Как Warlock атакуют вашу инфраструктуру
В ноябре 2025 года эксперты по реагированию на инциденты Angara MTDR столкнулись с несколькими инцидентами с участием группировки Warlock (Lenient Wolf, Storm-2603, GOLD SALEM). Данный кластер активности использует уязвимости внешнего контура как один из первоначальных векторов атак, например,...
DFIR на практике. Часть 1: Lockdown Lab
В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту. В сегодняшей статье...
Два рождественских червя 80-х: как доверие к сети стало проблемой задолго до фишинга
Праздники в ИТ часто выглядят одинаково — независимо от десятилетия. Меньше людей в офисах, меньше изменений в инфраструктуре, меньше внимания к мелочам. И сегодня мы воспринимаем это как очевидную истину: длинные выходные — время повышенного риска. Но в конце 1980-х эта мысль ещё не была частью...
Атрибуция кибератак: почему иногда «не знаю» — единственный честный ответ
Представьте, что вы остановили атаку шифровальщика, залатали уязвимость и восстановили системы из бэкапа. Через неделю в той же сети всплывает майнер. Еще через месяц документы утекают в открытый доступ. Следы каждый раз ведут к одной и той же уязвимости. Что происходит: резвится один упорный хакер...
Пара реальных историй из жизни аналитиков SOC
Своевременное выявление инцидентов ИБ позволяет минимизировать возможный ущерб в случае реализации связанных с ними рисков. Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и...
Уже не Thor: как мы выслеживали одну группировку и «разбудили» другую
Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader. Впервые ВПО было описано в январе 2024 года...
Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика
На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда». Киберугрозы эволюционируют быстрее,...
Будущее центров мониторинга: как искусственный интеллект меняет ландшафт кибербезопасности
За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто...
«Один в поле не воин». Интеграционные сценарии Kaspersky NGFW
Привет, Хабр! Меня зовут Иван Панин, я специалист в области сетевой безопасности, CCNP, CCNP Security, CCDP, MBA CSO. С 2022 года — руководитель группы развития решений по инфраструктурной безопасности «Лаборатории Касперского», где занимаюсь экспертной технической поддержкой пресейловых команд...
Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия
По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6. Лаба (так...
Бой с тенью: специалисты F6 помогли отразить кибератаку на сеть клубов Alex Fitness
Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness. Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных....
Руководство по выбору SOC: на что обратить внимание
Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена...
Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR
Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность. В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и...
Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак
Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff...
Инструменты атакующих в 2023–2024 годах
На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и...
Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»
Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее...
Реагирование на инциденты ИБ в Linux-системах: база
В мире, где всё чаще происходят кибератаки, важно иметь понимание процесса реагирования на инциденты информационной безопасности. Особенно важно это в контексте Linux-систем, которые являются основой многих критически важных элементов ИТ-инфраструктуры компаний. Под катом вы найдете базовые моменты...
[Перевод] Секреты переговорщика с хакерами
Когда хакерские группировки из даркнета приходят за выкупом, большинство компаний впадает в панику. Этот человек обводит злоумышленников вокруг пальца. Читать далее...
Назад