чтобы‏ ‎казаться ‎важными.


Сценарий‏ ‎атаки

Итак,‏ ‎вот ‎сценарии ‎блокбастерной‏ ‎атаки ‎для‏ ‎этой ‎феерии ‎обхода ‎аутентификации:

❇️Первоначальный‏ ‎доступ: наш‏ ‎неустрашимый ‎злоумышленник,‏ ‎вооружённый ‎цифровым‏ ‎эквивалентом ‎пластикового ‎брелка, ‎заходит ‎на‏ ‎портал‏ ‎администрирования ‎GoAnywhere‏ ‎MFT ‎без‏ ‎вашего ‎разрешения.

❇️Эксплуатация: далее ‎наш ‎злодей ‎использует‏ ‎проблему‏ ‎обхода‏ ‎пути, ‎которая‏ ‎в ‎основном‏ ‎похожа ‎на‏ ‎поиск‏ ‎секретного ‎прохода‏ ‎в ‎эпизоде ‎«Скуби-Ду», ‎ведущего ‎прямо‏ ‎к ‎конечной‏ ‎точке‏ ‎/InitialAccountSetup.xhtml. ‎К ‎сожалению,‏ ‎поблизости ‎нет‏ ‎назойливых ‎детей, ‎которые ‎могли‏ ‎бы‏ ‎их ‎остановить.

❇️Создание‏ ‎пользователя-администратора: как ‎только‏ ‎они ‎на ‎цыпочках ‎пройдут ‎по‏ ‎секретному‏ ‎проходу, ‎они‏ ‎могут ‎создать‏ ‎пользователя-администратора. ‎Заметьте, ‎это ‎не ‎просто‏ ‎любой‏ ‎пользователь;‏ ‎это ‎тот,‏ ‎у ‎которого‏ ‎есть ‎все‏ ‎навороты‏ ‎— ‎чтение,‏ ‎запись, ‎выполнение ‎команд. ‎Это ‎все‏ ‎равно ‎что‏ ‎дать‏ ‎грабителю ‎ключи ‎от‏ ‎сейфа, ‎коды‏ ‎сигнализации ‎и ‎чашку ‎хорошего‏ ‎чая.

❇️Потенциальная‏ ‎дальнейшая ‎эксплуатация: С‏ ‎ключами ‎от‏ ‎королевства ‎наш ‎злоумышленник ‎теперь ‎может‏ ‎делать‏ ‎все ‎самое‏ ‎интересное: ‎получать‏ ‎доступ ‎к ‎конфиденциальным ‎данным, ‎внедрять‏ ‎вредоносное‏ ‎ПО‏ ‎или ‎просто‏ ‎получать ‎полный‏ ‎контроль, ‎потому‏ ‎что,‏ ‎почему ‎бы‏ ‎и ‎нет? ‎Это ‎бесплатно ‎для‏ ‎всех!


Короче ‎говоря,‏ ‎CVE-2024-0204‏ ‎достойное ‎внимания ‎напоминание‏ ‎о ‎том,‏ ‎что, ‎возможно, ‎просто ‎возможно,‏ ‎следует‏ ‎отнестись ‎ко‏ ‎всей ‎этой‏ ‎истории ‎с ‎«безопасностью» ‎немного ‎серьёзнее.


Подробный‏ ‎разбор

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048