🔐 Как защитить базу данных, если хакеры уже внутри?

И можно ли избежать расхождений между фактическими и заявленными конфигурациями? Ответы – на вебинаре «Защита баз данных» от Softline и «ЭВРИТЕГ».

📅 29 апреля
🕚 11:00–12:30 (МСК)
📍 Онлайн

Владелец продукта Артем Гарусев расскажет о «Платформе безопасности данных» – инновационном решении «ЭВРИТЕГ», которое позволяет эффективно защищать чувствительную информацию от внешних атак и внутренних угроз. А также объяснит, что представляет собой комплексный подход к безопасности и как реализовать концепцию Zero Trust на практике.

📎 Зарегистрироваться можно по ссылке

Взлом через Zoom-конференцию

Иногда ПО может делать что-то очень неожиданное для пользователя, и этим пользуются злоумышленники при атаках с помощью социальной инженерии.

1. Вас приглашают на собеседование/конференцию в Zoom — обычная ситуация.
2. Вас просят что-то показать у себя на экране — тоже не редкость и не несет угрозы, если вы не покажете чего-то лишнего.
3. Говорят, что покажут вам что-то у вас на экране, и приходит запрос на «удаленное управление экраном» — это уже атака.

На данном этапе достаточно нажатия кнопки «разрешить» для передачи управления вашим компьютером злоумышленникам. Они могут запустить любое ПО, закрепиться на вашем ПК с вашими правами.
И это не уязвимость в Zoom, это стандартная и по умолчанию включенная функция!
Название которой не вполне передает смысл того, что именно вы позволяете.

Скорее всего, вы никогда не будете этой функцией пользоваться, и для защиты себя от ошибки в ходе какой-либо конференции отключите функцию удаленного управления.
Для этого:
1. Войдите на Zoom Web Portal.
2. В меню навигации щелкните «Настройки».
3. Щелкните вкладку «Конференция».
4. В разделе «На конференции (базовые)» щелкните переключатель «Дистанционное управление», чтобы отключить его.
Примечание. Если параметр отображается серым цветом, значит, он заблокирован на уровне учетной записи или группы, и администратор учетной записи должен изменить его на этом уровне.

Подобные техники для внедрения бэкдоров используют APT-группировки при атаках крупных компаний. Похожие техники, например, использует северокорейские Lazarus, недавно взломавшие ByBit.

🔥 Форум PRO GOROD 🔥
🌏 Москва, "Цифровое Деловое Пространство", ул Покровка, 47

✅ Мероприятие состоится в Цифровом деловом пространстве в Москве (ул. Покровка, 47) и соберёт более 4000 участников из 50+ регионов России. В центре внимания — обсуждение будущего российских территорий, инвестиции, цифровизация, экология, развитие городской и сельской среды, образование, устойчивость и человекоцентричный подход.


🕝 22 апреля 2025 с 14.30 до 16.00
🟠 Секция "PRO БЕЗОПАСНОСТЬ И КИБЕРБЕЗОПАСНОСТЬ БОЛЬШОГО ГОРОДА"

❇️ Модератор секции: Владимир Жуков
Объединяет рынок страхования и ИБ - продукт Киберстрахование;
Андеррайтинг (17 лет опыта в российских и международных компаниях); сооснователь проекта MUST

🟢 Спикер: Антон Бочкарев (специалист по информационной безопасности, спикер нескольких десятков ИБ-конференций, ex-head of redteam Сибура, гендир ООО Третья Сторона) — о специфике защиты индустриальных компаний, главных угрозах последних лет, и о том, что такое "достаточная" безопасность

🟢 Спикер: Владимир Жуков (эксперт в области киберстрахования) — о том, как в России развивается рынок страхования ИБ-рисков, как с его помощью лучше и дешевле закрывать остаточные риски, сколько это стоит, как работает, и почему будущее — за комбинированными продуктами, совмещающими ИБ и страховки.

🟢 Спикер: Артем Наливайко (3side, ex-ВТБ, консультант по управлению рисками) — о специфике защиты малых компаний, как правильно оценить расходы на ИБ для МСБ, от каких рисков и как защищаться стартапу и как через 10 лет будет выглядеть ИБ-ландшафт для небольшого технологичного бизнеса

✅ Иннновационные технологические проекты представят технологии для Большого Города:
🔹 Эвритег - платформа безопасности данных
🔹 Secure-T - киберкультура для всех организаций
🔹 Netopia - защита сетевого оборудования
🔹 ТБТ - автомобильная кибербезопасность
🔹 ГК Фрактал - фото и видеофиксация ПДД
🔹 Alpha Systems - аудит и автоматизация кибербезопасности

Регистрация на форум - здесь:
https://progorod-forum.ru/

До встречи на форуме!!!

Никогда не было и вот опять: китайцы работали на американские госконтракты. А вы точно знаете своих подрядчиков?

Тут пару дней произошла анекдотическая история. Некий гражданин США по имени Минь Фыонг Нгок Вонг (Minh Phuong Ngoc Vong, т.е. явно вьетнамские корни) была нанят на работу IT-специалистом на работу по контракту с FAA (агентство по гражданской авиации). Гражданин имел к IT весьма опосредованное отношение, но все собеседования прошел и работу получил (!).

Рабочие задачи он "перенаправлял" своему партнеру по онлайн-игре, проживающему в Китае. Более того, китаец даже участвовал в встречах с заказчиком — обойдемся без расистских шуток, но тот не заметил разницы. Понятно, что FAA это не Локхид-Мартин, но сам факт фрода совершенно вопиющий.

Позже уже на этапе расследования выяснилось, что по подобной схеме мистер Вонг с 2021 по 2024 год проработал руками китайцев в 13 компаниях! Суммарно получив около 1 миллиона долларов зарплаты, но главное передал доступы к конфиденциальным данным всех 13 компаний подрядчикам из Китая.

