↪️ Новые сценарии целевого фишинга

Российские компании различного размера за последние недели подверглись нескольким волнам фишинговых атак.

Сотрудники крупных компаний получают письмо от внутренней техподдержки, предлагающее якобы проверить доступность рабочих систем на новом сервере, или же проверить работу новых криптоалгоримов для защиты почты. В письме корректно указаны название компании и её рабочих систем.

Для малого бизнеса разработана иная схема — жертва получает запрос от отдела закупок компании из Дубая и может детально изучить заказ на поставку по ссылке, похожей на файлообменную. При переходе по ней нужно ввести свои реквизиты email, которые и получают злоумышленники.

Предупредите коллег!

#новости #фишинг @П2Т

🤕 Масштабные случаи компрометации SaaS-платформ пошли уж слишком густо

Платформа CDK Global, поставляющая комплексные IT-решения для автодилеров и автосервисов, испытала масштабную кибератаку, предположительно связанную с вымогательской группой BlackSuit. Все сервисы компании стали недоступны, и клиенты несколько дней управляли закупками, продажами и прочей деятельностью при помощи карандаша и бумаги. Пока компания устраняла последствия взлома, её атаковали повторно.

Масштабы другой кибератаки, направленной на провайдера услуг медицинского документооборота Change Healthcare, до сих пор не ясны до конца. Компания, отвечающая в том числе за выплаты по медицинским страховкам в США, подверглась атаке вымогателей в феврале, в результате чего деятельность многих аптек и клиник в стране была парализована. Восстановление систем шло поэтапно и заняло два месяца, но некоторые возможности в них не работают до сих пор. При этом вымогатели украли большой объём персональных данных, включая медицинские, и масштаб этой утечки все ещё изучается. Ущерб оценивается в $1,6 млрд.

Иной сценарий развивается вокруг облачной платформы управления данными Snowflake. Многие клиенты Snowflake столкнулись с тем, что хранимые на платформе данные выставлены в даркнете на продажу. Число таки инцидентов перевалило за полторы сотни. Самый крупный из них — кража информации о 560 миллионах клиентов гигантской платформы по продаже билетов на мероприятия, Ticketmaster.
Сама компания и команды incident response утверждают, что в каждом таком инциденте компрометация произошла через украденные у клиента учётные данные для доступа к платформе, а MFA на атакованных аккаунтах не была включена.
Можно было бы повздыхать об инфостилерах и закрыть дело, но масштаб проблемы доказывает, что со стороны Snowflake не было принято мер, упрощающих внедрение безопасных сценариев аутентификации у клиента. Имеющие дело с платформой подтверждают — нельзя включить MFA для всей компании сразу и применять стандартный для организации способ MFA.

У всех инцидентов есть нечто общее — большинство клиентов, включая очень крупные организации, были совершенно не готовы к серьёзному ИБ-инциденту у SaaS-поставщика. Это доказывает, что традиционный фокус усилий ИБ, связанный с защитой периметра и ИТ-устройств внутри собственной инфраструктуры, требует переосмысления. На критичные для бизнеса облачные решения нужно выделять значительные ИБ-усилия. Какие меры можно принять?

🌚 диверсификация поставщиков. Чем больше функций бизнеса завязано на единственного провайдера, тем выше стоимость его отказа;

🌚 подробное ознакомление с мерами безопасности, внедрёнными в компании-поставщике для их инфраструктуры и инструментами ИБ, предлагаемыми для клиентов. Чем важнее SaaS-решение для бизнеса, тем глубже придётся разбираться;

🌚 детальная оценка рисков, связанных с внедрением конкретного решения;

🌚 закреплённые в контракте обязательства поставщика соблюдать требования и стандарты ИБ, регламентировать срок оповещения об инцидентах;

🌚 централизованно установленная и системно воплощаемая политика по применению мер безопасности, предложенных поставщиком SaaS-решения. Простейший пример — обязать всех сотрудников применять MFA для входа на SaaS-платформу;

🌚 применение в администрировании SaaS-решения принципа наименьших привилегий.

#советы @П2Т

🎃 CISA: больше половины open source проектов написаны на «опасных» языках

Американские ИБ-агентства уже некоторое время озабочены общим уровнем уязвимости ПО и регулярно дают рекомендации разработчикам, в том числе буквально умоляют перейти на языки программирования, безопасно управляющие памятью. Этот подход действительно помогает производить приложения, не содержащие целых классов опасных уязвимостей (переполнение буфера, UaF), но переписать весь код на «безопасных» языках очень долго и трудоёмко. В эту сторону идут Microsoft и Google, но постепенно. Среди компаний и групп поменьше о массовом переходе пока говорить рано.

Новое исследование CISA посвящено анализу крупных и важных проектов с открытым исходным кодом, из которого очевидно, что 52% проектов содержит фрагменты на «опасных» языках, а если взять пропорцию по строкам написанного кода, то «опасными» являются 55%. При этом даже проекты, целиком написанные на языках, безопасно управляющих памятью, используют «опасные» библиотеки.

В целом всё это, конечно, констатирует, что вода мокрая, а проекты с двадцатилетней историей, такие как ядро Linux, вряд ли быстро перейдут на безопасные языки. Но для практической оценки потенциальной уязвимости проекта интересно углубиться в приложение к отчёту. Там для каждого из пары сотен крупнейших open source-проектов указаны общий объём его кодовой базы и процент, написанный на «безопасных» языках. Так можно узнать, что в Linux на «опасных» языках написано 95% кода, поэтому всякого рода LPE и RCE будут появляться ещё очень и очень долго, а в Kubernetes содержится всего 9 тысяч строчек на «опасных» языках, это 0% в их кодовой базе. Правда, даже для позитивно выглядящих проектов нужно смотреть глубже, потому что в Wordpress, например, 0 строчек на «опасных» языках, но дьявол кроется в плагинах, а Signal Desktop тоже блистает нулём, но вот фреймворк Electron, нужный ему для работы, «небезопасен» примерно наполовину, как и Chromium.

Подход к анализу, предложенный CISA, не претендует на всеобъемлющий результат, но может быть полезен при первичной оценке безопасности проектов, наряду с изучением истории прыдыдущих уязвимостей и их устранения. Меньше поверхность атаки — меньше придётся бегать с патчингом.

#статистика #уязвимости @П2Т

💎 Блокировка Docker Hub, гибридный SOC и другие интересные материалы июня

Напомним о важных и не сиюминутных материалах за этот месяц:

🔖как подготовиться к следующей блокировке вроде Docker Hub

🔖 почему ChatGPT и прочие LLM принципиально уязвимы

🔖 Microsoft отключит NTLM

🔖 как построить Zero trust и при чём тут XDR

🔖 что такое гибридный SOC и как его правильно готовить

🔖 стойкость реальных паролей: 59% можно подобрать за час

🔖 как оценить киберриски в деньгах: полезно при защите ИБ-бюджета

🔖 демонстрация облачной песочницы и других инструментов Kaspersky Threat Analysis

🔖 самые «популярные» уязвимости в РФ и СНГ

Приятного чтения и просмотра!
#дайджест #ИБ @П2Т

👀 TeamViewer хакнули

Пока идёт расследование и окончательный масштаб инцидента станет ясен позже, но по текущей информации злоумышленники проникли в корпоративную (офисную) сеть TeamViewer Germany GmbH при помощи скомпрометированного аккаунта сотрудника. Что они делали в сети, компания не говорит, но взлом атрибутируют группировке APT29, что означает вероятную нацеленность на компрометацию цепочки поставок в стиле SolarWinds. Конечно, TeamViewer в этом смысле является очень привлекательной целью. Пока TeamViewer настаивает, что офисная сеть строго изолирована от прода, поэтому ни пользовательские данные, ни продукты не пострадали. Будем с интересом наблюдать, компания оперативно разгласила инцидент, пригласила внешний IR и обещает регулярно публиковать новые данные по нему.

#новости @П2Т

Пиотровский: «Задача музея — гуманизировать новейшие технологии»

Директор Государственного Эрмитажа Михаил Пиотровский рассказал, как относится к современным технологиям, которые, в том числе, проникают в искусство. Речь о таких явлениях как NFT и искусственный интеллект.

«NFT — это не источник дополнительного заработка, новейшие технологии не нужны для заработка. Они не нужны музею, они нужны новейшим технологиям. Они с искусственным интеллектом, как мы видим, доводят до полного унижения человека. Вот чтобы они гуманизировались — в этом и есть задача музея»,

— заявил он на петербургском лектории VK Fest от «Знания».

Директор Эрмитажа подчеркнул, что музей распространяет NFT, которые имеют значение.

«Те NFT, которыми мы управляем, — это и есть содержание, произведения искусства, которые в отличной репродукции. То есть, это насыщает NFT содержанием, более-менее понятным для будущего времени»,

— отметил Михаил Пиотровский.

В сентябре 2021 года Эрмитаж продал токенизированные копии пяти произведений из коллекции музей на аукционе на криптобирже Binance. Сделка принесла музею порядка 32 млн рублей.

☂️ Подписаться | Прислать новость

Figma AI будет учиться на контенте пользователей

Figma, популярная платформа для дизайна, недавно объявила о внедрении набора ИИ-функций Figma AI. С 15 августа 2024 года Figma будет использовать контент, созданный пользователями, для обучения своих моделей ИИ.

Какой контент будет использоваться: текст и изображения, созданные в Figma; комментарии; аннотации; названия и свойства слоев; данные об использовании сервиса, такие как частота доступа и технические логи.

Что делать: пользователь может запретить использование его контента для обучения ИИ. Однако при отключении опции ряд ИИ-функций станет недоступен.

☁️ Сайт 📹YouTube 💬VK 💬TG

Оборот российских геймклубов в первом полугодии составил 14 млрд рублей

📝 Объем рынка компьютерных клубов в России за январь – июнь 2024 года вырос год к году примерно на 22% и составил около 14 млрд рублей. Об этом «Ведомостям» рассказал гендиректор российского разработчика решений для киберклубов Langame Дмитрий Лукин. В первом полугодии 2023 года оборот сегмента был равен 11,5 млрд рублей.

Одним из наиболее важных факторов роста рынка эксперты называют стоимость персональных компьютеров, а также рост количества игровых клубов в регионах и столице.

Именно в небольших регионах сейчас активнее всего открываются игровые клубы, подтверждает директор по развитию сети киберклубов True Gamers Эмин Мусеибов. Но количество игровых клубов в Москве за последние 12 месяцев выросло с 390 почти до 500, говорит совладелец сети 1shot Илья Литвиненко, ссылаясь на данные картографических сервисов.

🔜 Также Мусеибов считает основным фактором роста рынка компьютерных клубов интерес к киберспорту в России. «Россия – одна из самых крупных аудиторий киберспорта во всем мире. Им интересуется и молодежь до 35 лет включительно. И со временем популярность киберспорта будет только расти», – отмечает он.

@vedomosti

«СберМаркет» проводит ребрендинг

Сервис изменил название на «Купер» (от слова «купить»), фирменный стиль, приложение и сайт. Новое позиционирование учитывает доступность ассортимента в короткий промежуток времени – от 20 минут. Ребрендинг пройдет в несколько этапов и займет около полугода.

Зачем: по словам CEO «Купера» Анастасии Кудрявцевой, ребрендинг поможет стать ближе к нашим покупателям, ярко отстроиться от конкурентов и расширить аудиторию.

☁️ Сайт 📹YouTube 💬VK 💬TG

Аудитория проводит за просмотром ТВ в среднем 3 часа 35 минут.

🔹При этом 65% населения страны смотрит ТВ ежедневно. Предпочтение аудитория отдает сериальному и развлекательному контенту — 28% и 19% от всего времени просмотра телевидения соответственно.

📍Свежей аналитикой поделилась компания Mediascope.