Евгений Касперский

Сегодня утром (ну очень ранним по Москве) открыл нашу конференцию SAS - Security Analyst Summit на Бали, Индонезия. Успел не без приключений😊

Админить или не админить?

Интересные цифры. Это крайне распространенное явление – слишком много админских прав на корпоративных устройствах. Если пользователь – администратор своего компьютера, он может на него, например, случайно установить что-то вредоносное, что-то удалить в режиме «я куда-то нажал (-а), и все пропало». В общем, лишние высокие привилегии – однозначное зло.

Но, хочу напомнить, они так же сильно нежелательны и на домашних устройствах. Заметную часть бытовых кибернеприятностей можно избежать, просто не давая заведомо не готовым к этому пользователям админских прав. Очень много компьютеров было пошифровано детьми и подростками, которые нажали что-то не то, шарясь в сомнительных уголках интернета. Но проруха бывает и на опытного пользователя, поэтому и себе тоже не давайте админские права в ежедневном режиме.

В общем, когда покупаете компьютер, первым делом заведите пользовательскую учётку (или учётки, если пользователей больше одного), у которой (-ых) разделены права с админом.
https://t.me/kasperskyb2b/1458

Конференция SAS-2024 – ключ на старт!

Сегодня открывает свои двери наша конференция по кибербезу – SAS-2024. Это место сбора лучших исследователей самых интересных киберпроблем и расследователей самых технически сложных и хитрых кибератак. Традиционно проводится в невыносимых тропических декорациях у тёплого моря, в этот раз на острове Бали. Насыщенная программа, ожидаю много интересных докладов. Знаю, что у коллег есть, чем порадовать.

Почему это всё так важно и так значимо?

Навскидку 5 причин, почему исследования в сфере кибербезопасности имеют огромное всемирно-историческое значение для нашего насквозь цифрового мир:

▶️ Умение защищаться от передовых атак. Единственный способ научиться защищаться от сложных передовых атак – знать, как это всё работает, быть впереди. Лучшие и сложнейшие исследования и расследования – это основа, то, на базе чего мы создаем наши технологии. У нас много очень крутых исследователей по разным направлениям ИБ.
▶️ Улучшение защищённости массового и корпоративного ПО. Расследуя сложные атаки, выявляя использованные уязвимости и помогая их закрыть, мы делаем киберпространство безопаснее для всех.
▶️ Снижение ущерба от киберпреступности. Исследования и расследования помогают не только предотвратить будущие аналогичные кибератаки, но и учат минимизировать ущерб от успешных кибератак.
▶️Информирование широкой публики и производителей дырявых вещей. Громкие расследования и исследования, например, наше про вредоносное ПО для iOS "Триангуляция"или исследования "дырявости" автомобилей, в ходе которых удавалось удаленно перехватить управление движущейся машиной, заметно влияли и влияют на поведение людей и бизнеса. Ну и так или иначе они приводят к тому, что производители устройств стараются их делать безопаснее.
▶️ Строительство безопасного мира будущего. Исследования и расследования влияют на государственное и международное регулирование. Они влияют на всю гигантскую отрасль ИТ и очень большую отрасль ИБ. Шаг за шагом, кирпичик за кирпичиком они позволяют сделать цифровой мир, в котором мы живём, более сложным и неудобным для киберпреступников. Это происходит медленнее, чем хотелось бы, но это абсолютно необходимая работа. Кибератаки буквально способны причинить физический вред людям, если они (люди), например, не получают помощи в больнице, в которой зашифрованы данные. Соответственно, кибербезопасность и её развитие иногда спасает жизни, без преувеличения. И очень-очень часто, каждый день по многу раз, – деньги, нервы и так далее.

⏩ Интересные исследования APT и новости ИБ за неделю

😡 Подробный разбор деятельности ransomware-группы Crypt Ghouls: активно используют в атаке легитимное ПО, шифруют жертв с помощью ВПО Lockbit 3.0 и Babuk, тактики, инструментарий и инфраструктура пересекаются с MorLock, BlackJack, Twelve, Shedding Zmiy, заставляя предположить использование ими общих ресурсов и обмен информацией. Атакующими особенно любимы горнодобывающая, энергетическая, финансовая отрасли.

👮‍♀ Ложные следы тоже переходят из арсенала APT к вымогателям. Обнаружена операция, авторы которой делают вид, что относятся к группировке Lockbit, но на самом деле используют собственное ВПО на Go и воруют данные на подконтрольную им корзину Amazon S3 при помощи функции AWS S3 transfer acceleration.

🐈‍⬛ Разбор продолжительной и часто модифицируемой кампании по организации первоначального доступа в атакуемые компании при помощи троянцев. Исследователи назвали её "Рога и Копыта", поскольку приманкой всегда является вредоносный архив с JS-файлом, маскирующимся под документ деловой переписки. Предположительно за активностью стоит ранее известная группа TA569.

☝️ Обзор киберугроз, нацеленных на ближневосточные организации, составлен на основе данных, собранных в dark web: утечки, доступы в организации, результаты атак ransomware.

Новые данные по APT SideWinder/T-APT-04/RattleSnake: группа существенно расширила географию атак, а также вооружилась модульным .Net имплантом StealerBot, cконструированным специально для шпионажа и никогда не хранящимся на диске в расшифрованном виде. Вектором начального проникновения обычно является целевой фишинг и эксплуатация старых дефектов в MS Office.

