Ransomware продолжают свое победное шествие.
Согласно новому отчету RiskSense, в 2020 году наблюдалось 125(!) отдельных штаммов вымогателей.
В процессе атак операторы ransomware использовали 223 различных уязвимости, большинство из которых (96%) были выявлены до 2019 года, то есть являются хорошо известными. Самая старая ошибка, использованная в ходе реальной атаки, является CVE-2007-1036, открытая еще в 2007 году, но, тем не менее,все еще эксплуатирующаяся в дикой природе. Основная причина такого безобразия - отсутствие своевременного обновления систем со стороны технической поддержки.
Как объяснить менеджменту, что непропатченное ПО зачастую страшнее настежь открытых дверей в офис?
Согласно новому отчету RiskSense, в 2020 году наблюдалось 125(!) отдельных штаммов вымогателей.
В процессе атак операторы ransomware использовали 223 различных уязвимости, большинство из которых (96%) были выявлены до 2019 года, то есть являются хорошо известными. Самая старая ошибка, использованная в ходе реальной атаки, является CVE-2007-1036, открытая еще в 2007 году, но, тем не менее,все еще эксплуатирующаяся в дикой природе. Основная причина такого безобразия - отсутствие своевременного обновления систем со стороны технической поддержки.
Как объяснить менеджменту, что непропатченное ПО зачастую страшнее настежь открытых дверей в офис?
Ivanti
Enterprise Ransomware: Through the Lens of Threat and Vulnerability Management | Ivanti
Здесь всё прекрасно:
Millennial interviewing GenZ
"Tell me about a project."
"I built a computer"
"cool"
"in Minecraft"
"wtf"
"that runs RegEx"
"wtf"
"that can parse HTML"
"you're hired"
Millennial interviewing GenZ
"Tell me about a project."
"I built a computer"
"cool"
"in Minecraft"
"wtf"
"that runs RegEx"
"wtf"
"that can parse HTML"
"you're hired"
Twitter
SwiftOnSecurity
Millennial interviewing GenZ "Tell me about a project." "I built a computer" "cool" "in Minecraft" "wtf" "that runs RegEx" "wtf" "that can parse HTML" "you're hired"
Несколько месяцев назад мы проводили опрос на тему "Какой мессенджер вы считаете наиболее безопасным". Первое место с большим отрывом и результатом 63% занял Telegram.
Мы можем только поаплодировать PR-поддержке проекта и рекомендовать г-ну Дурову немного перетасовать ресурсы, притормозить с новой функциональностью и вместо этого подтянуть реальную безопасность платформы до по-настоящему индустриального уровня. Каждый глубокий взгляд на сравнение мессенджеров (например этот) отсылает Telegram в нижнюю часть турнирной таблицы из-за явных косяков.
Давече Protonmail вывесил свои выводы сравнительного тестирования. И что бы вы думали? А всё то же самое. Из семи продуктов Telegram оказался на самом дне.
Право, надо же реально соответствовать ожиданиям большинства пользователей, которые находятся в полной уверенности, что координируют атракцион с фонариками (и прочий цирк вроде ТГ-каналов :) в полной безопасности!
А впрочем, может в этом и есть весь смысл?
Мы можем только поаплодировать PR-поддержке проекта и рекомендовать г-ну Дурову немного перетасовать ресурсы, притормозить с новой функциональностью и вместо этого подтянуть реальную безопасность платформы до по-настоящему индустриального уровня. Каждый глубокий взгляд на сравнение мессенджеров (например этот) отсылает Telegram в нижнюю часть турнирной таблицы из-за явных косяков.
Давече Protonmail вывесил свои выводы сравнительного тестирования. И что бы вы думали? А всё то же самое. Из семи продуктов Telegram оказался на самом дне.
Право, надо же реально соответствовать ожиданиям большинства пользователей, которые находятся в полной уверенности, что координируют атракцион с фонариками (и прочий цирк вроде ТГ-каналов :) в полной безопасности!
А впрочем, может в этом и есть весь смысл?
BleepingComputer сообщает, что начиная с субботы у KIA Motors USA начались проблемы с работой IT-сервисов и платформ поддержки клиентов на всей территории США. Отрубились и мобильные приложения компании.
В числе других сервисов пострадала платформа KDealer, посредством которой автосалоны осуществляют доступ к Kia Global Service Information System. В результате клиенты, заказавшие машины, не могут их забрать из салона.
Официальные представители KIA молчали четыре дня и лишь сегодня выдали стандартное "мы знаем о неполадках и стараемся как можно скорее их устранить". Ведь, как хорошо известно всем инфосек специалистам, если о проблеме не говорить, то она быстрее решается (сарказм).
