​💰 Сколько стоит доступ к инфраструктуре компании?

🖖🏻 Приветствую тебя user_name.

• Сегодня предлагаю ознакомиться с интересным исследованием и узнать, по какой цене киберпреступники продают данные крупных компаний в даркнете — статья-обзор предложений на теневых форумах по категориям. Будет интересно, приятного чтения:

• Основным мотивирующим фактором для злоумышленников были и остаются деньги. К самым распространенным способам монетизации кибератак относятся продажа украденных баз данных и вымогательство денег с помощью программ-шифровальщиков.

• Однако в теневом интернете существует спрос не только на данные, полученные в результате атаки, но и на данные и услуги, необходимые для ее организации (например, для выполнения определенного этапа многоступенчатой атаки).

• В сложных атаках почти всегда можно выделить несколько этапов, таких как разведка, первоначальный доступ к инфраструктуре, получение доступа к целевым системам и/или привилегий и непосредственно вредоносная активность (кража, уничтожение или шифрование данных и т. д.). Это один из примеров разделения атаки на шаги, которые могут выполняться несколькими подрядчиками — хотя бы потому, что для реализации разных шагов требуются разные компетенции и опыт.

• Опытные злоумышленники заинтересованы в непрерывном развитии своего бизнеса и постоянно нуждаются в новых данных для первоначального доступа к инфраструктуре организаций. Им выгоднее заплатить за готовый доступ, чем инвестировать свое время в поиск первичных уязвимостей и проникновение внутрь периметра.

🧷 Продолжение: https://securelist.ru/initial-access-data-price-on-the-dark-web/105499/

Твой S.E.

Cisco исправила критическую уязвимость обхода аутентификации, которая позволяла злоумышленникам входить в веб-интерфейс управления шлюзами электронной почты Cisco с конфигурациями, отличными от настроек по умолчанию.

CVE-2022-20798 была обнаружена во внешней функции аутентификации виртуальных и аппаратных устройств Cisco Email Security Appliance (ESA) и устройств Cisco Secure Email и Web Manager. При этом Cisco Secure Web Appliance, ранее известный как Cisco Web Security Appliance (WSA) уязвимости не подвержен.

Ошибка возникает из-за неправильной проверки подлинности на уязвимых устройствах с использованием облегченного протокола доступа к каталогам (LDAP). Эксплуатация реализуется путем ввода определенных данных на странице входа в систему уязвимого устройства.

Проблема обнаружилась в ходе рассмотрения обращения в службу поддержки Cisco TAC, в связи с чем Cisco PSIRT ничего не известно о каких-либо общедоступных эксплойтах для этой ошибки безопасности или злонамеренном использовании уязвимости в дикой природе.

Бага затрагивает только устройства, настроенные на использование внешней аутентификации и LDAP в качестве протокола аутентификации. Положительный момент в том, что функция по умолчанию отключена, то есть уязвимыми остаются только устройства с конфигурацией, отличной от стандартной.

Администраторам рекомендуется установить исправления для CVE-2022-20798, либо применить обходной путь, требующий отключения анонимных привязок на внешнем сервере аутентификации.

Все тайное становится явным, особенно для тех, кто оснастил свой дом или офис комплектом умных домашних устройств Anker Eufy Homebase 2.

Как выяснили исследователи Cisco Talos, центральный концентратор экосистемы Anker уязвим для трех ошибок, одна из которых представляет собой критическую уязвимость RCE.

Homebase 2 — это хранилище видео и сетевой шлюз для всех умных домашних устройств Anker Eufy, включая видеоглазки, камеры наблюдения, интеллектуальные запирающие устройства, системы сигнализации и др.

Homebase выполняет функцию центральной станции для устройств Eufy и синхронизируется с облаком для расширения функциональности компонентов экосистемы, в том числе предоставляя удаленное управление через приложение и пр.

Самая серьезная из угроз CVE-2022-21806 представляет собой критическую (CVSS: 10.0) RCE, инсценируемую отправкой специально созданного набора сетевых пакетов на целевое устройство. Недостаток связан с проблемой после освобождения в функциональности внутреннего сервера, который Homebase использует для получения из сети сообщений в специальном формате, в том числе для сопряжения устройств, настройки и др.

Вторая CVE-2022-26073 имеет высокий уровень серьезности (CVSS: 7.4) и также активируется удаленно путем отправки набора специально созданных сетевых пакетов. Эксплуатация переводит устройство в состояние перезагрузки и последующему отказу в обслуживании. 

Наконец, CVE-2022-25989 - проблема обхода аутентификации высокой степени серьезности (CVSS: 7.1), вызванная специально созданным пакетом DHCP и заставляющая Homebase отправлять трафик на внешний сервер. Злоумышленник может использовать эту уязвимость для получения видеопотока с подключенных камер и шпионить за владельцами.

После уведомления Cisco Talos, производитель исправил уязвимости, выпустив обновленные версии прошивок 3.1.8.7 и 3.1.8.7h.

Пользователям следует как можно скорее обновить свои умные дома, иначе их жизнь может превратиться в аналог известных телешоу, только в качестве гонорара участников ожидает шантаж или прочие неприятности.

​😾BlackCat/ALPHV ransomware сделали собственный "haveibeenpwned"

Как пишет Threat Analyst из Emsisoft Бретт Кэллоу группировка шифровальщиков BlackCat создала собственный аналог популярного сервиса проверки на утечки "haveibeenpwned". Так сотрудники и клиенты компаний-жертв теперь могут проверить свою личную информацию на предмет утечек на одном из сайтов группировки.

Бретт считает, что полученные email в результате взлома хакеры попробуют использовать для рассылки писем пострадавшим лицам со ссылкой на собственный "haveibeenpwned". По мнению специалиста, данная стратегия уже использовалась другими шифровальщиками ранее.

"This is a new but unsurprising evolution in extortion tactics. Alphv will likely use stolen email addresses to send a link to the site to impacted individuals" - комментирует ситуацию аналитик Emsisoft

Разработчики WordPress обратились к принудительному обновлению в рамках противодействия масштабной кампании, нацеленной на уязвимые версии плагина Ninja Forms, который используют ежедневно более 1 млн. пользователей платформы.

Такое решение было принято после обнаружения ресерчерами Wordfence критической уязвимости RCE в дикой природе. Уязвимость затрагивает несколько выпусков популярного плагина для создания форм, начиная с версии 3.0 и выше.

Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать ошибку для вызова различных классов форм Ninja, используя ошибку в функции слияния тегов.

Успешная эксплуатация позволяет им полностью захватить неисправленные сайты WordPress с помощью нескольких цепочек эксплуатации, одна из которых приводит к удаленному выполнению кода посредством десериализации для полного захвата целевого веб-сайта.

Таким образом, с момента исправления уязвимости 14 июня без официального уведомления более 730 000 сайтов WordPress были принудительно обновлены в виду ошибки плагина.

Принудительное исправление используется Automattic (обеспечивает работу системы управления контентом WordPress) в очень редких и исключительно серьезных случаях, как это было с случае с ошибкой обработкой кода и проблемой логики аутентификации в Jetpack в 2019 и 2021 году или в феврале 2022 года, когда принудительно было исправлено более 3 млн. веб-сайтов, использующих плагин UpdraftPlus.

Поэтому несмотря на то, что подробности атак не разглашаются, следует все же рассматривать новую RCE серьезной угрозой, а значит, если плагин еще не был автоматически обновлен до версии 3.6.11  - это необходимо сделать вручную.

Несколько недель назад была выпущена новая версия Fastjson (1.2.83) с исправленной уязвимостью, которая может позволить злоумышленнику выполнить код на удаленной машине. Бага связана с обходом механизма «AutoTypeCheck» в Fastjson с последующей возможностью выполнения RCE.

Эта уязвимость Fastjson только недавно получила CVE-идентификатор — CVE-2022-25845 и высокий CVSS — 8.1. Но как говорят эксперты, уязвимость до сих пор окутана тайной, несмотря на то, что транслируется, как RCE с высокой степенью серьезности в вездесущем компоненте.

Напомним, что Fastjson — это пакет Java, который может сериализовать и десериализовывать объекты Java в JSON и обратно. Отсюда и масштаб угроз, так как эта уязвимость затрагивает все приложения Java, которые используют Fastjson версии 1.2.80 или более ранние и передают управляемые пользователем данные в API JSON.parse или JSON.parseObject без указания конкретного класса для десериализации.

То есть если десериализованный JSON контролируется пользователем, его синтаксический анализ с включенным AutoType может привести к проблеме безопасности десериализации, поскольку злоумышленник может создать экземпляр любого класса, доступного в пути к классам и передать его конструктору произвольные аргументы, о чем сообщили специалисты из JFrog, которые обнаружили ошибку.

Пользователям Fastjson рекомендуется обновиться до версии 1.2.83 или включить safeMode, который отключает функцию независимо от используемых чек-листов, эффективно закрывая варианты атаки десериализации.

В сети уже есть общедоступный PoC-эксплойт и потенциальное воздействие очень велико, но условия для атаки нетривиальны, так как требуется исследование для конкретной цели, чтобы найти подходящий класс гаджетов для использования уязвимости.

Мы неоднократно предупреждаем, что непропатченные Sophos Firewall являются объектом пристальной заинтересованности со стороны хакеров и постоянно подвергается злонамеренным атакам, открывающим им более широкий доступ к инфраструктуре жертв.

Ресерчеры Volexity не дадут соврать. В своей исследовательской записке они сообщают об атаке китайской APT, нацеленной на использование 0-day брандмауэра Sophos для установки бэкдоров и реализации MITM, о которой мы писали еще в марте 2022 года.

Напомним, что уязвимость CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует в консоле веб-администрирования брандмауэра Sophos. Ошибка позволяет удаленному злоумышленнику получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код.

Аномальная активность, исходящая от клиентского брандмауэра Sophos, была замечена специалистами Volexity в ходе мониторинга сети. Дальнейшее расследование инцидента привело к обнаружению бэкдора в брандмауэре и следов компрометации, датированных 5 марта 2022 года.

Для бэкдора в брандмауэре Sophos использовалась веб-оболочка, доступ к которой можно было получить через любой URL-адрес по выбору злоумышленника.

В дополнение к веб-шеллу, Volexity выявили и другие действия, направленные на еще болшую компрометацию жертвы и сохранению в системе. Так, АРТ создала учетные записи пользователей VPN и связанные пары сертификатов в брандмауэре, чтобы облегчить законный удаленный доступ к сети.

Обнаружив, что злоумышленник использует доступ к брандмауэру для проведения атак «человек посередине» (MITM), исследователи Volexity расширили исследование и обнаружили, что группа APT использует собранные таким образом данные для взлома дополнительных систем за пределами целевой сети.

После доступа к брандмауэру хакеры вносили изменения ответов DNS для целевых сайтов в рамках атак MITM. Это позволило им перехватывать учетные данные пользователя и файлы cookie административного доступа к системе CMS.

Volexity атрибутировала атаку к группе DriftingCloud, представив индикаторы компрометации и подробное описание вектора атаки в своём исследовательском отчете. Владельцам брандмауэра - на заметку и к руководству.

Головная боль под названием eCh0raix возвращается к владельцам устройств QNAP NAS.

Уязвимые устройства Network Attached Storage снова в прицеле вымогателей. Всплеск новой волны атак фиксируется, как минимум, с 8 июня и подтверждается быстро растущим числом сообщений пострадавших пользователей на форуме BleepingComputer [1 , 2], а также отчетами и образцами, представленными на ID Ransomware.

Впрочем, владельцам сетевых хранилищ не привыкать, с ramsomware-штаммом eCh0raix знакомы еще с первой волны атак в августе 2019 года, а спустя год были свидетелями новых инцидентов в июне 2020 и в мае 2020. Год спустя были замечены в атаках на Synology NAS в августе 2021 года.

Пик активности eCh0raix пришелся на декабрь 2021 года, когда устройства со слабыми паролями массово компрометировались. В феврале 2022 года производителю удалось взять контроль над ситуацией, приложив достаточно серьезные усилия, в том числе прибегнув к принудительному обновлению.

К настоящему времени QNAP не раскрывает детали новых атак ech0raix, вектор которых остается неизвестным. В изучении ресерчеров на данный момент находятся несколько десятков образцов ransomware. Однако фактическое число жертв явно превышает эти показатели.

Совсем недавно производитель предупреждал владельцев о предстоящих атаках, но указывал другого актора - DeadBolt. Речь шла об устройствах QNAP NAS, работающих под управлением QTS 4.x, на которые нацелились вымогатели.

Компания настоятельно рекомендует немедленно обновить операционные системы QTS или QuTS hero на устройствах NAS до последней версии, а также избегать доступа к своему NAS из Интернет. А мы ожидаем подробностей новых инцидентов с использованием ramsomware eCh0raix.

Ничего личного: Cisco не будет исправлять 0-day RCE в VPN-маршрутизаторах с истекшим сроком службы.

Обнаруженная CVE-2022-20825 имеет рейтинг серьезности CVSS 9,8 из 10,0. Она затрагивает модели серии RV для малого бизнеса, включая брандмауэр RV110W Wireless-N VPN, маршрутизаторы RV130 VPN, RV130W Wireless-N и RV215W Wireless-N VPN.

Согласно бюллетеню Cisco, проблема существует из-за недостаточной проверки пользовательского ввода входящих HTTP-пакетов на затронутых устройствах. Злоумышленник может использовать багу, отправив специально созданный запрос в веб-интерфейс управления, что приведет к выполнению команды с привилегиями корневого уровня.

Проблема свойственна только устройствам со включенным веб-интерфейсом удаленного управления через глобальную сеть (отключен по умолчанию). Но несмотря на это, Shodan отображает достаточно значимое количество незащищенных устройств.

Cisco рекомендует владельцам маршрутизаторов перейти на более новые модели, ведь выпускать обновления для устранения CVE-2022-20825 не намерена. При этом кроме отключения удаленного управления на интерфейсе WAN, других обходных путей нет.

Для пользователей из России, прошлогодняя незакрытая уязвимость в UPnP и нынешняя RCE в устаревших маршрутизаторах - отличный повод задуматься и сделать принципиальные выводы, пока окно возможностей обновления и поддержки вовсе не закроется.

Claroty раскрыли 15 уязвимостей в системе управления промышленными сетями Siemens.

В отчете исследователи приводят технические подробности ошибок в Siemens SINEC (NMS), некоторые из которых в случае эксплуатации могут вызвать состояние отказа в обслуживании, приводят к утечке учетных данных, а при объединении - созданию условия для удаленного выполнения кода в уязвимых системах.

Рассматриваемые недостатки (CVE-2021-33722 - CVE-2021-33736), были устранены Siemens в рамках выпуска версии V1.0 SP2 Update 1 в составе исправлений, выпущенных 12 октября 2021 г.

Самая серьезная из них может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код в системе с системными привилегиями при определенных условиях.

CVE-2021-33723 (с оценкой CVSS: 8,8) позволяет повысить привилегии до учетной записи администратора и может быть объединена с уязвимостью обхода пути CVE-2021-33722 (с оценкой CVSS: 7,2) для выполнения произвольного кода удаленно.

Еще один серьезный недостаток связан с SQL-инъекцией (CVE-2021-33729 с оценкой CVSS: 8,8), которая может быть использована авторизованным злоумышленником для выполнения произвольных команд в локальной базе данных.

Для понимания общей угрозы следует учесть, что SINEC занимает центральное место в топологии сети, поскольку реализует доступ к учетным данным, криптографическим ключам и другой конфиденциальной информации, предоставляющей доступ администратора для управления устройствами.

Таким образом, в случае компрометации SINEC злоумышленник получает ключевые позиции для разведки, бокового перемещения и повышения привилегий.

Последнее время деятельность Microsoft вызывает все больше негодования.

И связано это даже не с тем, что на днях Microsoft без каких-либо комментариев и уведомлений запретили российским пользователям скачивать Windows 10 и 11 (загрузка доступна только через VPN). Вопрос решается и без VPN, привет от Gorskiy (для тех, кто в теме).

Больше вопросов возникает к исправлению недостатков, некоторые из которых приходится почтить чуть ли не каждый месяц, а их признания и подтверждения инфосек-сообществу приходится добиваться через огласку и общественное давление. Follina не даст соврать.

В очередной раз исследователи из CyberArk поделились технической информацией об уязвимости именованного канала RDP в Windows, для закрытия которой Microsoft пришлось выпустить два пакета исправлений.

Первоначально CVE-2022-21893 была решена январским обновлением, но последующий анализ показал, что этого оказалось недостаточно. Ошибку Microsoft удалось добить только в апреле 2022 года.

CVE-2022-21893 представляет собой уязвимость служб удаленных рабочих столов Windows и позволяет непривилегированному пользователю через через RDP получить доступ к файловой системе клиентских машин подключенных пользователей, что может привести к к проблемам с конфиденциальностью данных, боковому перемещению и повышению привилегий

Ошибка связана с тем, что разрешения именованных каналов неправильно обрабатываются в службах RDP, что позволяет пользователю с обычными привилегиями перехватывать виртуальные каналы RDP в других подключенных сеансах.

Первоначальный патч изменил права доступа к каналам, однако создание первого конвейерного сервера позволяло пользователю устанавливать разрешения для последующих экземпляров.

Окончательно решить проблему удалось только путем создания для каналов нового идентификатора GUID и запуска дополнительного элемента управления для проверки текущего идентификатора процесса согласно серверу именованных каналов.

Поэтому, даже если злоумышленник сможет каким-то образом предугадать GUID, атака не сработает, поскольку у него будет другой идентификатор процесса. В этом случае один и тот же процесс создает сервер канала и клиент (дескриптор клиента канала позже возвращается вызывающему процессу).

Впрочем, вы уже знаете все ответы, повторяться не будем.

AutomationDirect исправили серьезные уязвимости в продуктах PLC и HMI.

Американская компания AutomationDirect специализируется на производстве широкого спектра промышленных систем управления (ICS), реализуя свои устройства в США и Канаде.

Комплексные решения производителя достаточно популярны и в России, в том числе на объектах нефтехимической, нефтегазовой, пищевой, горнодобывающей промышленности, металлургии, энергетики, ЖКХ, а также в целлюлозно-бумажном производстве.

Уязвимости отслеживаются как CVE-2022-2003 - CVE-2022-2006, были обнаружены исследователями Dragos.

Ошибки потенциально могут позволить злоумышленнику нарушить работу и внести несанкционированные изменения в целевые устройства PLC и HMI. Серьезность выявленных проблем подчёркивается американской CISA, опубликовавшей по этому поводу целых 3 бюллетеня (1, 2, 3).

Недостатки промышленных HMI с сенсорным экраном C-more EA9 связаны с уязвимостью перехвата DLL в установщике и проблемами небезопасной передачи учетных данных.

Первые могут могут быть использованы злоумышленником, имеющим доступ к целевой системе для выполнения кода с повышенными привилегиями.

Вторые могут быть использованы злоумышленником для реализации атак «человек посередине» (MitM) и перехвата учетных данных пользователя для веб-сервера HMI и использования их для входа в систему.

Уязвимости были исправлены выпуском обновленной версии прошивки 6.73. Кроме того, риск эксплуатации снижает размещение HMI за VPN и отключение функции веб-сервера.

Тем не менее, Shodan отображает десятки подключенных к Интернету уязвимых HMI, основная часть их которых располагается в США.

Устройства ПЛК DirectLOGIC с коммуникационными модулями Ethernet подвержены двум уязвимостям, которые могут быть реализованы злоумышленником с доступом к контроллеру путем отправки специально созданных пакетов, вызывающих состояние отказа в обслуживании (DoS) или принуждающих контроллер возвращать свой пароль в виде открытого текста для последующей компрометации устройства.

ПЛК с последовательной связью подвержены уязвимости раскрытия пароля.

AutomationDirect выпустила прошивку версии 2.72, предотвращающую утечку пароля устройства. Поставщик также добавил средства защиты от Brute-force атак.

Владельцам устройств рекомендуем ознакомиться с рекомендациями и принять соответствующие меры.

Сегодня в 09:30 (по Москве) в работе Cloudflare по всему миру произошёл сбой.

В результате инцидента половина Интернета ушла в ошибку, включая использующие технологии Cloudflare сайты и сервисы (API Cloudflare), а также отдельные VPN-приложения и расширения.

Оказались недоступными Minecraft, Steam, Amazon Web Services, Discord, DoorDash, Gitlab, Shopify, Skype, Coinbase и др. популярные ресурсы.

Примечательно, что сервис Downdetector для проверки доступности сайтов также поломался.

К 10:20 разработчикам удалось внести исправления и спустя еще 40 минут полностью реанимировать сервис.

Причины и подробности инцидента не разглашаются. Будем следить за ситуацией.

Похоже, что еще один АНБшный бэкдор списали в утиль после пятилетней отработки.

Согласно новому отчету Google Project Zero, уязвимость в Apple Safari была первоначально исправлена в 2013 году и позже в декабре 2016 года была возвращена в ходе рефакторинга. Об уязвимости сообщил анонимный исследователь, которому удалось обойти исправление.

И только спустя 5 лет проблема была исправлена в феврале 2022 года как 0-day в Safari, iOS, iPadOS и macOS путем улучшения управления памятью.

При этом разработчик признал эксплуатацию уязвимости в дикой природе.

Ошибка отслеживается как CVE-2022-22620, имеет оценку CVSS: 8,8 и заключается в использования после освобождения в компоненте WebKit.

Уязвимость может быть использована посредством специально созданного вредоносного веб-контента для выполнения произвольного кода.

Обычно, вся проблема заключается в незавершенных патчах: производитель некорректно или не полностью устраняет отрабатываемую уязвимость. Однако в случае с CVE-2022-22620 - она была четко исправлена еще в 2013 году.

Ресерчеры убеждены (или пытаются убедить?!), что ошибки 2013 и 2022 в History API по сути одинаковы, но пути их срабатывания различны.

По мнению исследователя Google Мэдди Стоун, инцидент не уникален для Safari и главная причина связана с некачественным аудитом кода, который и привел к возрождению «зомби 0-day».

Наверно, долго придумывали объяснения, вот их коллеги из Microsoft, к примеру - вообще не заморачиваются по этому поводу.

- партнёрский пост -

Что сейчас ждёт российские технологии? Будет ли «процессорный локдаун»?

Трезво, без истерик и эмоций разбираемся в ситуации — анализируем данные и собираем для вас обоснованные прогнозы развития отрасли. С нами эксперты-разработчики, которые уже много лет драйвят развитие российской ИТ-инфраструктуры.

Как активный участник разных ИТ-ассоциаций и консорциумов (АРПЭ, АРПП, РосСХД), компания «Аэродиск» вместе с другими игроками рынка доносит свою позицию до государства и прислушивается к своему сообществу.

Присоединяйтесь к нашему каналу, чтобы быть услышанными 👉 Имортозамещение здорового человека.

В мире промышленных систем управления или в более широком смысле - организаций с системами операционных технологий (OT) провели анализ инцидентов безопасности за 2021 и 2022 год.

Вездесущий Fortinet представил наблюдения в своем отчете о состоянии операционных технологий и кибербезопасности.

В опросе приняли участие более 500 специалистов по ОТ из 28 стран Америки, Западной Европы, Азиатско-Тихоокеанского региона и нескольких стран Африки и Ближнего Востока.

И немного статистики.

Анализ, проведенный компанией, показал, что более 40% глобальных инцидентов кибербезопасности, затрагивающих организации с системами OT, приводили к сбоям, которые подвергали риску физическую безопасность.

93% организаций столкнулись как минимум с одним инцидентом кибербезопасности за последние 12 месяцев и более 3/4 признались, что пострадали по меньшей мере от трех вторжений.

61% респондентов заявили, что инциденты затронули либо OT-системы либо OT и ИТ-системы. Кроме того, почти половина респондентов заявили, что в их организации произошел сбой в работе, который отразился на производительности.

42% инцидентов привели к сбоям в работе, которые поставили под угрозу физическую безопасность, причем этот процент превышает 50% в Латинской Америке.

Примерно 30% респондентов в каждой категории сообщили о сбоях в работе, влияющих на доход, потере важных для бизнеса данных, несоблюдении нормативных требований и негативном влиянии на бренд.

Половина респондентов заявили, что восстановление поврежденных систем заняло у них несколько часов, а 31% заявили, что им потребовалось несколько дней. В некоторых случаях организациям требовались недели и даже месяцы для восстановления служб. Некоторым из более зрелых организаций потребовалось всего несколько минут, чтобы вернуть все системы в оперативный режим.

Примерно четверть респондентов в Северной Америке сообщили, что в прошлом году их атаковали с помощью ransomware, причем треть обеспокоена программами-вымогателями больше, чем другими типами угроз.

Наиболее распространенными типами атак были вредоносное ПО и фишинг.

Что касается общего состояния безопасности, то исследование Fortinet показало качественное улучшение по сравнению с предыдущим периодом.

Во всем мире всего 13% имеют централизованную систему мониторинга всех действий OT и только 52% организаций имеют центры управления безопасностью (SOC). В прочем есть куда расти.

В воскресенье вечером жители израильских городов Иерусалим и Эйлат стали жертвами кибератаки, в результате которой сработали ложные сигналы воздушной тревоги.

По сообщениям местных СМИ, сработавшая без причины система предупреждения население о ракетных обстрелах проработала почти час.

Предварительное расследование инцидента привело израильских военных к выводу о компрометации хакерами муниципальных информационных систем, в том числе и оповещения. Инфраструктура военного ведомства не пострадала.

К расследованию подключили компанию Radiflow, специализирующейся на промышленной кибербезопасности.

Ресерчеры должны будут подтвердить злонамеренное кибервмешательство, а также убедиться в безопасности иных систем и онлайн-сервисов муниципалитета, ведь сбои в их работе могут вызвать серьезные последствия для цепочек поставок и жизнеобеспечения региона.

Исследователи не исключают, что подобный инцидент может быть отвлекающим маневром для реализации более сокрушительное кибератаки, как это было в случае с атакой Ирана в 2017 году на компанию Aramco в Саудовской Аравии.

В числе главных подозреваемых Израиль называет, конечно же, иранские АРТ и их кураторов из спецслужб.

Читателей канала вряд ли это удивит, особенно после взаимных атак двух стран на объекты транспорта, ТЭК и телеком. Можно сказать в этом случае все прошло по лайтовому сценарию.

Но, будем посмотреть.

В ответ на планируемую покупку Twitter Илоном Маском империя нанесла ответный удар.

Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота, с помощью которой можно невозбранно майнить битки, куда там GPU. А также активно использовать в машинном обучении, но это уже на сдачу после майнинга.

Невооруженным глазом видно, что Лаборатория Касперского активно продвигается за границы традиционного инфосека - операционка, промышленные гейтвеи, МойОфис, Brain4Net, Мотив. Говорят, еще чего-то прикупить собрались.

Таким образом Евгений Валентинович последовательно скупит всю российскую IT-отрасль, после чего останутся только двое. SecAtor и Евгений Валентинович. Мвхахахаха.