🤝 Песочница PT Sandbox прошла тестирование на совместимость с почтовым сервером RuPost

Результатом успешной синергии двух продуктов стал технологический бандл, который мы презентовали совместно с «Группой Астра» — создателем российской системы управления электронной почтой RuPost.

«Новый бандл позволяет обоюдно контролировать полную совместимость решений. Интеграция песочницы PT Sandbox и сервера RuPost поможет компаниям не просто выполнить обязательства по импортозамещению сервиса электронной почты, но и обеспечить его комплексную защиту от угроз», — комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies.

Вопрос защиты электронной почты особенно актуален, поскольку в 2023 году больше половины (57%) атак начинались именно с фишинговых писем.

Во избежание инфраструктурных рисков российские компании активно переходят на отечественные почтовые сервисы, но при этом хотят, чтобы те были защищены не только извне (при помощи подключения антивирусов или антиспам-систем), но и внутри.

⌛️ Наша песочница, интегрированная в почтовый сервис, проверяет все письма, поступающие пользователям, а подозрительные файлы и ссылки дополнительно анализирует в изолированной виртуальной среде, обнаруживая неизвестное, скрытое и маскирующееся вредоносное ПО и блокируя его попадание в контур компании.

#PTSandbox
@Positive_Technologies

🔄 Мы выпустили пятую версию системы мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM)

Ключевые изменения: в ней появился компонент PT ISIM Endpoint (выявляет киберугрозы на конечных узлах технологической сети), новый модуль контроля технологических процессов, а визуализация сети стала удобнее.

Делимся подробностями 🧐

1️⃣ Для комплексного мониторинга безопасности промышленных ИТ-инфраструктур предприятиям необходим единый инструмент, который не только контролирует технологический трафик, но и отслеживает происходящее на хостах.

Для этого мы добавили в PT ISIM 5 еще один компонент — агенты PT ISIM Endpoint, которые выявляют аномалии, нелегитимные операции и подозрительную активность на рабочих станциях и серверах SCADA. Теперь агенты подключаются к PT ISIM View Sensor, единой точке для мониторинга всех событий безопасности в промышленной инфраструктуре.

Илья Косынкин, руководитель разработки продуктов для безопасности промышленных систем Positive Technologies, рассказал:

«Чтобы выстроить результативную кибербезопасность предприятий, недостаточно мониторить лишь некоторые зоны инфраструктуры, используя для этих целей разрозненные средства ИБ.

Важное отличие пятого поколения PT ISIM — в том, что благодаря интеграции с новым модулем система эволюционирует в новый класс решений, предназначенных для мониторинга безопасности промышленных инфраструктур. Обнаруживая киберугрозы в трафике и на узлах технологической сети, PT ISIM не оставляет слепых зон для системы кибербезопасности, обеспечивает единообразный сбор данных об активностях и в едином окне отображает инциденты, требующие внимания оператора».

Илья также отметил, что в перспективе PT ISIM совместит в себе все необходимые инструменты для построения технологических процессов, которые будут заточены под работу друг с другом. За счет этого предприятия смогут значительно сократить затраты на внедрение, интеграцию и эксплуатацию системы ИБ.

2️⃣ Еще одно важное изменение — новая карта сетевых взаимодействий, которая позволяет специалистам удобно и легко ориентироваться в крупных распределенных промышленных инфраструктурах с десятками тысяч узлов.

3️⃣ Кроме того, в новой версии расширены функции модуля, который контролирует технологический процесс. Появился также обновленный стартовый дашборд: на нем теперь собираются последние инциденты, уведомления о появлении новых узлов, неавторизованных соединений и сведения об инвентаризации компонентов технологической сети.

🏭 Познакомиться с PT ISIM 5 ближе вы можете на нашем сайте.

#PTISIM
@Positive_Technologies

👽 Привет! Мы Positive Technologies — и на вебинаре расскажем, как рынок киберпреступности устроен на самом деле

Наши эксперты проанализировали более 40 источников из дарквеба на русском и английском языках. Среди них — крупнейшие теневые форумы и маркетплейсы, а также Telegram-каналы различной тематики.

Из этого путешествия аналитики вернулись с большим исследованием рынка киберпреступности, о котором расскажут на вебинаре 21 января в 14:00.

🤵 Спойлер: дарквеб стал площадкой для высокоорганизованного рынка хакеров, переняв многое у легального мира.

На вебинаре вы узнаете:

🌚 Как проводятся сделки в дарквебе.

🤑 О ценах и трендах на вредоносное ПО, эксплойты, доступы и услуги.

🤜 О конкуренции, отзывах, рекламных кампаниях и о том, зачем продавцы создают кастомизированные лендинги.

🔮 О будущем дарквеба.

Ждем вас! Обязательно зарегистрируйтесь на вебинар на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

🦖 Сны кибербезопасника при температуре 37,1

Всем хороших выходных!

@Positive_Technologies

🪙 Смарт-контракты лежат в основе многих блокчейн-платформ. Можно ли проверить, насколько они безопасны?

В своей статье Сергей Соболев, специалист по безопасности распределенных систем Positive Technologies, рассказывает, как проводить аудит смарт-контрактов на языках FunC и Tact платформы TON.

Читайте, чтобы узнать больше:

🔵об особенностях платформы и затруднениях, которые могут из-за них возникнуть;

🔵общих ошибках, которые встречаются при использовании TON;

🔵причинах проблем с отправкой сообщений и обновлением кода.

В конце — инструкция по безопасной разработке и аудиту, которая поможет выявлять уязвимости в TON и оценивать надежность смарт-контрактов.

✌️ Читайте статью на Хабре.

#PositiveЭксперты
@Positive_Technologies

👩‍🚀 «Космический лифт — это прикольно. Давайте его построим, пусть ломают!» — так некоторые могут представлять появление новых отраслей на нашем киберполигоне Standoff.

Чтобы ни у кого не было заблуждений, написали целую статью в Positive Research, где Ирина Хмелева, руководитель группы проектирования Standoff, рассказывает, как все происходит на самом деле.

Вот вам пара интересных фактов:

1️⃣ Все подсказки в части сценариев атак и их последствий мы получаем… от реальных хакеров.

Например, в 2021 году в США злоумышленники использовали вирусы-шифровальщики, чтобы остановить работу трубопровода Colonial Pipeline на шесть дней. В итоге пять штатов остались без бензина, а люди в панике штурмовали АЗС, скупая последние запасы топлива. На Standoff есть критическое событие «Остановка нефтепродуктопровода», основанное на этой истории.

2️⃣ Мы по-настоящему разбираемся, как работает та или иная отрасль или предприятие, поскольку при разработке их виртуальных двойников для полигона приглашаем экспертов «от станка». И если они ткнут на что-то пальцем и констатируют «Ерунда!», такая деталь на Standoff не появится (это касается и макета для кибербитвы, и цифровой инфраструктуры).

Другие интересные детали ищите в статье на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

Сколько стоит кибератака? Какое вредоносное ПО на заказ самое дорогое? Что чаще всего покупают на черном рынке начинающие хакеры?

На эти и многие другие вопросы ответили в нашем новом исследовании, посвященном рынку дарквеба. В нем эксперты Positive Technologies проанализировали цены на нелегальные киберуслуги и товары, а также затраты злоумышленников на проведение кибератак.

💲 Кибератака — это дорого

К примеру, фишинговая атака с использованием шифровальщика, если готовить ее с нуля, обойдется начинающим киберпреступникам минимум в 20 000 долларов.

🧮 Давайте подсчитаем подробнее:

≈1100 $ — аренда и подготовка защищенной и анонимной ИТ-инфраструктуры
≈4500 $ — приобретение необходимого инструментария (подписок на VPN и другие сервисы)
≈7500 $ — покупка исходного кода шифровальщика
≈2700 $ — дополнительные затраты на ВПО (программы для загрузки шифровальщика в систему жертвы и маскировки от средств защиты)
≈100 $ — сбор данных о компании по открытым источникам (и столько же за подготовку фишингового сообщения)
≈1000 $ — получение доступа в организацию
≈5000 $ — услуга по повышения привилегий в сети компании

👾 Сколько стоит ВПО

Шифровальщики, о которых мы говорили выше, — самое дорогое ВПО с медианной стоимостью около 7500 долларов. Однако есть предложения и за 320 000 долларов — в основном по подписке за взнос в криптовалюте.

Средняя стоимость остальных популярных программ:

≈400 $ — инфостилеры для кражи данных
≈70 $ — крипторы и инструменты обфускации, позволяющие скрываться от программ защиты
≈500 $ — загрузчики ВПО
> 20 000 $ — эксплойты (примерно в трети объявлений), причем в 32% случаев речь идет об уязвимостях нулевого дня

Что касается киберпреступных услуг, то в 62% случаев цена на доступы к корпоративным сетям компаний находятся в диапазоне до 1000 долларов, а стоимость компрометации личного аккаунта в электронной почте начинается от 100 долларов, корпоративного — от 200 долларов.

❓ Почему это выгодно

Несмотря на большие затраты, чистая прибыль от успешной атаки может в среднем в пять раз превышать «стартовый взнос». Например, если говорить об упомянутой выше фишинговой атаке с использованием шифровальщика, вымогатели могут получить от жертвы порядка 100 000–130 000 долларов.

Компания же не только может быть вынуждена заплатить выкуп, но и получит ущерб из-за нарушения бизнес-процессов.

Например, в 2024 году из-за атаки вымогателей серверы компании CDK Global не работали две недели. Организация заплатила киберпреступникам 25 млн долларов, при этом финансовые потери дилеров из-за простоя системы превысили 600 млн долларов.

👉 Еще больше данных — в исследовании на нашем сайте и на вебинаре, который пройдет сегодня, 21 января, в 14:00 (регистрируйтесь, чтобы узнать все самое интересное).

#PositiveЭксперты
@Positive_Technologies

Стиль гадюки 🐍

Может ли злоумышленник использовать всем известные инструменты и оставаться незамеченным более полутора лет? Наш ответ — да.

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний.

Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года.

В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.

😏 Подробнее о группировке и ее техниках вы можете прочитать в исследовании на нашем сайте.

#TI #APT #Malware
@ptescalator

🐈‍⬛ Встречайте новую версию динамического анализатора защищенности веб-приложений — PT BlackBox 3.0

Важное изменение: мы перевели сканер на контейнерную архитектуру под управлением Kubernetes. Это позволит эффективно внедрять продукт в компаниях любого размера и адаптировать его к различным типам нагрузки.

Новый тип архитектуры повысил стабильность и скорость сканирования, а также позволил расширить поддержку форматов OpenAPI за счет добавления возможности работы с удаленными ссылками в формате YAML.

«Одним из ключевых достижений PT BlackBox 3.0 стала поддержка HAR-файлов, которые необходимы для более глубокого анализа сложных веб-приложений, особенно одностраничных (SPA). С помощью таких файлов можно изучать сетевые запросы и ответы, динамически загружаемые ресурсы и взаимодействия, что делает сканирование более удобным и точным», — прокомментировал Сергей Синяков, руководитель продукта PT BlackBox.

В PT BlackBox появилась новая платформа аутентификации пользователей с поддержкой технологии единого входа (SSO) по протоколу OpenID, которая облегчает управление доступом. Кроме того, мы улучшили ряд функциональных возможностей сканирования: расширили области анализа до поддоменов, папок и путей и переработали тип проверки «Внедрение SQL-кода на основе ошибок».

❗️ Важно: переход на контейнеры изменил процесс установки, поэтому автоматически обновиться с версии 2.8 до 3.0 не получится. Необходимо установить сканер заново, а мы, если нужно, поможем с разработкой сценария миграции данных.

#PTBlackBox
@Positive_Technologies

🤟 Какие техники матрицы MITRE ATT&CK выявляют продукты Positive Technologies

Вы наверняка знаете про APT-атаки (advanced persistent threat) — тщательно спланированные кибернападения, нацеленные на определенную компанию или отрасль. Как правило, за ними стоят хорошо организованные группировки с солидными бюджетами и высокотехнологичными инструментами.

Техники APT-группировок описаны в матрице MITRE ATT&CK, которая регулярно пополняется новыми данными исследователей и специалистов по кибербезопасности.

😱 У нас есть бесплатный онлайн-сервис MAC — MITRE ATT&CK Coverage. Он представляет собой не просто перевод матрицы на русский язык, с его помощью вы можете:

• узнать, какие продукты Positive Technologies покрывают те или иные техники злоумышленников.

• собирать свои наборы техник (например, из бюллетеней threat intelligence, рассылаемых ГосСОПКА, ФинЦЕРТ, публикуемых PT Expert Security Center и другими компаниями) и быстро проверять, какие продукты Positive Technologies и в каком объеме могут обнаруживать и нейтрализовать интересующие вас наборы.

А еще мы связали MAC и несколько наших исследований, в которых приведены наборы техник, используемых, например, в атаках на страны СНГ или в рамках проводимых нами пентестов. Эти подборки уже есть на сайте, и их список мы будем расширять!

😏 Бесплатный онлайн-сервис ждет вас на нашем сайте.

@Positive_Technologies