РТ-ИБ
1.25K subscribers
1.34K photos
50 videos
3 files
140 links
РТ-Информационная безопасность

Актуальные новости, советы и обзоры технологий для защиты данных. Будьте в курсе киберугроз и научитесь эффективно защищать свои цифровые ресурсы с нами!

Наш официальный сайт — https://rt-ib.ru
Download Telegram
Forwarded from BI.ZONE
⭐️ Материалы BI.ZONE Cybersecurity Meetup #5

На митапе обсудили, как аналитикам SOC быстрее выполнять рутинные задачи, укрощать алерты и использовать ИИ.

Спасибо спикерам за интересные доклады, а зрителям — за то, что пришли!

Презентации можно скачать здесь.

Ищите себя на фотографиях и делитесь ими с друзьями. 

До новых встреч ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥10🏆7
🟡Eleven11bot: киберзахватчик IoT-устройств

Исследователи в области кибербезопасности сообщили о распространении нового ботнета Eleven11bot, который уже заразил более 86 000 устройств по всему миру. В основном это IP-камеры и сетевые видеорегистраторы (NVR), которые после заражения используются для масштабных DDoS-атак.

Как действует Eleven11bot?
Анализ трафика выявил, что атаки ботнета могут достигать сотен миллионов пакетов в секунду и продолжаться в течение нескольких суток.
Эксперты предполагают, что ботнет связан с хакерами из Ирана. Наибольшее число заражённых устройств обнаружено в США, Великобритании, Мексике, Канаде и Австралии.
Всего зафиксировано более 1400 вредоносных IP-адресов, большинство из которых принадлежит реальным устройствам.

Как происходит заражение?
Распространение Eleven11bot происходит через:
Подбор слабых паролей.
Использование стандартных учётных данных.
Сканирование сетей на открытые порты Telnet и SSH.

Эксперты РТ-Информационная безопасность рекомендуют:
Использовать сложные пароли: не менее 12-16 символов с применение заглавных и строчных букв, цифр и специальных символов.
Регулярно обновлять прошивки IoT-устройств.
Проверить список заражённых IP-адресов и заблокировать их в настройках сети.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥522
KillChain: начало

Представьте: в сети компании появился злоумышленник. Он действует скрытно, шаг за шагом приближаясь к своей цели — компрометация контроллера домена. Но есть одно «но» — RT Protect EDR наблюдает за каждым его движением.

🗣Привет, я Андрей Федоров, аналитик направления мониторинга и реагирования RT Protect SOC. Мы начинаем серию постов с разбором атаки в реальном времени: проследим за действиями хакера и посмотрим, как RT Protect EDR реагирует на угрозу.

Две стороны одной атаки
Как мыслит злоумышленник? Какие инструменты он использует? Как он обходит защиту?
Что видит RT Protect EDR? Какие действия хакера фиксирует? В какой момент атака становится очевидной?

Этапы атаки:
Этап 0 — Получение информации и подготовка к атаке
Этап 1 — Получение первоначального доступа
Этап 2 — Закрепление и отключение средств защиты
Этап 3 — Получение учетных данных пользователя
Этап 4 — Получение информации об инфраструктуре
Этап 5 — Повышение привилегий и последующее перемещение
Этап 6 — Нанесение ущерба

Для чистоты эксперимента EDR будет работать в режиме «только детектирование» — система будет фиксировать угрозу, но не блокировать ее.

Сможет ли злоумышленник пройти все этапы атаки и достичь своей цели, оставаясь незамеченным? Или система защиты выявит и остановит его раньше?

Подписывайтесь, чтобы не пропустить разбор каждого этапа!

#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21👍10😎631
РТ-ИБ pinned a photo
👾 Мы знаем, где находится ваша уязвимость

Кибератаки не начинаются со взлома — они начинаются с разведки.
Хакеры ищут слабые места в цифровой инфраструктуре компаний: забытые поддомены, открытые порты, устаревшие сервисы. Они анализируют, где проще пробить защиту.
Вопрос в том, кто первым заметит брешь: вы или они?

Что делает RT Protect EASM?
1️⃣ Инвентаризирует и отслеживает внешние активы компании
2️⃣ Анализирует уязвимости и предупреждает о рисках 24/7
3️⃣ Обнаруживает фишинговые домены
4️⃣ Находит утечки и упоминания на хакерских форумах

Как это работает?
RT Protect EASM использует:
📎Пассивное и активное сканирование — находит поддомены, IP-адреса, открытые порты, сервисы
📎Анализ веб-сервисов — выявляет уязвимости и устаревшие компоненты
📎Брутфорс — перебор директорий на сайте и dns имён

Теперь не нужно вручную проверять десятки инструментов и мониторить теневые форумы. RT Protect EASM сделает это за вас.

Среднему бизнесу он помогает сократить нагрузку на специалистов ИБ, а крупным компаниям — закрывать уязвимости раньше, чем их найдут злоумышленники.

#Техноразбор #RT_Protect_EASM
Please open Telegram to view this post
VIEW IN TELEGRAM
146👍431🔥1
Милые женщины!

Тепло и искренне поздравляю вас с праздником весны — Международным женским днём 8 марта!

Символично, что этот праздник посвящён вам — нашим любимым, дорогим, неповторимым!

Все самое лучшее, самое светлое на земле мы связываем с весенним пробуждением природы, с зарождением новой жизни. И такие человеческие ценности, как тепло семейного очага, доброта и милосердие — испокон веков хранятся именно вами. Всё, к чему вы прикасаетесь — имеет особый отпечаток добра и безграничной любви.

Спасибо вам за то, что вы всегда рядом, за ваш труд и щедрость сердец, за бесконечное терпение и заботу, поддержку и понимание!

От всей души желаю вам доброго здоровья, вечной молодости и красоты, улыбок, радости, семейного благополучия, счастья и любви!

С. В. Чемезов
Генеральный директор
Государственной корпорации «Ростех»
111183
Darkside Inc. Преступный бизнес

В августе 2020 года в даркнете появился необычный пресс-релиз. Группа, представившаяся как Darkside Inc., анонсировала запуск своего продукта — Ransomware-as-a-Service (RaaS), платформы для проведения атак с использованием программ-вымогателей.
Уже в октябре они начали предлагать своим «партнерам» воспользоваться их инструментами и получать процент от выкупа. Всё выглядело так, будто речь идет не о киберпреступниках, а о легальном IT-стартапе.

Что делает их опасными?
Darkside работает не хаотично, а продуманно и методично:
📎Выбирают жертву. Они анализируют финансовые отчёты компаний, оценивают платёжеспособность и атакуют тех, кто может заплатить.
📎Избегают атак на больницы, школы и некоммерческие организации. Они позиционируют себя как «этичные» преступники, но это не мешает им требовать многомиллионные выкупы.
📎Предоставляют «службу поддержки» жертвам. Взломанные компании могут обратиться к ним через веб-чат, чтобы «обсудить условия».
📎Удаляют резервные копии. Если у вас есть бэкапы, но они хранятся в той же сети, их просто стирают перед атакой.

Один из «партнёров» RaaS стал виновником атаки на Colonial Pipeline, крупнейшую трубопроводную систему в США, что привело к приостановке работы нефтепровода и введению режима чрезвычайной ситуации. В результате хакеры получили выкуп в размере 4,4 миллиона долларов в криптовалюте.

Как они действуют?
1️⃣ Внедрение
Они проникают в сеть через фишинговые письма, слабые пароли, украденные учетные данные или уязвимости в системах.
2️⃣ Закрепление
Darkside маскирует свои действия:
— Используют клиент RDP, маршрутизированный над TOR, для управления атаками.
— Избегают обнаружения системами защиты, модифицируя записи реестра, останавливая антивирусное ПО и процессы регистрации событий.
— Медленно разворачивают атаку, чтобы не вызвать подозрений.
3️⃣ Шифрование и вымогательство
— Блокируют доступ к данным.
— Стирают резервные копии.
— Оставляют записку с требованием выкупа и контактами.

Почему они избегают российских компаний?
Перед атакой вредоносное ПО проверяет язык системы. Если он русский или принадлежит странам СНГ, вредоносное ПО не запускается.
Возможные причины:
— Связи с русскоязычными хакерскими группами.
— Желание избежать преследования со стороны правоохранительных органов.
— Поиск русскоязычных партнёров.

#ПрофильПреступника
Please open Telegram to view this post
VIEW IN TELEGRAM
8💯653
Forwarded from AM Live
This media is not supported in your browser
VIEW IN TELEGRAM
169👍1
РТ-Информационная безопасность × AM Live

Кибератаки неизбежны. Вопрос в том, как быстро и эффективно вы сможете на них реагировать.

📢 12 марта (среда) в 11:00 (МСК) приглашаем вас на онлайн-конференцию «Реагирование на инциденты в информационной безопасности: процессы и люди».

Вместе с Константином Васильевым, заместителем руководителя RT Protect SOC, разберем, как организовать процесс реагирования и сделать его неотъемлемой частью бизнес-процесса, обсудим формирование, подготовку и обучение команд, а также распределение ответственности и полномочий между департаментами ИТ, ИБ и АСУ ТП.

В программе:
🟡 Как процесс реагирования должен быть формализован в плане?
🟡 Какие типы инцидентов требуют заблаговременного планирования и четкой стратегии реагирования, даже если они пока не произошли?
🟡 Какие ключевые компетенции необходимы членам команды реагирования на инциденты для эффективного выполнения своих обязанностей?
🟡 Как грамотно распределить задачи и полномочия между различными департаментами?
🟡 Какие шаги нужно предпринять, чтобы сотрудники были готовы к быстрому и грамотному реагированию?
🟡 Как повысить точность оценки важности инцидента и определения верного плана реагирования?

📎Присоединяйтесь — регистрация по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍109511
RT Protect EDR: современная защита вашего бизнеса

Кибератаки больше не ограничиваются вирусами и троянами. Это сложные, продуманные угрозы, которые могут оставаться незамеченными долгое время. RT Protect EDR не просто обнаруживает атаки, он анализирует их поведение, блокирует угрозы и помогает разбираться в инцидентах.

Как работает RT Protect EDR?
1️⃣ Отслеживает аномальную активность и фиксирует попытки вторжения.
2️⃣ Автоматически блокирует угрозы на конечных устройствах.
3️⃣ Анализирует инциденты и собирает цифровые улики для расследования.
4️⃣ Выявляет уязвимости и предупреждает о возможных атаках.

Что делает его эффективным?
📎 Встроенный сканер уязвимостей.
📎 Модуль Anti-Ransomware, предотвращающий шифрование данных.
📎 Терминал удаленного доступа к хосту.
📎 Конвертер Sigma-правил в IoA.
📎 Корреляция событий и синхронное блокирование угроз на всех устройствах.

Кому необходим RT Protect EDR?
🟡 Компаниям, которым важна защита конфиденциальных данных.
🟡 ИТ- и ИБ-отделам, которым нужен полный контроль над безопасностью.
🟡 Бизнесу, который не может позволить себе простои и утечки.

Вопрос не в том, атакуют ли вас, а в том, готовы ли вы защититься.

#RT_Protect_EDR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11541
РТ-ИБ pinned a photo
👾 LithiumWare: крошечный вирус, огромный выкуп

Исследователи в области кибербезопасности обнаружили новый вирус-вымогатель — LithiumWare, который распространяется через открытые источники и представляет серьёзную угрозу пользователям и компаниям.
Несмотря на размер всего 103 КБ, вредоносное ПО обладает мощным функционалом и требует за расшифровку данных выкуп до $900 000.

Как действует вирус?
1️⃣ Шифрует файлы с использованием асимметричных алгоритмов шифрования AES и RSA, делая восстановление без ключа злоумышленников практически невозможным.
2️⃣ Постоянно отслеживает буфер обмена, что позволяет перехватывать криптовалютные переводы, подменяя адреса кошельков.
3️⃣ Удаляет теневые копии файлов и отключает механизмы восстановления Windows.
4️⃣ Изменяет ключи реестра и каталоги автозагрузки для автоматического запуска при включении системы.
5️⃣ Мимикрирует под легитимные приложения и сервисы Windows.
6️⃣ Самостоятельно распространяется во все доступные сетевые директории, а также на съёмные носители, что делает его особенно опасным для корпоративных сред.

❗️Важно: LithiumWare — одна из самых опасных киберугроз последних месяцев. Его возможности делают восстановление данных практически невозможным без уплаты выкупа, поэтому критически важно принять меры защиты заранее.

Эксперты РТ-Информационная безопасность рекомендуют:
📎Не открывать и не запускать файлы, полученные из недоверенных источников.
📎Использовать многофакторную аутентификацию и ограничивать доступ к важным данным.
📎Создавать резервные копии и хранить их в изолированной среде.
📎Обновлять операционную систему и антивирусное ПО до актуальных версий.
📎Использовать RT Protect EDR для выявления аномальной активности.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
137👍73😁2
[АРХИВНАЯ ЗАПИСЬ: Эдвард Сноуден]
КЛАССИФИКАЦИЯ: Крупнейшая утечка секретных данных АНБ
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 5 июня 2013
ПЕРИОД СБОРА ДАННЫХ: 2009 – 2013
ЧИСЛО ОБНАРОДОВАННЫХ ДОКУМЕНТОВ: 200 тыс. секретных документов


ВЫПИСКА ИЗ ОТЧЕТА
Эдвард Сноуден — бывший сотрудник ЦРУ и АНБ, передавший в 2013 году СМИ секретные документы, обнародовав доказательства массовой слежки за гражданами США и других стран.
Среди утечек оказались подробности о секретных программах АНБ, направленных на глобальный контроль интернет-коммуникаций и телефонных разговоров. Эти документы показали, что США следили не только за потенциальными террористами, но и за обычными людьми, журналистами, бизнесменами, а также за мировыми лидерами, включая канцлера Германии Ангелу Меркель и президентов стран-союзников.


Ключевые разоблачения Сноудена
📎Программа X-Keyscore, которая позволяла АНБ просматривать содержимое электронной почты, чатов, поисковых запросов и других видов онлайн-активности по всему миру.
📎Программа Tempora, которая позволяла британской разведке GCHQ перехватывать и хранить огромные объемы интернет-трафика, проходящего через оптоволоконные кабели.
📎Программа Boundless Informant, которая показывала, сколько данных собирает АНБ по разным странам и регионам.
📎Программа Bullrun, которая позволяла АНБ взламывать защищенные шифрованием коммуникации.
📎Программа Muscular, которая позволяла АНБ и GCHQ взламывать линии связи, соединяющие центры обработки данных Google и Yahoo и копировать их данные.
📎Программа Quantum, которая позволяла АНБ внедрять программное обеспечение для прослушивания и шпионажа в компьютеры и смартфоны целевых лиц и организаций.
📎Программа Fairview, которая позволяла АНБ сотрудничать с американскими телекоммуникационными компаниями для перехвата данных зарубежных граждан.

ПОСЛЕДСТВИЯ
⚫️ Международный скандал. США были вынуждены оправдываться перед союзниками, а отношения с Германией и Францией резко ухудшились.
⚫️ Общественные протесты против слежки, которые привели к обсуждению реформ национальной безопасности.
⚫️ Крупнейшие IT-компании пересмотрели свои подходы к конфиденциальности и усилили защиту данных пользователей.
⚫️ В 2015 году Конгресс США принял Закон о свободе США (USA Freedom Act), который ограничил полномочия АНБ по массовому сбору данных.
⚫️ Сноуден стал международным символом борьбы за цифровые права и приватность.

ХРОНОЛОГИЯ СОБЫТИЙ
Март 2013 — Сноуден принимает решение разоблачить АНБ.
Май 2013 — Покидает США и отправляется в Гонконг, где связывается с журналистами The Guardian и The Washington Post.
5 июня 2013 — Первые разоблачения о программе PRISM публикуются в The Guardian.
21 июня 2013 — США предъявляют Сноудену обвинения в шпионаже и аннулируют его паспорт.
23 июня 2013 — Сноуден вылетает в Москву, планируя добраться до Латинской Америки, но застревает в транзитной зоне аэропорта Шереметьево из-за аннулированного паспорта.
Август 2013 — Россия предоставляет Сноудену временное убежище.
2017 — Получает право на постоянное проживание в России.
2020 — Эдварду Сноудену предоставляют российское гражданство.

РЕКОМЕНДАЦИИ
1️⃣ Старайтесь использовать только то программное обеспечение, которому вы доверяете.
2️⃣ Следите за разрешениями приложений — многие программы получают доступ к вашим контактам, микрофону и местоположению.
3️⃣ Отключайте GPS и микрофон, если не используете их.

Документ закрыт. Доступ ограничен.

#Архив
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14118
KillChain: закулисье хакерской атаки

📢 Привет! На связи Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC. Сегодня открываем первую главу разбора: как атакующий получает начальный доступ в инфраструктуру. Готовы заглянуть по ту сторону безопасности?

Этап 0 — Получение информации и подготовка к атаке
Прежде чем атакующий начнет активные действия, ему нужно найти уязвимость и спланировать атаку.
⚫️ В нашем случае он обнаружил почтовый сервер Microsoft Exchange Server версии 2016 CU12, который имеет критическую цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
⚫️ Для проверки того, что данный сервер уязвим для ProxyShell, был использован Python-скрипт, который позволил определить точную версию Exchange.
⚫️ ProxyShell позволяет злоумышленнику удаленно выполнить код на сервере без аутентификации. Если сервер Microsoft Exchange 2016 не обновлен до Cumulative Update 21, он остается под угрозой.

Инструменты, которые использует атакующий
📎 Фреймворк Metasploit
📎 BOF MiniDumpWriteDump
📎 Программа pypykatz
📎 Инструмент CrackMapExec
📎 Сетевой сканер Nmap
📎 Программа John The Ripper
📎 Утилита PsExec

Этап 1 — Получение первоначального доступа
В Metasploit атакующий находит подходящий эксплойт, указывает параметры и запускает атаку.
Результат? Он получает удаленный доступ к серверу Microsoft Exchange. Может загружать вредоносные файлы и выполнять команды. Но система защиты тоже не спит.

Как отреагировал RT Protect EDR?
За считанные секунды система зафиксировала три инцидента:
1️⃣ Детектирование веб-шелла
Обнаружена попытка загрузки вредоносного веб-шелла через процесс MSExchangeMailboxReplication.exe.
2️⃣ Блокировка веб-шелла
Второй веб-шелл создается через процесс System.
3️⃣ Обнаружение подозрительного PowerShell-кода
Третий инцидент возник из-за наличия подозрительного параметра powershell в командной строке, в том числе из-за наличия base64 строки.

Итоги первой фазы атаки
⬛️ Что удалось атакующему?
Успешно загрузить веб-шелл и получить первоначальный доступ в инфраструктуру.

⬛️ Что увидел RT Protect EDR?
Данная активность была обнаружена RT Protect EDR и потенциально могла быть заблокирована.

🔥 Подписывайтесь, чтобы не пропустить
Следующая часть разбора выйдет ровно через 7 дней!

#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1388
Опасная уязвимость в WebKit: срочное обновление для пользователей Apple

❗️Apple выпустила экстренное обновление безопасности из-за критической уязвимости в WebKit — движке, на котором работает Safari и другие приложения. Ошибка уже использовалась хакерами для атак.

Что произошло?
В коде WebKit обнаружена уязвимость CVE-2025-24201, которая позволяет злоумышленникам выйти за пределы песочницы и выполнять вредоносные команды. Достаточно открыть специально созданный сайт — и система может быть скомпрометирована.

Кто в зоне риска?
1️⃣ iPhone XS и более поздние модели;
2️⃣ iPad Pro (начиная с 3-го поколения 12,9-дюймовой версии и 1-го поколения 11-дюймовой версии);
3️⃣ iPad Air (с 3-го поколения);
4️⃣ iPad (с 7-го поколения);
5️⃣ iPad mini (с 5-го поколения);
6️⃣ компьютеры Mac под управлением macOS Sequoia;
7️⃣ гарнитура Apple Vision Pro.

Что делать?
Apple уже выпустила патчи:
📎 iOS / iPadOS 18.3.2
📎 macOS 15.3.2
📎 visionOS 2.3.2
📎 Safari 18.3.1

Чтобы защитить устройства, обновитесь прямо сейчас.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
96👍5👎2
📢 Итоги конференции AM Live

12 марта на онлайн-конференции эксперты обсудили, как эффективно организовать процесс реагирования на киберинциденты и сделать его неотъемлемой частью бизнес-процессов, рассмотрели формирование и подготовку команд, а также распределение ответственности между департаментами ИТ, ИБ и АСУ ТП.

Васильев Константин, заместитель руководителя RT Protect SOC, отметил:
«Считаю, что мы провели конструктивный диалог, полный мнениями ведущих экспертов рынка по реагированию на инциденты ИБ. Особо отмечаю, что по результатам обратной связи многие зрители приняли решение по доработке процессов реагирования в своих организациях, что является лучшей оценкой нашего эфира».


Если пропустили эфир, запись уже доступна на:

🟡 VK Видео

🟡 Рутуб

🟡 YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1398
RT Protect NTA: полный контроль над вашим трафиком

Вы уверены, что видите всё, что происходит в вашей сети?

Утечки данных, подозрительные соединения, скрытые угрозы — большинство атак остаются незамеченными, пока не становится слишком поздно. RT Protect NTA — это инструмент, который превращает хаос сетевого трафика в чёткую картину и помогает выявлять угрозы раньше, чем они нанесут ущерб.

Что даёт RT Protect NTA?
🟡 Полный захват сетевого трафика, как локального, так и интернет-взаимодействий.
🟡 Обнаружение атак и несанкционированных подключений в режиме реального времени.
🟡 Контроль действий сотрудников в сети и выявление подозрительной активности.
🟡 Запись и анализ трафика с возможностью ретроспективного расследования.
🟡 Автоматическое выявление утечек данных и нарушений политики безопасности.
🟡 Минимизация финансовых и репутационных рисков за счёт быстрого реагирования.

Как это работает?
RT Protect NTA фиксирует и классифицирует весь сетевой трафик, используя передовые алгоритмы машинного обучения. Система записывает трафик на диск со скоростью до 20 Гбит/с, позволяет анализировать прошлые инциденты и интегрируется с SIEM-решениями для автоматического реагирования.
📎Мониторинг в реальном времени отображает сетевую активность в удобном формате.
📎Ретроспективный анализ помогает разбирать инциденты с учётом всех деталей.
📎Анализаторы трафика выявляют аномалии, отклонения от нормального поведения и потенциальные угрозы.
📎Идентификация протоколов позволяет точно определять более 1000 видов сетевого взаимодействия.

Кому это нужно?
1️⃣ Крупному бизнесу, где критически важна защита от целевых атак и утечек информации.
2️⃣ Средним компаниям, которым нужно автоматизировать процессы информационной безопасности и снизить нагрузку на команду.
3️⃣ Малому бизнесу, чтобы избежать потерь из-за киберинцидентов и защитить конфиденциальную информацию.

Почему RT Protect NTA?
Поток данных в компании огромен, и среди привычных процессов легко спрятаться атаке. RT Protect NTA не просто собирает информацию, а делает её понятной. Полный контроль над сетью — это не опция, а необходимость в современном мире.

#RT_Protect_NTA
Please open Telegram to view this post
VIEW IN TELEGRAM
119👍642
РТ-ИБ pinned a photo