В RuSIEM перешёл очередной специалист из Group-IB — Яков Ставринов

В RuSIEM перешёл очередной специалист из Group-IB — Яков Ставринов

В RuSIEM перешёл очередной специалист из Group-IB — Яков Ставринов

На фоне текущей ситуации с коронавирусом, изменения парадигмы работы многих компаний и усиления роли ИТ и ИБ в бизнес-процессах, RuSIEM продолжает активно развиваться и усиливать свою команду. В августе должность коммерческого директора занял Яков Ставринов, перешедший в компанию из Group-IB.

Яков окончил в 2005 году Сибирскую автомобильно-дорожную академию по специальности «Менеджмент организаций». Трудовую деятельность начал в 2006 году в Омской компании «Бизнес техника», затем работал в компании «SoftlineTrade», а также участвовал в стартапе и вел проект vbnh.ru. После переезда в Москву Яков занимался продвижением систем искусственного интеллекта в организации «Лаборатория Наносемантика», возглавлял направление по работе с финансовыми институтами в компании «Аладдин Р.Д.». До перехода в RuSIEM работал в Group IB, где в качестве директора по продажам вел направление финансовых институтов.

В качестве коммерческого директора компании RuSIEM Яков будет решать задачи по выстраиванию новых и развитию уже существующих каналов продаж. Он займется развитием партнерского канала, как классического, так и технологического, не только на внутреннем рынке России, но и в странах СНГ (Белоруссия, Казахстан, Узбекистан, Армения, Грузия, Таджикистан), запуском новой партнерской программы RuSIEM и дальнейшим усилением и развитием команды через привлечение новых сотрудников.

Максим Степченков, совладелец компании RuSIEM говорит:

«Я давно находился в процессе поиска коммерческого директора, который помог бы мне выстроить в первую очередь партнерский канал. Продукт уже достаточно зрелый, и мы делаем прорыв не только на российском рынке, но и за пределами СНГ, так, например, активно вышли на рынки Юго-Восточной Азии и Европы. После прихода Якова я хочу сфокусироваться на визионерстве и развитии новых рынков и новых продуктов. Так, совместно со Сколково, мы планируем запустить программу по поддержке стартапов и встраиванию их в наши продукты. А вместе с новым техническим директором уверен, что сможем вывести на международный рынок несколько новых и интересных решений».

«В первую очередь я хочу поблагодарить за свой опыт и знания компании, в которых мне посчастливилось работать до прихода в RuSIEM, — сказал Яков Ставринов. — Основной вывод, который был мной сделан из моего опыта: нанимая сильных людей, не надо говорить им что делать, максимум что должна дать им компания — это направление и поддержку. Основа и фундамент успешной компаний — это в первую очередь люди, которые знают, что они делают историю, историю свою и историю компании. Именно на этом принципе сформирована новая команда. Понимая, что зрелость информационной безопасности в России начинает выходить на достойный уровень, я знаю, что нельзя построить защиту на одном решении. Как правило, это комплекс решений, сведения из которых используются для мониторинга и выявления инцидентов в SIEM-системе. Компания RuSIEM будет фокусироваться на технологическом партнёрстве с игроками рынка ИБ, и это одна из основных задач в ближайшее время».

На прошлой неделе мы писали, что Антон Фишман, занимавший должность руководителя департамента системных решений компании Group-IB, присоединился к команде RuSIEM.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru