Когда компания привлекает внешних подрядчиков — разработчиков, интеграторов, маркетологов, хостинг-провайдеров, — она в 90% случаях делится с ними доступами и внутренними данными. И если у подрядчика произойдет утечка, по цепочке пострадает и заказчик.

Проблема в том, что полноценно провести аудит или пентест подрядчика обычно невозможно без его согласия. Но есть способы оценить уровень его цифровой гигиены по открытым источникам и снизить риски, не вмешиваясь в его инфраструктуру. Ниже — набор практик, которые реально работают.

Современная кибербезопасность требует не только оперативного реагирования на возникающие угрозы, но и построения проактивной модели, способной выявлять потенциальные инциденты до их реализации. Особенно это актуально для фишинга — одной из самых быстро развивающихся угроз цифрового мира.

Рассмотрим конкретные инструменты, позволяющие определять фишинг нового поколения, и расскажем, насколько он изменился за последние годы, как работает Phishing-as-a-Service и что делать, чтобы защититься от мошенников.

В 2024 году мошенники украли более $3 млрд в криптовалютах. По данным аналитиков, по сравнению с 2023-м сумма похищенных цифровых активов выросла на 15%. Один из популярных способов обмана — это создание ложных возможностей для заработка на разнице курсов криптовалют (арбитраж) на известных биржах.

Рассмотрим подробно одну из таких схем, которая распространяется через сайты hh.ru, avito.ru и Telegram, и объясним, как не стать жертвой подобных махинаций.

Собрать после работы друзей в Discord* и откатать пару каточек в Dota2 или CS2 — идеально.

Если вы являетесь счастливым владельцем скина на АК-47 «Поверхностная закалка» с паттерном 661 (стоимостью от $1 млн), керамбита Doppler Ruby (стоимость от $8 тыс.) или другого крутого цифрового актива, то, скорее всего, не хотите, чтобы их украли. Кража скинов в CS — это, конечно, очень редкий случай, но что если кто-нибудь получит доступ к вашему Discord*, Telegram или вообще всем паролям в браузере?

Конечно, пополнять своими данными списки и без того масштабных утечек не хочется, но при чем здесь онлайн-игры? Дело в том, что существует вредоносное программное обеспечение, которое нацелено именно на игровое комьюнити. ВПО распространяется через Discord*, фейковые обновления в Steam или через фейковые сайты с ранним доступом к популярным играм.

Под катом препарируем Epsilon Stealer: разбираем, как он работает, как распространяется, чем опасен, а главное — как найти и выявить его работу.

Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp.

В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.

Держаться на кофе и обезболах, глобально пересматривать тактику в процессе и отстаивать свою позицию до конца. Ребята из Jet CSIRT рассказывают, как их команде SuperJet удалось занять первое место на международном онлайн-тренинге для повышения глобальной киберустойчивости Cyber Polygon 2024.

Опыт ребят пригодится участникам главного онлайн-кэмпа по практической кибербезопасности CyberCamp 2024, который пройдет с 3 по 5 октября. Представители команды SuperJet принимали участие в разработке сценариев заданий CyberCamp 2024, так что ловите лайфхаки из первых рук.

У Jet CSIRT есть свой лендинг — мини-сайт, на котором мы рассказываем о наших продуктах и услугах. В нашем коммерческом сервисе SOC он никак не задействован, а поэтому лежит в отдельной инфраструктуре и администрируется подрядчиком через локальные учетные записи. 28 июня специалисты нашей внутренней службы информационной безопасности обнаружили инцидент — подмену главной страницы сайта на другую. В этом посте рассказываем о том, что мы делали, и о предварительных результатах расследования.

0x0 Введение в предмет исследования

Работа аналитика киберразведки часто подбрасывает интересные задачи из совершенно разных областей жизни. Иногда мы в Jet CSIRT анализируем очередное ВПО, которое еще никто не разбирал «по косточкам», или того, что уже было написано, оказывается мало, и приходится выкручиваться как можем  находить решения и проводить настоящую исследовательскую работу. Так произошло и в нашем случае, когда коллеги из «Лаборатории Касперского» сообщили о возобновившем активность вредоносе DarkGate практически в тот же момент, когда мы проводили анализ семпла. Выяснилось, что существовавшие с 2017 года «Темные Врата» не просто оживили в 2023-м, но и оснастили дополнительным мощным инструментарием.

Изначально ничем не примечательный инцидент привел к исследованию, результатами которого мы решили поделиться с комьюнити.

Сегодня в ТОП-3 — октябрьские обновления безопасности от Microsoft, атака, раскрывающая имена частных пакетов npm, и наличие критической уязвимости в FortiOS и FortiProxy.

Новости собирал Максим Захаров, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет». 

Подробнее читайте под катом.

Сегодня в ТОП-3 — меры защиты от эксплуатации уязвимости ProxyNotShell, кража данных у подрядчика министерства обороны США и новая техника для обхода средств защиты на конечных узлах.

Новости собирал Павел Козяев, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — новые способы применения ВПО Prilex, исследование кибератак на основе вредоносных DLL и взлом серверов Microsoft SQL с помощью ВПО FARGO.

Новости собирал Ильяс Садыков, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — взлом поддержки 2K Games, защита от атаки MFA Fatigue и раскрытие персональных данных из-за использования проверки правописания в Chrome и Microsoft Edge.  

Новости собирал Артур Сафаров, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — сентябрьские обновления безопасности от Microsoft, атаки на WordPress-сайты с помощью уязвимостей в WPGateway и кейлоггеры в фишинговых страницах.

Новости собирала Алла Крджоян, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — использование Shikitega многоступенчатой цепочки заражения, исправление 0-day уязвимости в плагине для WordPress, хак-группа Worok нацелилась на азиатские правительства и компании.

Новости собирал Константин Крайнов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — обновление безопасности GitLab, уязвимость в приложении TikTok и пять расширений Google Chrome, крадущих данные пользователей.

Новости собирал Евгений Тюрин, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — вредонос HYPERSCRAPE ворует данные почты Microsoft и Google, фишинговая атака на PyPI и способность клипа Джанет Джексон ломать ноутбуки.

Новости собирал Константин Маслов, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — уязвимость в чипах Realtek, последствия атаки на компанию Twilio и компрометация Active Directory с использованием Bumblebee.

Новости собирал Артем Крикунов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-3 — обновления безопасности от Microsoft, фишинговая атака на компанию Twilio и итоги исследования атак на промышленные предприятия и государственные учреждения.

Новости собирала Алла Крджоян, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

 ТОП-3 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-3 — вымогательское ПО, обнаруженное в каталоге PyPI, отчет VirusTota о маскирующихся вредоносах и утечка API ключей Twitter, с помощью которых можно создать армию ботов.

Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-3 — Luca Stealer, который может похищать данные из браузеров, отчет «Лаборатории Касперского» о работе руткита CosmicStrand, уязвимости в FileWave (MDM). Новости собирала Алла Крджоян, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

 Подробнее читайте под катом.