Подводим итоги The Standoff и объявляем победителей
 
За все время The Standoff было реализовано 33 уникальных бизнес-риска — 54% от общего числа рисков, заложенных в программу соревнований. Всего жюри приняло 84 отчета об успешно выполненных заданиях от команд атакующих. Победителями среди команд «красных» стали True0xA3 (35 877 баллов), Сodeby (30 183) и Invuls (17 643).

От хакерских атак пострадали все компании. Атаки затронули газораспределительную станцию, нефтекачалки, ТЭЦ, ветрогенераторы, электроподстанцию, железнодорожное хозяйство, аэропорт, морской порт, магазины, сеть рекламных видеоэкранов, систему уличного освещения, офисы компаний 25 Hours, Heavy Ship Logistics, Nuft, Tube. Чаще всего бизнес-риски реализовывали в компаниях Heavy Ship Logistics и FairMarket — 33 и 26 раз соответственно.
Расскажем о самых серьезных кибератаках, которые поставили бизнес города F под угрозу.

Компания Tube обслуживает сразу несколько объектов городской инфраструктуры. Первое направление ее работы — это доставка газа и электроэнергии. Из-за атак команды True0xA3 на систему управления произошли взрывы на газораспределительной станции. Инцидент унес жизни четырех сварщиков, а северо-запад города остался без газа. Генеральный директор Tube вынужден подать в отставку. Клиенты уже готовят иски против компании.

Хакеры обесточили и оживленную городскую магистраль, которую обслуживает компания Tube. В результате внезапно отключилось освещение, ситуацию усугубили дождь и туман, и многие водители не справились управлением. Итог — сразу несколько крупных ДТП.

В результате следующего нападения город остался без электричества. Атакующие отключили линии электропередач, взломав устройства релейной защиты и автоматики на подстанции, принадлежащей Tube. Но специалисты компании не сразу заметили проблему, поскольку хакеры подменили данные на диспетчерском пульте. Кибератака привела к блэкауту, погрузив город во тьму.

Случилось и еще одно неприятное событие: экраны компании Tube транслировали компромат на рекламодателей — подробности переговоров, конфиденциальные документы и скандальные фотографии. Клиенты подают в суд и уходят к конкурентам.

Всего в Tube было реализовано 8 из 9 бизнес-рисков. Семь из них — командой True0xA3.

Big Bro Group производит электроэнергию для нужд города. На этой неделе произошли неполадки в работе ветропарка и газотурбинной электростанции, которые принадлежат компании. Командам Invuls и Codeby удалось получить доступ к системе управления ветрогенераторами и вызвать полную их остановку. Хакеры замаскировали свои действия, подменив данные на пульте управления: диспетчеры были уверены, что генераторы работают штатно. Чтобы компенсировать потерю мощности, клиентов перевели на энергию от ТЭЦ. Однако хакеры взломали систему управления на электростанции и остановили газовую турбину. Город F снова остался без света. Госучреждения, детские сады и школы, розничные магазины вынуждены были закрыться еще в середине рабочего дня.

Следующая кибератака команды Codeby на электростанцию привела к активации автоматической системы пожаротушения. В результате была остановлена газовая турбина и прекращена поставка электроэнергии в город. Деловой центр, магазины и городские поликлиники вынуждены были остановить работу. Эта же команда взломала корпоративную ERP-систему и заменила расчетные счета нескольких поставщиков на подставные. Теперь компания будет отправлять платежи на счета хакеров, не подозревая об этом.

Nuft — крупная региональная корпорация по добыче и переработке нефтепродуктов — столкнулась с остановкой добычи нефти. Атакующие из Сodeby и True0xA3 остановили автоматизированную систему управления и подменили показатели приборов. Нефтедобыча компании сократилась за сутки на 90%. Простой вызвал панику на рынке, рост цен, ажиотажный спрос на нефтепродукты и одновременно резкое падение акций компании Nuft.
 
В инфраструктуре ретейлера FairMarket произошли 7 из 9 нежелательных для бизнеса событий.

Интернет-магазин компании был отключен от системы безналичной оплаты в результате взлома, и клиенты лишились возможности делать покупки. Кроме того, хакеры взломали ERP-систему и подменили цены на топовые модели смартфонов, что привело к крупным финансовым потерям и закрытию магазинов. Ретейлер столкнулся и с незаконной продажей алкоголя в ночное время из-за действий хакеров, теперь компании грозят штрафы.

Транспортная компания Heavy Ship Logistics стала основной целью атакующих. В морском порту контейнер упал прямо на баржу. Как выяснилось, хакеры Invuls перехватили управление портальным краном и подавали заведомо неправильные команды. Компании придется покрыть стоимость испорченного груза, и не одна неделя уйдет на ремонт судна.

На вокзале города F был полный хаос. Команды Invuls и Unlim подменили расписание поездов на всех электронных табло. Часть поездов задерживались, люди сдавали билеты и пересаживались на автобусы. А еще хакеры взломали IT-систему, отвечающую за регистрацию пассажиров в аэропорту; несколько рейсов были отменены. Тем временем атакующие получили доступ к системам продажи билетов на самолет и поезд: теперь все желающие могут приобрести билеты бесплатно!

Атакующие прислали 343 отчета об уязвимостях выявленных в инфраструктурах компаний. Самым популярным вектором проникновения в локальные сети становились незащищенные веб-приложения. В системах Big Bro Group уязвимости искали активнее всего: 37% отчетов относились к ресурсам этой компании. А вот в компании 25 Hours нашли уязвимости только 15 раз.

Команды защитников прислали 328 отчетов о выявленных инцидентах. Среди источников событий чаще всего они указывали средства анализа сетевого трафика, а команды, под защитой которых находились офисы Nuft и Tube, фиксировали инциденты еще и с помощью системы анализа технологического трафика. В первые дни, когда атакующие только получали первоначальные доступы в сети компаний, в топ-3 источников событий входили и межсетевые экраны уровня приложений. По количеству отчетов об атаках в тройке лидеров команды Jet Security Team (компания Tube), akPots_team (Nuft) и Yourshellnotpass (25 Hours). За время соревнований защитники успели расследовать 18 реализованных бизнес-рисков, причем команды Jet Security Team и Yourshellnotpass расследовали все осуществленные в их компаниях риски. В среднем на расследование с необходимой полнотой собранных фактов требовалось около 5 часов.

Приглашаем на вебинар "Получение снимков памяти в PT Sandbox: новые плагины для DRAKVUF". Онлайн-мероприятие пройдет 1 июня в 14:00. Регистрация по ссылке.

Очень часто злоумышленники используют упаковщики и обфускаторы для сокрытия вредоносного кода. Это позволяет им избежать обнаружения средствами статического анализа и повышает шансы незаметного распространения по корпоративной среде. Но после начала исполнения кода, прежде чем выполнить задуманное действие, вредоносное ПО принимает первоначальную форму, которая никак не усложнена для анализа. В этот момент важно уметь сохранять «распакованные» участки памяти для дальнейшего исследования.

На вебинаре мы расскажем, каким образом PT Sandbox получает снимки памяти при выполнении образца. Расскажем о системе для динамического анализа DRAKVUF: разберем принцип работы плагинов memdump и procdump.

Вебинар будет интересен сотрудникам SOC, исследователям вредоносного ПО, пользователям PT Sandbox, а также всем, кто интересуется информационной безопасностью.

Восемнадцатый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru.

Темы нового ролика:
- как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения,
- к 2030 году киберпреступления будут совершать роботы,
- в автомобилях Mercedes-Benz обнаружены уязвимости,
- страховая компания AXA стала жертвой вымогателя Avaddon,
- техника scheme flooding позволяет деанонимизировать пользователей Tor,
- «вакциной» против русских хакеров может стать русская раскладка клавиатуры,
- операторы вымогателя DarkSide потеряли доступ к своей инфраструктуре,
- Япония ограничит использование иностранных технологий частным сектором,
- клиентка банка отдала телефонным мошенникам рекордные 400 миллионов рублей.

