👩‍🚀 «Космический лифт — это прикольно. Давайте его построим, пусть ломают!» — так некоторые могут представлять появление новых отраслей на нашем киберполигоне Standoff.

Чтобы ни у кого не было заблуждений, написали целую статью в Positive Research, где Ирина Хмелева, руководитель группы проектирования Standoff, рассказывает, как все происходит на самом деле.

Вот вам пара интересных фактов:

1️⃣ Все подсказки в части сценариев атак и их последствий мы получаем… от реальных хакеров.

Например, в 2021 году в США злоумышленники использовали вирусы-шифровальщики, чтобы остановить работу трубопровода Colonial Pipeline на шесть дней. В итоге пять штатов остались без бензина, а люди в панике штурмовали АЗС, скупая последние запасы топлива. На Standoff есть критическое событие «Остановка нефтепродуктопровода», основанное на этой истории.

2️⃣ Мы по-настоящему разбираемся, как работает та или иная отрасль или предприятие, поскольку при разработке их виртуальных двойников для полигона приглашаем экспертов «от станка». И если они ткнут на что-то пальцем и констатируют «Ерунда!», такая деталь на Standoff не появится (это касается и макета для кибербитвы, и цифровой инфраструктуры).

Другие интересные детали ищите в статье на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

Сколько стоит кибератака? Какое вредоносное ПО на заказ самое дорогое? Что чаще всего покупают на черном рынке начинающие хакеры?

На эти и многие другие вопросы ответили в нашем новом исследовании, посвященном рынку дарквеба. В нем эксперты Positive Technologies проанализировали цены на нелегальные киберуслуги и товары, а также затраты злоумышленников на проведение кибератак.

💲 Кибератака — это дорого

К примеру, фишинговая атака с использованием шифровальщика, если готовить ее с нуля, обойдется начинающим киберпреступникам минимум в 20 000 долларов.

🧮 Давайте подсчитаем подробнее:

≈1100 $ — аренда и подготовка защищенной и анонимной ИТ-инфраструктуры
≈4500 $ — приобретение необходимого инструментария (подписок на VPN и другие сервисы)
≈7500 $ — покупка исходного кода шифровальщика
≈2700 $ — дополнительные затраты на ВПО (программы для загрузки шифровальщика в систему жертвы и маскировки от средств защиты)
≈100 $ — сбор данных о компании по открытым источникам (и столько же за подготовку фишингового сообщения)
≈1000 $ — получение доступа в организацию
≈5000 $ — услуга по повышения привилегий в сети компании

👾 Сколько стоит ВПО

Шифровальщики, о которых мы говорили выше, — самое дорогое ВПО с медианной стоимостью около 7500 долларов. Однако есть предложения и за 320 000 долларов — в основном по подписке за взнос в криптовалюте.

Средняя стоимость остальных популярных программ:

≈400 $ — инфостилеры для кражи данных
≈70 $ — крипторы и инструменты обфускации, позволяющие скрываться от программ защиты
≈500 $ — загрузчики ВПО
> 20 000 $ — эксплойты (примерно в трети объявлений), причем в 32% случаев речь идет об уязвимостях нулевого дня

Что касается киберпреступных услуг, то в 62% случаев цена на доступы к корпоративным сетям компаний находятся в диапазоне до 1000 долларов, а стоимость компрометации личного аккаунта в электронной почте начинается от 100 долларов, корпоративного — от 200 долларов.

❓ Почему это выгодно

Несмотря на большие затраты, чистая прибыль от успешной атаки может в среднем в пять раз превышать «стартовый взнос». Например, если говорить об упомянутой выше фишинговой атаке с использованием шифровальщика, вымогатели могут получить от жертвы порядка 100 000–130 000 долларов.

Компания же не только может быть вынуждена заплатить выкуп, но и получит ущерб из-за нарушения бизнес-процессов.

Например, в 2024 году из-за атаки вымогателей серверы компании CDK Global не работали две недели. Организация заплатила киберпреступникам 25 млн долларов, при этом финансовые потери дилеров из-за простоя системы превысили 600 млн долларов.

👉 Еще больше данных — в исследовании на нашем сайте и на вебинаре, который пройдет сегодня, 21 января, в 14:00 (регистрируйтесь, чтобы узнать все самое интересное).

#PositiveЭксперты
@Positive_Technologies

Стиль гадюки 🐍

Может ли злоумышленник использовать всем известные инструменты и оставаться незамеченным более полутора лет? Наш ответ — да.

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний.

Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года.

В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.

😏 Подробнее о группировке и ее техниках вы можете прочитать в исследовании на нашем сайте.

#TI #APT #Malware
@ptescalator

🐈‍⬛ Встречайте новую версию динамического анализатора защищенности веб-приложений — PT BlackBox 3.0

Важное изменение: мы перевели сканер на контейнерную архитектуру под управлением Kubernetes. Это позволит эффективно внедрять продукт в компаниях любого размера и адаптировать его к различным типам нагрузки.

Новый тип архитектуры повысил стабильность и скорость сканирования, а также позволил расширить поддержку форматов OpenAPI за счет добавления возможности работы с удаленными ссылками в формате YAML.

«Одним из ключевых достижений PT BlackBox 3.0 стала поддержка HAR-файлов, которые необходимы для более глубокого анализа сложных веб-приложений, особенно одностраничных (SPA). С помощью таких файлов можно изучать сетевые запросы и ответы, динамически загружаемые ресурсы и взаимодействия, что делает сканирование более удобным и точным», — прокомментировал Сергей Синяков, руководитель продукта PT BlackBox.

В PT BlackBox появилась новая платформа аутентификации пользователей с поддержкой технологии единого входа (SSO) по протоколу OpenID, которая облегчает управление доступом. Кроме того, мы улучшили ряд функциональных возможностей сканирования: расширили области анализа до поддоменов, папок и путей и переработали тип проверки «Внедрение SQL-кода на основе ошибок».

❗️ Важно: переход на контейнеры изменил процесс установки, поэтому автоматически обновиться с версии 2.8 до 3.0 не получится. Необходимо установить сканер заново, а мы, если нужно, поможем с разработкой сценария миграции данных.

#PTBlackBox
@Positive_Technologies

🤟 Какие техники матрицы MITRE ATT&CK выявляют продукты Positive Technologies

Вы наверняка знаете про APT-атаки (advanced persistent threat) — тщательно спланированные кибернападения, нацеленные на определенную компанию или отрасль. Как правило, за ними стоят хорошо организованные группировки с солидными бюджетами и высокотехнологичными инструментами.

Техники APT-группировок описаны в матрице MITRE ATT&CK, которая регулярно пополняется новыми данными исследователей и специалистов по кибербезопасности.

😱 У нас есть бесплатный онлайн-сервис MAC — MITRE ATT&CK Coverage. Он представляет собой не просто перевод матрицы на русский язык, с его помощью вы можете:

• узнать, какие продукты Positive Technologies покрывают те или иные техники злоумышленников.

• собирать свои наборы техник (например, из бюллетеней threat intelligence, рассылаемых ГосСОПКА, ФинЦЕРТ, публикуемых PT Expert Security Center и другими компаниями) и быстро проверять, какие продукты Positive Technologies и в каком объеме могут обнаруживать и нейтрализовать интересующие вас наборы.

А еще мы связали MAC и несколько наших исследований, в которых приведены наборы техник, используемых, например, в атаках на страны СНГ или в рамках проводимых нами пентестов. Эти подборки уже есть на сайте, и их список мы будем расширять!

😏 Бесплатный онлайн-сервис ждет вас на нашем сайте.

@Positive_Technologies

🏭 Недавно мы представили PT ISIM 5 и рассказали о его функциональности

На вебинаре 30 января в 14:00 продолжим демонстрировать новые возможности продукта.

В прямом эфире эксперты Positive Technologies разберут цепочку атаки на реальную SCADA-систему. Цель этой атаки — внести изменения в параметры технологического процесса незаметно для оператора.

Специалисты покажут, как остановить злоумышленников, выполняя типовые операции и пользовательские сценарии в PT ISIM 5.

🔗 Присоединяйтесь, чтобы узнать, как защитить систему своего предприятия от реальных атак (и не забудьте зарегистрироваться заранее).

#PTISIM
@Positive_Technologies

🤠 Алексей Лукацкий — автор не менее пяти книг и бессчетного количества статей и телеграм-постов в собственном канале.

Кажется, что писательство дается ему легко и просто — буквы сами собираются в слова и предложения, стоит только задуматься ненадолго над чистым листом.

Однако и для такого опытного автора (первая книга Алексея вышла почти 25 лет назад) писать хоть понемногу, но каждый день — тоже челлендж, особенно когда дел много, а в сутках по-прежнему всего 24 часа.

💬 В своем интервью Алексей делится лайфхаками, рассказывает, как у него рождаются идеи для текстов, вспоминает о первом писательском опыте и о том, как он хотел стать Дарьей Донцовой в мире технической литературы.

Статью целиком читайте в нашем блоге на Хабре. А ниже мы собрали несколько полюбившихся нам цитат (на самом деле их больше, все просто не поместились в пост).

«Некоторые считают, что у меня есть когорта литературных негров, писательских призраков, которые пишут за меня, а я только ставлю на финальных текстах свою фамилию. Разочарую любителей конспирологии: нет, я все пишу сам».

«Сложно написать первый пост в Telegram, первую статью на Хабре, первую книгу. Потом рука набивается, и вы можете писать уже не глядя».

«Для тех, кто думает, что на книге можно серьезно заработать, — увы и ах, если вы не Донцова, а предмет ваших творческих устремлений не беллетристика, зарабатывать на техническом книгописательстве в России невозможно. И скорее это про порадовать родителей, про строчку в резюме, придание себе статусности. Для молодежи это возможность стать кумиром для других».

#PositiveЭксперты
@Positive_Technologies

Чтобы «вырастить» собственную blue team, нужны две вещи: теоретические знания и практика.

🤔 И если с первым компонентом все плюс-минус ясно (есть интернет, специальная литература и старшие коллеги), то где новичку-киберзащитнику практиковаться — понятно не всегда. Участвовать в киберучениях — хороший вариант, но и здесь с нулевым опытом будет сложно.

Чтобы решить эту задачу, мы создали Standoff Cyberbones — онлайн-симулятор для практической подготовки специалистов по ИБ.

Внутри — практические задания на основе реальных кейсов, собранных по итогам кибербитв Standoff. Можно расследовать отдельные инциденты или целые их цепочки, из которых состоят реализованные недопустимые события. Если не вышло с первого или даже с пятого раза — не страшно, количество попыток не ограничено.

В статье Positive Research Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, подробнее рассказывает о симуляторе и разбирает несколько заданий, рассказывая, как их можно решить при помощи наших продуктов (да, ими можно пользоваться прямо внутри симулятора!).

😎 Читайте и приступайте к практике. Удачи!

@Positive_Technologies
#PositiveResearch

🗓 Остался месяц до завершения приема заявок на выступления на международном киберфестивале Positive Hack Days

Всегда мечтали собрать «Лужники» и интересно рассказать о кибербезопасности? Не упустите свой шанс и станьте спикером на PHDays Fest, который пройдет с 22 по 24 мая!

🫰 Мы ждем экспертов, готовых выступить на следующие темы:

• Отражение атак (defensive security)
• Защита через нападение (offensive security)
• Разработка
• ИИ в кибербезопасности
• Девайсы и технологии
• Научпоп
• Web3

Приветствуются интересные доклады, посвященные и другим вопросам кибербезопасности.

🤵 Кроме того, вы можете подать заявку на бизнес-трек, где обсудим основополагающие вопросы, например архитектуру защищенного предприятия и результативную кибербезопасность, поговорим о том, что надо знать CISO для успешного общения с топ-менеджерами, как устроен рынок ИБ, и о многом другом.

Наш фестиваль открыт как для признанных профессионалов, так и для начинающих исследователей. Главное — свежий взгляд на проблемы защиты информации и оригинальный подход к их решению.

🔣 Заявки принимаются на нашем сайте до 28 февраля включительно — успейте подать!

@Positive_Technologies
#PHDays

😳 В декабре 2024 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости

Среди них — недостатки безопасности в продуктах Microsoft, плагине Hunk Companion для WordPress CMS, который предназначен для дополнения и расширения функциональности визуальных шаблонов (тем), и во фреймворке для создания веб-приложений Apache Struts.

👾 Пользователи MaxPatrol VM уже в курсе трендовых уязвимостей декабря (информация о них поступает в продукт в течение 12 часов с момента появления). А еще мы ежемесячно делимся дайджестом, чтобы как можно больше организаций было в курсе происходящего и могло защититься от злоумышленников.

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств, использующих устаревшие версии ОС (например, Windows 10 и 11).

1️⃣ Уязвимость в драйвере ksthunk.sys, связанная с повышением привилегий при помощи переполнения буфера в Windows
CVE-2024-38144 (CVSS — 8,8)

Локальный злоумышленник, запустивший специально разработанное приложение в целевой системе, может получить привилегии уровня SYSTEM (максимальные в операционной системе). Это дает ему полный контроль над системой, позволяя выполнять любые операции, в том числе устанавливать вредоносное ПО, похищать данные и изменять системные параметры.

2️⃣ Уязвимость в драйвере подсистемы журналирования Common Log File System (CLFS), связанная с повышением привилегий при помощи переполнения буфера в Windows
CVE-2024-49138 (CVSS — 7,8)

Эксплуатация уязвимости может позволить злоумышленнику, действующему локально, повысить свои привилегии до уровня SYSTEM и получить полный контроль над операционной системой. Атакующий может устанавливать вредоносное ПО, похищать данные и изменять системные параметры.

3️⃣ Уязвимость, связанная с установкой уязвимых плагинов через плагин Hunk Companion для WordPress CMS
CVE-2024-11972 (CVSS — 9,8)

По данным WordPress, уязвимая версия может быть установлена более чем у 6800 пользователей.

Уязвимость связана с неправильной обработкой привилегий в вызове application programming interface (API), что позволяет злоумышленнику удаленно выполнять неаутентифицированные запросы, которые могут быть использованы для несанкционированной установки устаревших плагинов, содержащих уязвимости. Так злоумышленник может обойти параметры безопасности, изменить записи в базах данных, выполнить вредоносный код или получить несанкционированный доступ с правами администратора к сайту.

4️⃣ Уязвимость, связанная с атакой обхода каталога загружаемых файлов во фреймворке для создания веб-приложений Apache Struts
CVE-2024-53677 (CVSS — 9,5)

По данным Maven Central, уязвимую версию фреймворка установили около 40 000 раз. Для успешной эксплуатации уязвимости злоумышленнику необходимо отправить специально сформированный HTTP-запрос к веб-приложению, работающему на Apache Struts. Этот запрос позволяет преступнику выполнить загрузку произвольного файла на сервер, что может привести к выполнению вредоносного кода на стороне сервера.

В результате все приложения, использующие уязвимые версии фреймворка, окажутся под угрозой массовых атак, потенциальные последствия которых варьируются от потери данных до прекращения функционирования всех сервисов.

⚡️ Как предотвратить эксплуатацию этих уязвимостей — узнайте на нашем сайте.

#втрендеVM
@Positive_Technologies

🔥 Сто компаний проверят возможность реализации недопустимых событий в рамках программ кибериспытаний на Standoff Bug Bounty

С помощью таких программ компании могут подтвердить надежность системы защиты организации и получить объективную оценку уровня этой защиты, выраженную в деньгах. Такой подход помогает понять, как могут действовать реальные злоумышленники, а также выявлять наиболее уязвимые места в ИТ-инфраструктуре и быстро их устранять.

Алексей Новиков, управляющий директор Positive Technologies, отметил:

«Наша цель — дать инструменты, которые помогут оценить защищенность компаний, эффективность трат на ИБ и качественно повысить реальную безопасность. В условиях постоянно растущих рисков формат кибериспытаний становится незаменимым элементом стратегии информационной безопасности для организаций всех отраслей».

Сто компаний запустят свои программы в экспресс-формате в рамках сотрудничества с АО «Кибериспытание», которое выделило грантовый фонд в размере 100 млн рублей для повышения киберустойчивости российских организаций и для развития индустрии белых хакеров. Компании могут получить из фонда 1 млн рублей и потратить его на вознаграждение багхантерам, у которых первыми получится реализовать недопустимые события.

🕺 Такой возможностью уже воспользовались 28 организаций из разных сфер: образования, науки, финансов, медицины, транспорта, информационных технологий и безопасности.

Наталья Воеводина, генеральный директор проекта «Кибериспытание», рассказала:

«Первые 100 компаний, вышедшие на кибериспытания, создают новый стандарт оценки защищенности, где исследователи проверяют не просто уязвимости, а целые цепочки атак, ведущие к критически серьезным последствиям. Запрос на такую оценку приходит не только от директоров по ИБ, но и от „непрофильных“ подразделений бизнеса. В нашем случае ключевым заказчиком исследования стали собственники и руководители компаний, а также департаменты операционных рисков или внутреннего аудита. Это доказывает, что кибербезопасность становится стратегическим приоритетом для развития компаний».

Узнать условия новых программ и попробовать реализовать недопустимые события для организаций можно на Standoff Bug Bounty.

💡 Кибериспытания — важная часть процесса построения результативной кибербезопасности. Например, такие программы с призовым фондом в 60 и 10 млн рублей соответственно есть у Positive Technologies (да, это мы) и Innostage.

@Positive_Technologies

⚡️Обнаружена новая хакерская схема

Подробности — на нашем сайте.

😈 @Positive_Technologies

🎮 Что вы будете делать, если у вас появится свободное время и Xbox 360?

Уверены, что 99,9% ответов будут в духе «поиграю в GTA V». Наши коллеги из Positive Labs от поездок по Лос-Сантосу тоже не откажутся, но сначала разберут исследуют консоль и посмотрят, что в ней можно перепаять и перепрошить.

Казалось бы, все, можно садиться и играть, но сначала нужно написать статью на Хабр о том, как появился RGH3 — самый популярный метод модификации Xbox 360 в наши дни.

В тексте — понятное объяснение того, что такое Reset Glitch Hack (RGH), подробное пошаговое описание принципа работы и результаты тестирования.

Мы восхитились масштабами, но поняли не все. Пойдем зададим пару вопросам коллегам. Вы тоже можете — в комментариях к статье, где уже завязалось оживленное обсуждение.

#PositiveЭксперты
@Positive_Technologies