🤬Bybit потеряла $1.4 млрд от кибер-атаки: по горячим следам

🪙Криптобиржа Bybit сообщила о взломе одного из своих холодных кошельков Ethereum, с которого было выведено более $1 млрд в криптовалюте Ethereum (ETH) и других активах.

Итоги атаки:
❌ Сумма ущерба: $1,46 млрд (8% резервов Bybit).
❌Метод: Подмена UI + человеческий фактор.
❌ Авторы: Lazarus Group — «элита» северокорейских хакеров.

Первым на подозрительные транзакции обратил внимание криптодетектив ZachXBT👮‍♀️— в 18:20 мск он зафиксировал перевод крупных сумм с кошельков Bybit.
Позже CEO биржи Бен Чжоу подтвердил атаку и объяснил, что злоумышленники использовали сложный метод подмены транзакции, который позволил им получить полный контроль над активами.

⛏Атака была направлена на процесс подтверждения транзакций внутри самой системы Bybit.
На криптовалютных биржах крупные суммы обычно хранятся на мультиподписных кошельках — это значит, что для перевода средств нужно подтверждение сразу нескольких ответственных лиц, которые «подписывают» транзакцию с помощью своих ключей.
💻 Хакеры сумели подменить интерфейс, который подписанты видели перед подтверждением.
Важно, что на экране отображался правильный адрес получателя и привычный интерфейс системы безопасности сервиса Safe (ранее Gnosis Safe), но на самом деле подпись не просто подтверждала перевод, а давала хакерам полный контроль над кошельком. 💰

Как только злоумышленники получили контроль, они перевели средства на неустановленный адрес и начали распределять их по сети. Хакеры начали переводить украденные средства, включая обмен производных токенов на Ethereum и распределение активов по десяткам адресов, чтобы усложнить их отслеживание.

⚙️ "Плохо - это не тогда, когда инцидент произошёл, плохо - когда мы не знаем, что с этим делать"

Гендиректор Бен Чжоу действовал как учебник по антикризисному управлению. 📈 Через 30 минут после взлома он вышел в прямой эфир, ответил на сотни вопросов и подтвердил инцидент.

Плюсы:
🟢 Прозрачность: Прямые трансляции, ежечасные обновления.
🟢 Поддержка конкурентов: Binance и Bitget предоставили ETH для ликвидности.
🟢 Стратегия восстановления: Кредиты вместо срочных покупок ETH.
«Мы не будем скупать ETH на рынке, чтобы не давить на цену», — заявил Чжоу.
Это ключевой момент. Если бы Bybit начал экстренно пополнять резервы, эфир мог обвалиться. Вместо этого биржа взяла паузу, сохранив стабильность.

↪️ Читать статью на РБК

#вторжение #кибератака

Недавно обсуждал с CISO промышленной организации, насколько АСУ ТП сегмент уязвим для кибер-атак, и сразу вспомнил этот мем. 🐳

⚡️Обезличивание как инструмент улучшения жизни граждан

В России будет создана единая платформа по обработке обезличенных данных граждан. Государственные и частные компании смогут передавать свои накопленные данные для аналитики в эту платформу, например, для анализа загрузки маршрутов общественного транспорта, и многое другое. 📊

При этом данная платформа только обрабатывает уже обезличенные данные, но не обезличивает их сама. 📈

⚖️Кто же должен маскировать персональные данные с точки зрения закона?
Обязательство по обезличиванию ложится не на платформу, а на поставщика данных. То есть если вы - компания, и вы хотите предоставлять данные в правительственный datalake, то вы обязаны их обезличить перед передачей.

⚖️Выдержки из законопроекта, которые это регулируют:

Поставщики подсистемы обработки обезличенных данных единой информационной платформы осуществляют представление в подсистему обработки обезличенных данных единой информационной платформы обезличенных данных в соответствии с требованием, указанным в части 2 статьи 131 Федерального закона "О персональных данных".

А у вас уже внедрены такие средства по маскированию чувствительных данных? 🛡

📱 Читать пост

#законодательство #обезличивание

Друзья, внутри ребуса спрятан ключ к теме следующего поста! 🗝

Пишите свои версии в комментариях! 💬

#ребус

Экскурсия по даркнету 🕷

Вы же бывали на экскурсиях в музеях? Когда прогуливаешься между экспонатами, читаешь таблички и размышляешь о разном.

Такую же «онлайн-экскурсию» предлагает автор статьи ниже, только по обратной стороне интернета:
❌ Цены на:
- вредоносное ПО
- бэкдоры
- уязвимости и эксплоиты
- слитые данные
- RaaS (Ransomware as a service)
❌ Основные пользователи DW (Клиенты и исполнители)
❌ Валюта оплаты товаров и услуг
❌ Строгие правила сообщества
❌ Развитие рынка

↪️ Читать статью

ИБ - это не только суровые мужчины-безопасники, но ещё и элегантные и обворожительные представительницы женского пола! 💅

С международным женским днём, замечательные наши дамы! 🫦

#8Марта #ЖенщиныИБ

Как часто вы авторизуетесь в информационных системах, находясь в толпе?

Недавно наблюдал, как мужчина в метро пытался зарегистрироваться в некотором приложении. Ввёл все личные данные, далее логин и пароль, и это навело меня на мысль - существует довольно много приложений, которые содержат чувствительные данные - в частности ФИО, телефон, номер банковской карты (если привязан к покупкам, например), а это значит, что регулярно вы разглашаете свои данные случайным «глазам». 👀

Например:
🟢 Делаете заказ на маркетплейсах. Обычно при оплате заказа запрашивается адрес доставки и отображаются последние цифры банковской карты.
🟢 Социальные сети и мессенджеры. Переписки, контакты, а так же отношение людей - всё это база для социальной инженерии.
🟢 Госуслуги, Мос.ру, ЕМИАС, Мособлеирц и т.д. Данные в этих приложениях, пожалуй, после 3-х цифр с оборота карты, самые критичные! История болезни, посещения ко врачу, задолженность по квартире - всё это хороший плацдарм для мошенников.🔍

❓ А как вы защищаетесь от посторонних глаз? 🐦‍⬛️

⚡️НКЦКИ информирует об инциденте в периметре сервисного центра Группы Rubytech

Группа Rubytech сообщила об инциденте информационной безопасности в периметре своего сервисного центра. Инцидент мог представлять потенциальную угрозу для клиентов и партнеров при взаимодействии с системами компании. Однако данные клиентов не были скомпрометированы, и их системы функционируют в штатном режиме.

Способ взлома:
Компрометация нескольких технологических почтовых УЗ сервисного центра Rubytech. 🤬

Принятые меры:
🟢 Прекращено сетевое взаимодействие с клиентскими системами
🟢 Расследовательские команды работают над минимизацией последствий
🟢 Государственные органы и регуляторы проинформированы и с ними организована совместная работа
🟢 При возникновении вопросов клиентам Сервисного центра Rubytech рекомендуется связаться с персональным менеджером или дежурной командой Rubytech по почте: Support-X@rubytech.ru
🟢 О результатах расследования будет сообщено позднее

➡️ Отдельно можно выделить реакцию Рубитеха на инцидент - всё «по учебнику». Достойно уважения! 🔥

Рекомендации:
🟢 Сменить пароли в системах интеграций и личных кабинетах.
🟢 Усилить мониторинг ИТ-инфраструктуры.
🟢 Обновить пароли, ключи и сертификаты подрядчиков.
🟢 Проверить инфраструктуру на подозрительную активность.


В случае обнаружения признаков компрометации, сообщите в НКЦКИ.

#Rubytech #ИнформационнаяБезопасность #НКЦКИ

Пятничные мемы подьехали 🙂

Отчёт ГК Infowatch об утечках информации ограниченного доступа 2024

Как и обещал, делаю обзор на 2024 год.
Отчёты за 2023 и I-ю половину 2024 можно найти по соответствующим ссылкам.

За 2024 год экспертно-аналитический центр InfoWatch зарегистрировал 778 (против 786 в 2023г.) инцидентов утечек информации ограниченного доступа в российских организациях.
Несмотря на незначительное сокращение количества самих зарегистрированных инцидентов, наблюдается внушительное увеличение объема скомпрометированных записей. 📈
Общий объём утечек оценивается в 1,581 млрд записей, при этом примерно треть приходится на инцидент, где утекло порядка 500 млн персональных данных (зарегистрирован РКН).

📊Распределение по типам информации:
1⃣ Персональные данные - 66,8%
2⃣ Другие - 8,2%
3⃣ Коммерческая тайна - 7,7%
4⃣ Гостайна - 7,5%
5⃣ Не определено - 6,3%
6⃣ Служебная информация - 2,2%
7⃣ Платежная информация - 0,9%
8⃣ Секреты производства - 0,2%

Согласно отчёту произошло небольшое снижение доли персональных данных в сравнении с 2023г.
Также снизился показатель утечек коммерческой тайны (с 7,7% до 6,0%). В то же время вырос процент зарегистрированных инцидентов, связанных с утечками государственной тайны (с 7,5% до 10,4%).

А кто же самая утекающая отрасль в 2024? 🚰
Согласно отчёту ритейл по-прежнему самая «утекающая» отрасль (по результатам отчёта Лаборатории Касперского за 2023 год ритейл так же занял топ-1 по количеству утечек среди всех отраслей с отрывом в 2 раза от 2-го места - финансовой отрасли).

Распределение* утечек информации по отраслевым категориям:
🛍Торговля - 27,8%
⚖️Госорганы - 18%
📱Телекоммуникации - 9,8%
🔭Другое - 6,2%
⛏Промышленность - 5,9%
⌨️ИТ/ИБ - 5,3%
🎤Медиа, СМИ - 5,1%
🌎Туризм и гостиничный бизнес, индустрия развлечений - 4,5%
❤️Медицинские организации - 3,5%
💰Банки и финансовые услуги - 3,2%
🐂Образование - 3,2%
🚗Транспорт и логистика - 3%
🏠Строительство, девелопмент, недвижимость 1,4%
📈 Остальные - в сумме менее 4%.
*К сожалению, количественные показатели в данном отчёте не представлены.

Так же можно увидеть, что сохраняется профиль атаки на малый и средний бизнес — за прошедший год на них пришлась почти треть инцидентов. Именно утечки из малых компаний составили больше половины инцидентов в самой пострадавшей отрасли за 2024 год — торговли.

❗️Напоминаю, что 1 марта 2025 года вступит в силу закон об оборотных штрафах. Штраф - 3% от годовой выручки компании или 500 млн рублей.

🧠 Выводы
Картина утечек информации ограниченного доступа за прошедший год глобально не поменялась: лидеры по утечкам - те же, топ утёкших данных - ПДн. Поменялось только количество "слитых" данных в абсолютном числе.

Говорит ли это о том, что мы успеваем за развитием, сохраняя предыдущий уровень утечек? - И да, и нет.
Говорит ли это о том, что выбранная стратегия кибер-защиты успешна - достойно отдельного поста! 🙂

#статистикапоИБ2024 #утечки2024 #ОтчетГКИнфовотч

Датацентричная кибербезопасность: как защитить данные от потерь и утечек 🎤

Не так давно я писал про взгляд российских вендоров на платформу защиты данных.

Завтра же рыцари круглого стола защиты данных встретятся, чтобы обсудить, чьё «кунг-фу» круче.

На вебинаре будут представители топ-вендоров, специализирующиеся на защите данных:
🟢 Гарда Технологии
🟢 Инфовотч
🟢 Cyberpeack
🟢 Positive Technologies и другие.

Если учесть, что ни у кого на российском рынке нет решения класса DSP, то ожидается горячая битва фьючерсов! 😁

➡️Регистрируйся!

#DSP #DataSecurityPlatform #Платформазащитыданных #ПЗД

В очередной раз открываем в пятницу ящик мемдоры! 😀

❗️«Ваш самозапрет на кредит установлен неправильно» ⌨️

Помните, я как-то писал, что мошенники всегда в актуальном инфополе? Так вот мошенники начали использовать схему с самозапретом на кредиты.

📞Мошенники представляются сотрудниками «Госуслуг» (бюро кредитных историй (БКИ) или службы поддержки банков) и сообщают о якобы неверной установке самозапрета на кредиты.

1️⃣Далее предлагается перейти по короткой ссылке, которую присылают в мессенджере, якобы чтобы исправить заявление.
2️⃣После того как человек по ней переходит, он попадает на сайт, имитирующий «Госуслуги», вводит свои данные для входа, и они попадают к мошенникам.
3️⃣После этого злоумышленники могут авторизоваться в приложении банка с помощью «Госуслуг», а затем получить доступ к счетам жертвы. Кроме того, по фишинговой ссылке на устройство пользователя может быть загружен вирус, способный считывать СМС-сообщения, в том числе одноразовые коды для входа «Госуслуги» или в банковское приложение. 🧑‍💻

Перешлите всем знакомым, ведь защищаться никогда не поздно! 😁

#мошенники

По традиции - в ребусе зашифрована тема следующего поста. 👀

Пишите свои версии в комментариях! 🧑‍💻

#ребус

Он удалился под проливным дождём, что сделало его ещё интереснее

— цитата из книги «Разум и чувство» Джейн Остин.

Вот и «жизнь» данных зачастую заканчивается их удалением.

27 марта в 11:00 эксперты Гарды проведут вебинар, на котором расскажут:
🟢 С какими проблемами обычно сталкиваются операторы ПДн
🟢 Когда по закону необходимо удалять ПДн
🟢 Что будет, если не удалить ПДн
🟢 Как правильно удалять ПДн
🟢 Как автоматизировать этот процесс с применением программных комплексов Гарды.

↪️ Регистрируйтесь!

#вебинар #маскирование #dbf

Подсматривать нельзя запретить, Том II

В продолжение предыдущего поста остаётся вопрос: если полностью снять с себя ответственность за использование DLP у работодателя не получится, то как вообще легитимизировать DLP? ⚖️

1⃣ Уведомление сотрудника о мониторинге. Создаётся доп. соглашение, где написано, что компания в праве защищать свою интеллектуальную собственность, проверять добросовестность работы сотрудников. В связи с этим в эксплуатацию вводится система мониторинга за рабочими станциями, - имуществом компании. Это доп. соглашение подписывается сотрудником. Главные тезисы здесь - это то, что система не следит за сотрудниками, она следит за корректной обработкой критических данных. 👀

2⃣ Создание внутреннего регламента, который регулирует использование некорпоративных средств общения на рабочих устройствах, а так же запрещается ведение работы с личных устройств. Сотрудник расписывается в ознакомительном листе.
*Теперь, если сотрудник в Telegram отправил клиенту договор - это нарушение этого регламента, правда если мы прочитали его переписку, то нарушили конституцию. 👮‍♀️
Думаю, очевидно, что стоит выше с точки зрения закона?
Не все так плохо! На самом деле, сотрудники ИБ работают не с перепиской напрямую, а с результатами анализа системы мониторинга событий безопасности! ❌
Система подсказала, что данный сотрудник отправил некому контакту некий файл с конкретным содержимым. Вердикт системы - нарушение. В данном случае вердикт основан на результате анализа системы, а не на прочтении переписки в оригинальном её виде сотрудником.

3⃣ Вводится режим КТ. Компания должна описать перечень критичных документов и данных для неё. С этим перечнем сотрудника так же необходимо ознакомить под подпись.

Для более качественной проработки данной тематики лучше проконсультироваться с ИБ-консалтингом или вендором DLP, которые помогут грамотно легитимизировать DLP-систему во избежание спорных ситуаций.

#DLP #нормативка

❗️Срочно меняем пароли — в сеть слили учётные данные сотни тысяч роутеров Keenetic

В 2023 году в компании Keenetic проходило расследование на предмет возможного несанкционированного доступа к базе данных мобильного приложения Keenetic.
После проведения расследования и устранения проблемы внешний независимый исследователь (аутсорт-компания по ИБ) уведомил компанию о том, что данные, полученные в ходе исследования, ни кому не были переданы, а были уничтожены в целях безопасности (так часто делают с результатами пентестов).

28 февраля 2025 года выяснилось, что некоторая информация из той самой базы данных была раскрыта СМИ.
Какие данные могли быть скомпрометированы:
🛑 идентификаторы Keycloak
🛑 адреса электронной почты (логины)
🛑 имена УЗ Keenetic
🛑 хэши паролей MD5 и NT
🛑 логины и пароли клиентов VPN
🛑 списки доступа IP и MAC настройки пули DHCP и т.д.

Всем пользователям рекомендуется сменить пароли:
🟢 УЗ Wi-Fi
🟢 УЗ пользователей устройств Keenetic
🟢 пароли\предустановленные ключи VPN-клиентов: PPTP/L2TP, L2TP/IPSec, IPSec Site-to-site, SSTP.

И помните - инциденты в прошлом вполне могут вызывать коллапсы в будущем. 🎇

#утечка #утечкаданных #keenetic