💡 Да будет свет! Эксперт Positive Technologies Антон Бояркин выявил три уязвимости в УСПД СЕ805М производства компании «Энергомера», которая является лидером российского рынка приборов учета электроэнергии.
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО для устранения уязвимостей.
🤔 УСПД — это устройства для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень автоматизированных систем коммерческого учета электроэнергии (АСКУЭ), а также для управления и контроля состояния объекта автоматизации.
💬 «К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии», — отметил Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies.
❗️ Производитель рекомендует обновить встроенное ПО устройства до версии 4.13. Кроме того, по возможности следует ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.
🏭 Для выявления попыток эксплуатации уязвимостей в АСКУЭ мы предлагаем систему глубокого анализа технологического трафика — PT Industrial Security Incident Manager. PT ISIM распознает протоколы обмена данных УСПД СЕ805М, анализирует команды и информирует службу безопасности о подозрительных и опасных событиях.
@Positive_Technologies
#PositiveЭксперты
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО для устранения уязвимостей.
🤔 УСПД — это устройства для сбора данных с приборов учета энергоресурсов и передачи полученной информации на верхний уровень автоматизированных систем коммерческого учета электроэнергии (АСКУЭ), а также для управления и контроля состояния объекта автоматизации.
💬 «К одному такому устройству могут быть подключены сотни счетчиков. Используя уязвимый УСПД как шлюз, атакующий мог не только получить к ним доступ и нарушить работу системы учета на этом участке, но и отключить подачу электроэнергии», — отметил Антон Бояркин, руководитель группы отдела безопасности промышленных систем управления Positive Technologies.
❗️ Производитель рекомендует обновить встроенное ПО устройства до версии 4.13. Кроме того, по возможности следует ограничить или запретить доступ к сетевому порту, предназначенному для удаленной настройки УСПД.
@Positive_Technologies
#PositiveЭксперты
Please open Telegram to view this post
VIEW IN TELEGRAM
Сегодня вместе с Аней Цыбиной, продуктовым маркетологом MaxPatrol VM, подведем итоги года в кибербезопасности.
Устраивайтесь поудобнее и включайте нас на YouTube или любой удобной платформе. Параллельно можно упаковать оставшиеся подарки или начать нарезать оливье.
🎄 С наступающим праздником, ждите свежих выпусков в новом году!
#КиберДуршлаг
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🕵️ Для того чтобы наши продукты были самыми безопасными, мы считаем, что необходимо привлекать максимум профессионального сообщества к их проверке. Поэтому в декабре была запущена первая продуктовая программа багбаунти для межсетевого экрана уровня веб-приложений PT Cloud Application Firewall.
⚡️ А сегодня мы запускаем программы для одних из самых востребованных на рынке продуктов — PT Sandbox и PT Network Attack Discovery. И это очередной шаг для компании в подтверждении успешности концепции результативной кибербезопасности на своем опыте.
💬 «Способность критически мыслить и смотреть на инфраструктуру, пользоваться нестандартными ходами очень важна при построении реально работающей системы результативной кибербезопасности. И белые хакеры как раз могут предложить все это — и с их помощью можно эффективно оценить защищенность организации», — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).
@Positive_Technologies
#PTNAD
#PTSandbox
💬 «Способность критически мыслить и смотреть на инфраструктуру, пользоваться нестандартными ходами очень важна при построении реально работающей системы результативной кибербезопасности. И белые хакеры как раз могут предложить все это — и с их помощью можно эффективно оценить защищенность организации», — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).
@Positive_Technologies
#PTNAD
#PTSandbox
Please open Telegram to view this post
VIEW IN TELEGRAM
❗️Новая волна атак хакерской группировки Core Werewolf
Под Новый год группировка решила провести ряд атак на российские организации, связанные с критической информационной инфраструктурой (КИИ).
Во время расследования одного инцидента команда PT CSIRT (подразделение экспертного центра безопасности Positive Technologies, PT Expert Security Center) зафиксировала рассылку от имени ФСТЭК с фишингового домена fstec[.]support. В письме находилась ссылка opk-pure[.]com/secur926545423. Она вела к архиву, внутри которого — самораспаковывающийся архив с именем «Меры. Список уязвимостей и принимаемых мер по их устранению.exe». Он содержал документ-заглушку и клиент UltraVNC с контрольным сервером strafiki[.]ru.
Индикаторы компрометации (IoCs)
fstec[.]support
opk-pure[.]com
strafiki[.]ru
🤔 Что за группировка
Core Werewolf занимается активным шпионажем: как минимум с 2021 года она предпринимает атаки на российские организации, связанные с оборонно-промышленным комплексом и КИИ. Судя по совокупности атак, группировка не поменяла свои методы.
