Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.

В первом полугодии 2022 года количество предложений из-за рубежа сотрудникам российских компаний о предоставлении платных услуг, связанных с доступом к внутренним данным или запуском вредоносного кода, увеличилось в четыре раза по сравнению с аналогичным периодом прошлого года. Последние несколько месяцев такие объявления размещаются не только в даркнете, но и в Telegram. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Phishman.

Источник изображения: Pixabay

В сообщении сказано, что ранее подобные предложения можно было встретить исключительно в даркнете, но с весны 2022 года объявления такого характера начали появляться в профильных Telegram-каналах. В компании отметили, что стоимость поиска паспортных данных человека по номеру телефона в базе варьируется от 2 тыс. до 7 тыс. рублей, а отслеживание мобильного устройства стоит от 80 тыс. рублей.

Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко подтвердил рост спроса на инсайдеров в российских компаниях и организациях. По его словам, значительное увеличение количества таких предложений пришлось на весну 2022 года, причём это касается не только даркнета, но и публичного поля. На этом фоне цель хакерских атак уже играет меньшее значение, поскольку на передний план выходит массовость. Отмечается, что квалификация и подкованность инсайдеров в IT-компаниях стали не так важны.

Эксперты не могут дать оценку количества откликов на подобные предложения, поскольку координация действий, как правило, осуществляется в закрытых чатах. При этом господин Коваленко сообщил, что всплеск по числу предложений сопоставим с ростом утечек информации и атак, зафиксированных с весны этого года. Специалисты в сфере информационной безопасности отмечают спад активности злоумышленников в начале второго полугодия из-за сезонности и отсутствия громких геополитических поводов. По их мнению, активность хакеров возрастёт к осени.

Вчера вечером ряд Telegram-канал сообщил о «масштабной утечке» данных клиентов «Почты России». В самой госкомпании утечку подтвердили, но отметили, что в Сеть попал лишь фрагмент базы данных. Размер утечки не уточняется, но было отмечено, что банковских данных клиентов в нём не содержится.

Источник изображения: Pochta.ru

Сетевые источники сообщали, что опубликованный образец украденных хакерами данных якобы содержит ровно 10 миллионов строк, которые содержат: номер отслеживания отправления, ФИО или название компании отправителя и получателя, номер телефона получателя, город и индекс отправителя и получателя, вес и статус отправления, дату и время отправления.

В пресс-службе «Почты России» сообщили, что утечка произошла из-за взлома хакерами учётной записи одного из подрядчиков организации. Заявление представителей «Почты России» приводит издание «Ведомости»:

«В Сети появилась информация о масштабной утечке данных пользователей почты. Что на самом деле? Одна из учётных записей нашего подрядчика была скомпрометирована в результате хакерской атаки, фрагмент данных действительно попал в руки взломщиков. Ровно этот фрагмент данных сейчас выдают за “пробный”. На самом деле доступа к другим записям у взломщиков нет. Утечка не содержала банковских данных, безопасности и репутации клиентов ничего не угрожает», — отметили в пресс-службе.

Служба безопасности «Почты России» заблокировала доступ через взломанный аккаунт, а также провела дополнительную проверку безопасности по всем точкам доступа.

По оценкам компаний по кибербезопасности, число атак на инфраструктуру российских мобильных приложений увеличилось на 200 %, пишет «Коммерсантъ». Как предупреждают эксперты, под угрозой взлома находится до 90 % приложений.

Источник изображения: Pixabay

О том, что в первой половине 2022 года число атак на API (Application Programming Interface) мобильных приложений в России увеличилось на 200 % по сравнению с аналогичным периодом прошлого года, «Коммерсанту» сообщили в «Информзащите». В свою очередь, в «РТК-Солар» утверждают, что количество атак на приложения во втором квартале (после начала событий на Украине) увеличилось по сравнению с предыдущими тремя месяцами в четыре–пять раз. Речь идёт о краже данных, создании поддельных аккаунтов, мошенничестве с кредитными картами и т. д. Примерно в 50 % случаев взлом ведёт к приостановке обслуживания, в 10 % хакеры получают доступ к учётным записям.

По мнению эксперта центра мониторинга и противодействия компьютерным атакам IZ:SOC «Информзащиты» Шамиля Чича, число атак выросло в первую очередь в связи с тем, что из-за санкций ряд приложений российских компаний удалили с маркетплейсов Google Play и App Store. Теперь их можно скачать только в виде APK-файлов с сайта компании или банка, который может быть заражен вирусом, говорит эксперт.

Он отметил, что большинство компаний создают веб-версии и мобильные приложения на одном интерфейсе, что также несёт угрозу безопасности. Его слова подтвердил директор по кибербезопасности компании-разработчика red_mad_robot Дмитрий Морев, сообщивший, что примерно половину рынка занимают разработки, где используется схема с одним бэкендом (программно-аппаратная часть сервиса, отвечающая за функционирование его внутренней части).

Директор центра Solar appScreener компании «РТК-Солар» Даниил Чернов назвал атаку на приложение самым простым способом проникнуть в периметр организации и получить доступ к инфраструктуре. Он охарактеризовал мобильный софт как наиболее уязвимое звено в безопасности организаций после человеческого фактора. Чернов рассказал, что программный код на 80–90% состоит из готовых компонентов, многие из которых содержат бэкдоры. По его словам, под угрозой находится порядка 90 % российских приложений, и тренд на атаки приложений будет усиливаться.

IT-инфраструктура небольшого канадского городка Сейнт-Мэрис (провинция Онтарио) с населением 7500 человек подверглась атаке хакерской группировки LockBit. Заблокированы крупнейшие узлы городских систем — продолжают работать только базовые службы, такие как очистка воды и транспорт.

Источник изображения: discoverstmarys.ca

22 июля на сайте группировки LockBit в даркнете появились сведения о взломе официального сайта города, и в качестве подтверждения была опубликована часть скопированных и зашифрованных файлов. Мэр Сейнт-Мэриса Эл Стратди (Al Strathdee) сообщил по телефону журналистам The Verge, что для преодоления проблемы власти города обратились к группе экспертов, которые выявили причину и подготовили план дальнейших действий.

Он подтвердил, что после того, как часть городских систем оказалась заблокированной, мэрия получила от LockBit требование о выкупе, однако деньги пока выплачены не были. Канадское правительство не одобряет выплат выкупов кибервымогателям, но в Сейнт-Мэрисе делегировали принятие окончательного решения рабочей группе по инциденту.

На сайте LockBit опубликованы скриншоты с папками, соответствующими направлениям деятельности городских властей: финансы, здравоохранение и безопасность, очистка сточных вод, данные о собственности и общественные работы. Обычно группировка даёт жертвам время на размышление и при невыплате выкупа публикует похищенную информацию в интернете. Нанятые городом специалисты пытаются восстановить повреждённые данные из резервных копий.

Только в июне 2022 года хакеры LockBit взяли на себя ответственность за 50 инцидентов, связанных с вирусами-вымогателями, пишет Recorded Future. А канадский Сейнт-Мэрис оказался вторым городом, ставшим заложником киберпреступников чуть более чем за неделю: 14 июля аналогичной атаке подвергся городок Фредерик (население 15 000 человек) в американском штате Колорадо — негодяи потребовали $200 000.

На известном хакерском форуме Breached Forums появилось предложение купить за $30 тыс. базу данных с телефонными номерами и электронными адресами 5,4 млн пользователей социальной сети Twitter.

Источник изображения: Pixabay

Компания Restore Privacy сообщила, что утечка данных стала возможной благодаря уязвимости в системе безопасности Twitter, обнаруженной ещё в январе. Тогда HackerOne сообщила о баге, который позволяет злоумышленнику получить номер телефона и/или адрес электронной почты участника Twitter, даже если он скрыл эти поля в настройках конфиденциальности в своём аккаунте.

Хотя Twitter признала наличие проблемы и устранила уязвимость, хакеры успели с помощью этого эксплойта получить доступ к данным пользователей, на продаже которых теперь пытаются заработать на форуме Breached Forums. Злоумышленники утверждают, что предлагаемая база данных содержит сведения о некоторых знаменитостях, компаниях и т. д.

В Restore Privacy сообщили, что скачали для проверки и анализа часть базы данных, содержащую общедоступную информацию из профилей пользователей Twitter из разных стран, а также адреса электронной почты и номера телефонов.

«Все образцы, которые мы рассмотрели, совпадают с реальными людьми, что можно легко проверить с помощью общедоступных профилей в Twitter», — сообщили аналитики Restore Privacy.

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными.

Источник изображения: Pixabay

Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше чем в апреле. В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

В случае отсутствия доступа к сайту компании, он опускается в выдаче «Яндекса» или любого другого поисковика, или может исчезнуть из выдачи вообще, если это продолжается длительное время, говорит основатель и гендиректор Qrator Labs Александр Лямин. В свою очередь, в «Яндексе» сообщили, что дообучают алгоритмы, чтобы сайты имели больше времени на восстановление работы.

По словам руководителя группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназа Гатауллина, сейчас большое количество компаний занимаются бизнесом в интернете и при больших оборотах «даже десять минут простоя приводят к колоссальным убыткам».

Злоумышленники всё чаще используют поддельные обновления программного обеспечения от Microsoft и Google для распространения вредоносов. Последним примером этого является шифровальщик-вымогатель HavanaCrypt, которого специалисты из компании Trend Micro недавно обнаружили замаскированным под пакет обновлений Google Software Update.

Источник изображения: Pixabay

Новый вымогатель имеет ряд особенностей. Командно-контрольный сервер вредоноса использует IP-адрес веб-хостинга Microsoft, что нехарактерно для программ-вымогателей. Специалисты установили, что в арсенале HavanaCrypt имеется множество методов проверки того, запущен ли он в виртуальной среде. Для шифрования данных жертв вредонос использует функции менеджера паролей с открытым исходным кодом KeePass Password Safe, а для ускорения процесса шифрования применяется функция QueueUserWorkItem. По мнению специалистов Trend Micro, вредонос находится на стадии разработки, поскольку он не высылает на устройства жертв сообщения с требованием выкупа за расшифровку данных.

HavanaCrypt пополнил список угроз, для распространения которых злоумышленники используют поддельные обновления. За последние несколько месяцев было зафиксировано несколько вредоносных кампаний, в рамках которых осуществлялось распространение шифровальщиков под видом обновлений для Windows 10, Microsoft Exchange и Google Chrome. Создание поддельных обновлений не составляет особого труда для злоумышленников, поэтому они используют такой метод для распространения всех классов вредоносного ПО, включая шифровальщиков-вымогателей, а также программ для кражи данных и слежки.

Что касается HavanaCrypt, то вредонос скомпилирован в .NET, а для обфускации кода он использует инструмент с открытым исходным кодом Obfuscar. После попадания в систему жертвы вредонос проверяет реестр на наличие записи GoogleUpdate и продолжает работать только в случае, если этой записи нет. Далее вредонос проходит четырёхэтапную проверку на определение виртуальной среды. Для этого он проверяет службы, которые обычно используются виртуальными машинами, а также ищет связанные с ними файлы. Кроме того, он сравнивает MAC-адрес заражённой системы с уникальными префиксами идентификаторов, которые обычно используются в настройках виртуальных машин. Если HavanaCrypt определяет, что находится в виртуальной среде, то его работа прекращается.

Если же вирус не распознаёт виртуальную среду, то на следующем этапе он отправляет запрос на сервер управления и получает от него пакетный файл с настройками для Windows Defender, чтобы антивирус не обнаруживал присутствие шифровальщика. Вместе с этим вредонос останавливает работу множества процессов, преимущественно связанных с приложениями для работы с базами данных SQL и MySQL, а также другими приложениями вроде Microsoft Office.

После этого HavanaCrypt удаляет бэкапы и нарушает работоспособность функций, с помощью которых их можно было бы попытаться восстановить. Для шифрования используется код менеджера паролей KeePass, а для ускорения процесса функция QueueUserWorkItem. Код из KeePass применяется для генерации псевдослучайных ключей шифрования. Это делается для того, чтобы усложнить разработку инструмента для дешифровки данных. Использование хостинга Microsoft для размещения сервера управления вредоносом подчёркивает стремление злоумышленников прятать свою инфраструктуру в легитимных сервисах, чтобы избежать обнаружения. Специалисты отмечают, что в настоящее время в облачных пространствах размещается огромное количество вредоносного ПО.

Агентство Bloomberg пишет о краже данных миллиарда жителей Китая, похищенных неизвестными хакерами после взлома базы данных полиции Шанхая. Если эта информация подтвердится, то нынешняя утечка станет крупнейшей в истории Поднебесной.

Источник изображения: Pixabay

Человек или группа лиц, заявившие о краже информации, пытаются реализовать более 23 Тбайт данных, включающих в себя имена людей, чьи данные скомпрометированы, их адреса, места рождения, номера телефонов, национальные идентификаторы и информацию об уголовных делах. Приобрести огромную базу данных можно за 10 биткоинов, что при нынешнем курсе приблизительно равно $200 тыс.

Объявление о продаже появилось на одном из местных теневых форумов. Власти Шанхая публично не отреагировали на заявление об утечке данных. Представители полиции и Управления по вопросам киберпространства Китая, являющегося основным интернет-регулятором страны, пока никак не комментируют данный вопрос.

Чжао Чанпэн (Zhao Changpeng), основатель и генеральный директор одной из крупнейших криптовалютных бирж Binance, в своём аккаунте в сети Twitter написал, что его компания зафиксировала утечку данных миллиарда жителей «из одной азиатской страны», не уточнив, о каком именно государстве идёт речь. «Наша разведка угроз обнаружила в даркнете 1 млрд записей о жителях одной из азиатских стран, выставленных на продажу и включающих в себя их имена, адреса, национальные идентификаторы, номера телефонов, полицейские и медицинские записи. Вероятно, это связано с ошибкой при развёртывании Elastic Search государственным агентством», — говорится в сообщении Чанпэна.

Второго июля в Сети в открытом доступе оказались данные клиентов сервиса по заказу билетов Туту.ру. Как сообщает Telegram-канал «Утечки информации», опубликованный хакером файл содержит 2 627 166 строк из базы данных сервиса, включая имена и фамилии клиентов, номера телефонов (2,29 млн уникальных номеров) и адреса электронной почты (2,018 млн уникальных адресов).

Источник изображения: Pixabay

Telegram-канал утверждает, что эти данные разместил хакер, который ранее опубликовал в Сети данные образовательного портала «GeekBrains», «Школы управления СКОЛКОВО» и службы доставки «Delivery Club».

В сервисе Туту.ру подтвердили факт взлома, уточнив, что в утечке нет платёжных данных и данных о маршрутах. «Похоже, это действительно часть данных наших заказов. Там нет пунктов прибытия-отправления, дат заказа, но есть фамилия и имя плательщика (но не всех пассажиров), телефон и почта для отправки чека», — сообщили в блоге сервиса, добавив, что с 24 февраля Туту.ру подвергается массированным хакерским атакам, включающим «и волны DDoS, и атаки на почту и другие типы направленных атак».

В сервисе рассказали, что анализ таблицы из утекшего файла показывает, что речь в основном идёт о части заказов билетов на автобусы за последние два месяца, а также об отдельных заказах за пределами этого периода. Анализ данных продолжается, поэтому не исключено, что утекла информация за более длительный период. Также в блоге отмечено, что это далеко не полная база, её объём — менее 1 % от общего объёма заказов.

Специалисты подразделения Google Threat Analysis Group (GTAG), работающие в сфере информационной безопасности, сообщили о блокировке нескольких доменов, которые использовались злоумышленниками для взлома учётных записей по заказу. С их помощью проводились фишинговые атаки в разных странах, включая Россию.

Источник изображения: Darwin Laganzon / pixabay.com

Согласно имеющимся данным, заблокированные домены являются частью инфраструктуры хакерской группировки Void Balaur, специализирующейся на взломе учётных записей на заказ. Google обратила внимание на фишинговую кампанию злоумышленников в 2017 году, когда их деятельность была направлена против некоего «российского журналиста, занимающегося вопросами борьбы с коррупцией». О ком именно идёт речь в сообщении не уточняется. Позднее специалисты выяснили, что хакеры атаковали других журналистов, политиков, а также неправительственные и некоммерческие организации, не только в России, но и по всей Европе.

Пример фейкового сообщения / Источник изображения: Google

Для кражи пользовательских данных злоумышленники рассылали фишинговые сообщения в которых размещали ссылки на фейковые ресурсы, визуально практически не отличимые от легитимных. В зависимости от страны, в которой велась деятельность, это могли быть копии почтовых сервисов, таких как Gmail, Hotmail или Yahoo!, а также местных сервисов, таких как Mail.ru.

Прайс-лист хакерской группировки в 2018 году / Источник изображения: Google

На сайте хакеров публиковались расценки на услуги взлома. Например, взлом учётной записи «ВКонтакте» или «Одноклассниках» оценивался в 10 тыс. рублей, тогда как за взлом всех аккаунтов в почтовых сервисах и соцсетях пришлось бы заплатить 70 тыс. рублей. В настоящее время сайт хакеров заблокирован. Вместе с этим Google заблокировала домены, которые использовались хакерами для взлома аккаунтов пользователей из разных стран мира.

По данным представителей системы «1С-Битрикс», серия взломов российских сайтов, зарегистрированная 28 июня, связана не с уязвимостью самой платформы, на которой созданы сайты, а с тем, что их владельцы не проводили регулярного обновления своих ресурсов.

Источник изображения: Clint Patterson/unsplash.com

Портал РБК сообщил со ссылкой на один из популярных Telegram-каналов, что в последние дни российские веб-ресурсы неоднократно подвергались хакерским атакам с последующим взломом и размещением на их страницах посторонней информации. По данным источников канала, сайты были сделаны в системе «1С-Битрикс», а уязвимость позволяла получить не только несанкционированный доступ к данным, но и обеспечивала удалённое управление системой в целом.

Как заявили РБК в «1С-Битрикс», «все случаи взломов связаны с отсутствием обновлений сайтов со стороны клиентов. Все уязвимости были устранены несколько месяцев назад, бесплатные обновления были выпущены. Клиенты были проинформированы».

Разработчики платформы подчеркнули, что только 10 % клиентов компании регулярно обновляют сайты, поэтому уровень информационной безопасности остальных остаётся недостаточно высоким. В компании подчеркнули, что для поддержания должного уровня безопасности требуются регулярные обновления.

В числе пострадавших сайтов оказались ресурсы Совета по правам человека и даже Росреестра — в том числе на них демонстрировались политические лозунги. Известно, что в июне был атакован сайт Минстроя РФ — в данном случае речь шла о банальном вымогательстве криптовалют под угрозой публикации персональных данных пользователей. Кроме того, как сообщает РБК, недавно до старта приёмной кампании злоумышленники атаковали ресурсы российских вузов.

Компания AMD стала жертвой кибератаки. Относительно молодая хакерская группа RansomHouse заявила о том, что в её распоряжении оказались «более 450 Гбайт информации», похищенной у AMD. Об этом сообщают специалисты из Restore Privacy.

Источник изображения: AMD

Сама группировка RansomHouse утверждает, что не использует программы-вымогатели и не проводит взломов. Они якобы выступают «лишь в качестве посредников между злоумышленниками и жертвами», ведут переговоры от лица первых и вторых и договариваются о возможном выкупе за украденную информацию.

По данным Restore Privacy, RansomHouse опубликовала информацию об украденных данных AMD в подтверждение своих слов о взломе техногиганта. Как утверждается, в ней содержатся различные сетевые файлы, системная информация, а также пароли, которые используют сотрудники AMD. Однако подробностей об атаке на данный момент неизвестны. Например, непонятно, подверглась ли атаке непосредственно сама AMD или один из её подрядчиков.

Источник изображения: Restore Privacy

Представители хакеров утверждают, что взломать AMD оказалось весьма просто, поскольку её сотрудники очень часто используют очень простые пароли. Официальных подробностей о способе взлома и времени совершения атаки нет, но представитель команды злоумышленников утверждает, что попытка пробиться сквозь систему безопасности была совершена 5 января этого года. Известно, что AMD выкуп за украденную информацию не платила.

«AMD известно о злоумышленнике, который утверждает, что владеет украденными у компании данными. В настоящее время проводится расследование», — сообщил представитель AMD ресурсу Tom's Hardware.

Источник изображения: RansomHouse

Группировка RansomHouse образовалась в декабре 2021 года. Активной она стала в мае 2022 года. По словам её представителей, первой жертвой, с которой они работали, стала компания Saskatchewan Liquor and Gaming Authority (SLGA), второй стал крупный южноафриканский владелец супермаркетов ShopRite.

Group-IB Threat Intelligence подготовила отчёт об одной из самых «агрессивных и успешных» группировок хакеров-вымогателей Conti. Как пишет ресурс Forbes со ссылкой на копию отчёта, у «криминальной IT-компании» Conti, есть отдел кадров, подразделения исследований и разработок (R&D), разведки по открытым источникам (OSINT), а также регулярные зарплаты, система бонусов и отпуска. График работы: 14 часов, в среднем с 12:00 до 21:00 по московскому времени, семь дней в неделю.

С момента появления Conti — первые упоминания о ней зафиксированы в феврале 2020 года — от действий злоумышленников пострадало 859 структур, включая корпорации, госструктуры и даже одно государство — Коста-Рика, в котором из-за апрельской атаки было введено чрезвычайное положение. Только за четыре месяца 2022 года список жертв пополнился ещё 156 компаниями.

Самая результативная атака группы хакеров-шифровальщиков — ARMattack — продолжалась c 17 ноября по 20 декабря 2021 года, когда было скомпрометировано более 40 организаций по всему миру, 37 % из США, 3 % из Германии и 2 % из Швейцарии, также по 1 % из Нидерландов, Испании, Франции, Чехии, Швеции и Дании. А на самую быструю атаку у Conti ушло всего три дня.

Хакеры используют технику двойного давления: помимо блокировки данных жертвы они выкладывают на собственном DLS-сайте (Dedicated Leak Site) информацию организаций и учреждений, которые отказались платить выкуп.

Наибольшее количество атак русскоговорящей группы хакеров приходится на США (58,4 %), Канаду (7 %), Великобританию (6,6 %), Германию (5,8 %), Францию (3,9 %) и Италию (3,1 %). Россию они не атакуют. На криптокошельках Conti, по данным Group-IB, находится в общей сложности более 65 000 биткоинов (примерно $1,34 млрд по текущему курсу). Тем не менее, как сообщается, сейчас у Conti серьезные финансовые проблемы из-за того, что её «шеф» залёг на дно, но участники планируют перезапустить проект через 2–3 месяца.

В связи с усилением хакерских атак в конце февраля на российскую IT-инфраструктуру после начала событий на Украине крупнейшие компании РФ в сфере информбезопасности планируют объединить усилия в разработке общих решений в рамках нового консорциума, пишет «Коммерсантъ» со ссылкой на участников рынка.

Источник изображения: Pixabay

Предложивший эту идею основатель Positive Technologies Юрий Максимов рассказал «Коммерсанту», что в консорциум могут войти «лидеры рынка, государство и представители ключевых индустрий». Цель новой организации — системное улучшение отрасли, а также создание решения, «с которым при наступлении киберконфликта одно государство не сможет причинить другому неприемлемый ущерб».

Эта инициатива получила поддержку Минцифры. Глава ведомства Максут Шадаев в интервью «Коммерсанту» в ходе ПМЭФ отметил, что индустрия кибербезопасности испытывает «определённые сложности», так как вырос объём заказов, компании начали тестировать инфраструктуру, вырос спрос на пентесты (тестирование на проникновение) и Bug Bounty (программы по поиску уязвимостей). Он подчеркнул, что проект является коммерческим, а не государственным, и консорциум позволит «оптимизировать силы». Напомним, что согласно указу президента РФ «О дополнительных мерах по обеспечению кибербезопасности РФ», госорганизации должны до 1 июля провести проверку защищённости своих информсистем.

В «Лаборатории Касперского» поддержали эту идею. Глава компании Евгений Касперский отметил, что «сейчас отрасли не хватает ресурсов, поэтому объединение было бы полезно». Готовность присоединиться к консорциуму выразили в R-Vision. «Только объединив усилия, рынок может создать действенную суверенную кибербезопасность», — говорит глава Cyberok Сергей Гордейчик. Директор по цифровизации «Росатома» Екатерина Солнцева отметила, что корпорация — один из инициаторов создания консорциума. «Объединение ресурсов и возможностей позволит вывести на внутренний и мировой рынок следующее поколение систем обеспечения кибербезопасности, ключевой характеристикой которых станет их результативность», — считает она. В ОАО РЖД полагают, что проект «соответствует курсу на объединение крупнейших заказчиков и игроков рынка для повышения конкурентоспособности экономики».

Впрочем, есть и сомневающиеся в этом начинании. Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что объединение усилий конкурентов — редкость. В свою очередь, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин утверждает, что участники консорциума могут столкнуться с проблемой, когда дело коснётся обмена опытом, являющимся «одной из коммерческих ценностей компаний, который они в том числе продают на рынке».