Провожу я сам (Антон Бочкарев), регистрируйтесь!

Будет весело, для тех кто хочет понять - что вообще такое этот ваш взлом? Сможете попробовать сами)


Прямая ссылка

Возвращается международное взаимодействие силовых структур

Как я уже говорил, одна из причин роста киберпреступности — низкая вероятность наказания.

Задержать членов международной киберпреступной группы без обмена информацией между силовыми структурами разных стран невозможно.

И если между США и ЕС это взаимодействие работало, то из-за понятных политических событий взаимодействие между ними и правоохранительными структурами России было практически свернуто. Именно поэтому последние годы мы наблюдали лишь задержания изолированные. ФБР/Европол проводило свои операции, наши силовики — свои.

Сейчас ситуация меняется. Мои коллеги-расследователи подтвердили, что задержание администратора известной площадки LEAKBASE прошло благодаря информации от западных коллег.

3 марта ФБР и Европол провели аресты в своих юрисдикциях, а вчера прошло задержание и у нас!

На что надеялся администратор площадки?
— Что взаимодействия между силовиками нет.
— Что площадка «не работала по RU», это действительно было одним из правил платформы.

Он ошибался, теперь его ждет заслуженное наказание.

Надеюсь, это не станет единичным случаем. Для криминального рынка кибервымогателей/шифровальщиков появится полноценное и глобальное противодействие.

Мы знаем, кто и как это делает

На расследованиях кибератак начинаешь узнавать почерк. По тому, какой шифровальщик использован, как он попал в сеть, какие следы оставил и иные артефакты. По ним можно определить конкретную группу злоумышленников.

За последние два месяца мы дважды встретили одних и тех же ребят. Уже узнаём их.

Две остановленные компании. Обе — лидеры своих отраслей. Обе — с выручкой в несколько миллиардов рублей. Обе — давно на рынке, с репутацией, с командой.

Обе потеряли данные.

Злоумышленники зашли, зашифровали всё и ушли. Данные не восстановлены.

Почему? Потому что резервные копии хранились в локальной сети, там же, где основные данные. Злоумышленники добрались и до них.

Это не история про маленькие компании без бюджета на ИТ. Это история про то, что размер и возраст бизнеса не защищают. Защищает только правильно выстроенная архитектура резервного копирования — когда копии хранятся там, куда злоумышленник физически не может дотянуться.

Если бы эти компании были подключены к 4Sec — самые важные данные находились бы во внешнем защищённом хранилище. Мы бы восстановили их в течение 48 часов.

А так — ни данных, ни времени на раскачку.

Кстати, внешнее резервное копирование можно настроить и самостоятельно — без нас. Как именно это сделать правильно, расскажем в следующем посте.

👉 4security.ru

Критическая уязвимость нулевого дня в Телеграм

Вчера Zeroday Initiative разместила манифест, указывающий, что уязвимость нулевого дня в Телеграмм была обнаружена исследователем TrendAI Michael DePlante (izobashi).

Критичность уязвимости: 9.8/10

Судя по CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), это:
- легкая к эксплуатации уязвимость
- работает по сети
- не требует каких-либо действий пользователя
- приводит к нарушению конфиденциальности/целостности/доступности одновременно, а значит это 99% - выполнение кода!

Она получила внутренний идентификатор - ZDI-CAN-30207.

Подробностей в чем именно ее реализация, как и примеров - пока нет. У Телеграм есть 120 дней для исправления, но с учетом критичности - ждем заплатку со дня на день.

P.S. Для нетехнарей, судя по категории уязвимости с помощью нее сейчас скорее всего можно взломать ЛЮБОЙ аккаунт Телеграм.

https://www.zerodayinitiative.com/advisories/upcoming/

О интересно

В таком случае было бы интересно увидеть репорт!

И попробовать повторить с проверкой стикера и без.

А будет раскрытие?

К слову, вектор стикеров и анимированных стикеров уже проверяли ранее, например:

https://www.shielder.com/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface/

Тут вектор тот же, но цель была - раскрыть секретные чаты, а не выполнение кода.

Ищем руководителя продаж (VP Sales) в стартап 4sec.

Кто мы:
Облачная кибербезопасность для МСБ. Продукт уже работает, есть первые платящие клиенты.

Кого ищем:
Человека, который возьмёт продажи на себя и построит «машину» по их генерации.
Это стартап: процессов мало, неопределённости много. Если вас это не пугает — нам по пути.

Что предлагаем:
· Роль VP Sales с возможностью влиять на стратегию
· Опцион в компании
· Выход на международный рынок
· Команду, с которой не стыдно

Нам нужен тот, кто:
· Умеет закрывать сделки в B2B сам (а не только управлять командой)
· Имеет опыт от 3 лет в продажах IT / SaaS
· Остальное обсуждаемо

Процесс:
Первый шаг — час разговора с co-founder. Без бюрократии.

Принимаем заявки:
📩 cv@4security.ru (тема письма: «VP Sales 4sec»)

🙏 Если знаете подходящего человека — будем благодарны за репост.

Массовый и бесплатный пробив

Итак, спустя 1,5 года после моей первой статьи "я тебя найду и позвоню" и закрытой дыре у одного из сервисов таргетированной рекламы проблема всплыла снова!
Но стало еще хуже.

Абсолютно любой человек совершенно бесплатно может выгружать данные из операторов связи.

Только по номеру телефона или по заходу на собственный сайт он может узнать о человеке буквально все:
- С кем общается по телефону
- Дом где он живет
- Чем интересуется
- Какие сайты посещает
- Какими сервисами пользуется
И многое много другое!

Операторы, как и сервисы, не чувствуют свою ответственность за это, и продолжают отдавать/продавать что угодно, без какого-либо контроля.
Подробнее, как это работает, я расписал на Хабре.

Прошу максимальных репостов, нужно подсветить проблему и закрыть эту дыру!

P.S. Хоть статья и вышла 1 апреля, это НЕ шутка.

Астронавты спалили пин-код планшета, но от взлома планшета их защитит мера - airgapped environment!
Вообще по-русски "воздушный зазор", но в этом случае скорее "безвоздушный")

Чтобы совсем уже от темы кибербезопасности не улетать далеко в космос — вот вам забавное видео из вчерашней трансляции запуска миссии к Луне.

Астронавт набрал пин-код на своем планшете.
Если у вас не грузится видео или вы не углядели, то код — 3939

А почему 3939 ? Потому что это дважды номер их стартовой площадки на космодроме.

Можно задуматься о том, какие еще пароли и пины, используются в этой и других миссиях 🧐

@gostev_future

Эффект Стрейзанд в сообществе ИБ набирает обороты!

А вы знаете, что прямо сейчас по "полузапрещенному" телеграму ходят уважаемые люди, и требуют удалить репост сообщения другой уважаемой дамы, о которой мы, конечно, ничего писать не будем?

Тут смешно получается — кажется, попытки удалить информацию из интернета вызывают больше внимания, чем сами эти сообщения. Кому интересно — вот тут хорошо все описано.

К сожалению, далеко не все уважаемые люди в России смотрели Южный Парк. Кто помнит — главным антагонистом ее сделали крайне топорные попытки удалить что-то из интернета.

Репостов не будет — а пока вот вам замечательный мультфильм.
https://sp2.freehat.cc/episode/112/

Они просто позвонили: телефонная социальная инженерия против бизнеса

Многие компании среднего и крупного сегмента до сих пор живут в иллюзии: «У нас стоит дорогой фаервол, внедрена двухфакторка, а злоумышленники охотятся только за криптобиржами».

Реальность жестче: когда с периметром все окей - атакуют людей.

Давайте разберем два громких инцидента, которые доказывают, что масштаб и специфика компании не защищают от подобного.

1. Cisco: Когда даже ИБ-гигант пасует перед настойчивостью
Казалось бы, кто может знать о безопасности больше, чем Cisco?
Однако в 2022 году они стали жертвой классической атаки.

Как это было: Злоумышленники получили доступ к личному Google-аккаунту сотрудника, где хранились корпоративные пароли.

Социальная инженерия: Чтобы обойти двухфакторную аутентификацию (MFA), хакеры использовали технику «MFA Fatigue» (усталость от уведомлений) — они засыпали сотрудника запросами на подтверждение входа и одновременно звонили ему в WhatsApp, представляясь службой поддержки Cisco.

Итог: Уставший и введенный в заблуждение сотрудник нажал «Принять». Хакеры проникли во внутреннюю сеть.

2. Clorox: Шифрование из-за одного звонка в Help Desk
Кейс корпорации Clorox (крупный производитель бытовой химии) показал, как социальная инженерия может остановить заводы.

Как это было: Атака началась со звонка в службу ИТ-поддержки (Help Desk). Злоумышленник, используя методы психологического давления и собранные данные о сотруднике, убедил оператора сбросить пароль и привязать новое устройство для MFA.

Итог: Остановка производства на несколько недель, дефицит товаров на полках магазинов и убытки в сотни миллионов долларов. Чистый убыток только за один квартал составил около $350 млн.

Главные выводы для среднего и крупного бизнеса:
1. MFA — не панацея. Если ваши сотрудники не обучены распознавать «усталость от MFA» или подозрительные звонки, любая техническая защита будет обнулена одним кликом оператора.

2. Help Desk — самое слабое звено. Процедуры сброса пароля в вашей компании должны быть максимально строгими. Никаких «поверив на слово» по телефону.

3. Масштаб — это мишень. Чем больше компания, тем больше «точек входа» (сотрудников). Хакеру не нужно взламывать вашу сеть, ему нужно найти одного доверчивого или уставшего человека.

Что делать?
✅ Проводить регулярные симуляции фишинга и телефонных атак.
✅ Обучать сотрудников правилам верификации коллег из ИТ-отдела.
✅ Внедрять культуру «нулевого доверия» (Zero Trust).

P.S. С этим всем мы можем вам помочь, обращайтесь.

10 тысяч подписчиков!

Всем привет! Количество подписчиков перевалило за 10 тысяч! Для нас это удивительно — особенно с учетом того, что это корпоративный канал. Мы рады, что вы с нами.

В связи с этим — напомним о том, кто мы такие и что это за канал.

3side (ООО Третья Сторона) — первая в России платформа ИБ-услуг, созданная Антоном Бочкаревым и Артемом Наливайко. Мы объединяем множество опытных специалистов по информационной безопасности и помогаем бизнесу организовывать проекты с их участием. Занимаемся почти всем спектром разовых услуг — от тестирований на защищенность и расследований кибератак до экзотики вроде реверс-инжиниринга.

За последний год вырос не только наш канал — мы сделали несколько десятков проектов, у нас появился полноценный штат сотрудников, мы запустили свой продукт для МСБ (4sec) и сделали одну из первых "коробочных" активных страховок от кибератак в России.

Этот канал — не столько про бизнес, сколько про события в мире ИБ, которые мы считаем важными.

Надеемся, дальше будет еще интереснее. Не переключайтесь)

Если нас взломали - о важности кризисных коммуникаций

В этом году мы много занимаемся расследованиями - разбираем инциденты у клиентов, от шифрования до утечек. И есть одна важная вещь, о которой иногда на рынке забывают - это коммуникации.

Если у вас проблемы - о них нужно говорить. Во-первых, с собой (признать проблему). Во-вторых, c сотрудниками. Не обязательно говорить все, но важно озвучить хоть что-то. Был инцидент, проблему решили, больше не будет.

А еще важно грамотно говорить с клиентами и контрагентами. Это задача PR, из нее не обязательно делать медиаповод, как это сделали 12storeez, но ее нужно отрабатывать. Мы, кстати, помогаем при наличии запроса.

Но вот мы прям видим, как на рынке (особенно МСБ) взлом вызывает шок и желание побыстрее закрыть вопрос и больше о нем не вспоминать. «Ничего не произошло, мыши съели сервер». Не надо так.

Любой ИБ инцидент - это задача не только технарей, это касается вообще всех. Особенно если название вашей компании знает больше пары тысяч человек.

ГЛАВНЫЙ ПРИЗНАК ТОГО, ЧТО ВАС ЗАШИФРОВАЛИ

Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой.
«Наверное, жесткий диск посыпался» или «опять провайдер чудит».

Но есть один симптом, который не спутать ни с одной поломкой железа.

Ультиматум на рабочем столе
Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note).

Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл .txt или картинка, которая заменяет ваши обои на рабочем столе. Такие «записки» хакеры оставляют на каждой зашифрованной машине, чтобы вы точно их заметили.

Что всегда есть в таком послании:
— Идентификатор: Ваш личный номер в системе хакеров (ID).
— Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти.
— Контакты: Почта или чат для связи с «поддержкой» вымогателей.

Почему этот файл важен?
Не спешите его удалять. Эта записка — важнейшая улика для расследования:
1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала.
2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера.
3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет).

Торг уместен?
Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться.

(!) Если записка появилась — вы уже опоздали
Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал.
Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться».

Безопасностью нужно заниматься ДО того, как вы увидели записку.

Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась:
— Поможем восстановить работу бизнеса максимально быстро.
— Проведем расследование: найдем «дыру», через которую они зашли.
— Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых.

Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru
---
Ваш капитал под защитой, если вы действуете на опережение.

Исключительно для технарей, но полезное)