Representative offices: 

Request callback

Decryptable PartyTicket Ransomware Reportedly Targeting Ukrainian Entities


On Feb. 23, 2022, destructive attacks were conducted against Ukrainian entities. Industry reporting has claimed the Go-based ransomware dubbed PartyTicket (or HermeticRansom) was identified at several organizations affected by the attack, among other families including a sophisticated wiper CrowdStrike Intelligence tracks as DriveSlayer (HermeticWiper).

Analysis of the PartyTicket ransomware indicates it superficially encrypts files and does not properly initialize the encryption key, making the encrypted file with the associated .encryptedJB extension recoverable.

Technical Analysis

A PartyTicket ransomware sample has a hash SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. It has been observed associated with the file names cdir.exe, cname.exe, connh.exe and intpub.exe.

The ransomware sample — written using Go версії 1.10.1— contains many symbols that reference the U.S. political system, including voteFor403, C:/projects/403forBiden/wHiteHousE and primaryElectionProcess.

The ransomware iterates over all drive letters and recursively enumerates the files in each drive and its subfolders, excluding file paths that contain the strings Windows and Program Files, and the folder path C:\Documents and Settings (the latter folder was replaced in Windows versions later than Windows XP with C:\Users). Files with the following extensions are selected for encryption:

acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip

For each file path that passes the previously described path and extension checks, the ransomware copies an instance of itself to the same directory it was executed from and executes via the command line, passing the file path as an argument. The parent ransomware process names its clones with a random UUID generated by a public library2 that uses the current timestamp and MAC addresses of the infected host’s network adapters.

The malware developer attempted to use Go’s WaitGroup types to implement concurrency; however, due to a likely coding error, the ransomware creates a very large number of threads (one per enumerated file path) and copies its own binary into the current directory as many times as there are selected files. After all encryption threads have ended, the original binary deletes itself via the command line.

When the sample receives a file path as an argument, it encrypts the file using AES in Galois/Counter Mode (GCM). The AES key is generated using the Go rand package’s Intn function to select offsets in the character array 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, generating a 32-byte key. Due to another likely coding error, the seed for the Intn function is updated after the key is generated, meaning the same AES key is generated each time the binary and its clones are run. All of the files encrypted on a host are encrypted with the same key, and knowledge of the corresponding PartyTicket sample’s key enables their decryption. A script using this flaw to recover the encrypted files is available on the CrowdStrike Git Repository.

For each file, the AES encryption key is itself encrypted with RSA-OAEP, using a public RSA key that has the following parameters:

Modulus (N): 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
Exponent (E): 0x10001

Before encryption, the ransomware renames the file using the format <original file name>.[[email protected][.]com].encryptedJB (“JB” very likely stands for the initials of the United States president Joseph Biden, given the other political content in the binary). The ransomware then overwrites the content with the encrypted data. PartyTicket will only encrypt the first 9437184 bytes (9.44 MB) of a file. If the file passed as an argument is larger than this limit, any data above it is left unencrypted. After the file contents are encrypted, PartyTicket appends the RSA-encrypted AES key at the end of the file.

The ransomware also writes an HTML ransom note on the user’s desktop directory with the name read_me.html (Figure 1). Unless they are intentional mistakes, grammar constructs within the note suggest it was likely not written or proofread by a fluent English speaker.

Figure 1. Ransom note


CrowdStrike Intelligence does not attribute the CrowdStrike products activity to a named adversary at the time of writing.

The ransomware contains implementation errors, making its encryption breakable and slow. This flaw suggests that the malware author was either inexperienced writing in Go or invested limited efforts in testing the malware, possibly because the available development time was limited. In particular, PartyTicket is not as advanced as DriveSlayer, which implements low-level NTFS parsing logic. The relative immaturity and political messaging of the ransomware, the deployment timing and the targeting of Ukrainian entities are consistent with its use as an additional payload alongside DriveSlayer activity, rather than as a legitimate ransomware extortion attempt.

YARA Signatures

The following YARA rule can be used to detect PartyTicket:

Script to Decrypt PartyTicket Encrypted Files

Due to the previously discussed implementation errors in the AES key generation, it is possible to recover the AES key used for encryption by PartyTicket. The below Go script decrypts files encrypted by PartyTicket sample 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. The script takes the file to be decrypted as an argument via the “-p” flag and saves the decrypted output to “decrypted.bin” in the same directory. The script can be built as an executable or run via the Go run package; it was tested using Go version go1.16.6.

Learn how to protect your organization from modern cyberattacks by using CrowdStrike products.

iIT Distribution as the official distributor of CrowdStrike solutionsthat enable companies to use advanced technologies to build uninterrupted protection of their IT infrastructures. We work closely with our clients, providing a full range of project support services.




Take active steps to protect your organization from becoming a puppet in the hands of Russian cyber intruders

What good does revealing the information in the previous two articles in our series do? It clearly shows that many organizations worldwide may have services that are contributing to attacks on Ukrainian digital infrastructure. While these are not intentional as they are legitimate systems that have been manipulated into becoming DDoS weapons, IT professionals should look at their systems and act, using all their tools, not just DDoS protection systems.

Steps to address this issue can include:

  • Turning off any non-essential services that might generate potential attacks
  • Investigating unusual traffic flows from their organizations around these protocols which could be used in amplification and reflection attacks, specifically UDP services (e.g., traditional protocols like DNS, NTP etc. and less common protocols like ARD, CLDAP etc.)
  • Turn on available access controls on firewalls and networking equipment to prevent systems from being weaponized
  • Ensure all systems are patched and up to date to combat known CVEs
  • Review guidelines from multiple sources: CISA, vendors, and other security resources to keep up to date on the evolving situation, and then take steps to ensure systems are secure
  • Check that procedures are in place in the case of cyberattacks. It is especially important when DDoS attacks have often been used as smokescreens to distract for other attacks

Specialized DDoS protection systems also provide an enhanced level of protection, specifically enabling techniques to mitigate these attacks, such as actionable (large-scale) threat lists pulling from multiple threat databases, traffic anomaly inspection, finding traffic baseline violations, using artificial intelligence (AI) and machine learning (ML), and more.

It is important to note that organizations should cross reference multiple observability and reporting capabilities to get a comprehensive picture of the network status to ensure the previously mentioned anomalous behaviors are thwarted.

Larger and More Frequent DDoS Attacks Illustrate Action Should be Taken Now

The examples above illustrate that DDoS amplification and reflection attacks continue to be fast, cheap and easy to perform. Evidence from the A10 DDoS Attack Mitigation: A Threat Intelligence Report, points to a new record for the largest reported attack when Microsoft reported in Jan 2022 a3.47 Tbps and 340 million packets per secondbreaking last year’s record. This brings home the scale these coordinated attacks can be. It also shows that attacks can potentially be much larger. Microsoft mitigated these attacks by being prepared, both to detect and mitigate these attacks.

Increasingly, organizations are falling into the prepared and unprepared categories. Unprepared organizations are the ones more likely to make the headlines or contribute to the spread of problems. Increased public reporting and visibility will lead to more awareness of cyber threats and will help the IT and security communities better plan to mitigate threats and limit disruption. As an example, the 2016 Mirai DDoS attacks increased awareness and caused defenses to be shored up, resulting in some of the successful mitigations we see today.

Summary: Be One of the Prepared with the Right Protection in Place

By implementing the above steps to protect systems, organizations can rest assured that they will not become a destructive puppet in the hands of Russian criminal actors seeking to disrupt Internet services and other critical infrastructure in Ukraine. As illustrated from A10 Networks, threat research, there are certain organization types and regions have been targeted. Due to this changing threat landscape, it is also advisable for organizations in sensitive sectors worldwide, whether government, military or critical commercial infrastructure to reassess their services to ensure adequate defenses are in place to avoid being an unwitting participant of malicious activity.

iIT Distribution is an official distributor of advanced solutions from A10 Networks in Ukraine, Georgia, Kazakhstan and Uzbekistan. We are grateful to A10 company for broadcasting anti-tamper position by implementing measures to suppress Russian attacks on Ukrainian systems!

For our part, iITD will continue to help its customers in the selection and implementation of security products of this vendor.


CrowdStrike Falcon protects against new Wiper malware used in cyberattacks against Ukraine


CrowdStrike products is a company that can be proud not only for its high-quality and powerful endpoint protection solutions, but also about its well-developed corporate policy. Since its first day, the company has cooperated only with countries that demonstrate their commitment to European values and non-violent policies. The CrowdStrike team does not divide business and morality. While many IT companies, in light of today's violent events in Ukraine, are only beginning to realize the immorality of the shadow side of the aggressor country, CrowdStrike has never cooperated with such countries as Russia, Iran, China, North Korea, etc. in its existence. We encourage other IT companies to break their partnership with the aggressor country, and we are sincerely glad that more and more of our vendors have already done so.

On February 23, 2022 it was reported about new Wiper malware which attacked Ukrainian systems. After a series of denial-of-service attacks and hacking a number of Ukrainian websites, the new malware breached the master boot record (MBR), as well as all accessible physical disk partitions and the file system on Windows machines.

Intelligence of CrowdStrike products has named this new destructive software — DriveSlayer, and it is the second Wiper-type program to hit Ukraine in terms of recent attacks using the WhisperGate. DriveSlayer is digitally signed using a valid certificate. The software exploits the legitimate EaseUS Partition Master driver to access and control the disk in order to make the system non-functional.

The CrowdStrike Falcon platform can provide reliable and continuous protection against DriveSlayer and wiper-type threats, providing real-time workload monitoring to protect customers.

Test the effectiveness of CrowdStrike products solution in person by sending us a request to test the high-performance platform Falcon.

Technical Analysis

Unlike WhisperGate, which uses higher-level API calls, DriveSlayer uses raw disk access to destroy data.

During initialization, two additional command-line parameters can be used to indicate when the malware is asleep before starting the destruction process and rebooting the system. If they are not specified, the default values are 20 and 35 minutes.

After that, the malware makes sure that it has the appropriate privileges to perform its destructive actions. It uses the API AdjustTokenPrivileges to assign itself the following privileges: SeShutdownPrivilege, SeBackupPrivilege and SeLoadDriverPrivilege.

Privilege Name Description
SeShutdownPrivilege Provides the ability to shut down a local system
SeBackupPrivilege Provides the ability to perform system backup operations
SeLoadDriverPrivilege Provides the ability to load or unload a device driver

A variety of drivers will be loaded depending on the system version. The malware uses IsWow64Process to determine the version of the driver to be loaded. These drivers are located in the resources section of the binary file and are compressed using the Lempel-Ziv algorithm. The driver file is written to system32\drivers with a 4-character, pseudorandomly generated name. This file is then unpacked with LZCopy into a new file with the extension ".sys".

Example File Name Description
C:\Windows\System32\drivers\bpdr Lempel-Ziv compressed driver
C:\Windows\System32\drivers\bpdr.sys Decompressed driver

Before the driver is loaded, the malware disables the emergency dump by setting the following registry key:

Registry Value Description
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Disables crash dump

To load the driver, a new service is created using the API CreateServiceW. The name and display name for this service is the 4-character name used for the file name. Next, StartServiceW is called in a loop five times to ensure the driver is loaded. Immediately after the driver is loaded, the service is removed by deleting the entire registry key.

After the driver is loaded, the VSS service is disabled using the Control Service Manager. Following this, a number of additional threads are created. A thread is created to handle the system reboot. It will sleep for the time specified by a command line parameter of 35 minutes, at which point the system will be restarted by an API call to InitializeSystemShutdownExW.

Another thread disables features in the UI that could alert the user of suspicious activity occurring on the system before iterating through attached drives.

