Пост Лукацкого

24 March 2025 18:42

Не только лишь все помнят сообщение Netflix в 2017-м году, на день Святого Валентина, что "любовь - это поделиться паролем с близкими" ❤️ И вот, спустя 7 лет, KnowBe4 решила вспомнить высказывание провайдера стриминга 🫰 и заявить, что это не любовь; в отличие от шифрования! 🔑

Пост Лукацкого

24 March 2025 10:19

Вот тут в Коммерсанте статья про рост запроса бизнеса на проведение аудитов на соответствие закону о персональных данных 🪪 Мол, рост у многих игроков этого рынка, что есть хорошо. Но... это же в корне неверно. Хорошо только тем, кто получает деньги за проведение аудитов. В реальности ситуация становится только хуже 🤠

Во-первых, если внимательно читать, то аудиты многие проводят для того, чтобы реализовать смягчающие факторы при утечке 🥺 То есть компании хотят не понять реальный уровень защиты, а снизить размеры штрафа. Это тоже нормальное желание, но только к безопасности персональных данных никакого отношения не имеет. Вспоминая закон Гудхарта, компании будут стремиться не защищать личную информацию, а пройти аудит ☑️ Начнется торговля аттестатами соответствия или как их там еще будут называть, и пошло-поехало... Мы такое проходили уже.

Во-вторых, чтобы оценивать реальную защищенность системы обработки персональных данных, предлагаемых мер (аттестация, которую пройти нельзя на современным предприятии, аудит по чеклисту и т.п.) нужно совсем другое - пентесты, багбаунти, red team'инг, кибериспытания... 👺 А про это никто не говорит. КоАП вообще ни слова не говорит о том, как надо подтверждать соответствие требованиям. А раз так, то все пойдут по пути наименьшего сопротивления. То есть защиты больше не станет, скорее наоборот. А вот чувство ложной защищенности вырастет... До поры, до времени ⏳

А потом, когда такую проверенную компанию взломают, бизнес спросит: "Ну вы же проходили оценку соответствия. И что теперь?" 🤔 А будет вот что. Сначала пострадавшая компания получит свой штраф; пусть и в уменьшенном размере (то есть несколько миллионов рублей, до 15-ти). Потом ее поломают 🤔 во второй раз; защиты же особо нет - только бумажная безопасность. И тогда будет оборотный штраф, так как смягчающие обстоятельства в этом случае уже не будут действовать. Селяви 🤔

#персональныеданные #оценказащищенности

Пост Лукацкого

23 March 2025 18:21

Еще один постер SANS про концепции и фреймворки Threat Intelligence. Не такой красочный, но в целом...

#threatintelligence

Пост Лукацкого

23 March 2025 11:20

Что-то я забыл про последние постеры SANS, которые достаточно неплохо в сжатой форме аккумулируют информацию по различным темам. Этот про расследование инцидентов на платформе Linux.

#управлениеинцидентами #forensics

Пост Лукацкого

22 March 2025 20:42

Ограниченное?… 🤔 Инцидент с Keenetic. Стоить обновить пароли и другую чувствительную информацию.

Мля, они 2 года ждали, чтобы сообщить об инциденте, потому что считали, что ничего серьезного 😨 Помнится, когда нашли уязвимость на сайте Cisco, которая могла (только могла) привести к несанкционированному доступу к личным кабинетам пользователей на сайте, были принудительно сброшены 2 миллиона паролей. А тут… «риск низкий» 😮

#инцидент

Пост Лукацкого

22 March 2025 12:43

С одной стороны в Канаде 🇨🇦мошенники пошли дальше наших "домофоноводов" и не просто разводят по телефону, а заставляют пользователей ставить на свои устройства приложения для удаленного доступа, якобы от имени банков. Об этом пишут регуляторы "будущего 51-го штата США" 🤒

А с другой, у нас ситуация не лучше, - когда клиентов подсанкционных банков приучили, что к ним может приехать сотрудник банка 🏦 и поставить мобильное банковское приложение, получив доступ к смартфону человека (или сделать тоже самое в отделении банка), этим стали пользоваться мошенники 💰, которые, под видом банковских работников, ставили клиентам вредоносные программы и крали деньги со счетов. Причины разные, а результат один.

Вообще последние три года сильно подпортили привычные правила ИБ для рядовых граждан, каковую ситуацию еще придется исправлять 🛠 Тут вам и запугивание граждан со стороны РКН темой запрета VPN, и отказ от использование зарубежных TLS-сертификатов на отечественных сайтов и отсутствие им адекватной альтернативы. Посмотрим еще, чем закончится история с на днях принятым в первом чтении законом о борьбе с кибермошенничеством.

#мошенничество

Пост Лукацкого

21 March 2025 18:38

Когда-то я увлекался филателией (нет, это не что-то запретное) и гонялся за марками разных стран. Так вот марки островного государства Кирибати 🇰🇮 были большой редкостью, как и многих других малых государств, про которые даже не всегда знаешь, где они находятся. Но я знал; как и столицы всех государств мира 💪 А потом это знание перестало быть актуальным и про Кирибати я забыл, пока вчера группировка Arcus не написала, что она взломала кирибатийское правительство и украла все данные за последние 5 лет.