Открываем цикл статей, посвященных плагину ghidra_nodejs для Ghidra, разработанному нашей командой.

Задача плагина — десериализовать содержимое jsc-файлов, дизассемблировать байткод функций и декомпилировать их. В первой статье на Habr Сергей Федонин раскрыл сущность и байткод движка V8, а также тезисно описал сам плагин, про который мы подробно расскажем в последующих статьях.

Приглашаем на вебинар "Как создавать правила для MaxPatrol SIEM, чтобы они точно работали". Онлайн-мероприятие пройдет 10 июня в 14:00. Регистрация по ссылке.

Как убедиться, что ваши самописные правила в SIEM-системе работают? В пакетах экспертизы MaxPatrol SIEM правила протестированы, совместимость версии таксономии и уже написанных правил контролируется специалистами Positive Technologies. Если вы пишете собственные правила для MaxPatrol SIEM, то их работоспособность нужно регулярно проверять вручную непосредственно в продукте.

Эксперты Positive Technologies расскажут, как применять специальную утилиту PTSIEMSDK_GUI и на примерах продемонстрируют, как писать модульные и интеграционные тесты и как отладить правила, которые работают с табличными списками.

Вебинар будет полезен специалистам, которые пишут собственный или поддерживают существующий контент для MaxPatrol SIEM.

APT-атаки – так ли они далеки от реальных компаний и какова вероятность стать жертвой профессиональных хакерских группировок?

Алексей Новиков, директор #PTExpertSecurityCenter, рассказал в интервью Anti-Malware.ru, как меняются техники и цели APT-группировок, как быстро злоумышленники начинают эксплуатировать уязвимости после выхода патчей и как удаленка повлияла на методы защиты от APT.

Добавили в MaxPatrol SIEM новый пакет экспертизы для обнаружения подозрительной активности пользователей в платформе для приложений SAP NetWeaver Application Server Java.

Новые правила позволят вовремя предотвратить доступ злоумышленников к системе SAP, атаки типа «отказ в обслуживании» и повышение привилегий до уровня администратора. Подробнее в новости.

Девятнадцатый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
https://www.youtube.com/watch?v=0keYB_QfwHI

Темы нового ролика:
• квантовые компьютеры смогут взломать большую часть современных алгоритмов шифрования;
• как заводской пароль привел к обвинениям в одном из серьезнейших преступлений;
• эксперты раскрыли подробности взлома RSA;
• страховой гигант CNA заплатил кибервымогателям $40 млн;
• уязвимости в «умных» розетках позволяют взломать домашнюю сеть;
• Apple исправила 0-Day-уязвимости в macOS;
• МИД России раскритиковал продление санкций ЕС за кибератаки;
• страховщики повышают стоимость страхования киберрисков и сужают страховое покрытие;
• ИИ может писать дезинформационные тексты и формировать мнение пользователей соцсетей.

Хочешь стать частью команды Positive Technologies? У тебя есть не только такая возможность, но и выбор, ведь в ИБ есть множество направлений. Продолжаем рассказывать в нашем блоге на Habr про работу в разных отделах компании.

Сегодня предлагаем окунуться в атмосферу команды обнаружения вредоносного ПО. Читайте хабрапост Алексея Вишнякова, руководителя этого отдела (https://habr.com/ru/company/pt/blog/559326/), и вы узнаете историю создания команды и что нужно, чтобы присоединиться к нашим ребятам.

На Петербургском международном экономическом форуме стартует сессия «Оpen Source в России: быть или не быть?».

Какой экономический эффект может принести последовательная политика государства в области поддержки распространения open-source-продуктов и платформ? Может ли создание российской платформы и ее интеграция в мировую сеть стать точкой прорыва в сфере IT?
По приглашению Минцифры России на сессии собрались лучшие зарубежные эксперты, представители российских ИТ-компаний и институтов развития, чтобы вместе обсудить стратегию развития Open Source в России и наметить первые шаги.

В мероприятии принимают участие: замминистра цифрового развития, связи и массовых коммуникаций Максим Паршин, председатель Фонда «Сколково» Аркадий Дворкович, сооснователь Almaz Capital Александр Галицкий, директор европейского офиса GitHub Марко Беркович, генеральный директор Positive Technologies Юрий Максимов и другие.

«Для меня ответ на вопрос, поставленный в названии сессии, очевиден: ставка на Open Source позволит совершить качественный рывок в развитии российского рынка цифровых продуктов. Мы собрали зарубежных экспертов, представителей крупнейших российских компаний и институтов развития, чтобы открыто обсудить стратегию и перспективы Open Source в России», — отметил заместитель министра цифрового развития, связи и массовых коммуникаций России Максим Паршин.

Присоединяйтесь к трансляции: https://play.live.dfw.ru/stream/id1060/10925.html

Эксперты Positive Technologies Антон Дорфман, Иван Курнаков, Сергей Федонин, Вячеслав Москвин и Денис Горюшев обнаружили 10 уязвимостей в программном комплексе промышленной автоматизации CODESYS , часть которых имеет высокий и критически высокий уровень опасности. Подробнее в нашей новости.

Для устранения уязвимостей необходимо руководствоваться рекомендациями, которые указаны в официальных уведомлениях компании CODESYS.

На ПМЭФ началась специальная сессия «Технологии и инновации для устойчивого развития».

Представители топ-менеджмента крупных компаний и высокотехнологичных стартапов обсудят здесь перспективы устойчивых бизнес-моделей и прорывных продуктов, которые могут приблизить нас к достижению целей устойчивого развития.

Дискуссия включает, в частности, такие темы, как FoodTech для продовольственной безопасности, технологии и мусорный кризис, финтех и блокчейн в эпоху пандемии, гендерное равенство и инновационные технологии в медицине.
В мероприятии принимают участие: Алиса Мельникова, директор по цифровым и информационным технологиям СИБУР, Андрей Зюзин, управляющий партнер, фонд F4G, Никита Кукушкин, актер и создатель мобильного приложения «Помощь», генеральный директор Positive Technologies Юрий Максимов и другие.
Присоединяйтесь к трансляции.

Хочешь разбираться в актуальных трендах кибербезопасности и получить знания, которые не дают ни в одном вузе? Готов узнать техники лучших пентестеров и погрузиться в практическую безопасность?

Есть желание научиться презентовать результаты реальных проектов по анализу защищенности и писать исследовательские статьи для тысяч читателей? Приходи к нам на стажировку! Команда аналитиков информационной безопасности Positive Technologies ждет тебя. Больше подробностей по ссылке.

Кто не успел посмотреть стримы с сессий ПМЭФ`21 с участием Юрия Максимова, генерального директора Positive Technologies? Ловите самое важное из вчерашней дискуссии, о том, как open source может влиять на экономику и технологическое развитие страны.

Еще одно выступление Юрия Максимова на ПМЭФ`21 прошло в рамках сессии «Технологии и инновации для устойчивого развития». Через какую призму правильнее рассматривать кибербезопасность? И в чем состоит ключевой момент ИБ? Ответы ищите здесь.

Эксперты Positive Technologies Вячеслав Москвин и Сергей Федонин выявили две уязвимости в прошивке промышленного контроллера WAGO 750-8207. Одна из уязвимостей имеет критический уровень опасности.

Контроллеры серии 750 применяются для автоматизации зданий, при работе с возобновляемыми источниками энергии, на трансформаторных станциях и других объектах энергораспределения, в нефтехимической промышленности, в водопроводах и других коммунальных системах, в судостроительной отрасли, на морских и прибрежных сооружениях, в машиностроении и других сферах. Больше подробностей в нашей новости (https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-obnaruzhila-uyazvimosti-v-promyshlennom-kontrollere-wago/).

Для устранения уязвимостей необходимо руководствоваться рекомендациями в уведомлении компании WAGO (https://cert.vde.com/de-de/advisories/vde-2021-014).