RT Link — корпоративная коммуникация нового поколения
Сколько мессенджеров вы используете для работы?
Чаты в одном, звонки в другом, файлы отправляете через почту… А теперь представьте платформу, где всё это собрано в одном месте — безопасно, удобно и быстро.
Что меняется с RT Link?
Коммуникация становится проще
1️⃣ Один мессенджер вместо множества сервисов
2️⃣ Чаты, видеозвонки, конференции, пересылка файлов – всё на одной платформе
3️⃣ Демонстрация экрана и корпоративные каналы для удобной работы команды
Безопасность выходит на первый план
🟡 Трёхслойное шифрование всех данных
🟡 End-to-End защита звонков и переписок
🟡 Чаты с исчезающими сообщениями
🟡 Запрет на резервное копирование в облако
Рабочие процессы ускоряются
📎 Интеграция с инфраструктурой компании (Active Directory, IP-телефония)
📎 Автоматизация задач с чат-ботами
📎 Управление доступами и правами сотрудников
Вместо хаоса — прозрачность. Вместо риска утечки — контроль. Вместо устаревших инструментов — новая корпоративная реальность.
#RT_Link
Сколько мессенджеров вы используете для работы?
Чаты в одном, звонки в другом, файлы отправляете через почту… А теперь представьте платформу, где всё это собрано в одном месте — безопасно, удобно и быстро.
Что меняется с RT Link?
Коммуникация становится проще
Безопасность выходит на первый план
Рабочие процессы ускоряются
Вместо хаоса — прозрачность. Вместо риска утечки — контроль. Вместо устаревших инструментов — новая корпоративная реальность.
#RT_Link
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11 7 4❤2🔥2
Утечка данных пользователей Keenetic
В сеть попала база данных с конфиденциальной информацией владельцев роутеров Keenetic. Компрометация затронула более миллиона пользователей.
Что произошло?
Исследователи Cybernews подтвердили утечку 1 034 920 записей, содержащих:
📎 Логины и email-адреса владельцев устройств;
📎 SSID и пароли Wi-Fi в открытом виде;
📎 MAC-адреса, IP-адреса, конфигурации роутеров;
📎 Логи активности пользователей, включая посещаемые ресурсы;
📎 Ключи шифрования и данные VPN-подключений.
Почему это опасно?
Эта утечка — не просто список случайных данных. Скомпрометированная информация может использоваться злоумышленниками для:
🟡 Подключения к вашему Wi-Fi без разрешения;
🟡 Перехвата интернет-трафика и слежки за активностью;
🟡 Изменения настроек роутера и создания лазеек для атак;
🟡 Использования вашего IP-адреса в мошеннических схемах.
Реакция Keenetic
Компания заявляет, что проблема была устранена еще в марте 2023 года, и под угрозой оказались только пользователи мобильного приложения, зарегистрированные до 16 марта 2023 года. Тем не менее, утекшие данные уже попали в чужие руки, и их использование остается открытым вопросом.
Эксперты РТ-Информационная безопасность рекомендуют:
1️⃣ Сменить пароли Wi-Fi и администратора роутера;
2️⃣ Отключить удалённое управление, переадресацию портов, UPnP;
3️⃣ Обновить прошивку роутера до последней версии;
4️⃣ Проверить список подключённых устройств — нет ли лишних?
#Новости
В сеть попала база данных с конфиденциальной информацией владельцев роутеров Keenetic. Компрометация затронула более миллиона пользователей.
Что произошло?
Исследователи Cybernews подтвердили утечку 1 034 920 записей, содержащих:
Почему это опасно?
Эта утечка — не просто список случайных данных. Скомпрометированная информация может использоваться злоумышленниками для:
Реакция Keenetic
Компания заявляет, что проблема была устранена еще в марте 2023 года, и под угрозой оказались только пользователи мобильного приложения, зарегистрированные до 16 марта 2023 года. Тем не менее, утекшие данные уже попали в чужие руки, и их использование остается открытым вопросом.
Эксперты РТ-Информационная безопасность рекомендуют:
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
До разбора реального киберинцидента в прямом эфире!
Что происходит, когда у компании нет своей ИБ-команды, а защита ограничивается только антивирусом?
В новом выпуске ток-шоу «Безопасная среда» эксперты крупных компаний разберут реальный кейс из практики «Кибериспытаний».
Как действовал атакующий? Какие уязвимости позволили ему достигнуть цели? Можно ли было предотвратить взлом?
Кейс: реализация НС (полная имитация взлома)
Цель: Остановка производства — ключевой ERP системы.
СЗИ: Исключительно антивирусное ПО.
Вводные:
Наш эксперт:
Он расскажет, как специалисты по мониторингу выявляют атаки, какие сигналы можно было заметить заранее и почему реакция на инциденты – это не менее важно, чем защита.
Кто еще в эфире?
Как присоединиться?
Участие бесплатное — скорее регистрируйтесь!
Подробности по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10 4 3 1
Пароли защищают аккаунты, но насколько хорошо?
Если злоумышленник решит взломать учётную запись, он может воспользоваться методом брутфорса — простым, но эффективным способом подбора паролей.
Однако брутфорс используется не только хакерами. Специалисты по кибербезопасности применяют его для тестирования защиты систем, чтобы выявить слабые места до того, как это сделает злоумышленник. Что делает этот метод таким опасным? Разберёмся.
Основные методы брутфорс-атак
Как защититься?
Как защищают сервисы?
Компании тоже не остаются в стороне. Для защиты от брутфорса они используют:
#Техноразбор
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8 6 5🤝1
KillChain: как атакующий добывает учетные данные и исследует инфраструктуру?
📢 Всем привет! Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC, вернулся, чтобы разобрать следующие этапы уничтожения данных контроллера домена.
В прошлый раз мы узнали, как злоумышленник закрепляется в системе и отключает защиту. Теперь — о том, как он получает учетные данные и информацию об инфраструктуре.
Этап 3 — Получение учетных данных пользователя
После закрепления в системе атакующий использует технику OS Credential Dumping: LSASS Memory, чтобы извлечь учетные данные пользователей.
Что происходит:
Для реализации техники используется Beacon Object File (BOF), который позволяет расширить функционал фреймворка для постэксплуатации путем выполнения нагрузки в памяти процесса.
Для маскировки действий атакующий сохраняет дамп памяти в папке C:\Windows\Temp в файл с расширением .TMP.
⚫️ Что удалось атакующему?
Получить дамп памяти процесса lsass и выгрузить данный файл.
🟡 Как реагирует RT Protect EDR:
Обнаруживает получение доступа к памяти процесса lsass с подозрительными правами (PROCESS_ALL_ACCESS) недоверенным процессом w3wp.exe.
❗️ Важно: немалое количество правил из наборов экспертизы, применяемых на агентах EDR, нацелены на блокировку получения доступа к учетным данным (lsass, SAM, ntds.dit и д.р.), что позволяет минимизировать последующую компрометацию инфраструктуры.
После получения дампа процесса lsass, атакующий при помощи инструмента pypykatz получает хеш пароля доменного пользователя, который является администратором сервера Exchange, что в перспективе дает возможность получить доступ к хостам, на которых работает данный пользователь.
Этап 4 — Получение информации об инфраструктуре
Получив учетные данные, злоумышленник изучает сеть, чтобы определить ключевые узлы для дальнейшего продвижения атаки.
Что делает атакующий:
Проводит сканирование при помощи nmap со следующей командной строкой:
Получает информацию:
Производит разведку на предмет наличия RDP-сессий на 192.168.56.4 и получает информацию о работе Администратора домена на указанном хосте.
Как реагирует RT Protect EDR:
Фиксирует нестандартные команды, направленные на поиск активных RDP-сессий (quser /server:192.168.56.4).