🗑 Конец истории Anonymous Sudan? Американские силовики арестовали двух братьев действительно суданского происхождения, которые организовывали мощнейшие атаки DDoS при помощи арендованных VPS. Некотоырми техническими подробностями поделились в Amazon.

🤡 Смешно и грустно одновременно: кампании, в которых жертве на веб-странице выводят сообщение об ошибке и просят собственноручно скопировать со страницы и вставить в PowerShell вредоносные команды, похоже эффективны. Их стали применять ещё несколько группировок.

Детальный разбор RaaS Cicada3301 - исследователи смогли получить доступ к "партнёрской программе" бандитов, поэтому анализ включает не только ВПО, но и обычно скрытые подробности киберкриминального бизнеса.

😈 А ранее неизвестная APT IcePeony стала известна, потому что забыла закрыть доступ к своей панели управления, чем и воспользовались исследователи. Группа в основном атакует серверы организаций в ЮВА при помощи SQL-инъекций.

❕ Новые подробности о работе APT Mysterious Elephant, впервые замеченной нами в 2023 году. Исследователи нашли пересечения с другой активностью, называемой Bitter, в частности применение ВПО ORPCBackdoor. Этот кластер угроз преимущественно нацелен на ЮВА (Google-перевод).

#дайджест #APT @П2Т

Камчатские Остряки и озеро Толмачёва

Пятница начинается с фотографий из нашей августовской Камчатки! Ганальские Остряки (они же Востряки) – это горный хребет с гребнем крайне сурового (и, конечно, острого) вида. Посчастливилось полетать над ним на вертолете, рассказывают, что место популярное среди скалолазов. Не удивлен!

И хоть Камчатка – не тропический курорт, возможность искупаться в местных озерах я не пропускал:-)

Больше фото и подробностей здесь

Латание дыр или «управление уязвимостями»

Люди, которые мало интересуются информационными технологиями, часто даже не представляют, насколько вся окружающая нас цифровая инфраструктура дырявая.

Число выявленных уязвимостей в ПО растет каждый год. Во всемирном масштабе - это тысячи новых уязвимостей CVE в месяц. Для любой крупной организации их закрытие в своей инфраструктуре – это рутинный постоянный процесс. Качество этого процесса – важный фактор защищенности инфраструктуры. «Управление уязвимостями», – популярный трек на конференциях по кибербезопасности, есть образовательные программы на эту тему.

В общем, не забывайте обновлять свои личные устройства. А для специалистов коллеги выложили интересный отчет и выжимку из него.

Мы очень серьезно относимся к безопасной разработке, и программа вознаграждения за найденные уязвимости bug bounty у нас имеется, конечно. Ну и напомню, что будущее – за конструктивной информационной безопасностью и кибериммунитетом😊

Дубайские вести короткой строкой:

Срочно в номер с конференции GITEX: мы подписали соглашение о партнерстве с местной IT-компанией Moro Hub.

Эта компания – цифровой хаб, как сейчас модно говорить. Это и дата-центр, и облачный провайдер, и много что еще. Но при этом изначально это дочерняя компания DEWA – дубайского энергосбыта и водоканала. То есть Moro Hub – это базовая компания цифровой трансформации в секторе электро- и водоснабжения. Конечно, в таких отраслях самые высокие требования к киберзащите.

Очень рад, что мы помогаем повышать уровень защищенности Moro Hub и их заказчиков!

Короткой строкой новости из ОАЭ.

Хочу сказать пару слов про конференцию GITEX, которая сейчас проходит в солнечном Дубае.

1️⃣ Во-первых, это очень хорошая и ооочень большая конференция:-), в которой мы давно участвуем и на которой часто представляем международные новинки.
2️⃣ Во-вторых, мы с большим успехом приняли участие в африканском GITEX в Марокко в мае (второй год подряд), планируем повторить и в 2025-м.
3️⃣ В-третьих, нам так все нравится, видим такой бизнес-потенциал, что будем широко участвовать и в новом с иголочки азиатском GITEX в Сингапуре в 2025-м. На этой же площадке проведем конференцию по кибериммунитету Kaspersky Global Cyber Immunity Conference, о чем сегодня объявили вместе с организаторами в Дубае.

Срединный хребет Камчатки: вид сверху и вулкан Бакенинг

Еще немного умопомрачительных видов Камчатки, которую мы основательно отфотографировали этим летом. Сегодня в эфире – полет на вертолете к вулкану Бакенинг. Про него пишут, что он потухший, но совсем рядом – лавовые поля, выглядящие как сравнительно недавние, может быть, двухсотлетнитние.

Сам вулкан грандиозный. Когда извергался, когда рушилась вершина, зрелище было, наверное, более чем невероятное. Больше картинок здесь.

От Азии до Саудовской Аравии: расширилась география кибератак бэкдора PipeMagic

«Лаборатория Касперского» сообщила о новых целях этого вредоносного ПО в рамках GITEX GLOBAL 2024

У троянца PipeMagic, впервые замеченного в атаках на азиатские компании в 2022 году, появились новые цели ― организации в Саудовской Аравии. Это обнаружили эксперты Kaspersky GReAT в сентябре 2024 года. Бэкдор, который умеет красть конфиденциальные данные и осуществлять удалённый доступ к скомпрометированным устройствам, проникает в корпоративные системы под видом приложения ChatGPT.