Registry Value Description
0 Disables colors for compressed and encrypted NTFS files
0 Disables pop-up information about folders and desktop items

Finally, the malware begins its destructive routine by spawning multiple additional threads that overwrite the files on disk and destroy the partition tables. Once the system is rebooted, the user will see a blank screen with the words “Missing operating system.”

The Falcon Platform’s Continuous Monitoring and Visibility Stop Destructive Malware

The Falcon platform takes a layered approach to protect workloads. Using on-sensor and cloud-based machine learning, behavior-based detection using indicators of attack (IOAs), and intelligence related to tactics, techniques and procedures (TTPs) employed by threats and threat actors, the Falcon platform enables visibility, threat detection and continuous monitoring for any environment, reducing time to detect and mitigate threats including destructive malware.

As shown in Figure 1, the Falcon platform uses cloud-based machine learning to detect DriveSlayer and prevent the malware from performing additional malicious actions, such as loading additional components.

Figure 1. The Falcon platform’s cloud-based machine learning detects DriveSlayer wiper

The Falcon platform’s behavior-based IOAs can detect and prevent suspicious processes from executing or loading additional components, as well as other behaviors that indicate malicious intent. For example, Falcon detects and prevents DriveSlayer behavior such as tampering with specific registry keys. The behavior-based detection is further layered with a traditional indicator of compromise (IOC)-based hash detection (see Figure 2).

Figure 2. CrowdStrike Falcon detects and prevents DriveSlayer destructive behavior

Because DriveSlayer has no built-in propagation methods for spreading across infrastructures, and because reports of it being used to target Ukraine have so far been limited, the risk of organizations encountering this data-wiping threat may be low at present. CrowdStrike will continue to monitor and report on the situation as it unfolds.

Customers of CrowdStrike Falcon can proactively monitor their environments with hunting queries to identify indicators of DriveSlayer presence. Check the CrowdStrike Support Portal for a brief description.

iIT Distribution as the official distributor of CrowdStrike solutions strongly encourages organizations that are facing the risk of cyber incidents to take steps to improve their operational resilience. CrowdStrike security solutions can protect against malware and the threat of data destruction by providing full visibility of the environment and intelligence monitoring of cloud resources to detect and respond to potential threats - including destructive ones - and limit potential damage.




A10 Networks research monitors attacks on Ukrainian systems.

In the previous article in this series, we looked at data from A10 to understand the nature of recent Russian government-sponsored cybercrimes aimed at Ukrainian targets. The massive spike in attacks on Ukrainian government systems occurred on the first day of the Russian-Ukrainian war.

Recall the two main targets aimed by the Russian coordinated DDoS Amplification and Reflection Attacks:

  • Private Company "Infoservice-Link" with more than two million requested responses to AppleRemoteDesktop (ARD). This target is included in the block of IP addresses, which are tied by their geolocation to one of the largest cities of Ukraine - Kharkiv. At the same time, whois information identifies it as Severodonetsk, Lugansk region, Ukraine, Lugansk.
  • Secretariat of the Cabinet of Ministers of Ukraine – more than 600 000 requests to NetworkTimeProtocol (NTP).

Studying these attacks, we can see that they were similar, but not identical. For example, the second target was requesting Network Time Protocol (NTP) for a DDoS amplification and reflection attack on UDP port 123, which is quite common, while the first target had requests for the less common Apple Remote Desktop (ARD) protocol on UDP port 3.283.

Figure 1: Protocols directed to Ukrainian registered ASNs via UDP on February 24, 2022 to a single honeypot. Accordingly, ARD, NTP and CLDAP are the most requested. During the next six days, NTP became the largest protocol observed on the same honeypot after a spike in activity during the first day of the war

Since UDP ports have no connection (unlike connection-oriented TCP), they allow to substitute the source address, masking the requestor and, at the same time, reflecting the response to the assigned victim, which receives a large, boosted payload. This is why attackers prefer Amplification and Reflection techniques.

ARD, for example, can have an amplification factor of more than 34 times higher than the original request. For the ARD attack on the first target, A10 Networks⠀estimated that most of the requested packets were 370 bytes (70%). However, considering the large number of packets of 1,014 bytes (23%), we can calculate an average of ~500 bytes. If we multiply 500 bytes by 2,099,092 requests, we get 1049546000 bytes⠀of just over 1 gigabyte, and they were all requested from the same machine.

In the "A10 DDoS Attack Mitigation: A Threat Intelligence Report," none of these protocols are in the top five. According to the research, there are 30,622 potential DDoS weapons for ARD that A10 monitors. Using only 10 percent of them could theoretically generate 3.2 terabytes of traffic, while using 50 percent could generate 16 terabytes of traffic.

Figure 2: Top 10 ARD UDP Locations of Potential DDoS Weapons Tracked by A10 (by Country and Overall)

Comparing the ARD protocol identified against the first cyber attack target, we see that there are 30,622 weapons tracked by A10, but 18,290 (59%) are in the US. Although there are many such weapons, that clearly illustrates that IT organizations outside of the warring nations may be actively involved in cyber conflicts. These organizations can directly help minimize the damage to Ukraine. The honeypot we analyzed was based in the United States.

As mentioned above, the two examples highlighted on February 24 were extremely large-scale. However, we have seen a steady increase in the number of smaller attacks on targets in Ukraine using various UDP protocols. The mix of these protocols has varied over time. ARD dominated the first day, and NTP dominated the next six days. Thus, owners need to ensure that their systems are not used to carry out Russian cyber attacks and illegal activities aimed at Ukrainian targets.

Learn more about А10 Networks and its high-performance solutions.

More to come. Stay tuned for updates so you don't miss Part 3 of the series from iIT Distribution and A10 Networks!!




A10 Networks research monitors attacks on Ukrainian systems.

A A10 Networks Networks is one of those vendors who actively supports Ukraine during this very difficult time, condemning in every way Russia's crimes against the Ukrainian nation. The Russian-Ukrainian war is shocking in the scale of its bloodshed. Russian terrorists are focusing not only on territorial offensives, but also on destabilizing cyber-attacks on Ukrainian systems which are sponsored by the Russian state. To stop these destructive activities and, as well as the potential harmful effects on other countries, immediate action is required. We need to act now. In this series of articles, we'll explain in detail the characteristics and specifics of new cyber-attacks detected by A10 Networks' security research group. A10 NetworksLearn what actions you can take to reduce the impact of Russian cyber-attacks and how exactly you can make sure that you are not "unconscious accomplices" of the aggressor.

Threat Vectors Reports and Recommendations

State-sponsored attacks are not a novelty. The world has seen occasions in which a number of major enterprises in fields such as banking, healthcare, and government agencies have been subjected to massive DDoS attacks, making headlines. But as for the current cyberconflict, it is being waged on multiple fronts.Recent reports have included malware, DDoS attacks and damage to Ukrainian websites. Executives at the Cybersecurity and Infrastructure Protection Agency (CISA), part of the U.S. Department of Homeland Security, are warning of a new threat:

«Further disruptive cyberattacks against Ukrainian organizations are likely and could unintentionally affect organizations in other countries. Companies should increase their vigilance and re-evaluate their capabilities to plan, prepare, detect and respond to such threats».

Today, we can observe the results of preparations for the current cyber conflict. For example, in 2020 it was revealed that the Russian FSB was aiming to create a massive IoT botnet. We have also seen reports of malware with multiple variations, such as Wiper, causing damage by removing sensitive data from target computer systems. In addition, state-sponsored DDoS attacks target government, banking, and educational services, in other words, organizations that serve ordinary people. We are also seeing reports of revenge attacks by hacktivists. For example, the Anonymous group have hacked into prominent Russian websites to post the group's anti-war messages. This clearly demonstrates that both offensive and defensive measures and countermeasures are actively being pursued.

DDoS Amplification and Reflection Attacks were and still are targeting Ukraine

The systems of security research group A10 recorded powerful and sustained attacks on Ukrainian state networks and, as a result, on commercial Internet resources. The massive spike was observed on the first day of the military conflict.

Studying one of our research honeypots and focusing on the spike in first-day breaches, we can see that hackers are trying to engage legitimate systems in a coordinated DDoS Amplification/Reflection attack. The first attempt to breach the honeypot node was made several hours after the initial territorial attacks against Ukraine started on February 24. Taking into account the answers to the requests of the systems concerning Ukrainian targets, two main goals can be identified:

1) Private Company "Infoservice-Link" with more than two million requested responses to AppleRemoteDesktop (ARD).

2) Secretariat of the Cabinet of Ministers of Ukraine – more than 600 000 requests to NetworkTimeProtocol (NTP).

The first target is slightly unclear at first because of its name, which we were able to find out as a result of an automatic search. When we get the in-depth information of the “Infoservice-Link”, we see that it refers to the block of IP addresses Checking where it was bound to, we see that in one source it is indicated as geolocation to one of the largest cities of Ukraine - Kharkiv, while the whois information shows it as Severodonetsk, Lugansk region, Ukraine, Lugansk. Flooding a block, although not on a specific host, still creates a DDoS attack, which the network equipment should in theory be able to handle if it is not weakened. Thus, we can conclude that the goal of the attack is to damage multiple applications, servers and the core infrastructure served by the block and equipment.

The second target – a government department, looks like an obvious source of opportunity for attackers:

"The main task of the Secretariat is organizational, expert-analytical, legal, informational, logistical support of the Cabinet of Ministers of Ukraine, government committees of the Prime Minister of Ukraine, First Deputy Prime Minister, Deputy Prime Ministers, Minister of the Cabinet of Ministers of Ukraine ", - Wikipedia.

Figure 1: Location information from ipinfo.io

Figure 2: 645 248 attempts to amplification-request to one honeypot in 15 minutes

To be continued. Stay tuned for more updates!

iIT Distribution is an official distributor of A10 Networks products in Ukraine, Kazakhstan, Georgia and Uzbekistan. We are sincerely thankful to A10 for active broadcasting the anti-tamper position by implementing measures to crack down Russian attacks on Ukrainian systems! For our part, iITD will continue to help our partners in selecting and implementing the most effective cyber solutions of this vendor.


Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate

Articles and reviews

Вочевидь, усі ми пам’ятаємо, як з 13 по 14 січня 2022 року низка державних органів України зазнала потужної кібератаки, у результаті якої постраждало 70 національних сайтів (10 з них зазнали безпосереднього втручання в бази даних). Як стало відомо незабаром після інциденту, він був викликаний системою вірусів WhisperGate набором шкідливих програм, діяльність яких спрямована на знищення даних на уражених ресурсах.

Якщо ви зволікали з цим раніше, саме час спрямувати свої сили на підбір по-справжньому ефективного рішення для детектування ризиків та захисту ваших систем. Просто зараз перегляньте відео, яке демонструє потужні можливості CrowdStrike Falcon у покроковому виявленні WhisperGate.

CrowdStrike Falcon — хмарне рішення, яке захищає кінцеві точки шляхом об'єднання антивірусу нового покоління, системи EDR (виявлення і реагування на загрози кінцевих точок) і цілодобової керованої служби пошуку загроз.

Falcon базується на штучному інтелекті (AI) і об'єднує технології, інтелект та досвід в одне просте рішення, яке надійно зупиняє будь-які загрози. Платформа за лічені хвилини забезпечує захист у реальному часі, а ефективні алгоритми штучного інтелекту дозволяють побачити результат вже з першого дня використання. Хмарна інфраструктура та архітектура усувають складність у роботі з різними додатками, забезпечують керованість та швидкість рішення.

Відкрийте для себе рішення від CrowdStrike.

Впевніться в тому, що Falcon не залишить зловмисникам жодного шансу на непомітне проникнення в вашу IT-інфраструктуру та знищення ваших даних в нашому відео.

Якщо ви обізнані – ви озброєні, підвищуйте рівень своєї кіберстійкості та знищуйте такі потужні загрози, як WhisperGate разом з CrowdStrike products!



Знайомство з процесами Security Operations Center (SOC) та найкращі рекомендації для його ефективної роботи від Lepide


Security Operations Center (SOC) — це підрозділ організації, роль якого полягає у постійному моніторингу, аналізі та вдосконаленні системи безпеки компанії. Як правило, SOC працює цілодобово, забезпечуючи захист секретних даних та дотримання відповідних норм конфіденційності.

SOC також розслідує, усуває та повідомляє про інциденти. У ході цього передбачається тісна взаємодія з групою реагування на інциденти (Incident Response Team — якщо така існує в компанії) для забезпечення оперативного та ефективного усунення ситуацій, що загрожують безпеці.

SOC зазвичай не бере участь у розробці політик та процедур, а займається моніторингом всіх сегментів мережі компанії на предмет аномальної активності, включаючи сервери, кінцеві точки, бази даних, програми та будь-яке інше мережеве обладнання/програмне забезпечення.

Додаткові види діяльності, які охоплює SOC, включають зворотну розробку шкідливого програмного забезпечення (reverse engineering malware), використання методів криптоаналізу для виявлення слабких місць у криптографічних системах організації, а також проведення розширених криміналістичних розслідувань попередніх інцидентів безпеки.

Як Security Operations Center працює

Робота SOC зазвичай починається із зустрічей з представниками різноманітних відділів та керівниками з метою збору інформації про поточний стан мережі організації.

Ці зустрічі передбачають питання про будь-які проблеми безпеки та відомі вразливості, а також про превентивні заходи, які вживаються для їх усунення.

SOC також встановлюють, яка саме інфраструктура безпеки вже була розгорнута в організації, щоб визначити, чи потрібна додаткова. Оскільки однією з ключових функцій SOC є аналіз журналів подій, команді необхідно переконатися, чи зможе вона узагальнювати дані з брандмауерів, IPS/IDS, UBA, DLP і SIEM-рішень.

Команда SOC також повинна мати можливість здійснювати збір інформації за допомогою передачі даних, телеметрії, інспекції пакетів даних (deep packet inspection), служби syslog та інших методів, щоб отримати всебічне уявлення про всю мережеву активність.

Ролі в Security Operations Center

Представники Security Operations Center зазвичай розділені на п'ять ролей: менеджер, аналітик, дослідник, респондент і аудитор. Однак слід зазначити, що в залежності від розміру організації деякі члени SOC можуть виконувати кілька ролей.

  • Менеджер: Роль менеджера полягає у контролі всіх областей мережевої безпеки та у тому, щоб у разі потреби бути здатним взяти на себе будь-яку роль.
  • Аналітик: Аналітик збиратиме, зіставлятиме (корелюватиме) та відстежуватиме журнали подій, створювані всіма мережевими програмами.
  • Дослідник: Роль дослідника полягає у проведенні криміналістичного аналізу після інциденту безпеки з метою з'ясування того, що сталося і з якої причини.
  • Респондент: Респондент відповідає за організоване реагування на інциденти безпеки. Це може бути звернення до відповідних зацікавлених сторін, повідомлення уповноважених органів влади та, можливо, навіть спілкування з пресою.
  • Аудитор: Аудитор зобов'язаний здійснювати аудит усіх систем безпеки, щоб переконатися, що вони функціонують належним чином і здатні відповідати необхідним вимогам.

Рекомендації для ефективної роботи SOC

Слід зазначити, що традиційні рішення для захисту периметра, такі як AV-програми, брандмауери та системи запобігання вторгненням, стають все менш актуальними. Багато в чому це пов'язано з тим, що ІТ-середовища стають більш розподіленими.

Дедалі більше співробітників працюють удома, використовуючи власні пристрої, і дедалі більше організацій переходять на хмарні послуги. Таким чином, вони все частіше керуються підходом, орієнтованим на дані. Його суть полягає у відстеженні того, як користувачі взаємодіють із конфіденційною інформацією.

Представники SOC завжди мають бути в курсі останніх відомостей про загрози. Це реалізується за допомогою збору інформації з новинних ресурсів та звітів. Вони повинні забезпечити своєчасне виправлення/оновлення всіх систем, а також отримання оновлень сигнатур та сповіщень про вразливості. SOC повинен автоматизувати якомога більшу кількість процесів, щоб спростити роботу служби безпеки та виключити можливість false positives (хибного спрацьовування).

Якщо ви хочете дізнатися, як Lepide може допомогти вашій команді SOC стати більш ефективною завдяки використанню платформи Lepide Data Security Platform, ознайомтеся ближче з цим рішенням by the link.

iIT Distribution пропонує різноманітність рішень для кібербезпеки, які допоможуть компаніям здійснювати всебічний захист та підвищувати ефективність своїх ІТ-інфраструктур. Ми тісно співпрацюємо зі своїми клієнтами та партнерами для того, щоб надати повну підтримку у проєктуванні та реалізації замовлених рішень.


7 IT-тенденцій 2022 року, які слід взяти на озброєння


2021 — ще один бурхливий рік, під час якого світ показав нам: якщо в чомусь можна бути впевненими, так це в тому, що все навколо не є статичним. За останні кілька років ми стали свідками масштабної цифровізації підприємств — тепер абсолютно кожна компанія має бути в онлайні скрізь і завжди, інакше вона просто не зможе стати прибутковою. Тому сьогоднішні ставки високі як ніколи: перебої у роботі систем можуть призвести до загрози успіху компанії або навіть краху бізнесу.

Більшість підприємств усвідомили цей ризик, внаслідок чого ІТ-команди займають значне місце за столом переговорів, коли йдеться про довгострокову стратегію та успіх бізнесу.

Але як ІТ-командам найкраще планувати свою роботу за таких нестійких часів? Попри те, що наступний рік, напевно, підкине кілька поворотних подій, є деякі тенденції, на які можна впевнено зробити ставку в 2022 році. Пристібайте ремені безпеки та відкривайте для себе ТОП-7 технологічних прогнозів від команди Automox.

1. "Великий розкол": Місце роботи сильно впливає не тільки на культуру компанії, а й на успіх бізнесу

Неможливо ігнорувати розмови про віддалену/гібридну/розподілену роботу, оскільки вони стосуються кожного з нас. У 2022 році ми спостерігатимемо проведення чіткої лінії, що ознаменує поділ команд на два табори.

Перший табір – прихильники моделі гібридної роботи, в якій компанії дозволяють співробітникам працювати поза офісом два-три дні на тиждень.

«У цій моделі співробітникам пропонується взяти офіс і свої робочі години додому. Ви, як і раніше, їздите на роботу, займаєте офісне приміщення, відвідуєте офіс, коли ваша дитина хвора. Крім того, кожна зустріч кишить нерівноправним спілкуванням між віртуальними та очними учасниками, які змінюються щодня», – говорить генеральний директор Automox Джей Прасл.

Другий табір — прихильники розподіленої роботи, під час якої компанії повністю ліквідують свої офісні приміщення та дозволяють працівникам працювати там, де вони забажають.

«Це чинить тиск на методи співпраці, комунікації та адаптації персоналу, але при цьому дозволяє компаніям працювати з кращими співробітниками, де б вони географічно не знаходилися. Штаб-квартири зникають, ставлячи кожного працівника в рівні умови. Підприємства можуть вільно інвестувати в спеціальні збори, які об'єднують людей/команди для побудови цінних відносин, що забезпечують розквіт бізнесу», — зазначає Джей.

2. Захист продуктивності лягає на плечі ІТ-відділу

До появи COVID-19 компанії досить скептично ставилися до дистанційної роботи. Чи може персонал бути продуктивним віддалено від офісу? Чи можемо ми довіряти своїм співробітникам у тому, що вони опрацьовуватимуть встановлену кількість годин?

Останні два роки не залишили іншого вибору, окрім як експериментувати. З другого кварталу 2020 року до другого кварталу 2021 року продуктивність праці зросла на 1,8 відсотка в порівнянні із середньорічним зростанням на 1,4 відсотка з 2005 по 2019 рік.

Наразі дискусія повністю переорієнтувалася з розгляду моделі повного робочого дня в офісі на перехід до віддаленої та гібридної моделі.

«У цьому контексті проблема з ноутбуком зводить вашу продуктивність нанівець. Ви більше не можете здати пристрій в ІТ-відділ, отримати його у тимчасове користування або просто піти на зустріч без нього. Що ми можемо зробити, щоб ці девайси були безпечними, актуальними, використовувалися ефективно та оновлювалися проактивно? Це саме те питання, на яке нам усім необхідно знайти відповідь», говорить Паскаль Боргіно, VP of Engineering & Architect.

3. Відповідність вимогам не дорівнює безпеці... Хоча сьогодні частково й дорівнює.

Заведено казати, що відповідність вимогам не дорівнює безпеці, проте за правильного підходу прийняття таких стандартів, як NIST and CIS, або отримання сертифікатів, таких як SOC or ISO, дає кожній організації міцний фундамент безпеки, на якому можна будувати свою роботу. Зрештою, вимоги відповідності зазвичай є хорошим стимулом для впровадження практик, які забезпечать вам кращу безпеку у разі атаки.

«За останній рік, після таких атак, як Solarwinds, Colonial Pipeline та Kaseya, ми стали свідками різкого підвищення уваги до Supply Chain та Third Party Risks (TPRM). У наступному році ми побачимо розширення тенденцій прийняття норм відповідності як стандарт ведення бізнесу, а разом із цим і гостру потребу в автоматизації, усуненні наслідків та звітності», — каже Кріс Хасс, директор з безпеки.

4. Нестача ІТ-фахівців – вигода для MSP (Managed service provider)

У міру того як все більше організацій (як нових, так і нецифрових) розвиватимуть свою цифрову присутність, ми станемо свідками масової нестачі IТ-фахівців у всьому світі. ІТ-команди й без цього розосереджені, а безперервний перехід до цифрових технологій призведе до високої конкуренції під час найму та різкого зростання постачальників керованих послуг (MSP).

«MSP вже давно є "інструментом" управління ІТ-інфраструктурою для організацій, і 2022 рік - не виняток. Великим зрушенням стане збільшення кількості середніх комерційних підприємств, які почнуть використовувати MSP як доповнення до своїх наявних ІТ-груп. Крім того, команди будуть частіше, ніж будь-коли, використовувати переваги автоматизації як способу впоратися з ситуацією в короткостроковій перспективі, у той час, як у довгостроковій перспективі відбудеться перехід на новий спосіб реалізації ІТ-операцій», — говорить Джей Гудман, Director of Product Marketing.

5. Попрощайтеся зі "збором" даних

Дані є наріжним каменем ІТ-аналітики, і компаніям необхідно приймати рішення швидше.

«Ми більше не можемо дозволити собі витрачати цикли збору даних, щоб відповісти на питання бізнесу. Відповідь має приходити протягом декількох хвилин, а це означає, що дані вже мають бути готові до обробки», — зазначає Паскаль.

Тож на які ж бізнес-питання керівники повинні мати легкодоступні відповіді у своїх руках?

  • Наскільки мій бізнес відповідає вимогам?
  • Чи моє підприємство в зоні ризику? Чи легко воно піддається ризикам?
  • Чи присутні неефективні процеси?
  • Чи впливають треті особи на продуктивність моїх працівників?
  • На що я не звертаю уваги?
  • Чи адаптована моя ІТ-стратегія до сучасних бізнес-потреб?

6. ITOps починають наздоганяти SecOps

На початку 2020 року ми бачили, як команди SecOps почали відходити від локальних інструментів. У міру згортання використання застарілого програмного забезпечення, брандмауери, CASB, веб-шлюзи та інші інструменти також переходитимуть на хмарну інфраструктуру.

«Оскільки довгострокові контракти на використання інструментів SecOps закінчуються протягом наступних 12-18 місяців, ми спостерігатимемо велику хвилю консолідації та трансформації інструментів у хмару для SecOps. І як тільки це станеться, основна увага буде приділена інструментам ITOps і тому, як організації зможуть використовувати їх для реалізації переваг, отриманих від SecOps за останні п'ять років», — зазначає Джей Гудман.

7. Рішення, націлені на підтримку психічного здоров'я та безпеки працівників, важливі для ІТ-команд

Пандемія виявила безліч прогалин у захисті інфраструктури та оптимізації ІТ, але як щодо психічного здоров'я працівників? Це делікатна тема, але в сучасних реаліях компанії повинні приділяти увагу здоров'ю та продуктивності своїх ІТ-команд, так само як і своїй ІТ-інфраструктурі.

«Психічне здоров'я та безпека на робочому місці стають все більш актуальними для організацій, проте сьогодні існує мало рішень, які можуть запропонувати науково підтверджені дані про стан психічного здоров'я працівників, що пройшли експертну оцінку. Крім інструментів для відстеження вакцинування відповідно до урядових постанов, існують рішення для відстеження поведінки, але вони в основному орієнтовані на продуктивність співробітників і не подобаються кінцевим користувачам, адже вважаються нав'язливими та вторгаються в приватне життя», — каже Ніколас Колайєр, Staff Product Manager.

Тож який головний висновок можна винести з 2021 року? Роль ITOps нарешті заслужено визнається ключовим елементом загального успіху бізнесу. Вклад IT-команди надзвичайно важливий для продуктивності, безпеки та підсумкових показників організації.

Сучасні ІТ-керівники заслуговують значно більшого, ніж застарілі інструменти для управління інфраструктурою. За допомогою хмарної платформи Automox автоматизуйте та масштабуйте свої ІТ-операції, щоб відповідати наростальним вимогам сучасного бізнесу. Завдяки повній видимості всього середовища ви зможете легко відстежувати, виявляти та реагувати на проблеми в режимі реального часу на будь-якому кінцевому пристрої, незалежно від ОС та місцеположення.

Learn more about solutions from Automox.

iIT Distribution – постачальник новітніх рішень та інструментів, що дозволяють корпоративним клієнтам отримувати переваги передових технологій у галузі побудови та обслуговування IT-інфраструктури та забезпечення кібербезпеки. Наші спеціалісти проведуть попередню експертизу проєкту та оцінять наявність умов для його реалізації у вашій компанії.


6 афер, які слід уникати в ці новорічні свята: добірка рекомендацій від Panda Security


Різдвяні та новорічні свята – час радості та добра, але, на жаль, не для кіберзлочинців. Велика кількість порушників використовує Різдво як вдалу можливість націлитися на ще більшу кількість жертв, розширюючи вектори своїх атак.

Щоб ви не втрачали своєї пильності, нагадаємо вам про шість видів шахрайства, яких слід остерігатися цього святкового сезону, а також пропонуємо ознайомитися зі статтями-рекомендаціями від компанії Panda Security:

Фішингові листи

Фішингові листи – це неймовірно ефективний спосіб обманом змусити людей, які нічого не підозрюють, завантажити шкідливе ПЗ або розкрити свої конфіденційні листи. Свята – джерело інфоприводів для створення переконливих тематичних листів-пасток. Докладніше про те, як розпізнати фішинговий лист, ви можете дізнатися here.

Шахрайство у сфері IT-підтримки

Це шахрайство передбачає спробу залякати вас, щоб ви безперешкодно передали аферистові контроль над своїм комп'ютером та особисті дані. Зловмисник повідомить вас про те, що ваш пристрій заражений і що він, очевидно, зможе допомогти розв’язати проблему миттєво, завантаживши програму підтримки. Ось тут і починаються проблеми. Читайте докладніше.

Телефонне шахрайство, пов'язане з Amazon

Одного дня на ваш особистий номер можуть зателефонувати – і ви почуєте записане повідомлення від відділу боротьби з шахрайством Amazon з інформацією про дорогий товар, який щойно був замовлений вашим коштом. Якщо ви не впізнаєте транзакцію (а ви, звичайно, її не впізнаєте), вам запропонують натиснути 1, щоб повідомити про проблему. Після цього вас з'єднають з агентом, який здійснить запит ваших банківських реквізитів для повернення грошей, але ці дані будуть використовуватися лише для того, щоб спустошити ваш банківський рахунок. Дізнайтесь більше про те, як боротися з телефонним шахрайством тут.

Підроблені вебсайти

Шахраї щороку створюють тисячі підроблених сайтів. Вони справді дуже схожі на відомі магазини електронної комерції та здатні викликати довіру покупця, але жодного з товарів, представлених у каталозі, насправді не існує. Шахраї таким чином просто намагаються, знову ж таки, отримати дані вашої кредитної картки. Дізнайтесь більше про підроблені вебсайти тут.

Malware в електронних листівках

Електронні листівки швидші, простіші та екологічніші за паперові. Вони стають все більш популярним способом привітати друзів і близьких зі святами. Шахраї надсилають підроблені електронні листи з проханням натиснути на посилання, щоб одержувач відкрив листівку та завантажив програму встановлення шкідливого ПЗ.

Шахрайство, пов'язане з темою Covid-19

Отримали дзвінок або електронний лист, в якому вам повідомили, що ви вступили в контакт з людиною, яка має позитивний результат тесту на Covid? Зазвичай у таких ситуаціях вас можуть попросити назвати своє ім'я та адресу. Але якщо вас підштовхують до надання фінансових даних або просять здійснити платіж – ви маєте справу з шахраєм.

Сподіваємося, ці підказки допоможуть вам не стати жертвою злочинів у новому році. До того ж ви маєте можливість значно підвищити ефективність свого захисту за допомогою антивірусних ПЗ Panda Security. Замовляйте демоверсію програм, що зацікавили вас, на нашому сайті.

Дізнатись більше про рішення від компанії Panda Security.

iIT Distribution пам'ятає про сучасні ризики інформаційної безпеки та допомагає покращити кіберситуацію в багатьох компаніях, адже ми не лише забезпечуємо постачання ПЗ та технічного обладнання, але й надаємо повний комплекс послуг із супроводу проєктів.


11 кроків на шляху до відновлення після фішингової атаки: рекомендації від Lepide


Найчастіше фішингові атаки поширюються у вигляді електронного листа – це саме той тип атаки, коли зловмисник прикидається довіреною особою для того, щоб змусити жертву перейти за посиланням на шкідливий сайт або завантажити шкідливий додаток.

Метою фішингової атаки зазвичай є отримання конфіденційної інформації, наприклад даних платіжних карт чи облікових даних користувача.

Останнім часом фішингові атаки стають влучнішими та більш ускладненими. Тому не сваріть себе, якщо ви піддалися якійсь із них. Проте в такому разі необхідно діяти швидко, щоб мінімізувати можливу шкоду, яку може заподіяти зловмисник.

Нижче ми перераховуємо основні кроки до відновлення після фішингової атаки, які допоможуть вам захистити своїх дані та запобігти збоїв в роботі вашого бізнесу.

Крок 1. Відключіть пристрій від Інтернету

Це зменшить ризик поширення шкідливого програмного забезпечення через мережу. Або від’єднайтеся від мережі через налаштування Wi-Fi. Також можна просто від’єднати інтернет-кабель від пристрою.

Крок 2. Змініть свої паролі

Якщо вас направили на підроблений сайт та попросили ввести облікові дані, перейдіть на справжній сайт та замініть паролі. Якщо ви використовуєте одні й ті самі облікові дані для кількох облікових записів, вам варто замінити паролі всюди, де вони використовуються. Можливо варто також замінити підказки до паролей та секретні питання. Для підвищеної безпеки варто скинути пароль в масштабах всієї компанії.

Крок 3. Сканування мережі щодо наявності шкідливих програм.

Звісно, ваше антивірусне програмне забезпечення зробить все можливе, щоб повідомити вас про зараження, проте це рішення не є цілком надійними. Необхідно провести повне сканування мережі на наявність шкідливого ПЗ, включно з усіма пристроями, файлами, додатками, серверами та ін.

Крок 4. Перевірте наявність ознак крадіжки особистих даних

Якщо ви вважаєте, що стали жертвою фішингової афери, вам варто перевірити всі відповідні облікові записи на наявність ознак крадіжки. Наприклад, вам необхідно передивитися банківські виписки щодо підозрілих транзакцій. Здебільшого банк попереджає про будь-які активності на рахунку, які не викликають довіри. Крім цього, варто повідомити про інцидент відповідні агенції кредитних історій.

Крок 5. Поговоріть з колегами про те, що сталося

Вам необхідно розпитати всіх відповідних співробітників про те, що та коли вони бачили. Чи пригадують вони щось підозріле? Чи переходили за посиланням та чи завантажували ненадійні вкладення?

Крок 6. Проведіть криміналістичний аналіз для з’ясування причини інциденту

На цьому етапі ретельно вивчіть усі відповідні журнали щодо ознак компрометації. Також потрібно впевнитися, що вони зберігаються протягом тривалого часу. Вам слід перевірити логи брандмауера щодо наявності підозрілого мережевого трафіку та звернути увагу на будь-які нерозпізнані URL та IP-адреси. До того ж вам необхідно передивитися журнал поштового сервера, щоб дізнатися, хто саме отримав фішинговий лист, перевірити журнали DNS, щоб визначити, хто з користувачів проводив пошук через шкідливі домени. Не буде зайвим зробити копію фішингового листа та переглянути заголовки та додатки з метою з’ясування характеру та мети атаки. Зрештою, якщо ви використовуєте рішення для аудиту в режимі реального часу, перевірте журнали на наявність підозрілої активності, пов’язаної з конфіденційними даними та обліковими записами користувачів з особливими привілеями.

Крок 7. Налаштуйте спам-фільтри для блокування схожих листів

Після того, як ви вже маєте уявлення про те, що саме відбулося, ви можете переглянути налаштування безпеки електронної пошти для впевненості, що подібні повідомлення тепер блокуються.

Крок 8. Пошукайте в Інтернеті додаткову інформацію про атаку

Тепер, коли ви маєте достатньо інформації про характер та мету атаки, вам варто дізнатися в Інтернеті про те, які ще наслідки може мати подібна атака. Поцікавтеся досвідом інших користувачів. Пошукайте інформацію про те, які наступні кроки потрібні для відновлення після інциденту та запобігання наступним атакам.

Крок 9. Переконайтеся, що всі співробітники проінформовані щодо інциденту

Для зменшення негативних наслідків наступних атак, необхідно переконатися, що весь відповідний персонал (включно з керівництвом) розуміє, що таке атака та знає на що саме потрібно звертати увагу.

Крок 10. Зв’яжіться з компанією, від імені якої було здійснене шахрайство

Якщо фішинговий лист був надісланий під виглядом листа від законної організації, вам варто вийти з нею на зв’язок та повідомити про подію. Тоді дана установа зможе розіслати електронного листа своїм клієнтам та попередити їх про необхідність бути обачними.

Крок 11. Створіть резервну копію та оновіть програмне забезпечення

Після кібератаки не буде зайвим зробити резервну копію даних на випадок, якщо в процесі усунення наслідків якась інформація буде видалена. Вам також потрібно переконатися, що все ПЗ вчасно виправлене, адже велика кількість шкідливих програм намагається скористатися вразливістю програмного забезпечення для поширення на інші частини мережі.

iIT Distribution пропонує різноманіття рішень з кібербезпеки, які допоможуть компаніям забезпечити всебічний захист і підвищити ефективність своїх ІТ-інфраструктур. Ми тісно співпрацюємо зі своїми партнерами, щоб надати повну підтримку в проєктуванні та реалізації замовлених рішень.

Learn more about Lepide та її рішення!


Mobile Marketing