Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, часть из которых связана с рассматриваемыми группировками.

В информационной безопасности технологии искусственного интеллекта пока проходят первые шаги внедрения и эксплуатации. Мы можем уверенно говорить о преимуществах внедрения ИИ в инструменты защиты: снижение нагрузки на специалистов, ускорение реагирования на инцидент за счет автоматизации рутинных процессов, поведенческий анализ пользователей и систем, обнаружение неизвестных ранее угроз. Сегодня ИИ выполняет роль второго пилота рядом со специалистом по кибербезопасности, дополняет и расширяет возможности классических решений для защиты. Когда технология сможет зарекомендовать себя как надежный и точный инструмент и будут решены существенные проблемы с данными, вычислительными мощностями, обучением и разработкой ИИ, мы увидим постепенный переход к полному ИИ-автопилоту для обеспечения киберзащиты.

Про основные области применения ИИ в инфобезе читайте в этой статье.

В первой статье из серии про Python Day на Positive Hack Days мы говорили о том, какие доклады ожидаются на конференции. В этой статье мы расскажем о нововведениях этого года: битвах технологий и круглом столе. Битвы технологий — это короткие динамичные дискуссии, посвященные разным аспектам языка Python, которые будут проходить в течение дня на конференции. Далее несколько слов о том, чему будут посвящены битвы, и о том, кто примет в них участие ⚔️

Привет! На связи отдел исследования киберугроз. В марте 2025 года нас заинтересовала одна атака, в которой использовалась уязвимость нулевого дня для браузера Chrome. Мы атрибутировали инцидент к группировке TaxOff, о которой писали ранее. В процессе изучения мы обнаружили более ранние атаки, все проанализировали и пришли к выводу — TaxOff и другая найденная нами группировка Team46 являются одной и той же группой киберпреступников.

Почему мы так решили, читайте под катом.

24 мая в рамках Positive Hack Days по традиции состоится Python Day, который мы проведем совместно с сообществом MoscowPython. В программе конференции шесть докладов, три битвы технологий и круглый стол, посвященный Innersource. Их анонсами мы и хотели бы поделиться в нашем блоге. В этом посте мы расскажем о шести докладах — продолжение последует позднее. К каждому анонсу прилагается комментарий участника программного комитета. Итак, начнем. 

Хабр, привет! На связи Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 11 трендовых уязвимостей.

Латинская Америка и Карибский бассейн переживают настоящую цифровую революцию, но вместе с новыми возможностями приходят и серьёзные киберугрозы.

Ситуация с уровнем цифровизации в странах Латинской Америки и на Карибах сложилась по-разному — в то время как в одних государствах активно внедряют технологии (у людей есть нормальный интернет, работают государственные сервисы онлайн, принимаются законы, поддерживающие цифровое развитие), другие заметно отстают. И те и другие, по-разному, но создают идеальные условия для киберпреступников.

В новом исследовании мы проанализировали состояние киберзащищенности 23 стран Латинской Америки и Карибского бассейна в 2023-2024 гг. В процессе исследования были изучены 350 телеграм-каналов и форумов в дарквебе, общее количество проанализированных сообщений составило 192 млн (и было написано 43 млн пользователями). В данной статье отметим актуальные киберугрозы и основные тенденции развития рынка кибербезопасности в регионе.

Только представьте: в регионе интенсивно развиваются технологии, активно внедряются инновации, экономика на высоких скоростях летит вверх. И, кажется, счастье уже так близко. Но в этот момент всегда приходят они... Киберпреступники тормозят получение Юго-Восточной Азией статуса цифрового лидера, часто оборачивая технологические достижения стран против них же самих.

Несмотря на высокий глобальный индекс кибербезопасности большинства стран АСЕАН на 2024 год, число успешных кибератак в регионе по сравнению с 2023-м выросло в два раза. И, по нашим прогнозам, продолжит расти. В статье собрали основные хакерские тренды, характерные для региона.

На протяжении последних двух с половиной лет мы регулярно отмечаем, что более половины успешных атак на организации заканчиваются утечками данных. Во втором полугодии 2024 года этот показатель составил 52%.

В этой статье мы проанализировали данные из авторитетных открытых источников и около 3500 объявлений на теневых ресурсах, чтобы выявить ключевые тенденции, связанные с проблемой утечек данных, рассмотрели отраслевые и региональные особенности, а также трудности, с которыми сталкиваются организации при защите данных.

Привет, Хабр!

Меня зовут Андрей Тюленев, я старший специалист отдела обнаружения атак в сети в Positive Technologies. Моя работа — отслеживать атаки, затем разбирать их по косточкам, чтобы не дать злоумышленникам реализовать недопустимое событие, и создавать детекты — чтобы продукты Positive Technologies могли их обнаруживать. Сегодня я расскажу, как выглядит работа специалиста по обнаружению атак, какие инструменты мы используем, как попасть в эту профессию и какие скилы реально важны. Разберем, чем мы занимаемся на практике: от написания правил детектирования и анализа трафика до участия в расследованиях, где на кону — безопасность крупных компаний.

