🫡 Skype R.I.P.
Skype прекращает свою работу сегодня.
Запущенный в 2003 году эстонскими инженерами, Skype стал пионером в области VoIP и видеозвонков, предложив бесплатную связь по всему миру. Компания Microsoft приобрела его в 2011 году за $8,5 миллиарда. Однако с ростом конкуренции со стороны WhatsApp, Zoom и собственной платформы Microsoft Teams, популярность Skype начала снижаться.
✋ @Russian_OSINT
Skype прекращает свою работу сегодня.
Запущенный в 2003 году эстонскими инженерами, Skype стал пионером в области VoIP и видеозвонков, предложив бесплатную связь по всему миру. Компания Microsoft приобрела его в 2011 году за $8,5 миллиарда. Однако с ростом конкуренции со стороны WhatsApp, Zoom и собственной платформы Microsoft Teams, популярность Skype начала снижаться.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇺🇸 Бывший советник по нацбезопасности США Майкл Уолтц непреднамеренно раскрыл использование в правительстве модифицированной версии Signal
Майкл Уолтц случайно раскрыл использование малоизвестной, неофициальной версии мессенджера Signal, которая могла использоваться для переписки. Инцидент произошёл в ходе заседания кабинета министров при участии Дональда Трампа, когда фотография, опубликованная агентством Reuters, запечатлела экран телефона Уолтца с активным чатом, включающим сообщения от высокопоставленных чиновников, таких как Джей Ди Вэнс, Тулси Габбард и Марко Рубио.
🕵️ Журналисты заметили экран со странным уведомлением о проверке PIN-кода «TM SGNL». Дело в том, что это не типичное уведомление от официального мессенджера Signal.
Вскоре после скандала с группой в Signal [1,2] для обмена оперативной информацией о военных действиях в 🇾🇪 Йемене, Уолтц был отправлен в отставку.
Что за TM SGNL?
📱Утверждается, что TM SGNL это «переупакованный» Signal, который ранее выпускала израильская компания TeleMessage (ныне в составе Smarsh). Компания-разработчик программного обеспечения, базирующаяся в Петах-Тикве, 🇮🇱Израиль, была основана Гаем Левитом и Гилом Шапирой в 1999.
В начале 2000-х годов компания привлекла более 10 миллионов долларов инвестиций. В 2005 году была куплена британской Messaging International plc, после чего её акции торговались на лондонской бирже (AIM). В 2017 году компания была выведена с биржи и приватизирована. Имела контракты с такими компаниями, как Verizon Wireless, Rogers Communications и Sprint Nextel. Сотрудничала с Microsoft, Proofpoint и NICE Actimize.
TeleMessage формально уже дочерняя компания Smarsh. Они начали ребрендинг TeleMessage в продукт под названием Capture Mobile, но процессы ещё не завершены.
Покопавшись немного в деталях, становится понятно, что 🇺🇸Smarsh это американская компания, базирующаяся в Портленде (штат Орегон), но у них есть несколько офисов по США. Одна из точек активности — Acton, Массачусетс. Размер компании указывается: 1 000–5 000 сотрудников вместе со структурами Smarsh.
🤔📖 Интересную деталь заметил:
Идем на оф.сайт компании:
и где про Signal?
👀 После скандала компания подчистила свой сайт, убрав оттуда информацию о себе и своих продуктах. Даже видео теперь c ограниченным доступом на 📲 YouTube...
Но мы то знаем, где ещё можно поискать 😉. Идем в WaybackMachine и смотрим информацию до скандала. Узнаем напрямую из первоисточника следующее:
💠 Это модифицированное корпоративное решение, которое позволяет записывать и архивировать всю активность в приложении Signal. Например, звонки, сообщения, файлы, удалённые сообщения.
💠 Работает в фоновом режиме без участия пользователя.
💠 Автоматически загружает расшифрованные сообщения в корпоративный архив.
💠 Сохраняет интерфейс и функции обычного Signal, чтобы пользователь не заметил изменений.
💠 Поддерживает работу как на личных (BYOD), так и на корпоративных устройствах.
