КиберСек

Автор: kibersec

  • Мошенники запугали женщину и выманили 121 млн

    Мошенники запугали женщину и выманили 121 млн

    В Тольятти 60-летняя женщина стала жертвой мошенников и потеряла 121 миллион рублей. Злоумышленники заставили её перевести деньги со своих счетов и счетов компании, в которой она работала, и уговорили уехать из города, сказав, что это программа защиты свидетелей.

    Сын женщины заметил, что что-то не так, когда мать внезапно сообщила ему о командировке, хотя обычно они обсуждали все планы. Он обратился за помощью в полицию и волонтёров, и им удалось найти женщину в поезде в Сызрани.

    Оказалось, что мошенники использовали схему с «Госуслугами», чтобы получить доступ к её аккаунту и обмануть её. Женщина была в шоке и не помнила многих деталей, но за несколько дней перевела им 121 миллион рублей. Это были её личные сбережения и средства компании.

  • VMmanager получил сертификат ФСТЭК России 4-го класса

    VMmanager получил сертификат ФСТЭК России 4-го класса

    Компания ISPsystem, которая является частью «Группы Астра», получила сертификат от Федеральной службы по техническому и экспортному контролю (ФСТЭК) России для их платформы VMmanager. Этот сертификат подтверждает, что VMmanager соответствует требованиям безопасности и можно использовать для защиты виртуальной инфраструктуры, где обрабатывается конфиденциальная информация.

    VMmanager является российским решением для управления аппаратной и контейнерной виртуализацией. Он позволяет управлять виртуальной средой, объединяя физические серверы и сетевые хранилища в одну систему. Платформа также обеспечивает высокую надежность благодаря встроенному резервному копированию и микросервисной архитектуре.

    На данный момент VMmanager используется более чем на 6 000 серверах в различных организациях, включая государственные учреждения. Это свидетельствует о высоком доверии к продукту. Спрос на это решение продолжает расти, особенно в высоконагруженных средах, где требуется масштабируемость, надежность и безопасность.

    Генеральный директор ISPsystem Павел Гуральник отметил, что с ростом облачных технологий и цифровизации экономики становится все важнее иметь сертифицированные решения для управления виртуальной инфраструктурой. Он выразил радость, что VMmanager полностью соответствует строгим стандартам безопасности и гарантирует надежную защиту данных в процессе их обработки, хранения и передачи.

  • Россия побила рекорды DDoS: 412 Гбит/с и 103 млн пакетов/сек

    Россия побила рекорды DDoS: 412 Гбит/с и 103 млн пакетов/сек

    Во второй половине 2024 года количество DDoS-атак в России увеличилось в 2,6 раза по сравнению с первой половиной года. За шесть месяцев было зафиксировано 80 735 атак, в среднем почти 13 500 атак каждый месяц. Самая большая активность пришлась на октябрь.

    Максимальная мощность атак в этот период составила 412 Гбит/с, а самая высокая скорость достигла 103 миллиона пакетов в секунду. Наиболее мощные атаки произошли в июле и ноябре, а самые продолжительные — в октябре. В среднем на одну цель приходилось от 2 780 до 4 621 атак в месяц, сентябрь был рекордным по этому показателю.

    DDoS-атаки могут быть разными. Они могут перегружать каналы передачи данных или исчерпывать вычислительные мощности оборудования. В ноябре была зафиксирована самая объемная атака — 412 Гбит/с, но при этом количество переданных данных было минимальным. В июле был самый большой объем трафика на одну атаку — 48 ГБ и 500 миллионов пакетов, что в 24 раза больше, чем в сентябре.

    Самая высокая скорость атаки была в июле — 103 миллиона пакетов в секунду. Это почти в 5 раз больше, чем в декабре, когда скорость была 22 миллиона пакетов в секунду. Общая продолжительность всех атак составила 9 718 часов. Октябрь был самым напряженным месяцем — 2 167 часов атак, что в 2 раза больше, чем в ноябре. В среднем каждая атака длилась 7 минут, но в декабре была зафиксирована атака длиной 202 часа, что в 10 раз дольше, чем обычно.

    Самые распространенные виды атак: TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, они составили 70% всех случаев. UDP Flood — это массовая отправка датаграмм на случайные или заданные порты. TCP SYN Flood создает много полуоткрытых соединений, мешая обработке новых запросов. TCP PSH/ACK Flood перегружает узел ложными пакетами, заставляя его тратить ресурсы на их обработку.

    Всего за 2024 год было 112 171 атака, общее время атак составило 13 613 часов. Количество повторных атак увеличилось: в июле максимальная продолжительность атак на одну цель была 492 часа. В декабре самая долгая атака длилась 202 часа. Резкое увеличение числа атак, их мощности и длительности свидетельствует о развитии угроз. Злоумышленники используют сложные методы и комбинируют различные виды атак, стремясь нанести максимальный ущерб. Внимание к безопасности сетевой инфраструктуры должно быть повышено.

  • Android 16 ограничит доступ к Accessibility во время звонков

    Android 16 ограничит доступ к Accessibility во время звонков

    Актуальный обзор кода для Android 16 Beta 2 показал, что теперь можно блокировать опасные изменения настроек во время звонков. Это поможет предотвратить установку вредоносных программ, которые могут получить доступ к особым функциям устройства и украсть личные данные или банковские ключи. Google надеется, что эта новая функция снизит риск подобных атак.

    Обманщики часто пытаются убедить собеседника во время звонка загрузить вредоносное приложение и предоставить доступ к функции Accessibility Service. Они могут даже подсказать, как снять ограничение на установку сторонних приложений и убедить жертву последовать их инструкциям. Однако, если включен режим Advanced Protection, это не сработает.

    Теперь в Android 16 добавлена защита от потенциально опасных разрешений, включая доступ к Accessibility. Разработчики надеются, что это усложнит задачу мошенникам, которые все изобретательнее в своих схемах, особенно с использованием искусственного интеллекта. Для пользователей это будет дополнительным напоминанием о том, что нужно быть осторожными и не следовать инструкциям незнакомцев.

  • Android-шпион от спецслужб через WhatsApp и операторов

    Android-шпион от спецслужб через WhatsApp и операторов

    В компании Lookout провели анализ подозрительных приложений для Android, которые были предоставлены TechCrunch, и подтвердили, что это вредоносное ПО. По всей видимости, создателем трояна является итальянская компания SIO, которая предоставляет инструменты слежки спецслужбам и правоохранительным органам.

    Этот вредонос, именуемый Spyrtacus, маскируется под приложение WhatsApp (принадлежащее компании Meta, которая признана экстремистской и запрещена в России) и другие популярные программы. Представители Google утверждают, что подобных фейков в их магазине приложений нет.

    Шпион интересуется сообщениями в WhatsApp, Signal, Facebook Messenger (соцсеть также признана экстремистской и запрещена в России), а также SMS. Он может собирать информацию о контактах жертвы, записывать звонки, управлять камерой и микрофоном.

    Некоторые серверы, используемые Spyrtacus как C2, принадлежат компании ASIGINT — дочерней компании SIO, занимающейся разработкой программного обеспечения для прослушивания проводных линий связи.

    Интересно, что как фейковые приложения, так и поддельные сайты, с которых они распространяются, выполнены на итальянском языке. Пока неизвестно, кто именно использует их для шпионажа.

    Аналитики из Lookout нашли еще 13 образцов Spyrtacus в Сети; самый старый датируется 2019 годом, а самый новый — октябрем 2024 года. Некоторые из них выдают себя за приложения итальянских мобильных операторов TIM, Vodafone, WINDTRE.

    По данным «Лаборатории Касперского», шпион Spyrtacus впервые появился в интернете в 2018 году. Сначала вредоносные APK распространяли через Google Play, затем были созданы фейковые сайты.

    Помимо версии для Android, эксперты обнаружили вариант для Windows и признаки существования имплантов для iOS и macOS.

    Недавно стало известно о другой шпионской кампании, нацеленной на журналистов и активистов, использующих WhatsApp. На их устройства через уязвимость 0-click устанавливалось специализированное программное обеспечение от израильской компании Paragon без предупреждений, исключительно на русском языке.

  • 12% трафика в России — ботнеты, половина атак DDoS

    12% трафика в России — ботнеты, половина атак DDoS

    Преступники все чаще используют арендованные или взломанные серверы для вредоносных действий в интернете. Они могут проводить DDoS-атаки или распространять вирусы, скрывая свое местоположение и обходя блокировки.

    По данным компании RUVDS, в России в 2024 году около 12% интернет-трафика было нелегитимным. Половина этого трафика была создана ботнетами для мощных DDoS-атак.

    Злоумышленники могут использовать специальные акции хостинг-провайдеров, чтобы получить ресурсы для атаки. Чаще всего такие атаки происходят на высоком уровне.

    Преступники могут эксплуатировать уязвимости в серверах, что делает их источником вредоносного трафика. Размещение атакующих серверов в России помогает им обойти защитные фильтры, используемые компаниями.

    Провайдерам сложно защитить арендованные серверы, так как они не могут обновлять программное обеспечение без согласия пользователей. Для них важно быстро обнаруживать атаки с арендованных серверов, чтобы предотвратить сбои в работе клиентов.

  • 5 хакеров разработали способы обвести IT-гигантов вокруг пальца

    5 хакеров разработали способы обвести IT-гигантов вокруг пальца

    Отдел анализа угроз Google сообщил о новой группировке хакеров под названием Triplestrength, которая начала свою деятельность в 2020 году. Группа состоит из нескольких человек, но их атаки очень разнообразны и масштабны.

    Хакеры заражают компьютеры жертв вредоносными программами и одновременно взламывают облачные аккаунты для майнинга криптовалюты. Они также активно общаются на хакерских форумах, предлагая доступ к взломанным серверам.

    Triplestrength атакует сервера таких крупных облачных платформ, как Google Cloud, Amazon Web Services, Microsoft Azure и другие. Они используют вредоносную программу Raccoon для кражи информации с зараженных компьютеров.

    Группировка отличается от других преступных групп тем, что не крадет данные, а просто шифрует файлы и требует выкуп за их восстановление. Они используют различные программы-шифровальщики, такие как Phobos, LokiLocker и RCRU64.

    Хакеры не используют сложные методы для проникновения в системы жертв, а просто перебирают пароли для доступа к серверам удаленного рабочего стола. Они также отключают антивирусное ПО и используют общедоступные инструменты для манипуляций в сети организации.

    Благодаря Telegram аналитики Google установили связь между вымогательством и криптомайнингом группировки Triplestrength. Хакеры начали использовать облачные ресурсы для добычи криптовалюты около 2022 года, применяя приложение unMiner и майнинговый пул unMineable.

    Несмотря на маленький размер группы, их атаки приносят значительные убытки организациям. Google обнаружили множество адресов криптовалюты TRX, связанных с деятельностью Triplestrength. Их жертвами становятся компании разных отраслей и регионов, что свидетельствует о высокой организации и эффективности группировки.

  • BI.ZONE EDR 1.36: улучшенные механизмы выявления угроз

    BI.ZONE EDR 1.36: улучшенные механизмы выявления угроз

    В новой версии BI.ZONE EDR появились улучшенные возможности для настройки и автоматизации задач, а также инструменты для мониторинга и реагирования на угрозы. Теперь пользователи могут устанавливать расписание выполнения задач, включая регулярное сканирование операционной системы с использованием YARA-правил.

    Windows-агент теперь позволяет выявлять вредоносную активность, присваивать объектам пользовательские атрибуты и сохранять данные для анализа. Для Linux добавлен мониторинг операций над объектами инвентаризации, что позволяет отслеживать изменения в критически важных элементах системы.

    Также улучшены возможности автоматического реагирования и анализа событий в контейнерных средах. Добавлена поддержка Podman, что позволяет инвентаризировать запущенные контейнеры и связывать события с данными о них.

    Другие улучшения включают новый графический интерфейс агента для Windows, оптимизированный сбор телеметрии в Linux с использованием eBPF и механизмы кеширования для увеличения производительности на Linux-платформах.

  • Кибербитва 15: города в опасности, данные в угрозе

    Кибербитва 15: города в опасности, данные в угрозе

    Кибербитва Standoff 15 пройдет с 21 по 24 мая в рамках фестиваля Positive Hack Days на стадионе Лужники в Москве. В соревновании участвуют российские и зарубежные команды хакеров. Лучшие из них получат приз в 5 миллионов рублей.

    В мире все больше кибератак на компании. Злоумышленники используют искусственный интеллект, увеличивается число атак и взломов. Киберучения помогут специалистам в области кибербезопасности улучшить свои навыки.

    В этом году Standoff 15 будет проведен как онлайн, так и офлайн. Участники будут атаковать и защищать виртуальное государство с разными отраслями, такими как банки, энергетика, авиация и другие.

    В мае в соревновании участвуют тридцать команд. Некоторые из них уже участвовали в прошлых битвах, другие прошли квалификацию или получили приглашение. Лучшие команды будут атаковать системы компаний, а другие будут защищать их.

    Команды будут зарабатывать баллы за успешные атаки или защиту от них. Всем участникам предоставят менторскую поддержку опытных специалистов по безопасности.

  • Ограничение fair use: угроза для искусственного интеллекта

    Ограничение fair use: угроза для искусственного интеллекта

    Федеральный суд США решил, что использование защищенного авторским правом контента для обучения искусственного интеллекта без разрешения не является честным использованием. Однако это решение не дает однозначного ответа на вопрос о том, можно ли использовать этот принцип для генеративных ИИ-моделей.

    Судебное дело возникло между компанией Thomson Reuters и стартапом Ross Intelligence, который создавал базу данных судебных решений с помощью машинного обучения. В 2020 году Thomson Reuters подала иск против Ross Intelligence, обвиняя его в незаконном копировании материалов для создания своей платформы.

    Судья из Апелляционного суда решил в пользу Thomson Reuters, отклонив аргументы Ross о честном использовании. Он сказал, что компания просто использовала контент других для создания конкурентного продукта, не добавив ничего нового. Суд сосредоточился на процессе обучения модели, а не на ее конечных результатах.

    Это решение имеет большое значение для индустрии искусственного интеллекта, медиа и развлекательной сферы. Оно подчеркивает, что компании, использующие авторский контент, не могут просто так полагаться на честное использование. Важно соблюдать права интеллектуальной собственности, особенно при использовании чужих баз данных для обучения моделей.

    Однако остается неясным, как это решение повлияет на компании, разрабатывающие генеративные ИИ-модели. Судья сказал, что в данном случае использовался не генеративный ИИ, а просто анализирующий существующие решения. Это означает, что для других компаний, таких как OpenAI и Anthropic, ситуация может быть иной.

    Сейчас индустрия ждет дальнейших судебных разбирательств. Например, The New York Times подала иск против OpenAI и Microsoft за незаконное использование статей для обучения ChatGPT. Издания, такие как The Atlantic, Politico и Vox, судятся с AI-стартапом Cohere за нарушение авторских и товарных прав.

    Эксперты говорят, что различия между генеративным и негенеративным ИИ могут запутать суды, если они не учитывают технические аспекты. Судебные иски против ИИ-компаний участились, и будущее разбирательство с Cohere может стать важным шагом в определении правового статуса искусственного интеллекта.

  • Рекордная DDoS-атака в 2024 году: итоги

    Рекордная DDoS-атака в 2024 году: итоги

    С июля по декабрь 2024 года компания Selectel столкнулась с 80 735 DDoS-атаками, что в 2,6 раза больше, чем в первой половине года. Самая мощная атака достигла 412 Гбит/с, а скорость составила 103 миллиона пакетов в секунду.

    Наиболее интенсивные атаки произошли в июле и ноябре, а самые длительные — в октябре. В среднем в месяц компания регистрировала 13 455 атак, с пиком в октябре. В сентябре число атак на одного клиента достигло максимального значения — 4 621 в месяц.

    За полгода общая продолжительность атак составила 9 718 часов, с пиком активности в октябре и минимумом в ноябре. В среднем одна атака длилась менее 7 минут, за исключением случаев в июле.

    Самая длительная атака продолжалась 202 часа в декабре. В среднем клиент был под атакой около 10 часов, с максимальным временем воздействия в 492 часа, что почти в три раза больше, чем в первой половине года.

    Повторные атаки стали чаще встречаться в 2024 году, увеличивая общую продолжительность атак на одного клиента с 172 часов в апреле до 492 часов в декабре. Максимальная длительность одной атаки также возросла с 156 часов в апреле до 202 часов в декабре.

    Самыми распространенными типами атак стали TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые составили 70% всех инцидентов. Такие же результаты показало и исследование ГК «Гарда».

  • Тайны H3+: молекула-создатель звезд раскрывает новые тайны

    Тайны H3+: молекула-создатель звезд раскрывает новые тайны

    Ученые из Мичиганского государственного университета нашли новый способ, как образуется тригидроген (H3+), который играет важную роль в космосе и на Земле. Обычно H3+ образуется при столкновении молекул H2 и H2+. Но теперь ученые обнаружили, что особые органические молекулы под воздействием космических лучей могут превращаться в дважды ионизированные частицы с сильным положительным зарядом. В межзвездных облаках эти частицы могут захватывать ионы водорода из молекул H2 и превращаться в H3+. Этот процесс происходит в тех же местах, где давным-давно возникли первичные химические структуры, из которых позже появилась жизнь на Земле. Понимание образования и распространенности H3+ поможет узнать, как образуются другие сложные соединения в космосе.