О том, что с 20 марта 2024 года SAP прекратит доступ клиентов из России к своим облачным услугам, говорится в письме клиентам от российской "дочки" SAP, САП СНГ, пишет РБК. В письме компания просит пользователей до указанной даты выгрузить данные из облака SAP, чтобы избежать их потери. Также она выразила готовность "без промедления провести переговоры о досрочном прекращении договора на облачные услуги".

"В целом, для клиентов немецкого вендора новость довольно неприятная, но далеко не для всех. Например, большинство наших заказчиков устанавливали SAPу себя на сервере, поэтому на них сложившаяся ситуация существенно не повлияет. Остальным придется придумывать, как выйти из сложившейся ситуации или искать возможность обхода данной санкции. В любом случае - все это влечет за собой ряд вопросов информационной безопасности, которые оперативно нужно будет решать и в этом, безусловно, может помочь наш продукт SafeERP", - говорит менеджер по продукту SafeERP компании "Газинформсервис" Римма Кулешова.

* SAP - крупнейший в мире поставщик приложений для бизнеса: систем управления ресурсами предприятия (ERP), взаимоотношений с клиентами (CRM), цепочками поставок (SCM) и др. До марта 2022 года решения SAP в России использовали государственные и финансовые организации, компании из сектора торговли, логистики, промышленности и др.

Тестирование было проведено в рамках технологического партнерства и подтвердило надежную работу средства доверенной загрузки (СДЗ) SafeNode System Loader1 на базе оборудования ООО "ICL Техно" следующих моделей:

• Моноблоки - SafeRay2 S2410 G3R; SafeRay S2710 G3R; SafeRay S2411 G3R; SafeRay S2412 G3R;
• Рабочие станции - BasicRay3 B101 G3R; BasicRay B102 G3R; BasicRay B103 G3R; BasicRay B104 G3R.

Совместное функционирование СДЗ SafeNode System Loader и пользовательских устройств ICL означает, что комплексное решение, включающее продукты обеих компаний, обеспечивает высокий уровень безопасности от возможных угроз в организациях, где важна защита от несанкционированного доступа к оборудованию и ПО4 с момента включения до момента старта операционной системы.

"Внедрение встроенных программных решений обеспечения информационной безопасности способствует оптимизации работы оборудования за счет контролируемого количества подключаемых пользователей и внешних модулей. Таким образом, совместное использование продуктов позволит сократить затраты на обслуживание АРМ5 и повысить уровень защищенности комплексных решений", - отметил Ирек Азизов, генеральный директор ООО "ICLСистемные технологии".

"Мы рады, что испытания подтвердили совместимость нашего оборудования и надеемся, что дальнейшее сотрудничество в использовании продуктов SafeNode System Loader и пользовательских устройств поможет нам повысить уровень защищенности и обеспечить безопасность информации в соответствии с требованиями Регуляторов", - Ильдар Вагизов, коммерческий директор ООО "ICL Техно".

"Проделанная работа по тестированию совместного функционирования СДЗ SafeNode System Loader и пользовательских устройств ICL очень значима, как для нас, так и для наших клиентов. Мы рады усилить наше технологическое партнерство с ГК ICLи видим большую перспективу для широкого представления совместных продуктов на рынке", -говорит Роман Пустарнаков, заместитель генерального директора - руководитель департамента организации работ с заказчиками компании "Газинформсервис".

"Подтверждение корректной работы SafeNode System Loader с линейкой продуктов наших партнеров ООО "ICL Системные технологии" и ООО "ICLТехно" еще один шаг, гарантирующий безопасное применение совместимых решений для наших заказчиков", - прокомментировал результаты тестирования Константин Хитрово, менеджер по продукту СДЗ SafeNode System Loader.

1 Сейфноуд систем лоудер

2 Сейфрей

3Бэйсикрей

4Программное обеспечение

5 Автоматизированное рабочее место

Атака начинается через инфицированный документ Microsoft Excel формата ".XLAM" со встроенным VBA-скриптом. Атакующие используют сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Вместе с тем извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus ("AVG updater.exe"), а этот файл загружает и запускает другой исполняемый файл "SmartScreen Defender Windows.exe", который начинает процесс шифрования.

Одна из особенностей вымогателя Faust - способность создавать сразу несколько потоков для эффективного шифрования данных.

Юлия Парфенова, менеджер направления "контроль целостности" Efros Defence Operations, ООО "Газинформсервис" отмечает, что хакерские атаки с шифрованием данных - это проблема, с которой сегодня представители крупного бизнеса сталкиваются все чаще. "Хакер может обойти внешний периметр защиты, пройти DMZ-зону и при этом остаться незамеченным. Но вот изменения, которые он внесет на целевой системе, можно обнаружить, в случае, если все критически важные файлы и конфигурации, контролируются на неизменность", - говорит Юлия Парфенова.

Главная задача атакующего - убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить пользователя открыть определенный файл.

CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook, в которой вредоносное электронное письмо создается путем вставки двух заголовков "Content-Class" и "x-sharing-config-url" со ​​специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации.

"Эксплуатация уязвимостей, для которых выпущена CVE и даже патч от вендора - это, конечно, камень в огород специалистов по ИБ, которые обслуживают эту информационную систему. С другой стороны - в этом конкретном случае может показаться, что утечка хэша сложного пароля не такая уж проблема, потому что восстановить пароль из хэша проблематично. Однако, есть ряд сценариев, где можно использовать сам хэш для аутентификации и это уже куда более серьезная проблема. Чтобы таких ситуаций не возникало, необходимо не только иметь доступ к свежей базе уязвимостей и автоматизированное средство их обнаружения, например, Efros Config Inspector, но и вовремя устанавливать патчи от производителей ПО", - сказал руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

*NTLM v2 - это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.

23 января 2024 г. Государственной думой в первом чтении принят законопроект об оборотных штрафах для ИТ-компаний, допустивших утечки ПДн пользователей. По мнению главного эксперта из "Лаборатории Касперского", хакеры ждут этого закона, чтобы начать вымогать деньги у российских ИТ-компаний.

Оборотные штрафы и уголовная ответственность для хакеров

Депутаты Госдумы приняли в первом чтении законопроект, предусматривающий изменение штрафов за утечки персональных данных (ПДн) пользователей и введение уголовной ответственности для хакеров. Штраф будет расти в зависимости от количества субъектов ПДн, чьи данные были "слиты".

В декабре 2023 г. CNews сообщал о внесении данного законопроекта в Государственную думу.

Если законопроект будет принят, то от 1 до 10 тыс. субъектов ПДн приведут к штрафу от 3 до 5 млн руб., от 10 тыс. до 100 тыс. - от 5 млн до 10 млн руб., а более 100 тыс. субъектов - от 10 млн до 15 млн руб.

В случае повторной утечки данных законодатели предлагают ввести оборотные штрафы от 0,1% до 3% выручки за календарный год или за часть текущего года, но в пределах от 15 млн до 500 млн руб.

В том числе, законопроект предусматривает установление уголовной ответственности за незаконные использование, передачу, сбор и хранение ПДн граждан России. Максимальной санкцией за эти деяния может стать лишение свободы на 10 лет со штрафом до 3 млн руб., которая предусмотрена за совершение преступления в составе организованной группы.

Сергей Голованов, главный эксперт "Лаборатории Касперского", считает, что злоумышленники ждут ввода оборотных штрафов для усиления своих переговорных позиций и шантажа компаний, чьи данные они смогли выкрасть.

"В ходе расследований, которые мы провели в конце 2023 г. мы выяснили, что очень много информации, которая была украдена за весь прошедший год, не была опубликована", - заявил он. Также Сергей Голованов дополнил, что "Лаборатории Касперского" известно, из какой компании и сколько данных утекло.

Самым большим выкупом в России, который требовали хакеры были $3 млн, запрошенные киберпреступной группировкой Twelve. Хакеры предлагали восстановить данные, которые были зашифрованы на компьютерах компании за эту сумму. По словам эксперта, злоумышленники использовали стандартные уязвимости телекоммуникационного оборудования.

"Тем не менее, никаких переговоров с вымогателями вести не нужно", - сказал Сергей Голованов.

Однако, он отметил, что количество утечек в 2023 г., хоть и упало по сравнению с 2022 г., но число записей, опубликованных хакерами выросло на 33% и достигло 315 млн.

Люстрации для топ-менеджмента за утечки данных

Вчера, 22 января 2024 г., CNews рассказал о законопроекте, в котором предлагается люстрация для ответственных за информационную безопасность (ИБ) в российских банках, которые допустили утечку.

Проект закона был подготовлен при участии Банка России. "Он предусматривает повышение уровня персональной ответственности заместителя главы банка в области ИБ за нарушения требований по защите информации пользователей, которые привели к утечке ПДн или банковской тайны", - сообщили "Известиям" в Банке России.

Законопроект коснется не только банков, но и страховых компаний, пенсионных фондов и микрокредитных финансовых организаций.

Примерно десять лет назад произошли значительные изменения датчиков, что привело к ускорению развития IoT. Но помимо датчиков, в эту сложную систему входит несколько важных элементов.

Для упрощения понимания, основные узлы IoT-системы можно обозначить аббревиатурой ABCDE:

• "A" Analytics - аналитика. Это стартовый этап внедрения системы. Перед началом установки необходимо собрать и проанализировать большое количество данных. На этом этапе происходит сбор статистических данных, нужных для функционирования системы и поддержания определенного уровня: данные температуры или определенного времени суток, максимального груза, корректного адреса и тд.

• "B" Big Data - массивы данных. Большая часть IoT-систем работают с крупными массивами данных, которые обрабатывают и на основании этого делают выводы. К одному управляющему модулю могут быть подключены сотни разных датчиков. Модуль делает вывод из показаний и выполняет определённые действия согласно заданию.

• "C" Connections - соединения. Все устройства в рамках интернета вещей связаны между собой. Иногда специфика работы требует ограничений для подключения к Интернету в целях обеспечения безопасности. Чаще всего это слаботочные подключения или Bluetooth, но иногда под IoT выделяют отдельные радиочастоты. Такое соединение называют 0G по аналогии с 4G или 5G.

• "D" Devices - устройства. Чаще всего они имеют небольшие размеры и имеют большое количество разъёмов и интерфейсов. Их и называют управляющими модулями. Есть еще и датчики, передающие на микрокомпьютер информацию. Ну и сам микрокомпьютер. Этого достаточно для построения системы интернета вещей средней сложности.

• "E" Experience - опыт. Задачи, которые необходимо реализовать и задачи, которые были реализованы. Примером могут быть успешные кейсы прошлых задач и положительный опыт разработчика.

Совсем скоро многие системы Интернета вещей будут насыщены "мозгами" отечественного производства. В Воронеже уже создают маловыводной 32-разрядный микроконтроллер для построения систем IoT. Работы ведутся в рамках нового комплексного проекта "Разработка и освоение в серийном производстве серии 32-разрядных микроконтроллеров" с использованием программы субсидирования в соответствии с постановлением Правительства РФ от 24 июля 2021 года № 1252.

Новое изделие представляет собой систему на кристалле, содержащую универсальное 32-разрядное процессорное ядро архитектуры RISC-V, встроеннуюэнергонезависимую память объемом 128 Кбайт, набор универсальных и специализированных под задачи управления двигателями блоков иинтерфейсов. Кроме того, одноядерный 32 разрядный микроконтроллер с малым количеством выводов имеет поддержку приема и передачи данных (Rx/Tx) по РЧ интерфейсу.

17 января. /ТАСС/. Южнокорейская компания Samsung представила свои гаджеты из новой линейки S24 - смартфоны Samsung Galaxy S24, Galaxy S24 Plus и Galaxy S24 Ultra. Во всех устройствах встроена технология искусственного интеллекта, применяемая для разных целей. Как отметил глава мобильного подразделения Samsung Electronics Тэ Мун Ро, слова которого ТАСС передали в пресс-службе, эта серия знаменует начало нового десятилетия инноваций в мобильных устройствах.

В трансляции на YouTube-канале Samsung было рассказано о ключевых особенностях новых гаджетов. Стандартный Galaxy S24 имеет 6,2-дюймовый экран, S24 Plus - 6,7, Ultra - 6,8-дюймовый. Модели смартфонов доступны в четырех цветах: для Galaxy S24 и Galaxy S24 Plus - это черный, серый, фиолетовый и желтый, а Galaxy S24 Ultra - "серый титан", "черный титан", "фиолетовый титан" и "желтый титан". Galaxy S24 Ultra - первый смартфон Galaxy с титановой рамкой. У моделей S24 и S24 Plus рамка из усиленного алюминия.

Процессор S24 и S24 Plus - Exynos 2400, у Ultra - Snapdragon 8 Gen 3. Аккумуляторы моделей - на 4 000, 4 900 и 5 000 мАч соответственно. У всех гаджетов тройная основная камера. У S24 и S24 Plus - ультраширокоугольная 12 МП, широкоугольная 50 МП и телеобъектив 10 МП с 3x зумом. У Galaxy S24 Ultra - ультраширокоугольная 12 МП, широкоугольная камера 200 МП, телеобъектив 50 МП с 5x оптическим зумом. Фронтальная камера всех устройств - 12 МП.

Сеть фирменных магазинов Samsung galaxystore уже объявила, что начнет предзаказ новой флагманской линейки. Цены начинаются от 89 990 рублей, максимальный вариант - Galaxy S24 Ultra с 1 Тб памяти - обойдется в 189 990 рублей. Сотовый оператор МТС уже открыл предзаказ на новую линейку Samsung, сообщили ТАСС в компании. Стоимость варьируется в зависимости от модели: к примеру, Galaxy S24 Plus c 512 Гб будет стоить 124 990 рублей. "Максимальный" вариант обойдется в 189 990 рублей.

В "Билайне" ТАСС сообщили, что откроют предзаказ на Samsung Galaxy S24 сразу после презентации вендора. "Дата старта продаж пока неизвестна, она будет зависеть от сроков доставки первых партий устройств", - добавили в компании. В "Мегафоне" предзаказ на новые модели Samsung уже открылся, стоимость смартфонов у этого оператора также от 89 990 до 189 990 рублей.

Galaxy AI

В новой линейке реализован первый универсальный искусственный интеллект для смартфонов - Galaxy AI. Его основа - собственные разработки Samsung, а также те, что были созданы в сотрудничестве с индустрией. "Galaxy AI создан на основе нашего инновационного наследия и глубокого понимания того, как люди используют свои смартфоны", - отметил Тэ Мун Ро.

К примеру, ИИ позволяет осуществлять двусторонний голосовой и текстовый перевод телефонных звонков в режиме реального времени в предустановленном приложении. Технология обеспечивает полную конфиденциальность разговоров. Samsung предупреждает, что может потребоваться загрузка пакета дополнительных языков, а доступность сервиса зависит от выбранного языка.

В приложениях на смартфонах новой линейки есть специальный чат-ассистент - он поможет подобрать идеальный тон общения для беседы. В серии Galaxy S24 реализован новый алгоритм ProVisual - комплексный набор инструментов на базе ИИ для расширения возможностей съемки.

Также участники опроса сообщили и о других инцидентах внутренней безопасности: дискредитация компании со стороны сотрудников (33%), откаты и взяточничество (29%), фирмы-боковики/сторонняя занятость (21%) и внешние атаки через сотрудников (19%). Кроме того, 17% российских ритейлеров сталкивались с промышленным шпионажем.

В 2023 г. вместе с персональными данными (30%), как и годом ранее, в зоне повышенного риска оказалась информация о клиентах и сделках. 62% респондентов указали, что такие данные утекают чаще всего. На третьем и четвертом местах - финансовая информация (28%) и техническая документация (25%).

"Компании из сферы ритейла имеют традиционную проблему - инсайдерство. Для этой отрасли информация (о клиентах, сделках, поставщиках, ценах) - суть бизнеса и один из основных активов. Поэтому защитные решения по большей части уже внедрены, что и объясняет распределение бюджетов на оплату поддержки и продление лицензий. Однако набирает обороты и импортозамещение, причем, без каких-либо регуляторного давления извне (ритейл не обязан внедрять отечественное ПО и оборудование). Считаю данный факт показателем зрелости российских ИТ-компаний, выпускающих прикладные решения", - сказал руководитель отдела аналитики "СерчИнформ" Алексей Парфентьев.

"Инсайдеры у ритейлеров - довольно частая ситуация, поэтому в них востребованы не только сами по себе решения для предотвращения утечек данных, но и программное обеспечения для контроля действий пользователей в том числе и привилегированных. Однако, такие решения недешевы и бывают нетривиальны в настройке, поэтому полезно иметь какие-то встроенные системы защиты, которые могли бы предотвращать утечки, или по крайней мере затруднять нелегитимные действия тех же инсайдеров. Если та же СУБД будет способна шифровать данные и хранить базу в зашифрованном виде, это серьезно усложнит процесс хищения данных. На российском рынке есть решение, позволяющее предотвратить утечку данных - это СУБД Jatoba", - говорит руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

Эксперты говорят, что вирус использует уязвимости во встроенной защите операционной системы от Microsoft. Программа обходит алгоритмы Windows Defender SmartScreen и связанные с ним запросы. Для того, чтобы провести атаку на пользователей, хакеры создают отдельный сайт в интернете и взаимодействуют с вирусной программой через него.

Phemedrone Stealer способен искать конфиденциальную информацию, сохраненную в веб-браузерах, мессенджерах Telegram и Discord и других источниках. Он также может делать снимки экрана и собирать информацию об устройствах, подключенных к компьютеру.

"Важно понимать, что в случае заражения компьютера внутри локальной сети предприятия, под угрозой находятся все корпоративные ресурсы. И следующий логичный шаг для злоумышленников, это горизонтальное перемещение внутри сети и атака на контроллер домена. В ОС Windows есть множество лазеек для повышения привилегий учетной записи, что позволяет легко эскалировать угрозу на более высокий уровень.

Ключевая проблема состоит в том, что данный вирус успешно обходил базовую защиту и о его действиях можно догадаться, анализируя поведение пользовательской машины. В ситуации, когда угроза не стала общеизвестной и обновление, закрывающее ее еще не вышло, от компрометации сети предприятия может спасти специализированное ПО с функционалом анализа поведения пользователей (UEBA). Например, отечественный продукт Ankey ASAP, который как раз и создан для подобных сценариев защиты", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Успешная интеграция этих продуктов позволит заказчикам повысить эффективность и безопасность работы с данными, а также даст возможность реализовывать проекты по автоматизации процессов информационной безопасности с использованием отечественной СУБД из реестра российских программ для электронно-вычислительных машин и баз данных, сертифицированной ФСТЭК по 4 уровню доверия.

Защищенная СУБД Jatoba является отечественной разработкой, предоставляющей пользователям возможность защиты данных: обфускацию хранимых процедур и функций, SQL Firewall, а также - возможность создания кластеров для отказоустойчивых, распределенных и высоконагруженных систем. Базируется на свободном программном обеспечении СУБД PostgreSQL.

Платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision - ИТ-платформа low code/no code, позволяющая роботизировать до 95% программно-технических ИТ/ИБ функций за счёт:

- создания элементов саморегулирующихся программных средств с использованием математических методов для высвобождения человека от участия в рутинных операциях и процессах получения, преобразования, передачи и использования информации;

- использования алгоритмов и методов машинного обучения;

- использования алгоритмов предиктивной аналитики больших данных и когнитивного поиска информации.

"Компания "Газинформсервис" очень нравится нам по духу. Коллеги стараются вести работу по принципу неравнодушного отношения к делу, и мы видим, что это, действительно, дает свои плоды. Выходят новые линейки продуктов, непрерывно происходит совершенствование существующих, и, как следствие, появляется всё больше довольных клиентов, использующих решения. Когда коллеги предложили нам реализовать интеграцию решений, обсудив видимую ценность этого, мы сразу же согласились. Очень важно сейчас, чтобы российские компании объединялись и объединяли усилия с пользой для клиентов", - отмечает коммерческий директор компании Security Vision Екатерина Черун.

"Обеспечение информационной безопасности остается одной из первостепенных задач для крупного бизнеса. Совместимость программного обеспечения дает возможность расширять спектр защиты. Мы рады предоставить пользователям ПО Security Vision такие важные функции, как безопасность и производительность, которые есть в нашей СУБД Jatoba", - говорит заместитель генерального директора - директор департамента организации работ с заказчиками компании "Газинформсервис" Роман Пустарнаков.

Чтобы установить троян в систему жертвы, злоумышленники эксплуатируют уязвимость в Microsoft Defender SmartScreen (CVE-2023-36025). Phemedrone - опенсорсный инфостилер, собирающий данные жертвы из веб-браузеров, криптокошельков, а также мессенджеров Discord, Telegram и клиента Steam. Собранная информация отправляется в руки операторов Phemedrone и впоследствии используется для продажи другим злоумышленникам или развития собственных атак, пишет Anti-malware.ru.

Уязвимость CVE-2023-36025, фигурирующая в кампании Phemedrone, позволяет обойти защитную функцию SmartScreen. В ноябре в общий доступ выложили соответствующий эксплойт. С выходом ноябрьского набора патчей Microsoft устранила CVE-2023-36025 вместе с другими пятью уязвимостями нулевого дня. В отчёте Trend Micro специалисты отмечают, что упомянутую брешь используют не только операторы Phemedrone. CVE-2023-36025 была замечена и в атаках программ-вымогателей. При запуске в системе Phemedrone расшифровывает необходимые компоненты, получает конфигурацию и начинает сбор данных из определённых приложений. Для передачи сведений используется Telegram.

Юлия Парфенова, менеджер направления "контроль целостности" Efros Defence Operations, ООО "Газинформсервис" говорит, что эксплуатация уязвимостей - один из распространенных векторов атак у злоумышленников."Для автоматизации процесса поиска уязвимостей целесообразно использовать специализированное ПО. Так, например, Efros DefOps помимо проверки на наличие известных уязвимостей предоставляет опции по построению векторов атак с учетом модели нарушителя. Такие функции могут быть полезны в крупной инфраструктуре, в которой обновление ПО проходит редко и имеется необходимость расчета достижимости уязвимостей", - говорит Юлия Парфенова.

