⏺Глобальная атака методом перебора паролей затронула миллионы сетевых устройств по всему миру, в том числе в России.

Злоумышленники используют почти 2,8 миллиона IP-адресов ежедневно в попытках подобрать учётные данные к устройствам Palo Alto Networks, Ivanti, SonicWall и других производителей.

Вектором нападения стали пограничные устройства безопасности — межсетевые экраны, VPN-шлюзы и прочие решения, обеспечивающие удалённый доступ. По информации Shadowserver, атака длится уже несколько недель, но недавно активность резко возросла. В атаках задействованы маршрутизаторы и IoT-устройства от MikroTik, Huawei, Cisco, Boa и ZTE, часто используемые в ботнетах.

Резидентные прокси позволяют злоумышленникам скрывать свою активность, используя IP-адреса реальных пользователей интернет-провайдеров. Это усложняет обнаружение и блокировку атакующих, так как их действия выглядят, как обычный трафик. Хакеры могут направлять вредоносные запросы через корпоративные сети, используя их, как узлы выхода.

"Без надёжной аутентификации и авторизации злоумышленники могут получать доступ к критически важной инфраструктуре компании, что может привести к серьёзным последствиям. Резидентные прокси могут быть использованы для маскировки, однако это не означает гарантированного успешного проникновения в систему. NAC-модуль (Network Access Control) способен обеспечить защиту, применяя многоуровневую проверку доступа и мониторинг сетевой активности. Например, Efros DefOps NAC обеспечивает централизованную сетевую идентификацию", — говорит киберэксперт компании "Газинформсервис" Михаил Спицын.

#gis_новости #efros_defops

⏺В свете недавних сообщений о том, что злоумышленники используют более 3000 публично раскрытых ключей ASP.NET для проведения атак через механизм ViewState, роль современных Центров мониторинга и реагирования на инциденты информационной безопасности становятся особенно значимой.

На примере работы нашего центра мониторинга GSOC Андрей Жданухин, аналитик L2 GSOC компании «Газинформсервис», рассказал, в каких случаях могут помочь решения класса SOC:

1️⃣Непрерывный мониторинг и обнаружение угроз:
Центр обеспечивает круглосуточный мониторинг событий безопасности, собирая и анализируя данные из различных источников внутри инфраструктуры клиента. Это позволяет оперативно выявлять подозрительную активность, связанную с эксплуатацией уязвимостей ASP. NET, таких как несанкционированное использование ViewState.

2️⃣Реагирование на инциденты:
В случае обнаружения попыток эксплуатации уязвимостей специалисты немедленно предпринимают действия по локализации и нейтрализации угрозы. Это включает блокировку вредоносных запросов, изоляцию скомпрометированных систем и восстановление их нормальной работы.

3️⃣Проактивный поиск уязвимостей:
Проводятся регулярные проверки инфраструктуры клиента на наличие известных уязвимостей, включая те, что связаны с неправильной конфигурацией ASP. NET. Это помогает выявить и устранить потенциальные точки входа для злоумышленников до того, как они будут использованы.

4️⃣Обновление и патч-менеджмент:
Специалисты следят за актуальностью программного обеспечения и своевременным применением обновлений безопасности. В контексте уязвимостей ASP. NET это означает регулярную проверку и обновление компонентов, чтобы минимизировать риск эксплуатации известных уязвимостей.

5️⃣Обучение и повышение осведомленности:
Security Operations Center предоставляет рекомендации и обучающие материалы для разработчиков и ИТ-специалистов клиента, направленные на безопасную настройку и использование решений. Это может включать советы по генерации уникальных ключей, правильной конфигурации и других аспектов безопасности приложений.

Интеграция с решениями класса SOC позволяет организациям не только оперативно реагировать на текущие угрозы, но и проактивно защищать свою инфраструктуру от потенциальных атак, связанных с уязвимостями не только в ASP. NET, но и в других решениях для бизнеса.
#gis_новости #gsoc

(Не) Потерять всё: как не стать жертвой мошенников❓

421 миллион рублей самарская пенсионерка отдала мошенникам, на два миллиона обманули студентку из Екатеринбурга, 500 тысяч аферисты выманили у 9-летнего мальчика в компьютерной игре. Новостные заметки о новых жертвах мошенников появляются едва ли не каждый день.

При этом власти борются с проблемой. Владимир Путин поручил правительству разработать меры блокировки звонков зарубежных мошенников.

🗣Стать жертвой мошенников можно и не отвечая на звонки. Ссылка на фейковый сайт или заражённый файл могут стать инструментом аферистов. Как действовать, чтобы не лишиться сбережений и не приобрести нежеланные кредиты, рассказала в эфире ЛенТВ24 Ксения Ахрамеева, эксперт по кибербезопасности компании "Газинформсервис":

Мы не открываем ссылки от непонятных людей. Даже если человек понятный, нужно позвонить и спросить, действительно ли он отправил ссылку или файл какой-нибудь электронный. Только после этого мы переходим по ссылке или открываем файл. При переходе на любой сайт мы должны проверить, а действительно ли это легитимный сайт. Как минимум в строке браузера должно быть https. Если там что-то другое, мы не вводим никаких данных. Лучше иметь две SIM-карты. Одна для общения и подтверждения чего-либо, вторая – только для банковских приложений, чтобы через SIM-карту на вас не вышли.

Смотрите полный материал здесь.
#gis_полезности

Слышали об этом, но не совсем уверены, что это такое? 📱

Может, это просто модное словечко или важный инструмент для улучшения работы над проектами? Давайте узнаем, насколько вы в теме! #gis_полезности

‼️ФСТЭК России подготовила новый свод требований по защите информации, который вступит в силу в марте следующего года. Наш киберэксперт Сергей Полунин рассказал о сложностях и решениях в вопросе защиты информации.

Ключевые нововведения:

⏺️Расширение сферы применения. Документ охватывает защиту информации, содержащейся в государственных информационных системах, включая данные государственной тайны, персональные данные и информацию, относящуюся к критической информационной инфраструктуре.

⏺️Обновление нормативной базы. Новый свод требований опирается на существующие нормативные акты, такие как Постановление Правительства РФ № 1119 и Федеральный закон № 187-ФЗ, а также другие регламенты по технической защите информации. Это позволит адаптировать меры безопасности к современным вызовам.

⏺️Жёсткие сроки устранения уязвимостей. Документ вводит строгие временные рамки для реагирования на угрозы: критические уязвимости необходимо устранять в течение 24 часов, высокие — не позднее 7 рабочих дней, а средние и низкие — в соответствии с внутренними регламентами организации.

⏺️Новые процедуры уведомления. Операторы обязаны в течение 5 рабочих дней передавать в Банк данных угроз ФСТЭК информацию о ранее неизвестных уязвимостях. Это обеспечит оперативное выявление новых киберугроз и позволит быстрее реагировать на потенциальные риски.

⏺️Упрощение классификации информационных систем. Новый подход к классификации упрощает процесс оценки рисков и выбора мер защиты, делая регулирование более прозрачным. Обновлённый свод требований ФСТЭК России направлен на повышение оперативности и эффективности мер по защите информации, адаптацию к современным киберугрозам и создание единого подхода к обеспечению информационной безопасности в государственных структурах.

«Требования регулятора к информационной безопасности на предприятиях вполне логичные и являются адекватным ответом на новые вызовы. Вопрос только в том, насколько это реально поможет что-либо улучшить в нашей жизни, учитывая, что компании всё больше ограничены в бюджетах. Например, для того, чтобы организовать устранение критической уязвимости в течение 24 часов, нужны специалисты соответствующего уровня и вообще готовность инфраструктуры к оперативным изменениям. С другой стороны, применение решений, где механизмы безопасности уже являются частью системы, таких как СУБД Jatoba, существенно сокращает это время», — говорит руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

#gis_новости #jatoba

 ⏺Как легко потерять доступ к своим аккаунтам?

Кажется, безопасность — это всегда что-то сложное и неудобное? На самом деле, есть несколько «простых» способов, которые гарантированно сделают ваш онлайн-мир гораздо менее безопасным.

Интересно, что это за способы? Подробнее в карточке!
#gis_развлечения

⏺Киберпреступники стали использовать сеть доставки контента Webflow для распространения поддельных PDF-документов, направленных на кражу данных банковских карт.

Эксперты компании Netskope обнаружили, что злоумышленники загружают на Webflow PDF-файлы с изображением CAPTCHA, которое на деле является фишинговой ссылкой. После клика жертва перенаправляется на страницу с реальной CAPTCHA от Cloudflare, что создаёт иллюзию легитимности процесса. После успешного прохождения проверки пользователям предлагается скачать желаемый документ, однако для этого они должны ввести свои персональные и платёжные данные.

«Злоумышленники научились мастерски сочетать методы стеганографии и фишинговые ссылки. Добросовестные пользователи готовы оплатить покупку того или иного файла, а на деле просто самостоятельно отдают свои данные мошенникам. Даже если соблюдать элементарные правила безопасности оплаты в сети интернет, скаченный файл может поставить под угрозу безопасность не только вашего компьютера, но и всей корпоративной сети, если такое действие совершил сотрудник компании.

В таком случае необходимо использовать программные комплексы по обеспечению безопасности ИТ-инфраструктуры. Например, в отечественном и сертифицированном решении Efros Defence Operations есть модули, которые позволяют не только осуществить централизованный контроль доступа пользователей к сетевым устройствам, но и произвести проверку инфраструктуры на наличие уязвимостей, что позволит своевременно устранить данный тип атак», — говорит Ксения Ахрамеева, эксперт компании «Газинформсервис».

#gis_новости #efros_defops

«Газинформсервис» представит решения по кибербезопасности✅

19-21 февраля в Екатеринбурге состоится Уральский форум «Кибербезопасность в финансах». Представители банков, IT-компаний, страховщиков и других финансовых организаций обсудят актуальные вопросы информационной безопасности и борьбы с мошенничеством.

На стенде №18 наша компания продемонстрирует свои передовые продукты и решения в области информационной безопасности, включая EfrosDO, Ankey ASAP, Ankey IDM, Ankey RBI, Jatoba и SafeERP. Наши специалисты готовы проконсультировать посетителей стенда по всем вопросам, связанным с представленными продуктами и решениями.

🗣В рамках демо-дня эксперт компании «Газинформсервис» Яна Заковряжина выступит с докладом на тему «Применение поведенческой аналитики (UEBA) для фрод-мониторинга внутренних операций банка». Услышать выступление спикера можно 21 февраля 9:25 на площадке «Пространство идей».

#gis_участвует

Задумывались ли вы, насколько важна защита вашей камеры на ноутбуке?

Камера кажется такой невинной, но открытая она может стать настоящим «окном» в вашу личную жизнь. Закрываете ли вы её, когда не используете? Если нет — возможно, пора пересмотреть свои привычки! 

⏺Защита от хакеров

Камера может быть активирована удалённо. Лучше перебдеть, чем потом переживать за свою конфиденциальность!

⏺Конфиденциальность

Кто сказал, что вас никто не наблюдает? Закрытая камера — ваш персональный защитник от лишних глаз. 

⏺Больше уверенности

Когда камера скрыта, вы не чувствуете себя под наблюдением. Кто бы знал, что так важно оставаться на связи… с самим собой?

⏺Безопасность в путешествиях

Камера закрыта — в кафе, аэропорту или гостинице вас никто не подслушает и не подглядит! И даже если кто-то «попробует», он увидит только пустую линзу. 

⏺Просто привычка

Закрывать камеру — это как застёгивать куртку зимой. Это становится частью вашего ежедневного ритуала безопасности, а заодно и вашего спокойствия!

Закрывайте камеру и спите спокойно, зная, что ваша конфиденциальность под надёжной защитой 🔐
#gis_полезности

⏺Исследователи Elastic Security Labs обнаружили новую кибератаку с использованием мощного бэкдора FINALDRAFT. Новый бэкдор атакует госучреждения и компании по всему миру.

Жертвами атаки стали внешнеполитическое ведомство одной из стран Южной Америки, телекоммуникационная компания и университет в Юго-Восточной Азии. Это демонстрирует широкий географический охват и разнообразие целей злоумышленников.

🗣Наш эксперт Александр Катасонов отмечает, что для эффективной защиты от современных киберугроз важно использовать современные центры мониторинга инцидентов, такие как GSOC:

«Методы, использованные хакерами в данном случае, демонстрируют высокий уровень подготовки и глубокую осведомлённость. Подобные атаки напоминают, насколько неожиданными могут быть сценарии взлома и как быстро злоумышленники способны реализовать свои планы для достижения целей. В вопросах кибербезопасности нельзя расслабляться — необходимо всегда быть начеку и готовым к атакам в любое время, 24/7», — говорит эксперт, — «Именно поэтому наиболее эффективной стратегией защиты является использование SOC, например GSOC. Это современный центр мониторинга и реагирования на инциденты, который обеспечивает проактивное выявление угроз, анализ аномалий и оперативное противодействие атакам. Применение передовых технологий анализа трафика и поведенческой аналитики позволяет обнаруживать даже самые сложные скрытые атаки на ранних стадиях и предотвращать их развитие».

#gis_новости #gsoc

⏺Критическая уязвимость, затрагивающая ряд версий PHP 8, угрожает веб-приложениям и сайтам, позволяя провести SQL-инъекцию и завладеть базой данных. Наш киберэксперт Михаил Спицын рассказал, как защититься от подозрительных SQL-запросов👇🏻

Брешь актуальна для PHP 8.0.x до версии 8.0.27, 8.1.x до версии 8.1.15 и 8.2.x до версии 8.2.2. Баг кроется в функции PDO::quote() при использовании баз данных SQLite.

Эта функция часто применяется для очистки вводимых пользователем данных перед их использованием в запросах к БД. По типу CVE-2022-31631 представляет собой классическую проблему целочисленного переполнения буфера. Если PDO::quote() обрабатывает слишком длинную строку, функция не может корректно экранировать входные данные. Этот изъян может привести к созданию опасных SQL-запросов, которые могут позволить киберпреступникам внедрить вредоносный код и получить контроль над базой данных.

«Уязвимость CVE-2022-31631 в конечном счете позволяет злоумышленникам создать опасные SQL-запросы, вставить вредоносный код и захватить управление над базой данных. Рекомендуется использовать WAF (Web Application Firewall), чтобы блокировать попытки эксплуатации этой уязвимости, однако такое ПО зависит от регулярных обновлений, поэтому для создания безопасного контура необходимо использовать несколько систем защиты на разных уровнях инфраструктуры», – говорит киберэксперт «Газинформсервиса» Спицын Михаил.

#gis_новости

Розыгрыш 🎉

Весна – время обновления! Кто-то меняет гардероб, кто-то – баги на новые, а мы разыгрываем стильные футболки. Ведь что может быть лучше в тёплые весенние дни, чем комфортный мерч?

Условия участия:

⏺Подпишитесь на нашу группу https://t.me/gis_cybersec
⏺Поставьте лайк на этот пост
⏺Поделитесь с чем у вас ассоциируется начало весны в мире кибербезопасности ⌨️

Победителей объявим уже 27 февраля с помощью рандомайзера. Желаем удачи! #gis_развлечения

⏺Исследователи обнаружили в многофункциональных принтерах Xerox VersaLink C7025 сразу 2 уязвимости, позволяющие злоумышленникам перехватывать учётные данные с помощью Pass-back-атак.

Первая уязвимость позволяет злоумышленнику изменить конфигурацию принтера, перенаправляя учётные данные пользователей на подконтрольный сервер через LDAP. Вторая связана с адресной книгой пользователя, позволяя изменять IP-адрес сервера SMB или FTP и перехватывать учётные данные при сканировании файлов. Обнаруженные уязвимости подчёркивают важность своевременного обновления программного обеспечения и усиления мер безопасности для защиты конфиденциальных данных.

Уязвимости затрагивают устройства с прошивкой версии 57.69.91 и ранее.

«Обновление прошивок на периферийных устройствах имеет низкий приоритет и затягивается на длительный срок. В то время как интеграция периферийного оборудования без контроля конфигураций к корпоративной сети открывает широкую поверхность для атаки, позволяя злоумышленникам проникать в критически значимые информационные системы. Эксплуатация уязвимостей в принтерах Xerox Versalink C7025 может привести к перехвату учётных данных Windows Active Directory, что недопустимо. Управление сетевыми конфигурациями, контроль и мониторинг нелегитимных подключений, а также оперативная актуализация списка уязвимостей в установленных версиях прошивок минимизирует риски злонамеренных подключений к интерфейсам управления сетевыми устройствами», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

#gis_новости

⏺Исследователи кибербезопасности из компании SlashNext обнаружили новый сложный фишинговый набор Astaroth. Он способен обходить двухфакторную аутентификацию (2FA) и нацелен на широкий спектр онлайн-аккаунтов, включая Gmail, Yahoo, AOL, Microsoft 365 и др.

«Фишинг — одна из самых распространённых атак, поскольку она проста в исполнении и имеет высокую вероятность успеха. Такие атаки охватывают большое количество пользователей одновременно, что значительно повышает шансы злоумышленников на компрометацию корпоративных данных. Они нацелены на неопытных и невнимательных сотрудников, создавая точку входа для последующего проникновения в инфраструктуру компании. Фишинговые атаки часто становятся первым этапом более сложных атак, таких как заражение вредоносным ПО или кража учетных данных», — поясняет инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» Александр Катасонов.

Для защиты от подобных угроз рекомендуем использовать комплексные решения класса SOC. Центр мониторинга и реагирования на инциденты осуществляет круглосуточный контроль состояния инфраструктуры, выявляет подозрительные активности и предотвращает атаки на ранних этапах. Интеллектуальные механизмы анализа позволяют обнаруживать даже скрытые угрозы, минимизируя риски утечек данных и взломов.
#gis_новости #gsoc

⏺Хакеры с помощью программы-вымогателя Ghost взломали системы тысяч компаний и государственных учреждений в более чем 70 странах. Под удар попали критическая инфраструктура, здравоохранение, образовательные учреждения, технологические компании, производственные предприятия и малый бизнес, сообщают CISA, ФБР и MS-ISAC в совместном предупреждении.

Хакеры эксплуатируют устаревшие версии программного обеспечения и прошивок, получая доступ к корпоративным сетям.
Преступники часто меняют код вредоносных программ, расширения зашифрованных файлов и тексты вымогательских записок, что усложняет их отслеживание.

«Количество атак вирусами-шифровальщиками стремительно растёт по всему миру и наносит значительный ущерб компаниям. Первоначальным вектором для атаки становятся уязвимые и слабо контролируемые активы компании. Это задача, решаемая современными средствами защиты (IDM, SIEM, NGFW), патчингом и харденингом. Результативным подспорьем в защите от таких угроз станет внедрение передового центра мониторинга киберугроз. Эксперты центра обладают необходимыми компетенциями в области кибербеза и передовыми инструментами Ankey SIEM и Ankey IDM в составе GSOC», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

#gis_новости #gsoc