Дипфейки: революция или оружие обмана?
Сегодня мы живем в мире, где нельзя верить даже своим глазам. Видео, на котором известный политик делает шокирующее заявление? Голос знаменитости, призывающий к чему-то странному? Звонок от начальника с просьбой срочно перевести деньги? Всё это может быть дипфейком.
⚙️ Как работают дипфейки?
Дипфейки (от deep learning — «глубинное обучение» и fake — «фальшивка») создаются с помощью искусственного интеллекта, который анализирует видео, изображения или аудио и генерирует максимально реалистичную подмену.
Алгоритмы машинного обучения изучают лицо или голос человека, запоминают мельчайшие нюансы — мимику, интонации, повороты головы — и затем переносят их на другое изображение или аудиозапись. В результате можно создать видео, где человек говорит и делает то, чего он никогда не говорил и не делал.
📢 Можно ли распознать дипфейк?
Пока что — да. Хотя технологии становятся всё совершеннее, подделки всё же оставляют следы:
📎 Ненатуральная мимика. Лицо может двигаться рывками или выглядеть «пластиковым».
📎 Странное моргание или его отсутствие. Глаза — сложный элемент для генерации, и иногда алгоритмы допускают ошибки.
📎 Различия в освещении. Тень может падать неестественно, а лицо — выделяться на фоне.
📎 Аудио-несовпадения. Голос звучит реалистично, но губы двигаются не совсем в такт.
Чем это опасно?
Дипфейки — это не просто забавные ролики в TikTok. Они несут реальные угрозы:
🟡 Шантаж. Мошенники могут создать фальшивое видео с вами и требовать деньги.
🟡 Финансовые аферы. Генеральные директора, получающие поддельные голосовые приказы, уже теряют миллионы.
🟡 Манипуляция общественным мнением. Поддельные политические заявления могут повлиять на выборы и массовое сознание.
Дипфейк-приложения
1️⃣ DeepFaceLab
Самый мощный инструмент для создания дипфейков.
📎 Использует нейросети, которые анализируют видео, копируют мимику и заменяют лица.
📎 Именно на DeepFaceLab приходится 95% всех дипфейк-видео в интернете.
📎 Требует мощного ПК (Windows, видеокарта с OpenCL, минимум 2 ГБ ОЗУ).
Опасность: используется как для кино и развлечений, так и для обмана. Видео с поддельными заявлениями политиков или «утечки» скандальных кадров уже появлялись в СМИ.
2️⃣ Reface (бывший Doublicat)
📎 Простое мобильное приложение, заменяющее лица в GIF и видео.
📎 Нужно только загрузить своё фото — остальное сделает нейросеть.
📎 Позволяет стать героем мемов или голливудских сцен.
Опасность: загруженные изображения могут сохраняться на серверах приложения.
3️⃣ Zao
📎 Позволяет вставить своё лицо в знаменитые сцены фильмов.
📎 Работает мгновенно, без долгих вычислений.
📎 Умеет не только менять лица, но и подделывать голоса.
Опасность: в политике конфиденциальности указано, что разработчики могут использовать ваши данные в своих целях. То есть ваши дипфейк-видео могут оказаться где угодно.
Как защититься?
⚫️ Не верьте всему, что видите и слышите. Доверяйте проверенным источникам, перепроверяйте факты.
⚫️ Будьте скептичны к подозрительным видео и аудио. Особенно если человек говорит что-то нехарактерное для него.
⚫️ Используйте технологии распознавания. Компании уже создают инструменты для анализа фальшивых записей.
⚫️ Не делитесь биометрическими данными. Чем больше фото и видео с вами в сети, тем легче создать дипфейк.
#ИнсайдДня
Сегодня мы живем в мире, где нельзя верить даже своим глазам. Видео, на котором известный политик делает шокирующее заявление? Голос знаменитости, призывающий к чему-то странному? Звонок от начальника с просьбой срочно перевести деньги? Всё это может быть дипфейком.
Дипфейки (от deep learning — «глубинное обучение» и fake — «фальшивка») создаются с помощью искусственного интеллекта, который анализирует видео, изображения или аудио и генерирует максимально реалистичную подмену.
Алгоритмы машинного обучения изучают лицо или голос человека, запоминают мельчайшие нюансы — мимику, интонации, повороты головы — и затем переносят их на другое изображение или аудиозапись. В результате можно создать видео, где человек говорит и делает то, чего он никогда не говорил и не делал.
