Ваша ИТ-безопасность — это вы. И сегодня это самое уязвимое место.

Атаки стали точечными. Цель — не ваш компьютер, а конкретно вы: ваши данные для шантажа, доступ для мошенничества, ресурсы для скрытого майнинга.

В статье — разбор реальных векторов атаки и как их предотвратить:
⏺️Фишинг, который невозможно отличить от письма коллеги.
⏺️Уязвимости в привычном ПО, которые вы забыли обновить.
⏺️Социнженерия, где ваша вежливость становится оружием против вас.

👉Мы подготовили чек-лист по настройке базовой защиты, рекомендации по выбору EDR-решений для дома и стратегию резервного копирования, которая переживет любую ransomware-атаку.

Узнайте ➡️ в статье, как обезопасить свой компьютер и данные раз и навсегда.

#Ransomware #РезервноеКопирование #ЗащитаДанных #CodebyNet

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

⚡️ ZDNS — высокоскоростной DNS-резолвер и утилита командной строки для выполнения крупномасштабных измерений DNS. Написан на языке Go и содержит собственный код рекурсивного разрешения и кэш, оптимизированный для поиска разнообразных наборов имен.

💻 Установка

git clone https://github.com/zmap/zdns.git
cd zdns
make install

Состоит из следующих типов модулей:
🔴Модули Raw DNS предоставляют необработанный DNS-ответ от сервера, аналогичный dig, но в формате JSON. Существует модуль практически для каждого типа DNS-записи.

A, AAAA, AFSDB, ANY, ATMA, AVC, AXFR, BINDVERSION, CAA, CDNSKEY, CDS, CERT, CNAME, CSYNC, DHCID, DMARC, DNSKEY, DS, EID, EUI48, EUI64, GID, GPOS, HINFO, HIP, HTTPS, ISDN, KEY, KX, L32, L64, LOC, LP, MB, MD, MF, MG, MR, MX, NAPTR, NID, NINFO, NS, NSAPPTR, NSEC, NSEC3, NSEC3PARAM, NSLOOKUP, NULL, NXT, OPENPGPKEY, PTR, PX, RP, RRSIG, RT, SVCBS, MIMEA, SOA, SPF, SRV, SSHFP, TALINK, TKEY, TLSA, TXT, UID, UINFO, UNSPEC, URI.

🔴Модули Lookup предоставляют более полезные ответы, когда требуется несколько запросов (например, выполнение дополнительного A поиска для IP-адресов, если получен NS в NSLOOKUP).
🔴Модули Misc предоставляют другие дополнительные средства запроса серверов (например, bind.version).

🔺Использование
Инструмент состоит из библиотеки рекурсивного резолвера и оболочки CLI.

1️⃣Raw DNS - echo "censys.io" | zdns A
В выводе для данной команды будет содержаться следующая информация:

{
"name": "censys.io",
"results": {
"A": {
"data": {
"additionals": [
{
"flags": "",
"type": "EDNS0",
"udpsize": 512,
"version": 0
}
],
"answers": [
{
"answer": "104.18.10.85",
"class": "IN",
"name": "censys.io",
"ttl": 300,
"type": "A"
},
{
"answer": "104.18.11.85",
"class": "IN",
"name": "censys.io",
"ttl": 300,
"type": "A"
}
],
"protocol": "udp",
"resolver": "[2603:6013:9d00:3302::1]:53"
},
"duration": 0.285295416,
"status": "NOERROR",
"timestamp": "2024-08-23T13:12:43-04:00"
}
}
}

2️⃣ Модуль Lookup. Необработанные DNS-ответы часто не содержат нужных данных. Например, ответ MX может не включать связанные A записи в дополнительном разделе, что требует дополнительного поиска. Для устранения этого недостатка инструмент также предоставляет несколько модулей поиска: alookup, mxlookup, nslookup.

🔴alookup работает аналогично nslookup и отслеживает записи CNAME.
🔴mxlookup дополнительно выполняет поиск A для IP-адресов, соответствующих записи обмена.
🔴nslookup дополнительно выполняет поиск A/AAAA для IP-адресов, соответствующих записи NS.

echo "censys.io" | zdns mxlookup --ipv4-lookup

В выводе для данной команды будет содержаться следующая информация:

{
"name": "censys.io",
"results": {
"MXLOOKUP": {
"data": {
"exchanges": [
{
"class": "IN",
"ipv4_addresses": [
"209.85.202.27"
],
"name": "alt1.aspmx.l.google.com",
"preference": 5,
"ttl": 300,
"type": "MX"
},
{
"class": "IN",
"ipv4_addresses": [
"142.250.31.26"
],
"name": "aspmx.l.google.com",
"preference": 1,
"ttl": 300,
"type": "MX"
}
]
},
"duration": 0.154786958,
"status": "NOERROR",
"timestamp": "2024-08-23T13:10:11-04:00"
}
}
}

#tools #DNS #resolver

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

❗️ Уязвимость в Python библиотеке для ИИ

🪧 В библиотеках Python с открытым исходным кодом для искусственного интеллекта, выпущенных Apple (FlexTok), NVIDIA (NeMo) и Salesforce (Uni2TS), обнаружены уязвимости, позволяющие удаленное выполнение кода (RCE) при загрузке файла модели со вредоносными данными.

🧾 «Уязвимости возникают из-за того, что библиотеки используют метаданные для настройки сложных моделей и конвейеров, где используемая сторонняя библиотека создает экземпляры классов, используя эти метаданные. Уязвимые версии этих библиотек просто выполняют предоставленные данные как код. Это позволяет злоумышленнику внедрить произвольный код в метаданные модели, который будет автоматически выполняться при загрузке этих модифицированных моделей уязвимыми библиотеками», — заявило подразделение 42 Palo Alto Networks

💻 Речь идет о сторонней библиотеке Hydra от Meta, а именно о функции «hydra.utils.instantiate()», которая позволяет запускать код с использованием функций Python, таких как os.system(), builtins.eval() и builtins.exec().

🔎 Уязвимости, отслеживаемые как CVE-2025-23304 (NVIDIA) и CVE-2026-22584 (Salesforce), были устранены соответствующими компаниями

❓ А вы используете эти библиотеки в работе?

#python #ai #cve #hydra

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Go-Hash

Инструмент идентификации алгоритмов для хешей, таких как MD5, SHA1, SHA256, SHA512, MYSQL.

📕Характеристика:
1️⃣Очень простой интерфейс.
2️⃣Поддержка основных алгоритмов (MD5, SHA1, SHA256, SHA512, MYSQL)


💻Установка:

git clone https://github.com/HunxByts/Go-Hash.git

cd Go-Hash

pip3 install -r requirements.txt --break-system-packages

📌Запуск:

python3 gohash.py

#tools #hash #cryptography

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

🔎 AI позволяет красть данные!

🪧 Уязвимости в фреймворке Chainlit AI позволяют осуществлять кражу данных посредством чтения файлов и уязвимости SSRF.

🔁 В популярной платформе искусственного интеллекта с открытым исходным кодом Chainlit были обнаружены уязвимости безопасности , которые могут позволить злоумышленникам красть конфиденциальные данные, что, в свою очередь, может обеспечить горизонтальное перемещение внутри уязвимой организации.

🎇 Компания Zafran Security заявила, что эти серьезные уязвимости, получившие общее название ChainLeak , могут быть использованы для утечки ключей API облачных сред и кражи конфиденциальных файлов, а также для проведения атак с подделкой запросов на стороне сервера (SSRF) против серверов, на которых размещены приложения искусственного интеллекта.

⏺️ Подробности об этих двух уязвимостях следующие:

➡️ CVE-2026-22218 (CVSS: 7.1) — уязвимость произвольного чтения файлов в процессе обновления "/project/element", позволяющая авторизованному злоумышленнику получить доступ к содержимому любого файла, доступного для чтения службой, в свою собственную сессию из-за отсутствия проверки полей контроллера пользователя.

➡️ CVE-2026-22219 (CVSS: 8.3) — уязвимость SSRF в потоке обновления "/project/element" при настройке с использованием бэкэнда уровня данных SQLAlchemy, которая позволяет злоумышленнику выполнять произвольные HTTP-запросы к внутренним сетевым службам или конечным точкам облачных метаданных с сервера Chainlit и сохранять полученные ответы.

❗️ Будьте внимательны!

#ai #ssrf #cve #chainleak

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

SQLMutant

SQLMutant — это инструмент для тестирования SQL-инъекций, включающий как пассивные, так и активные процессы разведки для любого заданного домена. Он фильтрует URL-адреса, чтобы выявить те, параметры которых подвержены SQL-инъекциям, а затем выполняет атаки с использованием инъекций. Эти атаки включают сопоставление шаблонов, анализ ошибок и атаки по времени.

📕Характиристика:
1️⃣URL Fuzzer - Эта функция позволяет пользователю указать целевой URL-адрес, а затем выполнить фаззинговую атаку для обнаружения любых уязвимых параметров, которые могут быть использованы для SQL-инъекций.
2️⃣SQL Payloads - SQLMutant предоставляет набор предопределенных полезных нагрузок для SQL-инъекций, которые можно использовать для проверки наличия уязвимостей.
3️⃣Header Fuzzer - Эта функция позволяет пользователю фаззингировать HTTP-заголовки для проверки на наличие уязвимостей SQL-инъекций.
4️⃣Waybackurls Integration - В SQLMutant интегрирован инструмент Waybackurls, используемый для поиска исторических версий веб-страницы. Эта функция позволяет находить страницы, которые больше недоступны, но могут содержать уязвимости, существовавшие в прошлом.
5️⃣Arjun Integration - SQLMutant также интегрирует инструмент Arjun, который используется для поиска скрытых параметров и каталогов на веб-сервере.

💻Установка:

pip3 install uro --break-system-packages

sudo apt install golang-go

export GOPATH=$HOME/go
export PATH=$PATH:$GOPATH/bin

Лучше добавить эти команды в ~/.bashrc

go install github.com/tomnomnom/waybackurls@latest

sudo apt-get install arjun

go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest

sudo apt-get install jq toilet lolcat

git clone https://github.com/blackhatethicalhacking/SQLMutant.git

cd SQLMutant/

chmod +x SQLMutant.sh

📌Запуск:

./SQLMutant.sh

#tools #web #SQL

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Коллеги, в понедельник встречаемся на Практикуме по Web Application Penetration Testing (WAPT) 🔥

Для тех, кто ещё не в списке участников — это хороший повод задуматься.

Мы будем разбирать реальный кейс по веб-пентесту. Не в теории, а в реальной работе, когда автоматические сканеры уже не помогают.

К эфиру подготовлен живой практический разбор.
🟧 Регистрация: https://wapt-workshop.codeby.school

Что вас ждёт:
🟧 Реальная работа с уязвимостями.
🟧 Презентация курса Академии Codeby.
🟧 Нестандартные XSS и SQL-инъекции, которые не ловят сканеры.
🟧 Разбор уязвимостей и применение эксплойтов.
🟧 Демонстрация методики мышления настоящего пентестера.

Это не лекция. Это сложный разбор с моментами, где даже у опытного специалиста возникают вопросы.

Почему важно быть онлайн:
— можно задать вопросы по ходу разбора
— будут детали, которые не попадут в запись
— живой диалог по кейсу, а не монолог.

Практикум пройдёт в прямом эфире.
Количество мест ограничено.
🟧 26 января, 19:00 МСК
🟧 Регистрация: https://wapt-workshop.codeby.school

Если будут вопросы по регистрации — пишите в бот @CodebyAcademyBot

❗️ Россию накрывает новая волна фишинговой кампании!

🇷🇺 Многоэтапная фишинговая кампания нацелена на Россию с использованием RAT-программы Amnesia и Ransomware.

✉️ «Атака начинается с методов социальной инженерии, используемых в качестве приманки с помощью документов деловой тематики, которые выглядят обычными и безобидными», — заявила исследовательница Кара Лин. «Эти документы и сопровождающие их скрипты служат визуальными отвлекающими маневрами, перенаправляя жертв на фальшивые задачи или сообщения о состоянии, в то время как вредоносная деятельность незаметно происходит в фоновом режиме».

🔔 В рамках этой кампании используются методы социальной инженерии для распространения сжатых архивов, содержащих множество поддельных документов и вредоносный ярлык Windows (LNK) с русскоязычными именами файлов. Файл LNK использует двойное расширение. Один из примеров: "Задание_для_бухгалтера_02отдела.txt.lnk".

🔔 При выполнении скрипт запускает команду PowerShell для получения следующего этапа — сценария PowerShell, размещенного в репозитории GitHub ("github[.]com/Mafin111/MafinREP111"), который затем служит загрузчиком первого этапа для закрепления системы, подготовки системы к сокрытию следов вредоносной активности и передачи управления последующим этапам.

🔔 После того как документ отображается жертве для поддержания обмана, скрипт отправляет сообщение злоумышленнику через API Telegram-бота , информируя оператора об успешном выполнении первого этапа. После преднамеренно введенной задержки в 444 секунды скрипт PowerShell запускает скрипт Visual Basic ("SCRRC4ryuk.vbe"), размещенный в том же репозитории.

🪧 Скрипт Visual Basic сильно обфусцирован и выступает в роли контроллера, который собирает полезную нагрузку следующего этапа непосредственно в памяти, тем самым избегая оставления каких-либо следов на диске. Скрипт на заключительном этапе проверяет, выполняется ли он с повышенными привилегиями, и, если нет, многократно отображает запрос контроля учетных записей пользователей ( UAC ), чтобы заставить жертву предоставить ему необходимые разрешения. Скрипт делает паузу в 3000 миллисекунд между попытками.

🧾 Одна из последних полезных нагрузок, развертываемых после успешного отключения средств защиты и механизмов восстановления, — это Amnesia RAT ("svchost.scr"), которая загружается из Dropbox и способна к масштабной краже данных и удаленному управлению. Она предназначена для кражи информации, хранящейся в веб-браузерах, криптовалютных кошельках, Discord, Steam и Telegram, а также системных метаданных, скриншотов, изображений с веб-камеры, звука с микрофона, содержимого буфера обмена и заголовка активного окна.

☁️ Для противодействия злоупотреблениям со стороны defendnot в отношении API Центра безопасности Windows, Microsoft рекомендует пользователям включить защиту от несанкционированного доступа, чтобы предотвратить несанкционированные изменения настроек Defender, а также отслеживать подозрительные вызовы API или изменения в работе служб Defender.

❗️ Будьте внимательны и предупредите своих коллег! ❗️

#russia #phishing #rat #microsoft

Источник: https://www.fortinet.com/blog/threat-research/inside-a-multi-stage-windows-malware-campaign

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

MASTER OSINT

Master OSINT — это комплексный, удобный для начинающих набор инструментов на Python, предназначенный для проведения расследований на основе открытых источников информации. Инструмент поддерживает множество методов расследования.

📕Характиристика:
➖Извлечение GPS-координат из EXIF-данных изображений.
➖Исследование присутствия в социальных сетях на более чем 30 платформах по имени пользователя.
➖Выявление утечек электронной почты и анализ общедоступных фрагментов текста.
➖Проверка подлинности электронной почты с помощью Hunter.io, ReverseContact.com и Epieos.
➖Извлечение метаданных из изображений/документов.
➖Использование расширенных операторов поиска Google (Google Dorking).
➖Доступ к архивным снимкам веб-сайтов через Wayback Machine.
➖Определение IP-адреса и получение отчетов о нарушениях с помощью AbuseIPDB.
➖Парсинг метаданных веб-сайтов и извлечение именованных сущностей с помощью spaCy NLP.
➖Проверка и исследование телефонных номеров с информацией о операторе связи и типе телефона.
➖Выполнение обратного поиска изображений с использованием популярных поисковых систем.
➖Доступ к мощной геопространственной аналитике с помощью Google Satellite и OpenStreetMap.

💻Установка:

git clone https://gist.github.com/5fb49b007d48cf2717bc3c12958e47b5.git

mv 5fb49b007d48cf2717bc3c12958e47b5/ osintmaster/

cd osintmaster/

pip install waybackpy --break-system-packages

📌Запуск:

python3 Master_osint.py

#tools #osint

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Коллеги, уже сегодня встречаемся на Практикуме по Web Application Penetration Testing (WAPT) 🔥

Мы будем разбирать реальный кейс по веб-пентесту. Не в теории, а в реальной работе, когда автоматические сканеры уже не помогают.

🟧 Регистрация: https://wapt-workshop.codeby.school

Что вас ждёт:
🟧 Реальная работа с уязвимостями.
🟧 Презентация курса Академии Codeby.
🟧 Нестандартные XSS и SQL-инъекции, которые не ловят сканеры.
🟧 Разбор уязвимостей и применение эксплойтов.
🟧 Демонстрация методики мышления настоящего пентестера.

Почему важно быть онлайн:
— можно задать вопросы по ходу разбора
— будут детали, которые не попадут в запись
— живой диалог по кейсу, а не монолог.

