Невидимые угрозы, которые могут скрываться в вашем компьютере

Руткит — это вредоносная программа, предназначенная для незаметного получения контроля над устройством. В отличие от обычных вирусов, руткиты не просто заражают файлы, а глубоко внедряются в операционную систему, делая себя практически невидимыми.

Главная опасность руткитов — это их способность скрывать присутствие других вредоносных программ. Пока вы работаете за компьютером, руткит может:
📎передавать злоумышленникам личные данные;
📎открывать доступ к устройству для хакеров;
📎превращать компьютер в часть ботнета;
📎отключать антивирусные программы, усложняя обнаружение угроз.

Как руткиты попадают на устройства?
Существует несколько способов их распространения:
1️⃣ Фишинговые атаки и социальная инженерия
Руткиты могут проникнуть на устройство, если вы откроете вредоносное вложение в письме, скачаете файл с неизвестного источника или установите сомнительный софт. Иногда они маскируются под легитимные программы и работают в фоновом режиме.
2️⃣ Использование уязвимостей в ПО
Если операционная система или программы не обновляются вовремя, злоумышленники могут использовать их слабые места для скрытой установки руткита.
3️⃣ Зараженные файлы
Пиратский софт, нелицензионные игры, модифицированные приложения — всё это потенциальные носители руткитов.

Какие бывают руткиты?
Руткиты бывают разными по механизму действия и уровню опасности:
👾 Аппаратные руткиты — внедряются в прошивку устройств (BIOS, роутеры, жесткие диски), работают на самом глубоком уровне.
👾 Загрузочные руткиты — заменяют загрузчик операционной системы, активируясь до её запуска.
👾 Руткиты в оперативной памяти — находятся в ОЗУ, исчезают при перезагрузке, но могут быть повторно установлены.
👾 Руткиты приложений — заражают программы, такие как браузеры, офисные приложения, блокноты.
👾 Модульные руткиты ядра — воздействуют на ядро системы, меняют работу ОС, делая себя практически неуязвимыми.
👾 Виртуальные руткиты — создают виртуальную среду, перехватывая запросы и маскируясь от антивирусов.

Как понять, что устройство заражено?
Руткиты сложно обнаружить, но есть несколько признаков, которые могут насторожить:
📎Компьютер часто зависает, работает медленнее обычного.
📎Появляются неожиданные ошибки и «синий экран смерти».
📎В браузере открываются странные сайты, изменяются настройки.
📎Антивирусное ПО отключается без причины.
📎Настройки системы меняются без вашего участия.

Как защититься?
Полностью исключить риск заражения руткитом сложно, но можно значительно снизить вероятность атаки:
⚫️ Обновляйте операционную систему и программы — это поможет закрывать уязвимости, которые могут использовать хакеры.
⚫️ Используйте антивирусное ПО с функцией обнаружения руткитов.
⚫️ Будьте осторожны при скачивании файлов — проверяйте источники, избегайте пиратских программ и подозрительных вложений.
⚫️ Ограничьте права доступа для программ — не давайте приложениям больше разрешений, чем им необходимо.
⚫️ Следите за поведением системы — если заметили необычную активность, проведите проверку из «чистой» среды, например, загрузившись с безопасного USB-носителя.

#Техноразбор

Schtasks.exe — твой новый враг

Недавно исследователи безопасности обнаружили zero-day уязвимость в системной утилите Windows — планировщике задач (schtasks.exe), которая поэтапно позволяет злоумышленникам повысить привилегии до уровня системы, скрывать следы своей активности и запускать вредоносные процессы в рамках выполнения задач.

Как это работает:
1️⃣ Подготовка: для создания задачи, выполнение которой будет происходить с повышенным уровнем доверия, злоумышленник должен получить учетные данные локального администратора, в результате перехвата и последующего перебора пароля NTLMv2-хэша, который можно получить с помощью инициализации SMB-подключения к удаленному ресурсу злоумышленника, либо эксплуатируя уязвимость, например, CVE-2025-24071.

2️⃣ Инициализация вредоносной задачи: уязвимость позволяет злоумышленнику зарегистрировать задачу в системе с помощью системный утилиты schtasks.exe, которая запускается с параметрами /ru (для указания имени пользователя) и /rp (для передачи пароля пользователя), а также принимает значение параметра, указывающего на конфигурационный XML-файл с атрибутами вредоносной задачи.
Для этого создается промежуточная задача с помощью того же бинарного файла schtasks.exe с последующей передачей полезной нагрузки в виде подготовленного XML-файла с измененным значением тега . В значения параметров /ru и /rp передаются ранее скомпрометированные учетные данные пользователя.

3️⃣ Сокрытие следов: злоумышленники могут скрыть факты вредоносных действий, используя отсутствие механизма проверки размера буфера при обработке метаданных для тега Author из XML-файла, дескриптор которого имеет ограничение примерно в 3500 байт. Это означает, что если автором задачи будет строка 'RT Protect', повторяющаяся 320 раз, то эти данные перезапишут остальные данные в событии.

Что можно сделать:
📎 Отслеживать активность запланированных задач.
📎 Внедрять дополнительные механизмы защиты и контроля доступа, чтобы минимизировать вероятность эксплуатации уязвимостей.
📎 Регулярно проверять логи на наличие исходящих подключений по протоколу SMB (это может быть первым признаком атаки).
📎 Настроить уведомления для EventID 4698 (событие создания задачи), чтобы отслеживать подозрительную активность. Несколько задач, созданных за короткий промежуток времени — тревожный сигнал!
📎 Установить RT Protect EDR, позволяющий своевременно выявлять продвинутые атаки.

#Новости

📢 Сколько раз вас пытались обмануть?

Каждый день кто-то теряет деньги из-за киберпреступников. Кто-то ведется на фальшивые звонки «из банка». Кто-то вводит данные на поддельных сайтах. Кто-то верит, что его SIM-карта вот-вот заблокируется, и спешит подтвердить свою личность, передавая мошенникам доступ к аккаунтам.

Цифры, которые нельзя игнорировать
📎В 2024 году в России совершено 765,4 тыс. киберпреступлений — на 13,1% больше, чем в прошлом году.
📎Доля IT-преступлений среди всех преступлений выросла до 40%.
📎Самый крупный единоразовый перевод мошенникам — 180 миллионов рублей.
📎Интернет-мошенничество выросло на 23%.
📎Телефонные аферы — на 14,3%.
📎Тяжкие киберпреступления увеличились на 7,8%.
📎В полицию обращаются только 30% пострадавших от киберпреступлений.

Что делать, если вам звонят с подозрительными просьбами?
1️⃣ Не паниковать.
2️⃣ Прервать разговор.
3️⃣ Самостоятельно перезвонить в банк или службу, от имени которой вам звонили.

Защититься от киберпреступников проще, чем кажется: главное — не принимать решения в спешке и не доверять звонкам и сообщениям, какими бы убедительными они ни казались.

#ИнсайдДня

🔒Взлом Jira

Швейцарская телекоммуникационная компания Ascom подтвердила, что в марте этого года стала жертвой кибератаки группировки HellCat. Хакеры воспользовались скомпрометированными учётными данными Jira, чтобы похитить важные данные.

Что произошло?
Хакеры получили доступ к тикет-системе Ascom и похитили около 44 ГБ данных, включая:
📎Исходные коды продуктов
📎Проектную документацию
📎Счета и финансовые записи
📎Конфиденциальные записи из тикет-системы

Как хакеры получают доступ?
Основной способ проникновения, который стал фирменным знаком HellCat — эксплуатация учетных данных Jira, полученных от скомпрометированных сотрудников, зараженных Infostealers (программы для сбора паролей).

Новые жертвы хакеров
Jaguar Land Rover и Affinitiv стали последними мишенями. Что похитили хакеры?
🟡 Jaguar Land Rover — украдено около 700 внутренних документов, включая исходные коды и персональные данные сотрудников.
🟡 Affinitiv — похищено 470 000 email-адресов и 780 000 записей о клиентах, включая персональные данные.

Как защититься?
Чтобы избежать атак, следуйте этим рекомендациям:
1️⃣ Регулярно обновляйте пароли.
2️⃣ Используйте двухфакторную аутентификацию.
3️⃣ Проводите регулярные проверки безопасности всех сервисов, особенно тех, где хранится конфиденциальная информация.

#Новости

📢 РТ-Информационная безопасность на форуме «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025»

3 апреля наша команда приняла участие во II Форуме «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ» — масштабной площадке, объединившей ключевых игроков индустрии и передовые решения в сфере информационной безопасности.

👾Алексей Жуков, руководитель департамента сервисов и продуктов, стал участником жаркого батла «Пентесты vs Багбаунти vs Кибериспытания». Вместе с экспертами рынка он обсудил подходы к выявлению уязвимостей и исчерпывающе обозначил преимущества и недостатки каждого подхода при реализации ИБ-стратегии компаний.

👾Константин Васильев, заместитель руководителя RT Protect SOC, выступил с докладом «Вскрытие экосистем продуктов». Он показал, как выстроить эффективную систему мониторинга в сложных рыночных условиях и полностью реализовать потенциал продуктов различных классов для обнаружения и отражения атак любой сложности — от фишинга до продвинутых целевых атак.

Форум стал отличной возможностью поделиться опытом, пообщаться с представителями отрасли и продемонстрировать лидерство экспертизы РТ-ИБ в своей области. Мы благодарим организаторов за насыщенную программу и встречу с профессиональным сообществом!

❗️А Вы можете в любое время обратиться к нам за услугами и продуктами!

Хакеры атакуют Windows через Проводник

Наши эксперты выявили первые случаи эксплуатации уязвимости CVE-2025-24071, связанной с Windows 10, 11 и серверными версиями операционной системы.

Механизм атаки
📎Злоумышленники распространяют вредоносный архив, содержащий PDF-документ и файл с расширением .library-ms.
📎Этот файл представляет собой XML-документ, который содержит ссылку на удаленный SMB-ресурс, контролируемый атакующими.
📎Когда пользователь распаковывает архив, Windows Explorer автоматически анализирует содержимое файла .library-ms и пытается подключиться к указанному SMB-ресурсу. В процессе этого соединения система выполняет NTLM-аутентификацию без ведома пользователя.
❗️Результат: компрометация NTLMv2-хеша учетной записи, что создает возможность для проведения последующих атак.

На данный момент атаки с использованием данной уязвимости уже зарегистрированы в организациях России и Беларуси.
Основной вектор атак — электронная почта. Злоумышленники рассылают архивы, маскируя их под легитимные документы. Вложения включают PDF-файл, чтобы отвлечь внимание пользователя, и файл .library-ms, который инициирует атаку.

Рекомендации по защите
1️⃣ Ограничьте SMB-соединения с внешними IP-адресами.
2️⃣ Установите последние обновления безопасности для Windows.
3️⃣ Отключите автоматическую обработку .library-ms.
4️⃣ Блокируйте получение таких вложений в почтовых сообщениях.

#Новости

[АРХИВНАЯ ЗАПИСЬ: EQUIFAX]
КЛАССИФИКАЦИЯ: крупнейшая утечка данных финансовых организаций
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: сентябрь 2017
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: май-июль 2017
ЧИСЛО ПОСТРАДАВШИХ: 147 000 000 человек

📢 ВЫПИСКА ИЗ ОТЧЕТА
Equifax — одна из крупнейших кредитных компаний США. Она собирает данные о финансовой активности миллионов людей, включая кредитные истории, номера социального страхования и налоговую информацию.
Весной 2017 года хакеры нашли лазейку в системе компании. Уязвимость CVE-2017-5638 была в популярной веб-платформе Apache Struts, используемой для обработки запросов клиентов. Патч для закрытия этой дыры вышел за два месяца до атаки, но Equifax не обновила систему.
Хакеры без особого труда проникли внутрь. Первым делом они создали несколько удаленных серверов, через которые медленно и осторожно выкачивали данные, чтобы избежать подозрений. Это продолжалось 76 дней.

Какие данные были украдены?
📎Полные имена
📎Даты рождения
📎Номера социального страхования
📎Адреса и номера телефонов
📎Кредитные рейтинги
📎Номера водительских удостоверений
📎Номера банковских карт (209 000 клиентов)

Злоумышленники получили все необходимое для кражи личности. Это означает, что пострадавшие могли стать жертвами финансового мошенничества, взлома счетов и оформления кредитов на их имя.

ЦЕЛИ АТАКИ
Хакеры не просто украли данные — они оставили следы, указывающие на причастность иностранного государства. В 2020 году Министерство юстиции США обвинило четырех сотрудников китайской военной разведки (НОАК) в организации атаки.
Считается, что:
⚫️ Это была не обычная киберпреступность, а разведывательная операция.
⚫️ Данные могли использоваться для создания фальшивых личностей и шпионажа.
⚫️ Атака могла стать частью более крупной кампании по сбору информации о гражданах США.

ХРОНОЛОГИЯ СОБЫТИЙ
Март 2017 — Обнаружена уязвимость в Apache Struts. Эксперты выпускают обновление.
Май 2017 — Начало кибератаки. Злоумышленники медленно выкачивают данные.
Июль 2017 — Equifax закрывает доступ хакерам, но не сообщает об утечке.
Сентябрь 2017 — Компания официально признает взлом.
2020 — США предъявляют обвинения хакерам из Китая.

РЕКОМЕНДАЦИИ
1️⃣ Используйте заморозку кредитного отчета. Это предотвратит оформление кредитов на ваше имя без вашего разрешения.
2️⃣ Не используйте один и тот же пароль для нескольких аккаунтов. Если один из них скомпрометирован, другие тоже окажутся под угрозой.
3️⃣ Настройте мониторинг кредитной активности. Специальные сервисы предупредят вас о подозрительных операциях.
4️⃣ Будьте осторожны с фишинговыми письмами. После таких утечек часто увеличивается количество мошеннических сообщений, маскирующихся под официальные организации.

Equifax заплатила $700 млн в качестве штрафов и компенсаций пострадавшим. Однако миллионы людей до сих пор не знают, кто использует их личные данные.

Документ закрыт. Доступ ограничен.

#Архив

❗️Конец HTTP

Компания Cloudflare сделала решающий шаг в сторону безопасного интернета, полностью отключив HTTP для доступа к своему API. Теперь все попытки подключиться к «api.cloudflare[.]com» по небезопасному протоколу будут немедленно отклоняться.

Что это значит?
📎HTTP больше не будет работать — все соединения будут только через HTTPS.
📎Сервер не будет перенаправлять HTTP-запросы на HTTPS — соединение попросту не состоится.
📎Это поможет предотвратить утечку чувствительных данных, которые раньше могли покидать ваше устройство в открытом виде.

Почему это важно?
1️⃣ Cloudflare сообщает, что 2,4% всего трафика проходит по HTTP, а среди автоматизированных систем этот показатель достигает 17%.
2️⃣ Это создаёт угрозу для старых устройств, скриптов и ботов, которые не поддерживают шифрование по умолчанию.
3️⃣ Наиболее уязвимы были публичные Wi-Fi сети, где трафик можно было перехватить без особых усилий.

Что будет дальше?
Разработчики, использующие API Cloudflare для управления своими сайтами, настройками защиты и аналитикой, теперь обязаны использовать только HTTPS. В случае, если у вас ещё остались старые скрипты или устройства, использующие HTTP, они больше не смогут взаимодействовать с API. Это требует обновления настроек и миграции на более современные протоколы.

⚫️ В конце года Cloudflare выпустит инструмент для отключения HTTP-трафика для всех пользователей.
⚫️ Пока можно следить за статистикой трафика через раздел «Analytics & Logs > Traffic Served Over SSL».

#Новости

📢 ПЕРЕХВАЧЕННОЕ СООБЩЕНИЕ: ОПЕРАЦИЯ «TELEMANCON»

Отправитель: Анонимный источник
Получатель: Те, кто хочет защитить свои данные
Статус: Срочная рассылка

Специалисты по информационной безопасности зафиксировали активность новой кибергруппировки Telemancon, ориентированной на промышленный сектор России. Используемые ими методы маскировки и доставки вредоносного ПО указывают на высокий уровень подготовки атакующих и их вероятную связь со спецслужбами.

Механизм атаки
📎Фишинговая рассылка. Жертве отправляется письмо с архивом, содержащим исполняемый .scr-файл.
📎Запуск вредоносного кода. При открытии файла загружается загрузчик TMCDropper, который проверяет, не запущен ли он в анализируемой среде (например, песочнице).
📎Установка бэкдора. Если проверка не выявляет угроз, дроппер устанавливает TMCShell — скрытый канал управления системой.
📎Связь с сервером атакующих. TMCShell получает команды через сервис telegra.ph, что затрудняет обнаружение активности злоумышленников.
📎Сокрытие присутствия. Вредоносное ПО размещается в системной папке Contacts, а его файлы имеют нестандартные расширения, что позволяет обходить защитные механизмы.

Предположительная причастность Core Werewolf
По данным специалистов, методы атаки Telemancon во многом схожи с тактиками Core Werewolf — группировки, известной своим промышленным кибершпионажем и копированием техник Gamaredon. Хотя однозначная атрибуция пока невозможна, почерк атак указывает на организованную и профессиональную деятельность.

Рекомендации по защите
1️⃣ Будьте внимательны к входящей корреспонденции. Не открывайте вложения из неожиданных писем, даже если они выглядят официально.
2️⃣ Проверяйте системные файлы. Если в папке Contacts появились неизвестные объекты, это может быть признаком атаки.
3️⃣ Ограничьте выполнение PowerShell-скриптов и контролируйте запуск исполняемых файлов.
4️⃣ Используйте RT Protect EDR для обнаружения целенаправленных атак на конечных устройствах.

#КиберХроника

👾 Алгоритмы против власти

В сети появилась аудиозапись с участием вице-президента США Джей Ди Ванса, в которой он якобы критикует Илона Маска. Запись быстро стала вирусной, но вскоре выяснилось, что она была создана с помощью искусственного интеллекта.

Что произошло?
Распространились слухи о том, что Джей Ди Ванс заявил, будто Маск — «человек, играющий роль великого американского лидера». Однако директор по коммуникациям Ванса опроверг эти утверждения, заявив, что аудио является фальшивкой.

Эксперты из Reality Defender, компании, специализирующейся на выявлении дезинформации, провели анализ аудиофайла.
📢 Их вывод: голос был синтезирован с использованием ИИ, а в запись добавили фоновый шум и реверберацию, чтобы замаскировать её искусственное происхождение.

Почему это важно?
Запись, несмотря на опровержение, набрала более 2 миллионов просмотров и 8000 комментариев в TikTok.
❗️Однако стоит отметить, что в данном инциденте были нарушены правила самой платформы TikTok, включая запрет на распространение дезинформации и использование AI-контента без соответствующей маркировки.

Но эта проблема актуальна не только для западного медиапространства. Дипфейки и аудиофейки могут использоваться для дестабилизации общественного мнения и в российском информационном поле. Такие технологии позволяют злоумышленникам организовывать масштабные или локальные кибератаки — от дискредитации публичных личностей до попыток манипуляции в политических и экономических сферах.

Как защититься?
1️⃣ Не верьте всему, что видите и слышите. Доверяйте проверенным источникам, перепроверяйте факты.
2️⃣ Будьте скептичны к подозрительным видео и аудио. Особенно если человек говорит что-то нехарактерное для него.
3️⃣ Используйте технологии распознавания. Компании уже создают инструменты для анализа фальшивых записей.
4️⃣ Не делитесь биометрическими данными. Чем больше фото и видео с вами в сети, тем легче создать дипфейк.

#Новости

Дипфейки: революция или оружие обмана?

Сегодня мы живем в мире, где нельзя верить даже своим глазам. Видео, на котором известный политик делает шокирующее заявление? Голос знаменитости, призывающий к чему-то странному? Звонок от начальника с просьбой срочно перевести деньги? Всё это может быть дипфейком.

⚙️ Как работают дипфейки?
Дипфейки (от deep learning — «глубинное обучение» и fake — «фальшивка») создаются с помощью искусственного интеллекта, который анализирует видео, изображения или аудио и генерирует максимально реалистичную подмену.
Алгоритмы машинного обучения изучают лицо или голос человека, запоминают мельчайшие нюансы — мимику, интонации, повороты головы — и затем переносят их на другое изображение или аудиозапись. В результате можно создать видео, где человек говорит и делает то, чего он никогда не говорил и не делал.

📢 Можно ли распознать дипфейк?
Пока что — да. Хотя технологии становятся всё совершеннее, подделки всё же оставляют следы:
📎Ненатуральная мимика. Лицо может двигаться рывками или выглядеть «пластиковым».
📎Странное моргание или его отсутствие. Глаза — сложный элемент для генерации, и иногда алгоритмы допускают ошибки.
📎Различия в освещении. Тень может падать неестественно, а лицо — выделяться на фоне.
📎Аудио-несовпадения. Голос звучит реалистично, но губы двигаются не совсем в такт.

Чем это опасно?
Дипфейки — это не просто забавные ролики в TikTok. Они несут реальные угрозы:
🟡 Шантаж. Мошенники могут создать фальшивое видео с вами и требовать деньги.
🟡 Финансовые аферы. Генеральные директора, получающие поддельные голосовые приказы, уже теряют миллионы.
🟡 Манипуляция общественным мнением. Поддельные политические заявления могут повлиять на выборы и массовое сознание.

Дипфейк-приложения

1️⃣ DeepFaceLab
Самый мощный инструмент для создания дипфейков.
📎Использует нейросети, которые анализируют видео, копируют мимику и заменяют лица.
📎Именно на DeepFaceLab приходится 95% всех дипфейк-видео в интернете.
📎Требует мощного ПК (Windows, видеокарта с OpenCL, минимум 2 ГБ ОЗУ).

Опасность: используется как для кино и развлечений, так и для обмана. Видео с поддельными заявлениями политиков или «утечки» скандальных кадров уже появлялись в СМИ.

2️⃣ Reface (бывший Doublicat)
📎Простое мобильное приложение, заменяющее лица в GIF и видео.
📎Нужно только загрузить своё фото — остальное сделает нейросеть.
📎Позволяет стать героем мемов или голливудских сцен.

Опасность: загруженные изображения могут сохраняться на серверах приложения.

3️⃣ Zao
📎Позволяет вставить своё лицо в знаменитые сцены фильмов.
📎Работает мгновенно, без долгих вычислений.
📎Умеет не только менять лица, но и подделывать голоса.

Опасность: в политике конфиденциальности указано, что разработчики могут использовать ваши данные в своих целях. То есть ваши дипфейк-видео могут оказаться где угодно.

Как защититься?
⚫️ Не верьте всему, что видите и слышите. Доверяйте проверенным источникам, перепроверяйте факты.
⚫️ Будьте скептичны к подозрительным видео и аудио. Особенно если человек говорит что-то нехарактерное для него.
⚫️ Используйте технологии распознавания. Компании уже создают инструменты для анализа фальшивых записей.
⚫️ Не делитесь биометрическими данными. Чем больше фото и видео с вами в сети, тем легче создать дипфейк.

#ИнсайдДня

Финал атаки: повышение привилегий и уничтожение данных



📢 Всем привет! Я Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC, и мы переходим к финальной части разбора атаки.

В прошлый раз мы обсуждали, как атакующий получает учетные данные и исследует инфраструктуру. Теперь рассмотрим его финальные шаги: повышение привилегий, нанесение ущерба и, конечно же, защита от атаки.



Этап 5 — Повышение привилегий и последующее перемещение

Цель атакующего на этом этапе — получение пароля доменного администратора и доступа к контролеру домена.



Как это происходит:

⚫️ Атакующий знает, что администратор работает на рабочей станции, и пытается извлечь хэш его пароля из lsass с помощью CrackMapExec.

⚫️ Полученный хэш подвергается перебору при помощи John The Ripper, после чего атакующий получает пароль в читаемом виде.

⚫️ Используя этот пароль, атакующий перемещается по сети, получая доступ к серверам.

⚫️ Для дальнейшего продвижения используются PsExec и SMB-каналы, предварительно создав pivot pipe в meterpreter и полезную нагрузку, которая будет общаться через созданный pipe.

⚫️ Вредоносный файл загружается и запускается на скомпрометированном сервере, создавая еще одну сессию meterpreter, но уже на другом хосте.



Как реагирует RT Protect EDR:

🟡 Обнаруживает извлечение хэша и попытки его взлома.

🟡 Фиксирует подключения через SMB и PsExec.



Этап 6 — Нанесение ущерба

Завладев контролем над системой, атакующий переходит к своей финальной цели — уничтожению данных.



Как это происходит:

⚫️ Злоумышленником были обнаружены файлы, которые он захотел удалить в директории C:\Users\Administrator\Desktop\ImportantData\.

⚫️ Для удаления файлов используется WinRAR, который позволяет безвозвратно уничтожать данные с помощью штатного функционала легитимного ПО.

⚫️ Запускается файл Temp.cmd, содержимое которого можно увидеть в карточках к посту.



Как реагирует RT Protect EDR:

🟡 Обнаруживает активность, связанную с удалением файлов в C:\Users\Administrator\Desktop\ImportantData\.

🟡 Мог бы заблокировать атаку, если бы был отключен режим «Только детектирование».



Можно ли было спасти данные?

Некоторые из вас могут спросить: «А можно ли восстановить файлы?»

В RT Protect EDR есть Anti-Ransomware Module (ARW), который защищает, бэкапирует и блокирует уничтожение чувствительных данных. Как именно это работает — обсудим в следующий раз.



Итоги: кто кого?

⚫️ Атакующий получил права доменного администратора, переместился по сети и удалил критически важные файлы.



🟡 RT Protect EDR выявил все ключевые этапы атаки, но атака могла быть остановлена на любом из шагов, если бы был отключен режим «Только детектирование».



Разбор атаки окончен, но это только начало! До встречи!



#KillChain

📢Итоги SOC-батл с AM live

Вчера в прямом эфире эксперты ИБ-рынка сравнивали коммерческие SOC.

🛡Что проверяли?
Состав услуг: мониторинг, реагирование, расследование инцидентов — у кого больше «мяса»?
Гарантии: SLA, время реакции, покрытие угроз — кто не бросает слова на ветер?
Технологии: AI, автоматизация, интеграция — где меньше ручного труда и больше эффективности?
Цена: за что платим — за имя или за реальную защиту?

❗️Кто победил?
По итогам опроса победил всеми любимый Алексей Жуков — руководитель Департамента сервисов и продуктов экосистемы RT Protect

Вывод: крутой SOC — не тот, у которого громкое имя, а тот, кто:
1️⃣Не прячет ограничения в мелком шрифте.
2️⃣Доказывает эффективность цифрами, а не маркетингом.
3️⃣Гибко подстраивается под вашу инфраструктуру.

Если вы защищаете важное, доверьтесь команде АО "РТ Информационная безопасность"

А если пропустили прямой эфир — смотрите запись по ссылке

🛡 ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025

3 апреля РТ-Информационная безопасность примет участие во II Форуме «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ» — ежегодном новаторском мероприятии, объединившем четыре конференции и выставки российских технологий информационной безопасности.

Что точно нельзя пропустить?

📢 Алексей Жуков, руководитель Департамента сервисов и продуктов
12:30 — 13:15 | Батл: пентесты vs багбаунти vs кибериспытания

📢 Константин Васильев, заместитель руководителя RT Protect SOC
15:15 — 15:30 | Вскрытие экосистем продуктов


Присоединяйтесь к мероприятию и не пропустите доклады наших экспертов!🔥

🔒 Экосистема RT Protect

Киберугрозы не дремлют, но и у нас есть чем ответить! Вспомним все о продуктах, стоящих на страже вашей безопасности:

1️⃣ RT Protect EDR: современная защита вашего бизнеса
2️⃣ RT Protect NTA: полный контроль над вашим трафиком
3️⃣ RT Link — корпоративная коммуникация нового поколения
4️⃣ RT Protect TI — платформа разведки угроз
5️⃣ RT Protect EASM: контроль над цифровыми рисками

Хакер Judische: от клавиш клавиатуры — к скамье подсудимых

📢 26-летний канадец Коннор Моука, более известный в киберпреступной среде под псевдонимом Judische, готовится предстать перед судом в США. Он обвиняется в организации ряда масштабных кибератак, которые затронули крупнейшие компании мира.

Как происходили атаки?
📎Массированные кибератаки: Хакеры, возглавляемые Моукой, взломали систему облачной платформы Snowflake, в результате чего пострадали более 165 компаний, включая AT&T, Ticketmaster, Advance Auto Parts, Santander Bank, PepsiCo, Siemens, Yamaha.
📎Мотивация преступников: Главной целью было вымогательство. Моука и его сообщники требовали выкуп в размере $2,5 млн за восстановление украденной информации, угрожая раскрытием конфиденциальных данных.

👾 Преступная сеть The Com
Моука действовал в составе международной преступной сети The Com, которая объединяет киберпреступников, участвующих не только в цифровых вымогательствах, но и в более серьезных преступлениях.
Одним из её участников оказался Кэмерон Вагениус, американский солдат, обвиняемый в попытке продать украденные данные иностранной разведке.

Что дальше?
Сейчас Моука ожидает экстрадиция в США, где ему предстоит ответить по более чем 20 статьям обвинения, включая вымогательство, хищение личности и незаконный доступ к защищенным данным. Его дело будет важным примером для борьбы с международной киберпреступностью.

Представители Snowflake в свою очередь приняли соответствующие меры, внедрив многофакторную аутентификацию и ужесточив парольную политику для учетных записей своих клиентов.

#Новости

🔥Уже завтра, 02.04 (среда), на АМ Live состоится эфир, который мы посвятим сравнению коммерческих SOC.

✅ Мы сравним услуги коммерческих SOC по составу, уровню гарантийных обязательств и стоимости. Проанализируем инфраструктурные различия, уровень технологической зрелости и технической поддержки, чтобы вы могли лучше понять сильные и слабые стороны каждого из них.

📌 Когда: 02.04 в 15:00

👉 Зарегистрироваться >>

🙋🏻Спикер - Жуков Алексей, руководитель Департамента сервисов и продуктов, "РТ-Информационная безопасность"

#AMLive_эфир2апреля_ч2 #кибербезопасность #AMLive #SOC #ИБ

🔐 RT Protect EASM: контроль над цифровыми рисками

Информационная безопасность — это не только защита паролей и антивирус. Бизнесу важно видеть полную картину: какие цифровые активы уязвимы, где могут появиться фишинговые копии, утекли ли учетные данные сотрудников.

Что делает RT Protect EASM?
1️⃣ Инвентаризирует и отслеживает внешние активы компании
2️⃣ Анализирует уязвимости и предупреждает о рисках
3️⃣ Обнаруживает фишинговые домены
4️⃣ Находит утечки и упоминания на хакерских форумах

Как это работает?
RT Protect EASM использует:
📎 Пассивное и активное сканирование — находит поддомены, IP-адреса, открытые порты, сервисы
📎 Анализ веб-сервисов — выявляет уязвимости и устаревшие компоненты
📎 Мониторинг теневого интернета — ищет упоминания в утечках и на хакерских ресурсах
📎 Обнаружение фишинговых атак — фиксирует подозрительные домены

Кому это нужно?
Компаниям любого масштаба, которым важно управлять своими цифровыми активами, минимизировать риски атак и снижать нагрузку на отдел информационной безопасности.

Обеспечение информационной безопасности — это не вопрос будущего, а необходимость сегодняшнего дня.

#RT_Protect_EASM

🔥 РТ-ИБ в топе!

Недавно наш канал вошёл в топ-108 телеграм-каналов в ИБ по версии Sachok и «Пакет Безопасности», заняв почетное место в категории «Корпоративные».

Это важно для нас, но ещё важнее то, что вы читаете, задаёте вопросы и применяете знания на практике.

💛 Спасибо, что вы с нами!

IngressNightmare: новая угроза для Kubernetes

Эксперты Wiz обнаружили критические уязвимости в Ingress NGINX Controller, который используется в кластере Kubernetes для управления входящим трафиком, обеспечивая маршрутизацию запросов к различным сервисам на основе заданных правил. Уязвимости позволяют злоумышленникам выполнять произвольный код (RCE) и захватывать контроль над кластерами.

Что случилось?
📎Обнаружены уязвимости CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974.
📎Уязвимый компонент — Ingress NGINX Controller.
📎Эксплуатация уязвимостей получила название IngressNightmare.

Как работает атака?
🟡 Отправка вредоносного объекта на контроллер.
🟡 Внедрение произвольной конфигурации в NGINX.
🟡 Запуск удаленного выполнения кода (RCE).

Возможные последствия
1️⃣ Полный контроль над Kubernetes-кластером.
2️⃣ Доступ к секретам во всех пространствах имен.
3️⃣ Возможность изменения инфраструктуры.

Как защититься?
📎Обновите Ingress NGINX Controller до версии 1.12.1 или 1.11.5.
📎Если обновление невозможно, ограничьте доступ или отключите контроллер.

#Новости

KillChain: как атакующий добывает учетные данные и исследует инфраструктуру?

📢 Всем привет! Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC, вернулся, чтобы разобрать следующие этапы уничтожения данных контроллера домена.
В прошлый раз мы узнали, как злоумышленник закрепляется в системе и отключает защиту. Теперь — о том, как он получает учетные данные и информацию об инфраструктуре.

Этап 3 — Получение учетных данных пользователя
После закрепления в системе атакующий использует технику OS Credential Dumping: LSASS Memory, чтобы извлечь учетные данные пользователей.

Что происходит:
Для реализации техники используется Beacon Object File (BOF), который позволяет расширить функционал фреймворка для постэксплуатации путем выполнения нагрузки в памяти процесса.
Для маскировки действий атакующий сохраняет дамп памяти в папке C:\Windows\Temp в файл с расширением .TMP.

⚫️ Что удалось атакующему?
Получить дамп памяти процесса lsass и выгрузить данный файл.

🟡 Как реагирует RT Protect EDR:
Обнаруживает получение доступа к памяти процесса lsass с подозрительными правами (PROCESS_ALL_ACCESS) недоверенным процессом w3wp.exe.

❗️Важно: немалое количество правил из наборов экспертизы, применяемых на агентах EDR, нацелены на блокировку получения доступа к учетным данным (lsass, SAM, ntds.dit и д.р.), что позволяет минимизировать последующую компрометацию инфраструктуры.

После получения дампа процесса lsass, атакующий при помощи инструмента pypykatz получает хэш пароля доменного пользователя, который является администратором сервера Exchange, что в перспективе дает возможность получить доступ к хостам, на которых работает данный пользователь.


Этап 4 — Получение информации об инфраструктуре
Получив учетные данные, злоумышленник изучает сеть, чтобы определить ключевые узлы для дальнейшего продвижения атаки.

Что делает атакующий:
Проводит сканирование при помощи nmap со следующей командной строкой: nmap- F 192.168.56.0/28

Получает информацию:
192.168.56.2 — контроллер домена.
192.168.56.3 — сервер Exchange, к которому уже есть доступ.
192.168.56.4 — рабочая станция под управлением ОС Windows, представляющая интерес.


Производит разведку на предмет наличия RDP-сессий на 192.168.56.4 и получает информацию о работе Администратора домена на указанном хосте.

Как реагирует RT Protect EDR:
Фиксирует нестандартные команды, направленные на поиск активных RDP-сессий (quser /server:192.168.56.4).

🟡 С точки зрения EDR, активность, связанная со сканированием сети, не детектируется, поскольку это задача SIEM-системы, однако, EDR может помешать сканированию. Это возможно путём активации параметра «Активная защита от сканирования сетевых портов» в профиле безопасности агента.

⚫️ С точки зрения атакующего, при включении данного параметра, после выполнении той же команды nmap, он получит информацию о том, что почти все порты открыты.

Итоги: кто кого?
📎 Атакующий успешно просканировал инфраструктуру и получил о ней информацию.
📎 Смог обнаружить RDP-сессию пользователя домена на новом хосте.

RT Protect EDR зафиксировал подозрительную активность. Защитные механизмы оказали противодействие в сканировании конечных точек.

🔥 Это еще не конец
Ровно через неделю разберем финальные этапы атаки — подписывайтесь!

#KillChain

🔐Брутфорс: тест на прочность

Пароли защищают аккаунты, но насколько хорошо?
Если злоумышленник решит взломать учётную запись, он может воспользоваться методом брутфорса — простым, но эффективным способом подбора паролей.

Однако брутфорс используется не только хакерами. Специалисты по кибербезопасности применяют его для тестирования защиты систем, чтобы выявить слабые места до того, как это сделает злоумышленник. Что делает этот метод таким опасным? Разберёмся.

Основные методы брутфорс-атак
📎 Перебор случайных символов — классический метод, где подбираются все возможные комбинации.
📎 Перебор по словарю — используются реальные слова и фразы (имена, города, цитаты, рейтинг популярных паролей).
📎 Гибридная атака — к обычным словам добавляются случайные символы (например, важные даты).
📎 Обратная атака — один пароль пробуют для множества логинов.
📎 Персональный взлом — применяется социальная инженерия, используется информация о жертве из социальных сетей и других источников.
📎 Подстановка учётных данных — использование скомпрометированных паролей из других сервисов.
📎 Брут-чек — метод, при котором проверяют учетные записи на различных сайтах, используя похищенные или скомпрометированные пароли.

Как защититься?
1️⃣ Используйте разные пароли для разных сервисов. Даже если один из них попадёт в руки злоумышленников, остальные аккаунты останутся в безопасности.
2️⃣ Создавайте сложные пароли. Длина не менее 12 символов, сочетание букв в разных регистрах, цифр и спецсимволов делает перебор практически невозможным.
3️⃣ Подключите двухфакторную аутентификацию (2FA). Даже если хакер узнает ваш пароль, ему потребуется дополнительный код подтверждения.
4️⃣ Регулярно меняйте пароли. Даже если ваш пароль ещё не утёк в сеть, он может быть скомпрометирован без вашего ведома.
5️⃣ Используйте менеджеры паролей. Это безопасный способ хранения сложных паролей, который избавит вас от необходимости их запоминать.

Как защищают сервисы?
Компании тоже не остаются в стороне. Для защиты от брутфорса они используют:
⚫️ Ограничение числа попыток входа. После нескольких неудачных попыток может потребоваться капча или последует временная блокировка.
⚫️ Настройки сложности пароля и времени его актуальности: минимальная длина, обязательное использование символов разного типа, а также периодическая необходимость смены пароля.
⚫️ Использование соли в хешах — это затрудняет взлом даже в случае утечки базы данных.

#Техноразбор

⚡️Остался 1 час…

До разбора реального киберинцидента в прямом эфире!

Что происходит, когда у компании нет своей ИБ-команды, а защита ограничивается только антивирусом?

В новом выпуске ток-шоу «Безопасная среда» эксперты крупных компаний разберут реальный кейс из практики «Кибериспытаний».

Как действовал атакующий? Какие уязвимости позволили ему достигнуть цели? Можно ли было предотвратить взлом?

Кейс: реализация НС (полная имитация взлома)
Цель: Остановка производства — ключевой ERP системы.
СЗИ: Исключительно антивирусное ПО.

Вводные:
📎 Компания с полным циклом производства, дистрибьюции и услуг, связанных с этим производством
📎 Имеет разветвленную инфраструктуру, связанную с большим физическим присутствием
📎 Обрабатывает ПДн и имеет в штате несколько сотен сотрудников
📎 Собственная ИБ-команда отсутствует
📎 Много лет на рынке

Наш эксперт:
📢 Иван Бобков, ведущий аналитик RT Protect SOC.
Он расскажет, как специалисты по мониторингу выявляют атаки, какие сигналы можно было заметить заранее и почему реакция на инциденты – это не менее важно, чем защита.

Кто еще в эфире?
🟡 Сергей Демидов (Московская биржа)
🟡 Антон Бочкарев (3side, Кибериспытания)
🟡 Модератор – Артем Куличкин (СОГАЗ)

❗️26 марта, 12:00 по мск

Как присоединиться?
Участие бесплатное — скорее регистрируйтесь!
Подробности по ссылке.

Утечка данных пользователей Keenetic

В сеть попала база данных с конфиденциальной информацией владельцев роутеров Keenetic. Компрометация затронула более миллиона пользователей.

Что произошло?
Исследователи Cybernews подтвердили утечку 1 034 920 записей, содержащих:
📎 Логины и email-адреса владельцев устройств;
📎 SSID и пароли Wi-Fi в открытом виде;
📎 MAC-адреса, IP-адреса, конфигурации роутеров;
📎 Логи активности пользователей, включая посещаемые ресурсы;
📎 Ключи шифрования и данные VPN-подключений.

Почему это опасно?
Эта утечка — не просто список случайных данных. Скомпрометированная информация может использоваться злоумышленниками для:
🟡 Подключения к вашему Wi-Fi без разрешения;
🟡 Перехвата интернет-трафика и слежки за активностью;
🟡 Изменения настроек роутера и создания лазеек для атак;
🟡 Использования вашего IP-адреса в мошеннических схемах.

Реакция Keenetic
Компания заявляет, что проблема была устранена еще в марте 2023 года, и под угрозой оказались только пользователи мобильного приложения, зарегистрированные до 16 марта 2023 года. Тем не менее, утекшие данные уже попали в чужие руки, и их использование остается открытым вопросом.

Эксперты РТ-Информационная безопасность рекомендуют:
1️⃣ Сменить пароли Wi-Fi и администратора роутера;
2️⃣ Отключить удалённое управление, переадресацию портов, UPnP;
3️⃣ Обновить прошивку роутера до последней версии;
4️⃣ Проверить список подключённых устройств — нет ли лишних?

#Новости

RT Link — корпоративная коммуникация нового поколения

Сколько мессенджеров вы используете для работы?
Чаты в одном, звонки в другом, файлы отправляете через почту… А теперь представьте платформу, где всё это собрано в одном месте — безопасно, удобно и быстро.

Что меняется с RT Link?
Коммуникация становится проще
1️⃣ Один мессенджер вместо множества сервисов
2️⃣ Чаты, видеозвонки, конференции, пересылка файлов – всё на одной платформе
3️⃣ Демонстрация экрана и корпоративные каналы для удобной работы команды

Безопасность выходит на первый план
🟡 Трёхслойное шифрование всех данных
🟡 End-to-End защита звонков и переписок
🟡 Чаты с исчезающими сообщениями
🟡 Запрет на резервное копирование в облако

Рабочие процессы ускоряются
📎Интеграция с инфраструктурой компании (Active Directory, IP-телефония)
📎Автоматизация задач с чат-ботами
📎Управление доступами и правами сотрудников

Вместо хаоса — прозрачность. Вместо риска утечки — контроль. Вместо устаревших инструментов — новая корпоративная реальность.

#RT_Link

Тема: Уязвимость SQL-инъекции и методы защиты
Дата: 24.03.2025
Автор: Ян, аналитик первой линии

Этот пост для тех, кто хочет разобраться, как SQL-инъекции до сих пор помогают злоумышленникам взламывать базы данных.

Что такое SQL-инъекция?
SQL-инъекция (SQLi) — уязвимость, позволяющая атакующему внедрять вредоносный SQL-код для доступа к базе данных. Это одна из самых распространенных и опасных атак, угрожающая любому сайту или приложению, работающему с SQL.

Симптомы взлома
📎 Внезапный поток подозрительных запросов.
📎 Перенаправление пользователей на странные сайты.
📎 Необычные всплывающие окна и ошибки базы данных.

Этапы атаки
🟡 Поиск уязвимых веб-приложений — злоумышленник ищет сайты, которые используют SQL-запросы без должной защиты.
🟡 Анализ точек ввода — проверяются формы логина, регистрации, поиска и другие поля, куда можно вставить SQL-код.
🟡 Внедрение вредоносного кода — злоумышленник вводит специальный SQL-запрос в поле ввода или URL. Если защита слабая, сервер выполняет его, предоставляя доступ к данным.

Виды SQL-инъекций
SQL-инъекции (SQLi) различаются по способу атаки и масштабу ущерба. Разберём три основных типа:

1️⃣ Внутриполосная атака (In-band SQLi)
Самый распространённый и удобный для хакеров способ. Один и тот же канал используется и для атаки, и для сбора данных.
📎 Error-based SQLi – взломщик провоцирует ошибки базы данных, анализирует их и выявляет уязвимости.
📎 Union-based SQLi – злоумышленник объединяет запросы и получает нужные данные через SQL-оператор UNION.

2️⃣ Инференциальная атака (Inferential SQLi, «слепая» SQL-инъекция)
Данные напрямую не передаются, но можно понять структуру базы по реакции сервера.
📎 Time-based SQLi – серверу отправляют запрос, вынуждая его задерживать ответ. Если реакция замедляется, значит уязвимость найдена.
📎 Boolean SQLi – хакер получает ответы в формате «да» или «нет», постепенно выявляя, какие данные есть в системе.

3️⃣ Внеполосная атака (Out-of-band SQLi)
Используется, когда другие методы не работают из-за нестабильности сервера. Данные передаются через альтернативные каналы (например, HTTP-запросы или DNS).

Как защититься?
📎 Используйте подготовленные SQL-запросы (prepared statements).
📎 Фильтруйте пользовательский ввод и экранируйте спецсимволы.
📎 Ограничьте права доступа: приложение не должно иметь полный контроль над БД.

SQL-инъекции остаются актуальными, потому что ошибки в коде встречаются даже у опытных разработчиков.

Защита — это не разовое действие, а постоянный процесс. Проверьте, насколько безопасно ваше приложение, прежде чем это сделает кто-то другой.

#УголокТехнаря

👾 DDoS-атака на Lovit

С 21 марта интернет-провайдер Lovit подвергается мощной DDoS-атаке. Хотя доступ в интернет восстановлен, возможны сбои: снижена скорость, некоторые сайты остаются недоступными.

Что известно?
Атака началась утром 21 марта. Жалобы поступили от пользователей Москвы, Санкт-Петербурга и Нижегородской области.
Lovit сообщил, что «затронуты ключевые элементы инфраструктуры». Для защиты задействована Национальная система противодействия DDoS-атакам (НСПА), но угроза пока не устранена.

Последствия
1️⃣ За двое суток поступило почти 4000 жалоб на сбои.
2️⃣ Магазины в жилых комплексах застройщика ПИК временно остались без интернета, а значит, и без работающих касс.
3️⃣ Доступ к некоторым ресурсам остается ограниченным.

Что делать пользователям?
🟡 Перезагрузите роутер и дождитесь улучшения ситуации.
🟡 Не вводите пароли и личные данные, если страницы грузятся странно или долго.
🟡 Проверяйте официальные каналы Lovit для актуальной информации.

#Новости

Итоги викторины

75% участников викторины ответили верно.

❗️Правильный ответ — брутфорс-атака.

Что такое брутфорс?
Брутфорс (brute-force) — способ взлома, при котором злоумышленник перебирает различные комбинации логинов, паролей и ключей шифрования.
Цель атакующего — войти в систему и получить доступ к защищённой информации.

Зло или благо?
📎 Хакеры используют его, чтобы взламывать аккаунты.
📎 А специалисты по кибербезопасности — чтобы проверять, насколько системы устойчивы к атакам.

📢 Как защититься от брутфорса?
Об этом расскажем в следующем Техноразборе! Подписывайтесь!

Опасная подделка: вирус под видом reCAPTCHA

📢 Киберпреступники нашли способ заражать устройства пользователей, подделывая окна reCAPTCHA и Cloudflare Turnstile. Вместо обычной проверки «Я не робот» жертвы сталкиваются с вредоносным кодом, который загружает вирусы и крадёт данные.

Как это работает
Группа ClearFake использует скомпрометированные сайты на WordPress, чтобы показывать пользователям поддельные капчи. После клика жертве предлагают «обновить браузер» или «исправить ошибку». Вместо обновления на устройство загружается вредоносное ПО.

Что распространяют злоумышленники
1️⃣ Lumma Stealer, Vidar Stealer — крадут пароли, файлы и банковские данные.
2️⃣ ClickFix — заставляет жертву выполнять вредоносные команды.
3️⃣ EtherHiding — делает атаку трудноотслеживаемой, пряча код в блокчейне Binance Smart Chain.

Масштабы атаки
По данным Sekoia, заражено уже более 9 300 сайтов, а около 200 000 пользователей могли столкнуться с вредоносными страницами.

Как защититься
🟡 Не вводите данные на сайтах, если капча кажется подозрительной.
🟡 Не скачивайте обновления браузера с неизвестных источников.
🟡 Используйте антивирус и соответствующие расширения браузера для блокировки вредоносных скриптов.
🟡 Реализуйте защиту конечных точек от продвинутых угроз с помощью RT Protect EDR.

#Новости

KillChain: как хакер закрепляется в системе и отключает защиту

Привет! С вами снова Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC.
Мы продолжаем разбирать атаку на контроллер домена в виртуальной инфраструктуре. В прошлый раз атакующий получил первоначальный доступ к серверу. Теперь он переходит к следующему этапу: закреплению в системе и отключению средств защиты.
Разберем подробно: какие шаги предпринимает злоумышленник, и как на это реагирует RT Protect EDR.

Как хакер скрывает свое присутствие?
Оказавшись внутри системы, атакующий не хочет терять контроль. Он выполняет три ключевых действия:
1️⃣ Инъекция в другой процесс.
2️⃣ Отключение средств защиты.
3️⃣ Загрузка ВПО и его добавление в автозагрузку.

Шаг 1: Инъекция в другой процесс
Как атакующий пытается скрыться?
Когда хакер получает доступ через meterpreter, он запускает свой код в процессе powershell.exe. Но у него есть проблема:
powershell.exe был запущен процессом w3wp.exe, и если получить доступ к командной строке, то получится следующая цепочка процессов *-> w3wp.exe -> powershell.exe -> powershell.exe -> cmd.exe, что является очень подозрительным. Для затруднения обнаружения атакующий решает переместиться в другой процесс.

Что делает атакующий?
Злоумышленник использует команду «migrate» в meterpreter и мигрирует из процесса powershell.exe в процесс w3wp.exe.

Как реагирует RT Protect EDR?
RT Protect EDR зафиксировал нестандартное межпроцессное взаимодействие, связанное с созданием нити в процессе w3wp.exe из powershell.exe.

Шаг 2: Отключение средств защиты
После выполнения инъекции в другой процесс атакующему желательно закрепиться на скомпрометированном хосте. Поэтому следующим шагом он отключает стандартные средства защиты Windows:
🟡 Windows Defender
🟡 Windows Firewall

Как он это делает?
Отключение стандартных средств защиты Windows реализуется при помощи изменения значений следующих ключей в реестре Windows:

EnableFirewall в HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

DisableAntiSpyware в HKLM\SOFTWARE\Policies\Microsoft\Windows Defender

Шаг 3: Добавление вредоносного ПО в автозагрузку
После успешного отключения защиты атакующий загружает вредоносное ПО и добавляет его в автозагрузку: при помощи команды «reg createkey» он создает значение Avast в ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run и указывает путь до исполняемого файла вредоносного ПО, тем самым пытаясь дополнительно замаскироваться под легитимное ПО.

Как реагирует RT Protect EDR?
Сразу после добавления ПО в автозагрузку — в EDR был создан инцидент, в котором была обнаружена подозрительная активность процесса w3wp.exe, связанная с редактированием следующих ключей реестра:

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Итоги: кто кого?
Что удалось атакующему?
📎 Выполнить инъекцию в процесс.
📎 Отключить защитные механизмы Windows.
📎 Добавить вредоносное ПО в автозагрузку.

Что помешало атакующему?
RT Protect EDR зафиксировал все подозрительные действия.
Даже грамотная атака не осталась незамеченной. Система защиты зафиксировала все критически важные события.

До следующего разбора — 7 дней
Подписывайтесь, чтобы не пропустить!

#KillChain

Киберугроза или фантазия: итоги опроса

Если вы выбрали первый сценарий "💛", то оказались правы!

Исследователи из Tarlogic Security действительно нашли бэкдор в Bluetooth-чипе ESP32. Это значит, что миллиард устройств — от умных замков до медицинского оборудования — под угрозой.

📢 А что со вторым сценарием?
«Искусственный образ» — это не фантастика, но пока массовых атак такого уровня не зафиксировано. Однако технологии deepfake уже активно используют в мошенничестве и подмене личности.

В следующем посте разберем, как хакеры обходят системы распознавания лиц с помощью ИИ, и что с этим делать.

🔥 Подписывайтесь, чтобы не пропустить!

Киберугроза или фантазия?

Ниже представлены два сценария кибератак. Один из них уже представляет угрозу миллиардам устройств, а второй — пока лишь плод воображения. Сможете угадать, какой сценарий настоящий?

Сценарий 1: Миллиард устройств под угрозой – бэкдор в Bluetooth-чипе
1️⃣ Цель атаки: получение полного контроля над уязвимыми гаджетами через скрытые команды.
2️⃣ Метод: в популярном микрочипе ESP32 от компании Espressif обнаружен скрытый набор из 29 команд, позволяющих злоумышленникам манипулировать Bluetooth-функциями устройства.
3️⃣ Последствия: возможность подделки доверенных устройств, кража данных, использование чипа как точки для атак на другие устройства в сети, закладка вредоносного кода.

Дополнительные детали:
📎Исследование проводила компания Tarlogic Security, представив его на конференции RootedCON в Мадриде.
📎Уязвимость позволяет злоумышленникам изменять MAC-адрес устройства, читать и записывать данные в память, перехватывать соединения.
📎Угроза затрагивает более миллиарда устройств – от умных замков до медицинского оборудования.
📎Уязвимости уже присвоен идентификатор CVE-2025-27840, но производитель пока не дал официальных комментариев.


Сценарий 2: «Искусственный образ» — атака на системы распознавания лиц через синтетические фото
1️⃣ Цель атаки: обман систем распознавания лиц с помощью искусственно созданных изображений.
2️⃣ Метод: хакеры используют нейросети для генерации синтетических изображений лиц, которые выглядят идентично реальным людям. Эти изображения затем применяются для обхода систем безопасности, использующих распознавание лиц, например, в аэропортах или на пограничных постах.
3️⃣ Последствия: несанкционированный доступ к защищённым зонам, перехват личных данных, использование для фишинга и других форм мошенничества.

Дополнительные детали:
📎Генерация изображений происходит с использованием глубоких нейронных сетей, что делает фото почти неотличимыми от реальных.
📎Эта технология может быть использована не только для обхода систем безопасности, но и для создания фальшивых учётных записей, проведения атак с подменой личности.


Как думаете, какой из этих сценариев уже стал реальностью?

💛 — Первый сценарий
🔥 — Второй сценарий
🎉 — Оба сценария


#Следствие_вели

📢 Итоги акции

В рамках акции «100 дней — 100 компаний» мы предложили вам бесплатно протестировать RT Protect Антишифр — модуль, который предотвращает атаки программ-шифровальщиков.

Более 50 компаний приняли участие, и вот результат:
1️⃣ Ни одной успешной атаки программ-шифровальщиков после внедрения защиты.
2️⃣ Критические файлы остаются в безопасности, даже если вирус проник в систему.
3️⃣ Ни рубля на выкуп — бизнес не тратил время и деньги на восстановление.

Как работает RT Protect Антишифр?
📎 Останавливает вредоносный процесс, даже если он работает в связке с другими программами.
📎 Блокирует опасные операции до того, как они нанесут вред.
📎 Автоматически сохраняет копии важных файлов в защищённом хранилище.

RT Protect Антишифр доказал: кибератаки — это не приговор, если защита работает на опережение.

А ваша компания готова к атакам шифровальщиков?

16 RTX 4090 vs Akira Ransomware

Вирус-вымогатель Akira атакует пользователей Linux, шифруя файлы и требуя выкуп за их восстановление. Обычно такие атаки считаются безнадёжными, но исследователь кибербезопасности Йоханес Нугрохо доказал обратное. Он разработал инструмент, который позволяет расшифровать файлы без оплаты злоумышленникам, используя вычислительную мощность видеокарт.

Почему шифрование Akira можно взломать?
Akira генерирует уникальный ключ для каждого файла на основе временной метки в наносекундах. Это делает подбор ключа практически невозможным, поскольку количество вариантов огромно. Но есть нюанс: временные метки можно предсказать, если проанализировать логи системы.
Нугрохо использовал эту слабость, чтобы сузить диапазон возможных ключей и применить метод перебора. Однако из-за сложного механизма шифрования Akira процесс оказался очень ресурсоёмким.

Почему понадобились 16 RTX 4090?
🟡 Первая попытка: тесты на RTX 3060 показали, что карта выполняет всего лишь 60 миллионов попыток расшифровки в секунду.
🟡 Вторая попытка: RTX 3090 оказалась мощнее, но всё равно недостаточно производительной.
🟡 Решение: аренда 16 видеокарт RTX 4090 в облачных сервисах. Такой мощности хватило, чтобы завершить подбор ключа за 10 часов.

Что это значит для пользователей?
📎 Если ваши файлы зашифрованы Akira, их можно восстановить без выкупа.
📎 Исходный код инструмента доступен на GitHub с инструкцией.
📎 Время расшифровки зависит от объёма файлов: чем их больше, тем дольше процесс.

Важно! Перед использованием инструмента сделайте резервные копии — ошибки в подборе ключей могут повредить файлы.

Что дальше?
Этот случай показывает, что современные вирусы-вымогатели не всегда непобедимы. Однако хакеры тоже совершенствуют свои методы, и защита данных остаётся важнейшей задачей.

Чтобы не стать жертвой шифровальщиков:
1️⃣ Делайте резервные копии важных данных на отдельном носителе.
2️⃣ Не скачивайте подозрительные файлы и обновляйте ПО.
3️⃣ Используйте RT Protect Антишифр, чтобы предотвратить атаки шифровальщиков.

#Новости

RT Protect NTA: полный контроль над вашим трафиком

Вы уверены, что видите всё, что происходит в вашей сети?

Утечки данных, подозрительные соединения, скрытые угрозы — большинство атак остаются незамеченными, пока не становится слишком поздно. RT Protect NTA — это инструмент, который превращает хаос сетевого трафика в чёткую картину и помогает выявлять угрозы раньше, чем они нанесут ущерб.

Что даёт RT Protect NTA?
🟡 Полный захват сетевого трафика, как локального, так и интернет-взаимодействий.
🟡 Обнаружение атак и несанкционированных подключений в режиме реального времени.
🟡 Контроль действий сотрудников в сети и выявление подозрительной активности.
🟡 Запись и анализ трафика с возможностью ретроспективного расследования.
🟡 Автоматическое выявление утечек данных и нарушений политики безопасности.
🟡 Минимизация финансовых и репутационных рисков за счёт быстрого реагирования.

Как это работает?
RT Protect NTA фиксирует и классифицирует весь сетевой трафик, используя передовые алгоритмы машинного обучения. Система записывает трафик на диск со скоростью до 20 Гбит/с, позволяет анализировать прошлые инциденты и интегрируется с SIEM-решениями для автоматического реагирования.
📎Мониторинг в реальном времени отображает сетевую активность в удобном формате.
📎Ретроспективный анализ помогает разбирать инциденты с учётом всех деталей.
📎Анализаторы трафика выявляют аномалии, отклонения от нормального поведения и потенциальные угрозы.
📎Идентификация протоколов позволяет точно определять более 1000 видов сетевого взаимодействия.

Кому это нужно?
1️⃣ Крупному бизнесу, где критически важна защита от целевых атак и утечек информации.
2️⃣ Средним компаниям, которым нужно автоматизировать процессы информационной безопасности и снизить нагрузку на команду.
3️⃣ Малому бизнесу, чтобы избежать потерь из-за киберинцидентов и защитить конфиденциальную информацию.

Почему RT Protect NTA?
Поток данных в компании огромен, и среди привычных процессов легко спрятаться атаке. RT Protect NTA не просто собирает информацию, а делает её понятной. Полный контроль над сетью — это не опция, а необходимость в современном мире.

#RT_Protect_NTA

Опасная уязвимость в WebKit: срочное обновление для пользователей Apple

❗️Apple выпустила экстренное обновление безопасности из-за критической уязвимости в WebKit — движке, на котором работает Safari и другие приложения. Ошибка уже использовалась хакерами для атак.

Что произошло?
В коде WebKit обнаружена уязвимость CVE-2025-24201, которая позволяет злоумышленникам выйти за пределы песочницы и выполнять вредоносные команды. Достаточно открыть специально созданный сайт — и система может быть скомпрометирована.

Кто в зоне риска?
1️⃣ iPhone XS и более поздние модели;
2️⃣ iPad Pro (начиная с 3-го поколения 12,9-дюймовой версии и 1-го поколения 11-дюймовой версии);
3️⃣ iPad Air (с 3-го поколения);
4️⃣ iPad (с 7-го поколения);
5️⃣ iPad mini (с 5-го поколения);
6️⃣ компьютеры Mac под управлением macOS Sequoia;
7️⃣ гарнитура Apple Vision Pro.

Что делать?
Apple уже выпустила патчи:
📎 iOS / iPadOS 18.3.2
📎 macOS 15.3.2
📎 visionOS 2.3.2
📎 Safari 18.3.1

Чтобы защитить устройства, обновитесь прямо сейчас.

#Новости

KillChain: закулисье хакерской атаки

📢 Привет! На связи Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC. Сегодня открываем первую главу разбора: как атакующий получает начальный доступ в инфраструктуру. Готовы заглянуть по ту сторону безопасности?

Этап 0 — Получение информации и подготовка к атаке
Прежде чем атакующий начнет активные действия, ему нужно найти уязвимость и спланировать атаку.
⚫️ В нашем случае он обнаружил почтовый сервер Microsoft Exchange Server версии 2016 CU12, который имеет критическую цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
⚫️ Для проверки того, что данный сервер уязвим для ProxyShell, был использован Python-скрипт, который позволил определить точную версию Exchange.
⚫️ ProxyShell позволяет злоумышленнику удаленно выполнить код на сервере без аутентификации. Если сервер Microsoft Exchange 2016 не обновлен до Cumulative Update 21, он остается под угрозой.

Инструменты, которые использует атакующий
�� Фреймворк Metasploit
📎 BOF MiniDumpWriteDump
📎 Программа pypykatz
📎 Инструмент CrackMapExec
📎 Сетевой сканер Nmap
📎 Программа John The Ripper
📎 Утилита PsExec

Этап 1 — Получение первоначального доступа
В Metasploit атакующий находит подходящий эксплойт, указывает параметры и запускает атаку.
Результат? Он получает удаленный доступ к серверу Microsoft Exchange. Может загружать вредоносные файлы и выполнять команды. Но система защиты тоже не спит.

Как отреагировал RT Protect EDR?
За считанные секунды система зафиксировала три инцидента:
1️⃣ Детектирование веб-шелла
Обнаружена попытка загрузки вредоносного веб-шелла через процесс MSExchangeMailboxReplication.exe.
2️⃣ Блокировка веб-шелла
Второй веб-шелл создается через процесс System.
3️⃣ Обнаружение подозрительного PowerShell-кода
Третий инцидент возник из-за наличия подозрительного параметра powershell в командной строке, в том числе из-за наличия base64 строки.

Итоги первой фазы атаки
⬛️ Что удалось атакующему?
Успешно загрузить веб-шелл и получить первоначальный доступ в инфраструктуру.

⬛️ Что увидел RT Protect EDR?
Данная активность была обнаружена RT Protect EDR и потенциально могла быть заблокирована.

🔥 Подписывайтесь, чтобы не пропустить
Следующая часть разбора выйдет ровно через 7 дней!

#KillChain

[АРХИВНАЯ ЗАПИСЬ: Эдвард Сноуден]
КЛАССИФИКАЦИЯ: Крупнейшая утечка секретных данных АНБ
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 5 июня 2013
ПЕРИОД СБОРА ДАННЫХ: 2009 – 2013
ЧИСЛО ОБНАРОДОВАННЫХ ДОКУМЕНТОВ: 200 тыс. секретных документов

ВЫПИСКА ИЗ ОТЧЕТА
Эдвард Сноуден — бывший сотрудник ЦРУ и АНБ, передавший в 2013 году СМИ секретные документы, обнародовав доказательства массовой слежки за гражданами США и других стран.
Среди утечек оказались подробности о секретных программах АНБ, направленных на глобальный контроль интернет-коммуникаций и телефонных разговоров. Эти документы показали, что США следили не только за потенциальными террористами, но и за обычными людьми, журналистами, бизнесменами, а также за мировыми лидерами, включая канцлера Германии Ангелу Меркель и президентов стран-союзников.

Ключевые разоблачения Сноудена
📎Программа X-Keyscore, которая позволяла АНБ просматривать содержимое электронной почты, чатов, поисковых запросов и других видов онлайн-активности по всему миру.
📎Программа Tempora, которая позволяла британской разведке GCHQ перехватывать и хранить огромные объемы интернет-трафика, проходящего через оптоволоконные кабели.
📎Программа Boundless Informant, которая показывала, сколько данных собирает АНБ по разным странам и регионам.
📎Программа Bullrun, которая позволяла АНБ взламывать защищенные шифрованием коммуникации.
📎Программа Muscular, которая позволяла АНБ и GCHQ взламывать линии связи, соединяющие центры обработки данных Google и Yahoo и копировать их данные.
📎Программа Quantum, которая позволяла АНБ внедрять программное обеспечение для прослушивания и шпионажа в компьютеры и смартфоны целевых лиц и организаций.
📎Программа Fairview, которая позволяла АНБ сотрудничать с американскими телекоммуникационными компаниями для перехвата данных зарубежных граждан.

ПОСЛЕДСТВИЯ
⚫️ Международный скандал. США были вынуждены оправдываться перед союзниками, а отношения с Германией и Францией резко ухудшились.
⚫️ Общественные протесты против слежки, которые привели к обсуждению реформ национальной безопасности.
⚫️ Крупнейшие IT-компании пересмотрели свои подходы к конфиденциальности и усилили защиту данных пользователей.
⚫️ В 2015 году Конгресс США принял Закон о свободе США (USA Freedom Act), который ограничил полномочия АНБ по массовому сбору данных.
⚫️ Сноуден стал международным символом борьбы за цифровые права и приватность.

ХРОНОЛОГИЯ СОБЫТИЙ
Март 2013 — Сноуден принимает решение разоблачить АНБ.
Май 2013 — Покидает США и отправляется в Гонконг, где связывается с журналистами The Guardian и The Washington Post.
5 июня 2013 — Первые разоблачения о программе PRISM публикуются в The Guardian.
21 июня 2013 — США предъявляют Сноудену обвинения в шпионаже и аннулируют его паспорт.
23 июня 2013 — Сноуден вылетает в Москву, планируя добраться до Латинской Америки, но застревает в транзитной зоне аэропорта Шереметьево из-за аннулированного паспорта.
Август 2013 — Россия предоставляет Сноудену временное убежище.
2017 — Получает право на постоянное проживание в России.
2020 — Эдварду Сноудену предоставляют российское гражданство.

РЕКОМЕНДАЦИИ
1️⃣ Старайтесь использовать только то программное обеспечение, которому вы доверяете.
2️⃣ Следите за разрешениями приложений — многие программы получают доступ к вашим контактам, микрофону и местоположению.
3️⃣ Отключайте GPS и микрофон, если не используете их.

Документ закрыт. Доступ ограничен.

#Архив

👾 LithiumWare: крошечный вирус, огромный выкуп

Исследователи в области кибербезопасности обнаружили новый вирус-вымогатель — LithiumWare, который распространяется через открытые источники и представляет серьёзную угрозу пользователям и компаниям.
Несмотря на размер всего 103 КБ, вредоносное ПО обладает мощным функционалом и требует за расшифровку данных выкуп до $900 000.

Как действует вирус?
1️⃣ Шифрует файлы с использованием асимметричных алгоритмов шифрования AES и RSA, делая восстановление без ключа злоумышленников практически невозможным.
2️⃣ Постоянно отслеживает буфер обмена, что позволяет перехватывать криптовалютные переводы, подменяя адреса кошельков.
3️⃣ Удаляет теневые копии файлов и отключает механизмы восстановления Windows.
4️⃣ Изменяет ключи реестра и каталоги автозагрузки для автоматического запуска при включении системы.
5️⃣ Мимикрирует под легитимные приложения и сервисы Windows.
6️⃣ Самостоятельно распространяется во все доступные сетевые директории, а также на съёмные носители, что делает его особенно опасным для корпоративных сред.

❗️Важно: LithiumWare — одна из самых опасных киберугроз последних месяцев. Его возможности делают восстановление данных практически невозможным без уплаты выкупа, поэтому критически важно принять меры защиты заранее.

Эксперты РТ-Информационная безопасность рекомендуют:
📎Не открывать и не запускать файлы, полученные из недоверенных источников.
📎Использовать многофакторную аутентификацию и ограничивать доступ к важным данным.
📎Создавать резервные копии и хранить их в изолированной среде.
📎Обновлять операционную систему и антивирусное ПО до актуальных версий.
📎Использовать RT Protect EDR для выявления аномальной активности.

#Новости

RT Protect EDR: современная защита вашего бизнеса

Кибератаки больше не ограничиваются вирусами и троянами. Это сложные, продуманные угрозы, которые могут оставаться незамеченными долгое время. RT Protect EDR не просто обнаруживает атаки, он анализирует их поведение, блокирует угрозы и помогает разбираться в инцидентах.

Как работает RT Protect EDR?
1️⃣ Отслеживает аномальную активность и фиксирует попытки вторжения.
2️⃣ Автоматически блокирует угрозы на конечных устройствах.
3️⃣ Анализирует инциденты и собирает цифровые улики для расследования.
4️⃣ Выявляет уязвимости и предупреждает о возможных атаках.

Что делает его эффективным?
📎 Встроенный сканер уязвимостей.
📎 Модуль Anti-Ransomware, предотвращающий шифрование данных.
📎 Терминал удаленного доступа к хосту.
📎 Конвертер Sigma-правил в IoA.
📎 Корреляция событий и синхронное блокирование угроз на всех устройствах.

Кому необходим RT Protect EDR?
🟡 Компаниям, которым важна защита конфиденциальных данных.
🟡 ИТ- и ИБ-отделам, которым нужен полный контроль над безопасностью.
🟡 Бизнесу, который не может позволить себе простои и утечки.

Вопрос не в том, атакуют ли вас, а в том, готовы ли вы защититься.

#RT_Protect_EDR

РТ-Информационная безопасность × AM Live

Кибератаки неизбежны. Вопрос в том, как быстро и эффективно вы сможете на них реагировать.

📢 12 марта (среда) в 11:00 (МСК) приглашаем вас на онлайн-конференцию «Реагирование на инциденты в информационной безопасности: процессы и люди».

Вместе с Константином Васильевым, заместителем руководителя RT Protect SOC, разберем, как организовать процесс реагирования и сделать его неотъемлемой частью бизнес-процесса, обсудим формирование, подготовку и обучение команд, а также распределение ответственности и полномочий между департаментами ИТ, ИБ и АСУ ТП.

В программе:
🟡 Как процесс реагирования должен быть формализован в плане?
🟡 Какие типы инцидентов требуют заблаговременного планирования и четкой стратегии реагирования, даже если они пока не произошли?
🟡 Какие ключевые компетенции необходимы членам команды реагирования на инциденты для эффективного выполнения своих обязанностей?
🟡 Как грамотно распределить задачи и полномочия между различными департаментами?
🟡 Какие шаги нужно предпринять, чтобы сотрудники были готовы к быстрому и грамотному реагированию?
🟡 Как повысить точность оценки важности инцидента и определения верного плана реагирования?

📎Присоединяйтесь — регистрация по ссылке.

Darkside Inc. Преступный бизнес

В августе 2020 года в даркнете появился необычный пресс-релиз. Группа, представившаяся как Darkside Inc., анонсировала запуск своего продукта — Ransomware-as-a-Service (RaaS), платформы для проведения атак с использованием программ-вымогателей.
Уже в октябре они начали предлагать своим «партнерам» воспользоваться их инструментами и получать процент от выкупа. Всё выглядело так, будто речь идет не о киберпреступниках, а о легальном IT-стартапе.

Что делает их опасными?
Darkside работает не хаотично, а продуманно и методично:
📎Выбирают жертву. Они анализируют финансовые отчёты компаний, оценивают платёжеспособность и атакуют тех, кто может заплатить.
📎Избегают атак на больницы, школы и некоммерческие организации. Они позиционируют себя как «этичные» преступники, но это не мешает им требовать многомиллионные выкупы.
📎Предоставляют «службу поддержки» жертвам. Взломанные компании могут обратиться к ним через веб-чат, чтобы «обсудить условия».
📎Удаляют резервные копии. Если у вас есть бэкапы, но они хранятся в той же сети, их просто стирают перед атакой.

Один из «партнёров» RaaS стал виновником атаки на Colonial Pipeline, крупнейшую трубопроводную систему в США, что привело к приостановке работы нефтепровода и введению режима чрезвычайной ситуации. В результате хакеры получили выкуп в размере 4,4 миллиона долларов в криптовалюте.

Как они действуют?
1️⃣ Внедрение
Они проникают в сеть через фишинговые письма, слабые пароли, украденные учетные данные или уязвимости в системах.
2️⃣ Закрепление
Darkside маскирует свои действия:
— Используют клиент RDP, маршрутизированный над TOR, для управления атаками.
— Избегают обнаружения системами защиты, модифицируя записи реестра, останавливая антивирусное ПО и процессы регистрации событий.
— Медленно разворачивают атаку, чтобы не вызвать подозрений.
3️⃣ Шифрование и вымогательство
— Блокируют доступ к данным.
— Стирают резервные копии.
— Оставляют записку с требованием выкупа и контактами.

Почему они избегают российских компаний?
Перед атакой вредоносное ПО проверяет язык системы. Если он русский или принадлежит странам СНГ, вредоносное ПО не запускается.
Возможные причины:
— Связи с русскоязычными хакерскими группами.
— Желание избежать преследования со стороны правоохранительных органов.
— Поиск русскоязычных партнёров.

#ПрофильПреступника

Милые женщины!

Тепло и искренне поздравляю вас с праздником весны — Международным женским днём 8 марта!

Символично, что этот праздник посвящён вам — нашим любимым, дорогим, неповторимым!

Все самое лучшее, самое светлое на земле мы связываем с весенним пробуждением природы, с зарождением новой жизни. И такие человеческие ценности, как тепло семейного очага, доброта и милосердие — испокон веков хранятся именно вами. Всё, к чему вы прикасаетесь — имеет особый отпечаток добра и безграничной любви.

Спасибо вам за то, что вы всегда рядом, за ваш труд и щедрость сердец, за бесконечное терпение и заботу, поддержку и понимание!

От всей души желаю вам доброго здоровья, вечной молодости и красоты, улыбок, радости, семейного благополучия, счастья и любви!

С. В. Чемезов
Генеральный директор
Государственной корпорации «Ростех»

👾 Мы знаем, где находится ваша уязвимость

Кибератаки не начинаются со взлома — они начинаются с разведки.
Хакеры ищут слабые места в цифровой инфраструктуре компаний: забытые поддомены, открытые порты, устаревшие сервисы. Они анализируют, где проще пробить защиту.
Вопрос в том, кто первым заметит брешь: вы или они?

Что делает RT Protect EASM?
1️⃣ Инвентаризирует и отслеживает внешние активы компании
2️⃣ Анализирует уязвимости и предупреждает о рисках 24/7
3️⃣ Обнаруживает фишинговые домены
4️⃣ Находит утечки и упоминания на хакерских форумах

Как это работает?
RT Protect EASM использует:
📎Пассивное и активное сканирование — находит поддомены, IP-адреса, открытые порты, сервисы
📎Анализ веб-сервисов — выявляет уязвимости и устаревшие компоненты
📎Брутфорс — перебор директорий на сайте и dns имён

Теперь не нужно вручную проверять десятки инструментов и мониторить теневые форумы. RT Protect EASM сделает это за вас.

Среднему бизнесу он помогает сократить нагрузку на специалистов ИБ, а крупным компаниям — закрывать уязвимости раньше, чем их найдут злоумышленники.

#Техноразбор #RT_Protect_EASM

KillChain: начало

Представьте: в сети компании появился злоумышленник. Он действует скрытно, шаг за шагом приближаясь к своей цели — компрометация контроллера домена. Но есть одно «но» — RT Protect EDR наблюдает за каждым его движением.

🗣Привет, я Андрей Федоров, аналитик направления мониторинга и реагирования RT Protect SOC. Мы начинаем серию постов с разбором атаки в реальном времени: проследим за действиями хакера и посмотрим, как RT Protect EDR реагирует на угрозу.

Две стороны одной атаки
⏺Как мыслит злоумышленник? Какие инструменты он использует? Как он обходит защиту?
⏺Что видит RT Protect EDR? Какие действия хакера фиксирует? В какой момент атака становится очевидной?

Этапы атаки:
Этап 0 — Получение информации и подготовка к атаке
Этап 1 — Получение первоначального доступа
Этап 2 — Закрепление и отключение средств защиты
Этап 3 — Получение учетных данных пользователя
Этап 4 — Получение информации об инфраструктуре
Этап 5 — Повышение привилегий и последующее перемещение
Этап 6 — Нанесение ущерба

Для чистоты эксперимента EDR будет работать в режиме «только детектирование» — система будет фиксировать угрозу, но не блокировать ее.

Сможет ли злоумышленник пройти все этапы атаки и достичь своей цели, оставаясь незамеченным? Или система защиты выявит и остановит его раньше?

Подписывайтесь, чтобы не пропустить разбор каждого этапа!

#KillChain

🟡Eleven11bot: киберзахватчик IoT-устройств

Исследователи в области кибербезопасности сообщили о распространении нового ботнета Eleven11bot, который уже заразил более 86 000 устройств по всему миру. В основном это IP-камеры и сетевые видеорегистраторы (NVR), которые после заражения используются для масштабных DDoS-атак.

Как действует Eleven11bot?
Анализ трафика выявил, что атаки ботнета могут достигать сотен миллионов пакетов в секунду и продолжаться в течение нескольких суток.
Эксперты предполагают, что ботнет связан с хакерами из Ирана. Наибольшее число заражённых устройств обнаружено в США, Великобритании, Мексике, Канаде и Австралии.
Всего зафиксировано более 1400 вредоносных IP-адресов, большинство из которых принадлежит реальным устройствам.

Как происходит заражение?
Распространение Eleven11bot происходит через:
⏺Подбор слабых паролей.
⏺Использование стандартных учётных данных.
⏺Сканирование сетей на открытые порты Telnet и SSH.

Эксперты РТ-Информационная безопасность рекомендуют:
⏺Использовать сложные пароли: не менее 12-16 символов с применение заглавных и строчных букв, цифр и специальных символов.
⏺Регулярно обновлять прошивки IoT-устройств.
⏺Проверить список заражённых IP-адресов и заблокировать их в настройках сети.

#Новости

⭐️ Материалы BI.ZONE Cybersecurity Meetup #5

На митапе обсудили, как аналитикам SOC быстрее выполнять рутинные задачи, укрощать алерты и использовать ИИ.

Спасибо спикерам за интересные доклады, а зрителям — за то, что пришли!

Презентации можно скачать здесь.

Ищите себя на фотографиях и делитесь ими с друзьями. 

До новых встреч ;)

Cybersecurity Meetup #5 – РТ-Информационная безопасность в гостях у BI.ZONE

26 февраля команда РТ-Информационная безопасность отправилась на митап к друзьям из BI.ZONE, чтобы обсудить, как автоматизация и искусственный интеллект меняют работу SOC-аналитиков.

Артём Сычев, первый заместитель генерального директора РТ-Информационная безопасность, и Дмитрий Невструев, руководитель направления развития сервисов SOC, представили доклад:
🗣«От скриптов к искусственному интеллекту: эволюция автоматизации RT Protect SOC»

Обсудили три главных вопроса:
⏺Как уйти от рутины и ускорить обработку инцидентов?
⏺Как обуздать поток алертов и сосредоточиться на главном?
⏺Как заставить ИИ работать на аналитиков, а не наоборот?

Технологии не стоят на месте – а вы?
Если пропустили митап, самое время разобраться в теме! Будущее SOC уже здесь.

🗣QR-коды: удобство или ловушка?

QR-коды давно стали частью повседневной жизни. Их используют магазины, кафе, транспортные компании и даже госучреждения. Они помогают быстро перейти на нужный сайт или оплатить покупку. Но за этим удобством скрывается серьезная опасность.

Что не так с QR-кодами?
Обычную ссылку можно изучить: посмотреть адрес, проверить, нет ли подозрительных символов или лишних знаков. QR-код же скрывает эту информацию. Вы просто сканируете его и попадаете на сайт, не зная заранее, безопасен ли он. Этим пользуются мошенники.

Реальная история: мошенничество в подъездах
В Рязани мошенники расклеили в подъездах объявления о «замене домофона». Жителям предлагалось отсканировать QR-код, чтобы оставить заявку на новый ключ.
После сканирования человек попадал на сайт, где нужно было ввести данные банковской карты для «подтверждения личности». Жильцы верили, вводили информацию — и лишались денег. Вернуть их не удавалось, потому что перевод совершался добровольно.

Как работают мошенники?
QR-код сам по себе — это просто инструмент. Но в руках преступников он превращается в мощное оружие. Основные схемы мошенничества:
⏺Фишинг. QR-код ведет на поддельный сайт, который выглядит как настоящий. Человек вводит там логин, пароль или данные карты, думая, что это безопасный сервис.
⏺Вредоносные приложения. Ссылка в QR-коде предлагает установить приложение, которое заражает телефон вирусами.

Как защититься?
⏺Проверяйте источник. Если QR-код наклеен на стену или столб, будьте осторожны. В общественных местах мошенники могут заменить оригинальный код своим.
⏺Используйте предпросмотр ссылок. Многие современные телефоны показывают адрес перед переходом. Если ссылка выглядит странно, не открывайте ее.
⏺Не устанавливайте приложения по QR-коду. Скачивайте программы только через официальные магазины — Google Play или App Store.
⏺Не вводите личные данные. Если после сканирования вас просят указать пароль, номер карты или другую чувствительную информацию — это повод насторожиться.
⏺Используйте антивирус. Современные мобильные антивирусы могут блокировать вредоносные ссылки и приложения.

#ИнсайдДня

Dark Caracal и новый бэкдор Poco RAT: 483 атаки за полгода

Наши коллеги, исследователи Positive Technologies, выявили, что кибергруппировка Dark Caracal, действующая с 2012 года, сменила тактику атак. Если раньше злоумышленники использовали RAT Bandook, то теперь они массово применяют новый бэкдор Poco RAT.
За последние шесть месяцев зафиксировано 483 случая атак с его использованием. Вредоносное ПО распространяется через фишинговые письма, которые содержат файлы-приманки. После их открытия на устройство загружается скрытая программа, обеспечивающая хакерам удалённый доступ.

Как проходит атака?
⏺Жертве приходит письмо, содержащее якобы важный финансовый документ — например, счёт на оплату.
⏺Вложение выглядит правдоподобно, что повышает вероятность его открытия.
⏺После открытия документа автоматически загружается архив в формате .rev с дроппером.
⏺Дроппер устанавливает Poco RAT, не оставляя следов на жестком диске.
⏺Хакеры получают полный контроль над устройством, могут похищать данные, устанавливать другие программы и даже управлять компьютером жертвы.

Кто в зоне риска?
Исследователи отмечают, что атаки ориентированы на испаноязычных пользователей. Большинство случаев заражения зафиксировано в Венесуэле, Чили, Доминиканской Республике и Колумбии.
Однако методы атак, используемые Dark Caracal, могут быть легко адаптированы для других регионов и аудиторий, поэтому риск заражения существует и за пределами этих стран.

Почему это опасно?
⏺Dark Caracal — это не просто хакеры, а группировка, работающая по заказу. Они атакуют правительственные учреждения, журналистов, военные структуры, коммерческие организации и отдельных пользователей.
⏺Количество атак растёт — если с Bandook зафиксировали 355 атак за полтора года, то Poco RAT был использован 483 раза всего за шесть месяцев. Это говорит о переходе на массовые фишинговые кампании.

Как защититься?
⏺Не открывайте подозрительные вложения — даже если документ выглядит легитимно, лучше перепроверить его перед скачиванием.
⏺Используйте двухфакторную аутентификацию — это усложнит злоумышленникам доступ к вашим данным.
⏺Обновляйте антивирус и операционную систему — новые обновления помогают обнаруживать и блокировать такие угрозы.

Расскажите об этом своим друзьям и коллегам — киберугрозы касаются каждого.

#Новости

✈️ РТ-Информационная безопасность × Авиацифра’2025

Партнер конференции «Авиацифра’2025», РТ-Информационная безопасность, приглашает вас принять участие в ключевом событии для ИТ-специалистов в авиастроении.

Что вас ждет?
▫️Знания — тренды, технологии и кейсы из первых уст.
▫️Контакты — лидеры отрасли, эксперты, новые партнерства.
▫️Возможности — обмен опытом, профессиональный рост.

Главными вопросами станут:
▫️Разработка инструментов развития кадрового потенциала.
▫️Цифровизация полного цикла производства в авиастроении.
▫️Вопросы производственной кооперации.

Место: Казань, Korston Club Hotel Kazan
Дата: 10-12 марта 2025 года

Присоединяйтесь, чтобы вместе формировать будущее авиационной индустрии.

Регистрация: aviacifra.ru


А вы готовы к взлету?
❤️ — Уже пристегиваю ремни!
💯 — Чемодан собран, вылетаю!
👀 — Узнаю подробнее и приму решение!

Новый вирус маскируется под письма от МВД

🟡 Январь 2025 года. Российские компании вновь оказались под ударом киберпреступников. Группа ReaverBits, известная атаками на ключевые секторы экономики, активизировалась, используя новую тактику — рассылку поддельных писем от имени Министерства внутренних дел РФ.

Что произошло?
⏺Сотрудники компаний получили письма с «официальными» документами МВД.
⏺При переходе по ссылке загружался файл «Повестка» — в реальности заражённый загрузчик.
⏺Если у пользователя в браузере был установлен русский язык, система перенаправляла его на вредоносный ресурс, иначе — на официальный сайт МВД.

Что скрывалось за атакой?
⏺Meduza Stealer — вирус для кражи данных.
⏺ReaverDoor — новый бэкдор для удалённого доступа.
⏺Шифрование по сложной схеме (AES-256, PBKDF2, XOR, Base64), что делает обнаружение затруднительным.
⏺Использование легитимных open-source инструментов (например, NBTExplorer), в которые внедрён вредоносный код.

Кто в зоне риска?
ReaverBits нацелена на российские компании в сфере биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финансового сектора.

Как защититься?
⏺Не открывайте подозрительные письма — МВД не рассылает повестки по электронной почте!
⏺Проверяйте отправителя и домен письма.
⏺Используйте антивирус и мониторьте системные процессы.
⏺Включите двухфакторную аутентификацию для своих аккаунтов.

Атаки становятся всё сложнее, но ваша бдительность — лучшая защита.

#Новости

[АРХИВНАЯ ЗАПИСЬ: ДЕЛО YAHOO]
КЛАССИФИКАЦИЯ: крупнейшая утечка в истории
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 2017
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: 2012-2014
ЧИСЛО ПОСТРАДАВШИХ: 3 000 000 000

🗂 ВЫПИСКА ИЗ ОТЧЕТА
Первая аномальная активность была зафиксирована в сети Yahoo в 2013 году, но сама компания не предпринимала никаких мер. Взлом начался с обычного фишингового письма. Один сотрудник кликнул по ссылке — и этого оказалось достаточно, чтобы злоумышленники получили доступ к сети корпорации.

Латвийско-российский хакер Алексей Белан проник в базы данных Yahoo и обнаружил инструмент управления учетными записями. Он не торопился и методично изучал систему, скрывая следы и подготавливая почву для будущего вторжения.
Вскоре Белан нашел резервную копию базы пользователей Yahoo. Он скопировал ее, сохранив на локальном диске.

Эта база содержала:
⏺Имена пользователей
⏺Email-адреса
⏺Даты рождения
⏺Контрольные вопросы и ответы
⏺Номера телефонов
⏺Уникальные криптографические ключи

Криптографические ключи стали главным оружием хакеров. Они позволили им генерировать cookie-файлы, с помощью которых можно было войти в любой аккаунт Yahoo без ввода пароля. Доступ к учетным записям сохранялся годами. Первый взлом произошел в 2015 году, но его масштаб оставался неизвестен.

ЦЕЛИ АТАКИ
Из 500 миллионов потенциально уязвимых аккаунтов активно использовались около 6,5 тысячи. Среди жертв были:
⏺Госслужащие разных стран
⏺Российские журналисты
⏺Финансовые организации
⏺Криптовалютные сервисы
⏺Сотрудники американской авиакомпании

ХРОНОЛОГИЯ АТАКИ
⏺2014 — Yahoo замечает подозрительную активность, но считает, что целью были всего 26 учетных записей.
⏺2016 — В августе масштабы утечки становятся очевидными, Yahoo передает данные в ФБР.
⏺Декабрь 2016 — Первые официальные заявления о взломе (500 млн аккаунтов).
⏺Октябрь 2017 — Раскрыто реальное число пострадавших: 3 миллиарда пользователей.

РЕКОМЕНДАЦИИ
⏺Старайтесь блокировать и (или) удалять учетные записи на ресурсах, которыми давно не пользуетесь.
⏺Регулярно меняйте пароли, не забывая про их сложность.
⏺Старайтесь использовать двухфакторную аутентификацию: она может спасти при компрометации пароля.

Документ закрыт. Доступ ограничен.

🟡 Принтер как точка взлома

Вы вряд ли думаете о принтере как об инструменте хакеров. А зря.

Исследователи Rapid7 обнаружили, что уязвимости в Xerox VersaLink C7025 позволяют злоумышленникам перехватывать пароли сотрудников.

Как это работает?
⏺Первый метод атаки (CVE-2024-12510, CVSS 6.7) — хакер изменяет настройки принтера так, что учетные данные пользователей пересылаются на его сервер через протокол LDAP. В итоге он получает логины и пароли сотрудников.
⏺Второй метод атаки (CVE-2024-12511, CVSS 7.6) — злоумышленник подменяет адрес сервера SMB или FTP, на который отправляются отсканированные документы. Когда сотрудник использует сканирование, его учетные данные оказываются в руках хакера.

Все, что нужно атакующему — доступ к веб-интерфейсу принтера или физический контакт с устройством.

Что делать?
⏺Установить обновление (Service Pack 57.75.53).
⏺Использовать сложный пароль администратора, чтобы ограничить доступ к настройкам принтера.
⏺Запретить веб-доступ для неаутентифицированных пользователей.
⏺Не использовать учетные записи Windows с повышенными привилегиями.

Мы привыкли защищать компьютеры и серверы, но забываем, что даже принтер может иметь уязвимости. Пока вы читаете этот пост, офисная техника может уже работать на злоумышленников.

#Новости

RT Protect Антишифр: игра на опережение

Представьте: утро, вы включаете компьютер, а вместо рабочих файлов — требование выкупа. Времени мало, решения нет, бизнес парализован.

Сможете ли вы выбраться из этой ловушки?
План А: заплатить злоумышленникам. Без гарантий, без возврата денег.
План Б: надеяться на резервные копии. Если они уцелели.
План В: использовать RT Protect Антишифр — и просто не оказаться в этой ситуации.

10 марта — финальный день акции «100 дней — 100 компаний». Более 50 компаний уже защитили себя. Примите решение до того, как шифровальщик примет его за вас.

Вспомним все
1. Как получить защиту?
2. Почему защита от шифровальщиков так важна?
3. Реальный пример атаки 
4. Как работает RT Protect Антишифр? 

Вы готовы к проактивной защите?
❤️ — Уже подключились
💯 — Готовы подключиться
👌 — Хочу, чтобы со мной связались

Ждем ваши вопросы в комментариях!

Робот сочинит симфонию?

ИИ уже давно перестал быть просто помощником разработчиков.

По данным Google, десятки атакующих групп по всему миру используют нейросети для взломов, разведки и фишинга.
Китай, Иран и Северная Корея уже интегрировали ИИ в свои кибероперации или создают собственные вредоносные аналоги GPT, а открытые модели, такие как DeepSeek, делают угрозу ещё более неконтролируемой.

Как ИИ помогает хакерам?
⏺Анализ систем и поиск уязвимостей:
Искусственный интеллект способен сканировать защищенные системы, выявляя слабые места задолго до того, как это сделают специалисты по безопасности.
⏺Создание поддельных документов, сайтов или голоса:
С помощью ИИ можно, например, генерировать фальшивые электронные письма, резюме и даже отчеты, которые выглядят настолько убедительно, что легко обманывают даже опытных сотрудников компаний.
⏺Применение алгоритмов ИИ для реализации различных техник в рамках атак и их масштабирования:
Используя алгоритмы ИИ, хакеры могут автоматизировать процессы и одновременно поддерживать атаки на большое число жертв. При этом порог входа стал еще ниже, и злоумышленникам уже не нужно быть высококвалифицированными специалистами для достижения целей.
⏺Угроза открытого исходного кода:
Открытый исходный код китайского ИИ DeepSeek представляет особую опасность. В отличие от закрытых решений, таких как Gemini и ChatGPT, его использование невозможно контролировать. Это дает злоумышленникам безграничные возможности для создания атак, которые могут быть направлены против кого угодно.

Как защититься?
⏺Используйте современные средства защиты информации, в число которых входят решения класса EDR. (RT Protect EDR готов помочь вам!)
⏺Проверяйте каждое письмо и не доверяйте ссылкам или вложениям — даже если они выглядят официальными.
⏺Используйте сложные пароли и двухфакторную аутентификацию.
⏺Будьте осторожны и не делитесь личными данными с незнакомыми контактами или сервисами.
⏺Внедряйте системы мониторинга и реагирования на компьютерные инциденты (RT Protect SOC — отличные специалисты).

🗣ИИ может написать музыку. Может нарисовать картину. А может разрушить вашу цифровую безопасность. Готовы ли вы к этому?

#КиберХроника

🛡️С Днём защитника Отечества!

РТ-Информационная безопасность поздравляет всех, кто стоит на страже безопасности — как в реальном мире, так и в цифровом пространстве!

Пусть ваши пароли будут сложными, системы — защищёнными, а атаки — только учебными!

С праздником, защитники!

1 секунда — и вы взломаны

Представьте: кто-то получает доступ к вашей почте, а через минуту — к соцсетям, банковскому аккаунту и всем привязанным сервисам.
Всё, что нужно — слабый пароль (особенно если для его хеширования используются устаревшие алгоритмы MD5 или SHA‑1, которые всё ещё применяются во многих системах).

Аналитики Hive Systems рассчитали время, необходимое для перебора паролей, хешированных базовым MD5, с использованием одной видеокарты RTX 4090:

Только строчные буквы (abc…)
⏺8 символов – моментально
⏺9 символов – 33 секунд
⏺10 символов – 14 минуты
⏺11 символов – 6 часов

Строчные + заглавные буквы (aBc…)
⏺7 символов – 6 секунд
⏺8 символов – 5 минут
⏺9 символов – 5 часов
⏺10 символов – 7 дней
⏺11 символов – 1 год

Строчные + заглавные + цифры + символы (!@#…)
⏺10 символов – 7 месяцев
⏺11 символов – 38 лет

🗣Но разве кто-то будет взламывать именно меня?
Пароли ломают массово — базы данных, утечки, взломы сервисов. Хакеры не сидят с листочком, подбирая пароли вручную. Всё делает мощное железо.
Одна видеокарта RTX 4090 способна вычислять до 164 миллиардов MD5‑хешей в секунду: за считанные минуты она способна перебрать все варианты 8-значного пароля.
Арендовать такую мощность можно за копейки. А если взять десятки таких карт?
Не говоря уже о базах утёкших паролей, с помощью которых взлом можно осуществить моментально, какой бы сложности пароль ни был.

Худшие пароли:
⏺123456
⏺password
⏺secret
⏺qwerty123

Эти комбинации в базах утечек уже давно. Если ваш пароль хоть немного похож — считайте, что его уже взломали.

#ИнсайдДня

Mythic Likho: новая кибератака на российские компании

Кибератака, о которой почти невозможно узнать сразу, уже затронула десятки российских компаний.
Наши коллеги, эксперты «Лаборатории Касперского», сообщили: злоумышленники применяют модифицированный бэкдор Merlin и обновлённую версию Loki, скрытно встраивая их в системы.

Как действуют хакеры?
Злоумышленники используют классический приём — фишинг.
Например, в одном из случаев они отправили в отдел кадров машиностроительного предприятия письмо с просьбой подготовить характеристику на «бывшего сотрудника». Вложенный «резюме-файл» на деле оказался загрузчиком Merlin, который загружался с помощью запуска жертвой ".lnk" файла, а запускался опосредованно с помощью модуля "conhost.exe".

Что делает бэкдор?
⏺Merlin незаметно собирает данные о системе и подключается к серверу атакующих.
⏺В некоторых случаях он может загружать модифицированный бэкдор Loki, который дополнительно передаёт атакующим идентификатор агента, внутренний IP и имя пользователя.
⏺Оба инструмента работают через Mythic — мощный фреймворк постэксплуатации, изначально созданный для тестирования безопасности, но адаптированный под кибератаки.

Почему это опасно?
⏺Мошенники используют правдоподобные предлоги, а значит, распознать угрозу сложнее.
⏺Методы гибкие: сценарии атак меняются, что затрудняет защиту.
⏺Используемые инструменты обновляются и адаптируются под новые техники атак.

Эксперты РТ-Информационная безопасность рекомендуют:
⏺Не открывать подозрительные файлы, даже если письмо кажется официальным (особенно с расширением ".lnk").
⏺Проверять отправителей писем.
⏺Повысить осведомленность сотрудников в сфере ИБ с помощью платформы RT Protect Awareness.

#Новости

Антишифр: как работает безопасность?

Шифровальщики — один из самых опасных видов киберугроз. Они не просто атакуют, а блокируют доступ к важным данным, требуя выкуп за восстановление.

Как «Антишифр» предотвращает заражение?
⏺Фильтрация на входе — блокировка вредоносного ПО еще до его запуска с помощью актуальных индикаторов компрометации (IP-адреса, домены, хеши файлов, YARA-сигнатуры).
⏺Выявление подозрительных действий — фиксация попыток повышения привилегий, закрепления в системе и других типичных признаков атаки.
⏺Анализ поведения — отслеживание активности программ в режиме реального времени для обнаружения любых попыток шифрования или уничтожения данных.

Что происходит, если атака уже началась?
⏺Вредоносный процесс автоматически завершается, даже если он работает в связке с другими программами.
⏺Опасные операции блокируются не постфактум, а в момент их выполнения.
⏺Важные файлы автоматически копируются в защищенное хранилище, а их восстановление не требует знания ключей и алгоритмов шифрования.

Протестируйте безопасность бесплатно
Участвуйте в акции «100 дней — 100 компаний» и испытайте «Антишифр» в реальных условиях.

🔗 Подробнее об участии

#Антишифр

Как работает RT Protect TI?

Кто стоит по ту сторону экрана? Какие цели преследуют хакеры? Как они атакуют и почему?
Ответы на эти вопросы — ключ к проактивной киберзащите.

RT Protect TI — платформа, предоставляющая функционал по агрегации, хранению и распространению данных о киберугрозах. Она обеспечивает своевременное реагирование на инциденты и поддерживает актуальность экспертизы, превращая разрозненные сигналы в осмысленную информацию. Это позволяет не только оперативно реагировать на атаки, но и предсказывать их развитие.

Шаги к защите
⏺Понимание атакующих — анализ тактик, мотивов и целей злоумышленников.
⏺Всегда актуальная база знаний — информация об уязвимостях, компаниях и новых методах взлома.
⏺Формирование базы данных по индикаторам компрометации — ежедневный сбор индикаторов с дальнейшей приоритизацией и агрегацией.
⏺Глубокая интеграция с широким спектром решений: EDR, SIEM, IRP — угрозы выявляются ещё до проникновения в сеть.
⏺Ретроспективный анализ — поиск следов ранее незамеченных атак.
⏺Расширенные аналитические возможности — выявление угроз по IOC, распространению данных о киберугрозах и построение прогнозов.

Почему RT Protect TI — не просто инструмент, а стратегическое преимущество?

Решение помогает компаниям всех масштабов адаптировать защиту под динамичные киберугрозы. Это особенно важно для:
⏺Крупного бизнеса, который становится мишенью APT-группировок.
⏺Средних компаний, где необходимо автоматизировать процессы и минимизировать ручной труд.
⏺Малых предприятий, которым важно защититься от киберугроз малыми силами при ограниченном бюджете.

RT Protect TI — это взгляд в будущее кибербезопасности. Пока другие реагируют на атаки, вы уже знаете, что будет дальше.

Хотите узнать больше? Есть вопросы? Пишите их в комментариях — наши эксперты готовы ответить!

#ВопросОтвет #RT_Protect_TI

60% компаний ждет киберкатастрофа

Исследование Zscaler показало: 60% компаний по всему миру ожидают крупный киберинцидент в ближайший год. Однако реальные меры защиты отстают от угроз.

Разрыв между уверенностью и реальностью
Опрос 1700 специалистов из 12 стран показал:
⏺94% респондентов уверены в надежности своей киберзащиты, но атаки продолжают расти.
⏺40% организаций не пересматривали стратегии защиты более полугода, и лишь 45% адаптировали ее к современным угрозам, включая атаки с помощью ИИ.
⏺Только 39% компаний рассматривают киберустойчивость как приоритет, а 44% не вовлекают специалистов по безопасности (CISO) в разработку ключевых стратегий.

Что говорят эксперты?
Специалисты рекомендуют переход на архитектуру Zero Trust — отказ от доверия к пользователям и устройствам по умолчанию. Это позволяет исключить несанкционированный доступ и минимизировать риски утечек.

Вопрос уже не в том, случится ли киберинцидент, а когда именно это произойдет.
Подготовка и проактивные меры сегодня — единственная защита от последствий завтра.

А насколько защищены вы?

👌 — Готовы ко всему.
❤️ — Верите, что готовы ко всему.
😈 — «Да нормально у нас все с ИБ!»

#Новости

Шифровальщики, 0-day уязвимость и 1500 организаций

3 июля 2021 года. Мир ещё не знает, что случилось. Тысячи компаний по всему миру работают в привычном режиме. Их системы под контролем, данные защищены. Или им так кажется?

6 июля 2021 года. Возвращение к работе превращается в хаос. Компьютеры заблокированы. Системы не отвечают. На экранах – требование заплатить выкуп в размере 70 миллионов долларов.

Так выглядела атака REvil на Kaseya, жертвами которой стали более 1500 организаций.

Что произошло?
Хакерская группировка REvil использовала 0-day уязвимость в программном обеспечении Kaseya VSA, предназначенном для управления IT-инфраструктурой. Через него программа-щифровальщик проникла в MSP-провайдеров – компании, которые отвечают за IT-системы сотен других организаций.

Какой урок вынесли хакеры?
Атаки можно масштабировать.

Какой урок должны вынести мы?
Защищаться нужно до атаки, а не после.

РТ-Информационная безопасность предоставляет 100 компаниям бесплатный доступ к анти-шифровальщику — ключевому модулю RT Protect EDR.
⏺Останавливает атаку до её начала
⏺Блокирует вирусы на уровне ядра Windows
⏺Резервирует файлы, не позволяя их уничтожить

Пока кто-то платит миллионы, чтобы вернуть данные, у вас есть шанс защитить их бесплатно.

🔗 Ссылка на участие

#Антишифр

Безопасная валентинка

РТ-Информационная безопасность поздравляет всех с Днем святого Валентина! В этот день так хочется поделиться теплыми словами, но давайте сделаем это безопасно.

Помним о безопасности

♥️ Не кликайте на подозрительные «валентинки» в мессенджерах и соцсетях — фишинг не дремлет!

♥️ Не скачивайте открытки и анимации с неизвестных сайтов — лучше используйте проверенные сервисы.

♥️ Не будьте наивными — фейковые сайты заманивают людей «щедрыми скидками и эксклюзивными букетами», но после оплаты просто исчезают. В итоге ни цветов, ни денег – только разочарование.

Ищите другие наши валентинки в Telegram-каналах нашей большой российской ИБ-семьи и присылайте нам свои находки!

Вы — это вы? Или уже ИИ?

ИИ способен создать вашего цифрового двойника всего за два часа. Ученые из Стэнфордского университета и Google DeepMind доказали: алгоритмы могут предсказывать ваши ответы с точностью 85%.

Как создают цифровых двойников
В исследовании приняли участие 1 052 человека. Они прошли глубинное интервью, охватывающее:
⏺Личные убеждения и ценности
⏺Отношение к людям и обществу
⏺Реакции на различные жизненные ситуации

На основе этих данных были созданы ИИ-модели, способные прогнозировать поведение участников в тестах и играх. Проверка точности проводилась через две недели: участники снова прошли те же тесты, а затем аналогичные задания дали их цифровым копиям.

Результаты
ИИ-модели продемонстрировали 85% совпадения с реальными ответами. Точность зависела от типа задачи:
📈 Высокая точность — в личностных тестах и социальных опросах
📉 Слабые результаты — в экономических играх, требующих учета социальных нюансов и динамики взаимодействий

А вы бы хотели создать своего цифрового двойника?
❤️ — Да, пусть отвечает на сообщения и ходит на скучные встречи
👍 — Нет, не доверю ему ничего — я незаменимый!

#Новости

😒 Что, если хакер уже внутри?

Представьте, что злоумышленник проник в вашу сеть.
Какие уязвимости он использовал? К каким данным мог получить доступ?
Ответы на эти вопросы может дать тестирование на проникновение (пентест) — проверка защищённости компьютерной системы, при которой моделируется реальная атака злоумышленника (хакера) для выявления слабых мест в инфраструктуре.

Metasploit Framework — это мощнейший инструмент, который могут использовать как киберпреступники, так и пентестеры для исследования уязвимостей в сетях и на серверах.

Как работает Metasploit?
Этот фреймворк позволяет моделировать атаки и выявлять уязвимости. Он включает:
⏺Тысячи эксплойтов для популярных платформ (Windows, Linux, Android и др.).
⏺Гибкие пейлоады — от удаленного доступа до управления системой.
⏺Инструменты для постэксплуатации — сбор данных, бэкдоры, перехват паролей.
⏺Автоматизацию атак — быстрый поиск и эксплуатация уязвимостей.

Использовать Metasploit можно через MSFconsole (командный интерфейс) или Metasploit Pro (графическая версия).

Кто использует Metasploit?
Фреймворк доступен всем, но применяют его по-разному:
⏺Пентестеры – тестируют системы на уязвимости, имитируя атаки.
⏺Исследователи – изучают новые уязвимости и разрабатывают методы защиты.
⏺Киберпреступники – используют для атак (что незаконно!).

Почему важно знать про Metasploit?
Даже если вы не планируете становиться пентестером, понимание принципов работы Metasploit помогает:
⏺Эффективнее защищаться, понимая возможности злоумышленников.
⏺Выявлять и устранять уязвимости своих систем.
⏺Изучать кибербезопасность на практике с реальным инструментом.

Помните: безопасность — это не только защита, но и знание того, как устроены атаки.

#Техноразбор

С вас 53 миллиона рублей

Именно столько в среднем теряют компании за выкуп шифрованных данных в России. Но и это не всё: не забудьте добавить сюда стоимость простоя бизнеса и потерю доверия клиентов.

Пугающая статистика
⏺В прошлом году количество атак программ-вымогателей увеличилось на 44%.
⏺Совокупный доход киберпреступников превышает 1 миллиард долларов.
⏺Время поражения системы – считанные минуты.

Выкуп не решает проблему. Даже заплатив, вы не получите гарантий восстановления данных. Более того, факт оплаты делает вас мишенью для новых атак.

Вы рискуете стать жертвой
Хакеры охотятся не только за корпорациями и миллиардерами.
Каждая вторая кибератака направлена на малый и средний бизнес.

Можно ли защититься?
Да! Но действовать нужно заранее.
РТ-Информационная безопасность предоставит 100 компаниям бесплатный доступ к анти-шифровальщику на 100 дней!
Модуль противодействия программам-шифровальщикам – ключевой компонент RT Protect EDR, разработанный для надежной защиты ваших данных.

Не ждите атаки – защитите свои данные сейчас!
🔗 Ссылка на участие

✉️ Массовая фишинговая атака: 76 000 писем за сутки

27 января группировка TA558 провела одну из крупнейших атак — более 76 тысяч фишинговых писем были отправлены в 112 стран. В зоне риска оказались компании, работающие в финансовом, логистическом, строительном и промышленном секторах.

Как происходила атака
Фишинговые письма содержали вложенные файлы, эксплуатирующие уязвимость CVE-2017-11882. При открытии документа выполнялся вредоносный код, запускающий HTA-файл с VBS-сценарием. Этот скрипт загружал и активировал Remcos RAT – сложное вредоносное ПО, которое предоставляет злоумышленникам полный доступ к системе жертвы.

Кто такие TA558?
Группировка действует с 2018 года и специализируется на фишинговых атаках с элементами социальной инженерии. Главная цель — кража данных и проникновение во внутренние сети организаций.

⚠️ Эксперты РТ-Информационная безопасность предупреждают: фишинг остаётся одним из самых распространённых методов взлома. Используйте RT Protect Awareness, чтобы повысить осведомленность сотрудников в сфере ИБ.

#Новости

Zero-day

Сначала это просто строчка кода. Затем — незаметная дверь в систему. Вскоре — мощный инструмент, способный обрушить целые корпорации и государства.
Zero-day — это не просто баг. Это цифровое оружие. Кто его создаёт? Кто за него платит? И главное — можете ли вы стать жертвой?

Как рождается уязвимость?
Каждый день миллионы строк кода пишутся и обновляются, но даже опытные разработчики не могут избежать ошибок. Исследователи или хакеры анализируют код в поисках бреши. Обнаруженная слабость превращается в эксплойт — инструмент для взлома.
Открывается рынок: кто заплатит больше — спецслужбы, корпорации или киберпреступники?
Цена зависит от сложности обнаружения и потенциального ущерба: чем опаснее и незаметнее уязвимость, тем выше её стоимость. До тех пор, пока производители ПО не узнают о проблеме и не выпустят обновление, эксплойт остаётся в арсенале его владельца.

Кому выгодны Zero-day атаки?
⏺Корпорации. Битва за коммерческие секреты и конкурентные преимущества.
⏺Хакерские группировки. Кража данных, шантаж, вымогательство.
⏺Теневая индустрия. Торговля уязвимостями на чёрном рынке.
⏺Государственные организации. Использование уязвимостей для кибершпионажа и атак на критическую инфраструктуру.
⏺Исследователи безопасности. Они выявляют и продают уязвимости либо компаниям-разработчикам, либо на сером рынке.

Цена вопроса
Согласно статистике компании Zerodium, прейскурант на качественные уязвимости выглядит так:
⏺Доступ к смартфону — $100,000
⏺Взлом мессенджеров и почты — до $500,000
⏺Полный контроль над iPhone — $2,5 млн

Цены на уязвимости растут: эксперты отмечают, что рынок zero-day увеличивается на 44% ежегодно. Государственные структуры и корпорации готовы тратить миллионы долларов ежемесячно на приобретение таких инструментов.

💬 Как защититься?
Zero-day уязвимости невозможно предотвратить, но можно минимизировать риски.
Главный совет: не забывайте регулярно устанавливать обновления — это единственный способ закрывать дыры в системе, прежде чем ими воспользуются злоумышленники.

#УголокТехнаря

100 дней. 100 компаний. 0 затрат

Шифровальщики не спрашивают разрешения — они шифруют файлы, требуют выкуп и парализуют бизнес. Сегодня под угрозой любая компания — но у вас есть шанс получить 100 дней мощной защиты бесплатно.

Что мы предлагаем?
РТ-Информационная безопасность представляет анти-шифровальщик — инновационное решение для защиты ваших данных.
⏺Предотвращает атаку на этапе запуска.
⏺Блокирует вредоносные процессы на уровне ядра Windows.
⏺Автоматически резервирует важные файлы при попытке их модификации или удаления в локальное защищенное хранилище.

Почему это работает?
Это не просто антивирус — это защита в режиме реального времени. Решение интегрируется в систему на уровне драйвера, анализирует все операции и останавливает угрозу ещё до того, как файлы будут зашифрованы.

Как получить защиту?
В честь запуска нового продукта «Антишифр» мы проводим акцию «100 дней — 100 компаний». Примите участие и бесплатно протестируйте ключевой модуль RT Protect EDR для защиты от программ-шифровальщиков.

Участвуйте в акции и будьте уверены в своей безопасности!
🔗 Ссылка на участие

Перед вами два письма

Одно из них — попытка обмана, другое — официальное сообщение.

Какое выберете вы?
❤️ — первое письмо
👍 — второе письмо

🗣Вы когда-нибудь мечтали стать лучшей версией себя?

Китайская компания DeepSeek, специализирующаяся на разработке искусственного интеллекта, вызвала очередную волну обсуждений. Но на этот раз дело не в его возможностях, а… в шрифте.

Пользователи заметили, что DeepSeek использует дизайн, который выглядит подозрительно знакомым.
Некоторые утверждают, что это может быть осознанная отсылка, другие говорят о случайности.

Что думаете вы?

#Новости

ИИ против должников

Звонок из банка. Вежливый голос уточняет детали задолженности, предлагает варианты решения, подбирает слова так, чтобы не вызвать лишнего стресса. Всё звучит естественно… Но это не человек.

Виртуальный собеседник на базе GigaChat теперь ведёт переговоры с должниками так убедительно, что только 1% людей замечают подвох и просят соединить их с живым оператором.

Робот считывает эмоции клиента, подстраивает тон общения и даже умеет «успокаивать». Если человек раздражён или напряжён — диалог становится мягче, если спокоен — переходит к конкретике.

🗣Манипуляция или забота?
ИИ создаёт впечатление поддержки, но остаётся вопрос: это новая степень клиентоориентированности или способ убедить должников принять условия банка?

Автоматизация уже сэкономила миллиарды, и с каждым днём всё меньше людей замечают, что по ту сторону линии — не человек. А вы бы отличили?

#Новости

🎯 Малый бизнес под ударом

Кажется, что хакеры атакуют только корпорации и миллиардеров?
На самом деле, каждая вторая кибератака направлена на малый и средний бизнес.
Почему? Потому что вы не готовы все не защищены.

Почему хакеры охотятся на малый бизнес?
⏺Легкая добыча. Веб-сайты и приложения часто плохо защищены.
⏺Доступ к клиентским данным. Пароли, платежные данные, личная информация — всё это можно продать или использовать в мошенничестве.
⏺Шантаж и вымогательство. Злоумышленники блокируют доступ к системам и требуют деньги за их разблокировку.

Факты, которые сложно игнорировать
⏺75% атак приходятся на малые компании с минимальной защитой.
⏺21% малых предприятий закрываются после крупных кибератак.
⏺80% атак начинаются с человеческой ошибки — фишинга, слабых паролей и т. д.

Как защититься?
⏺Провести аудит безопасности — РТ-Информационная безопасность поможет выявить слабые места заранее.
⏺Обучить сотрудников — RT Protect Awareness повысит осведомленность сотрудников в сфере ИБ.
⏺Инвестировать в защиту — даже базовые решения (брандмауэры, WAF, антивирусы) могут спасти бизнес.

#ПрофильПреступника

.want_to_cry: новая волна атак на сетевые сервисы

Программы-вымогатели продолжают находить лазейки в ИТ-инфраструктуре, используя забытые уязвимости.
По данным Seqrite Labs, хакеры активизировались еще в 2024 году, атакуя через SMB, SSH, FTP и другие сетевые сервисы.

Основной метод компрометации: подбор паролей с использованием масштабной базы учетных данных. Получив доступ, злоумышленники шифруют файлы на сетевых дисках и хранилищах, оставляя жертве сообщение с требованиями выкупа.

⚠️ Важно: хакеры применяют не только брутфорс-атаки, но и удаленно шифруют файлы, не загружая вредоносное ПО на локальные машины. Такой способ помогает обходить антивирусную защиту и затрудняет расследование инцидентов.

Как понять, что атака удалась?
⏺Доступ к данным заблокирован: зашифрованные файлы получают расширение ".want_to_cry".
⏺В папках появляется текстовый файл с инструкцией по оплате выкупа.
⏺Злоумышленники предлагают связаться через зашифрованные мессенджеры, такие как Telegram или Tox.

Как защититься?
Эксперты РТ-Информационная безопасность рекомендуют:
⏺Использовать сложные пароли и двухфакторную аутентификацию.
⏺Закрывать неиспользуемые порты и сервисы.
⏺Регулярно обновлять программное обеспечение.
⏺Создавать резервные копии данных, чтобы избежать потерь.

#Новости

👾 Всё о программах-вымогателях

Этот пост может сэкономить вам тысячи долларов.
Именно столько может потребовать программа-вымогатель (она же ransomware) за то, чтобы вернуть доступ к вашим же файлам.

Что такое программа-вымогатель?
Это вредоносные программы, которые блокируют доступ к данным или устройству и требуют выкуп за их восстановление. Они бывают двух видов:
⏺Шифровальщики (Crypto ransomware): шифруют файлы, которые не получится расшифровать и открыть без выкупа.
⏺Блокировщики (Locker ransomware): просто мешают нормально работать, их легче удалить.

Где происходит заражение?
1. Электронная почта: вирусы маскируются под вложения (счета, документы и т.д.).
2. Интернет: уязвимость в браузере или системе может позволить вирусу заразить устройство, даже если вы просто читаете новости.
3. Торренты: скачали файл с пиратского сайта — получили вирус в подарок.
4. Локальная сеть: вирусы могут распространяться внутри домашней или офисной сети.

Какие файлы опасны?
⏺Исполняемые файлы и скрипты: EXE, BAT, PS1, VBS, JS, SH и другие.
⏺Документы MS Office с макросами (файлы с расширениями xlsm, potm, docm).
⏺Архивы (ZIP, RAR) с подозрительным содержимым.
⏺Файлы ярлыков (расширение LNK) — ярлык может выглядеть как легитимная программа, но обращаться к совершенно другому файлу.

А как насчёт Mac или телефона?
⏺Вирусы-вымогатели уже есть и для Mac, и для Android.
⏺Владельцы iPhone пока в безопасности, но только если не делали джейлбрейк.
⏺Даже «умные» устройства вроде телевизоров и холодильников скоро могут стать мишенью.

🛡 Как защититься?
1) Установка RT Protect EDR с модулем Anti ransomware, который позволяет вовремя обнаружить программы-вымогатели и блокировать их.
2) Сегментация сети: злоумышленник не должен перемещаться свободно.
3) Регулярное создание резервных копий данных.
4) Установка антивируса и регулярное обновление систем.

#СловарьИБ

🛡Data Protection Day

Сегодня, 28 января, мир отмечает День защиты данных. Это отличный повод проверить свою цифровую безопасность!

Вспомним все:
⏺ Создание надежных паролей
⏺ Заметаем цифровые следы
⏺ Безопасный серфинг в Интернете
⏺ Не забываем обновляться
⏺ Бэкап по полной

Защищайте свои данные сегодня — и каждый день. Будьте на шаг впереди угроз!

🛡Сертификат совместимости решений RT Protect с РЕД ОС: надежная интеграция для защиты данных

АО «РТ-Информационная безопасность» и ООО «РЕД СОФТ» официально подтвердили совместимость и корректную работу продуктов RT Protect TI и RT Protect EDR с операционной системой РЕД ОС версий 7.3. и 8.

Что это значит?
⏺Подтверждение качества:
Продукты прошли комплексные испытания и доказали корректное взаимодействие с РЕД ОС 8 и РЕД ОС 7.3. Результаты тестирования официально зафиксированы в протоколе испытаний.
⏺Гарантия стабильной работы:
Сертификат совместимости обеспечивает стабильную и безопасную эксплуатацию, исключая возможные сбои или конфликты между компонентами.
⏺Надежная защита данных:
Сертифицированные решения RT Protect с РЕД ОС версий 7.3. и 8 — это дополнительная гарантия защиты.

С этой сертификацией предприятия и организации могут уверенно использовать связку продуктов экосистемы RT Protect и РЕД ОС для защиты своих данных и инфраструктуры.

Переходите на сертифицированные решения и будьте уверены в своем ПО!