Пока что — да. Хотя технологии становятся всё совершеннее, подделки всё же оставляют следы:
Чем это опасно?
Дипфейки — это не просто забавные ролики в TikTok. Они несут реальные угрозы:
Дипфейк-приложения
Самый мощный инструмент для создания дипфейков.
Опасность: используется как для кино и развлечений, так и для обмана. Видео с поддельными заявлениями политиков или «утечки» скандальных кадров уже появлялись в СМИ.
Опасность: загруженные изображения могут сохраняться на серверах приложения.
Опасность: в политике конфиденциальности указано, что разработчики могут использовать ваши данные в своих целях. То есть ваши дипфейк-видео могут оказаться где угодно.
Как защититься?
#ИнсайдДня
Please open Telegram to view this post
VIEW IN TELEGRAM
В сети появилась аудиозапись с участием вице-президента США Джей Ди Ванса, в которой он якобы критикует Илона Маска. Запись быстро стала вирусной, но вскоре выяснилось, что она была создана с помощью искусственного интеллекта.
Что произошло?
Распространились слухи о том, что Джей Ди Ванс заявил, будто Маск — «человек, играющий роль великого американского лидера». Однако директор по коммуникациям Ванса опроверг эти утверждения, заявив, что аудио является фальшивкой.
Эксперты из Reality Defender, компании, специализирующейся на выявлении дезинформации, провели анализ аудиофайла.
Почему это важно?
Запись, несмотря на опровержение, набрала более 2 миллионов просмотров и 8000 комментариев в TikTok.
Но эта проблема актуальна не только для западного медиапространства. Дипфейки и аудиофейки могут использоваться для дестабилизации общественного мнения и в российском информационном поле. Такие технологии позволяют злоумышленникам организовывать масштабные или локальные кибератаки — от дискредитации публичных личностей до попыток манипуляции в политических и экономических сферах.
Как защититься?
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
Отправитель: Анонимный источник
Получатель: Те, кто хочет защитить свои данные
Статус: Срочная рассылка
Специалисты по информационной безопасности зафиксировали активность новой кибергруппировки Telemancon, ориентированной на промышленный сектор России. Используемые ими методы маскировки и доставки вредоносного ПО указывают на высокий уровень подготовки атакующих и их вероятную связь со спецслужбами.
Механизм атаки
Предположительная причастность Core Werewolf
По данным специалистов, методы атаки Telemancon во многом схожи с тактиками Core Werewolf — группировки, известной своим промышленным кибершпионажем и копированием техник Gamaredon. Хотя однозначная атрибуция пока невозможна, почерк атак указывает на организованную и профессиональную деятельность.
Рекомендации по защите
#КиберХроника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👏5 3✍2
Компания Cloudflare сделала решающий шаг в сторону безопасного интернета, полностью отключив HTTP для доступа к своему API. Теперь все попытки подключиться к «api.cloudflare[.]com» по небезопасному протоколу будут немедленно отклоняться.
Что это значит?
Почему это важно?
Что будет дальше?
Разработчики, использующие API Cloudflare для управления своими сайтами, настройками защиты и аналитикой, теперь обязаны использовать только HTTPS. В случае, если у вас ещё остались старые скрипты или устройства, использующие HTTP, они больше не смогут взаимодействовать с API. Это требует обновления настроек и миграции на более современные протоколы.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
[АРХИВНАЯ ЗАПИСЬ: EQUIFAX]
КЛАССИФИКАЦИЯ: крупнейшая утечка данных финансовых организаций
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: сентябрь 2017
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: май-июль 2017
ЧИСЛО ПОСТРАДАВШИХ: 147 000 000 человек
📢 ВЫПИСКА ИЗ ОТЧЕТА
Equifax — одна из крупнейших кредитных компаний США. Она собирает данные о финансовой активности миллионов людей, включая кредитные истории, номера социального страхования и налоговую информацию.
Весной 2017 года хакеры нашли лазейку в системе компании. Уязвимость CVE-2017-5638 была в популярной веб-платформе Apache Struts, используемой для обработки запросов клиентов. Патч для закрытия этой дыры вышел за два месяца до атаки, но Equifax не обновила систему.
Хакеры без особого труда проникли внутрь. Первым делом они создали несколько удаленных серверов, через которые медленно и осторожно выкачивали данные, чтобы избежать подозрений. Это продолжалось 76 дней.
Какие данные были украдены?
