• использование генеративного ИИ (genAI) для запуска более сложных атак, генерации правдоподобных писем (LLM-фишинг даёт отклик 54% по сравнению с откликом 12% у фишинговых писем, написанных вручную);
  
• интерактивные атаки (с использованием клавиатуры) в режиме реального времени;
  
• снижение входного барьера (демократизация атак);
  
• резкое увеличение скорости операций.

Привет Хабр! На связи Аеза и сегодня мы хотим поговорить на одну очень злободневную тему – выявление подозрительных активностей в трафике. Мы не будем говорить о каких-то специализированных решениях, типа IDS/IPS, а вместо этого рассмотрим основные принципы выявления подозрительных действий что называется вручную.

Наша задача будет состоять в том, чтобы самостоятельно, используя только Wireshark проанализировать образцы трафика и выявить в нем подозрительную активность для последующей настройки средств защиты.

В текущих реалиях постоянно растущих киберугроз для ИТ-ландшафтов организаций очень важно иметь совокупною "картину" по событиям, происходящим внутри управляемой инфраструктуры.

И так как недавно я получил статус Kaspersky Certified Systems Engineer - пришло время рассмотреть на практике один из простых примеров расширения возможностей мониторинга безопасности управляемых серверов.

Всем привет! Angara Security снова на связи.

Сегодня в нашем эфире еще один новый автор — Георгий Семенов, эксперт по кибербезопасности Angara Security.

Хаотичные нападки киберпреступников в попытках попасть в уязвимое место инфраструктуры в последние годы сменились сложными и продуманными целевыми атаками — такой тренд кибербеза мы наблюдаем в Angara Security. Основные хакерские «хиты» этих лет — проникновение с использованием средств социальной инженерии и человеческого фактора, а также атаки через доверенные стороны. Злоумышленники стали дорожить временем: стремятся максимально сократить период от получения учетных данных пользователей до закрепления на периметре компании и последующей атаки. Проще всего им это удается через фишинг. По оценке Angara Security, доля MITRE ATT&CK Т1566 в общем объеме атак сейчас составляет 30%, причем за 2024 год число фишинговых атак резко выросло на 41% по сравнению с 2023 годом. Самым эффективным средством защиты против фишинга в кибербезопасности все еще считаются песочницы SandBox или мультисканеры. Проводим несколько тестов для Anti-APT Sandbox и разбираемся, насколько мощно они держат оборону информационной безопасности.

АРТ-атаки против Anti-APT Sandbox

АРТ-атака тестирует устойчивость к враждебным воздействиям, ищет слабое звено системы. Обычно это многоуровневая и длительная целевая кибератака с маскировкой и проникновением в сеть компании, с продолжительным нахождением «под прикрытием». Хакеры имитируют стандартные системные процессы, обманывают систему, отслеживают перемещение данных и действия ключевых пользователей — все, лишь бы обнаружить уязвимость для сбора конфиденциальной информации и чувствительных данных.

Против АРТ-атак используется Anti-APT Sandbox — программное обеспечение для выявления и анализа сложных и продвинутых угроз (какой, безусловно, является АРТ). Anti-APT Sandbox изолирует подозрительные файлы и анализирует их активность в виртуальной среде. Это безопасное пространство, где можно исследовать поведение программ без риска для реальных систем (к слову, здесь же можно выявить попытки эксплуатации уязвимостей «нулевого дня»).

Привет! На связи отдел исследования киберугроз. В марте 2025 года нас заинтересовала одна атака, в которой использовалась уязвимость нулевого дня для браузера Chrome. Мы атрибутировали инцидент к группировке TaxOff, о которой писали ранее. В процессе изучения мы обнаружили более ранние атаки, все проанализировали и пришли к выводу — TaxOff и другая найденная нами группировка Team46 являются одной и той же группой киберпреступников.

Почему мы так решили, читайте под катом.

Мы регулярно анализируем статистику продаж в разных продуктовых сегментах и делимся своими результатами. Но, помимо «традиционных» для сети «М.Видео‑Эльдорадо» сегментов вроде компьютеров или телевизоров, мы подводим итоги и в других. Сегодня расскажем, как продавались в России антивирусы. Рынок информационной безопасности (ИБ), конечно, гораздо шире, нежели сегмент антивирусов. Но антивирусы — индикатор, по которому можно судить о состоянии рынка в целом.

История шифровальщиков — как мрачный ситком, который до сих пор так и не стал кино. Первый инцидент с ransomware относится еще к 1989 году: зараженные дискеты с вирусом AIDS Trojan рассылались безумным ученым-зоологом по почте, а после 90-й перезагрузки компьютера программа блокировала доступ к данным и требовала $189 выкупа отправкой наличных денег в Панаму. В ответ жертва получала физическую дискету с дешифратором!

Как из такого «гаражного» начала ransomware превратился в многомиллиардную индустрию и что там еще было интересного, читайте в нашем материале.

Что??? Уже? Вот черт.

Коротко 

Группа ученых из Шанхая показала [arXiv:2503.17378v2], что ИИ агенты на базе большинства современных открытых LLM моделей способны самостоятельно реплицировать и запустить полную копию себя на другом девайсе. Это супер важно и беспокоящее, такая способность являлась одной из “красных” линий ведущих к серьезным рискам ИИ. Cаморепликация колоссально усложняет возможности удерживания мисалаймент ИИ (действующие не согласно замыслу запустившего) или ИИ запущенных злоумышленниками.

​Описание инцидента: Злоумышленник использует украденные учетные данные (например, от сотрудника или подрядчика) для входа в сервер, сайт или облако компании.

План реагирования:

1. Обнаружение: Заметить подозрительную активность в логах (например, вход ночью).  
2. Блокировка: Отключить учетную запись и сменить все пароли.  
3. Оповещение: Сообщить руководству и проверить, какие данные могли быть украдены.  
4. Проверка: Просмотреть действия злоумышленника в системе.  
5. Усиление: Ограничить доступ по IP и обновить политики паролей.  
6. Расследование: Установить, как данные были украдены (фишинг, утечка).

«Рынок зарплат специалистов в сфере кибербезопасности перегрет. Зарплаты специалистов могут доходить до 230к рублей!» ©

Именно такая статья вышла в честь первого апреля в Коммерсантъ. (Чтоб не гнать лишний траффик этим шутникам можете ознакомиться с текстом, например, тут) Но, я решил представить, что эта статья была не шуточной, и поделиться своим (очень важным) мнением на её счёт...

Итак, небольшой исторический экскурс. Давайте вернём 2017 год! У России (как и у большинства постсоветских, да и у всех развивающихся стран) в тот момент уже было «Три пути — вебкам, закладки и АйТи» ©. Люди приходящие в АйТи и диджитал профессии из регионов получали весьма неплохие для этих самых регионов деньги по простой причине — грамотные специалисты достаточно легко могли найти удалёнку на Мск\СПб, а то и, вовсе, на зарубежном рынке. Как итог — работодателям в регионах приходилось поднимать зарплаты, чтобы удержать, если не лучших, то, хотя бы, средних специалистов.

Безопасников тогда это раздолье обходило стороной — безопасник на удалёнке — это что‑то немыслимое для большинства компаний в те годы. А, значит, ни Мск, ни СПб не «пылесосили» регионы (ну, разве что, с целью релокации, на которую готово было не так много людей, так как в таком случае росла не только ЗП, но и стоимость жизни). Поэтому, в зарплатах средних разработчиков и средних безопасников из регионов тогда наблюдалась очень хорошая разница...

Кратко, нужно использовать IP префиксы которые доступны внутри страны и недоступные из других стран, хотя это противоречит основному принципу интернета, что все ip-адреса должны быть доступны для всех.

