Вы вряд ли думаете о принтере как об инструменте хакеров. А зря.
Исследователи Rapid7 обнаружили, что уязвимости в Xerox VersaLink C7025 позволяют злоумышленникам перехватывать пароли сотрудников.
Как это работает?
Все, что нужно атакующему — доступ к веб-интерфейсу принтера или физический контакт с устройством.
Что делать?
Мы привыкли защищать компьютеры и серверы, но забываем, что даже принтер может иметь уязвимости. Пока вы читаете этот пост, офисная техника может уже работать на злоумышленников.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4🔥4✍2
[АРХИВНАЯ ЗАПИСЬ: ДЕЛО YAHOO]
КЛАССИФИКАЦИЯ: крупнейшая утечка в истории
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 2017
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: 2012-2014
ЧИСЛО ПОСТРАДАВШИХ: 3 000 000 000
🗂 ВЫПИСКА ИЗ ОТЧЕТА
Первая аномальная активность была зафиксирована в сети Yahoo в 2013 году, но сама компания не предпринимала никаких мер. Взлом начался с обычного фишингового письма. Один сотрудник кликнул по ссылке — и этого оказалось достаточно, чтобы злоумышленники получили доступ к сети корпорации.
Латвийско-российский хакер Алексей Белан проник в базы данных Yahoo и обнаружил инструмент управления учетными записями. Он не торопился и методично изучал систему, скрывая следы и подготавливая почву для будущего вторжения.
Вскоре Белан нашел резервную копию базы пользователей Yahoo. Он скопировал ее, сохранив на локальном диске.
Эта база содержала:
⏺ Имена пользователей
⏺ Email-адреса
⏺ Даты рождения
⏺ Контрольные вопросы и ответы
⏺ Номера телефонов
⏺ Уникальные криптографические ключи
Криптографические ключи стали главным оружием хакеров. Они позволили им генерировать cookie-файлы, с помощью которых можно было войти в любой аккаунт Yahoo без ввода пароля. Доступ к учетным записям сохранялся годами. Первый взлом произошел в 2015 году, но его масштаб оставался неизвестен.
ЦЕЛИ АТАКИ
Из 500 миллионов потенциально уязвимых аккаунтов активно использовались около 6,5 тысячи. Среди жертв были:
⏺ Госслужащие разных стран
⏺ Российские журналисты
⏺ Финансовые организации
⏺ Криптовалютные сервисы
⏺ Сотрудники американской авиакомпании
ХРОНОЛОГИЯ АТАКИ
⏺ 2014 — Yahoo замечает подозрительную активность, но считает, что целью были всего 26 учетных записей.
⏺ 2016 — В августе масштабы утечки становятся очевидными, Yahoo передает данные в ФБР.
⏺ Декабрь 2016 — Первые официальные заявления о взломе (500 млн аккаунтов).
⏺ Октябрь 2017 — Раскрыто реальное число пострадавших: 3 миллиарда пользователей.
РЕКОМЕНДАЦИИ
⏺ Старайтесь блокировать и (или) удалять учетные записи на ресурсах, которыми давно не пользуетесь.
⏺ Регулярно меняйте пароли, не забывая про их сложность.
⏺ Старайтесь использовать двухфакторную аутентификацию: она может спасти при компрометации пароля.
Документ закрыт. Доступ ограничен.
КЛАССИФИКАЦИЯ: крупнейшая утечка в истории
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 2017
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: 2012-2014
ЧИСЛО ПОСТРАДАВШИХ: 3 000 000 000
Первая аномальная активность была зафиксирована в сети Yahoo в 2013 году, но сама компания не предпринимала никаких мер. Взлом начался с обычного фишингового письма. Один сотрудник кликнул по ссылке — и этого оказалось достаточно, чтобы злоумышленники получили доступ к сети корпорации.
Латвийско-российский хакер Алексей Белан проник в базы данных Yahoo и обнаружил инструмент управления учетными записями. Он не торопился и методично изучал систему, скрывая следы и подготавливая почву для будущего вторжения.
Вскоре Белан нашел резервную копию базы пользователей Yahoo. Он скопировал ее, сохранив на локальном диске.
Эта база содержала:
Криптографические ключи стали главным оружием хакеров. Они позволили им генерировать cookie-файлы, с помощью которых можно было войти в любой аккаунт Yahoo без ввода пароля. Доступ к учетным записям сохранялся годами. Первый взлом произошел в 2015 году, но его масштаб оставался неизвестен.
ЦЕЛИ АТАКИ
Из 500 миллионов потенциально уязвимых аккаунтов активно использовались около 6,5 тысячи. Среди жертв были:
ХРОНОЛОГИЯ АТАКИ
РЕКОМЕНДАЦИИ
Документ закрыт. Доступ ограничен.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4🔥4😱1🤡1
Новый вирус маскируется под письма от МВД
🟡 Январь 2025 года. Российские компании вновь оказались под ударом киберпреступников. Группа ReaverBits, известная атаками на ключевые секторы экономики, активизировалась, используя новую тактику — рассылку поддельных писем от имени Министерства внутренних дел РФ.
Что произошло?
⏺ Сотрудники компаний получили письма с «официальными» документами МВД.
⏺ При переходе по ссылке загружался файл «Повестка» — в реальности заражённый загрузчик.
⏺ Если у пользователя в браузере был установлен русский язык, система перенаправляла его на вредоносный ресурс, иначе — на официальный сайт МВД.
Что скрывалось за атакой?
⏺ Meduza Stealer — вирус для кражи данных.
⏺ ReaverDoor — новый бэкдор для удалённого доступа.
⏺ Шифрование по сложной схеме (AES-256, PBKDF2, XOR, Base64), что делает обнаружение затруднительным.
⏺ Использование легитимных open-source инструментов (например, NBTExplorer), в которые внедрён вредоносный код.
Кто в зоне риска?
ReaverBits нацелена на российские компании в сфере биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финансового сектора.
Как защититься?
⏺ Не открывайте подозрительные письма — МВД не рассылает повестки по электронной почте!
⏺ Проверяйте отправителя и домен письма.
⏺ Используйте антивирус и мониторьте системные процессы.
⏺ Включите двухфакторную аутентификацию для своих аккаунтов.
Атаки становятся всё сложнее, но ваша бдительность — лучшая защита.
#Новости
Что произошло?
Что скрывалось за атакой?
Кто в зоне риска?
ReaverBits нацелена на российские компании в сфере биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финансового сектора.
Как защититься?
Атаки становятся всё сложнее, но ваша бдительность — лучшая защита.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9👨💻8✍5❤2
Ваши файлы в заложниках
Обычный день: вы открываете письмо, скачиваете вложение, запускаете файл. Через несколько минут все документы зашифрованы, доступ заблокирован, а на экране сообщение: «Ваши данные зашифрованы. Переведите выкуп, иначе они будут удалены».
Как работает атака?
⏺ Фишинговое письмо маскируется под официальное уведомление.
⏺ Вложенный файл содержит вредоносный код, который активируется при запуске.
⏺ Вирус быстро распространяется по системе, шифруя файлы.
⏺ Требуется выкуп — без него данные остаются недоступными.
Без защиты остановить процесс практически невозможно.
Как RT Protect Антишифр предотвращает заражение?
⏺ Мгновенное прекращение атаки — вредоносный процесс завершается автоматически, даже если он маскируется под системные программы или работает в связке с другими приложениями.
⏺ Блокировка в реальном времени — подозрительные операции останавливаются сразу в момент их выполнения, а не после шифрования данных.
⏺ Защита файлов — важные данные копируются в безопасное хранилище, а их восстановление происходит мгновенно, без необходимости разбирать алгоритмы шифрования.
Что говорят эксперты?
🗣 Артем Сычев, первый заместитель генерального директора РТ-Информационная безопасность:
Тестируйте RT Protect Антишифр уже сейчас и обеспечьте 100% защиту!
#Антишифр
Обычный день: вы открываете письмо, скачиваете вложение, запускаете файл. Через несколько минут все документы зашифрованы, доступ заблокирован, а на экране сообщение: «Ваши данные зашифрованы. Переведите выкуп, иначе они будут удалены».
Как работает атака?
Без защиты остановить процесс практически невозможно.
Как RT Protect Антишифр предотвращает заражение?
Что говорят эксперты?
«Сегодня программы-вымогатели — это оружие киберпреступников, и без превентивной защиты компании рискуют всем. RT Protect Антишифр — это не просто защита, а гарантия, что атака не случится вовсе».
Тестируйте RT Protect Антишифр уже сейчас и обеспечьте 100% защиту!
#Антишифр
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13✍6👍4❤2
✈️ РТ-Информационная безопасность × Авиацифра’2025
Партнер конференции «Авиацифра’2025», РТ-Информационная безопасность, приглашает вас принять участие в ключевом событии для ИТ-специалистов в авиастроении.
Что вас ждет?
▫️Знания — тренды, технологии и кейсы из первых уст.
▫️Контакты — лидеры отрасли, эксперты, новые партнерства.
▫️Возможности — обмен опытом, профессиональный рост.
Главными вопросами станут:
▫️Разработка инструментов развития кадрового потенциала.
▫️Цифровизация полного цикла производства в авиастроении.
▫️Вопросы производственной кооперации.
Место: Казань, Korston Club Hotel Kazan
Дата: 10-12 марта 2025 года
Присоединяйтесь, чтобы вместе формировать будущее авиационной индустрии.
Регистрация: aviacifra.ru
А вы готовы к взлету?
❤️ — Уже пристегиваю ремни!
💯 — Чемодан собран, вылетаю!
👀 — Узнаю подробнее и приму решение!
Партнер конференции «Авиацифра’2025», РТ-Информационная безопасность, приглашает вас принять участие в ключевом событии для ИТ-специалистов в авиастроении.
Что вас ждет?
▫️Знания — тренды, технологии и кейсы из первых уст.
▫️Контакты — лидеры отрасли, эксперты, новые партнерства.
▫️Возможности — обмен опытом, профессиональный рост.
Главными вопросами станут:
▫️Разработка инструментов развития кадрового потенциала.
▫️Цифровизация полного цикла производства в авиастроении.
▫️Вопросы производственной кооперации.
Место: Казань, Korston Club Hotel Kazan
Дата: 10-12 марта 2025 года
Присоединяйтесь, чтобы вместе формировать будущее авиационной индустрии.
Регистрация: aviacifra.ru
А вы готовы к взлету?
❤️ — Уже пристегиваю ремни!
💯 — Чемодан собран, вылетаю!
👀 — Узнаю подробнее и приму решение!
👍10❤6💯3👀3😱1
Dark Caracal и новый бэкдор Poco RAT: 483 атаки за полгода
Наши коллеги, исследователи Positive Technologies, выявили, что кибергруппировка Dark Caracal, действующая с 2012 года, сменила тактику атак. Если раньше злоумышленники использовали RAT Bandook, то теперь они массово применяют новый бэкдор Poco RAT.
За последние шесть месяцев зафиксировано 483 случая атак с его использованием. Вредоносное ПО распространяется через фишинговые письма, которые содержат файлы-приманки. После их открытия на устройство загружается скрытая программа, обеспечивающая хакерам удалённый доступ.
Как проходит атака?
⏺ Жертве приходит письмо, содержащее якобы важный финансовый документ — например, счёт на оплату.
⏺ Вложение выглядит правдоподобно, что повышает вероятность его открытия.
⏺ После открытия документа автоматически загружается архив в формате .rev с дроппером.
⏺ Дроппер устанавливает Poco RAT, не оставляя следов на жестком диске.
⏺ Хакеры получают полный контроль над устройством, могут похищать данные, устанавливать другие программы и даже управлять компьютером жертвы.
Кто в зоне риска?
Исследователи отмечают, что атаки ориентированы на испаноязычных пользователей. Большинство случаев заражения зафиксировано в Венесуэле, Чили, Доминиканской Республике и Колумбии.
Однако методы атак, используемые Dark Caracal, могут быть легко адаптированы для других регионов и аудиторий, поэтому риск заражения существует и за пределами этих стран.
Почему это опасно?
⏺ Dark Caracal — это не просто хакеры, а группировка, работающая по заказу. Они атакуют правительственные учреждения, журналистов, военные структуры, коммерческие организации и отдельных пользователей.
⏺ Количество атак растёт — если с Bandook зафиксировали 355 атак за полтора года, то Poco RAT был использован 483 раза всего за шесть месяцев. Это говорит о переходе на массовые фишинговые кампании.
Как защититься?
⏺ Не открывайте подозрительные вложения — даже если документ выглядит легитимно, лучше перепроверить его перед скачиванием.
⏺ Используйте двухфакторную аутентификацию — это усложнит злоумышленникам доступ к вашим данным.
⏺ Обновляйте антивирус и операционную систему — новые обновления помогают обнаруживать и блокировать такие угрозы.
Расскажите об этом своим друзьям и коллегам — киберугрозы касаются каждого.
#Новости
Наши коллеги, исследователи Positive Technologies, выявили, что кибергруппировка Dark Caracal, действующая с 2012 года, сменила тактику атак. Если раньше злоумышленники использовали RAT Bandook, то теперь они массово применяют новый бэкдор Poco RAT.
За последние шесть месяцев зафиксировано 483 случая атак с его использованием. Вредоносное ПО распространяется через фишинговые письма, которые содержат файлы-приманки. После их открытия на устройство загружается скрытая программа, обеспечивающая хакерам удалённый доступ.
Как проходит атака?
Кто в зоне риска?
Исследователи отмечают, что атаки ориентированы на испаноязычных пользователей. Большинство случаев заражения зафиксировано в Венесуэле, Чили, Доминиканской Республике и Колумбии.
Однако методы атак, используемые Dark Caracal, могут быть легко адаптированы для других регионов и аудиторий, поэтому риск заражения существует и за пределами этих стран.
Почему это опасно?
Как защититься?
Расскажите об этом своим друзьям и коллегам — киберугрозы касаются каждого.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍7❤5✍1
QR-коды давно стали частью повседневной жизни. Их используют магазины, кафе, транспортные компании и даже госучреждения. Они помогают быстро перейти на нужный сайт или оплатить покупку. Но за этим удобством скрывается серьезная опасность.
Что не так с QR-кодами?
Обычную ссылку можно изучить: посмотреть адрес, проверить, нет ли подозрительных символов или лишних знаков. QR-код же скрывает эту информацию. Вы просто сканируете его и попадаете на сайт, не зная заранее, безопасен ли он. Этим пользуются мошенники.
Реальная история: мошенничество в подъездах
В Рязани мошенники расклеили в подъездах объявления о «замене домофона». Жителям предлагалось отсканировать QR-код, чтобы оставить заявку на новый ключ.
После сканирования человек попадал на сайт, где нужно было ввести данные банковской карты для «подтверждения личности». Жильцы верили, вводили информацию — и лишались денег. Вернуть их не удавалось, потому что перевод совершался добровольно.
Как работают мошенники?
QR-код сам по себе — это просто инструмент. Но в руках преступников он превращается в мощное оружие. Основные схемы мошенничества:
Как защититься?
#ИнсайдДня
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18✍7❤6🔥3
Cybersecurity Meetup #5 – РТ-Информационная безопасность в гостях у BI.ZONE
26 февраля команда РТ-Информационная безопасность отправилась на митап к друзьям из BI.ZONE, чтобы обсудить, как автоматизация и искусственный интеллект меняют работу SOC-аналитиков.