Хакеры все чаще используют в своих атаках CVE-2023-46805 и CVE-2024-21887. Список жертв в основном включает государственные и частные организации по всему миру, среди которых военные учреждения, национальные телекоммуникационные компании, оборонные подрядчики, технологические компании, банки, финансовые и бухгалтерские организации, мировые консалтинговые компании, а также фирмы в аэрокосмической, авиационной и инженерной отраслях.

Подтверждено, что злоумышленники могут выполнять произвольные команды на всех поддерживаемых версиях VPN Connect Secure и устройствах Policy Secure, успешно сочетая две ранее выявленные уязвимости CVE-2023-46805 и CVE-2024-21887.

К активной эксплуатации этих уязвимостей присоединилось множество новых хакерских группировок.

"VPN-устройства Invanti на протяжении последнего месяца подвергаются хакерским атакам. В них была выявлена уязвимость нулевого дня, которую используют злоумышленники для проникновения в локальные сети предприятий. Большинство устройств от данного производителя расположены на территории США, однако VPN-устройства устанавливаются в демилитаризованной зоне сети, и они доступны из внешних сетей, что делает их первоочередной целью для атаки злоумышленников. Здесь важно тщательно защитить свои устройства, к которым есть доступ из вне. Даже правильно настроенное устройство может быть взломано, если в нем есть не устранённая уязвимость нулевого дня. Администратор информационной безопасности должен использовать не только встроенные возможности таких устройств, но и применять специальные средства защиты информации, которые позволяют анализировать конфигурации сетевого оборудования, сигнализировать о внесение изменений в конфигурацию, выявлять наличие известных уязвимостей, проводить контроль политик сетевого доступа на межсетевых экранах. Например, в качестве такого средства может использоваться российская платформа корпоративного уровня EFROS Defence Operations", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Злоумышленники стали активно использовать в России новую схему для обмана владельцев потерянных или украденных iPhone, пишут "Известия". Аферисты отправляют владельцам гаджетов фальшивые сообщения от имени сервиса iCloud, в которых якобы содержатся ссылки с указанием местоположения устройств. При переходе по этой ссылке пользователи оказываются на странице, копирующей стиль оформления компании Apple, где им предлагается ввести логины и пароли от iCloud.

"Злоумышленники стали применять новую фишинговую схему, чтобы "обнулить" телефон и получить доступ к чувствительной информации на смартфоне. Важно понимать, что в целом все фишинговые атаки рассчитаны на невнимательность пользователей. Чтобы не стать жертвой мошенников, надо внимательно смотреть от кого пришло сообщение и на какой сайт вы собираетесь перейти. Эти простые проверки помогут сохранить конфиденциальность ваших данных. Если же вы уже ввели чувствительную информацию на подобном фишинговом сайте, то рекомендуется срочно изменить свои пароли для AppleID", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

В рамках этой программы Applite предоставляет бесплатные бессрочные лицензии операционной системы Атлант с централизованной системой управления программным обеспечением и технической поддержкой на шесть месяцев. Образовательные учреждения высшего, среднего или дополнительного профессионального образования имеют право на получение лицензий на безвозмездной основе в рамках данной программы.

Программа ГК Applite была разработана с учетом наличия дефицита системных администраторов, обладающих опытом работы с Linux-системами, особенно в детских садах, школах и техникумах. Поэтому в течение полугода наша техническая поддержка будет оказывать помощь ИТ-специалистам в освоении нового программного обеспечения по управлению ИТ-инфраструктурой и его внедрению в образовательные учреждения.

Программа поддержки образовательных учреждений в процессе импортозамещения от ГК Applite предоставляет уникальную возможность образовательным организациям комфортно перейти на отечественное ПО и сократить затраты на лицензионное программное обеспечение, а также на его поддержку.

"Для успешной реализации перехода на отечественное программное обеспечение необходимы компетентные специалисты, способные грамотно управлять ИТ-инфраструктурой. Поэтому в рамках программы наша компания предоставляет бесплатное сопровождение и поддержку ИТ-специалистам на протяжении шести месяцев. Мы осознаем важность бесперебойного учебного процесса, поэтому наша цель - обеспечить плавный переход на отечественный софт образовательным организациям, минимизируя препятствия и предоставляя соответствующий уровень поддержки", - отметил директор по стратегическому развитию ГК Applite Артем Стыценко.

Ключевой функциональностью FBot является возможность собирать учётные данные для последующего проведения спамерских атак, пишет Anti-malware.ru. Помимо этого, инструмент позволяет проводить атаки против аккаунтов PayPal и SaaS. FBot похож на другие тулкиты: AlienFox (тоже ворует учетки AWS, Google, Microsoft 365 для рассылки спама), GreenBot, Legion и Predator. Его задача - взломать облачные сервисы и утащить учётные данные. После этого все логины и пароли продаются другим киберпреступникам.

Дополнительно FBot способен генерировать ключи API для AWS и Sendgrid, случайные IP-адреса, а также запускать сканеры IP и даже проверять актуальность PayPal-аккаунтов с помощью адресов электронной почты. У новинки есть и специальные функции, заточенные под AWS: вредонос может проверять конфигурацию AWS Simple Email Service (SES). Интересно, что FBot также способен извлекать креды из файлов окружения Laravel.

"Различные тулкиты для взлома появляются регулярно, какие-то становятся популярными и получают обновления в течение многих лет, а какие-то не находят поддержки у хакерского сообщества и растворяются на просторах интернета. Однако, важно понимать, что сами по себе инструменты ничего взломать не могут. Атаку проводят люди, которые используют тот или иной инструментарий для автоматизации определенных задач. При этом, если уязвимости нет, то никакой волшебный инструмент ее не создаст, а вот отслеживать существующие уязвимости помогают программные комплексы непрерывного мониторинга, например, такие как Efros CI", - говорит руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

NoaBot - новый ботнет, основанный на известном Mirai. Он уже был замечен в компаниях криптомайнинга. Его особенность - самораспространяющийся компонент и SSH-бэкдор, пишут на сайте ИБ-компании Akamai.com.

Модуль NoaBot, отвечающий за распространение, задействует SSH-сканер для поиска уязвимых к подбору паролей серверов. Вредоносное ПО использует нестандартные библиотеки и методы шифрования, чтобы затруднить обнаружение и анализ вредоносного ПО. При необходимости NoaBot легко загружает и выполняет дополнительные бинарники, а также пытается найти новые жертвы и перескочить на них.

Исследователям из Akamai удалось выявить 849 IP-адресов жертв нового ботнета. Основная часть заражений пришлась на Китай, хотя географически киберпреступники не привязываются к какой-либо стране.

Юлия Парфенова, менеджер направления "контроль целостности" Efros Defence Operations, ООО "Газинформсервис" говорит, что сетевые черви всегда были популярны у злоумышленников. "Хакеры постоянно стараются найти новые способы взлома IT-инфраструктур и появление нового ботнета - это дополнительный инструмент для массовых атак. Важно понимать, что защищать свою IT-инфраструктуру необходимо не только с помощью антивирусов, но также использовать и другие инструменты защиты, такие как контроль целостности, контроль доступа, использовать жесткую парольную политику. Такой набор действий значительно усложнит процесс взлома, и увеличит вероятность быстрого обнаружения попыток проникновения в сеть. Так, например, изменения файловой системы, появление новых бинарных файлов будет обнаружено с помощью инструмента контроля целостности", - говорит Юлия Парфенова.

Издание отмечает, что внедрение платформы Efros DefOps позволяет решить широкий перечень задач: контроль доступа, аудит уязвимостей, моделирование векторов атак, организацию task-портала, анализ правил межсетевых экранов и другие - с управлением в одной консоли. Также в Efros DefOps реализована детализированная настройка прав пользователей, что позволяет гибко назначать права доступа сотрудникам ИБ- и ИТ-отделов. Поддержка широкого перечня оборудования, возможность кластеризации, работа в облачных средах позволяют размещать ПК в крупных распределенных инфраструктурах с высокими требованиями к ИБ. "Ну и разумеется, этот продукт полностью импортонезависим", - пишет IT-Expert.

Получение награды прокомментировала менеджер по продукту Efros Defence Operations компании "Газинформсервис" Мария Кудрявцева:

- Защита информации - это современный вызов, который требует непрерывных улучшений и инноваций. Получение награды "Продукт года 2023" - это результат труда и целеустремленность специалистов команды EFROS в течение многих лет. Признание экспертного сообщества вдохновляет нас на еще большие достижения в будущем. Наш первый Efros, решение для контроля конфигураций, появился еще до 2010 года. Сейчас это многофункциональная платформа, решение корпоративного уровня.

Модули, входящие в состав комплекса, можно использовать для импортозамещения таких решений, как: Cisco ISE, Algosec Firewall Analyzer, Tufin SecureTrack, Skybox Security Suite, решений от Solarwinds, Tripwire и многих других.

Китайские инженеры научились взламывать AirDrop - функцию техники Apple, предназначенную для передачи данных через Bluetooth. С помощью нового способа правоохранительные органы могут отследить, с какого устройства была передана та или иная информация, и назвать его владельца.

Специалисты отметили, что AirDrop часто пользуют нарушители порядка, которые делятся различными медиафайлами в общественных местах. Пользователь, получающий фотографию или видео на свой девайс через Bluetooth, не знает контакта отправителя - AirDrop шифрует его данные. Однако, эксперты из Пекина заявили, что смогли обойти защиту.

"Раскрытие уязвимости в популярном продукте, которым пользуются миллионы пользователей - это всегда событие. Однако, пока нет подробностей, какие именно условия должны быть выполнены, чтобы взлом был успешным. В любом случае, если говорить о бизнесе или государственных компаниях, то для уменьшения поверхности атаки, специалисты по информационной безопасности отключают потенциально небезопасные функции устройств и программ, а также централизованно отслеживают события информационной безопасности на всех конечных устройствах. Очень хорошим подспорьем в этой ситуации являются решения вроде Efros CI, которые позволяют мониторить уже существующие уязвимости на самых различных устройствах и своевременно оповещать администраторов о необходимости обновления", - говорит руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

Пользователи Telegram столкнулись с новым видом мошенничества, выяснил РБК. Сначала злоумышленники получают доступ к аккаунту, затем начинают писать потенциальным жертвам из числа списка контактов его владельца с просьбой перевести деньги. Историю о необходимости помощи преступники подкрепляют голосовым сообщением якобы от лица владельца аккаунта. Для аудиосообщения используются нарезки из его реальных старых голосовых сообщений.

"Пока что, рядовые пользователи могут защититься от подобных атак только перепроверяя сообщения с просьбой о переводе денег по другим каналам связи. Сейчас, для пользователей нет технических решений уровня UEBA, с поведенческой аналитикой и поиском аномалий. Что касается социальных сетей и мессенджеров, то уверен, что они начнут применять поведенческую аналитику, основанную на ИИ для защиты своих клиентов от подобного рода атак в ближайшее время. Сегодня уже существуют специальные решения для подобного рода задач, связанных с анализом аномального поведения пользователей в корпоративных сетях, например, Ankey ASAP. Думаю, что в течение ближайших 5-10 лет, подобные решения по защите пользователей от вымогательских атак, сгенерированных ИИ, станут нормой жизни и будут доступны на премиальных подписках мессенджеров и в виде специализированных персональных защитных приложений, в которые будут преобразованы существующие антивирусные программы", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Аналитики объясняют разнонаправленную динамику ростом активности бизнес-ангелов и коллективных вложений инвесторов в один проект. В 2024 году на вложениях в IT-разработки может положительно сказаться укрепление локального рынка IPO, считают эксперты, но сомневаются, что ему удастся компенсировать негативное влияние политических факторов.

