История шифровальщиков — как мрачный ситком, который до сих пор так и не стал кино. Первый инцидент с ransomware относится еще к 1989 году: зараженные дискеты с вирусом AIDS Trojan рассылались безумным ученым-зоологом по почте, а после 90-й перезагрузки компьютера программа блокировала доступ к данным и требовала $189 выкупа отправкой наличных денег в Панаму. В ответ жертва получала физическую дискету с дешифратором!

Как из такого «гаражного» начала ransomware превратился в многомиллиардную индустрию и что там еще было интересного, читайте в нашем материале.

Что??? Уже? Вот черт.

Коротко 

Группа ученых из Шанхая показала [arXiv:2503.17378v2], что ИИ агенты на базе большинства современных открытых LLM моделей способны самостоятельно реплицировать и запустить полную копию себя на другом девайсе. Это супер важно и беспокоящее, такая способность являлась одной из “красных” линий ведущих к серьезным рискам ИИ. Cаморепликация колоссально усложняет возможности удерживания мисалаймент ИИ (действующие не согласно замыслу запустившего) или ИИ запущенных злоумышленниками.

​Описание инцидента: Злоумышленник использует украденные учетные данные (например, от сотрудника или подрядчика) для входа в сервер, сайт или облако компании.

План реагирования:

1. Обнаружение: Заметить подозрительную активность в логах (например, вход ночью).  
2. Блокировка: Отключить учетную запись и сменить все пароли.  
3. Оповещение: Сообщить руководству и проверить, какие данные могли быть украдены.  
4. Проверка: Просмотреть действия злоумышленника в системе.  
5. Усиление: Ограничить доступ по IP и обновить политики паролей.  
6. Расследование: Установить, как данные были украдены (фишинг, утечка).

«Рынок зарплат специалистов в сфере кибербезопасности перегрет. Зарплаты специалистов могут доходить до 230к рублей!» ©

Именно такая статья вышла в честь первого апреля в Коммерсантъ. (Чтоб не гнать лишний траффик этим шутникам можете ознакомиться с текстом, например, тут) Но, я решил представить, что эта статья была не шуточной, и поделиться своим (очень важным) мнением на её счёт...

Итак, небольшой исторический экскурс. Давайте вернём 2017 год! У России (как и у большинства постсоветских, да и у всех развивающихся стран) в тот момент уже было «Три пути — вебкам, закладки и АйТи» ©. Люди приходящие в АйТи и диджитал профессии из регионов получали весьма неплохие для этих самых регионов деньги по простой причине — грамотные специалисты достаточно легко могли найти удалёнку на Мск\СПб, а то и, вовсе, на зарубежном рынке. Как итог — работодателям в регионах приходилось поднимать зарплаты, чтобы удержать, если не лучших, то, хотя бы, средних специалистов.

Безопасников тогда это раздолье обходило стороной — безопасник на удалёнке — это что‑то немыслимое для большинства компаний в те годы. А, значит, ни Мск, ни СПб не «пылесосили» регионы (ну, разве что, с целью релокации, на которую готово было не так много людей, так как в таком случае росла не только ЗП, но и стоимость жизни). Поэтому, в зарплатах средних разработчиков и средних безопасников из регионов тогда наблюдалась очень хорошая разница...

Кратко, нужно использовать IP префиксы которые доступны внутри страны и недоступные из других стран, хотя это противоречит основному принципу интернета, что все ip-адреса должны быть доступны для всех.

Давайте рассмотрим интернет адреса с самого начала, есть публичные адреса и есть приватные адреса.
Например, адрес 1.1.1.1 это публичный, а адрес 10.1.1.1 приватный, он не маршрутизируется в Интернет. Многие компании используют такой адрес внутри своей сети.
Но есть также ещё одна категория адресов которые относятся к публичным, но никогда не используются обычными пользователями в интернете, такие адреса принадлежат какой-то корпорации или организации.

Эти адреса можно без опаски повторно использовать внутри страны и никогда не произойдёт пересечение с пользовательскими сервисами, потому что пользовательских сервисов на этих адресах нет. Ни один пользователь, скажем так, не пострадает. Если из-за рубежа кто-то направит DDoS атаку на такие адреса, то все атаки уйдут за рубеж, к основному владельцу адресов, при условии, если не объявлять такие адреса за рубеж по протоколу BGP.

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения вредоносного ПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается вредонос AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.

Подробное изучение инцидентов и жертв показало, что наиболее атакуемыми странами являются Египет, Ливия, ОАЭ, Россия, Саудовская Аравия и Турция. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых. О том, какую цепочку атаки подготовили злоумышленники, рассказываем в статье.

Меня часто спрашивают, как лучше всего строить свою карьеру в кибербезопасности - где изучать теорию, где отрабатывать знания на практике и т.д. Если без шуток, то вопросы, действительно, периодически поступают, и они, часто одни и те же. Поэтому, я решил собрать всю доступную мне инфу в единую базу знаний. Периодически её пополняю. И вот сегодня решил рассказать о ней на хабре. Собственно, начать решил с, наверное, одного из ключевых пунктов - с практических задач для отработки полученных знаний.

Сайтов с такими задачами существует много. Скорее всего, тут собрана даже не половина. Но я постарался охватить самые полезные/популярные из них.

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.

Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.

Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook.

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange».

В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

Привет всем! Ловите первое в новом году расследование от команды киберразведки экспертного центра безопасности Positive Technologies.

В октябре 2024 года наш департамент выявил и отследил ранее не известную группировку. Мы назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon. Злоумышленники атакуют финансовые подразделения российских организаций как минимум с мая 2023 года. Что «змеиного» у этой группы киберпреступников, как им удавалось оставаться незамеченными и на чем все-таки попалась группировка – рассказываем в статье.

История развития компьютеров: эволюция и уязвимости

Ранние дни вычислительной техники

Рано или поздно каждому администратору безопасности Kaspersky Security Center придётся столкнуться с радостями и трудностями переезда сервера администрирования, в связи с абсолютно различными причинами, начиная от миграции локальных мощностей в ЦОД, и заканчивая невозможностью обновления старого ПО.
И многие, подозреваю, хотели бы знать различные подводные камни, возникавшие в аналогичных ситуациях, детали о тонкостях планирования инфраструктуры серверов администрирования и узнать каким бэйзлайнам (стандартам) развёртывания следовать.

Десятилетиями бэкапы защищали нас в первую очередь от физического выхода из строя оборудования и случайной порчи данных. Хорошая система резервного копирования (СРК) должна была пережить пожар, потоп, а потом оперативно дать возможность бизнесу продолжить нормальную работу. Но появилась другая беда, которая намного вероятнее потопа и от которой не спасают несгораемые перекрытия и физическое разнесение площадок в разные города.

Вирусы-шифровальщики (Ransomware) — это кошмар практически для каждой первой компании. Все чаще злоумышленники шифруют данные, приводя бизнес крупных организаций к простоям, значительным финансовым убыткам и репутационным потерям. И как часто оказывается, только лишь наличие резервной копии не защищает бизнес от подобных угроз, если само по себе резервное копирование спроектировано неверно или без учета современных опасностей.

Цель этого поста — рассказать о существующих методах и технологиях в части систем хранения данных и систем резервного копирования, которые способны сократить урон от вирусов-шифровальщиков и минимизировать потери данных при атаках. Запомните: мало сделать просто бэкап — нужно сделать правильный бэкап. Ну что, велком под кат!

Атаки на виртуальную инфраструктуру VMware ESXi в последнее время стали заметно набирать обороты. Сценарий, когда злоумышленник получает доступ к гипервизору, а затем останавливает все виртуальные машины и шифрует их диски, выглядит пугающе реалистично, особенно если компания не подготовлена к таким угрозам. Речь не только о редких случаяx, когда проникают особо изощрённые APT-группы. Всё чаще встречаются относительно простые, но крайне эффективные шифровальщики, которые атакуют хост ESXi, оставляя администраторов и владельцев инфраструктуры с зашифрованными файлами и практически без каких-либо зацепок для быстрого восстановления.

Именно с такой ситуацией я столкнулся в своей деятельности - крупная коммерческая организация скомпрометирована сначала через фишинг и получение доступа во внутреннюю инфраструктуру с использованием VMware Horizon. Следом за этим, используя уязвимость программного обеспечения, VMware злоумышленником получен доступ к ESXI и загружены вредоносные сценарии.

Мое внимание привлек тот факт, что ни одно средство защиты информации не воспринимало эти файлы как вредоносные.

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки.

Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

В кастинге на роль межсетевого экрана для предприятия были испытаны IDECO и ICS (Internet Control Server) — Интернет Контроль Сервер, далее просто ИКС. Они оба включены в нужные реестры и России и Беларуси. И, опять‑таки, импортозамещение... Учитывая, что больше букв отведено ИКС, о нём и пойдёт речь в данной статье. Да и информации по нему на Хабре практически нет. IDECO хороший, просто хороший NGFW, а ICS — интересный, как минимум, количеством включенных в его состав модулей: тут не только обычный Firewall+IDS/IPS, но и сервера: почтовый, файловый, сообщений на Jabber, IP‑телефонии на Asterisk. Да, и главное отличие, ICS построен на FreeBSD, у которой в разы меньше уязвимостей по сравнению с Ubuntu.

Я никак не связан с компанией‑разработчиком ООО «А‑Реал Консалтинг» кроме того, что использую этот продукт, приобретённый нашей организацией за полную стоимость. Статья не согласовывалась и не вносились исправления от представителей разработчика. Это только личный опыт использования в работе конкретного программного продукта.

В 1993 году вышел Excel 5.0 — первый продукт Microsoft, поддерживающий макросы на языке Visual Basic for Applications. Это событие стало настоящей революцией для офисных клерков: сотрудники, не обладавшие специальными знаниями в программировании, вдруг получили мощный инструмент для автоматизации монотонных офисных задач, которые прежде отнимали уйму времени. 

Однако макросы пришлись по душе не только работникам офисов. Всего спустя два года появился Concept — первый вирус, который эксплуатировал возможности макросов для кибератак. С тех пор макросы Microsoft Office стали излюбленным способом проникновения в корпоративную сеть у хакеров. Даже сегодня многие успешные атаки на компании начинаются с отправки фишингового письма с документом, который заражен вредоносным макросом.

В этой статье мы разберем механизмы работы макросов и на конкретных примерах покажем, как злоумышленники обходят средства защиты, которые Microsoft совершенствует уже четверть века. Отдельно поговорим про методы социальной инженерии, превращающие макросы в настоящее кибероружие в руках злодеев.

Поймал вирус впервые за 8 лет отсутствия антивируса в системе.
И всего лишь человеческий фактор был ошибкой.