Артём Сычев, первый заместитель генерального директора РТ-Информационная безопасность, и Дмитрий Невструев, руководитель направления развития сервисов SOC, представили доклад:
🗣 «От скриптов к искусственному интеллекту: эволюция автоматизации RT Protect SOC»
Обсудили три главных вопроса:
⏺ Как уйти от рутины и ускорить обработку инцидентов?
⏺ Как обуздать поток алертов и сосредоточиться на главном?
⏺ Как заставить ИИ работать на аналитиков, а не наоборот?
Технологии не стоят на месте – а вы?
Если пропустили митап, самое время разобраться в теме! Будущее SOC уже здесь.
26 февраля команда РТ-Информационная безопасность отправилась на митап к друзьям из BI.ZONE, чтобы обсудить, как автоматизация и искусственный интеллект меняют работу SOC-аналитиков.
Артём Сычев, первый заместитель генерального директора РТ-Информационная безопасность, и Дмитрий Невструев, руководитель направления развития сервисов SOC, представили доклад:
Обсудили три главных вопроса:
Технологии не стоят на месте – а вы?
Если пропустили митап, самое время разобраться в теме! Будущее SOC уже здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥11❤5🏆1
Forwarded from BI.ZONE
На митапе обсудили, как аналитикам SOC быстрее выполнять рутинные задачи, укрощать алерты и использовать ИИ.
Спасибо спикерам за интересные доклады, а зрителям — за то, что пришли!
Презентации можно скачать здесь.
Ищите себя на фотографиях и делитесь ими с друзьями.
До новых встреч ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥10🏆7
Исследователи в области кибербезопасности сообщили о распространении нового ботнета Eleven11bot, который уже заразил более 86 000 устройств по всему миру. В основном это IP-камеры и сетевые видеорегистраторы (NVR), которые после заражения используются для масштабных DDoS-атак.
Как действует Eleven11bot?
Анализ трафика выявил, что атаки ботнета могут достигать сотен миллионов пакетов в секунду и продолжаться в течение нескольких суток.
Эксперты предполагают, что ботнет связан с хакерами из Ирана. Наибольшее число заражённых устройств обнаружено в США, Великобритании, Мексике, Канаде и Австралии.
Всего зафиксировано более 1400 вредоносных IP-адресов, большинство из которых принадлежит реальным устройствам.
Как происходит заражение?
Распространение Eleven11bot происходит через:
Эксперты РТ-Информационная безопасность рекомендуют:
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥5✍2❤2
KillChain: начало
Представьте: в сети компании появился злоумышленник. Он действует скрытно, шаг за шагом приближаясь к своей цели — компрометация контроллера домена. Но есть одно «но» — RT Protect EDR наблюдает за каждым его движением.
🗣 Привет, я Андрей Федоров, аналитик направления мониторинга и реагирования RT Protect SOC. Мы начинаем серию постов с разбором атаки в реальном времени: проследим за действиями хакера и посмотрим, как RT Protect EDR реагирует на угрозу.
Две стороны одной атаки
⏺ Как мыслит злоумышленник? Какие инструменты он использует? Как он обходит защиту?
⏺ Что видит RT Protect EDR? Какие действия хакера фиксирует? В какой момент атака становится очевидной?
Этапы атаки:
Этап 0 — Получение информации и подготовка к атаке
Этап 1 — Получение первоначального доступа
Этап 2 — Закрепление и отключение средств защиты
Этап 3 — Получение учетных данных пользователя
Этап 4 — Получение информации об инфраструктуре
Этап 5 — Повышение привилегий и последующее перемещение
Этап 6 — Нанесение ущерба
Для чистоты эксперимента EDR будет работать в режиме «только детектирование» — система будет фиксировать угрозу, но не блокировать ее.
Сможет ли злоумышленник пройти все этапы атаки и достичь своей цели, оставаясь незамеченным? Или система защиты выявит и остановит его раньше?
Подписывайтесь, чтобы не пропустить разбор каждого этапа!
#KillChain
Представьте: в сети компании появился злоумышленник. Он действует скрытно, шаг за шагом приближаясь к своей цели — компрометация контроллера домена. Но есть одно «но» — RT Protect EDR наблюдает за каждым его движением.
Две стороны одной атаки
Этапы атаки:
Этап 0 — Получение информации и подготовка к атаке
Этап 1 — Получение первоначального доступа
Этап 2 — Закрепление и отключение средств защиты
Этап 3 — Получение учетных данных пользователя
Этап 4 — Получение информации об инфраструктуре
Этап 5 — Повышение привилегий и последующее перемещение
Этап 6 — Нанесение ущерба
Для чистоты эксперимента EDR будет работать в режиме «только детектирование» — система будет фиксировать угрозу, но не блокировать ее.
Сможет ли злоумышленник пройти все этапы атаки и достичь своей цели, оставаясь незамеченным? Или система защиты выявит и остановит его раньше?
Подписывайтесь, чтобы не пропустить разбор каждого этапа!
#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21👍10😎6❤3✍1
Кибератаки не начинаются со взлома — они начинаются с разведки.
Хакеры ищут слабые места в цифровой инфраструктуре компаний: забытые поддомены, открытые порты, устаревшие сервисы. Они анализируют, где проще пробить защиту.
Вопрос в том, кто первым заметит брешь: вы или они?
Что делает RT Protect EASM?
Как это работает?
RT Protect EASM использует:
Теперь не нужно вручную проверять десятки инструментов и мониторить теневые форумы. RT Protect EASM сделает это за вас.
Среднему бизнесу он помогает сократить нагрузку на специалистов ИБ, а крупным компаниям — закрывать уязвимости раньше, чем их найдут злоумышленники.
#Техноразбор #RT_Protect_EASM
Please open Telegram to view this post
VIEW IN TELEGRAM
Милые женщины!
Тепло и искренне поздравляю вас с праздником весны — Международным женским днём 8 марта!
Символично, что этот праздник посвящён вам — нашим любимым, дорогим, неповторимым!
Все самое лучшее, самое светлое на земле мы связываем с весенним пробуждением природы, с зарождением новой жизни. И такие человеческие ценности, как тепло семейного очага, доброта и милосердие — испокон веков хранятся именно вами. Всё, к чему вы прикасаетесь — имеет особый отпечаток добра и безграничной любви.
Спасибо вам за то, что вы всегда рядом, за ваш труд и щедрость сердец, за бесконечное терпение и заботу, поддержку и понимание!
От всей души желаю вам доброго здоровья, вечной молодости и красоты, улыбок, радости, семейного благополучия, счастья и любви!
С. В. Чемезов
Генеральный директор
Государственной корпорации «Ростех»
Тепло и искренне поздравляю вас с праздником весны — Международным женским днём 8 марта!
Символично, что этот праздник посвящён вам — нашим любимым, дорогим, неповторимым!
Все самое лучшее, самое светлое на земле мы связываем с весенним пробуждением природы, с зарождением новой жизни. И такие человеческие ценности, как тепло семейного очага, доброта и милосердие — испокон веков хранятся именно вами. Всё, к чему вы прикасаетесь — имеет особый отпечаток добра и безграничной любви.
Спасибо вам за то, что вы всегда рядом, за ваш труд и щедрость сердец, за бесконечное терпение и заботу, поддержку и понимание!
От всей души желаю вам доброго здоровья, вечной молодости и красоты, улыбок, радости, семейного благополучия, счастья и любви!
С. В. Чемезов
Генеральный директор
Государственной корпорации «Ростех»
Darkside Inc. Преступный бизнес
В августе 2020 года в даркнете появился необычный пресс-релиз. Группа, представившаяся как Darkside Inc., анонсировала запуск своего продукта — Ransomware-as-a-Service (RaaS), платформы для проведения атак с использованием программ-вымогателей.
Уже в октябре они начали предлагать своим «партнерам» воспользоваться их инструментами и получать процент от выкупа. Всё выглядело так, будто речь идет не о киберпреступниках, а о легальном IT-стартапе.