Практикум пройдёт в прямом эфире.
Количество мест ограничено.
🟧 СЕГОДНЯ, 19:00 МСК
🟧 Регистрируйтесь и получите ссылку на эфир: https://wapt-workshop.codeby.school

Если будут вопросы по регистрации — пишите в бот @CodebyAcademyBot

🌶 SpicyAD

Инструмент для тестирования на проникновение в среде Active Directory, написанный на языке C# и предназначенный для проведения оценки безопасности. Он объединяет несколько методов атак на AD в простом в использовании в инструменте с интерактивным интерфейсом командной строки.

SpicyAD автоматически определяет и использует LDAPS (порт 636), если он доступен, и LDAP (порт 389), если нет.

🟧Возможности
Содержит в себе 5 различных категорий атак:
🟧Перечисление - получение информации о домене, пользователях, компьютерах, отношениях в домене, делегаций, LAPS, шаблонов сертификатов;
🟧Атаки Kerberos - Kerberoasting (RC4/AES), AS-REP Roasting, Password Spray, Pass-the-Ticket, Targeted Kerberoasting;
🟧Атаки на ADCS - ESC1, ESC4, PKINIT + UnPAC-the-hash;
🟧Атаки на получение учетных данных - Shadow Credentials, RBCD;
🟧Управление AD - добавление/удаление пользователей, узлов, изменение паролей и т.д.

Флаги, используемые для подключения к домену:
🟧/domain:<fqdn> - FQDN целевого домена;
🟧/dc-ip:<ip> - IP-адрес контроллера домена;
🟧/user:<user> - логин для аутентификации в домене;
🟧/password:<pwd> - пароль для аутентификации в домене;
🟧/dns:<ip> (опциональный параметр) - IP-адрес DNS-сервера.

Примеры использования🟧
Сбор данных через bloodhound.

.\SpicyAD.exe bloodhound /collection:all
#or
.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd bloodhound /collection:all

Поиск уязвимостей в шаблонах сертификатов (ESC1-4, ESC8).

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd enum-vulns

Проведение ESC1-атаки.

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:lowpriv /password:P@ssw0rd esc1 /template:VulnTemplate /target:administrator /sid

Добавление новой машины в домен.

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd add-machine /name:YOURPC$ /mac-pass:P@ssw0rd123

#AD #tools #pentest #ESC

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

⬇️ В PyPI снова вредоносные пакеты!

🔁 Вредоносный пакет PyPI имитирует SymPy и развертывает майнер XMRig на хостах Linux.

🔗 В PyPI обнаружен новый вредоносный пакет, имитирующий популярную библиотеку для символьных вычислений, с целью развертывания вредоносных программ, включая майнер криптовалюты, на узлах под управлением Linux.

👉 Пакет под названием sympy-dev имитирует SymPy, дословно воспроизводя описание проекта последнего, чтобы обмануть ничего не подозревающих пользователей, заставив их думать, что они загружают «версию для разработчиков» библиотеки. С 17 января 2026 года его скачали более 1100 раз.

☁️ Оригинальная библиотека была модифицирована для использования в качестве загрузчика для майнера криптовалюты XMRig на скомпрометированных системах. Вредоносное поведение разработано таким образом, чтобы срабатывать только при вызове определенных полиномиальных процедур, что позволяет оставаться незамеченным.

⏺️Конечная цель атаки — загрузка двух исполняемых файлов ELF для Linux, предназначенных для майнинга криптовалюты с использованием XMRig на хостах Linux.

❗️ Будьте внимательны!

#pypi #xmrig #sympy #linux

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Maltrail — это open source система обнаружения вредоносного сетевого трафика, которая отслеживает подозрительные подключения и события на основе публичных и собственных списков индикаторов компрометации

❓ Что такое Maltrail
Maltrail — лёгкая система детекции вредоносного трафика, построенная на Python и ориентированная на анализ сетевых соединений на уровне сенсора. Она сопоставляет трафик с (black)-листами, включающими домены, IP‑адреса, URL и даже HTTP User‑Agent, а также использует эвристики для выявления новых угроз.

🧾 Основные сценарии:
📉 Мониторинг периметра и DMZ через SPAN/mirror‑порт или TAP.
📉 Лёгкий IDS‑слой для малых сетей и лабораторий.
🖱 Honeypot‑наблюдение и сбор телеметрии для исследовательских задач.

⬇️ Установка и базовый запуск
Maltrail разворачивается на Linux‑системе и может работать как на одном хосте, так и в роли отдельного сенсора и сервера.

🔔 Быстрый старт
➡️ Установить зависимости

sudo apt-get install git python3 python3-dev python3-pip python-is-python3 libpcap-dev build-essential procps schedtool
sudo pip3 install pcapy-ng

➡️Клонировать репозиторий Maltrail:

git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail

➡️ Запустить сенсор:

sudo python sensor.py

🔔 Запуск с помощью docker

docker run -d --name maltrail --restart=unless-stopped -p 8338:8338/tcp -p 8337:8337/udp -v /etc/maltrail.conf:/opt/maltrail/maltrail.conf:ro ghcr.io/stamparm/maltrail:latest
docker stop maltrail
docker pull ghcr.io/stamparm/maltrail:latest
docker start maltrail

Далее в maltrail.conf настраиваются параметры сенсора (интерфейс, период обновления trails и т.п.) и сервера (адрес/порт, SSL для защиты доступа к веб‑интерфейсу).

#ids #honeypot #detection #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

DevSecOps на практике - старт курса 2 февраля

⚙️ Знаете, в чём главная фишка DevSecOps?
Безопасность перестаёт быть «тормозом» для разработки. Вместо бесконечных проверок «после релиза» — всё встроено в пайплайн. Код проходит SAST, контейнер — сканируется, инфраструктура — проверяется на compliance. В итоге релизы выходят быстрее, а не медленнее.

Именно об этом наш новый курс:
🟡9 модулей, 48 занятий, 90% практики;
🟡инструменты: Docker, Kubernetes, Terraform, Vault, Ansible, Prometheus;
🟡финальный экзамен в стиле OSCP — только реальные задачи;
🟡опыт авторов: внедрение Zero Trust, построение SOC, DevSec-инструменты для Burp Suite.

❓ Узнать подробнее о курсе
🗓 Старт курса 2 февраля

По данным Gartner, за последние 3 года запрос на специалистов DevSecOps вырос в разы. Компании осознали: «сначала сделать, потом чинить» — слишком дорого. Поэтому инженеры, которые умеют внедрять безопасность в CI/CD, сегодня — одна из самых востребованных профессий в ИБ и DevOps.

⬇️ Начать обучение
🥇 По всем вопросам @CodebyManagerBot

💵 Появилось новое семейство вирусов-вымогателей

🔁 Появился новый штамм вируса-вымогателя Osiris, использующий драйвер POORTRY в атаке BYOVD.

💻 Как сообщили представители команд Symantec и Carbon Black Threat Hunter Team, в атаке использовался вредоносный драйвер POORTRY в рамках известной методики, называемой «использование собственного уязвимого драйвера» (BYOVD), для отключения программного обеспечения безопасности.

🎇 Стоит отметить, что Osiris считается совершенно новым штаммом программы-вымогателя, не имеющим ничего общего с другим вариантом с тем же названием , появившимся в декабре 2016 года как разновидность программы-вымогателя Locky. В настоящее время неизвестно, кто является разработчиками этой программы-вымогателя, и рекламируется ли она как услуга-вымогатель (RaaS).

🔗 Однако специалисты заявили, что обнаружили признаки, указывающие на то, что злоумышленники, развернувшие программу-вымогатель, могли ранее быть связаны с программой-вымогателем INC (также известной как Warble).

⏺️ «Утечка данных злоумышленниками в хранилища Wasabi, а также использование версии Mimikatz, ранее применявшейся злоумышленниками с тем же именем файла (kaz.exe) при развертывании программы-вымогателя INC, указывают на потенциальную связь между этой атакой и некоторыми атаками, связанными с INC».

☁️ POORTRY несколько отличается от традиционных атак BYOVD тем, что использует специально разработанный драйвер, предназначенный для повышения привилегий и завершения работы средств безопасности, в отличие от развертывания легитимного, но уязвимого драйвера в целевой сети.

👉 Для защиты от целенаправленных атак организациям рекомендуется отслеживать использование инструментов двойного назначения, ограничивать доступ к службам RDP, внедрять многофакторную аутентификацию (2FA), использовать список разрешенных приложений там, где это применимо, и осуществлять хранение резервных копий вне офиса.

❗️ Будьте внимательны!

#ransomware #osiris #poortry

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером