Охота на фишинг: сезон открыт. Теперь всего за несколько кликов.

Как-то раз после новогодних праздников очнулся опытный интернет-пользователь, заслуженный блогер и мастер поисковых машин Василий Пупкин чуть попозже (и не в самом приподнятом настроении духа), заставил своё тело сменить горизонтальную ориентацию в пространстве на чуть более вертикальную, погрузил ноги в шлёпки и отправился поправляться первой чашкой кофе. Но на пути к кофемашине его полный утренней неги взор упал на чуть мерцающий незалоченный после вчерашнего экран. И решил Василий – на беду свою! – зачем-то в нетвёрдом ещё сознании залезть обратно в почту-бложки и прочие чатики. «А что там новенького?» — попутал его чёрт в левое полушарие не до конца проснувшегося головного мозга. Шлёп-шлёп по клавишам, и аккурат на третьем касании отправился Василий в увлекательнейшее киберпутешествие на какой-то очередной зловредный фишинговый сайт. Всё бы ничего, используй он нормальное «патентованное средство» от интернет-паразитов (сами знаете какое). Ведь как «настоящий опытный пользователь» Василий был гарантированно защищён от всех цифровых напастей своей многолетне натруженной киберкармой – с гарантией! И потому просто для порядка держал в своём арсенале какую-то общедоступную вшигонялку, которая в этот самый важный момент его и не уберегла…

История длинная получается, посему сразу перейду к её эндшпилю.

«Не твой день сегодня, Василий!» — если говорить кратко. А подробнее: если считать по качеству и количеству проклятий и сквернословий, в то утро Василий использовал свой полугодовой запас. Но и это тоже не помогло. И смирился уже прокачанный интернет-ас с потерями, уже сам связался со службой безопасности своего банка, уже прикидывал, как он будет ручками восстанавливать всё и вся… – но больше всего в этот момент он ненавидел тех неведомых мерзавцев, которые устроили ему такое карнавальное утро, а также этот самый зловредный фишинговый сайт. И готов был он обещать горы золотые (как это часто в таких случаях и бывает) за то, чтобы прибить эту интернет-заразу, скормить вредоносную страницу бесам и дьяволам киберпространства, вызвать цифровых ангелов для предания анафеме… Ну, далее понятно. Кофе между тем он себе так и не заварил.

— Ну что, поможем Василию Пупкину?
— Да! — громко и хором закричали дети.
Но для этого надо прочитать немного технического текста, в котором описан замечательный инструмент решения этой неприятной проблемы. Текст не слишком занудный, посему все велкам ->

=======

Threat Intelligence (далее TI) – это набор важных сервисов, которые помогают ориентироваться в непростом ландшафте киберугроз и принимать решения для совершенствования защиты. Это сбор и анализ данных об эпидемиологической обстановке в корпоративной сети и за её пределами, профессиональные инструменты для расследования инцидентов, аналитические отчёты о новых целевых кибератаках и многое другое. Каждый разработчик корпоративных систем кибербезопасности имеет в своей продуктовой экосистеме такой «козырь», поскольку без него экосистема – всё равно, что стул без ножки. В любой момент можно упасть. И больно удариться.

C TI специалист может наблюдать за окрестностями своей киберкрепости (и даже заглядывать за горизонт), понимать, откуда идёт враг, как он экипирован, что у него на уме и в кармане, какие стратегии, тактики и разведданные он использует. Без этого, даже с лучшим вооружением и непробиваемыми стенами, крепость не защищена: возьмут не через ворота, а, например, подкопом или воздушным десантом. Совсем не смешно.

<рекламная пауза ON :)> Мы в «Лаборатории» начали развивать собственный TI-портал и в 2016 году. Доразвивались так, что в прошлом году аналитическое агентство Forrester признало нас одним из мировых лидеров. С Forrester согласно множество известных имён со всего мира – наших заказчиков (например, Telefonica, Мюнхенский аэропорт, Chronicle Security, CyberGuard Technologies), которые давно и успешно используют наши TI-сервисы. <рекламная пауза OFF>

Дальше: рррраз — и всё!…

Линукс вылечит себя сам? Нет! Пора разворачивать полевой госпиталь. Вместе.

Долгое время считалось, что Линукс – это такая непобедимая операционка, которой не нужны никакие антивирусы, ибо кибернегодяи туда особо не лезут. Я и сам долгое время аргументировал отсутствие у нас «домашнего» продукта под Linux тем, что киберпреступникам совершенно неинтересно атаковать персональные компьютеры под управлением этой ОС, поскольку максимум, что они могут оттуда украсть – это дипломную работу…

Долгое время так и было. Домашние линуксоиды были да и остаются народом продвинутым, но малочисленным. В основном это технари, которые свое дело знают хорошо. Но в корпоративном сегменте за последние лет 10 ситуация очень сильно поменялась. Особенно, если говорить о крупном и среднем бизнесе, госучреждениях. Там стали всё чаще и чаще использовать Линукс с целью снижения издержек и создания легко масштабируемой инфраструктуры. Но, к сожалению, ложное чувство защищённости у ИТ- и ИБ-отделов компаний осталось. А киберзлодеи не дремлют и наборы инструментов для проведения сложных атак и кибершпионажа постоянно совершенствуют. Вот и находки Линукс-зловредов стали для нас всё более частой историей.

источник

За последний год мы неоднократно сталкивались с применением шифровальщиков для «корпоративного» Линукса в целевых атаках таких группировок, как RansomEXX, REvil, DarkSide, HelloKitty, Babuk, Conti, Hive. Были и supply chain атаки на репозитории. На серверы устанавливают различных ботов (ddos, майнеры). Конечно, целевые атаки на Линукс пока все ещё случаются не слишком часто, но каждая крупная киберпреступная группа уже создаёт для них специальное вредоносное ПО. За последнее десятилетие такие операции проводили многие крупные группы, в том числе печально известные Sofacy, Equation, Lazarus. Эти атаки, несмотря на свою малочисленность или, наоборот, благодаря ей, оказываются весьма успешными и трудными для обнаружения.

Что имеем в сухом остатке?

Если вы пользователь Линукса на домашнем устройстве, мы с Линусом Торвальдсом жмём вашу руку, вы в относительной безопасности, наряд скорой помощи 24/7 под окнами вам не нужен. А развернуть полевой госпиталь и помочь со всем необходимым мы всегда готовы. Кстати, если есть волонтёры – то можно начинать разворачивать и прямо сейчас. Например, сделать OEM B2C AV-Linux на наших потрохах. Есть желающие? Пишите письма!

Ещё раз, крупным шрифтом: если у кого-либо, читающего этот текст, возникнет желание попробовать свои силы в разработке персонального Линукс-антивируса на наших «запчастях» (технологиях) – стучитесь по адресу выше, давайте это обсудим. Будем рады партнёрству.

Ну а если у вас корпоративный Линукс на критически важных серверах, то не советовал бы расслабляться. Защищайтесь, господа, кибервраг не дремлет! Подробнее о наших корпоративных Линукс-решениях читайте здесь.

Фотоканал на Flickr

  • Italy
  • Italy
  • Italy
  • Italy

Instagram Photostream

Свой среди своих, или киберскафандр для завода.

Посмотреть всего лет на 10 назад – кажется, что с тех пор технологии кибербезопасности улетели куда-то далеко за горизонт и оттуда надменно улыбаются ранее бытовавшим парадигмам, теориям и практикам.

Хотя… если хорошенько поскрести большинство этих «технологий», да подлечить волшебными снадобьями против воспаления артифишл интеллидженс, некстдженного зуда и прочего киберсекюрити-хайпа, то в корне останется всё тот же классический клубок проблем:

Как уберечь данные от неправильных глаз и несанкционированных изменений, при этом сохранив непрерывность бизнес-процессов?

Так и есть – святые лики конфиденциальности, целостности и доступности никуда не делись из иконостаса практикующего кибербезопасника. На них лишь осел толстый слой маркетинговой пыли. А также клюквы и лапши.

Цифра всегда приносит с собой одни и те же проблемы куда бы она не проникала. А проникать она будет дальше и глубже, потому что преимущества цифровизации слишком очевидны. Даже такие, казалось бы, консервативные области как тяжёлое машиностроение, нефтепереработка, транспорт или энергетика на самом деле уже давно и «по уши» в цифре. А вот тут начинается, как говорится, «трики парт» — и хочется и колется.

Понятно, что с цифрой эффективность бизнеса растёт как на дрожжах. Но с другой стороны, хакнут – мало не покажется (тому много примеров). Велик соблазн открыть объятья цифре (стихи!), но сделать надо это так, чтобы не было мучительно больно (читай – сохранить непрерывность бизнес-процессов). И для таких случаев в нашей «аптечке» есть специальное болеутоляющее – киберимунный шлюз KISG 100.

Эта маленькая «коробочка» с рекомендованной стоимостью около 90 тыс.руб устанавливается между цифровым промышленным оборудованием (назовём его «станок») и сервером, который собирает с этого оборудования различные сигналы. Сигналы самые разные – производительность, отказ, расход ресурсов, уровень вибрации, измерения выбросов CO2/NOx и др. – все они необходимы для формирования общей картины производства и последующего принятия обоснованных бизнес-решений.

«Коробочка» маленькая, да удаленькая. Она позволяет станку и серверу обмениваться исключительно разрешёнными данными и только в одном направлении. Таким образом мы моментально отсекаем целый зоопарк атак: man-in-the-middle, man-in-the-cloud, DDoS-атаки и разные другие болячки, которые могут прилипнуть к серверу на Интернет-просторах в наши непростые времена.

Дальше: не надо бояться, надо уметь готовить!…

В Лондоне ностальгировать. Но жизнеутверждающе, как же иначе.

Как вы догадались — моим следующим пунктом назначения был Лондон. Прибыли мы туда сильно раньше начала деловой программы, поэтому решили времени зря не терять и прогуляться по городу. Тем более, что отель был в центре недалеко от Темзы и вообще всё рядом. Пошли гулять по лондонским улочкам… как вдруг ->

Что-то место весьма знакомое… На что же именно среагировал мой внутренний склероз?.. Так это же здание конференц-центра имени Елизаветы Второй —> ровно(!) 10 лет назад (в ноябре 2011) здесь проходила London Cyberspace Conference, куда я прибыл по личному приглашению тогдашнего министра иностранных дел Великобритании (о как…)

Дальше: много воды утекло, но не туда…

Против самой злобной кибер-дряни: кто на свете всех сильней?

Самая неприятная заноза в современном кибер-мире с точки зрения ущерба, изощрённости и изобилующая громкими случаями… Ну, кто догадается?

Конечно рансомвара! (также известна как «шифровальщики», но далее будет использоваться профессиональный термин «рансомвара»). Так вот: рансомвара (не слишком ли уже часто здесь используется этот термин? :) настолько глубоко впилась в «цифру», столько «завалила» крупных организаций (даже являясь косвенной причиной человеческих жертв) и столько выкачала из них отступных, что даже СМИ охладели к новостям о новых атаках. Подумаешь, снова инцидент, снова выкуп, снова, снова и ещё раз. И это очень-очень тревожный звонок. Он означает, что кибер-негодяи выигрывают. Увы. Кибер-вымогательство становится нормой и с этим ничего не могут поделать.

Выигрывают они по трём причинам: в-третьих (начну с конца), «большие мальчики» не могут оставить геополитические игры, в результате национальные кибер-полиции не обмениваются оперативной информацией для координированного отлова операторов рансомвари; во-вторых, пользователи оказались недостаточно подготовлены к отражению таких атак; и (самое главное) – во-первых, не все стиральные порошки одинаковы антирансомварные технологии одинаково эффективны.

Эти технологии заявлены «на упаковке», но в реальной жизни работают в лучшем случае «не каждый раз. И в результате пользователи оказываются совершенно не защищены от профессиональных и весьма технически изощрённых атак рансомварных зловредов.

И этому факту теперь есть подтверждение: не так давно немецкий институт AV-TEST исследовал способности киберзащитных продуктов бороться с рансомварой. Не на бумаге, и в не гламурных маркетинговых слоганах, а в реальных боевых условиях, с «живой» реализацией всего возможного на текущий момент арсенала технологий шифровальщиков. Результат оказался ошеломляющим… В плохом смысле.

С защитой против известной рансомвары в каноническом сценарии атаки на защищённую систему справились почти все – если зловред попал в коллекции антивирусных компаний и практически все «знают его в лицо», то проблем с обнаружением нет.

Но если усложнить ситуацию и максимально приблизить её к реальной жизни? Как различные продукты среагируют на новый метод атаки рансомварного зловреда? Что будет если он тайно проникнет в корпоративную сеть и начнёт учинять там беспорядки? Например, как насчёт предотвращения сетевых атак, при которых удалённо шифруются файлы в общих папках? Причём с использованием тех же самых образцов рансомвары, которые были успешно обнаружены в первом сценарии.

Дальше: держитесь за стул…

Против самой злобной кибердряни: кто на свете всех сильней?

Самая неприятная заноза в современном кибермире с точки зрения ущерба, изощрённости и изобилующая громкими случаями… Ну, кто догадается?

Конечно рансомвара! (также известна как «шифровальщики», но далее будет использоваться профессиональный термин «рансомвара»). Так вот: рансомвара (не слишком ли уже часто здесь используется этот термин? :) настолько глубоко впилась в «цифру», столько «завалила» крупных организаций (даже являясь косвенной причиной человеческих жертв) и столько выкачала из них отступных, что даже СМИ охладели к новостям о новых атаках. Подумаешь, снова инцидент, снова выкуп, снова, снова и ещё раз. И это очень-очень тревожный звонок. Он означает, что кибернегодяи выигрывают. Увы. Кибервымогательство становится нормой, и с этим ничего не могут поделать.

Выигрывают они по трём причинам: в-третьих (начну с конца), «большие мальчики» не могут оставить геополитические игры, в результате национальные киберполиции не обмениваются оперативной информацией для координированного отлова операторов рансомвари; во-вторых, пользователи оказались недостаточно подготовлены к отражению таких атак; и (самое главное) – во-первых, не все стиральные порошки одинаковы антирансомварные технологии одинаково эффективны.

Эти технологии заявлены «на упаковке», но в реальной жизни работают в лучшем случае не каждый раз. И в результате пользователи оказываются совершенно не защищены от профессиональных и весьма технически изощрённых атак рансомварных зловредов.

И этому факту теперь есть подтверждение: не так давно немецкий институт AV-TEST исследовал способности киберзащитных продуктов бороться с рансомварой. Не на бумаге и в не гламурных маркетинговых слоганах, а в реальных боевых условиях, с «живой» реализацией всего возможного на текущий момент арсенала технологий шифровальщиков. Результат оказался ошеломляющим… В плохом смысле.

С защитой против известной рансомвары в каноническом сценарии атаки на защищённую систему справились почти все – если зловред попал в коллекции антивирусных компаний и практически все «знают его в лицо», то проблем с обнаружением нет.

Но если усложнить ситуацию и максимально приблизить её к реальной жизни? Как различные продукты среагируют на новый метод атаки рансомварного зловреда? Что будет, если он тайно проникнет в корпоративную сеть и начнёт учинять там беспорядки? Например, как насчёт предотвращения сетевых атак, при которых удалённо шифруются файлы в общих папках? Причём с использованием тех же самых образцов рансомвары, которые были успешно обнаружены в первом сценарии.

Дальше: держитесь за стул…

Шлюз раскрыт! Всё в пространтве кибер-индустриализации. Чувствовать разницу надо, а не что-то ещё.

На последней индустриально-кибериммунной конференции в Сочи ребята из компании Апротех отожгли по полной! — Они разыграли мини-спектакль и буквально на поролоновых параллелепипедах пальцах объяснили зрителям, в чём же, собственно, заключается отличие кибериммунного шлюза для промышленных данных на KasperskyOS от среднестатистического решения на базе операционной системы общего назначения. Получилось познавательно и весьма задорно!

Если кому-то долго смотреть, то в одном из предыдущих сентябрьских постов я уже кратко упоминал про три основных различия. Теперь надо, наверное, уже окончательно поставить все точки над Ё и раскрыть-таки чуть больше деталей по каждому из 3-х пунктов. Поехали!

1. Итак, первая фишка – это микроядро.

Дальше:

В Сочи промышленно и кибериммунно.

Личный опыт и другие умные люди рекомендуют со скепсисом относиться к экспертным предсказаниям будущего и всяким прочим разнообразным прогнозам. Хотя я это мнение разделяю, мне часто приходится подтверждать то, что мои личные предсказания, к сожалению, сбываются.

Когда 10 лет назад мы выбрали индустриальную кибербезопасность одним из магистральных направлений развития компании, считалось, что атаки на промышленное оборудование — это хайп и голливудщина. Ну, в крайнем случае, проблема ограниченного числа весьма специфических предприятий. Например, вот таких. Я же с начала 2010-х говорил о том, что атаки на промышленные объекты рано или поздно станут массовыми, и что современные средства промышленной безопасности не отвечают реалиям цифрового мира.

Сегодня атаки на промышленные объекты – это повседневная (и очень дорогостоящая!) реальность. Если с помощью рансом-шифровальщика в офисной сети крупного трубопровода можно кратковременно поднять цену на бензин во всех американских штатах, то цена атаки на промышленные компоненты оператора критической инфраструктуры может оказаться гораздо выше. Размер ущерба промышленным предприятиям, особенно объектам критической инфраструктуры, может «улететь в космос». Это же не только убытки в результате простоя предприятия, а удар по всем потребителям продукции. А это уже может быть весьма болезненно как для региональных экономик, так и для экономики национальной.

Дальше: про современный выбор современной промышленности…

Хакерская пирамида Маслоу в ландшафте современных кибер-геополитических реалий.

// звучит как название докторской диссертации :)

Как-то раз на прошлой неделе майским весенним утром я вышел на сцену и сказал буквально следующее: «Как же я рад вас всех здесь видеть!», — да просто потому, что все уже устали от этой затянувшейся коронаковидной истории эпохи биовирусного сезона, уже давно хочется вернуться в привычный ритм конференций, выставок и прочих массовых деловых активностей (и желательно без галстука). И тут у нас, как и было заказано, небольшое ежегодное мероприятие под названием «Kaspersky Security Day — 2021».

Дальше: про непредсказуемое кибер-геополитическое…

Первый (*кибериммунный*) пошёл!

Пришло время разбавить фото- и видеоотчёты о путешествиях и увиденных там природных и прочих достопримечательностях рассказом про наши продуктово-корпоративные новости и достижения. Тем более, что прямо сейчас мы вовсю запускаем и официально представляем миру наше первое полностью кибериммунное решение для обработки промышленных данных, которое открывает эпоху кибериммунитета и является первым вестником заката традиционной кибербезопасности. Как минимум в промышленных системах и интернетах вещей (IoT).

Дальше: всем иммунитета!…