Я не знаю, кому нужны данные государства с населением в 100 тысяч человек (у меня в районе живет больше). Я могу понять мотивацию хакеров, ломающих различные минфины по всему миру (а их было пару десятков атаковано за последние пару лет) с целью выявить выданные кредиты и гранты, а также заключенные межгосударственные контракты на поставку вооружений и т.п. Но Кирибати?.. 🤔 Однако воспоминания этот взлом всколыхнул... 📫

#инцидент #ransomware

Пост Лукацкого

21 March 2025 10:32

В статье «A Guide to Calculating the Cost of Data Breaches» рассматривается методика оценки финансовых последствий 💰 утечек данных с использованием метода Монте-Карло. Этот подход позволяет организациям более точно прогнозировать потенциальные убытки от инцидентов ИБ и принимать обоснованные решения по инвестициям в кибербезопасность 🤑 Хотя надо сразу сказать, что мне предложенный подход кажется немного натянутым. Но все лучше, чем ничего.

Основные компоненты оценки:
1️⃣ Вероятность утечки данных. Оценивается вероятность 🧮 того, что утечка данных произойдет в определенный период. Вместо расплывчатых терминов, таких как "высокая" или "низкая" вероятность, рекомендуется использовать процентные диапазоны. Например, вероятность утечки данных в течение года может составлять от 20% до 50%. Почти как динозавр 🦖
2️⃣ Финансовое воздействие. Определяется 🧮 сумма убытков, которые понесет организация в случае утечки данных. Это может включать прямые затраты (штрафы, уведомление клиентов, юридические расходы) и косвенные (потеря репутации, снижение доверия клиентов). Я про варианты расчета ущерба уже писал в прошлом году.

Метод Монте-Карло используется для моделирования 👨‍💻 различных сценариев и оценки потенциальных убытков. Путем многократного случайного моделирования можно получить распределение возможных финансовых потерь, что помогает в принятии решений по управлению рисками 🤔

Предположим, что вероятность утечки данных в течение пяти лет оценивается в диапазоне от 20% до 50% 🤔 Ожидаемые финансовые потери в случае утечки составляют от одного до пяти миллионов долларов. С помощью моделирования Монте-Карло можно определить, что средние ожидаемые убытки составят около $2,5 миллионов, с возможными отклонениями в зависимости от различных факторов 🤔

Предположения и ограничения: 🤔
➖ Результаты моделирования зависят от точности оценки вероятностей и финансовых потерь. Самая основная проблема, присущая любым схожим методам.
➖ Факторы, влияющие на вероятность и последствия утечек данных, могут меняться со временем, что требует регулярного обновления моделей 🤔

Результаты моделирования могут помочь оценить диапазон потенциальных финансовых потерь и обосновать инвестиции в безопасность. Или не помогут ☺️ Вероятность этого тоже можно оценить методом Монте-Карло 🤥

#утечка #ущерб

Пост Лукацкого

20 March 2025 18:43

Google хотел купить Wiz за 23 миллиарда, но последняя показала ИТ-гиганту 🖕 Гугл утерся и... предложил 32 миллиарда. При ожидаемом обороте Wiz в этом году на уровне 700 миллионов (в прошлом было 500) получается, что Google заплатит 46 (!) годовых оборотов 🤑 Это самый крупный мультипликатор на рынке слияний и поглощений чуть ли не за всю историю. До этого лидером была Okta купившая Auth0 с мультипликатором 43 (правда, в абсолютных цифрах там сумма была "всего" 6,5 ярдов.

Не мне судить и не мои деньги, но интересно, за счет чего Google хочет отбивать эти вложения? 🤔 У меня пока вырисовывается версия, что покупка вообще мало имеет отношения к ИБ как таковой. У Wiz много клиентов было в облаках Azure и AWS. Я думаю, что таким образом владельцы Google Cloud Platform хотят переманить в свой GCP клиентов своих конкурентов. Это может быть причиной столь крупной покупки. То есть ИБ - это всего лишь открывашка 🪟 Посмотрим, как Google будет интегрировать Wiz и не сбудутся ли описанные мной ранее опасения.

#рынок

Пост Лукацкого

20 March 2025 10:29

Никто не знает, когда придет Q-Day ⚛️ (день появления практически применимого квантового компьютера), но когда это случится, многие используемые нами сейчас стандарты шифрования, которые мы считаем надежными, немедленно станут бесполезными. А пока мы продолжаем наблюдать за классической криптографией 🗝

Йоханес Нугрохо, программист из Индонезии, опубликовал бесплатный инструмент для расшифровки данных, зашифрованных вымогательским ПО Akira 😀 Этот дешифратор использует мощность графических процессоров NVIDIA для ускорения процесса восстановления файлов (но не on-prem, а через аренду облачных вычислительных мощностей) ☁️

Причина, по которой это стало возможным, заключается не в слабости современных криптографических алгоритмов (в данном случае ChaCha8) как таковых, а в ошибках реализации шифрования со стороны злоумышленников. Akira использует собственную схему генерации ключей, основанную на частично предсказуемых или уязвимых параметрах, что позволяет, используя мощные GPU и специально разработанный алгоритм перебора, восстанавливать исходные ключи шифрования 🗝

Это отличный пример того, что современные стойкие криптографические алгоритмы действительно не взламываются "в лоб" 🔑 даже при использовании суперкомпьютеров или топовых GPU. Но если злоумышленники делают ошибки в реализации или нарушают принципы криптографической стойкости (например, используют плохой генератор случайных чисел или упрощают ключевые параметры), атака грубой силой становится применимой 💪 В случае Akira именно комбинация ошибочной реализации и доступности GPU-вычислений дала возможность исследователям провести эффективный перебор 🔑

Эта история в очередной раз подтверждает одну из истин криптографии: ломают не алгоритмы, а их слабые реализации. Хотя в академической криптографии перебор действительно бесполезен — слишком велико пространство ключей 🔑 и слишком хорошо продуман математический аппарат, — но там, где разработчики (в данном случае, киберпреступники) пренебрегают криптографической гигиеной, "железом" и мощным перебором вполне можно добиться успеха 🙂 GPU здесь не «взламывает шифр», он лишь помогает автоматизировать поиск ошибки, которую допустил человек. Nvidia GeForce RTX 306090 GPU позволяет выполнять 60 миллионов криптографических проверок; RTX 3090 позволяет проводить уже 1,5 миллиарда операций, а RTX 4090 - еще в два раза больше ↗️

В 2023-м году исследователи из Avast уже выявляли слабости в подсистеме шифрования Akira, но после публикации бесплатного декриптора, разработчики шифровальщика изменили код своего ПО 👨‍💻 В данном случае ожидается, что будет сделано тоже самое и новые жертвы уже не смогут воспользоваться найденным способом эксплуатации уязвимостей в Akira. Но известные к текущему моменту жертвы вполне могут занедорого восстановить свои файлы с помощью выложенного на Github декриптора 📱

#ransomware #криптография

Пост Лукацкого

19 March 2025 18:29

Давно у нас альянсов не было 🤝 Но в условиях текущей геополитики на Ближнем Востоке было предсказуемо… ✈️

ЗЫ. Почему у них все эмблемы круглые?

#хакеры

Пост Лукацкого

19 March 2025 05:40

Тут для одной внутренней задачи я делал исследование 🔬 современных SIEM/SOAR и иных основных инструментов для SOC. Проанализировал под несколько десятков разных решений, преимущество современных, неимеющих наследия в виде монолитной архитектуры, проприетарных баз данных и т.п. 🆕 Все современное, - detection-as-a-code, data lake, pay-as-you-go модель лицензирования, работа с разными ETL, самонастраивающиеся корреляционные правила, динамические графы атак, аудируемый ИИ для замены аналитиков L1-L3 и т.п. 100+ страниц получилось. Прям интересно, как скакнула индустрия SIEMостроения за последние 20+ лет 🐎

Вот, например. У многих современных решений ты просто пишешь промпт на естественном языке:

Дай мне список всех пользователей, который регались в AD за последние 8 часов.

Да-да, именно так. Ну что может быть проще 💡 Не надо изучать никакие PDQL (Positive Technologies), SPL (Splunk), EQL (Elastic), SQL (AWS Security Lake), KQL (MS Sentinel), YARA-L (Chronicle) и другие языки написания запросов ✍️ Или вот использовал ты долгое время SPL, поднаторел в нем, а потом раз, и Splunk ушел из страны, а ты вместо него внедряет MaxPatrol SIEM. А у тебя уже база запросов и правил написана на SPL. И ты тут, такой, бац и: ✍️

Сконвертируй этот Splunk SPL запрос, который обнаруживает боковое перемещение через WMI в правило PDQL для MaxPatrol SIEM.

Удобно же! Или вот еще пример:

Это правило KQL сначала было хорошим, но потом стало давать много ложных срабатываний (false positives). Поправь правило, добавь при необходимости контекст, чтобы уменьшить число ложных срабатываний.

А бывает так, что у тебя нет правил и ты даже не знаешь, как подступиться к их созданию 🤔 Тогда ты генеришь запрос к SIEM NG:

Какие могут быть возможные детекты для компрометации цепочки поставок в нашем конвейере CI/CD?

А тебе SIEM в ответ:

Опираясь на ваше окружение, я предлагаю три подхода:
1. Мониторинг необычных коммитов для вашего репозитория Github.
2. Обнаружение модификации скрипта сборки.
3. Идентификация подозрительных зависимостей, появившихся в процессе сборки.

Какой из вариантов вы бы хотели рассмотреть детальнее первым? 🔍

И так, слово за слово, у вас на руках готовые детекты для вашего SIEM. А если он (или она?) поддерживает Detection-as-a-Code и детекты можно писать 🧑‍💻 на привычных языках программирования, например, Python, то вы для написания правил обнаружения может вообще использовать какой-нибудь Cursor.ai (как на картинке) 👨‍💻

Так что очень прогрессивно это все развивается, я вам скажу. Прям зависть берет за меня 25 лет назад, когда я первый SIEM внедрял в одном не российском нацбанке и обо всех этих удобствах никто не думал 🤔

#siem #soc #тенденции

Пост Лукацкого

18 March 2025 10:27

В январе 2025 года американская компания SolarWinds объявила о своей продаже 🛍 за 4,4 миллиарда долларов, что вызвало серьезную обеспокоенность среди директоров по информационной безопасности 😨 Причина – высокая степень неопределенности, которая обычно сопровождает такие сделки. В статье подчеркивается, что крупные приобретения могут привести к изменениям в стратегии компании, задержкам в выпуске обновлений, сокращению инвестиций в кибербезопасность и, как следствие, появлению новых рисков 😱

Основные опасения CISO: 😱
🔤Будущее поддержки продуктов. Неясно, продолжит ли новый владелец развивать существующие решения или будет сосредоточен на монетизации уже имеющихся активов? 😨
🔤Риски безопасности. Переходный период может сопровождаться замедлением обновлений, снижением качества защиты и появлением новых уязвимостей 🔄
🔤Стратегия и видение. Пока нет уверенности, останется ли фокус на потребностях корпоративных клиентов или компания изменит направление работы 🤑
🔤Сокращение персонала. Смена владельца может привести к увольнениям, что особенно критично в области кибербезопасности, где опыт и погружение в контекст имеют ключевое значение 😱
🔤Интеграция с новыми системами. Возможны проблемы совместимости продуктов SolarWinds с другими решениями, что создаст дополнительные сложности для клиентов 🎮

Эксперты отмечают, что покупка SolarWinds происходит на фоне ее стремления восстановить доверие 🤝 после крупнейшего взлома в 2020 году, когда злоумышленники смогли компрометировать обновления программного обеспечения компании, заразив тысячи клиентов. С тех пор компания сделала серьезные шаги в области безопасности, но теперь, с переходом к новым владельцам, возникает вопрос: не вернется ли она к компромиссному подходу между безопасностью и коммерческими целями? 🤑

Вывод: для CISO и компаний, зависящих от продуктов SolarWinds, ближайшие месяцы будут периодом неопределенности. Им придется внимательно следить за развитием событий, искать альтернативы на случай ухудшения ситуации и заранее планировать сценарии возможных изменений в инфраструктуре.

#проблемыибкомпаний

Пост Лукацкого

17 March 2025 14:37

Федеральная торговая комиссия США (FTC) опубликовала отчет за 2024 год, согласно которому потери потребителей в США 🇺🇸 от мошенничества достигли 12,5 миллиардов долларов, увеличившись на 25% по сравнению с 2023 годом. Интересно, что количество заявлений о мошенничестве осталось на прежнем уровне, но процент людей, которые фактически потеряли деньги, резко вырос: с 27% в 2023 году до 38% в 2024 году ↗️

Основные категории мошенничества: 🤑
🔤 Инвестиционные схемы – лидер по финансовым потерям, потребители потеряли $5,7 млрд, что на 24% больше, чем в 2023 году.
🔤 Имитационные мошенничества (Imposter Scams) – потери составили $2,95 млрд. В том числе госслужащие-имитаторы похитили $789 млн, что на $171 млн больше, чем в прошлом году.
🔤 Мошенничества с вакансиями и бизнес-возможностями – резкий рост потерь до $750,6 млн (+$250 млн с 2023 года). Особенно заметен подъем в подкатегории “мошенничество с работой”, где потери выросли с $90 млн в 2020 году до $501 млн в 2024 году.

Наибольшие суммы похищены с использованием банковских переводов и криптовалют, которые превзошли все другие способы платежей вместе взятые. Выходили мошенники на жертв через три основных канала:
✉️ E-mail – самый популярный канал для обмана второй год подряд.
📞 Телефонные звонки – на втором месте.
📱 Текстовые сообщения – третий по популярности метод.

Краткие выводы из отчета:
⚠️ Мошенники становятся успешнее в выманивании денег – число заявлений не растет, но люди теряют больше средств.
⚠️ Инвестиционные схемы остаются самой прибыльной сферой мошенничества – почти половина всех потерь.
⚠️ Способы обмана меняются, но e-mail, звонки и SMS остаются основными каналами связи злоумышленников.
⚠️ Заявления о мошенничестве – важный инструмент борьбы. FTC использует их для расследований и предотвращения новых атак.

Из интересного - все данные по мошенничеству в США выложены в открытый доступ и с ними можно работать как через FTC Tableau 📈, так и через выгрузку всего датасета для самостоятельного изучения. У нас хоть и заявляли о том, что государство будет делиться с бизнесом обезличенными данными в качестве датасета для обучения ИИ 📊, но дальше слов дело не пошло. А жаль...

#мошенничество

Пост Лукацкого

17 March 2025 05:40

Прекрасное... При заходе на сайт ты видишь облегченный вариант проверки, что вы не робот. Вместо CAPTCHA вам предлагают (для Винды) сделать всего три действия:
1️⃣ Нажать кнопки 🪟 и R
2️⃣ Нажать CTRL + V
3️⃣ Нажать Enter.

