• XSS.stack #1 – первый литературный журнал от юзеров форума

Взлом сети. Какие данные важны для компании?

Отслеживать

rog

HDD-drive
Пользователь
Регистрация
23.02.2022
Сообщения
40
Реакции
2
Всем привет.
Хотел бы поднять несоклько вопросов, касаемых данных компании для слива:
Какие данные важны для компании?
Какие документы искать в первую очередь?
Как проанализировать отчестность и понять, какую сумму можно требовать у компании?
Как искть киберстраховку?
*Ни разу не находил ее. В лучшем случае, находил "общую" страховку, где ни слова про кибер риски.
Так ли важен объем (в GB) или можно огграничиться 50 гигами, но более выжно информации?
Все ли можно найти на общей шаре или лучше изучать каждый комп собтрудника?
Как найти не соотвествие в налоговой отчестности?
Можно ли найти "косяки" компании, которые компания скрывает от общественности или это миф?

*Речь не о локерах, а только о данных.
 
What data is important to a company?
depends on the company, but typically their virtual machines, backups, databases, product source code and research, private emails of employees and corporate.

What documents to look for first?
vmdk/vhdk, sql, db, sqlite3, eml, shadow copies, look for ps1 and bat files that possible have macro scripts with embedded passwords for privesc, etc

How to analyze the honesty and understand how much you can demand from the company?
look at their gross income and salaries then compare the data you have and how valuable it is


How to search for cyber insurance?
they have their own cyber insurance or will look for a negotiator to talk in their place. lots of places will just buy the key from you and resell it at higher cost back to the company. otherwise, find the average cost of cyber insurance payment and ask for double to bring it down in negotiation.

*Never found it. At best, I found "general" insurance, where there is not a word about cyber risks.
Is the volume (in GB) so important, or can it be limited to 50 gigs, but more important information ?
depends on company, take everything though and look through it later

Can everything be found on a common ball or is it better to study each computer of a collaborator?
move laterally, escalate privileges and get to domain controller. then target specific points in architecture

How to find inconsistencies in tax reporting?
you won't without being a forensic accountant

Is it possible to find "jambs" of the company that the company hides from the public or is it a myth?
read through their emails and look for keywords like "confidential", etc
 
Последнее редактирование:
Могу только ответить на один вопрос
rog сказал(а):
Какие данные важны для компании?
Финансовые. Счета-фактуры. От них уже двигайтесь к налоговым документам и прочему, связанному с финансами (выписки счетов и проч.). Проанализировав балансы, материальные активы, можно сделать примерное представление, какую сумму компания потянет и может замять по-тихому без шумихи.
 
kd03dn сказал(а):
Могу только ответить на один вопрос

Финансовые. Счета-фактуры. От них уже двигайтесь к налоговым документам и прочему, связанному с финансами (выписки счетов и проч.). Проанализировав балансы, материальные активы, можно сделать примерное представление, какую сумму компания потянет и может замять по-тихому без шумихи.
Еще бы понять, как их анализировать )))
 
Еще такой вопрос есть - когда на "переговорах" просят предоставить весь список файлов, стоит ли это делать?
Поясню - я всегда показывал небольшую часть, а потом когда просили, докидывал еще. Но никогда не показывал все файлы. Только после оплаты.
Но есть "конторы", который слезно просят весь списко файлов сразу. Стоит ли показывать все файлы?
Меня всегда смущает, что возможно я переоцениваю файлы, которые слил и потому не спешу открывать все карты.
 
Ты вряд ли узнаешь какие данные важны для владельцев компании. на примере BP, у которых лет 10 назад ебнула нефтяная платформа, самая важная информация, которая в последствии всплыла, оказалась обычной почтовой перепиской, и я уверен, что тогда бы за эту переписку заплатили бы лярды
 
kamzzzzz сказал(а):
Ты вряд ли узнаешь какие данные важны для владельцев компании. на примере BP, у которых лет 10 назад ебнула нефтяная платформа, самая важная информация, которая в последствии всплыла, оказалась обычной почтовой перепиской, и я уверен, что тогда бы за эту переписку заплатили бы лярды
Ну то есть, считаешь, что стоит сразу все данные отображать ?
 
rog сказал(а):
Well, that is, do you think that it is worth displaying all the data at once?
let them figure out the data they've lost on their own. by telling them what files of theirs you have, they know whether it's worth paying or not. they will usually try to extend time or drag out negotiations to if they even want to see the data back or if they can just restart from latest backup if nothing special was lost.

the goal is to get money asap, don't agree to extra time and be reasonable. most negotiators will stop talking with you once they realize you didn't steal any critical data, so if they don't have the time to figure that out they will most likely just pay and figure out the situation afterwards.

you have to ask yourself, if you ask for 100k and they offer 50k, are you okay saying no and risking 50k for 100k or possibly not getting anything at all?
 
rog сказал(а):
Всем привет.
Хотел бы поднять несоклько вопросов, касаемых данных компании для слива:
Какие данные важны для компании?
Какие документы искать в первую очередь?
Как проанализировать отчестность и понять, какую сумму можно требовать у компании?
Как искть киберстраховку?
*Ни разу не находил ее. В лучшем случае, находил "общую" страховку, где ни слова про кибер риски.
Так ли важен объем (в GB) или можно огграничиться 50 гигами, но более выжно информации?
Все ли можно найти на общей шаре или лучше изучать каждый комп собтрудника?
Как найти не соотвествие в налоговой отчестности?
Можно ли найти "косяки" компании, которые компания скрывает от общественности или это миф?

*Речь не о локерах, а только о данных.
Персональные данные клиентов и способы их хранения (паспорта, id карты, ssn , номера карт) особено если хранение этих данных нарушенно ( не накрыты токеном, хешем) , сканы договоров, чертежи, исходные коды, почтовые переписки.
Дата только 30 % играет роли, все зависит от удачи.
У кого то возьмешь 40 тб даты и им пох, у кого то 100 мб и они готовы выложиться
 
Пожалуйста, обратите внимание, что пользователь заблокирован
rog сказал(а):
Еще бы понять, как их анализировать )))
Отчеты о прибылях и убытках, там ищем чистую прибыль. Это свободные средства и эту сумму они по сути могут заплатить. Смотрим счета, депозитные счета, куда инвестируют.
 
rog сказал(а):
*Речь не о локерах, а только о данных.
Скажи пожалуйста, а как ты их в переговоры затаскиваешь? письмо, прозвон, ТОХ чат на админском компе?
что дает самый эффективный отклик?
 
rog сказал(а):
Ну то есть, считаешь, что стоит сразу все данные отображать ?
Не нужно сразу все. 5-20%. Достаточно выплат было чисто за данные, никогда не показывали все карты)
 
rog сказал(а):
Еще такой вопрос есть - когда на "переговорах" просят предоставить весь список файлов, стоит ли это делать?
Поясню - я всегда показывал небольшую часть, а потом когда просили, докидывал еще. Но никогда не показывал все файлы. Только после оплаты.
Но есть "конторы", который слезно просят весь списко файлов сразу. Стоит ли показывать все файлы?
Меня всегда смущает, что возможно я переоцениваю файлы, которые слил и потому не спешу открывать все карты.
А какой смысл тогда шифровать их данные если ты им все данные на переговорах скидываешь?) Конечно какую-то не особо важную часть показал и все
 
Личный компромат (включая отношения внутри компании, некоторые СБ проводят внутренние расследования и докладывают руководству), бизнес-конфликты и проблемы (воровство - "воруем мы", "воруют у нас"). Проблема только в том, что если люди вменяемые (не сотрудники Хронопей, например), то они не будут писать обо всех этих проблемах прямо. Часто документы будут идти с метками типа "конфиденциальных отчетов", "для внутреннего использования", "sensitive" и т.д. Проблема только в том, что без инсайда (осведомленного человека внутри компании или конкуренте) сложно адекватно проанализировать всю переписку и документы. Большая разница также из-за юрисдикции, формы собственности (публичная-не публичная), сектора - что будет критично для компании, а что нет (в западном шоубизе, наверное, только детей ебать будем зашкваром).

Знаю, что ты пишешь не о рэнсоме, но сложно не упомянуть его в контексте темы. На мой взгляд, у большинства рэнсом-групп - стратегия примитивная (как по оценке жертв, так и критичности информации) и постепенно себя изживает (выплаты все чаще срываются, в том числе по политическим причинам, "клиенты" с зуминфо с шоданом выебаны во все дыры). Вангую, как все будет идти дальше: очень узкий таргет на непубличные компании с профессиональной бизнес-разведкой до отработки цели, либо возвращаемся к началу темы, когда шифровали все подряд (включая личные фото пользователей).
 
prox сказал(а):
Скажи пожалуйста, а как ты их в переговоры затаскиваешь? письмо, прозвон, ТОХ чат на админском компе?
что дает самый эффективный отклик?
Тут несколько варинтов:
1) Отправка письма с их домена(с реальной учетной записи компании, желательно админской) их руковдству.
2) Прозвон
3) Записка на рабочем столе
 
patrick12 сказал(а):
не у всех есть актуальные бекапы
Не используем рансом. Чисто данные. Рансом деструктивен, хотя и приносит доход. Но если бы изначально тема пошла не по направлению рансома, а, назовем это коммерческий шпионаж, то не было бы таких проблем у всех с загрузками, колупанием сети и прочего. Рансом стал слишко громкой и деструктивной техникой. По сути что с рансомом, что без - платят примерно плюс минус одинаково. В редких случаях, когда речь идет о компаниях где данные ничего по сути не значят - рансом актуален.
 
bratva сказал(а):
Личный компромат (включая отношения внутри компании, некоторые СБ проводят внутренние расследования и докладывают руководству), бизнес-конфликты и проблемы (воровство - "воруем мы", "воруют у нас"). Проблема только в том, что если люди вменяемые (не сотрудники Хронопей, например), то они не будут писать обо всех этих проблемах прямо. Часто документы будут идти с метками типа "конфиденциальных отчетов", "для внутреннего использования", "sensitive" и т.д. Проблема только в том, что без инсайда (осведомленного человека внутри компании или конкуренте) сложно адекватно проанализировать всю переписку и документы. Большая разница также из-за юрисдикции, формы собственности (публичная-не публичная), сектора - что будет критично для компании, а что нет (в западном шоубизе, наверное, только детей ебать будем зашкваром).

Знаю, что ты пишешь не о рэнсоме, но сложно не упомянуть его в контексте темы. На мой взгляд, у большинства рэнсом-групп - стратегия примитивная (как по оценке жертв, так и критичности информации) и постепенно себя изживает (выплаты все чаще срываются, в том числе по политическим причинам, "клиенты" с зуминфо с шоданом выебаны во все дыры). Вангую, как все будет идти дальше: очень узкий таргет на непубличные компании с профессиональной бизнес-разведкой до отработки цели, либо возвращаемся к началу темы, когда шифровали все подряд (включая личные фото пользователей).
1) По данным понятно. Спасибо. Просто, как правильно сказал - не всегда можно найти и произвести правильную оценку критических данных. Был случай, когда БЛМ пер по юсе, как раз нашли доки, что уволили негра. Такая инфа зашла на ура =)
2) Я с тобой полностью согласен. Рансом стал к сожелению приметивен. Кстати, человек на твой аватарке стал первым, кто рансом запустил. Но он допустил очень большую ошибку - он лочит все подряд. Не сети, а тупо компы. Эта была самая большая ошибка. После нее , как раз таки, все начало катаится по пизде. Тот же спама - раньше я мог сделать за спам 10к ботов. После того как мир узнал о рансоме(массовом) - 1-2-3к успехом считалось. А после того как стали крыть крупные конторы - если 1к выходит, то я просто прыгаю от радости =) Согласен, что нужно работать таргетировано. Всегда найдется тот, кто запустит док с макросом или тупо запустит js файл.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх