⚠️⛓️💥Мастера кибертеррора
Сегодня мы приоткрываем завесу над деятельностью Head Mare — группировки, чьи атаки оставляют следы в цифровых системах России и Беларуси.
Head Mare, также известная под псевдонимами PhantomCore, Rainbow Hyena и Hive0117, представляет собой хорошо организованную группу злоумышленников, специализирующихся на кибератаках.
⚙️ Механизм атак
• Фишинговые кампании: группировка использует фишинговые письма с заархивированными файлами, защищёнными паролем, который содержится в теле письма.
• Эксплуатация уязвимости WinRAR: при открытии архива с версией WinRAR ниже 6.23, пользователю предлагается PDF-документ. Одновременно с этим запускается вредоносный исполняемый файл, обеспечивающий злоумышленникам полный доступ к системе.
• Инструменты управления: загрузчики, написанные на .NET (PhantomRAT) и Golang (PhantomDL), опасное ПО DarkWatchman RAT, предназначенное для удалённого контроля и сбора данных, а также шифровальщики LockBit и Babuk, фреймворк пост-эксплуатации Sliver, ngrok, Mimikatz и др.
• Злоумышленниками активно используются доменные имена, мимикрирующие под известные сервисы (например, cabinet-yandex[.]info или api.yandex-disk[.]info) , а также DGA-домены.
🌐 География атак: Россия, Беларусь — государственные структуры, предприятия военно-промышленного комплекса, крупные игроки рынка (ИТ-компании, транспорт, телеком)
Один из последних инцидентов привёл к серьёзным сбоям в работе компании CDEK. Злоумышленники публично взяли на себя ответственность за атаку.
Центр мониторинга RT Protect SOC неоднократно сталкивался с деятельностью данной группировки и успешно противостоял её действиям во всех описанных сценариях.
🛡️ Рекомендации по защите
Деятельность Head Mare демонстрирует высокий уровень подготовки и серьёзные намерения. Обеспечьте надёжную защиту своих систем и данных с помощью RT Protect EDR, чтобы не стать следующей жертвой кибератак.
Сегодня мы приоткрываем завесу над деятельностью Head Mare — группировки, чьи атаки оставляют следы в цифровых системах России и Беларуси.
Head Mare, также известная под псевдонимами PhantomCore, Rainbow Hyena и Hive0117, представляет собой хорошо организованную группу злоумышленников, специализирующихся на кибератаках.
⚙️ Механизм атак
• Фишинговые кампании: группировка использует фишинговые письма с заархивированными файлами, защищёнными паролем, который содержится в теле письма.
• Эксплуатация уязвимости WinRAR: при открытии архива с версией WinRAR ниже 6.23, пользователю предлагается PDF-документ. Одновременно с этим запускается вредоносный исполняемый файл, обеспечивающий злоумышленникам полный доступ к системе.
• Инструменты управления: загрузчики, написанные на .NET (PhantomRAT) и Golang (PhantomDL), опасное ПО DarkWatchman RAT, предназначенное для удалённого контроля и сбора данных, а также шифровальщики LockBit и Babuk, фреймворк пост-эксплуатации Sliver, ngrok, Mimikatz и др.
• Злоумышленниками активно используются доменные имена, мимикрирующие под известные сервисы (например, cabinet-yandex[.]info или api.yandex-disk[.]info) , а также DGA-домены.
🌐 География атак: Россия, Беларусь — государственные структуры, предприятия военно-промышленного комплекса, крупные игроки рынка (ИТ-компании, транспорт, телеком)
Один из последних инцидентов привёл к серьёзным сбоям в работе компании CDEK. Злоумышленники публично взяли на себя ответственность за атаку.
Центр мониторинга RT Protect SOC неоднократно сталкивался с деятельностью данной группировки и успешно противостоял её действиям во всех описанных сценариях.
🛡️ Рекомендации по защите
Деятельность Head Mare демонстрирует высокий уровень подготовки и серьёзные намерения. Обеспечьте надёжную защиту своих систем и данных с помощью RT Protect EDR, чтобы не стать следующей жертвой кибератак.
👍10🔥5❤2
🔥🍹Попробуй кибербезопасность на вкус!
Наш безопасный бар на форуме "ИнфоБЕРЕГ 2024" готов взорвать ваши вкусовые рецепторы!
В этом году мы приготовили для вас не только интересные доклады и обсуждения, но и фирменные коктейли, вдохновленные продуктами экосистемы RT Protect.
Барная карта:
EDR — коктейль для тех, кто всегда на чеку! Этот напиток символизирует систему обнаружения целенаправленных атак на конечных точках. Вкус, который вас не подведет, как и наша EDR-система.
EASM — сервис, который не упустит ни одной уязвимости, а коктейль с этим названием подарит вам истинное наслаждение. Непрерывное исследование и защита всех внешних активов и ресурсов организации в одном бокале!
TI — ваш личный аналитик киберугроз. Коктейль, который помогает вам оставаться на шаг впереди, благодаря платформе, предоставляющей функционал по сбору и анализу данных о киберугрозах. Обеспечьте себе своевременные меры реагирования и актуальную экспертизу!
NTA — проникнитесь вкусом глубокого анализа сетевого трафика! Этот коктейль символизирует систему, которая помогает контролировать внутренний трафик организации и защищать от продвинутых угроз в сети. Идеален для тех, кто ценит передовую защиту и выявление скрытых активов.
Приходите, пробуйте и наслаждайтесь уникальной атмосферой кибер-бара команды РТ-Информационная безопасность!
📅 Дата: 04.09 – 05.09
⏰ Время: 10:00 – 17:00
📍 Место: Сочи, пгт Сириус, ул. 65 лет Победы, д. 50
Наш безопасный бар на форуме "ИнфоБЕРЕГ 2024" готов взорвать ваши вкусовые рецепторы!
В этом году мы приготовили для вас не только интересные доклады и обсуждения, но и фирменные коктейли, вдохновленные продуктами экосистемы RT Protect.
Барная карта:
EDR — коктейль для тех, кто всегда на чеку! Этот напиток символизирует систему обнаружения целенаправленных атак на конечных точках. Вкус, который вас не подведет, как и наша EDR-система.
EASM — сервис, который не упустит ни одной уязвимости, а коктейль с этим названием подарит вам истинное наслаждение. Непрерывное исследование и защита всех внешних активов и ресурсов организации в одном бокале!
TI — ваш личный аналитик киберугроз. Коктейль, который помогает вам оставаться на шаг впереди, благодаря платформе, предоставляющей функционал по сбору и анализу данных о киберугрозах. Обеспечьте себе своевременные меры реагирования и актуальную экспертизу!
NTA — проникнитесь вкусом глубокого анализа сетевого трафика! Этот коктейль символизирует систему, которая помогает контролировать внутренний трафик организации и защищать от продвинутых угроз в сети. Идеален для тех, кто ценит передовую защиту и выявление скрытых активов.
Приходите, пробуйте и наслаждайтесь уникальной атмосферой кибер-бара команды РТ-Информационная безопасность!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9🎉5🍾3🤩2🥰1
🔴 Red Hat Chili Hackers
Когда речь заходит о хакерах, мы привыкли делить их на "белых" рыцарей и "чёрных" злодеев. Но что, если кто-то решил вершить "правосудие" по своим правилам?
Красные шляпы — самопровозглашённые мстители, желающие избавить мир от злодеяний черных шляп.
🖇️ Важно знать:
• Эти хакеры нацелены на то, чтобы искоренить преступников в киберпространстве, но действуют они по своим правилам.
• В арсенале "красных" всё, что обычно используется их врагами: вирусы, трояны, DDoS-атаки.
• Вместо защиты систем они активно атакуют тех, кого считают виновными, игнорируя возможные последствия для невинных пользователей.
• Закон для них — это гибкая материя, которую они подстраивают под себя. Но так ли они отличаются от тех, с кем борются?
"Красные шляпы" позиционируют себя как борцы за справедливость, но их подходы могут быть столь же опасными, как и действия их противников.
❕ Помните: в кибербезопасности соблюдение закона должно быть приоритетом.
Когда речь заходит о хакерах, мы привыкли делить их на "белых" рыцарей и "чёрных" злодеев. Но что, если кто-то решил вершить "правосудие" по своим правилам?
Красные шляпы — самопровозглашённые мстители, желающие избавить мир от злодеяний черных шляп.
🖇️ Важно знать:
• Эти хакеры нацелены на то, чтобы искоренить преступников в киберпространстве, но действуют они по своим правилам.
• В арсенале "красных" всё, что обычно используется их врагами: вирусы, трояны, DDoS-атаки.
• Вместо защиты систем они активно атакуют тех, кого считают виновными, игнорируя возможные последствия для невинных пользователей.
• Закон для них — это гибкая материя, которую они подстраивают под себя. Но так ли они отличаются от тех, с кем борются?
"Красные шляпы" позиционируют себя как борцы за справедливость, но их подходы могут быть столь же опасными, как и действия их противников.
❕ Помните: в кибербезопасности соблюдение закона должно быть приоритетом.
✍7💯4❤2🤡1
Когда вы работаете удаленно, путешествуете или просто общаетесь в сети, важна защита данных. Именно здесь на сцену выходит VPN (Virtual Private Network).
❔Зачем нужен VPN?
• Шифрует соединение — ваши действия в интернете проходят через зашифрованный канал, что защищает вас от вмешательства провайдера или злоумышленников.
• Скрывает ваш IP-адрес — VPN маскирует ваш реальный IP-адрес, подставляя вместо него случайный из своей сети, что делает вас анонимным в интернете.
🖇️ VPN на практике:
• Удалённая работа
С помощью VPN можно безопасно подключаться к корпоративной сети из любой точки мира. Это особенно важно для работы с конфиденциальными данными.
• Скрытие активности в интернете
Не хотите, чтобы сайты и интернет-магазины отслеживали ваши действия и навязывали рекламу? Включайте VPN и наслаждайтесь интернетом без спама.
• Защита в общественных сетях
Wi-Fi в кафе или аэропорту может быть небезопасным. Подключившись через VPN, вы защищаете свои пароли, номера карт и другую важную информацию от кражи.
🔍 Как выбрать VPN-сервис?
• Скорость — важно, чтобы VPN не замедлял интернет. Качественные сервисы позволяют просматривать сайты на обычной скорости провайдера.
• Удобство — чем проще подключение, тем лучше. Выбирайте сервис с удобным интерфейсом.
• Поддержка — проверьте, как работает техподдержка. Она должна быть на связи и оперативно помогать в любых ситуациях.
VPN — это не просто удобный инструмент, а важная часть вашей цифровой безопасности. Установите его на свои устройства и будьте спокойны за свои данные, где бы вы ни находились!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥4👍3🥰2❤🔥1🐳1
🚨🐺 Rare Wolf снова вышли на охоту: проверь свои системы!
В центре внимания экспертов RT Protect SOC — очередная операция группировки Rare Wolf, известной своей бескомпромиссной атакующей тактикой.
Сценарий преступления уже запущен: через фишинговые письма, маскируясь под официальную переписку, злоумышленники отправляют свои ловушки с домена hostingforme[.]nl. Детали атаки зафиксированы — вопрос только в том, готовы ли вы защитить свои системы?
Ключевые улики 🖇️
Фальшивые отправители:
sk.prometey2018@hostingforme[.]nl
Вложения, замаскированные под доверительные документы: Проект ТТТ 03.09.2024-2.rar
Проект ТТТ 16.08.2024-2-2.rar
Исх_03_09_2024_№6_3223_Организациям_по_списку_Визуализация.rar
Исх_20_08_2024_№6_3223_Организациям_по_списку_Визуализация.rar
Исх_28_08_2024_№6_3223_Организациям_по_списку_Визуализация.rar
Охрана труда.pdf.scr
Вебинар целевое обучение (приглашение).pdf.scr
Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА.scr
После открытия этих файлов жертва становится частью тщательно выстроенной схемы: на хост загружаются вредоносные инструменты в директорию C:\Intel, которые тихо отключают защитника Windows, а затем крадут пароли и эксфильтрируют документы. Заключительный шаг — установка ПО для скрытого наблюдения за вашими сотрудниками.
Цена ошибки — потеря конфиденциальных данных, кража паролей и полный контроль над вашими системами. Rare Wolf не оставляет следов: после перезагрузки компьютера единственным напоминанием о взломе будет установленное ПО Mipko Employee Monitor.
🔎 Рекомендации:
1. Проверьте все письма с домена hostingforme[.]nl. Любая невнимательность — это потенциальная катастрофа.
2. Незамедлительно блокируйте индикаторы компрометации на ваших средствах защиты информации.
3. Контролируйте установленное ПО на хостах с помощью RT Protect EDR.
Речь идет о безопасности. Если ваши системы скомпрометированы, то Rare Wolf уже наблюдает за вами. Не дайте им шанса!
#КиберХроника
В центре внимания экспертов RT Protect SOC — очередная операция группировки Rare Wolf, известной своей бескомпромиссной атакующей тактикой.
Сценарий преступления уже запущен: через фишинговые письма, маскируясь под официальную переписку, злоумышленники отправляют свои ловушки с домена hostingforme[.]nl. Детали атаки зафиксированы — вопрос только в том, готовы ли вы защитить свои системы?
Ключевые улики 🖇️
Фальшивые отправители:
sk.prometey2018@hostingforme[.]nl
Вложения, замаскированные под доверительные документы: Проект ТТТ 03.09.2024-2.rar
Проект ТТТ 16.08.2024-2-2.rar
Исх_03_09_2024_№6_3223_Организациям_по_списку_Визуализация.rar
Исх_20_08_2024_№6_3223_Организациям_по_списку_Визуализация.rar
Исх_28_08_2024_№6_3223_Организациям_по_списку_Визуализация.rar
Охрана труда.pdf.scr
Вебинар целевое обучение (приглашение).pdf.scr
Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА.scr
После открытия этих файлов жертва становится частью тщательно выстроенной схемы: на хост загружаются вредоносные инструменты в директорию C:\Intel, которые тихо отключают защитника Windows, а затем крадут пароли и эксфильтрируют документы. Заключительный шаг — установка ПО для скрытого наблюдения за вашими сотрудниками.
Цена ошибки — потеря конфиденциальных данных, кража паролей и полный контроль над вашими системами. Rare Wolf не оставляет следов: после перезагрузки компьютера единственным напоминанием о взломе будет установленное ПО Mipko Employee Monitor.
🔎 Рекомендации:
1. Проверьте все письма с домена hostingforme[.]nl. Любая невнимательность — это потенциальная катастрофа.
2. Незамедлительно блокируйте индикаторы компрометации на ваших средствах защиты информации.
3. Контролируйте установленное ПО на хостах с помощью RT Protect EDR.
Речь идет о безопасности. Если ваши системы скомпрометированы, то Rare Wolf уже наблюдает за вами. Не дайте им шанса!
Индикаторы компрометации:
SHA256: 11dd1cbba8fca35a64715b90f0ac16d7f335281f753f3f7f49c44b03c98937f0SHA256: fd1f832fa0f7824a567e889acc138ac4536de4c30db1f062ccf3f3489c2bcc6fSHA256: c12d78a7f69a72010ccc53843c3e2744bb19c0db539efe245a60583ea551f16a
SHA256: bb243113d236f823abd1839025190e763fe34c40da4949b77558995cc1a07625
SHA256: a4098a8e85e8244aece78b2e4bdc62a06781d57fe540f315e0441ba29060bce1
SHA256: d5a89e26beae0bc03ad18a0b0d1d3d75f87c32047879d25da11970cb5c4662a3
SHA256: 24336b19f6408359aadd955335c6d238060416b80915add63e1cefb47b60d237
Domain: hostingforme[.]nl
IP: 92[.]63[.]173[.]57
#КиберХроника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤🔥4🔥3
💫 ИнфоБЕРЕГ 2024: Новые вызовы ждут!
Вот и подошёл к концу форум «ИнфоБЕРЕГ 2024», и мы хотим сказать СПАСИБО каждому, кто был с нами в эти насыщенные дни.
Это было не просто мероприятие — это было настоящее путешествие в мир цифровой безопасности, где каждый стал частью чего-то большего.
🤍 Что заставило сердце биться чаще:
• Непревзойденный маскот РТ-Информационная безопасность: Тайра — обворожительный хакер в юбке.
• Безопасный бар: уникальные вкусы, вдохновленные экосистемой RT Protect, которые сумели объединить гостей форума.
• Активное участие руководства: генеральный директор компании Прендецкий Дмитрий Петрович и первый заместитель генерального директора Сычев Артем Константинович приняли участие в Кроссотраслевой стратегической сессии Государственной корпорации «Ростех».
• Яркие дискуссии о будущем ИБ: от защиты личных данных до инноваций в корпоративной сфере.
• Круглый стол: Сычев Артем Константинович стал модератором круглого стола по теме «Организация взаимодействия с ГосСОПКА, мониторинг информационной безопасности ОКИИ». Участие в круглом столе также принял руководитель центра аудита информационной безопасности — Кортнев Андрей Александрович.
• Знакомства и обмен опытом: форумы — это не только доклады, но и поиск единомышленников, новые идеи и коллаборации, которые делают нас сильнее.
Именно вы — гости, эксперты, фанаты ИБ — сделали форум незабываемым. Ваша вовлечённость сделала его по-настоящему особенным и запоминающимся.
❔Что дальше?
Мы продолжим путь к безопасному будущему, где каждый может чувствовать себя защищённым в Сети. И это только начало!
До новых встреч на форумах и событиях! 🎊
Вот и подошёл к концу форум «ИнфоБЕРЕГ 2024», и мы хотим сказать СПАСИБО каждому, кто был с нами в эти насыщенные дни.
Это было не просто мероприятие — это было настоящее путешествие в мир цифровой безопасности, где каждый стал частью чего-то большего.
🤍 Что заставило сердце биться чаще:
• Непревзойденный маскот РТ-Информационная безопасность: Тайра — обворожительный хакер в юбке.
• Безопасный бар: уникальные вкусы, вдохновленные экосистемой RT Protect, которые сумели объединить гостей форума.
• Активное участие руководства: генеральный директор компании Прендецкий Дмитрий Петрович и первый заместитель генерального директора Сычев Артем Константинович приняли участие в Кроссотраслевой стратегической сессии Государственной корпорации «Ростех».
• Яркие дискуссии о будущем ИБ: от защиты личных данных до инноваций в корпоративной сфере.
• Круглый стол: Сычев Артем Константинович стал модератором круглого стола по теме «Организация взаимодействия с ГосСОПКА, мониторинг информационной безопасности ОКИИ». Участие в круглом столе также принял руководитель центра аудита информационной безопасности — Кортнев Андрей Александрович.
• Знакомства и обмен опытом: форумы — это не только доклады, но и поиск единомышленников, новые идеи и коллаборации, которые делают нас сильнее.
Именно вы — гости, эксперты, фанаты ИБ — сделали форум незабываемым. Ваша вовлечённость сделала его по-настоящему особенным и запоминающимся.
❔Что дальше?
Мы продолжим путь к безопасному будущему, где каждый может чувствовать себя защищённым в Сети. И это только начало!
До новых встреч на форумах и событиях! 🎊
🔥7❤5👍4❤🔥1
🚨 Ваши данные под угрозой!
Эксперты по кибербезопасности фиксируют рост рассылок с поддельными письмами, замаскированными под официальные запросы от легитимных организаций.
В центре внимания — массовые фишинговые атаки, направленные на сотрудников государственных учреждений.
🖇️ Сценарий атаки
Злоумышленники рассылают письма с темой "Вызов на допрос", которые содержат вредоносный PDF-файл "Повестка о вызове на допрос.pdf". Этот файл перенаправляет жертву на домен adobe[.]updatedownloader[.]com, не имеющий отношения к Adobe.
Сайт является фиктивным, а домен adobe[.]updatedownloader[.]com был зарегистрирован недавно — 17 июля 2024 года, через сервис namecheap, ранее замеченный в поддержке фишинговых операций.
⚙️ Механизм атаки
Страница adobe[.]updatedownloader[.]com работает с динамическими переменными %%ASenderAdr%%, %%FEmail%% и %%CSmtpServer%%, собирая данные об IP-адресе отправителя, его почтовом адресе и SMTP-сервере.
В зависимости от полученных данных жертва перенаправляется либо на безопасную "заглушку", либо на вредоносный сайт злоумышленников для дальнейших действий.
⛓️💥 Индикаторы компрометации:
• SHA256: 7fa0642a96e8e9a796a4dba55877d1c730c64f257956872c3f6d405417e30024
• Имя файла: "Повестка о вызове на допрос.pdf"
• Domain: adobe[.]updatedownloader[.]com
• IP-адрес: 194[.]149[.]64[.]11
⚠️ Важно: проверьте полученные письма на наличие подобных вложений и немедленно блокируйте вредоносные домены и IP-адреса на уровне ваших систем безопасности.
#СледствиеВели
Эксперты по кибербезопасности фиксируют рост рассылок с поддельными письмами, замаскированными под официальные запросы от легитимных организаций.
В центре внимания — массовые фишинговые атаки, направленные на сотрудников государственных учреждений.
🖇️ Сценарий атаки
Злоумышленники рассылают письма с темой "Вызов на допрос", которые содержат вредоносный PDF-файл "Повестка о вызове на допрос.pdf". Этот файл перенаправляет жертву на домен adobe[.]updatedownloader[.]com, не имеющий отношения к Adobe.
Сайт является фиктивным, а домен adobe[.]updatedownloader[.]com был зарегистрирован недавно — 17 июля 2024 года, через сервис namecheap, ранее замеченный в поддержке фишинговых операций.
⚙️ Механизм атаки
Страница adobe[.]updatedownloader[.]com работает с динамическими переменными %%ASenderAdr%%, %%FEmail%% и %%CSmtpServer%%, собирая данные об IP-адресе отправителя, его почтовом адресе и SMTP-сервере.
В зависимости от полученных данных жертва перенаправляется либо на безопасную "заглушку", либо на вредоносный сайт злоумышленников для дальнейших действий.
⛓️💥 Индикаторы компрометации:
• SHA256: 7fa0642a96e8e9a796a4dba55877d1c730c64f257956872c3f6d405417e30024
• Имя файла: "Повестка о вызове на допрос.pdf"
• Domain: adobe[.]updatedownloader[.]com
• IP-адрес: 194[.]149[.]64[.]11
⚠️ Важно: проверьте полученные письма на наличие подобных вложений и немедленно блокируйте вредоносные домены и IP-адреса на уровне ваших систем безопасности.
#СледствиеВели
👍8🔥4❤3
🎉 Команда RT Protect спешит поздравить всех кибер-гениев с Днём Программиста!
Вы — мастера кода и архитекторы цифрового мира, без которых не обходится ни одна технология.
Желаем вам больше интересных проектов, четких алгоритмов, и, конечно же, минимум багов! ⚙️🤖
Спасибо за то, что делаете этот мир лучше и безопаснее!
Вы — мастера кода и архитекторы цифрового мира, без которых не обходится ни одна технология.
Желаем вам больше интересных проектов, четких алгоритмов, и, конечно же, минимум багов! ⚙️
Спасибо за то, что делаете этот мир лучше и безопаснее!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍7🥰7🙏4
🎁 Безопасный стикерпак уже здесь
Теперь вы можете общаться с друзьями, коллегами и даже бабушкой с помощью наших стикеров!
👉🏻 Добавляйте наш стикерпак по ссылке и будьте на шаг ближе к безопасности в Сети — стикерпак.
Теперь вы можете общаться с друзьями, коллегами и даже бабушкой с помощью наших стикеров!
👉🏻 Добавляйте наш стикерпак по ссылке и будьте на шаг ближе к безопасности в Сети — стикерпак.
👍7❤4🔥3
🌐 DNS — ваш проводник в мире сайтов
Каждый раз, когда вы вводите адрес сайта, ваш компьютер обращается к системе доменных имен (DNS), которая, как своеобразный навигатор, помогает найти нужный ресурс. Но задумывались ли вы, как это происходит на самом деле?
DNS служит связующим звеном между удобными для людей именами сайтов и реальными адресами серверов в интернете, представленными в виде IP-адресов.
⚙️ Как работает DNS-протокол?
Схематично описать работу DNS можно так:
1. Вы вводите адрес сайта в браузер. Например, «example.com».
2. Браузер отправляет запрос к DNS-серверу.
3. DNS-сервер ищет IP-адрес. Сначала он проверяет свою базу данных. Если там нет нужной информации, он отправляет запрос к другим DNS-серверам.
4. DNS работает как иерархическая система, начиная с локального сервера и доходя до корневых, которые хранят информацию об общих доменах (например, .com, .org).
5. Когда сервер находит IP-адрес, он отправляет его вашему компьютеру, и браузер использует этот адрес, чтобы подключиться к нужному сайту.
🔗 Корневые серверы
Корневые серверы — это вершина DNS-системы. Всего их 13 групп, но они физически дублированы по всему миру.
Эти серверы управляют глобальной структурой интернета, направляя запросы к нужным зонам (например, .com, .net). Они не хранят конкретные IP-адреса сайтов, но помогают найти нужный сервер, где можно получить информацию о сайте.
❕Возможные угрозы
DNS — это не только удобство, но и зона риска. Например, атака типа DNS-спуфинг позволяет злоумышленникам подменить IP-адрес сайта, перенаправив вас на поддельный ресурс. Это может привести к утечке данных и финансовым потерям.
🔎 Как защититься?
• Используйте надёжные DNS-сервисы с поддержкой безопасности (Secure DNS), чтобы ваши данные оставались защищёнными.
DNS — это телефонная книга интернета, которая обеспечивает удобную и быструю навигацию по сайтам. Однако не стоит забывать, что, как и любая технология, DNS может подвергаться атакам.
#СловарьИБ
Каждый раз, когда вы вводите адрес сайта, ваш компьютер обращается к системе доменных имен (DNS), которая, как своеобразный навигатор, помогает найти нужный ресурс. Но задумывались ли вы, как это происходит на самом деле?
DNS служит связующим звеном между удобными для людей именами сайтов и реальными адресами серверов в интернете, представленными в виде IP-адресов.
⚙️ Как работает DNS-протокол?
Схематично описать работу DNS можно так:
1. Вы вводите адрес сайта в браузер. Например, «example.com».
2. Браузер отправляет запрос к DNS-серверу.
3. DNS-сервер ищет IP-адрес. Сначала он проверяет свою базу данных. Если там нет нужной информации, он отправляет запрос к другим DNS-серверам.
4. DNS работает как иерархическая система, начиная с локального сервера и доходя до корневых, которые хранят информацию об общих доменах (например, .com, .org).
5. Когда сервер находит IP-адрес, он отправляет его вашему компьютеру, и браузер использует этот адрес, чтобы подключиться к нужному сайту.
🔗 Корневые серверы
Корневые серверы — это вершина DNS-системы. Всего их 13 групп, но они физически дублированы по всему миру.
Эти серверы управляют глобальной структурой интернета, направляя запросы к нужным зонам (например, .com, .net). Они не хранят конкретные IP-адреса сайтов, но помогают найти нужный сервер, где можно получить информацию о сайте.
❕Возможные угрозы
DNS — это не только удобство, но и зона риска. Например, атака типа DNS-спуфинг позволяет злоумышленникам подменить IP-адрес сайта, перенаправив вас на поддельный ресурс. Это может привести к утечке данных и финансовым потерям.
🔎 Как защититься?
• Используйте надёжные DNS-сервисы с поддержкой безопасности (Secure DNS), чтобы ваши данные оставались защищёнными.
DNS — это телефонная книга интернета, которая обеспечивает удобную и быструю навигацию по сайтам. Однако не стоит забывать, что, как и любая технология, DNS может подвергаться атакам.
#СловарьИБ
👍11❤5✍2🔥2
🔗⚙️ RT Protect EDR: новые стандарты безопасности с Ready for Astra
RT Protect EDR получил статус Ready for Astra! Теперь он стал ещё более надёжным для пользователей Astra Linux.
❔Что это значит?
Повышенная безопасность:
Получение статуса Ready for Astra подтверждает, что RT Protect EDR полностью совместим с экосистемой Astra Linux, что усиливает защиту данных и инфраструктуры.
Технологическое партнёрство:
Программа Ready for Astra с 2016 года помогает создавать преимущественные позиции на ИТ-рынке для участников программы, предоставляя гарантии совместимости с отечественными технологиями.