По данным инвестиционной платформы Dsight, в 2023 году было заключено 158 сделок с IT-стартапами на общую сумму $71 млн (учитываются только публичные соглашения с молодыми командами). Это на 15% больше по числу сделок, чем в 2022 году, но на 83% меньше по их объему в деньгах, пишет "Коммерсантъ".

Свое мнение о проблеме высказал эксперт федерального проекта "Биржа IT-стартапов" Дмитрий Овчинников:

"Падение объема рынка IT-стартапов в 2023 году можно объяснить тем, что многие компании предпочли перекупать активы уходящих зарубежных компаний и вкладывать деньги в освоение текущего рынка. Полагаю, что ситуация поменяется, как только рынок полностью стабилизируется. Крупные игроки должны вернуться к инвестированию в венчурный капитал, ведь это может дать ощутимое преимущество перед конкурентами. В свою очередь, IT-cтартапы в России активно ищут инвестиции, например, в оргкомитет "Биржи IT-стартапов в 2023 году поступило порядка 300 заявок, в то время как в 2022 году их было менее 100", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

На этот раз злоумышленники отправили целевой компании фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий, пишет Securitylab.ru.

Внимательный анализ письма выявил несоответствия: оно было отправлено с бесплатного почтового сервиса, а фамилия в адресе не совпадала с подписью исполнителя. В рамках атаки злоумышленники планировали использовать вредоносную программу Darktrack RAT, позволяющую получить удаленный доступ к системе жертвы.

В начале декабря та же группировка атаковала российский научно-исследовательский институт, занимающийся разработкой вакцин. Рассылка тогда также велась от имени Минстроя РФ.

"Sticky Werewolf в октябре этого года уже атаковали государственные организации в РФ, и тактика была такая же - фишинговые письма со ссылкой на вредоносный код. При всей кажущейся простоте, стоит отметить, что получается весьма эффективно. Особенно, когда атака является целевой и письма сконструированы именно так, чтобы мотивировать потенциальную жертву нажать ссылку", - говорит руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

Одна из особенностей вирусного ПО - возможность отключения биометрического сенсора на Android-смартфоне. В этом случае аппарат выдает ошибку при попытке снять блокировку - для входа пользователю приходится вводить цифровой пароль. Затем вирус ворует данные владельца девайса. Вредонос работает на смартфонах под управлением Android 13 и более ранних версий ОС.

Киберэксперт Сергей Полунин рассказал, как можно защититься от атаки "Хамелеона". "Есть целый класс атак, направленных на снижение уровня защиты устройства или протоколов, которые, например, вынуждают человека использовать менее надежные средства защиты. Также и в этом случает - пользователю кажется, что не сработал привычный способ аутентификации и он соглашается использовать менее безопасный. Здесь, конечно, имеет место аспект социальной инженерии, потому что изначально вредоносное ПО абонент ставит самостоятельно вместе с необходимым приложением. Хорошая новость в том, что любой антивирус для мобильных телефонов предупредил бы пользователя о потенциальной проблеме, поэтому пользуйтесь антивирусом и своевременно обновляйте его", - говорит руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

Главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников выделил 5 основных мошеннических схем и поделился методами защиты от них.

Помните, бдительность и осторожность в вопросах, касающихся финансов - первые барьеры на пути к сохранности ваших средств, - подытожил главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Как сообщили аналитики, 77% компаний применяют российские системы работы с данными, остальные продолжают использовать западные, пишет ТАСС. Из тех компаний, которые работают с отечественными системами, 52% перешли на них после ухода из России зарубежных вендоров, а 48% и прежде использовали российские решения. При этом 43% перешедших на отечественные системы разработали собственные технологические инструменты.

Самыми распространенными оказались системы управления взаимоотношениями с клиентами (CRM), системы электронного документооборота и работы с контентом (СЭД/ECM) - их используют 50% компаний. Почти четверть организаций внедрили инструменты планирования ресурсов предприятия (ERP). Также в ТОП-5 самых популярных вошли системы по управлению персоналом (HRM) и по работе и визуализации данных (BI-системы). Показатель удовлетворенности работы таких IT-систем находится на высоком уровне и варьируется от 76% до 82%.

В онлайн-опросе участвовали IT-директора компаний различных отраслей по всей России.

"Вместе с ростом использования отечественных систем для работы с данными наблюдается отчетливый тренд на создание или модернизацию систем защиты подобных систем. Сегодня уже мало просто импортозаместить какое-либо IT-решение, необходимо также организовать непрерывный процесс обеспечения информационной безопасности. Особенно это важно в связи с новыми штрафами в отношении компаний, которые допустили утечку пользовательских данных", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Схема работает так: злоумышленники создают в Telegram поддельный аккаунт банка, размещают на аватаре официальный логотип кредитной организации и указывают ее название. Далее мошенники начинают отправлять потенциальной жертве сообщения с рекламой или новостями банка, завоевывая тем самым его доверие, рассказала Известиям куратор платформы Народного фронта "Мошеловка" Алла Храпунова. Если человек возмущается, что такие рассылки незаконны, мошенники отвечают, что вступил в силу 584-ФЗ, который вносит изменения в закон "Об информации, информтехнологиях и о защите информации" и он позволяет писать клиентам в мессенджерах. Затем злоумышленники звонят жертве в мессенджер и сообщают, что предлагают услугу страхования, оформленного сегодня клиентом кредита или уменьшения ежемесячного платежа. Поскольку клиент у банка ничего в этот день не брал, он начинает волноваться и опровергать этот факт. После этого аферист обещает помочь разобраться с ситуацией и перевести на сотрудника службы безопасности. Позже жертве звонят уже по сотовой связи или в мессенджере и выпытывают у нее чувствительную информацию, уговаривают установить программы удаленного доступа или оформить на себя "зеркальный" кредит и перевести деньги на "защищенный счет".

"Чтобы не стать жертвой мошенников, помните о том, что любую полученную информацию надо верифицировать. Если вы решили позвонить в финансовую организацию услугами которой пользуетесь, то рекомендую набирать номер, указанный на своей банковской карточке или на официальном сайте. Если звонят вам, то будьте бдительны и не забывайте о том, что действия, совершенные в спешке потом уже не отменить - именно на это и рассчитывают аферисты. Не зря же есть поговорка - семь раз отмерь, один раз отрежь. Особенна она актуальна при обращении с финансами", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Участие в исследовании приняли технические директора крупнейших компаний из 15 ключевых для российской экономики индустрий. Опрос показал, что сегодня 20% компаний-респондентов применяют генеративный ИИ в самых разных бизнес-процессах. Из них 12% уже определили приоритетные функции и сценарии для внедрения технологии, а еще 1/3 - проводит точечные эксперименты.

Сферами, в которых генеративный ИИ внедряется чаще всего: продажи и маркетинг - 66%, клиентский сервис - 54%, исследования и разработки - 49%, а также IТ - 31%.

"Использование ИИ - понятие очень широкое. Даже, если вы используете YandexGPT для генерирования небольших текстов, то уже попадаете в эту статистику. Я думаю, что таких компаний действительно много, и будет становиться еще больше с ростом предложений на рынке ИИ-платформ. Интерес к теме ИИ не снижается, но пока для многих неочевидно - как можно использовать его именно в конкретных случаях, для решения определенных бизнес задач", - говорит руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин.

В рамках третьего выпуска руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин и директор по развитию компании "Индид" Ольга Попова обсудили - как происходит взаимодействие с заказчиками, тонкости многофакторной аутентификации, насколько важно сегодня технологическое сотрудничество и немного поговорили о личном. Также Ольга Попова приоткрыла занавес нового интригующего проекта - "Женсовет по ИБ".

Следующий выпуск шоу выйдет уже в новом году. Следите за анонсами в социальных сетях компании "Газинформсервис".

Автор и ведущий шоу, руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин:

- В новом году зрителей нашего шоу ждёт еще больше интересных гостей, увлекательных разговоров на тему информационной безопасности и, конечно, вкусных рецептов. Такие у нас планы, ведь канун Нового года - время задумок на будущее и я хочу пожелать, чтобы в этот раз все они осуществились и для вас!

Гость шоу, директор по развитию компании "Индид" Ольга Попова:

- Хочу пожелать компании "Газинформсервис" не останавливаться и развивать "Инфобез со вкусом". Ведь мир информационной безопасности - это не только вендоры, интеграторы, ПО, но, прежде всего, это люди: интересные, разносторонние, увлеченные в жизни и "горящие" в работе. И ваше шоу делает всех нас ближе друг к другу - за это отдельные слова благодарности.

Посмотреть 3-й выпуск шоу об информационной безопасности и кулинарии можно здесь.

Напоминаем, гостями предыдущих выпусков были: Михаил Писарев, коммерческий директор компании "Открытая мобильная платформа" - разработчик ОС "Аврора" и Валерий Иванов, главный редактор портала Cyber Media.

Больше половины из них - 58% оцениваются как критические. Среди основных причин подобных случаев опрошенные отметили недостаток инструментов для обнаружения угроз (15%) и нехватку внутренних профильных специалистов (10%).

В ходе исследования также выяснилось, что в течение полутора лет более четверти организаций (27%) планируют инвестировать в привлечение сторонних экспертов, а 11% намерены передать кибербезопасность организации на аутсорсинг по модели MSP/MSSP (Managed Service Providers/Managed Security Service Provider).

"В связи с возросшей активностью киберпреступников на рынке информационной безопасности наметился важный психологический сдвиг - многие осознали реальность киберугроз, а некоторые уже успели ощутить последствия хакерских атак. Мы наблюдаем, что многие компании стали ценить свои активы и более осознанно и гибко подходить к их защите", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Мошенники отправляют сообщения через мессенджеры и электронную почту. От лица управляющих компаний и коммунальных предприятий они предлагают потенциальным жертвам оплатить счета с солидной скидкой - примерно в три раза ниже указанной в счете стоимости.

Чтобы воспользоваться скидкой жертву просят заполнить форму для оплаты коммунальных услуг. Однако, ссылка на самом деле ведет на фишинговый сайт, где введенные пользователем персональные данные и данные банковской карты попадают в распоряжение злоумышленников.

"Коммунальные платежи - это достаточно лакомая цель для мошенников, так как их платят все, а возможность получить скидку звучит как сладкая песня для семейного бюджета. Кроме того, сами коммунальные компании часто меняют способы оплаты, дизайн своих сайтов, дома переходят от одной обслуживающей компании в другую и все это в совокупности создает благодатную почву для фишинговых действий мошенников", - говорит главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.

Чтобы не стать жертвой мошенников достаточно соблюдать два простых правила. Первое - оплату производить только на официальном сайте обслуживающей компании и внимательно изучать адрес веб-ресурса, проверить его правильность в сети Интернет. Второе правило - никогда не доверять платежным документам, поступившим от незнакомых контактов. "Все оплаты надо проводить вдумчиво. Помните, мошенники активно используют подмену адресатов в электронной почте, фишинговые сайты и методы социальной инженерии для обмана", - рассказал киберэксперт.