Привет, Хабр! На связи вновь команда киберразведки Positive Technologies.

В ноябре мы рассказывали про хакерскую группировку PhaseShifters, атаковавшую российские компании и государственные органы, и обещали продолжить активно изучать инфраструктуру злоумышленников и используемые ими сервисы. И, о удача, через некоторое время после начала поисков нам удалось обнаружить открытую директорию с экземпляром криптора, распространяемого по подписке, — Crypters And Tools. Тщательное изучение позволило расширить кластер активности, связанной с этим CaaS, найти новые узлы инфраструктуры и понять принцип работы криптора. Расширение кластера показало, что инструмент пользуется спросом у нескольких других группировок, в том числе наших знакомцев PhaseShifters, а ещё у TA558 и Blind Eagle.

В этой статье расскажем о внутреннем устройстве криптора и его инфраструктуре.

Привет, меня зовут Владислав Феофилактов, я разработчик команды интеграции продукта PT Application Inspector. В этой статье вместе с коллегой Даниилом Бакиным мы расскажем о безопасной разработке приложений, подходе shift left и о том, как сделать жизнь разработчиков и AppSec-специалистов проще, а продукты — более защищенными.

Мы разберем основные проблемы безопасной разработки и расскажем, как плагины для IDE помогают решать эти проблемы. Если вы хотите узнать, как упростить работу с уязвимостями и ускорить процесс разработки, смело заглядывайте под кат!

Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин – повсеместная цифровизация. Компании автоматизируют процессы и внедряют новые продукты и сервисы, что ведет к увеличению числа цифровых активов, которые могут стать уязвимым местом в инфраструктуре.

В этой статье поговорим про зрелость информационной безопасности в российских компаниях, покажем, хорошо ли они справляются с кибератаками, есть ли у них планы по развитию ИБ на ближайшие пять лет и готовы ли они переходить от ручного тестирования на проникновение (пентеста) к автоматизации этого процесса.

Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать безопасность и применять best practices по обеспечению ИБ уже во время написания кода.

Но есть и хорошие новости. Разработчику доступно большое число инструментов, которые упрощают труд: от линтеров до анализаторов и систем автоматизированного тестирования — все они встраиваются в среду разработки и помогают решать сложные задачи, не отвлекаясь от творческой части работы. В этой статье я, Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, как раз расскажу о крайне полезных инструментах, которые автоматизируют рутину и повышают качество кода, позволяя программисту сосредоточиться на разработке новой фичи или поиске оптимального решения.

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center, и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

 Начнем с четырех трендовых уязвимостей, а в конце вас ждёт VM-ная загадка :)

Привет, Хабр! На связи Николай Анисеня из отдела перспективных технологий Positive Technologies. Так вышло, что в компании я уже много лет занимаюсь безопасностью мобильных приложений, исследую тренды этого направления и, как и все, наверно, специалисты в этой области, ломаю голову: как сделать мобильное приложение более защищенным. Этой публикацией я открываю цикл статей на тему безопасности мобильных приложений и устройств, корень которой (начнем со спойлера!) — в анализе кода. В этой статье расскажу об угрозах мобильных приложений, сценариях атак на них и о главном парадоксе в их разработке. Интересно? Тогда погнали!

Прошлый год продемонстрировал впечатляющее разнообразие атак на блокчейн-проекты. Хакеры находили способы извлечь выгоду как из уязвимостей смарт-контрактов, так и из ошибок пользователей. Ландшафт угроз оказался чрезвычайно разнообразным. Векторы атак варьировались от относительно простых методов, таких как фишинг и использование вредоносного программного обеспечения для компрометации устройств владельцев кошельков, до более сложных атак, требующих глубокого понимания работы блокчейн-протоколов, например эксплуатации ошибок reentrancy, и знания особенностей некоторых версий контрактов.

Меня зовут Елизавета, в настоящее время занимаюсь в Positive Technologies безопасностью блокчейна. В рамках этого обзора хочу познакомить вас с ключевыми трендами из мира безопасности web3 за 2024 год, расскажу про наиболее популярные методы и векторы атак, а также масштабы ущерба для индустрии.

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения вредоносного ПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается вредонос AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.

Подробное изучение инцидентов и жертв показало, что наиболее атакуемыми странами являются Египет, Ливия, ОАЭ, Россия, Саудовская Аравия и Турция. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых. О том, какую цепочку атаки подготовили злоумышленники, рассказываем в статье.

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.

Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.

Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook.

Однажды к нам обратился клиент с проблемой: имеется 2 HDD с производительностью записи 250 MБ/с. Из них делается хранилище RAID 0. Начинаем записывать трафик, скорость — 350 MБ/с. Он успешно пишется, но через некоторое время утилизация дисков подходит к 100% и начинаются потери при записи. Вывод клиента: проблема в PT NAD, так как диски должны все успевать. Думаю, многие уже догадываются, в чем соль. У нас тоже имелись догадки, но тем не менее мы решили их проверить. Из этой проблемы и родилось небольшое исследование по записи трафика в хранилище. Под катом — наше расследование «заговора» разработчиков HDD.