🔐 Как защититься
⚠️ При получении писем от ФСТЭК России с дополнительными мерами защиты необходимо подтверждать факт их отправки специалистами ФСТЭК России по телефонам, определенным ранее для взаимодействия.
🧑💻 Для отслеживания подобных атак и реагирования на них мы рекомендуем использовать PT Sandbox (для выявления фишинговых писем), MaxPatrol EDR (для выявления киберугроз на конечных точках и реагирования на них), а также PT Network Attack Discovery (для контроля сетевых соединений).
📩 Для защиты от почтового фишинга следуйте стандартным правилам. Не открывайте подозрительные ссылки и вложения. Спросите себя: ожидали ли вы письмо от этого адресата? Входит ли обсуждаемый вопрос в вашу компетенцию? Есть ли в письмах подозрительные вложения, нехарактерные для переписки в вашей компании? Верная ли подпись в письме? Точные ответы на эти вопросы в совокупности со средствами защиты помогут более эффективно отразить атаку.
@Positive_Technologies
Под Новый год группировка решила провести ряд атак на российские организации, связанные с критической информационной инфраструктурой (КИИ).
Во время расследования одного инцидента команда PT CSIRT (подразделение экспертного центра безопасности Positive Technologies, PT Expert Security Center) зафиксировала рассылку от имени ФСТЭК с фишингового домена fstec[.]support. В письме находилась ссылка opk-pure[.]com/secur926545423. Она вела к архиву, внутри которого — самораспаковывающийся архив с именем «Меры. Список уязвимостей и принимаемых мер по их устранению.exe». Он содержал документ-заглушку и клиент UltraVNC с контрольным сервером strafiki[.]ru.
Индикаторы компрометации (IoCs)
fstec[.]support
opk-pure[.]com
strafiki[.]ru
🤔 Что за группировка
Core Werewolf занимается активным шпионажем: как минимум с 2021 года она предпринимает атаки на российские организации, связанные с оборонно-промышленным комплексом и КИИ. Судя по совокупности атак, группировка не поменяла свои методы.
🔐 Как защититься
⚠️ При получении писем от ФСТЭК России с дополнительными мерами защиты необходимо подтверждать факт их отправки специалистами ФСТЭК России по телефонам, определенным ранее для взаимодействия.
🧑💻 Для отслеживания подобных атак и реагирования на них мы рекомендуем использовать PT Sandbox (для выявления фишинговых писем), MaxPatrol EDR (для выявления киберугроз на конечных точках и реагирования на них), а также PT Network Attack Discovery (для контроля сетевых соединений).
📩 Для защиты от почтового фишинга следуйте стандартным правилам. Не открывайте подозрительные ссылки и вложения. Спросите себя: ожидали ли вы письмо от этого адресата? Входит ли обсуждаемый вопрос в вашу компетенцию? Есть ли в письмах подозрительные вложения, нехарактерные для переписки в вашей компании? Верная ли подпись в письме? Точные ответы на эти вопросы в совокупности со средствами защиты помогут более эффективно отразить атаку.
@Positive_Technologies
🛍 Когда в пакете нет уязвимостей, можно быстро печатать код и болтать с коллегами — вот что думает ребенок одного из наших сотрудников о папиной работе (и мы с ним даже согласны!).
5️⃣ А кем работает папа, вам предстоит отгадать. Действуем по привычной схеме. Мы цитируем объяснение из нашего спецпроекта на «Хабре», а вы пытаетесь без подсказки (вы же не подсматриваете, правда?) отгадать, о какой профессии речь.
— Кем я работаю?
— <***>.
— Помнишь, мы обсуждали роботов?
— Это давно было. Помню одного — робот-трекер. Как у «Щенячьего патруля».
— А про пакеты уязвимостей?
— В пакете уязвимостей нет!
— Хи-хи-хи. А ты видел, как я работаю?
— Видел. Ты супербыстро печатаешь код и болтаешь с коллегами.
— Тебе интересно слушать, как мы болтаем?
— Ага.
— А что я еще делаю?
— Ты деньги зарабатываешь.
— Много?
— Тысячу.
— Тысячу?
— Девятьсот!..
— Ого-ого, класс.
— …Миллион!
— Что бы ты хотел узнать о моей работе?
— Роботов.
— Что «роботов»?
— Узнать.
Какая у папы должность?
@Positive_Technologies
— Кем я работаю?
— <***>.
— Помнишь, мы обсуждали роботов?
— Это давно было. Помню одного — робот-трекер. Как у «Щенячьего патруля».
— А про пакеты уязвимостей?
— В пакете уязвимостей нет!
— Хи-хи-хи. А ты видел, как я работаю?
— Видел. Ты супербыстро печатаешь код и болтаешь с коллегами.
— Тебе интересно слушать, как мы болтаем?
— Ага.
— А что я еще делаю?
— Ты деньги зарабатываешь.
— Много?
— Тысячу.
— Тысячу?
— Девятьсот!..
— Ого-ого, класс.
— …Миллион!
— Что бы ты хотел узнать о моей работе?
— Роботов.
— Что «роботов»?
— Узнать.
Какая у папы должность?
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Скорее всего, папа работает…
Anonymous Quiz
22%
Кибердетективом
12%
Проджект-менеджером
66%
Руководителем отдела автоматизации
This media is not supported in your browser
VIEW IN TELEGRAM
🎅 На компьютере Деда Мороза случился новогодний переполох: его данные оказались зашифрованы, а на экране начали всплывать странные уведомления... Что было дальше? Смотрите в нашем ролике!
🎄 Дорогие читатели, поздравляем вас с наступающим Новым годом! На всякий случай напоминаем: у хакеров не бывает праздников и выходных, и на каникулах они могут атаковать не только Деда Мороза. Желаем вам быть бдительными и оставаться в кибербезопасности!
@Positive_Technologies
🎄 Дорогие читатели, поздравляем вас с наступающим Новым годом! На всякий случай напоминаем: у хакеров не бывает праздников и выходных, и на каникулах они могут атаковать не только Деда Мороза. Желаем вам быть бдительными и оставаться в кибербезопасности!
@Positive_Technologies
В этот раз в пустых клетках прячутся названия профессий, которых не найдешь на сайтах с вакансиями, ведь работать таким специалистам приходится на темной стороне —
Сможете отгадать, кто же он — этот загадочный мастер обзвонов? Тот, кто первым напишет верный вариант ответа в комментариях, получит новый выпуск журнала.
Попробуете?
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔 Угадаете, что мы вам принесли?
Бинго! Второе слово из кроссворда о профессиях в даркнете, который будет опубликован в Positive Research!
Мошенника, который завлекает в свои сети доверчивых людей, обзванивая их, прозвали «холодильник» (потому что звонки — холодные). Но сможете ли вы решить задачку посложнее: как же называют того самого суперспециалиста по азартным играм в сети?
Пишите ответы в комментариях. Тому, кто отгадает первым, отправим свежий выпуск Positive Research.
#PositiveResearch
@Positive_Technologies
Бинго! Второе слово из кроссворда о профессиях в даркнете, который будет опубликован в Positive Research!
Мошенника, который завлекает в свои сети доверчивых людей, обзванивая их, прозвали «холодильник» (потому что звонки — холодные). Но сможете ли вы решить задачку посложнее: как же называют того самого суперспециалиста по азартным играм в сети?
Пишите ответы в комментариях. Тому, кто отгадает первым, отправим свежий выпуск Positive Research.
#PositiveResearch
@Positive_Technologies
Видимо, авторы названий этих профессий любят околокухонную тематику: слово из прошлой загадки — «вилочник». В этот раз, правда, никакой кухни. Такая вот подсказка, но возможно, вы и без нее знаете, как называют сборщика компромата и вымогателя в одном лице.
Автору первого правильного ответа в комментариях — бумажный, увесистый и еще пахнущий типографской краской журнал!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Тема — профессии в даркнете. «Доксер» — вот как называют интернет-шантажиста, которого мы загадали в прошлый раз. А что насчет мастера социальной инженерии?
Вы знаете верный ответ? Скорее пишите его в комментариях, чтобы получить в подарок новый выпуск нашего журнала о кибербезопасности.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
«Ну „дроповод“ — это было просто», — скажет кто-то. Не знаем, не знаем, мы бы так сходу не отгадали. Может, вы все знаете и про сегодняшнего художника?
Кто быстрее других напишет в комментариях ответ на последнюю загадку, тот получит новый (печатный!) экземпляр Positive Research.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Так устроено сознание злоумышленников: их сильная сторона — умение пробить первый фильтр, объясняет Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
Что с этим делать — слушайте в полной версии выступления Дениса на конференции YaTalks.
@Positive_Technologies
#PositiveЭксперты
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
👾 Какие события в мире вредоносов имели большое значение для кибериндустрии в 2023 году? Об этом в нашем новом, первом в этом году совместном выпуске с SecLab News рассказал Алексей Вишняков, эксперт Standoff 365, Positive Technologies.
Обсудим:
• Первый обнаруженный UEFI-буткит (вредонос, который запускается до загрузки ОС и помогает скрывать действия другого ВПО и злоумышленников в системе) с обходом технологии защиты Secure Boot. Он называется BlackLotus, и его можно обнаружить с помощью нашей песочницы PT Sandbox.
• Уязвимость в Microsoft Outlook, с помощью которой злоумышленники могли провести атаку на NetNTLMv2-аутентификацию, всего лишь отправив жертве по почте приглашение на встречу. Защита от таких атак невозможна без решений Anti-APT, потому что важно обнаруживать подобные действия хакеров на более чем одной стадии (например, используя PT Sandbox и PT Network Attack Discovery).
• Смог ли ChatGPT написать уникальный вредонос и чего ждать от чат-ботов в ближайшем будущем.
👀 Подробнее об этих и других событиях смотрите в выпуске на нашей странице в VK или на YouTube-канале SecLab News.
@Positive_Technologies
#PositiveЭксперты
Обсудим:
• Первый обнаруженный UEFI-буткит (вредонос, который запускается до загрузки ОС и помогает скрывать действия другого ВПО и злоумышленников в системе) с обходом технологии защиты Secure Boot. Он называется BlackLotus, и его можно обнаружить с помощью нашей песочницы PT Sandbox.
• Уязвимость в Microsoft Outlook, с помощью которой злоумышленники могли провести атаку на NetNTLMv2-аутентификацию, всего лишь отправив жертве по почте приглашение на встречу. Защита от таких атак невозможна без решений Anti-APT, потому что важно обнаруживать подобные действия хакеров на более чем одной стадии (например, используя PT Sandbox и PT Network Attack Discovery).
• Смог ли ChatGPT написать уникальный вредонос и чего ждать от чат-ботов в ближайшем будущем.
👀 Подробнее об этих и других событиях смотрите в выпуске на нашей странице в VK или на YouTube-канале SecLab News.
@Positive_Technologies
#PositiveЭксперты
Киберпреступники ежедневно совершенствуют методы атак, разрабатывают новые инструменты, чтобы их действия оставались незамеченными для средств защиты.
Наши эксперты непрерывно следят за трендами кибератак, изучают специализированные форумы по разработке и продаже вредоносного ПО и инструментария, а также анализируют публичные отчеты о расследовании инцидентов. На основе актуальных данных специалисты регулярно обновляют экспертизу в MaxPatrol SIEM.
🔄 Наиболее важные правила в опубликованных обновлениях позволяют обнаруживать:
• Типичные действия шифровальщиков, например массовую генерацию файлов или их изменение одним и тем же процессом. Инциденты, связанные с шифрованием или затиранием данных на узлах корпоративной инфраструктуры, были одними из наиболее часто встречающихся в 2021–2023 годах (по данным расследований экспертного центра безопасности Positive Technologies — PT Expert Security Center).
• Дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами. Среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках.
• Популярные техники «Загрузка сторонних DLL-библиотек» (ВПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.
#MaxPatrolSIEM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Для «красных» команд открываются многочисленные курсы, проводятся соревнования (CTF, кибербитвы разного формата) и тренинги. Но с blue team ситуация иная. Программы вузов не всегда дают пул необходимых знаний и практических навыков, помогающих специалистам по кибербезопасности правильно действовать во время хакерских атак, когда счет идет на минуты.
Хороший вариант для «синих» — дообучить действующих специалистов по ИБ, недавних выпускников вузов или специалистов из смежных отраслей. Так мы и пришли к идее менторства. Об этом рассказывает в интервью на портале Anti-Malware Ильдар Садыков, руководитель отдела экспертного обучения Positive Technologies.
Нам удалось создать собственную многоступенчатую систему подготовки высококвалифицированных защитников — специалистов по информационной безопасности внутри коммерческих и государственных организаций.
О том, как пройти путь от новичка (бесплатный курс PT-START) до профи (два модуля программы PT-PROFF) и эксперта (PT-EXPERT), как в этом поможет участие в кибербитве Standoff и тренировки на киберполигоне, какие знания потребуются на старте и что вы будете уметь в итоге — читайте в интервью.
#PositiveЭксперты
#PositiveEducation
Please open Telegram to view this post
VIEW IN TELEGRAM
— Чем я занимаюсь?
— Сейчас ты на работе делаешь всякие компьютеры работовые, программируешь, а иногда отдыхаешь.
— Что ты знаешь о моей работе?
— Ты рассказывал, что программируешь и смотришь, связываешься с коллегами на созвонах всегда. Ну почти — иногда, можно сказать.
— Как ты представляешь мою работу?
— Я представляю твою работу сло-о-ожной и очень тяжелой, поэтому ты устаешь на ней.
Уже догадались, о какой профессии речь?
@PositiveTechnologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Какова папина должность?
Anonymous Quiz
41%
DevOps
11%
Дата-инженер
48%
Разработчик систем управления