Давайте рассмотрим интернет адреса с самого начала, есть публичные адреса и есть приватные адреса.
Например, адрес 1.1.1.1 это публичный, а адрес 10.1.1.1 приватный, он не маршрутизируется в Интернет. Многие компании используют такой адрес внутри своей сети.
Но есть также ещё одна категория адресов которые относятся к публичным, но никогда не используются обычными пользователями в интернете, такие адреса принадлежат какой-то корпорации или организации.

Эти адреса можно без опаски повторно использовать внутри страны и никогда не произойдёт пересечение с пользовательскими сервисами, потому что пользовательских сервисов на этих адресах нет. Ни один пользователь, скажем так, не пострадает. Если из-за рубежа кто-то направит DDoS атаку на такие адреса, то все атаки уйдут за рубеж, к основному владельцу адресов, при условии, если не объявлять такие адреса за рубеж по протоколу BGP.

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения вредоносного ПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается вредонос AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.

Подробное изучение инцидентов и жертв показало, что наиболее атакуемыми странами являются Египет, Ливия, ОАЭ, Россия, Саудовская Аравия и Турция. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых. О том, какую цепочку атаки подготовили злоумышленники, рассказываем в статье.

Меня часто спрашивают, как лучше всего строить свою карьеру в кибербезопасности - где изучать теорию, где отрабатывать знания на практике и т.д. Если без шуток, то вопросы, действительно, периодически поступают, и они, часто одни и те же. Поэтому, я решил собрать всю доступную мне инфу в единую базу знаний. Периодически её пополняю. И вот сегодня решил рассказать о ней на хабре. Собственно, начать решил с, наверное, одного из ключевых пунктов - с практических задач для отработки полученных знаний.

Сайтов с такими задачами существует много. Скорее всего, тут собрана даже не половина. Но я постарался охватить самые полезные/популярные из них.

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.

Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.

Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook.

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange».

В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

Привет всем! Ловите первое в новом году расследование от команды киберразведки экспертного центра безопасности Positive Technologies.

В октябре 2024 года наш департамент выявил и отследил ранее не известную группировку. Мы назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon. Злоумышленники атакуют финансовые подразделения российских организаций как минимум с мая 2023 года. Что «змеиного» у этой группы киберпреступников, как им удавалось оставаться незамеченными и на чем все-таки попалась группировка – рассказываем в статье.

История развития компьютеров: эволюция и уязвимости

Ранние дни вычислительной техники

Рано или поздно каждому администратору безопасности Kaspersky Security Center придётся столкнуться с радостями и трудностями переезда сервера администрирования, в связи с абсолютно различными причинами, начиная от миграции локальных мощностей в ЦОД, и заканчивая невозможностью обновления старого ПО.
И многие, подозреваю, хотели бы знать различные подводные камни, возникавшие в аналогичных ситуациях, детали о тонкостях планирования инфраструктуры серверов администрирования и узнать каким бэйзлайнам (стандартам) развёртывания следовать.

Десятилетиями бэкапы защищали нас в первую очередь от физического выхода из строя оборудования и случайной порчи данных. Хорошая система резервного копирования (СРК) должна была пережить пожар, потоп, а потом оперативно дать возможность бизнесу продолжить нормальную работу. Но появилась другая беда, которая намного вероятнее потопа и от которой не спасают несгораемые перекрытия и физическое разнесение площадок в разные города.

Вирусы-шифровальщики (Ransomware) — это кошмар практически для каждой первой компании. Все чаще злоумышленники шифруют данные, приводя бизнес крупных организаций к простоям, значительным финансовым убыткам и репутационным потерям. И как часто оказывается, только лишь наличие резервной копии не защищает бизнес от подобных угроз, если само по себе резервное копирование спроектировано неверно или без учета современных опасностей.

Цель этого поста — рассказать о существующих методах и технологиях в части систем хранения данных и систем резервного копирования, которые способны сократить урон от вирусов-шифровальщиков и минимизировать потери данных при атаках. Запомните: мало сделать просто бэкап — нужно сделать правильный бэкап. Ну что, велком под кат!