2800+ сертифицированных продуктов:
К середине 2024 года более 2800 программных и аппаратных продуктов уже прошли тестирование на совместимость с Astra Linux. RT Protect EDR пополнил этот список, что открывает новые возможности для партнёров и пользователей.
Сертификация RT Protect EDR в рамках Ready for Astra — это не просто шаг вперёд в обеспечении безопасности, а часть большой экосистемы, которая создаёт защищённое будущее для российского ИТ.
RT Protect EDR получил статус Ready for Astra! Теперь он стал ещё более надёжным для пользователей Astra Linux.
❔Что это значит?
Повышенная безопасность:
Получение статуса Ready for Astra подтверждает, что RT Protect EDR полностью совместим с экосистемой Astra Linux, что усиливает защиту данных и инфраструктуры.
Технологическое партнёрство:
Программа Ready for Astra с 2016 года помогает создавать преимущественные позиции на ИТ-рынке для участников программы, предоставляя гарантии совместимости с отечественными технологиями.
2800+ сертифицированных продуктов:
К середине 2024 года более 2800 программных и аппаратных продуктов уже прошли тестирование на совместимость с Astra Linux. RT Protect EDR пополнил этот список, что открывает новые возможности для партнёров и пользователей.
Сертификация RT Protect EDR в рамках Ready for Astra — это не просто шаг вперёд в обеспечении безопасности, а часть большой экосистемы, которая создаёт защищённое будущее для российского ИТ.
👍11❤4🔥4🥰1
На горизонте — группировка Core Werewolf (или PseudoGamaredon), чья шпионская деятельность началась как минимум в 2021 году.
Их цели? Стратегические оборонные объекты и критически важная инфраструктура России. Операции этой группы тщательно спланированы, а следы их атак теряются в киберпространстве, оставляя лишь намеки на преступные намерения.
🔎 Внимание на детали:
• Основной метод проникновения: фишинговые письма, маскирующиеся под доверенные источники. Вложения — это самораспаковывающиеся архивы, скрывающие опасные исполняемые файлы.
• Характерный инцидент: взлом российской военной базы в Армении — один из наиболее громких случаев, приписываемый Core Werewolf (подробности здесь).
• Методы маскировки: доменные имена, имитирующие известные сервисы, такие как mailcommunity[.]ru и winuptodate[.]com.
Их хитрость — в способе доставки угрозы. Жертва, не подозревая, запускает .exe-файл с двойным расширением (например, .doc.exe), что открывает доступ к системе через скрытый инструмент удаленного управления — UltraVNC. С этого момента вся ваша сеть — под их контролем.
🔗 Меры предосторожности:
1. Не открывайте неизвестные вложения — фишинговые атаки могут выглядеть как официальные сообщения.
2. Защищайте свои системы: RT Protect EDR анализирует поведение файлов и способен остановить угрозы до их активации.
#ПрофильПреступника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4👀4❤3
🔗⚠️ Метаданные: ничего лишнего
Задумывались ли вы когда-нибудь, что фотография вашего милого котика может рассказать о вас гораздо больше, чем вы бы хотели?
❔Что такое метаданные
и в чем их опасность?
Метаданные — это скрытая информация, которая автоматически сохраняется вместе с файлами. Они могут включать:
• Информацию об авторе снимка.
• Дату и время создания файла.
• Геолокацию (место, где был сделан снимок).
• Модель устройства, на котором файл был создан.
• Программное обеспечение, использованное для создания файла.
Эти данные могут быть использованы злоумышленниками для составления профиля пользователя, выявления его привычек и даже подготовки целевых атак. Особенно важно помнить об этом при работе с корпоративными данными, где утечка метаданных может привести к серьезным последствиям.
⚙️ Как удалить метаданные?
• На iPhone:
Откройте «Настройки», коснитесь параметра «Конфиденциальность и безопасность» > «Службы геолокации» > «Камера», затем коснитесь «Никогда».
• На Android:
Для просмотра метаданных возможно использование как встроенных приложений, так и Google Фото. Для удаления метаданных используйте сторонние приложения, которые доступны в Google Play.
• На Windows:
В проводнике выберите изображение, нажмите правой кнопкой мыши, выберите «Подробно», затем «Сведения», и удалите свойства и личную информацию.
Удаление метаданных — важный шаг для защиты ваших данных. И хотя метаданные могут быть полезными, особенно в рабочих процессах, их неправильное использование может привести к утечке конфиденциальной информации.
#СекретыМаскировки
Задумывались ли вы когда-нибудь, что фотография вашего милого котика может рассказать о вас гораздо больше, чем вы бы хотели?
❔Что такое метаданные
и в чем их опасность?
Метаданные — это скрытая информация, которая автоматически сохраняется вместе с файлами. Они могут включать:
• Информацию об авторе снимка.
• Дату и время создания файла.
• Геолокацию (место, где был сделан снимок).
• Модель устройства, на котором файл был создан.
• Программное обеспечение, использованное для создания файла.
Эти данные могут быть использованы злоумышленниками для составления профиля пользователя, выявления его привычек и даже подготовки целевых атак. Особенно важно помнить об этом при работе с корпоративными данными, где утечка метаданных может привести к серьезным последствиям.
⚙️ Как удалить метаданные?
• На iPhone:
Откройте «Настройки», коснитесь параметра «Конфиденциальность и безопасность» > «Службы геолокации» > «Камера», затем коснитесь «Никогда».
• На Android:
Для просмотра метаданных возможно использование как встроенных приложений, так и Google Фото. Для удаления метаданных используйте сторонние приложения, которые доступны в Google Play.
• На Windows:
В проводнике выберите изображение, нажмите правой кнопкой мыши, выберите «Подробно», затем «Сведения», и удалите свойства и личную информацию.
Удаление метаданных — важный шаг для защиты ваших данных. И хотя метаданные могут быть полезными, особенно в рабочих процессах, их неправильное использование может привести к утечке конфиденциальной информации.
#СекретыМаскировки
🔥7👍5❤3⚡3❤🔥1
🔥 Команда РТ-Информационная безопасность на BIS Summit 2024!
Сегодня, 19 сентября, наша команда приняла участие в одном из главных событий в сфере информационной безопасности — BIS Summit 2024 в Москве!
Конференция собрала множество людей — от экспертов по информационной безопасности до представителей госструктур. Обсуждали самые горячие темы в мире ИБ: новые киберугрозы, инновационные методы защиты и, конечно, как оставаться на шаг впереди.
👉🏻 Следите за нами — впереди много интересного в области кибербезопасности!
Сегодня, 19 сентября, наша команда приняла участие в одном из главных событий в сфере информационной безопасности — BIS Summit 2024 в Москве!
Конференция собрала множество людей — от экспертов по информационной безопасности до представителей госструктур. Обсуждали самые горячие темы в мире ИБ: новые киберугрозы, инновационные методы защиты и, конечно, как оставаться на шаг впереди.
👉🏻 Следите за нами — впереди много интересного в области кибербезопасности!
🔥18❤8💯5👍3
🔒 Все свое ношу с собой
Представьте: вы случайно удалили важный файл, ваш компьютер атаковал вирус или случился сбой системы. Всё это — реальные угрозы для ваших данных. Чтобы не потерять важную информацию, нужно регулярно делать бэкапы.
✏️ Бэкап — это создание копии ваших файлов и папок на дополнительном носителе информации. Тщательно организованное резервное копирование обеспечивает надёжную защиту данных от потери и их доступность по первому требованию.
🔎 Как часто делать бэкапы личных данных?
Чем чаще вы делаете бэкапы, тем лучше. Самое главное — делать их регулярно. Разные данные требуют разной частоты бэкапов: если вы работаете над важным проектом каждый день, имеет смысл делать копии ежедневно. А вот фотографии из отпуска, которые обновляются не так часто, можно копировать раз в несколько месяцев.
🖇️ Куда сохранять?
• USB-флешка или внешний жесткий диск: удобно, но ненадежно для постоянного использования.
• NAS (сетевое хранилище): автоматизация, но высокая цена.
• Облачные хранилища: мобильность и доступ из любой точки мира, но доверие к сервису — на первом месте.
⚙️ Где делать бэкапы?
Не забывайте делать бэкапы на всех устройствах, которыми пользуетесь: компьютере, ноутбуке, смартфоне, планшете. Особенно это важно для смартфона, где хранится множество фотографий и других ценных данных. Современные операционные системы уже предлагают встроенные возможности для бэкапов: на iOS это iCloud, на Android — Google Drive.
❕Помните: потратив немного времени на настройку бэкапов сейчас, вы сможете избежать потери важных данных в будущем.
#Советы
Представьте: вы случайно удалили важный файл, ваш компьютер атаковал вирус или случился сбой системы. Всё это — реальные угрозы для ваших данных. Чтобы не потерять важную информацию, нужно регулярно делать бэкапы.
🔎 Как часто делать бэкапы личных данных?
Чем чаще вы делаете бэкапы, тем лучше. Самое главное — делать их регулярно. Разные данные требуют разной частоты бэкапов: если вы работаете над важным проектом каждый день, имеет смысл делать копии ежедневно. А вот фотографии из отпуска, которые обновляются не так часто, можно копировать раз в несколько месяцев.
🖇️ Куда сохранять?
• USB-флешка или внешний жесткий диск: удобно, но ненадежно для постоянного использования.
• NAS (сетевое хранилище): автоматизация, но высокая цена.
• Облачные хранилища: мобильность и доступ из любой точки мира, но доверие к сервису — на первом месте.
⚙️ Где делать бэкапы?
Не забывайте делать бэкапы на всех устройствах, которыми пользуетесь: компьютере, ноутбуке, смартфоне, планшете. Особенно это важно для смартфона, где хранится множество фотографий и других ценных данных. Современные операционные системы уже предлагают встроенные возможности для бэкапов: на iOS это iCloud, на Android — Google Drive.
❕Помните: потратив немного времени на настройку бэкапов сейчас, вы сможете избежать потери важных данных в будущем.
#Советы
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6✍3❤2
🔥 РТ-Информационная безопасность получила государственную поддержку в виде статуса МТК!
Компания РТ-Информационная безопасность прошла экспертизу и получила статус МТК. Этот статус открывает для нас новые возможности и даёт зелёный свет на ускоренное развитие! Вот что ждет нас впереди:
⚙️ Масштабирование бизнеса
Теперь наши решения могут найти применение в ещё большем количестве отраслей и регионов.
⚙️ Поддержка инноваций
Мы сможем продолжать разрабатывать новые продукты, улучшать наши решения и внедрять передовые технологии в области информационной безопасности.
⚙️ Новые партнёрства и коллаборации
Присоединение к сообществу МТК открывает двери для сотрудничества с другими технологическими компаниями, научно-исследовательскими институтами и государственными учреждениями.
Мы полны энергии и готовы покорять новые вершины вместе с вами! Дальше — больше!
Компания РТ-Информационная безопасность прошла экспертизу и получила статус МТК. Этот статус открывает для нас новые возможности и даёт зелёный свет на ускоренное развитие! Вот что ждет нас впереди:
⚙️ Масштабирование бизнеса
Теперь наши решения могут найти применение в ещё большем количестве отраслей и регионов.
⚙️ Поддержка инноваций
Мы сможем продолжать разрабатывать новые продукты, улучшать наши решения и внедрять передовые технологии в области информационной безопасности.
⚙️ Новые партнёрства и коллаборации
Присоединение к сообществу МТК открывает двери для сотрудничества с другими технологическими компаниями, научно-исследовательскими институтами и государственными учреждениями.
Мы полны энергии и готовы покорять новые вершины вместе с вами! Дальше — больше!
👍11🔥8⚡3🏆3❤2
🔎🤖 Head Mare: новый способ доставки полезной нагрузки
Аналитики RT Protect SOC зафиксировали новую фишинговую рассылку, проводимую группировкой Head Mare (PhantomCore). На этот раз злоумышленники использовали легитимный домен nsi[.]ru — принадлежащий НМИЦ нейрохирургии им. ак. Н. Н. Бурденко.
🖇️ Детали атаки:
В рассылаемом злоумышленником письме приложены .lnk и .zip файлы.
Имена файлов: “Исковое_заявление_РК617839_от_09_09_2024.lnk” и “Приложения_к_исковому_заявлению_РК617839_от_09_09_2024.zip”.
Как мы писали ранее (https://t.me/rtinfobez/83), группировка активно эксплуатирует уязвимость WinRAR - CVE-2023-38831.
Финальный этап — это облегчённая версия загрузчика PhantomCore.KscDL_trim, написанная на C++ и упакованная с помощью UPX — PhantomCore.KscDL_trim. Данный загрузчик обладает функцией выполнения удалённых команд, что делает его особенно опасным.
❔Что делать? Не спешите открывать вложения, даже если отправитель кажется надёжным. Проверяйте письма внимательно — именно это может спасти ваши данные от киберугроз.
⚠️ Индикаторы компрометации:
[SHA256: a1156c5cfaae0587eedf549158d937e092ffbc47d9e114980c60a25f00565afaSHA256: 8280c8d78db4a34917a32b19819252605172d298188e563b64a3cc369d3f5c47SHA256: c777b00c619c205ffebeaa4674a83d3c42ee6e2c861fd7417597e53429cbf920](sha256: a1156c5cfaae0587eedf549158d937e092ffbc47d9e114980c60a25f00565afaSHA256: 8280c8d78db4a34917a32b19819252605172d298188e563b64a3cc369d3f5c47SHA256: c777b00c619c205ffebeaa4674a83d3c42ee6e2c861fd7417597e53429cbf920)
[SHA256: bfef62a71a14e6a9309f3eddcec892bf611e7357da710c5e9c8fbee8d3505904](sha256: bfef62a71a14e6a9309f3eddcec892bf611e7357da710c5e9c8fbee8d3505904)
[IP: 185.80.91[.]84](ip: 185.80.91[.]84)
[URL: hxxp://185.80.91[.]84/init](url: hxxp://185.80.91[.]84/init)
[URL: hxxp://185.80.91[.]84/check](url: hxxp://185.80.91[.]84/check)
[URL: hxxp://185.80.91[.]84/connect](url: hxxp://185.80.91[.]84/connect)
[URL: hxxp://185.80.91[.]84/command](url: hxxp://185.80.91[.]84/command)
Аналитики RT Protect SOC зафиксировали новую фишинговую рассылку, проводимую группировкой Head Mare (PhantomCore). На этот раз злоумышленники использовали легитимный домен nsi[.]ru — принадлежащий НМИЦ нейрохирургии им. ак. Н. Н. Бурденко.
🖇️ Детали атаки:
В рассылаемом злоумышленником письме приложены .lnk и .zip файлы.
Имена файлов: “Исковое_заявление_РК617839_от_09_09_2024.lnk” и “Приложения_к_исковому_заявлению_РК617839_от_09_09_2024.zip”.
Как мы писали ранее (https://t.me/rtinfobez/83), группировка активно эксплуатирует уязвимость WinRAR - CVE-2023-38831.
Финальный этап — это облегчённая версия загрузчика PhantomCore.KscDL_trim, написанная на C++ и упакованная с помощью UPX — PhantomCore.KscDL_trim. Данный загрузчик обладает функцией выполнения удалённых команд, что делает его особенно опасным.
❔Что делать? Не спешите открывать вложения, даже если отправитель кажется надёжным. Проверяйте письма внимательно — именно это может спасти ваши данные от киберугроз.
⚠️ Индикаторы компрометации:
[SHA256: a1156c5cfaae0587eedf549158d937e092ffbc47d9e114980c60a25f00565afaSHA256: 8280c8d78db4a34917a32b19819252605172d298188e563b64a3cc369d3f5c47SHA256: c777b00c619c205ffebeaa4674a83d3c42ee6e2c861fd7417597e53429cbf920](sha256: a1156c5cfaae0587eedf549158d937e092ffbc47d9e114980c60a25f00565afaSHA256: 8280c8d78db4a34917a32b19819252605172d298188e563b64a3cc369d3f5c47SHA256: c777b00c619c205ffebeaa4674a83d3c42ee6e2c861fd7417597e53429cbf920)
[SHA256: bfef62a71a14e6a9309f3eddcec892bf611e7357da710c5e9c8fbee8d3505904](sha256: bfef62a71a14e6a9309f3eddcec892bf611e7357da710c5e9c8fbee8d3505904)
[IP: 185.80.91[.]84](ip: 185.80.91[.]84)
[URL: hxxp://185.80.91[.]84/init](url: hxxp://185.80.91[.]84/init)
[URL: hxxp://185.80.91[.]84/check](url: hxxp://185.80.91[.]84/check)
[URL: hxxp://185.80.91[.]84/connect](url: hxxp://185.80.91[.]84/connect)
[URL: hxxp://185.80.91[.]84/command](url: hxxp://185.80.91[.]84/command)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8💯3❤2
Какой из следующих методов аутентификации считается наиболее безопасным для защиты вашей учетной записи?
Final Results
0%
Только пароль
32%
Двухфакторная аутентификация (2FA) с использованием одноразовых кодов по SMS
68%
Двухфакторная аутентификация (2FA) с использованием аппаратного ключа безопасности
0%
Использование пароля и контрольного вопроса
🌚1