📎 Полные имена
📎 Даты рождения
📎 Номера социального страхования
📎 Адреса и номера телефонов
📎 Кредитные рейтинги
📎 Номера водительских удостоверений
📎 Номера банковских карт (209 000 клиентов)
Злоумышленники получили все необходимое для кражи личности. Это означает, что пострадавшие могли стать жертвами финансового мошенничества, взлома счетов и оформления кредитов на их имя.
ЦЕЛИ АТАКИ
Хакеры не просто украли данные — они оставили следы, указывающие на причастность иностранного государства. В 2020 году Министерство юстиции США обвинило четырех сотрудников китайской военной разведки (НОАК) в организации атаки.
Считается, что:
⚫️ Это была не обычная киберпреступность, а разведывательная операция.
⚫️ Данные могли использоваться для создания фальшивых личностей и шпионажа.
⚫️ Атака могла стать частью более крупной кампании по сбору информации о гражданах США.
ХРОНОЛОГИЯ СОБЫТИЙ
Март 2017 — Обнаружена уязвимость в Apache Struts. Эксперты выпускают обновление.
Май 2017 — Начало кибератаки. Злоумышленники медленно выкачивают данные.
Июль 2017 — Equifax закрывает доступ хакерам, но не сообщает об утечке.
Сентябрь 2017 — Компания официально признает взлом.
2020 — США предъявляют обвинения хакерам из Китая.
РЕКОМЕНДАЦИИ
1️⃣ Используйте заморозку кредитного отчета. Это предотвратит оформление кредитов на ваше имя без вашего разрешения.
2️⃣ Не используйте один и тот же пароль для нескольких аккаунтов. Если один из них скомпрометирован, другие тоже окажутся под угрозой.
3️⃣ Настройте мониторинг кредитной активности. Специальные сервисы предупредят вас о подозрительных операциях.
4️⃣ Будьте осторожны с фишинговыми письмами. После таких утечек часто увеличивается количество мошеннических сообщений, маскирующихся под официальные организации.
Equifax заплатила $700 млн в качестве штрафов и компенсаций пострадавшим. Однако миллионы людей до сих пор не знают, кто использует их личные данные.
Документ закрыт. Доступ ограничен.
#Архив
КЛАССИФИКАЦИЯ: крупнейшая утечка данных финансовых организаций
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: сентябрь 2017
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: май-июль 2017
ЧИСЛО ПОСТРАДАВШИХ: 147 000 000 человек
Equifax — одна из крупнейших кредитных компаний США. Она собирает данные о финансовой активности миллионов людей, включая кредитные истории, номера социального страхования и налоговую информацию.
Весной 2017 года хакеры нашли лазейку в системе компании. Уязвимость CVE-2017-5638 была в популярной веб-платформе Apache Struts, используемой для обработки запросов клиентов. Патч для закрытия этой дыры вышел за два месяца до атаки, но Equifax не обновила систему.
Хакеры без особого труда проникли внутрь. Первым делом они создали несколько удаленных серверов, через которые медленно и осторожно выкачивали данные, чтобы избежать подозрений. Это продолжалось 76 дней.
Какие данные были украдены?
Злоумышленники получили все необходимое для кражи личности. Это означает, что пострадавшие могли стать жертвами финансового мошенничества, взлома счетов и оформления кредитов на их имя.
ЦЕЛИ АТАКИ
Хакеры не просто украли данные — они оставили следы, указывающие на причастность иностранного государства. В 2020 году Министерство юстиции США обвинило четырех сотрудников китайской военной разведки (НОАК) в организации атаки.
Считается, что:
ХРОНОЛОГИЯ СОБЫТИЙ
Март 2017 — Обнаружена уязвимость в Apache Struts. Эксперты выпускают обновление.
Май 2017 — Начало кибератаки. Злоумышленники медленно выкачивают данные.
Июль 2017 — Equifax закрывает доступ хакерам, но не сообщает об утечке.
Сентябрь 2017 — Компания официально признает взлом.
2020 — США предъявляют обвинения хакерам из Китая.
РЕКОМЕНДАЦИИ
Equifax заплатила $700 млн в качестве штрафов и компенсаций пострадавшим. Однако миллионы людей до сих пор не знают, кто использует их личные данные.
Документ закрыт. Доступ ограничен.
#Архив
Please open Telegram to view this post
VIEW IN TELEGRAM
✍11 3 3 2
Хакеры атакуют Windows через Проводник
Наши эксперты выявили первые случаи эксплуатации уязвимости CVE-2025-24071, связанной с Windows 10, 11 и серверными версиями операционной системы.
Механизм атаки
📎 Злоумышленники распространяют вредоносный архив, содержащий PDF-документ и файл с расширением .library-ms.
📎 Этот файл представляет собой XML-документ, который содержит ссылку на удаленный SMB-ресурс, контролируемый атакующими.
📎 Когда пользователь распаковывает архив, Windows Explorer автоматически анализирует содержимое файла .library-ms и пытается подключиться к указанному SMB-ресурсу. В процессе этого соединения система выполняет NTLM-аутентификацию без ведома пользователя.
❗️ Результат: компрометация NTLMv2-хеша учетной записи, что создает возможность для проведения последующих атак.
На данный момент атаки с использованием данной уязвимости уже зарегистрированы в организациях России и Беларуси.
Основной вектор атак — электронная почта. Злоумышленники рассылают архивы, маскируя их под легитимные документы. Вложения включают PDF-файл, чтобы отвлечь внимание пользователя, и файл .library-ms, который инициирует атаку.
Рекомендации по защите
1️⃣ Ограничьте SMB-соединения с внешними IP-адресами.
2️⃣ Установите последние обновления безопасности для Windows.
3️⃣ Отключите автоматическую обработку .library-ms.
4️⃣ Блокируйте получение таких вложений в почтовых сообщениях.
#Новости
Наши эксперты выявили первые случаи эксплуатации уязвимости CVE-2025-24071, связанной с Windows 10, 11 и серверными версиями операционной системы.
Механизм атаки
На данный момент атаки с использованием данной уязвимости уже зарегистрированы в организациях России и Беларуси.
Основной вектор атак — электронная почта. Злоумышленники рассылают архивы, маскируя их под легитимные документы. Вложения включают PDF-файл, чтобы отвлечь внимание пользователя, и файл .library-ms, который инициирует атаку.
Рекомендации по защите
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
✍11 8 3 2🏆1
3 апреля наша команда приняла участие во II Форуме «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ» — масштабной площадке, объединившей ключевых игроков индустрии и передовые решения в сфере информационной безопасности.
Форум стал отличной возможностью поделиться опытом, пообщаться с представителями отрасли и продемонстрировать лидерство экспертизы РТ-ИБ в своей области. Мы благодарим организаторов за насыщенную программу и встречу с профессиональным сообществом!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Швейцарская телекоммуникационная компания Ascom подтвердила, что в марте этого года стала жертвой кибератаки группировки HellCat. Хакеры воспользовались скомпрометированными учётными данными Jira, чтобы похитить важные данные.
Что произошло?
Хакеры получили доступ к тикет-системе Ascom и похитили около 44 ГБ данных, включая:
Как хакеры получают доступ?
Основной способ проникновения, который стал фирменным знаком HellCat — эксплуатация учетных данных Jira, полученных от скомпрометированных сотрудников, зараженных Infostealers (программы для сбора паролей).
Новые жертвы хакеров
Jaguar Land Rover и Affinitiv стали последними мишенями. Что похитили хакеры?
Как защититься?
Чтобы избежать атак, следуйте этим рекомендациям:
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👻5 5 2
Каждый день кто-то теряет деньги из-за киберпреступников. Кто-то ведется на фальшивые звонки «из банка». Кто-то вводит данные на поддельных сайтах. Кто-то верит, что его SIM-карта вот-вот заблокируется, и спешит подтвердить свою личность, передавая мошенникам доступ к аккаунтам.
Цифры, которые нельзя игнорировать
Что делать, если вам звонят с подозрительными просьбами?
Защититься от киберпреступников проще, чем кажется: главное — не принимать решения в спешке и не доверять звонкам и сообщениям, какими бы убедительными они ни казались.
#ИнсайдДня
Please open Telegram to view this post
VIEW IN TELEGRAM
✍6 4🤔1
Как выбрать коммерческий SOC: коротко о главном
📢 Не успели посмотреть эфир? Спокойно! Специалисты AM Live уже всё посмотрели и собрали для вас самое важное.
🎉 Победителем батла стал Алексей Жуков, руководитель департамента сервисов и продуктов «РТ-Информационная безопасность»
Подробнее по ссылке: Anti-Malware.ru
«Мы являемся партнёром для заказчика, всегда готовы подключить любую систему. Помогаем развиваться бизнесу, имеем очень зрелые технологии. Это не один раз доказано на защите инфраструктуры компаний. Проводим пентесты в комфортном режиме для заказчика».
Подробнее по ссылке: Anti-Malware.ru
Please open Telegram to view this post
VIEW IN TELEGRAM
Schtasks.exe — твой новый враг
Недавно исследователи безопасности обнаружили zero-day уязвимость в системной утилите Windows — планировщике задач (schtasks.exe), которая поэтапно позволяет злоумышленникам повысить привилегии до уровня системы, скрывать следы своей активности и запускать вредоносные процессы в рамках выполнения задач.
Как это работает:
1️⃣ Подготовка: для создания задачи, выполнение которой будет происходить с повышенным уровнем доверия, злоумышленник должен получить учетные данные локального администратора, в результате перехвата и последующего перебора пароля NTLMv2-хеша, который можно получить с помощью инициализации SMB-подключения к удаленному ресурсу злоумышленника, либо эксплуатируя уязвимость, например, CVE-2025-24071.
2️⃣ Инициализация вредоносной задачи: уязвимость позволяет злоумышленнику зарегистрировать задачу в системе с помощью системный утилиты schtasks.exe, которая запускается с параметрами
Для этого создается промежуточная задача с помощью того же бинарного файла schtasks.exe с последующей передачей полезной нагрузки в виде подготовленного XML-файла с измененным значением тега
3️⃣ Сокрытие следов: злоумышленники могут скрыть факты вредоносных действий, используя отсутствие механизма проверки размера буфера при обработке метаданных для тега
Что можно сделать:
📎 Отслеживать активность запланированных задач.
📎 Внедрять дополнительные механизмы защиты и контроля доступа, чтобы минимизировать вероятность эксплуатации уязвимостей.
📎 Регулярно проверять логи на наличие исходящих подключений по протоколу SMB (это может быть первым признаком атаки).
📎 Настроить уведомления для EventID 4698 (событие создания задачи), чтобы отслеживать подозрительную активность. Несколько задач, созданных за короткий промежуток времени — тревожный сигнал!
📎 Установить RT Protect EDR, позволяющий своевременно выявлять продвинутые атаки.
#Новости
Недавно исследователи безопасности обнаружили zero-day уязвимость в системной утилите Windows — планировщике задач (schtasks.exe), которая поэтапно позволяет злоумышленникам повысить привилегии до уровня системы, скрывать следы своей активности и запускать вредоносные процессы в рамках выполнения задач.
Как это работает:
/ru (для указания имени пользователя) и /rp (для передачи пароля пользователя), а также принимает значение параметра, указывающего на конфигурационный XML-файл с атрибутами вредоносной задачи. Для этого создается промежуточная задача с помощью того же бинарного файла schtasks.exe с последующей передачей полезной нагрузки в виде подготовленного XML-файла с измененным значением тега
<RunLevel>. В значения параметров /ru и /rp передаются ранее скомпрометированные учетные данные пользователя.Author из XML-файла, дескриптор которого имеет ограничение примерно в 3500 байт. Это означает, что если автором задачи будет строка 'RT Protect', повторяющаяся 320 раз, то эти данные перезапишут остальные данные в событии.Что можно сделать:
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
✍8👍6 4
Невидимые угрозы, которые могут скрываться в вашем компьютере
Руткит — это вредоносная программа, предназначенная для незаметного получения контроля над устройством. В отличие от обычных вирусов, руткиты не просто заражают файлы, а глубоко внедряются в операционную систему, делая себя практически невидимыми.
Главная опасность руткитов — это их способность скрывать присутствие других вредоносных программ. Пока вы работаете за компьютером, руткит может:
📎 передавать злоумышленникам личные данные;
📎 открывать доступ к устройству для хакеров;
📎 превращать компьютер в часть ботнета;
📎 отключать антивирусные программы, усложняя обнаружение угроз.
Как руткиты попадают на устройства?
Существует несколько способов их распространения:
1️⃣ Фишинговые атаки и социальная инженерия
Руткиты могут проникнуть на устройство, если вы откроете вредоносное вложение в письме, скачаете файл с неизвестного источника или установите сомнительный софт. Иногда они маскируются под легитимные программы и работают в фоновом режиме.
2️⃣ Использование уязвимостей в ПО
Если операционная система или программы не обновляются вовремя, злоумышленники могут использовать их слабые места для скрытой установки руткита.
3️⃣ Зараженные файлы
Пиратский софт, нелицензионные игры, модифицированные приложения — всё это потенциальные носители руткитов.
Какие бывают руткиты?
Руткиты бывают разными по механизму действия и уровню опасности:
👾 Аппаратные руткиты — внедряются в прошивку устройств (BIOS, роутеры, жесткие диски), работают на самом глубоком уровне.
👾 Загрузочные руткиты — заменяют загрузчик операционной системы, активируясь до её запуска.
👾 Руткиты в оперативной памяти — находятся в ОЗУ, исчезают при перезагрузке, но могут быть повторно установлены.
👾 Руткиты приложений — заражают программы, такие как браузеры, офисные приложения, блокноты.
👾 Модульные руткиты ядра — воздействуют на ядро системы, меняют работу ОС, делая себя практически неуязвимыми.
👾 Виртуальные руткиты — создают виртуальную среду, перехватывая запросы и маскируясь от антивирусов.
Как понять, что устройство заражено?
Руткиты сложно обнаружить, но есть несколько признаков, которые могут насторожить:
📎 Компьютер часто зависает, работает медленнее обычного.
📎 Появляются неожиданные ошибки и «синий экран смерти».
📎 В браузере открываются странные сайты, изменяются настройки.
📎 Антивирусное ПО отключается без причины.
📎 Настройки системы меняются без вашего участия.
Как защититься?
Полностью исключить риск заражения руткитом сложно, но можно значительно снизить вероятность атаки:
⚫️ Обновляйте операционную систему и программы — это поможет закрывать уязвимости, которые могут использовать хакеры.
⚫️ Используйте антивирусное ПО с функцией обнаружения руткитов.
⚫️ Будьте осторожны при скачивании файлов — проверяйте источники, избегайте пиратских программ и подозрительных вложений.
⚫️ Ограничьте права доступа для программ — не давайте приложениям больше разрешений, чем им необходимо.
⚫️ Следите за поведением системы — если заметили необычную активность, проведите проверку из «чистой» среды, например, загрузившись с безопасного USB-носителя.
#Техноразбор
Руткит — это вредоносная программа, предназначенная для незаметного получения контроля над устройством. В отличие от обычных вирусов, руткиты не просто заражают файлы, а глубоко внедряются в операционную систему, делая себя практически невидимыми.
Главная опасность руткитов — это их способность скрывать присутствие других вредоносных программ. Пока вы работаете за компьютером, руткит может:
Как руткиты попадают на устройства?
Существует несколько способов их распространения:
Руткиты могут проникнуть на устройство, если вы откроете вредоносное вложение в письме, скачаете файл с неизвестного источника или установите сомнительный софт. Иногда они маскируются под легитимные программы и работают в фоновом режиме.
Если операционная система или программы не обновляются вовремя, злоумышленники могут использовать их слабые места для скрытой установки руткита.
Пиратский софт, нелицензионные игры, модифицированные приложения — всё это потенциальные носители руткитов.
Какие бывают руткиты?
Руткиты бывают разными по механизму действия и уровню опасности:
Как понять, что устройство заражено?
Руткиты сложно обнаружить, но есть несколько признаков, которые могут насторожить:
Как защититься?
Полностью исключить риск заражения руткитом сложно, но можно значительно снизить вероятность атаки:
#Техноразбор
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8 8 6✍1
Команда РТ-ИБ немного разгулялась на креативе и представила, как могли бы выглядеть самые опасные киберпреступные группировки, если бы они были… куклами.
Что всё это значит?
Мы привыкли говорить об угрозах языком аналитики, отчётов и CVE. Но за каждым названием вроде "APT28" или "SEA" — люди, характеры, стили.
Хотите продолжения?
А если пойти дальше — представить, как выглядели бы известные компании из мира ИБ? Пишите свои образы. Если идея зайдёт — сделаем вторую часть!
Что всё это значит?
Мы привыкли говорить об угрозах языком аналитики, отчётов и CVE. Но за каждым названием вроде "APT28" или "SEA" — люди, характеры, стили.
Хотите продолжения?
А если пойти дальше — представить, как выглядели бы известные компании из мира ИБ? Пишите свои образы. Если идея зайдёт — сделаем вторую часть!
Старые баги — новые беды
Северокорейская группировка Kimsuky вернулась в заголовки — на этот раз с новой волной атак, в которой задействованы уязвимости, о существовании которых вы могли забыть.
Что уязвимости используют злоумышленники?
📎 CVE-2019-0708 (BlueKeep) — уязвимость в протоколе RDP, в результате эксплуатации которой злоумышленник может удаленно выполнять произвольный код (RCE). Данная уязвимость была обнаружена и устранена ещё в 2019 году.
📎 CVE-2017-11882 — уязвимость в редакторе уравнений из пакета Microsoft Office, связанная с ошибкой обращения с объектами в оперативной памяти. Данная уязвимость также позволяет злоумышленнику удаленно выполнять произвольный код (RCE) и до сих пор актуальна в системах без обновлений.
Как это работает
Атака строится по простой, но эффективной схеме:
🟡 Обнаружение уязвимых систем с открытым RDP.
🟡 Получение первоначального доступа в результате эксплуатации уязвимости CVE-2019-0708. Если уязвимые системы не были обнаружены, злоумышленники устраивают фишинговую кампанию на организацию с целью эксплуатации уязвимости CVE-2017-11882.
🟡 После получения первоначального доступа устанавливаются вредоносное ПО MySpy и утилита RDPWrap, а также модифицируются настройки для последующего доступа по RDP.
🟡 Получив полный контроль над зараженной машиной, злоумышленники устанавливают кейлогерры KimaLogger или RandomQuery для сбора вводимых пользователем данных.
Кто под прицелом?
Южная Корея — в эпицентре. Под ударом компании из сфер энергетики, финансов и IT.
Также зафиксированы атаки в Японии, США, Китае и Германии.
Что можно сделать?
🔐 Закройте доступ в инфраструктуру из внешней сети по протоколу RDP
🔐 Используйте VPN с многофакторной аутентификацией
🔐 Установите обновления безопасности, закрывающие данные уязвимости
🔐 Не открывайте файлы и письма от подозрительных отправителей
🔐 Установите RT Protect EDR, который позволит своевременно обнаружить данную кампанию
#Новости
Северокорейская группировка Kimsuky вернулась в заголовки — на этот раз с новой волной атак, в которой задействованы уязвимости, о существовании которых вы могли забыть.
Что уязвимости используют злоумышленники?
Как это работает
Атака строится по простой, но эффективной схеме:
Кто под прицелом?
Южная Корея — в эпицентре. Под ударом компании из сфер энергетики, финансов и IT.
Также зафиксированы атаки в Японии, США, Китае и Германии.
Что можно сделать?
Известные IOC
md5:
1177fecd07e3ad608c745c81225e4544
14caab369a364f4dd5f58a7bbca34da6
184a4f3f00ca40d10790270a20019bb4
30bcac6815ba2375bef3daf22ff28698
46cd19c3dac997bfa1a90028a28b5045
URL:
http[:]//star7[.]kro[.]kr/login/help/show[.]php?_Dom=991
http[:]//star7[.]kro[.]kr/login/img/show[.]php?uDt=177
http[:]//www[.]sign[.]in[.]mogovernts[.]kro[.]kr/rebin/include[.]php?_sys=7
Domain:
access-apollo-page[.]r-e[.]kr
access-apollo-star7[.]kro[.]kr
access-mogovernts[.]kro[.]kr
apollo-page[.]r-e[.]kr
apollo-star7[.]kro[.]kr
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
[АРХИВНАЯ ЗАПИСЬ: ДЕЛО FACEBOOK]
КЛАССИФИКАЦИЯ: Утечка данных крупнейшей социальной сети
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 3 апреля 2021 года
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: 2019 год
ЧИСЛО ПОСТРАДАВШИХ: 533 млн пользователей из 106 стран
ВЫПИСКА ИЗ ОТЧЕТА
В апреле 2021 года в открытом доступе на хакерском форуме обнаружены личные данные 533 миллионов пользователей Facebook из 106 стран. Среди пострадавших — 32 миллиона пользователей из США, 28 миллионов из Саудовской Аравии и почти 10 миллионов из России.
Утекшие данные включают:
📎 Полные имена пользователей
📎 Номера телефонов
📎 Даты рождения
📎 Адреса электронной почты
📎 Города проживания
📎 Идентификаторы Facebook
📎 Геолокация пользователей (если был включен трекинг)
📎 Данные создания учетной записи
📎 Статус отношений
Facebook заявил, что уязвимость, позволившая собрать эти данные, была устранена в 2019 году, и подчеркнул, что информация была получена путем скрейпинга, а не хакерского взлома систем компании.
📢 Важно: Facebook признал утечки, но не уведомил о них пользователей своей платформы, чтобы предупредить о возможных попытках эксплуатации скомпрометированных данных или для оперативной смены или удаления чувствительной информации.
ЦЕЛИ АТАКИ
Эксперты по кибербезопасности предупреждают, что такие масштабные утечки могут привести к росту случаев мошенничества, атак социальной инженерии и попыток взлома аккаунтов.
РЕКОМЕНДАЦИИ
1️⃣ Проверьте, не попали ли ваши данные в утечку, используя специализированные сервисы
2️⃣ Ограничьте возможность поиска вашего профиля по номеру телефона в настройках конфиденциальности
3️⃣ Используйте сложные пароли и включите двухфакторную аутентификацию для защиты аккаунта
Документ закрыт. Доступ ограничен.
#Архив
КЛАССИФИКАЦИЯ: Утечка данных крупнейшей социальной сети
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 3 апреля 2021 года
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: 2019 год
ЧИСЛО ПОСТРАДАВШИХ: 533 млн пользователей из 106 стран
ВЫПИСКА ИЗ ОТЧЕТА
В апреле 2021 года в открытом доступе на хакерском форуме обнаружены личные данные 533 миллионов пользователей Facebook из 106 стран. Среди пострадавших — 32 миллиона пользователей из США, 28 миллионов из Саудовской Аравии и почти 10 миллионов из России.
Утекшие данные включают:
Facebook заявил, что уязвимость, позволившая собрать эти данные, была устранена в 2019 году, и подчеркнул, что информация была получена путем скрейпинга, а не хакерского взлома систем компании.
ЦЕЛИ АТАКИ
Эксперты по кибербезопасности предупреждают, что такие масштабные утечки могут привести к росту случаев мошенничества, атак социальной инженерии и попыток взлома аккаунтов.
РЕКОМЕНДАЦИИ
Документ закрыт. Доступ ограничен.
#Архив
Please open Telegram to view this post
VIEW IN TELEGRAM
2 10 5✍3👍1
Бессмертный полк онлайн
Наши деды и прадеды 80 лет назад остановили нацизм и подарили нам мир. И в этом году мы снова пройдем вместе с ними — в онлайн-шествии «Бессмертного полка».
С 23 апреля по 6 мая ты можешь загрузить фотографию своего героя, рассказать его историю и даже сделать снимок ярче — реставрация и колоризация доступны бесплатно!
Как участвовать?
Зайди на 2025.polkrf.ru или в мини-приложения:
🟡 ВКонтакте
🟡 Одноклассники
9 мая фото твоего героя пройдет в онлайн-шествии.
Россия помнит. Герои с нами.
Наши деды и прадеды 80 лет назад остановили нацизм и подарили нам мир. И в этом году мы снова пройдем вместе с ними — в онлайн-шествии «Бессмертного полка».
С 23 апреля по 6 мая ты можешь загрузить фотографию своего героя, рассказать его историю и даже сделать снимок ярче — реставрация и колоризация доступны бесплатно!
Как участвовать?
Зайди на 2025.polkrf.ru или в мини-приложения:
9 мая фото твоего героя пройдет в онлайн-шествии.
Россия помнит. Герои с нами.
Please open Telegram to view this post
VIEW IN TELEGRAM
Готовность — ключ к выживанию
Современному бизнесу важно знать, как действовать, если защита дала сбой.
📢 На CISOCLUB вышла полезная статья Константина Васильева для малого и среднего бизнеса — о том, как грамотно реагировать на киберинциденты.
Три ключевых этапа реагирования
Независимо от выбранного фреймворка (NIST, SANS, ФСТЭК) все подходы к реагированию на инциденты строятся вокруг трёх универсальных этапов:
1️⃣ Подготовка
2️⃣ Обнаружение и анализ
3️⃣ Реагирование и восстановление
Пошаговый гайд и полезные материалы — по ссылке:
📎 Читать статью на CISOCLUB
Современному бизнесу важно знать, как действовать, если защита дала сбой.
Три ключевых этапа реагирования
Независимо от выбранного фреймворка (NIST, SANS, ФСТЭК) все подходы к реагированию на инциденты строятся вокруг трёх универсальных этапов:
Пошаговый гайд и полезные материалы — по ссылке:
📎 Читать статью на CISOCLUB
Please open Telegram to view this post
VIEW IN TELEGRAM
CISOCLUB
Готовность — ключ к выживанию: как малому и среднему бизнесу реагировать на киберинциденты
Как малому бизнесу защититься от кибератак? Узнайте о лучших мерах безопасности и реагирования на инциденты!