С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе. Но обо все по порядку.

https://habr.com/ru/post/707910/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707910

Все слышали про ransomware — «программы-вымогатели», которые проникают компьютерную сеть компании и шифруют файлы. Затем злоумышленники предлагают купить ключ расшифровки.



Жертвами атак становятся и госучреждения, и коммерческие компании. Например, недавно пострадал военный IT-подрядчик NJVC, который разрабатывает специализированный софт для кибербезопасности. Хотя в том случае вымогатели, вероятно, получили ответную атаку, поскольку очень быстро отказались от претензий.



Однако госучреждения и IT-компании — не главная мишень.
Читать дальше →

https://habr.com/ru/post/694800/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694800

В наши дни любому поставщику антивирусов невероятно сложно угнаться за многими миллионами новых вредоносных программ, создаваемых каждый год. Дело не в том, что каждый год создаются миллионы абсолютно новых, уникальных вредоносных программ; дело в том, что одни и те же вредоносные программы переделываются, запутываются и шифруются, чтобы при каждом использовании они выглядели по-разному. Таким образом, традиционные антивирусные сканеры на основе сигнатур с трудом поспевают за ними. Им приходится ждать, пока новая вредоносная программа будет обнаружена, сообщена, проверена, а затем создана надежная сигнатура. К тому времени, когда это произойдет, большинство программ-вымогателей повторно зашифруют себя, чтобы создать новую подпись. Между выпуском и надежным обнаружением всегда будет задержка, которую преступники используют по максимуму.

https://habr.com/ru/post/680520/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680520

Ransomware

Программы-вымогатели

Не существует единого типа программ-вымогателей, хотя у большинства из них есть общие черты, в том числе следующие:

Это вредоносная программа (например, вредоносное ПО)

Зловред крадется или тайно помещается на компьютере или устройстве жертвы.

Он имеет возможность шифровать файлы.

Он требует выкуп за ключ(и) дешифрования.

https://habr.com/ru/post/680442/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680442

Интервью с Чуонгом — разрушителем рансомов.

https://habr.com/ru/post/675506/?utm_source=habrahabr&utm_medium=rss&utm_campaign=675506

Мы подготовили для вас 20 рекомендаций по защите от Ransomware-атак, но, чтобы они оказались в полной мере эффективными, для начала поговорим о том, что такое программы-вымогатели и как они работают — врага нужно знать в лицо. Затем обсудим, что нужно предпринять, чтобы максимально обезопасить себя от этой напасти. Также будет приведена любопытная статистика по Ransomware, а в завершении расскажем о том, что делать, если вы стали одной из жертв программ-вымогателей.

https://habr.com/ru/post/670026/?utm_source=habrahabr&utm_medium=rss&utm_campaign=670026

Привет, Хабр! На связи Антон Белоусов и Алексей Вишняков, и мы продолжаем вместе с вами изучать буткиты — наиболее опасный класс вредоносного ПО. Гонка вооружений между разработчиками решений в области ИБ и вирусописателями не останавливается ни на секунду: первые активно внедряют новые механизмы противодействия киберугрозам, а вторые — инструменты их обхода. Как раз с точки зрения безопасности нас заинтересовал современный стандарт предзагрузки операционных систем UEFI. Поэтому в этом посте мы решили:

• разобраться, чем загрузка в режиме UEFI отличается от загрузки в режиме Legacy BIOS;

• рассказать о новых экземплярах буткитов, нацеленных на компрометацию UEFI;

• выяснить, похожи ли они на своих предшественников (обширную группу так называемых legacy-буткитов мы подробно изучили в прошлый раз);

• рассмотреть используемые злоумышленниками техники и слабые места систем на платформе UEFI.

https://habr.com/ru/post/668154/?utm_source=habrahabr&utm_medium=rss&utm_campaign=668154