Впрочем, было и круче — пол-года назад в США взяли парней, которые по похожей схеме предоставляли работу ... северным корейцам! Правда, там речь шла в первую очередь о нарушении санкционного режима против Пхеньяна.

А мораль здесь простая. Во-первых, описанная схема вполне типична для российского рынка ИБ. Ну, то есть монгола или киргиза вам вряд-ли подсунут, а вот студента с nmap вместо специалиста по пентесту — легко. По этой причине мы всегда даем прямую связь с заказчиком для конечного исполнителя. А во-вторых, капитализм и желание заработать побеждает все границы, режимы и политические ограничения.

Уже скоро увидимся на конференции Код ИБ в Санкт-Петербурге!

🗓 24 апреля | старт в 9:30
📍 Freedom. Казанская, 7

В программе:

▪️ Открытая дискуссия с CISO крупных компаний: про ключевые тренды, новые угрозы и практики защиты в 2025 году.

▪️ Два потока трека "Технологии": свежие решения от 3side, ARinteg, ИТ-Экспертиза, Кортэл, SkyDNS, Киберпротект, SearchInform, Конфидент, Secure-T, UserGate, Кауч, RTCloud и других.

▪️ Прямой диалог с Роскомнадзором и ФСТЭК.

▪️ Реальные кейсы: изучим опыт коллег из компаний СберТех, ЭТМ, Группа ЛСР, ГК ОКЕЙ, Conflex, Кортэл.

▪️ Штабные киберучения: испытаем навыки в защите цифровых активов компании на практике.

▪️ Закрытый ужин для ИТ-директоров от GlobalCIO: нетворкинг, актуальные кейсы ➡️ для участия требуется отдельная регистрация.

▪️ Яркая дополнительная программа: after-party, круглый стол со студентами, экскурсия по дата-центру от Selectel.

Полная программа — на сайте Код ИБ.

Регистрируйтесь уже сейчас! Количество мест ограничено.

Уже скоро увидимся на конференции Код ИБ в Санкт-Петербурге!

🗓 24 апреля | старт в 9:30
📍 Пространство Freedom. Казанская улица, 7
Участие бесплатное ➡️ зарегистрироваться

Что в программе?

• Дискуссия с экспертами: Поговорим с представителями крупных компаний и регуляторов о ключевых трендах в ИБ, новых угрозах и о том, как противостоять им в 2025 году.

• Трек "Технологии": Выступления ведущих ИБ-игроков — ARinteg, ИТ-Экспертиза, Кортэл, SkyDNS, Киберпротект, SearchInform, Конфидент, Secure-T, UserGate, Кауч, RTCloud и других.

• "Регулятор на связи": Прямой диалог с Роскомнадзором, актуальные требования — из первых уст.

• Трек "Опыт": Успешные (и не очень) кейсы — изучим опыт коллег и возьмем лучшие практики на вооружение.

• Штабные киберучения: Испытаем знания в защите цифровых активов компании на практике.

• Закрытый ужин от GlobalCIO для ИТ-руководителей ведущих компаний Санкт-Петербурга: возможность послушать актуальные кейсы и пообщаться с коллегами в неформальной обстановке.

📌 Для участия требуется отдельная регистрация.

• Яркая дополнительная программа:
After-party, круглый стол со студентами, экскурсия по дата-центру от Selectel.

Полная программа — на сайте Код ИБ.
Регистрируйтесь уже сейчас! Количество мест ограничено.

Приходите на КодИБ СПБ

Мы там будем, Антон поучаствует в вводной дискуссии и выступит с докладом. Одно из лучших мест для нетворкинга, будем рады пообщаться!

2025 — год партнерств

Мы тут периодически пишем, как у нас идут дела с бизнесом. Так вот — с 3side все хорошо, выручка за первый квартал в разы больше прошлогодней (но там поток клиентов пошел в конце года, закрывали проекты уже в 2025 с постоплатой). 4security зарегистрирован, релиз вероятно в середине-конце мая, планово.

Вообще говоря, ИБ всегда продается "через людей" — подрядчика в интернете ищут обычно те, кому некому дать совет. Такие клиенты у нас тоже есть, но основной эффект дают рекомендации — или от действующих клиентов (т.е. виралка), или от наших друзей.

То, что значительный кусок наших будущих продаж — это бизнес-сообщества и региональные интеграторы, мы осознавали и раньше. Теперь мы наконец готовы нормально с ними работать, и 4sec будет изрядно этому способствовать. Как минимум, это возможность "завести" клиента в конкретный интерфейс и дальше взаимодействовать с ним там.

В общем. Если у вас есть пул клиентов/партнеров, если части из них нужно ИБ и у нас может возникнуть синергия — пишите. Мы понимаем, как это готовить.

⚡️ Ток-шоу "Безопасная среда": разбор киберинцидента вместе с CISO крупных компаний!

🗓 16 апреля в 12:00 по МСК

Второй эфир ток-шоу "Безопасная среда" в обновленном формате. Вместе с экспертами разберем реальный инцидент из практики "Кибериспытаний" — проекта фонда "Сайберус".

Кейс:
• Крупная нефтехимическая компания "Иннонефть"
• Большая и разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство
• Компания обрабатывает ПДн и имеет в штате несколько сотен сотрудников
• На рынке более 10 лет
• Выручка несколько миллиардов рублей

Цель атаки — шифрование ключевой базы данных
СЗИ — антивирусное ПО и средства резервного копирования
Собственная ИБ-команда — отсутствует, функции переложены на IT

Модератор:
— Артём Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ

В числе экспертов:
— Игорь Смирнов, генеральный директор, Alpha Systems
— Антон Бочкарев, член экспертного совета Кибериспытание, сооснователь 3side
— Артём Калашников, управляющий директор Центра информационной безопасности дочерних и зависимых обществ, ГазпромБанк
— Алексей Мурашов, начальник управления ИБ, ВСМПО-АВИСМА
— Сергей Рысин, генеральный директор, АСИЕ-групп

🚀 Не пропустите разбор реального кейса от ведущих экспертов отрасли! Для участия необходима предварительная регистрация.

Присоединяйтесь к IV THE TRENDS!

Крутое событие индустрии высоких технологий, объединяющее более 11000 участников.

Разнообразие Тем:
- Cybersecurity (!)
- TRENDX 4.0
- AI NEW ERA
- BLOCKCHAIN
- GOVTECH
- ROBOTICS
- MINING
- FINTECH
- IoT & BIG DATA
- QUANTUM COMPUTING
- CREATIVE INDUSTRY
- Startups & Invest

15 иностранных спикеров эксклюзивно в Москве;
1700+ компаний-участников
Мощнейший Нетворкинг обеспечен;

———————————————

В ПРОГРАММЕ:
🟩 PRE-PARTY (27 мая)
(Для Business и VIP-билетов)

🟩 Сцена TRENDX:
Лучшие из лучших со всего 🌍;

🟩 Сцена LEVEL UP:
Живые лекции, кейсы, питчи стартапов;

🟩 Выставка 70+ стендов:
Продукты и решения на любой вкус;

🟩 VIP-пространство:
Лучший нетворкинг в РФ, VIP бар;

🟩 AFTERPARTY (29 мая)
(Для VIP билетов)

———————————————

🔗 По этой ссылке вы получите скидку 15% на любой билет (скидка сработает при переходе на страницу оплаты)

P.S. Мы информационный партнер мероприятия и будем там, подходите - пообщаемся!

Когда действительно надо привлекать аутсорс в ИБ (спойлер: почти всегда, если вы небольшая компания)

Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.

Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.

Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.

Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.

И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.

В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.

Реверс — мошенничество без ваших СМС

Когда пишут СМИ о «новых схемах», зачастую в них нет ничего нового, лишь меняется предлог, под которым жертву мотивируют расстаться с деньгами/кодами смс, либо нюансы «маскировки» мошенников.

Но сейчас действительно сменили схему, а не скрипт. Мошенники ушли в реверс! В начале они всё также вам звонят из колл-центра, но при этом не просят никаких кодов от Госуслуг или банков. Напротив, они говорят, что сообщать им коды не нужно. Они действительно им не нужны.

А дальше включается театр, они просят жертву «повисеть на трубке» и разыгрывают сценку, где операторы говорят между собой о том, что дело серьезное и нужно подключать генерала СК/ФСБ/МВД. Дальше звонок просто сбрасывается!

А в этот момент уже испуганной жертве приходит поддельное СМС о входе в Госуслуги/Банк и номер «техподдержки». Вот и реверс, жертва сама звонит на поддельный номер, напрямую в колл-центр и никак не сомневается в том, что это не мошенники.

Ведь:
1. Все триггеры первого звонка не сработали. Жертву не убеждали что-то сделать, не просили коды и даже разговор о «серьёзности ситуации и подключении генерала» жертва как бы случайно подслушала.
2. Жертва сама общается на «горячую линию». Не ей позвонили, а она сама!

В результате всё тот же результат «перевод денег на безопасный счет». Тут схема неизменна.

Использовали ли это ранее? Да, похожее использовали (https://habr.com/ru/articles/774162/). Они первично заходили в аккаунт Госуслуг и использовали «контрольный вопрос» для размещения мошеннического номера.

Помните, что схемы бывают очень разные, и запоминать типичные последовательности их скриптов бесполезно. Развивайте критическое мышление.

Мессенджер или туннель?


Во многих компаниях все еще используют WhatsApp как корпоративный мессенджер по разным причинам: от привычки до необходимости общаться со своими клиентами, которые не воспринимают иные мессенджеры.

В таком случае в средствах защиты и фильтрации трафика WhatsApp трафик неизбежно попадает в белые списки, содержимое его все равно не посмотреть благодаря P2P-шифрованию, и в целом выглядит такое исключение безопасно. Или нет?

На просторах GitHub обнаружился репозиторий с ПО, позволяющим прокинуть TCP-туннель через WhatsApp! Фактически мессенджер используется как защищенный и не вызывающий подозрений с точки зрения средств защиты транспорт.

Как именно это происходит?
По умолчанию объем сообщений в мессенджере достаточно большой, до 20к символов. К тому же передача двоичных файлов происходит только с сжатием, что позволяет достаточно легко поднять туннель. Автор еще не экспериментировал со звонками и подозревает, что в таком случае скорость может быть еще выше.

Для чего это было сделано? Вовсе не для вредоносного ПО, а лишь для обхода тарификации операторов связи. Автор путешествовал по Южной Америке, где нет безлимитного интернета, но есть безлимитный трафик WhatsApp. Это распространенная практика у многих операторов мира, а подобные туннели позволяют завернуть в WhatsApp даже YouTube. Но могут ли это использовать и злоумышленники? Бесспорно.

А остальные мессенджеры? IP-туннель в Телеграмм уже тоже делали, но в рамках лишь эксперимента. C2 (Command & Controll) сервера вредоносного ПО с использование Телеграмм уже точно были. Поэтому в эпоху подобных приложений уповать только на сетевую защиту точно не стоит. Вы не можете быть уверены, что там внутри мессенджера.


Сам репозиторий тут.
https://github.com/aleixrodriala/wa-tunnel

MaxPatrol SIEM теперь бесплатен, но за обучение ИИ

Наконец один из ведущих SIEM продуктов России теперь можно использовать свободно. Достаточно его скачать с официального сайта и развернуть. Это ведь так просто?

Условия просты - все написанные вами правила и сработки по ним будут аккумулироваться в PT, на этих данных будет обучаться ИИ!

В целом это отличная возможность для многих компаний сэкономить несколько своих годовых бюджетов и начать заниматься кибербезом всерьез. Готовы ли вы делиться своими данными для повышения качества продукта и повышения защищенности страны? Либо предпочтете заплатить за приватную версию?

Именно сегодня 1 апреля в качестве шутки, у вас появился выбор!

Mosmetro[.]ru взлом или не взлом?

Сегодня многие каналы написали, что сайт Мосметро был якобы взломан и дефейснут. Демонстрировали факт перенаправления на сайт Железной Дороги Украины, однако тут не все так просто.

Скриншот 1. Если мы открываем сайт вне РФ (например через VPN), с DNS Google (8.8.8.8). Действительно видим сайт не тот что нужно, именно это и распространили в СМИ.

Скриншот 2. Если мы в тот же момент времени открываем сайт изнутри РФ, без использования VPN с тем же самым DNS Google (8.8.8.8). Сайт открывается нормально.

Почему так? Отдаются разные IP адреса.

В первом случае, не те, что должны.
Addresses: 2606:4700:3030::6815:2001
2606:4700:3030::6815:5001
2606:4700:3030::6815:7001
2606:4700:3030::6815:1001
2606:4700:3030::6815:4001
2606:4700:3030::6815:6001
2606:4700:3030::6815:3001
104.21.96.1
104.21.112.1
104.21.32.1
104.21.48.1
104.21.64.1
104.21.16.1
104.21.80.1
Во втором случае, верный
Address: 178.178.127.20

Что это значит? Сам сайт взломан не был, случилась какая-то подмена DNS, но не во всех источниках. Подозреваю, что отравление кэша на CDN серверах. Оплаты на карты же могут не работать по иным причинам, например, из-за DDOS. Либо на них также повлияла подмена DNS на CDN.

Говорить о "взломе Мосметро" из-за текущей ситуации явно не стоит.

CISO FORUM 2025: 3 причины, почему вам стоит присоединиться

CISO FORUM становится еще сильнее: присоединились топовые эксперты, новые партнеры и ведущие медиа-персоны. До встречи осталось чуть больше месяца, и мы хотим рассказать, как растет и развивается форум в этом году.
 
1. Лидеры мнений отрасли
Форум поддерживают ведущие инфлюенсеры! Не пропустите возможность встретиться лично на площадке с такими важными персонами ИБ-сообщества как Дмитрий Борощук, Денис Батранков, Лев Палей и Андрей Марсалович. CISO FORUM продолжает наращивать темп и готовим еще больше значимых анонсов.
 
2. Лучшая программа за все годы
Программа пополнилась новыми ведущими спикерами. На сцене конференции – лидеры отрасли, готовые делиться своим опытом и стратегиями защиты бизнеса в новой реальности. Вот только часть новых спикеров в программе:
• Всеслав Солейник – Директор по кибербезопасности, СберТех
• Татьяна Фомина – Директор по ИТ и кибербезопасности, HeadHunter
• Михаил Савельев – Директор департамента ИБ, Ростелеком
• Артем Избаенков – Член правления, АРСИБ
 
3. Партнеры, которые делают конференцию масштабнее
CISO FORUM поддерживают крупнейшие компании, лидеры в своей области, такие как Yandex Cloud, Газинформсервис, UserGate, Curator и Мегафон. Сотрудничество с ними делает форум уникальным и незаменимым событием, которое дает участникам доступ к передовым решениям и возможностям для развития бизнеса в области ИБ.
 
Встретимся 10 апреля в Loft Hall, Москва!
 
Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.


P.S. Мы информационный партнер форума и сами будем на нем

Держим 6 место!

Итак, мы снова взяли 6 место в рейтинге корпоративных ТГ каналов по кибербезопасности!

В этот раз на этой строчке помимо нас Инфосистемы Джет, РТ-ИБ, Инфотекс и Echelon Eyes.
Мы очень рады такой оценке, хотя понимаем, что объективно уделяем каналу последнее время маловато внимания.

Но напоминаем, что у нас канал ведется на факультативной основе, ведь у нас нет:
- СММщика
- Бюджета на канал
- Платной рекламы на канале
- Открытых комментариев

Как только наша работа с каналом станет более системной, будем бороться за топ-3)

Остаемся с вам на связи, и если у вас есть предложения по темам которые стоит подсветить в канале, пишите в контакты!

Новая ссылка на фреймворк - https://disk.yandex.ru/i/mkh0RaKDO2XQsw

🤩Фреймворк

Команда Secure-t подготовила первый фреймворк «Как построить процесс повышения осведомлённости сотрудников в области информационной безопасности». Этот фреймворк — настоящий must-have для компаний, которые хотят минимизировать риски кибератак и повысить устойчивость своих сотрудников к современным угрозам. Это лишь один из элементов нашей комплексной стратегии по формированию киберкультуры.

😇Что внутри? Примеры документов, которые нужно принять: приказы, регламенты, программы обучения. Пошаговое описание процесса организации обучения: от разработки программы до контроля эффективности. Метрики, которые помогут оценить успешность обучения и изменения в поведении сотрудников. Перечень актуальных тем для обучения, включая защиту от фишинга, дипфейков и работу с персональными данными. График мероприятий и годовой план обучения.

😇Для кого это? Для всех, кто заботится о безопасности своей компании: руководителей, HR-специалистов, специалистов по ИБ и всех, кто хочет сделать свою организацию более защищённой.

😇Бонусы в конце фреймворка: бесплатная памятка по ИБ для сотрудников и стратегия по внедрению киберкультуры в коммерческих организациях.

Мы гордимся этим документом и уверены, что он станет полезным инструментом для вашей компании. Скачивайте, внедряйте, делитесь с коллегами! И помните: осведомлённость сотрудников — это первый шаг к защите от киберугроз.

Ссылка на скачивание фреймворка!

Lockbit vs ЛАНИТ, случайный слив информации по расследованию

В одном из публичных ТГ каналов одного из подразделений ЛАНИТа, был опубликован пост с файлом сбора обратной связи по текущему процессу восстановления, после взлома 21 февраля. Канал позиционируется как "для сотрудников", но почему-то открыт на чтение всем желающим.

В файле были указаны данные:
- ФИО пользователей рабочих станций.
- Подразделении.
- Статусы пройденных проверок ("заражен", "чисто" и пр.).
- Обнаруженные подозрительные файлы.
- Решение по работе с рабочей станцией.

Всего в файле более 250 рабочих станций и пользователей.

Сам файл расположен на Google.Docs и открыт всем желающим по ссылке. Вскоре пост в канале был удален, но ссылка на файл осталась актуальной даже на момент публикации поста.

Из файла очевидно, что зашифрованы данные были именно нашумевшим шифровальщиком LockBit, даже на представленном скриншоте с замазанными данными это заметно.

Что можно сказать? Слив файла показывает отношение к ИБ в компании и после инцидента.

#созвон_сообщества
Запись созвона

На созвоне разобрали чем отличается нашумевшее в последнее время "Кибериспытание" от багбанути и привычных нам редтимов, что оно дает исследователям, заказчикам, и на что опирается публичная методика.

Смотреть на:
- 📹Youtube
- 💳Boosty
- 📺VK
- 📺Rutube

👀@ever_secure

Конспирология вокруг Garantex

Множество каналов написали сегодня как по запросу правительства США были заморожены кошельки российской криптобиржи Garantex, а теперь и на месте сайта расположена заглушка, что домен был изъят. Ситуация понятная, не будем на ней останавливаться. Мы тут исключительно про технику.

А остановился вот на чем, я с удивлением обнаружил среди своих знакомых тех, кто начали сомневаться, что это все действительно так! Начали говорить о "фальсификации самой биржей", даже заглушку на домене якобы разместили они сами!

Ну вот смотрите, если сделать запрос к DNS Google(8.8.8.8) "nslookup garantex.org", запрос вовсе будет отклонен. Ведь А-записи просто нет!

Через сторонние сервисы видно, что домен теперь в зоне ответственности usssdomainseizure.com, и заглушка открывается вообще без А-записи. Что руками обычного владельца домена сделать невозможно.

К тому же, смотрим IP-адрес с которого нам отдают заглушку - 12.97.28.149. Что на нем помимо заглушки Garantex? Пачка также изъятых доменов, откройте любой. Сам же IP принадлежит американскому провайдеру AT&T без указания финального владельца)

Поэтому не плодите, пожалуйста, конспирологию. А то видимо скоро кто-то докопается до http://garantex.ru и средство от тараканов тоже в эту "теорию", впишет!

мы в эфире!!! подключайтесь
Zoom

Сколько должен стоить ИБ-продукт для МСБ? (важный текст, много цифр)

Мы тут много думали, а сколько вообще реально может стоить ИБ-продукт, кратно повышающий защиту МСБ от шифрования и утечек? Подчеркнем: речь не идет о построении полноценной комплексной защиты, это гарантированно 10+ млн рублей и в текущих реалиях для небольших компаний не имеет особого смысла. Почему? У нас, если что, с вероятностью ключевая ставка будет 20+% до конца года — бизнес эти деньги потратит на оборотку и будет прав.

Ущерб для МСБ от утечек оценить сложно, а вот о шифровальщиках можно поговорить: за последние пару лет появилось много данных. Например, тут Инностейдж пишет: "Тренд 1. Сохранение фокуса хакеров на среднем и малом бизнесе. В частности, в 2023 г. 43% утечек произошло у среднего бизнеса, 38% — у малого, 19% — у крупного." То есть угроза есть.

Идем дальше: F6 (ex-F.A.C.C.T.): "... на протяжении 2024-го специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. «Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 000 до 5 млн рублей ($1000-50 000)...". Что видим на выходе: рост числа атак и количественная оценка — можно считать ее "оценкой снизу". Подчеркнем, 500 — это только по данным одной (!) ИБ-компании, пусть и флагмана и это только те, у кого были деньги и желание на то, чтобы разбираться. А сколько просто заплатило выкуп? А сколько пошло не в F6 а в условный PT или Бизон?

А вот тут сотрудник (вероятно) Позитива пишет: "В 2023 году количество атак с целью получения выкупа выросло на 160%, а средняя цена за дешифровку данных составила 53 млн руб. Для сегмента небольших компаний, по моим оценкам, средняя сумма примерно в 10 раз меньше". Такую же цифру дает Касперский: "В России каждая пятая атака нацелена на компании из сектора среднего бизнеса. При этом при удачной попытке мошенникам удается присвоить себе в среднем пять миллионов рублей".

Подведем итоги: на рынке есть оценка выкупа в 3-5 млн рублей. Ущерб от шифрования (в случае неуплаты выкупа) оценим в такую же величину — там простой бизнеса и стоимость восстановления. Ситуации, когда выкуп был уплачен, а данные не были восстановлены, оставим за скобками. В итоге предположим, что одна успешная атака с шифрованием без учета утечек обходится компании в 3 млн рублей. С утечками сложнее — закон там только ввели, так что будем делать допущения. Вероятность атаки тоже ненулевая — в России по данным ФНС около 200К малых предприятий и около 20К средних, и шансы стать жертвой кибератаки — это уже не доли процента, а проценты.

Для оценки цены посмотрим на аналогичный продукт — страхование. В целом, ИБ на рынке страхует много кто (Ингосстрах, СОГАЗ, Альфа-Страхование, Ренессанс Страхование, Сбербанк Страхование, ПСБ), часть из них точно будут работать с МСБ и малыми чеками. Средний страховой тариф на рынке находится в интервале 2-5%. Для МСБ оценим тариф в 4%.

И вот считаем: в среднем ущерб от атаки шифровальщика может быть в районе 3-5 млн рублей, с учетом известной риск-премии получаем где-то 10-15К рублей стоимости полиса в месяц. Как ни странно, бьется со стоимостью бэкапирования. С утечками сложнее, но представим себе ущерб в 2 млн, страховку под 4% и получим в итоге еще 6-7К

Ну и вот мы определили плюс минус адекватную стоимость продукта — 20-30К рублей в месяц для достаточно простой инфраструктуры. Терабайты бэкапов, понятно, обойдутся дороже. Все, что будет сильно дороже, небольшие компании просто не купят. Продукт должен и радикально сокращать вероятность утечки, и минимизировать ущерб от возможного шифрования. По-сути, существенно увеличивая стоимость атаки.

А теперь мы IT-компания!

Такая вот маленькая ачивка получена. Можно было зарегистрироваться и год назад, но с учетом льгот от Иннополиса это не имело особого смысла.

А сейчас уже и расходы на разработку, и полноценная команда, и в перспективе регистрация ПО, да много чего. Так что пора..

О том, почему шифровальщик — это вершина айсберга далеко за пределами ИБ

К нам в прошлом месяце обратилось аж пять (!) ранее незнакомых нам человек с вопросом о том, можно ли расшифровать зашифрованные данные. К сожалению, обычно в таких случаях мы можем оказать только моральную поддержку — в случае с МСП+ с их минимальным чеком за расшифровку, нам даже не к кому их отправить, не те деньги.

Причем в 3 случаях это был классический подтвержденный рансом с выкупом. О результатах (платили или нет) умолчим, но вообще говоря шифрование — это только вершина айсберга. Проблема немного шире.

Однажды мы видели, как в качестве выкупа хакеры попросили 10 000 рублей. Нет, не долларов. Рублей. Да, компанию похоже атаковал школьник — и он достиг некоторых проблем. Возможно и шифрования настоящего там и не было.

Так вот, проблема в том, что угроза потери данных — она вообще не только про ИБ. Она про инфру, про кривые руки, про конкурентов, про обиженных сотрудников, да про что угодно. Мы считаем, что продукт 4security (если удастся выдержать его ценник) станет своего рода необходимым гигиеническим минимумом для бизнеса. И нет, мы не собираемся конкурировать с другими ИБ-продуктами. Мы решаем другую задачу — простой комплексной защиты.

А то практика показывает, что даже нормально настроить бэкап у нас могут не только лишь все.

Пообсуждали взлом ByBit

https://www.youtube.com/watch?v=ykGGs29Tr-Y

ТЕРРИТОРИЯ БЕЗОПАСНОСТИ – 2025: все pro ИБ

И снова нас ждут четыре конференции по кибербезопасности в одном мероприятии!
- PRO облака
- PRO безопасность подрядчиков
- PRO анализ защищенности
- PRO бизнес

90+ топовых спикеров кибербеза
30+ тематических треков, от дискуссии, до мастер-классов
40+ компаний - участников выставки, среди которых есть и мы.

У нас 3side/4security будет свой стенд, будем рады вас там видеть и пообщаться!

По нашему мнению, это одно из лучших мест для нетворкинга для заказчиков, производителей ПО и оборудования, интеграторов и стартапов в сфере кибербеза.

Когда: 3 апреля 2025 г.
Где: HYATT REGENCY MOSCOW PETROVSKY PARK (г. Москва, Ленинградский просп., д. 36, стр. 33)

Регистрация на мероприятие «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ – 2025» тут.

Участие для руководителей ИБ-департаментов от компаний-заказчиков - БЕСПЛАТНОЕ, но нужно указать действующий корпоративный адрес.

Созвон сообщества в Zoom 06.03 в 19:00
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Кибериспытание - публичный редтим за "Большой Куш", что тут вообще нового?

На созвоне разберём чем отличается нашумевшее в последнее время "Кибериспытание" от багбанути и привычных нам редтимов, что оно дает исследователям, заказчикам, и на что опирается публичная методика.

Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉

📹YT | 📺RT | 📺VK | 💰Bty
👀@ever_secure

3side — новости

За валом репостов и новостей партнеров как-то теряется суть канала. А потому пара апдейтов.

В 2025 год мы заходили с 2 сотрудниками, сейчас их 8, плюс еще 6 человек бэк-офиса и много исполнителей. Тут все неплохо.

Кибериспытания от Сайберуса стартовали, там очень много всего любопытного и это будет отдельный пост.

4security в ближайшее время будет основным генератором новостей, тем более что старт полноценных продаж уже совсем скоро. Там уже идет много процессов, касающихся юридической обвязки, маркетинга, продаж и другого.

В общем, все неплохо!)

🚀 ЦОД: Актуальность и горизонты развития – бесплатный вебинар! 🚀

💡 Центры обработки данных – это не просто инфраструктурные объекты, а фундамент цифровой трансформации!
Разберитесь в ключевых аспектах работы ЦОД и узнайте о перспективах развития отрасли!

📅 Дата: 26 февраля 2025 года
⏰ Время: 11:00 – 12:30
👨‍🏫 Спикер: Игорь Викторович Дорофеев – ведущий эксперт и Президент Ассоциации участников отрасли ЦОД

🔍 На вебинаре вы узнаете:
✅ Почему ЦОД – это сердце цифровой инфраструктуры
✅ Как они обеспечивают безопасность и устойчивость IT-инфраструктуры
✅ Будущее отрасли и ключевые тенденции

👀 Кому будет полезно?
✔️ IT-специалистам
✔️ Системным администраторам
✔️ Инженерам и разработчикам
✔️ Тем, кто хочет развиваться в сфере ЦОД

📲 Регистрируйтесь прямо сейчас!

ЛАНИТ взломан!

Теперь подтверждено официально на сайте НЦКИ. Точно затронуты юридические лица ООО «ЛАНТЕР» и ООО «ЛАН АТМсервис».

По нашей информации, уже вчера (22.02) утром злоумышленники устраивали вредоносные рассылки со следующий доменов:

- lanit.ru
- cloud.lanit.ru
- fit-out.itlanit.ru
- itlanit.ru
- lanatm.ru
- lanit.tech
- oazis.lanit.ru

Что нужно сделать?
1. Если вас обслуживают данные компании - отзовите им доступы, смените пароли.
2. Если вам за последние дни приходили письма с указанных доменов, проверьте открывали ли их пользователи и проведите расследование.

28-29 мая грянет обновленный и невероятно масштабный THE TRENDS

11000 посетителей
110 спикеров
70+ стендов

Форум-выставка объединит ведущих экспертов и лидеров технологических индустрий со всего мира.

ДЕЛОВАЯ ПРОГРАММА
- главная сцена и ее актуальные выступления в стиле TedX и дискуссии;
- зона Level Up и ее живые диалоги со спикерами, мастер-классы по ИИ, майнингу, робототехнике, а также питчинги отобранных IT-стартапов.
- винная гостиная в ВИП-зоне форума, где ВИП-гости смогут окунуться в интервью с лучшими спикерами и задать вопросы экспертам в особенной атмосфере.

ВЫСТАВКА
Более 70 стендов - Инновационные решения в Blockchain, IT, AI и других технологических отраслях. А также возможность узнать о самых интересных стартапах России.

НЕТВОРКИНГ
Обменяйтесь опытом с топ-экспертами, найдите новых партнеров и получите международные связи.

От нашего канала, как от информационного партнера форума действует скидка 15% переходите по этой ссылке и при покупке билета увидите окончательную цену)

🚨🚨 Взлом Bybit — новые подробности. Хакеры, укравшие $1,46 млрд с Bybit, используют децентрализованный сервис Thorchain для конвертации ETH в BTC. Мы выяснили подробности — будьте осторожны! ↙️

Thorchain — это протокол для кроссчейн-обменов, где любой может менять активы (ETH, BTC и др.) через пулы ликвидности без посредников. Хакеры уже перевели через него тысячи ETH.

🔖Подробности: На 22 февраля через Thorchain прошло 5,000 ETH ($13,5 млн) из украденных средств.
Адрес хакера (0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2) активен, а общая сумма размазана по 48+ кошелькам.
ZachXBT и Arkham Intelligence предполагают: это дело рук Lazarus Group.

🔍 Обратите внимание: Сервис Thorchain не блокирует подозрительные кошельки автоматически.
В 2021 году Thorchain дважды взламывали на $13 млн из-за уязвимостей смарт-контрактов.
А в январе 2025 года он приостановил выводы BTC и ETH из-за долгов в $200 млн.
Используйте только проверенные платформы и избегайте сомнительных пулов!

На данный момент также стало известно о 4 депозитных кошельках Binance в ETH, куда хакеры выводят украденную криптовалюту: ↔️
💣0x3ade0dcd123e3864c5bff9bd127e0f3bb74c05f8;
💣0x9c2e658ffc8ea7fad00a4829bd4b554e8a716f73;
💣0x08132b4985f7c630c413fd8275d467f6e668bdde;
💣0x9cf2b6cd5ac32f63007e8f97c045663fb6a55c4e;

➡️ Мы продолжаем наше расследование и будем держать вас в курсе событий.

Оставайтесь в безопасности. Ваша команда 😇 КоинКит

ByBit обнесли Lazarus

Появились подтверждения, что биржу ограбили именно правительственные хакеры КНДР. В целом это было ожидаемо, 20% взломов крипты приходится именно на них!

Хотя для людей далеких от кибербезопасности фраза "северокорейские хакеры" может показаться шуткой, но это одна из сильнейших APT-групп на протяжении десятка лет.

$1.4млрд за "анализ защищенности" смарт-контракта

Один миллиард четыреста тысяч долларов.
Это сумма которая была час назад выведена за одну ETH транзакцию у одной из самых популярных бирж - ByBit.

Что известно на данный момент?
- Злоумышленники воспользовались уязвимостью смарт-контракта, изменили его логику и вывели средства с холодного кошелька.
- Соответственно транзакция выглядела абсолютно доверенной.
- Сразу же начался отмыв украденных средств, возвращать деньги за процент, как это принято в рамках "криптобагбаунти", злоумышленник не намерен.
- Сейчас биржа привлекает аналитиков, пытаясь отследить средства.
- Биржа утверждает, что остальные активы не были затронуты, и вывод не остановлен.

Как этого избежать? Проводить аудит смарт контрактов! Для компаний работающих в крипто сфере одна серьезная ошибка в логике работы контракта может приводить к подобным последствиям. Контракт это код, код всегда содержит уязвимости, лучше чтоб их нашли в рамках аудита, чем так.


P.S. Мы подобные проекты готовы провести с лучшими специалистами России, обращайтесь! И это будет стоить примерно в 200 000 раз дешевле)

4Security - новый бренд под продукты

Мы уже писали ранее, что ищем себе СТО и начинаем разработку продукта. И вот, команда разработки от СТО до самих разработчиков собрана, и мы начали процесс!

4Security - название именно под продукты, поэтому во многих местах вы увидите теперь и его, помимо нашего бренда по услугам 3side, не удивляйтесь.

Задача продукта проста - защищать малые и средние предприятия от ключевых для них недопустимых событий.

Защищать при наличии самых минимальных компетенций со стороны заказчика. Ведь у нашей целевой аудитории нет и никогда не будет вертикали безопасников в штате, это сам продукт для них будет тем самым CISO!

При этом наша цель - быть доступными по цене совсем небольшому бизнесу и закрывать базовые потребности в безопасности.

Первая версия нашего продукта будет сфокусирована на защите от шифровальщиков, и в него будет входить услуга гарантированного восстановления данных, если инцидент случился. Буквально вчера к нам за консультацией пришел малый бизнес, с которого за расшифровку вымогают 1,5 миллиона рублей, и они, кажется, решили платить. Судя по всему выбора у них особо и нет.

То что мы делаем, больше чем просто SaaS решение. Фактически мы берем ответственность за защиту от ключевого риска, строим минимальную защиту и подсказываем CTO/CEO, как постепенно развивать безопасность в небольших компаниях! А дальше - разные варианты. Сейчас мы прорабатываем идею со страхованием и другие сервисы внутри.

Будем держать вас в курсе о дальнейших наших шагах по запуску продукта)

P.S. Именно из-за этого постов в канале было совсем мало, начало проекта вышло довольно нагруженным. Но мы исправляемся!

Станьте частью главного события из мира информационной безопасности этого года!

Хотите получить лучшие практики по управлению киберрисками, интеграции ИБ в бизнес-процессы и встретить CISO крупнейших компаний рынка на одной площадке?

Приходите на CISO FORUM 2025 — это ключевое мероприятие для топ-менеджеров и руководителей по информационной безопасности. Новые знакомства и качественные инсайты гарантируем 💯

🗓 10 апреля
📍 Москва, Loft Hall

Зарегистрироваться БЕСПЛАТНО

На форуме вас ждет
• на 30% больше CISO из реального бизнеса — без лишней теории, только обмен опытом, разбор кейсов и рабочие инструменты.
• 8 часов избранного контента без воды и рекламы в 3 параллельных потоках.
• Проактивные подходы и реальные кейсы, которые можно применить сразу.
• Пропуск на after-party для общения с коллегами по рынку в расслабленной обстановке 🪩

Среди спикеров
• Кирилл Мякишев, Озон Технологии
• Дмитрий Тараненко, СберЗдоровье
• Антон Кокин, Трубная металлургическая компания
• Алексей Мартынцев, Норникель


Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.

Количество мест ограничено!

🚀Не упусти возможность стать частью главной тусовки для лидеров информационной безопасности!

Реклама. Рекламодатель: ООО «Р-конф» ИНН 9701165423 ОГРН 1207700441497 Erid 2SDnjbz5FWC

И мы там есть

🔥 Добро пожаловать в «ИБ-шечную» – телеграм-папку для тех, кто живёт и дышит информационной безопасностью! 🔥

Ты работаешь в сфере ИБ? Или просто хочешь разбираться в кибербезопасности, защите данных и хакерских атаках?
Тогда «ИБ-шечная» – это твоя обязательная подписка!

📌 В папке тебя ждут:
✅ Экспертные разборы корпоративной ИБ и безопасного конфигурирования систем
✅ Глубокая аналитика и OSINT – следим за трендами, исследуем риски
✅ Обучающие материалы и инструкции – от новичков до гуру кибербеза
✅ Законы и регуляции – персональные данные, 152-ФЗ, GDPR без воды
✅ Новости, события, кейсы, лайфхаки – всё, что важно в мире ИБ
✅ Этичный хакинг – изучаем техники защиты и атаки на практике

🎯 9 топовых каналов в одной папке – бери максимум из инфосферы!

📎 Ссылка на папку

💡 Залетай в «ИБ-шечную» и держи руку на пульсе безопасности!

О метках рекламы

Всем привет, у нас новая активность бьет ключом и мы о ней вам скоро тут расскажем!

Но этот пост о другом, в начале следующей недели вы увидите у нас пост с меткой "реклама" и соответствующим по закону Erid.
Продались? Нет)

Многие крупные мероприятия для получения статуса информационного партнера хотят заключить договор, договор не на деньги, а на пост в обмен на билет/статус партнера, поэтому не продались)

Мероприятия и конференции мы поддерживали и ранее и писали о тех, в которых участвовали, и были в статусе информационного партнера. Поэтому если для конференции, в которой мы участвуем, договор обязательный, то на посте будет маркировка. Но мы по прежнему не продаем рекламу в канале и не планируем!

Конкурс манипуляций ИИ-мошенниками

В начале прошлого года мы уже писали и говорили на различных выступлениях о том, что в мошеннических бизнес-процессах активно применяется автоматизация.

Злоумышленники из колл-центров стремятся сделать массовые атаки более целенаправленными, но не хотят тратить на это человеческие ресурсы.

Тогда они прибегают к помощи GPT-ботов, которые в наше время модно называть ИИ. И вот уже в вашу компанию пишет «фейковый босс», который на самом деле даже не человек.

Сотрудники одной уважаемой компании, которую попросили не раскрывать, решили показать, на что способен ИИ-мошенник, выполняя забавные инструкции!

Мы же решили сделать эту историю популярной и предложить вам поучаствовать в конкурсе:

1. Дождитесь, пока в вашу компанию или компанию ваших друзей напишет «фейковый босс».
2. Попросите его сделать что-то абсурдное и смешное.
3. Пришлите нам (@TG_3side) скриншот переписки с боссом и название атакованной компании.

Мы обязательно опубликуем на нашем канале лучшие из них, а автора самого забавного снимка наградим приятным подарком — фирменным мерчем!

Предварительная дата окончания конкурса — 3 марта, но мы будем ориентироваться на активность мошенников, ведь они здесь делают первый ход.

P.S. Репосты конкурса приветствуются!

Кибериспытания - очень крутой проект с реальной ценностью для заказчика

В общем не секрет, что мы давно в нем участвуем - более того, в нем участвуют некоторые наши клиенты.

Первые большие результаты еще впереди, но пока это выглядит как небольшая ИБ-революция. Так что рекомендуем.

Как мы во ФСТЭК звонили и остались очень довольны

В конце прошлой недели у нас возник ряд вопросов по необходимости лицензирования продукта, который мы разрабатываем. Мы пришли к знакомым юристам и коллегам, которые занимались подобной разработкой. И один из них сказал: а что вы гадаете, во ФСТЭК можно просто ... позвонить!

Сама мысль о том, что в такую организацию можно не просто писать запросы в установленной форме и получить ответ почтой по месту регистрации в течение 90 рабочих дней, а реально позвонить и проконсультироваться, нас немного шокировала. В общем, утром мы позвонили, и результат ... шокировал

Мужчина на другом конце трубки очень уставшим голосом ответил на все наши вопросы предельно грамотно, корректно, с пониманием ситуации и возможных "допущений". То есть он реально пытался разобраться в ситуации, помочь и ответить на наш вопрос. И в целом, очень помог. Сказать, что мы в шоке — это просто ничего не сказать.

В общем, у ФСТЭК есть много своих приколов, но вот конкретно возможность просто позвонить и спросить — очень крутая.