💠 Интегрируется с системами корпоративного хранения и поиска данных
💠 End-to-end между пользователями, НО сообщения копируются после расшифровки на устройстве.
По сути TeleMessage Signal Capture это корпоративная модификация Signal, использующая открытый код, при этом сохраняется внешний вид и функции оригинального Signal [маскировка], но встраивается механизм "скрытого копирования". Сообщения и звонки автоматически перехватываются сразу после расшифровки на устройстве и отправляются в корпоративный архив компании для последующего хранения и аудита. ТeleMessage позволяет организациям контролировать рабочие коммуникации сотрудников даже в приложении, которое в обычной версии предназначено для максимальной приватности.
...продолжение следует
✋ @Russian_OSINT
Майкл Уолтц случайно раскрыл использование малоизвестной, неофициальной версии мессенджера Signal, которая могла использоваться для переписки. Инцидент произошёл в ходе заседания кабинета министров при участии Дональда Трампа, когда фотография, опубликованная агентством Reuters, запечатлела экран телефона Уолтца с активным чатом, включающим сообщения от высокопоставленных чиновников, таких как Джей Ди Вэнс, Тулси Габбард и Марко Рубио.
🕵️ Журналисты заметили экран со странным уведомлением о проверке PIN-кода «TM SGNL». Дело в том, что это не типичное уведомление от официального мессенджера Signal.
Вскоре после скандала с группой в Signal [1,2] для обмена оперативной информацией о военных действиях в 🇾🇪 Йемене, Уолтц был отправлен в отставку.
Что за TM SGNL?
📱Утверждается, что TM SGNL это «переупакованный» Signal, который ранее выпускала израильская компания TeleMessage (ныне в составе Smarsh). Компания-разработчик программного обеспечения, базирующаяся в Петах-Тикве, 🇮🇱Израиль, была основана Гаем Левитом и Гилом Шапирой в 1999.
В начале 2000-х годов компания привлекла более 10 миллионов долларов инвестиций. В 2005 году была куплена британской Messaging International plc, после чего её акции торговались на лондонской бирже (AIM). В 2017 году компания была выведена с биржи и приватизирована. Имела контракты с такими компаниями, как Verizon Wireless, Rogers Communications и Sprint Nextel. Сотрудничала с Microsoft, Proofpoint и NICE Actimize.
TeleMessage формально уже дочерняя компания Smarsh. Они начали ребрендинг TeleMessage в продукт под названием Capture Mobile, но процессы ещё не завершены.
Покопавшись немного в деталях, становится понятно, что 🇺🇸Smarsh это американская компания, базирующаяся в Портленде (штат Орегон), но у них есть несколько офисов по США. Одна из точек активности — Acton, Массачусетс. Размер компании указывается: 1 000–5 000 сотрудников вместе со структурами Smarsh.
🤔
Идем на оф.сайт компании:
Our Products
WhatsApp Archiver
Text Message Archiver
Voice Archiver
Secure Messaging App
и где про Signal?
Но мы то знаем, где ещё можно поискать 😉. Идем в WaybackMachine и смотрим информацию до скандала. Узнаем напрямую из первоисточника следующее:
По сути TeleMessage Signal Capture это корпоративная модификация Signal, использующая открытый код, при этом сохраняется внешний вид и функции оригинального Signal [маскировка], но встраивается механизм "скрытого копирования". Сообщения и звонки автоматически перехватываются сразу после расшифровки на устройстве и отправляются в корпоративный архив компании для последующего хранения и аудита. ТeleMessage позволяет организациям контролировать рабочие коммуникации сотрудников даже в приложении, которое в обычной версии предназначено для максимальной приватности.
...продолжение следует
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В преддверии 9 мая сделал для Вас небольшую, но полезную подборку ресурсов для ознакомления:
▫️ Память народа — информационная система Министерства обороны России, объединяющая архивные документы о фронтовиках Великой Отечественной войны: боевые пути, награждения, воинские части, захоронения и истории участников, охватывающая более 109 млн страниц оцифрованных материалов и позволяющая восстановить судьбу солдата от призыва до возвращения домой или гибели.
▫️ ОБД Мемориал — банк данных о защитниках Отечества, погибших, умерших и пропавших без вести в период Великой Отечественной войны и послевоенный период. Содержит 17 млн цифровых копий документов о безвозвратных потерях и 20 млн именных записей о потерях Красной Армии в Великой Отечественной войне. Куратором проекта выступает Управление Министерства обороны Российской Федерации по увековечению памяти погибших при защите Отечества.
▫️ Подвиг народа — база данных о боевых наградах участников Великой Отечественной войны, содержащая более 12,5 млн записей о награждениях и 22 млн карточек наградных картотек, с возможностью узнать обстоятельства подвигов по архивным документам. Создан по инициативе Департамента развития информационных технологий Минобороны России в 2010 году.
▫️ Бессмертный полк — ищем информацию о судьбах людей военного поколения: фронтовиках, партизанах, военнопленных, пропавших без вести, детях войны, тружениках тыла; делимся своими находками; помогаем в поиске.
▫️ Портал «Памяти героев Великой войны 1914 -1918 годов» — поиск Героев войны через портал, созданный Министерством обороны России при поддержке Федерального архивного агентства и Российского исторического общества. Информационный ресурс является первым официальным банком документов об участниках и событиях Первой мировой войны и предоставляет пользователям уникальный инструментарий для поиска и восстановления судеб тех, кто служил в русской армии в период с 1914 по 1918 гг.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Канал 🔨 SecAtor — @true_secator пишет интересное:
Федеральное жюри присяжных поставила точку в деле NSO Group, обязав поставщика spyware выплатить WhatsApp (принадлежащей признанной в РФ экстремистской Meta) 168 миллионов долларов в качестве возмещения ущерба за атаку Pegasus на 1400 ее пользователей.
Первоначально WhatsApp подала иск в отношении NSO Group еще в 2019 году, обвинив ее в использовании Pegasus для преследования журналистов, правозащитников и политической оппозиции.
Согласно представленным на разбирательствах судебным документам, жертвами шпионской кампании стали 456 пользователей в Мексике, 100 - в Индии, 82 - в Бахрейне, 69 - в Марокко и 58 - в Пакистане. Всего в прицеле Pegasus оказались пользователи из 51 страны.
В атаках для запуска шпионского ПО задействовался 0-day в функции голосовых вызовов WhatsApp (CVE-2019-3568, оценка CVSS: 9,8).
В ходе судебных прений NSO Group пыталась уйти от ответственности, утверждая, что не имеет представления о том, что ее клиенты делают с Pegasus, но эта линия защиты провалилась.
NSO была вынуждена признать, что ежегодно тратит десятки миллионов долларов на разработку новых методов внедрения вредоносного ПО, в том числе через SMS, мессенджеры, браузеры и ОС, а ее шпионское ПО и по сей день способно вмешиваться в работу устройств iOS или Android.
В постановлении, вынесенном в декабре 2024 года, окружной судья США Филлис Дж. Гамильтон отметила, что вредоносные сообщения Pegasus отправлялись через серверы WhatsApp, расположенные в Калифорнии, 43 раза в течение соответствующего периода времени в мае 2019 года.
Судебный прецедент в деле NSO Group, по мнению главы WhatsApp Уилл Кэткарт, можно назвать историческим и станет важнейшим сдерживающим фактором для индустрии шпионского ПО по всему миру.
Помимо штрафных санкций в размере 167 254 000 долларов США, присяжные постановили, что NSO Group должна выплатить WhatsApp 444 719 долларов США в качестве компенсации за работы, предпринятые инженерами для блокировки векторов атак.
Кроме того, согласно судебному постановлению NSO вынесен запрет когда-либо снова атаковать WhatsApp.
В свою очередь, после получения судебного постановления WhatsApp намерена финансово поддержать организации, специализирующиеся на защите цифровых прав и защите пользователей от подобных атак.
Несмотря на публичные заявления NSO Group в Courthouse News и POLITICO о задействовании ее технологий в борьбе с преступлениями и терроризмом, судебное решение полностью отражает стратегию американских властей, ранее также наложивших санкции на поставщика.
В целом, можно констатировать, что назначенные судом суммы возмещения могут серьезно подорвать экономику NSO Group и наступательные возможности разрабатываемого софта.
Но будем, опять же, посмотреть.
Федеральное жюри присяжных поставила точку в деле NSO Group, обязав поставщика spyware выплатить WhatsApp (принадлежащей признанной в РФ экстремистской Meta) 168 миллионов долларов в качестве возмещения ущерба за атаку Pegasus на 1400 ее пользователей.
Первоначально WhatsApp подала иск в отношении NSO Group еще в 2019 году, обвинив ее в использовании Pegasus для преследования журналистов, правозащитников и политической оппозиции.
Согласно представленным на разбирательствах судебным документам, жертвами шпионской кампании стали 456 пользователей в Мексике, 100 - в Индии, 82 - в Бахрейне, 69 - в Марокко и 58 - в Пакистане. Всего в прицеле Pegasus оказались пользователи из 51 страны.
В атаках для запуска шпионского ПО задействовался 0-day в функции голосовых вызовов WhatsApp (CVE-2019-3568, оценка CVSS: 9,8).
В ходе судебных прений NSO Group пыталась уйти от ответственности, утверждая, что не имеет представления о том, что ее клиенты делают с Pegasus, но эта линия защиты провалилась.
NSO была вынуждена признать, что ежегодно тратит десятки миллионов долларов на разработку новых методов внедрения вредоносного ПО, в том числе через SMS, мессенджеры, браузеры и ОС, а ее шпионское ПО и по сей день способно вмешиваться в работу устройств iOS или Android.
В постановлении, вынесенном в декабре 2024 года, окружной судья США Филлис Дж. Гамильтон отметила, что вредоносные сообщения Pegasus отправлялись через серверы WhatsApp, расположенные в Калифорнии, 43 раза в течение соответствующего периода времени в мае 2019 года.
Судебный прецедент в деле NSO Group, по мнению главы WhatsApp Уилл Кэткарт, можно назвать историческим и станет важнейшим сдерживающим фактором для индустрии шпионского ПО по всему миру.
Помимо штрафных санкций в размере 167 254 000 долларов США, присяжные постановили, что NSO Group должна выплатить WhatsApp 444 719 долларов США в качестве компенсации за работы, предпринятые инженерами для блокировки векторов атак.
Кроме того, согласно судебному постановлению NSO вынесен запрет когда-либо снова атаковать WhatsApp.
В свою очередь, после получения судебного постановления WhatsApp намерена финансово поддержать организации, специализирующиеся на защите цифровых прав и защите пользователей от подобных атак.
Несмотря на публичные заявления NSO Group в Courthouse News и POLITICO о задействовании ее технологий в борьбе с преступлениями и терроризмом, судебное решение полностью отражает стратегию американских властей, ранее также наложивших санкции на поставщика.
В целом, можно констатировать, что назначенные судом суммы возмещения могут серьезно подорвать экономику NSO Group и наступательные возможности разрабатываемого софта.
Но будем, опять же, посмотреть.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - [email protected]
Для связи - [email protected]
This media is not supported in your browser
VIEW IN TELEGRAM
Не так давно в ex-Twitter писали о том, что на рынке США появился GEOINT-продукт 🇺🇸GeoSpy AI — инструмент предназначен для определения местоположения по изображениям с использованием методов компьютерного зрения и машинного обучения, разработанный компанией Graylark Technologies.
Например, в одном из источников упоминается база данных, содержащая более 46 миллионов изображений с GPS-метками. Также для обучения ИИ-модели GeoSpy использовались миллионы изображений, полученных из открытых источников, включая социальные сети.
Платформа была запущена в декабре 2023 года и быстро привлекла внимание исследователей, журналистов, специалистов по безопасности, а также правоохранителей. Изначально она была открыта для широкой публики, но отдельные уникумы вместо того, что использовать её по прямому назначению — стали отслеживать девушек и сталкерить через платформу, после чего компания прикрыла лавочку с публичным доступом.
У компании сейчас дела идут в гору и власти США заинтересовались новыми разработками. Специально для силовых ведомств анонсирован новый инструмент под названием
Компания обещает представить инновационную технологию определения точного местоположения по фотографиям интерьеров внутри помещений. Обновленные модели способны сопоставлять ничем не примечательные интерьерные фотографии с конкретными адресами зданий. Система изучает визуальные особенности на фото, такие как архитектурные детали, мебель, виды из окон и многие другие элементы, чтобы выдать наиболее релевантный результат.
GeoSpy Interior Geolocation опирается на 2 метода: визуальное распознавание окружения (интерьер внутри строения) + перекрестное сравнение с внешними базами (например, фотографии домов из открытых источников).
Допускаю мысль, что новый GeoSpy Interior Geolocation тесно связан с другим продуктом GeoSpy Property Search, который ищет информацию о конкретном объекте недвижимости по его фото. В Property Search ИИ определяет вероятный адрес, а далее он автоматически подтягивает открытые данные о недвижимости – например, выписки о собственнике или фото внутренних интерьеров из объявлений о продаже жилья, социальные сети, своя БД, чтобы удостовериться в совпадении.
Основатель компании прямо указывает на то, что самой важной областью применения своего продукта он считает
Please open Telegram to view this post
VIEW IN TELEGRAM
В перспективе правоохранители могут использовать GeoSpy Interior Geolocation для других расследований: от поиска мест изготовления наркотиков (изучают снимки лаборатории) до установления локации подозреваемых по их фотографиям в соцсетях.
👆Компанию основали ИИ-энтузиасты Даниэл Хайнен и его братья (специалисты в области компьютерных наук) в 2022 году. Изначально Graylark занималась экспериментальными проектами на стыке ИИ и кибербезопасности, а GeoSpy родился как побочный проект, запущенный самим Даниэлом в декабре 2023 года практически «на коленке».
Первый прототип был собран за несколько дней и выложен в открытый доступ для OSINT-энтузиастов. Неожиданный интерес к демо-версии продукта подтолкнул команду присмотреться внимательнее к новом направлению. Даниэл оставил перспективную работу в области🛸 дронов и переключился на проект GeoSpy.
✋ @Russian_OSINT
👆Компанию основали ИИ-энтузиасты Даниэл Хайнен и его братья (специалисты в области компьютерных наук) в 2022 году. Изначально Graylark занималась экспериментальными проектами на стыке ИИ и кибербезопасности, а GeoSpy родился как побочный проект, запущенный самим Даниэлом в декабре 2023 года практически «на коленке».
Первый прототип был собран за несколько дней и выложен в открытый доступ для OSINT-энтузиастов. Неожиданный интерес к демо-версии продукта подтолкнул команду присмотреться внимательнее к новом направлению. Даниэл оставил перспективную работу в области
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как пишет FT, 🇺🇸США и 🇸🇦Саудовская Аравия подписали пакет соглашений на сумму около $600 млрд, включающий проекты в области обороны и искусственного интеллекта. Дональд Трамп назвал партнерство "фундаментом безопасности и процветания“ и подчеркнул, что стратегическая связка Вашингтона и Эр-Рияда "будет только усиливаться".
Саудовский наследный принц Мухаммед бин Салман подтвердил, что сотрудничество будет расширено до $1 трлн.
Среди приглашённых на мероприятие оказались Илон Маск, глава Nvidia Дженсен Хуанг, управляющий Blackstone Стив Шварцман, CEO Blackrock, а также глава OpenAI Сэм Альтман. Новые проекты опираются на ресурсы суверенных фондов региона, управляющих более чем $3 трлн.
Главным технологическим блоком сделки стала инициатива Humain – нового государственного ИИ-холдинга Саудовской Аравии, возглавляемого принцем и финансируемого из $940-миллиардного Фонда публичных инвестиций. На первом этапе Humain закупит 18 000 чипов Blackwell от Nvidia. AMD, конкурирующая с Nvidia, вложит до $10 млрд, а Amazon пообещала $5 млрд на инфраструктуру дата-центров.
Планы Трампа охватывают весь регион Персидского залива, включая Катар и ОАЭ. Целью поездки является привлечение свыше $1 трлн инвестиций в США и закрепление технологического доминирования на фоне усиления конкуренции с Китаем. Политико-экономическая ось Вашингтон–Эр-Рияд теперь делает ставку на облачные вычисления и контроль над ИИ-инфраструктурой.
Please open Telegram to view this post
VIEW IN TELEGRAM
Канал 🔨 SecAtor — @true_secator пишет интересное:
К Международному дню борьбы с шифровальщиками исследователи Лаборатории Касперского выкатили отчет об эволюции угроз ransomware и их влиянии на сферу кибербезопасности.
По данным Kaspersky Security Network, с 2023 по 2024 год количество детектов по шифровальщикам сократилось на 18% - с 5 715 892 до 4 668 229.
В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%.
С другой стороны, статистика по реагированиям на киберинциденты указывает на то, что в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%.
Так что, можно полагать: целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.
В целом, в отчете исследователи ЛК выделяют ряд глобальных тенденций, которые наблюдались в отношении шифровальщиков в 2024 году:
1. Модель RaaS по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников.
По итогам 2024 года отметились RansomHub со схемой распределения выкупа в 90/10 для операторов. За ними - Play.
RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.
2. Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде.
Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды.
3. По данным Chainalysis, в 2024 году общая сумма выплат значительно сократилась - до 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл.
При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году.
Тем не менее, доля организаций, заплативших выкуп в 4 квартале 2024, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года.
4. В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации, оказывая давление на жертв.
5. В 2024 году несколько крупных операторов ransomware столкнулись с серьезными перебоями в своей деятельности, однако устойчивость экосистемы вымогателей сохраняется.
При этом LockBit после удара спецслужб смогла вернуться, чего не скажешь про ALPHV/BlackCat, чьи участники перекочевали в другие группы, включая RansomHub.
6. Одни группы исчезли, другие продолжили их дело: вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением силовиков, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301.
Кроме того, иногда вредоносные инструменты «утекают» в сеть, как это произошло с LockBit 3.0.
7. Банды вымогателей все чаще разрабатывают свои уникальные наборы инструментов, также фиксируются попытки задействования ИИ в операциях, как в случае с FunkSec.
8. Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.
Подробная статистика по угрозам, перспективы ransomware-индустрии и рекомендации исследователей ЛК - в отчете.
К Международному дню борьбы с шифровальщиками исследователи Лаборатории Касперского выкатили отчет об эволюции угроз ransomware и их влиянии на сферу кибербезопасности.
По данным Kaspersky Security Network, с 2023 по 2024 год количество детектов по шифровальщикам сократилось на 18% - с 5 715 892 до 4 668 229.
В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%.
С другой стороны, статистика по реагированиям на киберинциденты указывает на то, что в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%.
Так что, можно полагать: целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.
В целом, в отчете исследователи ЛК выделяют ряд глобальных тенденций, которые наблюдались в отношении шифровальщиков в 2024 году:
1. Модель RaaS по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников.
По итогам 2024 года отметились RansomHub со схемой распределения выкупа в 90/10 для операторов. За ними - Play.
RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.
2. Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде.
Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды.
3. По данным Chainalysis, в 2024 году общая сумма выплат значительно сократилась - до 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл.
При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году.
Тем не менее, доля организаций, заплативших выкуп в 4 квартале 2024, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года.
4. В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации, оказывая давление на жертв.
5. В 2024 году несколько крупных операторов ransomware столкнулись с серьезными перебоями в своей деятельности, однако устойчивость экосистемы вымогателей сохраняется.
При этом LockBit после удара спецслужб смогла вернуться, чего не скажешь про ALPHV/BlackCat, чьи участники перекочевали в другие группы, включая RansomHub.
6. Одни группы исчезли, другие продолжили их дело: вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением силовиков, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301.
Кроме того, иногда вредоносные инструменты «утекают» в сеть, как это произошло с LockBit 3.0.
7. Банды вымогателей все чаще разрабатывают свои уникальные наборы инструментов, также фиксируются попытки задействования ИИ в операциях, как в случае с FunkSec.
8. Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.
Подробная статистика по угрозам, перспективы ransomware-индустрии и рекомендации исследователей ЛК - в отчете.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - [email protected]
Для связи - [email protected]