Одному же из клиентов KIA Motors USA, который не смог забрать свой автомобиль у дилера, представитель последнего прямо заявил, что сбой является последствием атаки ransomware.
С чем мы KIA и поздравляем. Иметь более полусотни миллиардов долларов выручки и не суметь грамотно защитить свой внешний периметр и сегментировать сеть - это тоже своего рода талант.
В числе других сервисов пострадала платформа KDealer, посредством которой автосалоны осуществляют доступ к Kia Global Service Information System. В результате клиенты, заказавшие машины, не могут их забрать из салона.
Официальные представители KIA молчали четыре дня и лишь сегодня выдали стандартное "мы знаем о неполадках и стараемся как можно скорее их устранить". Ведь, как хорошо известно всем инфосек специалистам, если о проблеме не говорить, то она быстрее решается (сарказм).
Одному же из клиентов KIA Motors USA, который не смог забрать свой автомобиль у дилера, представитель последнего прямо заявил, что сбой является последствием атаки ransomware.
С чем мы KIA и поздравляем. Иметь более полусотни миллиардов долларов выручки и не суметь грамотно защитить свой внешний периметр и сегментировать сеть - это тоже своего рода талант.
Twitter
Amybean 🌊 🌊 🌊
@Kia I went to the Kia dealership in Arizona and signed a new lease, yet the manager told me your computers have been down for 3 days due to Ransomware and has affected Kia all over the USA. Can’t get my car for ???? Now what?
В конце января Apple закрыли две 0-day уязвимости в браузерном движке WebKit, применяющемся в Safari, которые позволяли осуществить удаленное выполнение кода (RCE) и использовались в дикой природе.
Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.
Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.
Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.
Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.
Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.
Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.
Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.
Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.
Confiant
Malvertiser “ScamClub” Bypasses Iframe Sandboxing With postMessage() Shenanigans [CVE-2021–1801]
This blog post is about the mechanics of a long tail iframe sandbox bypass found in a payload belonging to the persistent malvertising attacker that we call ScamClub.
Загадочная история с очередным нападением русских хакеров, теперь на французские компании.
В понедельник Агентство кибербезопасности Франции (ANSSI) сообщило, что российская APT Sandworm в рамках длительной операции с 2017 по 2020 годы скомпрометировало сети множества французских компаний, использующих ПО Centreon, предназначенное для мониторинга IT-ресурсов, от одноименного французского производителя.
Французы сообщили, что во взломанных сетях были найдены публичный веб-шелл P.A.S., а также бэкдор Exaramel. Этот вредонос был обнаружен словацкими челябинцами из ESET в 2018 году и приписан APT Sandworm, которую словаки называют TeleBots. По мнению ANSSI операция была направлена на кибершпионаж.
Поскольку в отчете французов не было сказано прямо каким образом происходила компрометация целевых сетей - с помощью эксплуатации дыр в Centreon или путем атаки на цепочку поставок. предусматривающую предварительный взлом самого производителя ПО, то запахло SolarWinds 2.0, только на минималках и с грассированием. Правда, большинство экспертов склонялось все-таки к первому варианту.
Далее последовало эпичное врывание в треды темной румынской лошадки Евгения Валентиновича (tm) - главы Kaspersky GReAT Костина Раю, который всем разъяснил на пальцах как все было (а по сути - пересказал в Twitter краткое содержание отчета ANSSI). Пикантности ситуации придает то, что Касперские, а следовательно и Раю, не работают вна Украине, где как раз и был обнаружен бэкдор Exaramel, а поэтому никак первичных данных у него быть не может. Таким образом Раю как бэ откосплеил Виктора Михайловича Полесова из "12 стульев" с его бессмертным "Воздушный тормоз не всасывает."
Единственные, кто мог бы дать какие-либо комментарии по Exaramel являются Cisco, но поскольку они молчат, то будем считать правыми ESET, тем более, что в своем отчете о бэкдоре они привели достаточно веские основания его атрибутирования к авторству Sandworm.
Все сразу стали обсуждать кто из именитых клиентов Centreon стал жертвой русских хакеров - Airbus, Euronews, Orange, Министерство юстиции Франции, Arcelor Mittal или все сразу.
Однако вчера случилась неожиданная неожиданность. Компания Centreon, не желая терять свою репутацию поставщика надежного ПО, заявила, что ни один из ее коммерческих клиентов не пострадал.