Вуаля, вы заражены вредоносным кодом ⚠️ Первое действие запускает команду Run для исполнения любой, уже инсталлированной на компьютере программы 📞 Второе - копирует вредоносный код из виртуальной клавиатуры сайта. Третье - приводит к загрузке и запуску вредоносного кода через mshta.exe, предназначенного для запуска HTML-файлов 😷

Описанный сценарий не нов, о нем начали писать еще в прошлом году, но в этом году это становится мейнстримом. Microsoft описывает эту технику, назвав ее ClickFix 🖥 Ее используют многие вредоносы для своей доставки - XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot и NetSupport RAT 🐀

Для борьбы с этой напастью можно использовать как наложенные средства защиты, типа EDR, так и механизмы групповых политик в Windows, предотвращающие запуск команды "run" на пользовательских компах 📱 Ну и про обучение пользователей не забывайте.

#malware

Пост Лукацкого

24 March 2025 14:29

Это один из последних на текущий момент постеров SANS посвящен процессу поиска уязвимостей. Красивое...

#оценказащищенности

Пост Лукацкого

24 March 2025 05:40

Российская (вроде как) компания Operation Zero, занимающаяся приобретением и продажей уязвимостей нулевого дня ❗️, предположительно, для российского правительства и местных российских компаний, объявила о готовности выплатить до 4 миллионов долларов за эксплойты для Telegram 📱 Про OpZero не было слышно несколько лет и вот, поди ж ты, живы еще.

Конкретные предложения компании включают:
🌟 До 500000 долларов за эксплойт удаленного выполнения кода (RCE), требующий одного клика от пользователя 🖥
🌟 До 1,5 миллиона долларов за эксплойт RCE, не требующий взаимодействия пользователя (zero-click) 🖥
🌟 До 4 миллионов долларов за "полную цепочку" эксплойтов, подразумевающую последовательность уязвимостей, позволяющих злоумышленникам получить доступ от учетной записи Telegram до всей операционной системы или устройства 🤑

Zero-day компании, подобные Operation Zero, разрабатывают или приобретают уязвимости 🤕 в популярных операционных системах и приложениях, а затем перепродают их по более высокой цене. Фокус на Telegram объясняется авторами статьи тем, что этог мессенджер популярен среди пользователей в России и Украине 🏆

Авторы статьи считают, что публичное объявление о высоких вознаграждениях за эксплойты для Telegram может свидетельствовать о приоритетах российского правительства в сфере кибербезопасности 🇷🇺 Подобные объявления нередко появляются, когда брокеры эксплойтов знают о существующем спросе на уязвимости в конкретных приложениях или системах 🫴 Это может означать, что российское правительство выразило интерес к уязвимостям в Telegram, что побудило Operation Zero опубликовать такое объявление и предложить высокие выплаты, зная, что сможет продать эти эксплойты по выгодной цене 🤑

При этом канал "Код Дурова" от имени Telegram прокомментировал это сообщение в свойственной многим ИТ-компаниям манере - у нас Zero Day нет и быть не может, мы неуязвимы, а наш код может проверить любой желающий. В общем, интересная история.

#оценказащищенности #уязвимость

Пост Лукацкого

23 March 2025 15:09

А этот постер SANS про защиту Kubernetes.

#SANS #облака #devsecops

Пост Лукацкого

23 March 2025 07:34

Ассоциация "Финтех" выложила в открытый доступ материалы по безопасной разработке 👨‍💻 Первый - матрица решений по DevSecOps, в которой присутствуют как коммерческие, так и open source компоненты с привязкой к типам и классам решаемых задач. Второй - блок-схема типичного процесса безопасной разработки (на картинке часть схемы) с отсылками на соответствующие ГОСТы ФСТЭК, требуемыми артефактами и используемым инструментарием 🧑‍💻

#devsecops #безопаснаяразработка #appsec

Пост Лукацкого

22 March 2025 18:43

А вот кто хотел ИБ-карты Таро, о которых я писал? 🃏 Мы запустили розыгрыш колоды карт, но не просто отдав выигрыш в руки Судьбы, а точнее непонятно кем написанному рандомайзеру с багами, которые никто и никогда не выставлял на Bug Bounty 🤠 Мы предлагаем желающим получить заветную колоду разложить свой аркан, придумав для каждого из них свои знаковые события, свои вехи в области ИБ, которые лучше всего соответствуют персонажам и объектам каждого из арканов! Все правила по ссылке 👇 И пусть победит креативнейший 🏆

Пост Лукацкого

22 March 2025 07:27

А вы знали, что пару дней назад случилось знаменательное событие 🎆, - 21 год с момента появления Witty, первой вредоносной программы, специально нацеленной на средства защиты информации. Речь идет о сетевом черве, который атаковал узлы с установленными системами защиты BlackICE и RealSecure от Internet Security Systems (ISS) 😷

Эксплуатируя переполнение буфера, червь 🪱 смог очень быстро распространиться по сети Интернет, заразив за считанные часы от 12 до 50 тысяч узлов. Название свое программа получила от надписи, которая использовалась при перезаписи секторов на жестком диске - INSERT WITTY MESSAGE HERE ✍️ Учитывая, как быстро был написан сетевой червь Witty, некоторые эксперты даже предположили, что его автор не мог не использовать внутренние знания о кухне ISS и процессе разработки. Witty не просто заражал компьютеры со средствами защиты, но уничтожал их, перезаписывая данные на жестком диске, что приводило к краху системы 💥

Этот кейс дает нам несколько важных уроков:
6️⃣ Средства защиты - это такое же ПО, как и любое остальное. И в нем тоже могут быть уязвимости!
2️⃣ Средства защиты не всегда имеют механизмы собственной защиты. Уточняйте этот момент перед выбором и покупкой.
3️⃣ Средства защиты тоже надо уметь правильно настраивать!

#история #инцидент #средствазащиты

Пост Лукацкого

21 March 2025 14:33

В апреле 2024 года крупнейший банк спермы в США, California Cryobank (CCB), обнаружил несанкционированный доступ к своей IT-системе, произошедший в период с 20 по 22 апреля 2024 года 🖥 В результате этого инцидента были скомпрометированы как минимум персональные данные клиентов, включая имена, номера социального страхования, номера водительских удостоверений, данные банковских счетов и информацию о медицинском страховании 🤒

Компания немедленно изолировала затронутые системы и инициировала расследование. Однако уведомления пострадавшим были отправлены только в марте 2025 года, почти через год после обнаружения утечки 😲 California Cryobank предложил пострадавшим 12-месячную подписку на услуги по мониторингу кредитной истории через компанию TransUnion.

Типичная стоимость такого мониторинга составляет от 10 до 30 долларов в месяцев, что дает нам от в среднем около 250 долларов США в год 🤑 Клиентами Криобанка является не менее 75000 семей, так что можно предположить, что сумма, которую должна потратить компания на все это составит не менее трех десятков миллионов долларов.

На данный момент компания не раскрыла, затронуты ли данные доноров 🤱, включая их идентификационные номера, что вызывает серьезные опасения относительно конфиденциальности.

Чем-то напоминает историю с компанией 23andme, занимающейся генетическими исследованиями и сильно пострадавшей от взлома и утечки информации, которую сначала никто не признавал... 🤔

#инцидент #утечка

Пост Лукацкого

21 March 2025 05:40

Вот тут один архитектор ИБ поделился своей матрицей 🗳 для оценки инвестиций в ИБ (не в контексте фондового рынка или венчурных инвесторов). С чем-то могу согласиться, с чем-то категорически нет 🤔

Например, сетевая сегментация, MFA и парольные менеджеры 🤒 действительно дают большую пользу и при этом не так сложны в реализации (если в рамках сегментации мы не реализуем всяческие PVLAN, VXLAN, управление микросервисами и т.п.). Соглашусь, что Zero Trust и DevSecOps дают многое, но и в реализации достаточно сложны 🤔

Интересна точка зрения, что развитие чемпионов безопасности не только сложно, но и дает маленький эффект 🧐 Насчет сложно, как первый Security Champion во всей глобальной Cisco, не соглашусь. Также не согласен с низкой эффективностью NGFW 🤬 Как по мне, так это инструмент уровня сегментации. Странно выглядит позиция, что внедрение SOAR легче внедрения SIEM. Как по мне, так подключить логи к системе мониторинга "на чтение" проще, чем настроить SOAR на управление зоопарком средств защиты 🤔

Но я для себя эту матрицу рассматриваю скорее как инструмент для размышлений и точку отсчета 🗺 Ее можно докрутить под свои нужды исходя из региональной специфики и имеющегося на рынке портфолио продуктов ИБ. С этой точки зрения вполне себе интересный фреймворк 💡

#CISO #стратегия #средствазащиты

Пост Лукацкого

20 March 2025 14:41

Я не зря вчера провел опрос по количеству языков 😛 написания запросов к средствам защиты. Их реально больше полутора десятков. Например, YARA, YARA-L, SIGMA, SNORT, PDQL, SQL, ESQL, KQL, SPL, SurrealQL, TQL, EQL, Lucene, OQL, MQL, SCQL, WQL, DQL, Grafana Loki и т.п. И всегда есть сложность при переходе с одного решения на другой (по-разным причинам) конвертировать уже написанные детекты и сигнатуры 🔍

Решать эту задачу можно по-разному - поручить все джунам на испытательном сроке, заплатить интегратору 🤑, использовать ИИ (как в прошлой заметке) 🤖 или... использовать различные конверторы - коммерческие и бесплатные. Тут как раз вышел новый инструмент https://detection.studio/ по конвертации детектов формата SIGMA в различные специфические языки типа Splunk SPL, Elasticsearch ES|QL или Grafana Loki. Что-то аналогичное https://sigconverter.io/, но с рядом дополнений. Но самое главное, что он бесплатный 🤑

#SOC #обнаружениеугроз

Пост Лукацкого

20 March 2025 05:40

Red Canary 🦆выпустила свой отчет с трендами в области угроз, которые они наблюдали в 2024 году. Каких-то прям открытий в отчете нет - все достаточно стандартно и то, что я многократно писал в канале ✍️ Но если все-таки тезисно выписать то, что писали Red Canary, то получится следующая картина:

1️⃣ Black Basta используют новую технику фишинга, когда сначала жертва бомбардируется спамом, а затем от имени ИТ-поддержки предлагается звонок по телефону или через MS Teams с последующей установкой средств удаленного доступа ✍️

2️⃣ Популярна техника ClickFix, которую я уже описывал и которую используют LummaC2, HijackLoader, NetSupport Manager, StealC, and CryptBot. Правда, помимо запуска уже упомянутого mshta.exe, также используется и PowerShell 🖥

3️⃣ Вредоносы SocGholish, Scarlet Goldfinch, FakeSG/Rogue, Raticate, ClearFake, Yellow Cockatoo и Fakebat активно распространялись через фейковые обновления браузеров 📱

4️⃣ Отравление SEO (создание фишинговых сайтов с последующим их выводом в топ поисковых систем) 🌐

5️⃣ Учетные записи компрометировались через фишинг, уязвимости и стилеры 🆔

6️⃣ Перехват сессионных токенов (часто сохраняются в куках) тоже был популярным для доступа к учетным записям без прохождения аутентификации 🔑

7️⃣ Распыление паролей и атаки "человек посередине" для кражи учетных записей, также как и обход MFA через MitM, SIM swap, звонки от имени службы поддержки и "истощение" MFA (или бомбардировка MFA) 🐔

#malware #тенденции

Пост Лукацкого

19 March 2025 10:26

Есть такая группа-вымогателей Black Basta 🤒, которая действует с 2022 года, атаковав более 500 организаций по всему миру. В феврале 2025 года сообщество ИБ получило в свое распоряжение выложенный неизвестным героем в Telegram файл с 196045 сообщениями, датированными периодом с сентября 2023 до сентября 2024 годов 📱

Исследователи уже провели разбор 🆔 🔍 этой массы сообщений, написанных преимущественно на русском языке. Я бы отметил в этой истории структуру группировки 💀, которая в очередной раз показывает, насколько сложной является мир киберпреступности, выходящий за привычный образ, рисуемый картинками Google или голливудскими боевиками.

Исследователи выделяют, как минимум, следующие категории участников группировки:
😂 Руководитель, которого, как это не смешно, называют Tramp
😂 Управляющий инфраструктурой, серверами и платежным хостингом
😂 Пентестеры и поддержка 💀
😂 Программисты, преимущественно разработчики вредоносного кода, загрузчиков, инсталляторы, бэкенд и т.п. 💳
😂 Специалисты по криптографии и обфускации
😂 Эксперты по социальному инжинирингу, которые представлялись специалистами ИТ-поддержки, которые обманом заставляли пользователей ставить AnyDesk для разворачивания вредоносного кода
😂 Специалисты по подбору паролей и взлому хэшей 💀
😂 Внешние аффилированные специалисты, часто независимые и управляющие своими собственными командами.

И это скорее всего только часть группировки. А вы говорите...

#хакеры #ransomware #cybercrime

Пост Лукацкого

18 March 2025 14:34

Сегодня у нас будет день проблем у ИБ-компаний 🍑 Тут вот пишут, что у российского ИБ-вендора АВ Софт прошли обыски в офисе по уголовному делу по статье "Нарушение авторских прав" 😡 Речь идет якобы об использовании в "Афине" антивирусных движков Касперского и Dr.Web по ценам ниже рыночных и без согласования с производителями. Интересно, почему компании не договорились на берегу и довели до следственных мероприятий и возбуждения дела? 🤝

#проблемыибкомпаний

Пост Лукацкого

18 March 2025 05:40

Израильская компания Skybox Security, основанная в 2002 году и занимавшаяся кибербезопасностью, неожиданно 😲 прекратила свою деятельность 24 февраля 2025 года, уволив всех своих 300 сотрудников, из которых около 100 работали в Израиле, остальные — в США 🔒

За время своего существования Skybox Security привлекла инвестиции на сумму более 330 миллионов долларов и обслуживала крупных клиентов, таких как Burberry и Procter & Gamble. Однако, несмотря на значительные вложения и доходы, компания неожиданно закрылась, что стало шоком для сотрудников и отрасли в целом 😨

Компания продала свои технологии и бизнес-активы другой израильской фирме — Tufin, также специализирующейся на кибербезопасности и отчасти являвшейся конкурентом для Skybox 😱 Генеральный директор Tufin, Рэй Бранкато, заявил, что их компания готова обеспечить плавный переход для клиентов Skybox и уже привлекла некоторых бывших сотрудников Skybox для поддержки этого процесса.

Сотрудники Skybox в Израиле были внезапно уведомлены о закрытии работодателя и что не получат заработную плату за февраль и должны обратиться за компенсацией в Национальное страховое ведомство 🚧 Это вызвало возмущение среди уволенных работников, которые планируют подать коллективный иск. Американским сотрудникам выплаты не отменены, но будут сделаны самой компанией.

Причины столь внезапного закрытия Skybox Security пока остаются неясными ❌ Сообщается, что компания, несмотря на несколько раундов инвестиций, накопила значительные долги, что могло привести к ее банкротству, но это не точно... Основатель и бывший гендиректор Skybox, покинувший компанию два года назад, также не в курсе, что происходит - для него это стало такой же неожиданностью, как и для всего рынка 😳 А пока одни наблюдают исход клиентов из компании обетованной, другие задаются вопросом о том, что делать в такой ситуации 🔒

Вы, кстати, включили это в свою модель угроз? 🤔

#проблемыибкомпаний

Пост Лукацкого

17 March 2025 10:22

Государство 🏛 сейчас много усилий тратит на борьбу с кибермошенниками. Иногда эти усилия правильные, иногда так себе. Но вот я тут подумал, что если бы Минцифры запустило бы пару новых сервисов, то я бы ими точно пользовался. Один - укоротитель URL ✂️ Я вот постоянно сталкиваюсь с задачей отправить короткую ссылку или проверить присланную мне короткую ссылку, переходить по которой не хочется без уверенности, что там ничего плохого нет. Можно, конечно, заюзать какой-нибудь VirusTotal, но если бы такая история была локальной, было бы прям хорошо 🤔 Можно было бы и на базе национального мультисканера такое сделать, но с функцией обрезателя обязательно (не только проверка) 🔍

Второй полезный сервис - генератор и проверка QR-кодов 🧑‍💻 Раз уж от них никуда не деться и их все вставляют по поводу и без, то почему бы не запустить сервис на Госуслугах по генерации QR-кодов (можно интегрировать с короткими ссылками) в разных формах? И там же функцию проверки присылаемых QR-кодов ✉️ Я бы тоже пользовался, если бы это удобно реализовали, без регистрации через ЕСИА и иных лишних телодвижений.

А вы что думаете? Как сейчас вы проверяете QR-коды и короткие ссылки?

#фишинг #суверенитет

Пост Лукацкого

16 March 2025 18:54

В последние недели в Агентстве по кибербезопасности и безопасности инфраструктуры США (CISA) произошли значительные изменения, включая кадровые перестановки и сокращения персонала 👮

Президент Дональд Трамп выдвинул кандидатуру Шона Планки (Sean Plankey) на пост директора CISA. Планки – выпускник Академии Береговой охраны США и Пенсильванского университета 🇺🇸 В первой администрации Трампа он работал заместителем помощника министра по вопросам кибербезопасности и энергетической безопасности в Министерстве энергетики США (CESER). До этого он занимал должность директора по вопросам морской и тихоокеанской кибербезопасности в Совете национальной безопасности, а также заместителя CIO разведки ВМС США ⛵️ После ухода из госслужбы Планки работал в частном секторе, в частности, руководил глобальным направлением кибербезопасности в страховом брокере WTW. Его назначение требует утверждения Сенатом, однако ожидается, что процесс пройдет без существенных препятствий.

Назначение Планки стало частью более широкой кадровой перестановки в сфере кибербезопасности администрации Трампа. Перед этим были назначены: 🇺🇸
🔤 Шон Кэрнкросс (Sean Cairncross) — новый директор по кибербезопасности в Белом доме. Однако он является новичком в этой сфере, что вызвало определенные вопросы у профессионального сообщества. С безопасностью его связывает только фамилия - именно так звали офицера британской разведки во время Второй мировой войны, работавшего также на советскую разведку, и который является пятым членом так называемой «Кембриджской пятерки» 🙂
🔤 Карен Эванс (Karen Evans) — опытный специалист по кибербезопасности, назначенная на должность исполнительного помощника директора по кибербезопасности в CISA 👩🏿‍🦰

Одновременно с этим, за последние несколько недель CISA подверглась серьезным кадровым и бюджетным сокращениям. Это связано с инициативой DOGE (Digital Operations for Government Efficiency), продвигаемой Илоном Маском. В рамках реформ были уволены: ✂️
🔤 130 специалистов по кибербезопасности в начале февраля;
🔤 более 100 сотрудников Red Team, участвовавших в тестировании защищенности государственных систем;
🔤 около 12 сотрудников, боровшихся с дезинформацией в преддверии выборов.

Кроме того, CISA сократила финансирование двух ключевых программ: ✂️
🔤 Multi-State Information Sharing and Analysis Center (MS-ISAC) – центр обмена информацией о киберугрозах между штатами;
🔤 Election Infrastructure Information Sharing and Analysis Center (EI-ISAC) – центр анализа угроз для избирательной инфраструктуры.

Однако, если назначение Планки будет официально утверждено Сенатом 🏛, это может:
🔤 Стабилизировать CISA после череды увольнений.
🔤 Пересмотреть бюджетные приоритеты, возможно, в сторону большего фокуса на защиту внутренней критической инфраструктуры 🏦
🔤 Обозначить новое видение кибербезопасности, в котором сильный акцент будет сделан на частно-государственное сотрудничество.

Хотя Трампская администрация склонна к ослаблению регуляторных мер, эксперты ожидают, что Планки сможет сохранить баланс между либерализацией подходов и обеспечением безопасности национальной инфраструктуры. Будем посмотреть...