И квиз-турнир, посвященный 100-летию криптографической службы России https://t.co/icJf1GL5EY
— Russian cryptography (@CryptographyRU) May 5, 2021

Как организовать свой CTF можно узнать в свежем отчете ENISA https://t.co/NM06VndlrY
— Alexey Lukatsky (@alukatsky) May 10, 2021

Интересный рассекреченный документ АНБ об их роли на рынке криптографии и влиянии на него - https://t.co/Exz4PfMvym
— Alexey Lukatsky (@alukatsky) May 10, 2021

Интересная графика и выводы интересные можно из нее сделать https://t.co/mt9PCGuJD7
— Alexey Lukatsky (@alukatsky) May 10, 2021

Что, собственно, было понятно с самого начала. Обычный оператор ransomware, которому все равно на ком зарабатывать

​​Владельцы ransomware DarkSide, которых обвинили в причастности к громкому взлому американского трубопровода Colonial Pipeline (мы по этому поводу завтра дадим отдельный большой пост), выпустили своеобразный пресс-релиз, в котором заявили буквально следующее.

"Рафик не виновный, он вне политики, не связан с госструктурами и делает бабло как может. Проблем для населения Рафик создавать не хотел. Во всем виноваты недалекие партнеры-операторы, с которыми будет проведена соответствующая поучительная беседа.

А еще некоторые говорят что Рафик топит за Иран, но это не так."

(конечно не так, там русскоязычные все - и владелец, и операторы).

Хотел тут на грядущем форуме DLP+ выступить с темой «13 способов обойти DLP”, но увы 😪 Такому мастер-классу места не нашлось в программе. Ну что ж, оставим тему до лучших времен
— Alexey Lukatsky (@alukatsky) May 11, 2021

Уровни ответственности государства за кибератаки. Жаль, что когда какой-нибудь журналист отечественных СМИ в процессе неумелого перевода своего иностранного, но такого же неумелого коллеги, он не уточняет, что же в реальности имел ввиду источник, говоря «атака исходит из России»

1. Чтож все так носятся с этой Colonial Pipeline? Что в этой атаке такого, что ее преподносят как апокалипсис и крах всей экономики?
— Alexey Lukatsky (@alukatsky) May 12, 2021

2. Обычный шифровальщик, который заразил уже не одну компания, а в начале года в Бразилии так и вовсе заразил пару компаний ТЭК
— Alexey Lukatsky (@alukatsky) May 12, 2021

3. Colonial уэе останавливала прокачку, что приводило к росту фьючерсов на бензин
— Alexey Lukatsky (@alukatsky) May 12, 2021

4. «Русские хакеры», которые якобы стоят за атакой тоже не новость.

И чем этот кейс отличается от всех остальных? НИЧЕМ!— Alexey Lukatsky (@alukatsky) May 12, 2021

Ну не зря же технологии ИБ во многих странах мира считаются технологиями двойного назначения

Удивительное рядом - оказалось, что операторы ransomware Darkside, ставшие в одночасье самыми известными хакерами в мире в связи со взломом трубопровода Colonial Pipeline, в своих взломах используют F-Secure C3 (данные из отчета FireEye о владельце и операторах Darkside).

F-Secure C3, если в двух словах, - это опенсорсный фреймворк, разработанный финской инфосек компанией F-Secure, с помощью которого red team при проведении различных пентестов и аудитов организуют каналы связи и эксфильтрации информации с управляющими центрами (С2). Используется для обхода IDS, брандмауэров и защиты на эндпойнтах.

Много споров по этому поводу было и вот теперь оказалось, что Darkside прикрутили F-Secure C3 себе. Эксперты задаются вопросом -  что теперь скажут клиенты F-Secure, если пострадают от действий этого ransomware.

А еще смешно, что CRO F-Secure Микко Хиппонен постоянно топил за то, чтобы другой широко используемый хакерами инструмент red team Cobalt Strike называли уже малварью и даже ругался по этому поводу с Twitter.

Похоже, кто-то заказал СерчИнформ, ибо описанная практика регистрации «российской» ИБ-компании не в России, достаточно распространена

Троянский конь Searchinform

Учредитель ООО «СерчИнформ» бывший гражданин Республики Беларусь Матвеев Лев может помочь США взломать систему безопасности российской оборонки.
Как оказалось, поставщик программного обеспечения для таких кампаний как  ВКО "АЛМАЗ - АНТЕЙ", "Российская корпорация ракетно-космического приборостроения и информационных систем", «Сухой» зарегистрировал свою разработку контура информационной безопасности Searchinform сразу в трех странах – Англии, Сейшельских островах и России. Теперь угрозы США провести кибератаки на российскую инфраструктуру уже не кажутся фантастическими.

Информационное IT безрассудство

Кому СерчИнформ может сливать коды безопасности российской оборонки?

Байден подписал Указ о усилении национальной кибербезопасности США - https://t.co/5y3Pofm6a3
— Alexey Lukatsky (@alukatsky) May 13, 2021

Неожиданно