По данным Centreon, жертвами атаки стали 15 организаций, которые установили у себя устаревшую версию Centreon 2.5.2, которая свободно раздается на сайте компании и не поддерживается уже как 5(!) лет. Использовать такое ПО на своей сети могут только немытые клошары и другие эффективные менеджеры, но никак не серьезные компании, заботящиеся о безопасности своих данных.
Какой интерес к нищим жителям парижских трущоб могут испытывать русские хакеры, работающие на ГРУ, стало решительно непонятно. Запахло фарсом.
Но ничего, сейчас ворвется Раю и всем разъяснит за Exaramel! Кажется мы уже слышим "тыгыдым-тыгыдым"...
В понедельник Агентство кибербезопасности Франции (ANSSI) сообщило, что российская APT Sandworm в рамках длительной операции с 2017 по 2020 годы скомпрометировало сети множества французских компаний, использующих ПО Centreon, предназначенное для мониторинга IT-ресурсов, от одноименного французского производителя.
Французы сообщили, что во взломанных сетях были найдены публичный веб-шелл P.A.S., а также бэкдор Exaramel. Этот вредонос был обнаружен словацкими челябинцами из ESET в 2018 году и приписан APT Sandworm, которую словаки называют TeleBots. По мнению ANSSI операция была направлена на кибершпионаж.
Поскольку в отчете французов не было сказано прямо каким образом происходила компрометация целевых сетей - с помощью эксплуатации дыр в Centreon или путем атаки на цепочку поставок. предусматривающую предварительный взлом самого производителя ПО, то запахло SolarWinds 2.0, только на минималках и с грассированием. Правда, большинство экспертов склонялось все-таки к первому варианту.
Далее последовало эпичное врывание в треды темной румынской лошадки Евгения Валентиновича (tm) - главы Kaspersky GReAT Костина Раю, который всем разъяснил на пальцах как все было (а по сути - пересказал в Twitter краткое содержание отчета ANSSI). Пикантности ситуации придает то, что Касперские, а следовательно и Раю, не работают вна Украине, где как раз и был обнаружен бэкдор Exaramel, а поэтому никак первичных данных у него быть не может. Таким образом Раю как бэ откосплеил Виктора Михайловича Полесова из "12 стульев" с его бессмертным "Воздушный тормоз не всасывает."
Единственные, кто мог бы дать какие-либо комментарии по Exaramel являются Cisco, но поскольку они молчат, то будем считать правыми ESET, тем более, что в своем отчете о бэкдоре они привели достаточно веские основания его атрибутирования к авторству Sandworm.
Все сразу стали обсуждать кто из именитых клиентов Centreon стал жертвой русских хакеров - Airbus, Euronews, Orange, Министерство юстиции Франции, Arcelor Mittal или все сразу.
Однако вчера случилась неожиданная неожиданность. Компания Centreon, не желая терять свою репутацию поставщика надежного ПО, заявила, что ни один из ее коммерческих клиентов не пострадал.
По данным Centreon, жертвами атаки стали 15 организаций, которые установили у себя устаревшую версию Centreon 2.5.2, которая свободно раздается на сайте компании и не поддерживается уже как 5(!) лет. Использовать такое ПО на своей сети могут только немытые клошары и другие эффективные менеджеры, но никак не серьезные компании, заботящиеся о безопасности своих данных.
Какой интерес к нищим жителям парижских трущоб могут испытывать русские хакеры, работающие на ГРУ, стало решительно непонятно. Запахло фарсом.
Но ничего, сейчас ворвется Раю и всем разъяснит за Exaramel! Кажется мы уже слышим "тыгыдым-тыгыдым"...
centreon
Centreon provides clarification following the publication of the ANSSI Report | Centreon
Centreon customers are not affected. Reported campaign concerns an obsolete open source version of the software for which users ...
Полицейские Нидерландов решили пойти в народ.
Они начали регистрировать свои официальные акки на хакерских форумах и размещать сообщения об операции по накрытию Emotet в стиле "I am the law! Сопротивление бесполезно!"
"Ищите другой ботнет? Подумайте хорошо!" - прямая речь голландских полицейских. Пока что сообщения выложили на Raid и XSS на английском и русском языках, со второго вроде как снесли.
Каннабиноиды vs киберпреступность.
Они начали регистрировать свои официальные акки на хакерских форумах и размещать сообщения об операции по накрытию Emotet в стиле "I am the law! Сопротивление бесполезно!"
"Ищите другой ботнет? Подумайте хорошо!" - прямая речь голландских полицейских. Пока что сообщения выложили на Raid и XSS на английском и русском языках, со второго вроде как снесли.
Каннабиноиды vs киберпреступность.
Министерство юстиции США предъявило заочное обвинение еще двум северокорейским хакерам, членам APT Lazarus.
Обвиняемыми являются граждане КНДР 31-летний Джон Чанг Хёк и 27-летний Ким Ил. Они идут в дополнение к уже обвиненному в 2018 году Пак Джин Хёку. Американцы говорят, что они являются сотрудниками Главного разведывательного бюро (ГБР) Генштаба северокорейской армии, под крылом которого и работает Lazarus (впрочем, это давно не секрет).
Хакерам вменяется атака на Sony Pictures в 2014 году, попытка вывода почти миллиарда долларов из Центрального Банка Бангладеш, эпидемию вымогателя WannaCry и многое другое (мы весьма подробно рассматривали атаки Lazarus в своем обзоре).
ФБР утверждает, что все трое северокорейских хакеров были членами некоего подразделения Lazarus, точнее ГРБ, которое выезжало в командировки на территорию Китая и России. Не совсем понятно, официально или нет.
Что интересно нам в этом кейсе. Основной вопрос - каким образом американцы добыли персональные данные хакеров из КНДР, самой закрытой страны в мире. Самый очевидный ответ - американские APT смогли проникнуть в сетевую инфраструктуру ГРБ, откуда и собрали требуемую информацию.
Однако, с учетом упоминания командировок в Россию у нас есть и другая версия. Если командировки были официальными, а северокорейцы выступали под своими реальными именами, то данные могли утечь из России. По крайней мере, как показал кейс с "отравлением" Навального, информация о сотрудниках ФСБ утекает в сторону иностранных организаций легко и непринужденно. Конспирация, my ass.
Обвиняемыми являются граждане КНДР 31-летний Джон Чанг Хёк и 27-летний Ким Ил. Они идут в дополнение к уже обвиненному в 2018 году Пак Джин Хёку. Американцы говорят, что они являются сотрудниками Главного разведывательного бюро (ГБР) Генштаба северокорейской армии, под крылом которого и работает Lazarus (впрочем, это давно не секрет).
Хакерам вменяется атака на Sony Pictures в 2014 году, попытка вывода почти миллиарда долларов из Центрального Банка Бангладеш, эпидемию вымогателя WannaCry и многое другое (мы весьма подробно рассматривали атаки Lazarus в своем обзоре).
ФБР утверждает, что все трое северокорейских хакеров были членами некоего подразделения Lazarus, точнее ГРБ, которое выезжало в командировки на территорию Китая и России. Не совсем понятно, официально или нет.
Что интересно нам в этом кейсе. Основной вопрос - каким образом американцы добыли персональные данные хакеров из КНДР, самой закрытой страны в мире. Самый очевидный ответ - американские APT смогли проникнуть в сетевую инфраструктуру ГРБ, откуда и собрали требуемую информацию.
Однако, с учетом упоминания командировок в Россию у нас есть и другая версия. Если командировки были официальными, а северокорейцы выступали под своими реальными именами, то данные могли утечь из России. По крайней мере, как показал кейс с "отравлением" Навального, информация о сотрудниках ФСБ утекает в сторону иностранных организаций легко и непринужденно. Конспирация, my ass.
Данные о том, что KIA Motors America стала жертвой атаки ransomware подтвердились.
Как сообщает BleepingComputer, атаковавшей стороной оказался владелец DoppelPaymer, который потребовал 20 млн. долларов в качестве выкупа.
Для выплаты жертве дается 2 недели иначе сумма увеличивается до 30 млн. долларов. Также вымогатели обещают опубликовать "огромное количество данных", которые они украли в ходе атаки.
Правда, надо отметить, что в записке о выкупе почему то указана компания Hyundai Motor America, чьей дочкой является Kia Motors America. При этом сервисы американской Hyundai работают в штатном режиме и никаких сбоев там не наблюдается.
Представители KIA продолжают прикидываться ветошью и заявляют, что ничего им об атаке ransomware неизвестно, а массовые отказы сервисов - просто потому что.
И остается напомнить, что за DoppelPaymer стоит российская хакерская группа Evil Corp. Поломали они уже много чего - и Foxconn, и мексиканскую Pemex, и даже сеть Университетской больницы в Дюссельдорфе (UKD), когда в результате атаки погиб не получивший своевременной неотложной помощи пациент. Мы про это писали.
Как сообщает BleepingComputer, атаковавшей стороной оказался владелец DoppelPaymer, который потребовал 20 млн. долларов в качестве выкупа.
Для выплаты жертве дается 2 недели иначе сумма увеличивается до 30 млн. долларов. Также вымогатели обещают опубликовать "огромное количество данных", которые они украли в ходе атаки.
Правда, надо отметить, что в записке о выкупе почему то указана компания Hyundai Motor America, чьей дочкой является Kia Motors America. При этом сервисы американской Hyundai работают в штатном режиме и никаких сбоев там не наблюдается.
Представители KIA продолжают прикидываться ветошью и заявляют, что ничего им об атаке ransomware неизвестно, а массовые отказы сервисов - просто потому что.
И остается напомнить, что за DoppelPaymer стоит российская хакерская группа Evil Corp. Поломали они уже много чего - и Foxconn, и мексиканскую Pemex, и даже сеть Университетской больницы в Дюссельдорфе (UKD), когда в результате атаки погиб не получивший своевременной неотложной помощи пациент. Мы про это писали.
Telegram
SecAtor
BleepingComputer сообщает, что начиная с субботы у KIA Motors USA начались проблемы с работой IT-сервисов и платформ поддержки клиентов на всей территории США. Отрубились и мобильные приложения компании.
В числе других сервисов пострадала платформа KDealer…
В числе других сервисов пострадала платформа KDealer…
"Пишу сейчас тебе я, дорогой ты ребе мой..." - напеваем мы не просто так, а от удовольствия, полученного после изучения очередного отчета исследователей из израильской инфосек компании Check Point, посвященного анализу вредоносного инструмента APOMacroSploit.
А именно от продемонстрированного в нем качественного OSINT.
Исследуя одну из фишинговых атак в ноябре прошлого года Check Point обнаружили новый билдер вредоносов (звучит как имя и фамилия) под названием APOMacroSploit, который применялся 40 различными хакерами в фишинговых кампаниях.
Используя ошибку злоумышленников в OpSec исследователи смогли получить список ников всех хакеров-клиентов APOMacroSploit, среди которых есть, например, ZaiTsev (вьетнамец, наверное).
Затем ресерчеры выяснили, что авторами APOMacroSploit являются два пользователя - Apocaliptique и Nitrix. Далее подробно рассказывать не будем, прочитайте сами (это действительно интересно) как с помощью OSINT исследователи установили, что за псевдонимом Nitrix скрывается конкретный житель французского комунны Нуази-ле-Гран департамента Сен-Сен-Дени, имеющий 4-х летний опыт разработки ПО, и нашли его аккаунт в Facebook. Что же касается Apocaliptique, то Check Point смогли установить только, что он, скорее всего, также является жителем Сен-Сен-Дени.
А именно от продемонстрированного в нем качественного OSINT.
Исследуя одну из фишинговых атак в ноябре прошлого года Check Point обнаружили новый билдер вредоносов (звучит как имя и фамилия) под названием APOMacroSploit, который применялся 40 различными хакерами в фишинговых кампаниях.
Используя ошибку злоумышленников в OpSec исследователи смогли получить список ников всех хакеров-клиентов APOMacroSploit, среди которых есть, например, ZaiTsev (вьетнамец, наверное).
Затем ресерчеры выяснили, что авторами APOMacroSploit являются два пользователя - Apocaliptique и Nitrix. Далее подробно рассказывать не будем, прочитайте сами (это действительно интересно) как с помощью OSINT исследователи установили, что за псевдонимом Nitrix скрывается конкретный житель французского комунны Нуази-ле-Гран департамента Сен-Сен-Дени, имеющий 4-х летний опыт разработки ПО, и нашли его аккаунт в Facebook. Что же касается Apocaliptique, то Check Point смогли установить только, что он, скорее всего, также является жителем Сен-Сен-Дени.
Check Point Research
ApoMacroSploit : Apocalyptical FUD race - Check Point Research
1.1 Introduction At the end of November, Check Point Research detected a new Office malware builder called APOMacroSploit, which was implicated in multiple malicious emails to more than 80 customers worldwide. In our investigation, we found that this…
Forwarded from Эксплойт | Live
Обнаружен первый вирус для компьютеров на Apple M1
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
Французов проняло - после трех подряд атак ransomware на ресурсы французских больниц за последнее время Эммануэль Макрон объявил о решительных мерах по усилению кибербезопасности.
Планируется существенно увеличить штат Агентства кибербезопасности Франции (ANSSI). В работу ANSSI и исследования в области кибербезопасности, в том числе открытие специализированного кибер-кампуса, будет дополнительно проинвестирован 1 млрд. евро.
Также в планах - удвоить количество рабочих мест в индустрии инфосека к 2025 году.
С одной стороны такой подход, с личной подачи Президента Франции, впечатляет, как и размер финансирования. А с другой - это объясняется тем, что французы существенно отстали в отрасли инфосек и теперь вынуждены экстренно реагировать на растущие киберугрозы.
Планируется существенно увеличить штат Агентства кибербезопасности Франции (ANSSI). В работу ANSSI и исследования в области кибербезопасности, в том числе открытие специализированного кибер-кампуса, будет дополнительно проинвестирован 1 млрд. евро.
Также в планах - удвоить количество рабочих мест в индустрии инфосека к 2025 году.
С одной стороны такой подход, с личной подачи Президента Франции, впечатляет, как и размер финансирования. А с другой - это объясняется тем, что французы существенно отстали в отрасли инфосек и теперь вынуждены экстренно реагировать на растущие киберугрозы.
Twitter
Emmanuel Macron
Les cyberattaques de Dax et de Villefranche-sur-Saône confirment l’importance de prendre l’enjeu de la cybersécurité très au sérieux. Nous en avons fait une priorité :
Воистену самая эпичная короткометражка, снятая дроном с севшей батареей. Можно смотреть бесконечно.
Twitter
💧ᴅᴇᴀᴅ ᴄᴀᴛ ʙᴏᴜɴᴄᴇ
A drone with a fainting battery captures the most epic short film ever made.
Перед наступающим Днем Красной Армии оперативная обстановка на фронтах идеологической борьбы за будущее мировой сети серьезно осложняется. В этот раз заход пошел со стороны авторитетного инфосек издания ZDNet.
На фоне двух новостей о последствиях атаки на SolarWinds, "связанной с хакерами, имеющими вероятно российское происхождение", журналисты решили поставить вопрос о необходимости усиления присутствия американского государства в киберпространстве.
Обо всем по порядку.
Во-первых, заместитель советника по национальной безопасности Президента США Энн Нойрберг заявила на брифинге, что в ходе атаки Sunburst на компанию SolarWinds были скомпрометированы девять правительственных американских агентств, включая Министерство внутренней безопасности и Госдеп, а также около 100 американских коммерческих компаний, существенная часть из которых является технологическими.
Во-вторых, Microsoft в отчете о последствиях взлома своей сети в рамках атаки Sunburst сообщили, что хакеры искали способы по дальнейшему расширению своего присутствия, а также выкачали из репозиториев исходные коды компонентов Azure, Intune и Exchange.
И параллельно с этим журналист Робин Харрис выпускает программную статью, в которой объясняет, со ссылкой на последствия и масштаб атаки на SolarWinds, что частные компании не в силах более обеспечить защиту от кибератак, а посему американское правительство просто обязано вмешаться в инфосек со всей своей дури.
Логика проста - по оценке Microsoft в подготовке Sunburst участвовало по крайней мере 1000 программистов (мы про это писали, тысячи русских хакеров, ага). Как полагают журналисты, ни одна коммерческая компания не в силах выделить такие ресурсы на проведение атаки, а значит за ней стоят государственные структуры. Да еще, "вероятно российского происхождения", хотя, напомним, за прошедшие почти 3 месяца с момента обнаружения атаки и обвинения в сторону русских хакеров не появилось ни одного весомого подтверждения в пользу этой версии. Но в современном инфосек это и не требуется, он теперь политизирован не хуже спорта и пр.
А поэтому противодействовать подобным атакам должна государственная структура, некая надсетевая полиция. Глобальная сила понятного происхождения.
Дальше проводятся аналогии с американской армией, с тем, какая она сильная и всю планету в страхе держит. По аналогии должны быть созданы и Вооруженные силы цифровой защиты США, которые будут всех нагибать.
А если их не создать, то все прогнутся перед Россией, которая срощена с киберпреступным сообществом.
Какой-то хтонический звиздец.
На фоне двух новостей о последствиях атаки на SolarWinds, "связанной с хакерами, имеющими вероятно российское происхождение", журналисты решили поставить вопрос о необходимости усиления присутствия американского государства в киберпространстве.
Обо всем по порядку.
Во-первых, заместитель советника по национальной безопасности Президента США Энн Нойрберг заявила на брифинге, что в ходе атаки Sunburst на компанию SolarWinds были скомпрометированы девять правительственных американских агентств, включая Министерство внутренней безопасности и Госдеп, а также около 100 американских коммерческих компаний, существенная часть из которых является технологическими.
Во-вторых, Microsoft в отчете о последствиях взлома своей сети в рамках атаки Sunburst сообщили, что хакеры искали способы по дальнейшему расширению своего присутствия, а также выкачали из репозиториев исходные коды компонентов Azure, Intune и Exchange.
И параллельно с этим журналист Робин Харрис выпускает программную статью, в которой объясняет, со ссылкой на последствия и масштаб атаки на SolarWinds, что частные компании не в силах более обеспечить защиту от кибератак, а посему американское правительство просто обязано вмешаться в инфосек со всей своей дури.
Логика проста - по оценке Microsoft в подготовке Sunburst участвовало по крайней мере 1000 программистов (мы про это писали, тысячи русских хакеров, ага). Как полагают журналисты, ни одна коммерческая компания не в силах выделить такие ресурсы на проведение атаки, а значит за ней стоят государственные структуры. Да еще, "вероятно российского происхождения", хотя, напомним, за прошедшие почти 3 месяца с момента обнаружения атаки и обвинения в сторону русских хакеров не появилось ни одного весомого подтверждения в пользу этой версии. Но в современном инфосек это и не требуется, он теперь политизирован не хуже спорта и пр.
А поэтому противодействовать подобным атакам должна государственная структура, некая надсетевая полиция. Глобальная сила понятного происхождения.
Дальше проводятся аналогии с американской армией, с тем, какая она сильная и всю планету в страхе держит. По аналогии должны быть созданы и Вооруженные силы цифровой защиты США, которые будут всех нагибать.
А если их не создать, то все прогнутся перед Россией, которая срощена с киберпреступным сообществом.
Какой-то хтонический звиздец.
ZDNET
Private firms can't protect us from digital attacks. Government must step in.
For the last 30 years various forms of criminality and nation state aggression against Americans and America has been a staple of daily life. Despite the efforts of a number of multibillion dollar companies to protect us, they've failed to do so. The government…
Мы не одиноки в своих оценках процесса расследования атаки Sunburst на компанию SolarWinds
Twitter
Joe Słowik ⛄
https://t.co/ThU1AJE0PW
Товарищи с форума XSS опубликовали интервью с "black hat пентестером" Bassterlord, являющимся оператором сразу четырех ransomware.
Главное, чтобы им не встретились в темной подворотне "профессиональные исследователи уязвимых мест человеческой физиологии с целью обнаружения и эксфильтрации финансовых средств" в составе группы лиц по предварительному сговору.
Главное, чтобы им не встретились в темной подворотне "профессиональные исследователи уязвимых мест человеческой физиологии с целью обнаружения и эксфильтрации финансовых средств" в составе группы лиц по предварительному сговору.
В феврале на американском инфосек-рынке произошло два знаковых M&A, которые явно указывают на одну актуальную индустриальную боль. 9 февраля SentinelOne приобрёл Scalyr, а 18 февраля CrowdStrike объявил о поглощении Humio.
Сумма первого M&A составила $155 млн, второго - $400 млн. Оба стартапа разрабатывали технологии анализа логов и оба приняли от венчурных фондов относительно незначительные инвестиции ($27 и $32 млн соответственно). На этом фоне SentinelOne и CrowdStrike пообещали скорый прорыв в функциональности своих продуктов, уж чуть ли не NextGen XDR. Оставим эту развесистую клюкву на совести маркетологов и наивности клиентов. Если же покопаться в этих событиях, то на поверхность всплывает одна из главных проблем систем корпоративного инфосека - как выжать из хренобайтов сигналов от хреллионов сетевых датчиков нормально скоррелированное событие для принятия обоснованного решения? Собрать сигналы - этим уже давно никого не удивишь, но приготовить из них нечто вменяемое подручными средствами практически нереально. Использование внешних средств вроде Slunk ведёт к дополнительным расходам, найму заповедных кадров, покрепчанию софтверного зоопарка, да и вообще Splunk в России больше не работает. А какой SIEM без этого?
И кто сейчас этим SIEM не болеет? Свои решения выпустили Лаборатория Касперского, Positive Technologies, другие российские разработчики. SIEM, пожалуй, самая горячая тема разных индустриальный форумов-конференций-выставок(-скоро клабхаусов). Однако какого-то вменяемого анализа эффективности этого многообразия разработок с точки зрения качества анализа логов и выявления атак мы до сих пор не видели.
Сумма первого M&A составила $155 млн, второго - $400 млн. Оба стартапа разрабатывали технологии анализа логов и оба приняли от венчурных фондов относительно незначительные инвестиции ($27 и $32 млн соответственно). На этом фоне SentinelOne и CrowdStrike пообещали скорый прорыв в функциональности своих продуктов, уж чуть ли не NextGen XDR. Оставим эту развесистую клюкву на совести маркетологов и наивности клиентов. Если же покопаться в этих событиях, то на поверхность всплывает одна из главных проблем систем корпоративного инфосека - как выжать из хренобайтов сигналов от хреллионов сетевых датчиков нормально скоррелированное событие для принятия обоснованного решения? Собрать сигналы - этим уже давно никого не удивишь, но приготовить из них нечто вменяемое подручными средствами практически нереально. Использование внешних средств вроде Slunk ведёт к дополнительным расходам, найму заповедных кадров, покрепчанию софтверного зоопарка, да и вообще Splunk в России больше не работает. А какой SIEM без этого?
И кто сейчас этим SIEM не болеет? Свои решения выпустили Лаборатория Касперского, Positive Technologies, другие российские разработчики. SIEM, пожалуй, самая горячая тема разных индустриальный форумов-конференций-выставок(-скоро клабхаусов). Однако какого-то вменяемого анализа эффективности этого многообразия разработок с точки зрения качества анализа логов и выявления атак мы до сих пор не видели.
Американские власти продолжают лепить из кибератаки Sunburst против компании SolarWinds икону цифрового Пёрл Харбора. Хтонический звиздец, о котором мы рассказывали несколько дней назад, вчера получил продолжение на тематических слушаниях в Сенате США. Но это уже был адский цирк.
Во-первых, приглашённый Amazon (а именно его серверы использовались для атаки) просто забил и не пришёл ("Сенат? До пошёл ты в ж&пу, Сенат"). Во-вторых, президент Microsoft Брэд Смит наехал на пострадавших пользователей, укорив их в пренебрежении основными правилами кибербезопасности. За что сразу же отхватил ответочку от главы CrowdStrike Джорджа Курца за сложную и отсталую архитектуру, дырявую аутентификацию и вообще. А в-третьих высокие инфосек-апостолы согласились, что на самом деле они нифига не знают о том, что же на самом деле произошло - это чертовски запутанное дело ещё копать и копать. И на самом деле надо улучшать сотрудничество, повышать прозрачность, углублять обмен данными и так далее по стандартному списку.
Можно улыбаться и махать происходящему, но в реальности всё это очень грустно и не предвещает ничего хорошего. Больше пяти лет мы наблюдаем фундаментальную моральную и легальную подготовку американских властей для обоснования враждебных действий против геополитических противников.
Поскольку невозможно доказать кто стоит за конкретной кибератакой (и вообще имела ли она действие), то появляются безграничные перспективы для спекуляций и фантазий. Подумаешь, что независимые рисёрчеры надрывают животики - пипл схавает выводы прикормленных контор вроде FireEye.
А в результате на руках у американских властей оказывается внушительная индульгенция, развязывающая руки для практически любых действий. "Они отравили нашу воду! Отключить им Windows!". "Они украли наши секреты! Посадить им Боинги!".
Нужно успеть как можно быстрее и больше замеcтить иностранного софта и оборудования в критических областях. Пока не началось. А оно начнётся - легенда цифрового Пёрл Харбора проходит финальную полировку.
Во-первых, приглашённый Amazon (а именно его серверы использовались для атаки) просто забил и не пришёл ("Сенат? До пошёл ты в ж&пу, Сенат"). Во-вторых, президент Microsoft Брэд Смит наехал на пострадавших пользователей, укорив их в пренебрежении основными правилами кибербезопасности. За что сразу же отхватил ответочку от главы CrowdStrike Джорджа Курца за сложную и отсталую архитектуру, дырявую аутентификацию и вообще. А в-третьих высокие инфосек-апостолы согласились, что на самом деле они нифига не знают о том, что же на самом деле произошло - это чертовски запутанное дело ещё копать и копать. И на самом деле надо улучшать сотрудничество, повышать прозрачность, углублять обмен данными и так далее по стандартному списку.
Можно улыбаться и махать происходящему, но в реальности всё это очень грустно и не предвещает ничего хорошего. Больше пяти лет мы наблюдаем фундаментальную моральную и легальную подготовку американских властей для обоснования враждебных действий против геополитических противников.
Поскольку невозможно доказать кто стоит за конкретной кибератакой (и вообще имела ли она действие), то появляются безграничные перспективы для спекуляций и фантазий. Подумаешь, что независимые рисёрчеры надрывают животики - пипл схавает выводы прикормленных контор вроде FireEye.
А в результате на руках у американских властей оказывается внушительная индульгенция, развязывающая руки для практически любых действий. "Они отравили нашу воду! Отключить им Windows!". "Они украли наши секреты! Посадить им Боинги!".
Нужно успеть как можно быстрее и больше замеcтить иностранного софта и оборудования в критических областях. Пока не началось. А оно начнётся - легенда цифрового Пёрл Харбора проходит финальную полировку.