Что делает их опасными?
Darkside работает не хаотично, а продуманно и методично:
📎 Выбирают жертву. Они анализируют финансовые отчёты компаний, оценивают платёжеспособность и атакуют тех, кто может заплатить.
📎 Избегают атак на больницы, школы и некоммерческие организации. Они позиционируют себя как «этичные» преступники, но это не мешает им требовать многомиллионные выкупы.
📎 Предоставляют «службу поддержки» жертвам. Взломанные компании могут обратиться к ним через веб-чат, чтобы «обсудить условия».
📎 Удаляют резервные копии. Если у вас есть бэкапы, но они хранятся в той же сети, их просто стирают перед атакой.
Один из «партнёров» RaaS стал виновником атаки на Colonial Pipeline, крупнейшую трубопроводную систему в США, что привело к приостановке работы нефтепровода и введению режима чрезвычайной ситуации. В результате хакеры получили выкуп в размере 4,4 миллиона долларов в криптовалюте.
Как они действуют?
1️⃣ Внедрение
Они проникают в сеть через фишинговые письма, слабые пароли, украденные учетные данные или уязвимости в системах.
2️⃣ Закрепление
Darkside маскирует свои действия:
— Используют клиент RDP, маршрутизированный над TOR, для управления атаками.
— Избегают обнаружения системами защиты, модифицируя записи реестра, останавливая антивирусное ПО и процессы регистрации событий.
— Медленно разворачивают атаку, чтобы не вызвать подозрений.
3️⃣ Шифрование и вымогательство
— Блокируют доступ к данным.
— Стирают резервные копии.
— Оставляют записку с требованием выкупа и контактами.
Почему они избегают российских компаний?
Перед атакой вредоносное ПО проверяет язык системы. Если он русский или принадлежит странам СНГ, вредоносное ПО не запускается.
Возможные причины:
— Связи с русскоязычными хакерскими группами.
— Желание избежать преследования со стороны правоохранительных органов.
— Поиск русскоязычных партнёров.
#ПрофильПреступника
В августе 2020 года в даркнете появился необычный пресс-релиз. Группа, представившаяся как Darkside Inc., анонсировала запуск своего продукта — Ransomware-as-a-Service (RaaS), платформы для проведения атак с использованием программ-вымогателей.
Уже в октябре они начали предлагать своим «партнерам» воспользоваться их инструментами и получать процент от выкупа. Всё выглядело так, будто речь идет не о киберпреступниках, а о легальном IT-стартапе.
Что делает их опасными?
Darkside работает не хаотично, а продуманно и методично:
Один из «партнёров» RaaS стал виновником атаки на Colonial Pipeline, крупнейшую трубопроводную систему в США, что привело к приостановке работы нефтепровода и введению режима чрезвычайной ситуации. В результате хакеры получили выкуп в размере 4,4 миллиона долларов в криптовалюте.
Как они действуют?
Они проникают в сеть через фишинговые письма, слабые пароли, украденные учетные данные или уязвимости в системах.
Darkside маскирует свои действия:
— Используют клиент RDP, маршрутизированный над TOR, для управления атаками.
— Избегают обнаружения системами защиты, модифицируя записи реестра, останавливая антивирусное ПО и процессы регистрации событий.
— Медленно разворачивают атаку, чтобы не вызвать подозрений.
— Блокируют доступ к данным.
— Стирают резервные копии.
— Оставляют записку с требованием выкупа и контактами.
Почему они избегают российских компаний?
Перед атакой вредоносное ПО проверяет язык системы. Если он русский или принадлежит странам СНГ, вредоносное ПО не запускается.
Возможные причины:
— Связи с русскоязычными хакерскими группами.
— Желание избежать преследования со стороны правоохранительных органов.
— Поиск русскоязычных партнёров.
#ПрофильПреступника
Please open Telegram to view this post
VIEW IN TELEGRAM