🟡 С точки зрения EDR, активность, связанная со сканированием сети, не детектируется, поскольку это задача SIEM-системы, однако, EDR может помешать сканированию. Это возможно путём активации параметра «Активная защита от сканирования сетевых портов» в профиле безопасности агента.
⚫️ С точки зрения атакующего, при включении данного параметра, после выполнении той же команды nmap, он получит информацию о том, что почти все порты открыты.
Итоги: кто кого?
📎 Атакующий успешно просканировал инфраструктуру и получил о ней информацию.
📎 Смог обнаружить RDP-сессию пользователя домена на новом хосте.
RT Protect EDR зафиксировал подозрительную активность. Защитные механизмы оказали противодействие в сканировании конечных точек.
🔥 Это еще не конец
Ровно через неделю разберем финальные этапы атаки — подписывайтесь!
#KillChain
В прошлый раз мы узнали, как злоумышленник закрепляется в системе и отключает защиту. Теперь — о том, как он получает учетные данные и информацию об инфраструктуре.
Этап 3 — Получение учетных данных пользователя
После закрепления в системе атакующий использует технику OS Credential Dumping: LSASS Memory, чтобы извлечь учетные данные пользователей.
Что происходит:
Для реализации техники используется Beacon Object File (BOF), который позволяет расширить функционал фреймворка для постэксплуатации путем выполнения нагрузки в памяти процесса.
Для маскировки действий атакующий сохраняет дамп памяти в папке C:\Windows\Temp в файл с расширением .TMP.
Получить дамп памяти процесса lsass и выгрузить данный файл.
Обнаруживает получение доступа к памяти процесса lsass с подозрительными правами (PROCESS_ALL_ACCESS) недоверенным процессом w3wp.exe.
После получения дампа процесса lsass, атакующий при помощи инструмента pypykatz получает хеш пароля доменного пользователя, который является администратором сервера Exchange, что в перспективе дает возможность получить доступ к хостам, на которых работает данный пользователь.
Этап 4 — Получение информации об инфраструктуре
Получив учетные данные, злоумышленник изучает сеть, чтобы определить ключевые узлы для дальнейшего продвижения атаки.
Что делает атакующий:
Проводит сканирование при помощи nmap со следующей командной строкой:
nmap- F 192.168.56.0/28Получает информацию:
192.168.56.2 — контроллер домена.
192.168.56.3 — сервер Exchange, к которому уже есть доступ.
192.168.56.4 — рабочая станция под управлением ОС Windows, представляющая интерес.
Производит разведку на предмет наличия RDP-сессий на 192.168.56.4 и получает информацию о работе Администратора домена на указанном хосте.
Как реагирует RT Protect EDR:
Фиксирует нестандартные команды, направленные на поиск активных RDP-сессий (quser /server:192.168.56.4).
Итоги: кто кого?
RT Protect EDR зафиксировал подозрительную активность. Защитные механизмы оказали противодействие в сканировании конечных точек.
Ровно через неделю разберем финальные этапы атаки — подписывайтесь!
#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
IngressNightmare: новая угроза для Kubernetes
Эксперты Wiz обнаружили критические уязвимости в Ingress NGINX Controller, который используется в кластере Kubernetes для управления входящим трафиком, обеспечивая маршрутизацию запросов к различным сервисам на основе заданных правил. Уязвимости позволяют злоумышленникам выполнять произвольный код (RCE) и захватывать контроль над кластерами.
Что случилось?
📎 Обнаружены уязвимости CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974.
📎 Уязвимый компонент — Ingress NGINX Controller.
📎 Эксплуатация уязвимостей получила название IngressNightmare.
Как работает атака?
🟡 Отправка вредоносного объекта на контроллер.
🟡 Внедрение произвольной конфигурации в NGINX.
🟡 Запуск удаленного выполнения кода (RCE).
Возможные последствия
1️⃣ Полный контроль над Kubernetes-кластером.
2️⃣ Доступ к секретам во всех пространствах имен.
3️⃣ Возможность изменения инфраструктуры.
Как защититься?
📎 Обновите Ingress NGINX Controller до версии 1.12.1 или 1.11.5.
📎 Если обновление невозможно, ограничьте доступ или отключите контроллер.
#Новости
Эксперты Wiz обнаружили критические уязвимости в Ingress NGINX Controller, который используется в кластере Kubernetes для управления входящим трафиком, обеспечивая маршрутизацию запросов к различным сервисам на основе заданных правил. Уязвимости позволяют злоумышленникам выполнять произвольный код (RCE) и захватывать контроль над кластерами.
Что случилось?
Как работает атака?
Возможные последствия
Как защититься?
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8✍4 3 1
Недавно наш канал вошёл в топ-108 телеграм-каналов в ИБ по версии Sachok и «Пакет Безопасности», заняв почетное место в категории «Корпоративные».
Это важно для нас, но ещё важнее то, что вы читаете, задаёте вопросы и применяете знания на практике.
Please open Telegram to view this post
VIEW IN TELEGRAM
Информационная безопасность — это не только защита паролей и антивирус. Бизнесу важно видеть полную картину: какие цифровые активы уязвимы, где могут появиться фишинговые копии, утекли ли учетные данные сотрудников.
Что делает RT Protect EASM?
Как это работает?
RT Protect EASM использует:
Кому это нужно?
Компаниям любого масштаба, которым важно управлять своими цифровыми активами, минимизировать риски атак и снижать нагрузку на отдел информационной безопасности.
Обеспечение информационной безопасности — это не вопрос будущего, а необходимость сегодняшнего дня.
#RT_Protect_EASM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11 8 5
Forwarded from AM Live
🙋🏻Спикер - Жуков Алексей, руководитель Департамента сервисов и продуктов, "РТ-Информационная безопасность"
#AMLive_эфир2апреля_ч2 #кибербезопасность #AMLive #SOC #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
AM Live
Сравнение коммерческих SOC - AM Live
👍16 9❤🔥4 3⚡1🔥1🎉1
Хакер Judische: от клавиш клавиатуры — к скамье подсудимых
📢 26-летний канадец Коннор Моука, более известный в киберпреступной среде под псевдонимом Judische, готовится предстать перед судом в США. Он обвиняется в организации ряда масштабных кибератак, которые затронули крупнейшие компании мира.
Как происходили атаки?
📎 Массированные кибератаки: Хакеры, возглавляемые Моукой, взломали систему облачной платформы Snowflake, в результате чего пострадали более 165 компаний, включая AT&T, Ticketmaster, Advance Auto Parts, Santander Bank, PepsiCo, Siemens, Yamaha.
📎 Мотивация преступников: Главной целью было вымогательство. Моука и его сообщники требовали выкуп в размере $2,5 млн за восстановление украденной информации, угрожая раскрытием конфиденциальных данных.
👾 Преступная сеть The Com
Моука действовал в составе международной преступной сети The Com, которая объединяет киберпреступников, участвующих не только в цифровых вымогательствах, но и в более серьезных преступлениях.
Одним из её участников оказался Кэмерон Вагениус, американский солдат, обвиняемый в попытке продать украденные данные иностранной разведке.
Что дальше?
Сейчас Моука ожидает экстрадиция в США, где ему предстоит ответить по более чем 20 статьям обвинения, включая вымогательство, хищение личности и незаконный доступ к защищенным данным. Его дело будет важным примером для борьбы с международной киберпреступностью.
Представители Snowflake в свою очередь приняли соответствующие меры, внедрив многофакторную аутентификацию и ужесточив парольную политику для учетных записей своих клиентов.
#Новости
Как происходили атаки?
Моука действовал в составе международной преступной сети The Com, которая объединяет киберпреступников, участвующих не только в цифровых вымогательствах, но и в более серьезных преступлениях.
Одним из её участников оказался Кэмерон Вагениус, американский солдат, обвиняемый в попытке продать украденные данные иностранной разведке.
Что дальше?
Сейчас Моука ожидает экстрадиция в США, где ему предстоит ответить по более чем 20 статьям обвинения, включая вымогательство, хищение личности и незаконный доступ к защищенным данным. Его дело будет важным примером для борьбы с международной киберпреступностью.
Представители Snowflake в свою очередь приняли соответствующие меры, внедрив многофакторную аутентификацию и ужесточив парольную политику для учетных записей своих клиентов.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
Киберугрозы не дремлют, но и у нас есть чем ответить! Вспомним все о продуктах, стоящих на страже вашей безопасности:
Please open Telegram to view this post
VIEW IN TELEGRAM
3 апреля РТ-Информационная безопасность примет участие во II Форуме «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ» — ежегодном новаторском мероприятии, объединившем четыре конференции и выставки российских технологий информационной безопасности.
Что точно нельзя пропустить?
12:30 — 13:15 | Батл: пентесты vs багбаунти vs кибериспытания
15:15 — 15:30 | Вскрытие экосистем продуктов
Присоединяйтесь к мероприятию и не пропустите доклады наших экспертов!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10 9 6 2💯1
RT Protect Антишифр: защита или слежка?
— именно такое утверждение о RT Protect Антишифр мы нашли на просторах одного небезызвестного сайта. Но давайте разберемся, действительно ли RT Protect Антишифр следит за вами?
Факт: RT Protect Антишифр не следит за вашей активностью. Его задача — защищать данные от шифровальщиков и других угроз.
Как работает защита?
1️⃣ Блокирует вредоносные программы еще до их запуска, сверяя их с базой угроз.
2️⃣ Выявляет подозрительную активность, например, попытки закрепиться в системе.
3️⃣ Предотвращает шифрование файлов в режиме реального времени.
4️⃣ Автоматически завершает вредоносные процессы, чтобы они не навредили системе.
5️⃣ Создает резервные копии важных данных, позволяя восстановить их без ключей расшифровки.
Модуль противодействия программам-шифровальщикам не мешает пользователям запускать файлы, но предотвращает действия вредоносного ПО, если оно угрожает данным.
❗️ А вот скачивание пиратских игр — совсем другая история. Скоро расскажем, чем это может обернуться для вас и ваших данных.
#RT_Protect_Антишифр #ВопросОтвет
«Всё делают для того, чтобы отслеживать, какие файлы хранятся на компе, и блокировать попытки запуска скачанных с торрентов игр»,
— именно такое утверждение о RT Protect Антишифр мы нашли на просторах одного небезызвестного сайта. Но давайте разберемся, действительно ли RT Protect Антишифр следит за вами?
Факт: RT Protect Антишифр не следит за вашей активностью. Его задача — защищать данные от шифровальщиков и других угроз.
Как работает защита?
Модуль противодействия программам-шифровальщикам не мешает пользователям запускать файлы, но предотвращает действия вредоносного ПО, если оно угрожает данным.
#RT_Protect_Антишифр #ВопросОтвет
Please open Telegram to view this post
VIEW IN TELEGRAM
Вчера в прямом эфире эксперты ИБ-рынка сравнивали коммерческие SOC.
Состав услуг: мониторинг, реагирование, расследование инцидентов — у кого больше «мяса»?
Гарантии: SLA, время реакции, покрытие угроз — кто не бросает слова на ветер?
Технологии: AI, автоматизация, интеграция — где меньше ручного труда и больше эффективности?
Цена: за что платим — за имя или за реальную защиту?
По итогам опроса победил всеми любимый Алексей Жуков — руководитель Департамента сервисов и продуктов экосистемы RT Protect
Вывод: крутой SOC — не тот, у которого громкое имя, а тот, кто:
Если вы защищаете важное, доверьтесь команде АО "РТ Информационная безопасность"
А если пропустили прямой эфир — смотрите запись по ссылке
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Video
Правки эфир 02.04.2025 часть2 — Video | VK
Watch Правки эфир 02.04.2025 часть2 2 hr. 26 min 21 s from 3 April 2025 online in HD for free in the VK catalog without signing up! Views: 2.
Финал атаки: повышение привилегий и уничтожение данных
📢 Всем привет! Я Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC, и мы переходим к финальной части разбора атаки.
В прошлый раз мы обсуждали, как атакующий получает учетные данные и исследует инфраструктуру. Теперь рассмотрим его финальные шаги: повышение привилегий, нанесение ущерба и, конечно же, защита от атаки.
Этап 5 — Повышение привилегий и последующее перемещение
Цель атакующего на этом этапе — получение пароля доменного администратора и доступа к контролеру домена.
Как это происходит:
⚫️ Атакующий знает, что администратор работает на рабочей станции, и пытается извлечь хэш его пароля из lsass с помощью CrackMapExec.
⚫️ Полученный хэш подвергается перебору при помощи John The Ripper, после чего атакующий получает пароль в читаемом виде.
⚫️ Используя этот пароль, атакующий перемещается по сети, получая доступ к серверам.
⚫️ Для дальнейшего продвижения используются PsExec и SMB-каналы, предварительно создав pivot pipe в meterpreter и полезную нагрузку, которая будет общаться через созданный pipe.
⚫️ Вредоносный файл загружается и запускается на скомпрометированном сервере, создавая еще одну сессию meterpreter, но уже на другом хосте.
Как реагирует RT Protect EDR:
🟡 Обнаруживает извлечение хеша и попытки его взлома.
🟡 Фиксирует подключения через SMB и PsExec.
Этап 6 — Нанесение ущерба
Завладев контролем над системой, атакующий переходит к своей финальной цели — уничтожению данных.
Как это происходит:
⚫️ Злоумышленником были обнаружены файлы, которые он захотел удалить в директории
⚫️ Для удаления файлов используется WinRAR, который позволяет безвозвратно уничтожать данные с помощью штатного функционала легитимного ПО.
⚫️ Запускается файл Temp.cmd, содержимое которого можно увидеть в карточках к посту.
Как реагирует RT Protect EDR:
🟡 Обнаруживает активность, связанную с удалением файлов в
🟡 Мог бы заблокировать атаку, если бы был отключен режим «Только детектирование».
Можно ли было спасти данные?
Некоторые из вас могут спросить: «А можно ли восстановить файлы?»
В RT Protect EDR есть Anti-Ransomware Module (ARW), который защищает, бэкапирует и блокирует уничтожение чувствительных данных. Как именно это работает — обсудим в следующий раз.
Итоги: кто кого?
⚫️ Атакующий получил права доменного администратора, переместился по сети и удалил критически важные файлы.
🟡 RT Protect EDR выявил все ключевые этапы атаки, но атака могла быть остановлена на любом из шагов, если бы был отключен режим «Только детектирование».
Разбор атаки окончен, но это только начало! До встречи!
#KillChain
В прошлый раз мы обсуждали, как атакующий получает учетные данные и исследует инфраструктуру. Теперь рассмотрим его финальные шаги: повышение привилегий, нанесение ущерба и, конечно же, защита от атаки.
Этап 5 — Повышение привилегий и последующее перемещение
Цель атакующего на этом этапе — получение пароля доменного администратора и доступа к контролеру домена.
Как это происходит:
Как реагирует RT Protect EDR:
Этап 6 — Нанесение ущерба
Завладев контролем над системой, атакующий переходит к своей финальной цели — уничтожению данных.
Как это происходит:
C:\Users\Administrator\Desktop\ImportantData\.Как реагирует RT Protect EDR:
C:\Users\Administrator\Desktop\ImportantData\.Можно ли было спасти данные?
Некоторые из вас могут спросить: «А можно ли восстановить файлы?»
В RT Protect EDR есть Anti-Ransomware Module (ARW), который защищает, бэкапирует и блокирует уничтожение чувствительных данных. Как именно это работает — обсудим в следующий раз.
Итоги: кто кого?
Разбор атаки окончен, но это только начало! До встречи!
#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM