«Лаборатория Касперского»: новый троянец Stealka крадёт данные пользователей Windows
18 декабря. / C.NEWS /. Эксперты «Лаборатории Касперского» обнаружили новую вредоносную программу для кражи данных и назвали её Stealka. Стилер нацелен на компьютеры с операционной системой Windows. Stealka незаметно собирает большие объёмы конфиденциальной информации с заражённых устройств, в том числе логины и пароли, данные платёжных карт и криптовалютных кошельков.
По данным «Лаборатории Касперского», больше всего пользователей, столкнувшихся с троянцем, зафиксировано в России. Однако атаки зловреда обнаружены и в других странах — в том числе в Турции, Бразилии, Германии, Индии.
Как попадает на устройство. Атакующие маскируют стилер, например, под ненастоящие моды и читы для компьютерных игр, активаторы для различных программ. Распространяют зловред в основном на популярных платформах, таких как GitHub или SourceForge, или же на вредоносных сайтах, созданных злоумышленниками и мимикрирующих в том числе под игровые ресурсы. Фальшивые страницы могут выглядеть очень правдоподобно — вероятно, для их разработки прибегали к ИИ-инструментам. При этом, чтобы усыпить бдительность потенциальных жертв, на одном из поддельных ресурсов перед скачиванием имитировался процесс сканирования заражённого файла якобы «защитным решением».
Чем опасен. Stealka был создан на основе другого стилера — Rabbit Stealer — и может собирать на заражённом устройстве конфиденциальную информацию, включая логины и пароли, платёжные данные, сведения о системе, в частности версию ОС, список установленных приложений, запущенных процессов. Однако в основном троянец крадёт данные из установленных браузеров. Stealka обладает и другой функциональностью, например, он может делать снимки экрана компьютера, а в некоторых случаях — дополнительно загружать на скомпрометированный ПК майнер.
«Помимо информации из браузеров, Stealka крадёт конфиденциальные сведения из множества других источников — криптокошельков, мессенджеров, почтовых клиентов, приложений для создания заметок, игровых проектов. При этом для распространения зловреда злоумышленники могут использовать уже похищенные данные людей, например, учётные. В частности, мы обнаружили признаки того, что в одном из случаев атакующие загрузили на специализированный сайт заражённый стилером мод для игры GTA V — со скомпрометированного аккаунта», — сказал Артём Ушков, эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают от данной угрозы и детектируют вредоносное ПО как Trojan-PSW.Win64.Stealka.gen.
Чтобы минимизировать риски, «Лаборатория Касперского» рекомендует пользователям: скачивать только лицензионные версии программ из официальных магазинов; настроить двухфакторную аутентификацию для дополнительной безопасности аккаунтов; использовать защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами, такое как Kaspersky Premium.
18 декабря. / C.NEWS /. Эксперты «Лаборатории Касперского» обнаружили новую вредоносную программу для кражи данных и назвали её Stealka. Стилер нацелен на компьютеры с операционной системой Windows. Stealka незаметно собирает большие объёмы конфиденциальной информации с заражённых устройств, в том числе логины и пароли, данные платёжных карт и криптовалютных кошельков.
По данным «Лаборатории Касперского», больше всего пользователей, столкнувшихся с троянцем, зафиксировано в России. Однако атаки зловреда обнаружены и в других странах — в том числе в Турции, Бразилии, Германии, Индии.
Как попадает на устройство. Атакующие маскируют стилер, например, под ненастоящие моды и читы для компьютерных игр, активаторы для различных программ. Распространяют зловред в основном на популярных платформах, таких как GitHub или SourceForge, или же на вредоносных сайтах, созданных злоумышленниками и мимикрирующих в том числе под игровые ресурсы. Фальшивые страницы могут выглядеть очень правдоподобно — вероятно, для их разработки прибегали к ИИ-инструментам. При этом, чтобы усыпить бдительность потенциальных жертв, на одном из поддельных ресурсов перед скачиванием имитировался процесс сканирования заражённого файла якобы «защитным решением».
Чем опасен. Stealka был создан на основе другого стилера — Rabbit Stealer — и может собирать на заражённом устройстве конфиденциальную информацию, включая логины и пароли, платёжные данные, сведения о системе, в частности версию ОС, список установленных приложений, запущенных процессов. Однако в основном троянец крадёт данные из установленных браузеров. Stealka обладает и другой функциональностью, например, он может делать снимки экрана компьютера, а в некоторых случаях — дополнительно загружать на скомпрометированный ПК майнер.
«Помимо информации из браузеров, Stealka крадёт конфиденциальные сведения из множества других источников — криптокошельков, мессенджеров, почтовых клиентов, приложений для создания заметок, игровых проектов. При этом для распространения зловреда злоумышленники могут использовать уже похищенные данные людей, например, учётные. В частности, мы обнаружили признаки того, что в одном из случаев атакующие загрузили на специализированный сайт заражённый стилером мод для игры GTA V — со скомпрометированного аккаунта», — сказал Артём Ушков, эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают от данной угрозы и детектируют вредоносное ПО как Trojan-PSW.Win64.Stealka.gen.
Чтобы минимизировать риски, «Лаборатория Касперского» рекомендует пользователям: скачивать только лицензионные версии программ из официальных магазинов; настроить двухфакторную аутентификацию для дополнительной безопасности аккаунтов; использовать защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами, такое как Kaspersky Premium.
CNews.ru
«Лаборатория Касперского»: новый троянец Stealka крадёт данные пользователей Windows - CNews
Эксперты «Лаборатории Касперского» обнаружили новую вредоносную программу для кражи данных и назвали её Stealka....
Мошенники придумали новый способ обхода антидропперских мер
18 декабря. / anti-malware.ru /. Злоумышленники нашли новый способ обходить меры по противодействию выводу похищенных средств — через криптовалютные операции. Причём исполнители зачастую даже не подозревают, что участвуют в мошеннической схеме. В отличие от классических сценариев, новая модель не требует передачи банковских карт третьим лицам: владельцы карт выполняют операции с криптовалютой, не осознавая, что тем самым помогают обналичивать украденные деньги.
Вознаграждение за такие операции обычно составляет 1–2% от суммы. О схеме говорится в исследовании компании DLBI по мониторингу даркнета, с результатами которого ознакомились «Известия».
По оценке DLBI, новая схема обладает высокой устойчивостью к банковским антифрод-системам: владелец карты формально осведомлён обо всех транзакциях и доступен для проверок, что снижает подозрительность операций.
Как отмечает руководитель ИТ-подразделения агентства «Полилог», эксперт Регионального общественного центра интернет-технологий (РОЦИТ) Людмила Богатырева, злоумышленники активно перестраивают свои подходы на фоне усиленной борьбы с дропами и дропперством. В частности, такие схемы маскируются под легальные операции по покупке криптовалюты или, наоборот, по её выводу в фиат.
По словам менеджера образовательного проекта Servicepipe Ивана Горячева, масштабы применения этой схемы продолжают расти. Этому способствует её простота, ориентация на массовый «наём» и хорошая масштабируемость через мессенджеры и социальные сети.
Классические схемы с дропами стали для преступников слишком рискованными, дорогими и неудобными из-за криминализации такой деятельности. В результате срок «жизни» дропа, как отмечалось ранее, уже в мае не превышал нескольких дней — ещё на этапе внедрения новых мер. Побочным эффектом этого процесса в июле стал даже коллапс на наркорынке.
При этом и новая схема, по мнению эксперта платформы «Мошеловка», заместителя руководителя проекта «За права заёмщиков» Александры Пожарской, несёт серьёзные юридические риски для участников. Налицо корыстный мотив и действия в интересах третьих лиц, что может повлечь уголовную ответственность. Управляющий партнёр компании «Провъ» Александр Киселёв уточняет, что уже сформировавшаяся судебная практика учитывает осознание преступного характера операций, согласованность действий с организаторами схемы и получение выгоды.
При этом, как подчёркивает эксперт агентства «Цифровые коммуникации» Кирилл Карамзин, классические дропы полностью не исчезли: «Традиционная “аренда” карты на месяц за фиксированную плату никуда не делась. Через карту могут провести, например, 500 тысяч или 1 млн рублей, а затем вернуть её владельцу. Но даже при возврате карты такие действия остаются незаконными».
Глава комитета Госдумы по финансовому рынку Анатолий Аксаков напомнил, что привязка банковских счетов к ИНН направлена в том числе на то, чтобы отличать легальную подработку от мошеннических схем. По его словам, человеку, однажды совершившему сомнительную операцию, не позволят повторить её вновь.
Главный юрист продуктовой группы «Контур.Эгида» и Staffcop Ольга Попова даёт простой совет тем, кто не хочет стать дропом «втёмную»: «Нужно придерживаться одного принципа — всё, что принадлежит вам, должно оставаться только вашим, и никто не имеет права этим пользоваться».
18 декабря. / anti-malware.ru /. Злоумышленники нашли новый способ обходить меры по противодействию выводу похищенных средств — через криптовалютные операции. Причём исполнители зачастую даже не подозревают, что участвуют в мошеннической схеме. В отличие от классических сценариев, новая модель не требует передачи банковских карт третьим лицам: владельцы карт выполняют операции с криптовалютой, не осознавая, что тем самым помогают обналичивать украденные деньги.
Вознаграждение за такие операции обычно составляет 1–2% от суммы. О схеме говорится в исследовании компании DLBI по мониторингу даркнета, с результатами которого ознакомились «Известия».
По оценке DLBI, новая схема обладает высокой устойчивостью к банковским антифрод-системам: владелец карты формально осведомлён обо всех транзакциях и доступен для проверок, что снижает подозрительность операций.
Как отмечает руководитель ИТ-подразделения агентства «Полилог», эксперт Регионального общественного центра интернет-технологий (РОЦИТ) Людмила Богатырева, злоумышленники активно перестраивают свои подходы на фоне усиленной борьбы с дропами и дропперством. В частности, такие схемы маскируются под легальные операции по покупке криптовалюты или, наоборот, по её выводу в фиат.
По словам менеджера образовательного проекта Servicepipe Ивана Горячева, масштабы применения этой схемы продолжают расти. Этому способствует её простота, ориентация на массовый «наём» и хорошая масштабируемость через мессенджеры и социальные сети.
Классические схемы с дропами стали для преступников слишком рискованными, дорогими и неудобными из-за криминализации такой деятельности. В результате срок «жизни» дропа, как отмечалось ранее, уже в мае не превышал нескольких дней — ещё на этапе внедрения новых мер. Побочным эффектом этого процесса в июле стал даже коллапс на наркорынке.
При этом и новая схема, по мнению эксперта платформы «Мошеловка», заместителя руководителя проекта «За права заёмщиков» Александры Пожарской, несёт серьёзные юридические риски для участников. Налицо корыстный мотив и действия в интересах третьих лиц, что может повлечь уголовную ответственность. Управляющий партнёр компании «Провъ» Александр Киселёв уточняет, что уже сформировавшаяся судебная практика учитывает осознание преступного характера операций, согласованность действий с организаторами схемы и получение выгоды.
При этом, как подчёркивает эксперт агентства «Цифровые коммуникации» Кирилл Карамзин, классические дропы полностью не исчезли: «Традиционная “аренда” карты на месяц за фиксированную плату никуда не делась. Через карту могут провести, например, 500 тысяч или 1 млн рублей, а затем вернуть её владельцу. Но даже при возврате карты такие действия остаются незаконными».
Глава комитета Госдумы по финансовому рынку Анатолий Аксаков напомнил, что привязка банковских счетов к ИНН направлена в том числе на то, чтобы отличать легальную подработку от мошеннических схем. По его словам, человеку, однажды совершившему сомнительную операцию, не позволят повторить её вновь.
Главный юрист продуктовой группы «Контур.Эгида» и Staffcop Ольга Попова даёт простой совет тем, кто не хочет стать дропом «втёмную»: «Нужно придерживаться одного принципа — всё, что принадлежит вам, должно оставаться только вашим, и никто не имеет права этим пользоваться».
Anti-Malware
Мошенники придумали новый способ обхода антидропперских мер
Злоумышленники нашли новый способ обходить меры по противодействию выводу похищенных средств — через криптовалютные операции. Причём исполнители зачастую даже не подозревают, что участвуют в
Атака GhostPairing позволяет незаметно захватывать аккаунты WhatsApp*
19 декабря. / CYBER MEDIA /. Исследователи компании Gen Digital сообщили о новой фишинговой кампании под названием GhostPairing, которая позволяет злоумышленникам получить полный доступ к аккаунтам WhatsApp* без взлома пароля или SIM-карты. Атака уже зафиксирована в Европе, но её механика универсальна и может применяться в любом регионе.
Сценарий начинается с сообщения от знакомого контакта. Жертве приходит короткий текст вроде «Я нашёл твою фотографию» или «Посмотри, это ты?», к которому прикреплена ссылка. При переходе открывается поддельная страница, визуально копирующая интерфейс Facebook*", где пользователя просят ввести номер телефона якобы для подтверждения доступа к контенту.
После ввода номера запускается стандартный механизм связывания устройств WhatsApp. Пользователь получает код и, не подозревая подвоха, вводит его на фейковой странице. В результате браузер злоумышленника добавляется в аккаунт жертвы как доверенное устройство. С этого момента атакующий получает полный доступ к перепискам, новым сообщениям, медиафайлам и может отправлять сообщения от имени владельца аккаунта.
Особенность GhostPairing в том, что атака не использует программные уязвимости. Злоумышленники эксплуатируют легитимную функцию WhatsApp по привязке дополнительных устройств, полагаясь исключительно на социальную инженерию. Именно поэтому захват аккаунта может остаться незамеченным - уведомления о новом устройстве легко пропустить.
Эксперты отмечают, что скомпрометированные аккаунты часто используются для дальнейшего распространения атаки. Сообщения с фишинговыми ссылками рассылаются уже от имени жертвы, что значительно повышает доверие и ускоряет масштабирование кампании.
19 декабря. / CYBER MEDIA /. Исследователи компании Gen Digital сообщили о новой фишинговой кампании под названием GhostPairing, которая позволяет злоумышленникам получить полный доступ к аккаунтам WhatsApp* без взлома пароля или SIM-карты. Атака уже зафиксирована в Европе, но её механика универсальна и может применяться в любом регионе.
Сценарий начинается с сообщения от знакомого контакта. Жертве приходит короткий текст вроде «Я нашёл твою фотографию» или «Посмотри, это ты?», к которому прикреплена ссылка. При переходе открывается поддельная страница, визуально копирующая интерфейс Facebook*", где пользователя просят ввести номер телефона якобы для подтверждения доступа к контенту.
После ввода номера запускается стандартный механизм связывания устройств WhatsApp. Пользователь получает код и, не подозревая подвоха, вводит его на фейковой странице. В результате браузер злоумышленника добавляется в аккаунт жертвы как доверенное устройство. С этого момента атакующий получает полный доступ к перепискам, новым сообщениям, медиафайлам и может отправлять сообщения от имени владельца аккаунта.
Особенность GhostPairing в том, что атака не использует программные уязвимости. Злоумышленники эксплуатируют легитимную функцию WhatsApp по привязке дополнительных устройств, полагаясь исключительно на социальную инженерию. Именно поэтому захват аккаунта может остаться незамеченным - уведомления о новом устройстве легко пропустить.
Эксперты отмечают, что скомпрометированные аккаунты часто используются для дальнейшего распространения атаки. Сообщения с фишинговыми ссылками рассылаются уже от имени жертвы, что значительно повышает доверие и ускоряет масштабирование кампании.
* Принадлежит компании Meta, признанной экстремистской организацией на территории Российской Федерации
** Признана экстремистской организацией и запрещена на территории Российской Федерации
Пользователь потерял доступ к Apple ID и всем цифровым данным из-за подарочной карты
19 декабря. / CYBER MEDIA /. Автор личного блога рассказал о потере доступа к Apple ID, которым он пользовался почти 25 лет, после блокировки аккаунта со стороны Apple. Инцидент произошёл после неудачной попытки активировать подарочную карту на крупную сумму. В результате учётная запись была помечена как закрытая в соответствии с правилами Apple Media Services, что привело к полной потере доступа ко всем связанным сервисам и данным.
По словам пользователя, блокировка затронула iCloud, переписку, фотографии, резервные копии, покупки, а также Apple Developer ID. Устройства, привязанные к Apple ID, частично утратили функциональность, а рабочие процессы оказались нарушены из-за недоступности ключевых сервисов и инструментов.
При обращении в службу поддержки Apple пользователь не получил чёткого объяснения причин блокировки. Возможность эскалации обращения отсутствовала, а стандартные процедуры восстановления аккаунта оказались недоступны. Экспорт данных также оказался невозможен, поскольку доступ к учётной записи был полностью заблокирован.
19 декабря. / CYBER MEDIA /. Автор личного блога рассказал о потере доступа к Apple ID, которым он пользовался почти 25 лет, после блокировки аккаунта со стороны Apple. Инцидент произошёл после неудачной попытки активировать подарочную карту на крупную сумму. В результате учётная запись была помечена как закрытая в соответствии с правилами Apple Media Services, что привело к полной потере доступа ко всем связанным сервисам и данным.
По словам пользователя, блокировка затронула iCloud, переписку, фотографии, резервные копии, покупки, а также Apple Developer ID. Устройства, привязанные к Apple ID, частично утратили функциональность, а рабочие процессы оказались нарушены из-за недоступности ключевых сервисов и инструментов.
При обращении в службу поддержки Apple пользователь не получил чёткого объяснения причин блокировки. Возможность эскалации обращения отсутствовала, а стандартные процедуры восстановления аккаунта оказались недоступны. Экспорт данных также оказался невозможен, поскольку доступ к учётной записи был полностью заблокирован.
Нажали на «отследить посылку»? Зря. Google раскрыла, как «Магический кот» обчищает карты за секунды
20 декабря. / securitylab.ru /. Google подала в суд на китайскоязычную группировку, которую компания считает ключевым двигателем гигантской волны фишинговых SMS в США в 2025 году. По версии Google, группа под названием Darcula продаёт инструменты, с которыми даже люди без серьёзных технических навыков могут массово рассылать сообщения от имени госслужб и крупных брендов, вести жертв на поддельные сайты и выманивать данные банковских карт.
В иске говорится, что Darcula торгует программным набором, позволяющим «пакетно» запускать SMS-кампании с подменой образа отправителя — например, выдавая себя за IRS или Почтовую службу США. Флагманский продукт группы называется Magic Cat: его описывают как удобный и интуитивный конструктор, который помогает быстро заспамить миллионы номеров ссылками на фейковые страницы, имитирующие сервисы и компании на Западе, а затем собрать введённые жертвами платёжные данные, в том числе номера кредитных карт.
Цель иска, объяснили в Google, — получить юридические основания, чтобы американские суды разрешили изъять и взять под контроль сайты и другую веб-инфраструктуру, на которой держатся операции Darcula. В жалобе компания просит временный запретительный приказ, который позволил бы легально перехватить управление этой инфраструктурой и отключить её, тем самым сорвав рассылки и работу мошеннических страниц.
Личности участников Darcula в основном неизвестны: по данным Google, они общаются преимущественно на упрощённом китайском. В качестве предполагаемого лидера в документе назван Юйчэн Чан, но связаться с ним не удалось. Также иск упоминает ещё 24 ответчиков, чьи имена не раскрываются, потому что Google не знает, кто именно стоит за ними. Компания утверждает, что Чан живёт в Китае, а другие участники находятся в Китае или в других странах.
В заявлении вице-президента Google по судебным разбирательствам Кассандры Найт компания прямо говорит, что идёт в суд, чтобы «закрыть инфраструктуру» масштабной мошеннической операции. По оценке Google, именно она была ответственна за 80% всех фишинговых SMS за один из периодов ранее в этом году. Компания заявляет, что Darcula и связанные с ней участники могли похитить почти 900 тысяч номеров банковских карт, включая почти 40 тысяч — у американцев. Только с сентября по ноябрь Google получила более 5 тысяч жалоб от пользователей Google Messages — приложения по умолчанию для SMS на смартфонах Google Pixel — на сообщения, связанные со схемами Darcula.
Отдельно упоминается расследование норвежской вещательной компании NRK: она анализировала крупные массивы данных о Magic Cat, которые были получены исследователями кибербезопасности, и пришла к выводу, что за рассылками стояли более 600 операторов мошеннических кампаний. По данным NRK, при всей широте «масок» под западные компании и госструктуры, инструменты Magic Cat не позволяли выдавать рассылки за отправленные от имени Китая.
История вписывается в более широкую картину роста ущерба от кибермошенников в США: в ежегодном отчёте FBI Internet Crime Complaint Center говорится, что в прошлом году американцы сообщили о рекордных $16,6 млрд, похищенных киберпреступниками.
20 декабря. / securitylab.ru /. Google подала в суд на китайскоязычную группировку, которую компания считает ключевым двигателем гигантской волны фишинговых SMS в США в 2025 году. По версии Google, группа под названием Darcula продаёт инструменты, с которыми даже люди без серьёзных технических навыков могут массово рассылать сообщения от имени госслужб и крупных брендов, вести жертв на поддельные сайты и выманивать данные банковских карт.
В иске говорится, что Darcula торгует программным набором, позволяющим «пакетно» запускать SMS-кампании с подменой образа отправителя — например, выдавая себя за IRS или Почтовую службу США. Флагманский продукт группы называется Magic Cat: его описывают как удобный и интуитивный конструктор, который помогает быстро заспамить миллионы номеров ссылками на фейковые страницы, имитирующие сервисы и компании на Западе, а затем собрать введённые жертвами платёжные данные, в том числе номера кредитных карт.
Цель иска, объяснили в Google, — получить юридические основания, чтобы американские суды разрешили изъять и взять под контроль сайты и другую веб-инфраструктуру, на которой держатся операции Darcula. В жалобе компания просит временный запретительный приказ, который позволил бы легально перехватить управление этой инфраструктурой и отключить её, тем самым сорвав рассылки и работу мошеннических страниц.
Личности участников Darcula в основном неизвестны: по данным Google, они общаются преимущественно на упрощённом китайском. В качестве предполагаемого лидера в документе назван Юйчэн Чан, но связаться с ним не удалось. Также иск упоминает ещё 24 ответчиков, чьи имена не раскрываются, потому что Google не знает, кто именно стоит за ними. Компания утверждает, что Чан живёт в Китае, а другие участники находятся в Китае или в других странах.
В заявлении вице-президента Google по судебным разбирательствам Кассандры Найт компания прямо говорит, что идёт в суд, чтобы «закрыть инфраструктуру» масштабной мошеннической операции. По оценке Google, именно она была ответственна за 80% всех фишинговых SMS за один из периодов ранее в этом году. Компания заявляет, что Darcula и связанные с ней участники могли похитить почти 900 тысяч номеров банковских карт, включая почти 40 тысяч — у американцев. Только с сентября по ноябрь Google получила более 5 тысяч жалоб от пользователей Google Messages — приложения по умолчанию для SMS на смартфонах Google Pixel — на сообщения, связанные со схемами Darcula.
Отдельно упоминается расследование норвежской вещательной компании NRK: она анализировала крупные массивы данных о Magic Cat, которые были получены исследователями кибербезопасности, и пришла к выводу, что за рассылками стояли более 600 операторов мошеннических кампаний. По данным NRK, при всей широте «масок» под западные компании и госструктуры, инструменты Magic Cat не позволяли выдавать рассылки за отправленные от имени Китая.
История вписывается в более широкую картину роста ущерба от кибермошенников в США: в ежегодном отчёте FBI Internet Crime Complaint Center говорится, что в прошлом году американцы сообщили о рекордных $16,6 млрд, похищенных киберпреступниками.
Ваш компьютер вам врёт: в BIOS написано «защищено», а на деле — заходи, кто хочет
20 декабря. / securitylab.ru /. На некоторых материнских платах, использующих прошивку UEFI, обнаружена серьёзная уязвимость, из-за которой системы оказываются незащищёнными от атак с прямым доступом к памяти на ранней стадии загрузки. Хотя программное обеспечение утверждает, что защита от таких вмешательств активирована, на деле она не срабатывает из-за некорректной инициализации IOMMU — модуля, ограничивающего доступ периферийных устройств к оперативной памяти.
В результате, злоумышленник, имеющий физический доступ к компьютеру, может использовать совместимое с DMA устройство, чтобы считывать или изменять данные до того, как операционная система включит собственные механизмы защиты.
Основу доверенной загрузки современных устройств составляют два компонента: UEFI и IOMMU. Первый отвечает за начальную настройку оборудования и применение базовых мер безопасности. Второй обеспечивает контроль за прямым доступом к памяти со стороны подключённых устройств. Однако в затронутых прошивках есть расхождение между заявленной и фактической реализацией защиты — несмотря на то, что интерфейс сообщает об активных ограничениях, фактически они не работают.
Проблема затрагивает материнские платы от нескольких крупных производителей. В их прошивке защита не активируется на этапе передачи управления от прошивки к операционной системе. Это открывает окно возможностей для атак с использованием устройств, подключаемых по шине PCI Express, позволяя вмешиваться в загрузку или получать доступ к конфиденциальной информации. Такой сценарий особенно опасен в ситуациях, где физический доступ к компьютеру невозможно полностью исключить.
Для устранения уязвимости производители начали выпускать обновления прошивок, в которых процесс включения IOMMU откорректирован. Специалисты призывают устанавливать эти версии как можно скорее. Особенно это касается систем, работающих в средах с особыми требованиями к изоляции и доверию, например в виртуализированных или облачных инфраструктурах, где IOMMU используется для разграничения доступа между компонентами.
По информации координационного центра CERT при Институте программной инженерии, проблема зафиксирована на платах ASRock, ASUS, GIGABYTE и MSI. При этом устройства от AMD, Intel, American Megatrends, Insyde и других поставщиков не подвержены уязвимости. Сообщается, что в обнаружении недостатка принимали участие сотрудники компании Riot Games, а координацию с производителями обеспечивал тайваньский национальный CERT.
Специалисты подчёркивают, что игнорирование проблемы может привести к компрометации системы до загрузки операционной среды, а значит — к полному подрыву доверия к платформе. Отслеживать выход обновлений стоит напрямую на сайтах производителей, поскольку процесс выпуска исправлений идёт по разным графикам.
20 декабря. / securitylab.ru /. На некоторых материнских платах, использующих прошивку UEFI, обнаружена серьёзная уязвимость, из-за которой системы оказываются незащищёнными от атак с прямым доступом к памяти на ранней стадии загрузки. Хотя программное обеспечение утверждает, что защита от таких вмешательств активирована, на деле она не срабатывает из-за некорректной инициализации IOMMU — модуля, ограничивающего доступ периферийных устройств к оперативной памяти.
В результате, злоумышленник, имеющий физический доступ к компьютеру, может использовать совместимое с DMA устройство, чтобы считывать или изменять данные до того, как операционная система включит собственные механизмы защиты.
Основу доверенной загрузки современных устройств составляют два компонента: UEFI и IOMMU. Первый отвечает за начальную настройку оборудования и применение базовых мер безопасности. Второй обеспечивает контроль за прямым доступом к памяти со стороны подключённых устройств. Однако в затронутых прошивках есть расхождение между заявленной и фактической реализацией защиты — несмотря на то, что интерфейс сообщает об активных ограничениях, фактически они не работают.
Проблема затрагивает материнские платы от нескольких крупных производителей. В их прошивке защита не активируется на этапе передачи управления от прошивки к операционной системе. Это открывает окно возможностей для атак с использованием устройств, подключаемых по шине PCI Express, позволяя вмешиваться в загрузку или получать доступ к конфиденциальной информации. Такой сценарий особенно опасен в ситуациях, где физический доступ к компьютеру невозможно полностью исключить.
Для устранения уязвимости производители начали выпускать обновления прошивок, в которых процесс включения IOMMU откорректирован. Специалисты призывают устанавливать эти версии как можно скорее. Особенно это касается систем, работающих в средах с особыми требованиями к изоляции и доверию, например в виртуализированных или облачных инфраструктурах, где IOMMU используется для разграничения доступа между компонентами.
По информации координационного центра CERT при Институте программной инженерии, проблема зафиксирована на платах ASRock, ASUS, GIGABYTE и MSI. При этом устройства от AMD, Intel, American Megatrends, Insyde и других поставщиков не подвержены уязвимости. Сообщается, что в обнаружении недостатка принимали участие сотрудники компании Riot Games, а координацию с производителями обеспечивал тайваньский национальный CERT.
Специалисты подчёркивают, что игнорирование проблемы может привести к компрометации системы до загрузки операционной среды, а значит — к полному подрыву доверия к платформе. Отслеживать выход обновлений стоит напрямую на сайтах производителей, поскольку процесс выпуска исправлений идёт по разным графикам.
Обзор кибератак и уязвимостей за прошедшую неделю: 15 - 19 декабря 2025
21 декабря. / CYBER MEDIA /. Редакция Cyber Media отобрала ключевые события в мире кибербезопасности, произошедших на этой неделе. В дайджест вошли сразу несколько показательных инцидентов: массовое использование нового фишингового набора для атак на корпоративные аккаунты, сохраняющийся высокий уровень утечек данных российских компаний, выявление скрытого сбора переписок пользователей с ИИ-чатами через VPN-расширение, а также первые зафиксированные случаи кибершпионажа, где значительная часть операции выполнялась с помощью искусственного интеллекта. Особое внимание вызвала атака GhostPairing, позволяющая незаметно захватывать аккаунты в социальных сетях без прямого взаимодействия с жертвой.
Фишинговый набор Spiderman массово используется для кражи корпоративных учётных данных
Исследователи зафиксировали активное распространение нового фишингового набора под названием Spiderman, который используется для компрометации корпоративных аккаунтов. Инструмент позволяет злоумышленникам быстро разворачивать поддельные страницы сервисов и перехватывать логины, пароли и коды двухфакторной аутентификации. Отмечается, что набор применяется в масштабных кампаниях против компаний из разных отраслей, а его функциональность упрощает проведение атак даже для операторов с низким уровнем подготовки.
В 2025 году выявлено более 200 крупных утечек данных российских компаний
Аналитики по итогам 2025 года зафиксировали более 200 масштабных утечек данных, затронувших российские компании. Речь идёт о случаях публикации корпоративных и пользовательских баз данных в открытых источниках и на специализированных площадках. В материалах отмечается, что количество выявленных инцидентов остаётся высоким, а сами утечки продолжают охватывать различные отрасли экономики, включая коммерческий и государственный секторы.
Расширение Urban VPN уличили в сборе переписок пользователей с ИИ-чатами
Исследователи выявили, что популярное браузерное расширение Urban VPN осуществляло сбор данных из переписок пользователей с ИИ-чатами. Согласно опубликованным данным, расширение получало доступ к содержимому страниц с чат-сервисами и перехватывало вводимую информацию. В материале подчёркивается, что подобная функциональность создаёт риски для конфиденциальности пользователей, особенно с учётом широкой популярности инструмента.
Исследователи сообщили о срыве кибершпионской операции, почти полностью выполненной ИИ
Эксперты по кибербезопасности заявили о выявлении и блокировке кибершпионской операции, в которой ключевые этапы атаки выполнялись с применением искусственного интеллекта. По данным исследования, ИИ использовался для автоматизации разведки, анализа инфраструктуры и подготовки атакующих действий. Отмечается, что операция не была доведена до завершения, однако сам факт её реализации указывает на рост роли ИИ в сложных целевых атаках.
Атака GhostPairing позволяет незаметно захватывать аккаунты WhatsApp
Исследователи сообщили о новой атаке под названием GhostPairing, которая позволяет злоумышленникам получить доступ к аккаунтам WhatsApp* без взлома пароля или SIM-карты. Атака основана на злоупотреблении штатным механизмом привязки дополнительных устройств и реализуется с помощью социальной инженерии. Жертву убеждают выполнить действия, в результате которых атакующий получает доступ к переписке, контактам и новым сообщениям, при этом компрометация может остаться незамеченной.
21 декабря. / CYBER MEDIA /. Редакция Cyber Media отобрала ключевые события в мире кибербезопасности, произошедших на этой неделе. В дайджест вошли сразу несколько показательных инцидентов: массовое использование нового фишингового набора для атак на корпоративные аккаунты, сохраняющийся высокий уровень утечек данных российских компаний, выявление скрытого сбора переписок пользователей с ИИ-чатами через VPN-расширение, а также первые зафиксированные случаи кибершпионажа, где значительная часть операции выполнялась с помощью искусственного интеллекта. Особое внимание вызвала атака GhostPairing, позволяющая незаметно захватывать аккаунты в социальных сетях без прямого взаимодействия с жертвой.
Фишинговый набор Spiderman массово используется для кражи корпоративных учётных данных
Исследователи зафиксировали активное распространение нового фишингового набора под названием Spiderman, который используется для компрометации корпоративных аккаунтов. Инструмент позволяет злоумышленникам быстро разворачивать поддельные страницы сервисов и перехватывать логины, пароли и коды двухфакторной аутентификации. Отмечается, что набор применяется в масштабных кампаниях против компаний из разных отраслей, а его функциональность упрощает проведение атак даже для операторов с низким уровнем подготовки.
В 2025 году выявлено более 200 крупных утечек данных российских компаний
Аналитики по итогам 2025 года зафиксировали более 200 масштабных утечек данных, затронувших российские компании. Речь идёт о случаях публикации корпоративных и пользовательских баз данных в открытых источниках и на специализированных площадках. В материалах отмечается, что количество выявленных инцидентов остаётся высоким, а сами утечки продолжают охватывать различные отрасли экономики, включая коммерческий и государственный секторы.
Расширение Urban VPN уличили в сборе переписок пользователей с ИИ-чатами
Исследователи выявили, что популярное браузерное расширение Urban VPN осуществляло сбор данных из переписок пользователей с ИИ-чатами. Согласно опубликованным данным, расширение получало доступ к содержимому страниц с чат-сервисами и перехватывало вводимую информацию. В материале подчёркивается, что подобная функциональность создаёт риски для конфиденциальности пользователей, особенно с учётом широкой популярности инструмента.
Исследователи сообщили о срыве кибершпионской операции, почти полностью выполненной ИИ
Эксперты по кибербезопасности заявили о выявлении и блокировке кибершпионской операции, в которой ключевые этапы атаки выполнялись с применением искусственного интеллекта. По данным исследования, ИИ использовался для автоматизации разведки, анализа инфраструктуры и подготовки атакующих действий. Отмечается, что операция не была доведена до завершения, однако сам факт её реализации указывает на рост роли ИИ в сложных целевых атаках.
Атака GhostPairing позволяет незаметно захватывать аккаунты WhatsApp
Исследователи сообщили о новой атаке под названием GhostPairing, которая позволяет злоумышленникам получить доступ к аккаунтам WhatsApp* без взлома пароля или SIM-карты. Атака основана на злоупотреблении штатным механизмом привязки дополнительных устройств и реализуется с помощью социальной инженерии. Жертву убеждают выполнить действия, в результате которых атакующий получает доступ к переписке, контактам и новым сообщениям, при этом компрометация может остаться незамеченной.
* Принадлежит компании Meta, признанной экстремистской организацией на территории Российской Федерации
Firebox рвут на куски прямо сейчас — критическая дыра топит корпоративные сети без пароля и удалённо
21 декабря. / securitylab.ru /. WatchGuard предупредила клиентов о критической уязвимости в межсетевых экранах Firebox, которая уже используется злоумышленниками в реальных атаках. Речь идёт об ошибке удалённого выполнения кода, позволяющей захватить устройство без какой-либо аутентификации и без участия пользователя. Компания настоятельно рекомендует как можно скорее установить обновления.
Проблема отслеживается под идентификатором CVE-2025-14733 и затрагивает широкий диапазон версий Fireware OS. Под удар попали сборки ветки 11.x, начиная с 11.12.4 Update1, все релизы 12.x, включая 12.11.5, а также линейка 2025.1 вплоть до версии 2025.1.3. Ошибка кроется в некорректной обработке данных, приводящей к записи за пределами допустимого диапазона памяти, что открывает атакующему прямую дорогу к выполнению произвольного кода на незащённом устройстве.
Эксплуатация не требует сложных условий. По данным WatchGuard, атаки имеют низкий уровень сложности и не предполагают никаких действий со стороны администратора или пользователя. Достаточно сетевого доступа к уязвимому компоненту. При этом важная деталь касается конфигурации: Firebox становится уязвимым, если на нём используется VPN на базе IKEv2. Однако даже удаление проблемных настроек не всегда гарантирует безопасность.
Компания отдельно подчёркивает, что риск может сохраняться и в тех случаях, когда мобильный VPN с IKEv2 или туннель между офисами с динамическим пиром уже были удалены. Если при этом остаётся активным branch office VPN с IKEv2, настроенный на статический шлюз, устройство всё равно может быть скомпрометировано. Именно такие остаточные конфигурации, по словам разработчика, создают ложное ощущение защищённости.
Помимо обновлений, WatchGuard опубликовала индикаторы компрометации, чтобы администраторы могли проверить, не было ли их оборудование уже атаковано. В случае обнаружения подозрительной активности компания рекомендует немедленно сменить все локально хранимые секреты на уязвимых устройствах, включая ключи и пароли.
21 декабря. / securitylab.ru /. WatchGuard предупредила клиентов о критической уязвимости в межсетевых экранах Firebox, которая уже используется злоумышленниками в реальных атаках. Речь идёт об ошибке удалённого выполнения кода, позволяющей захватить устройство без какой-либо аутентификации и без участия пользователя. Компания настоятельно рекомендует как можно скорее установить обновления.
Проблема отслеживается под идентификатором CVE-2025-14733 и затрагивает широкий диапазон версий Fireware OS. Под удар попали сборки ветки 11.x, начиная с 11.12.4 Update1, все релизы 12.x, включая 12.11.5, а также линейка 2025.1 вплоть до версии 2025.1.3. Ошибка кроется в некорректной обработке данных, приводящей к записи за пределами допустимого диапазона памяти, что открывает атакующему прямую дорогу к выполнению произвольного кода на незащённом устройстве.
Эксплуатация не требует сложных условий. По данным WatchGuard, атаки имеют низкий уровень сложности и не предполагают никаких действий со стороны администратора или пользователя. Достаточно сетевого доступа к уязвимому компоненту. При этом важная деталь касается конфигурации: Firebox становится уязвимым, если на нём используется VPN на базе IKEv2. Однако даже удаление проблемных настроек не всегда гарантирует безопасность.
Компания отдельно подчёркивает, что риск может сохраняться и в тех случаях, когда мобильный VPN с IKEv2 или туннель между офисами с динамическим пиром уже были удалены. Если при этом остаётся активным branch office VPN с IKEv2, настроенный на статический шлюз, устройство всё равно может быть скомпрометировано. Именно такие остаточные конфигурации, по словам разработчика, создают ложное ощущение защищённости.
Помимо обновлений, WatchGuard опубликовала индикаторы компрометации, чтобы администраторы могли проверить, не было ли их оборудование уже атаковано. В случае обнаружения подозрительной активности компания рекомендует немедленно сменить все локально хранимые секреты на уязвимых устройствах, включая ключи и пароли.
SecurityLab.ru
Firebox рвут на куски прямо сейчас — критическая дыра топит корпоративные сети без пароля и удалённо
Защитные экраны WatchGuard стали главной угрозой и поставили под огонь сотни тысяч компаний.
🔹Ботнет Kimwolf захватил миллионы Android-устройств
22 декабря. / CYBER MEDIA /. Исследователи из QiAnXin XLab обнаружили крупный ботнет под названием Kimwolf, который заразил как минимум 1,8 млн Android-устройств по всему миру. В группу заражённых входят преимущественно «умные» телевизоры, ТВ-приставки и планшеты, что делает её одной из крупнейших сетей такого рода на сегодняшний день.
Kimwolf оснащён широким набором функций. Основная активность - распределённые атаки отказа в обслуживании (DDoS), причём в период с 3 по 5 декабря исследования зафиксировали около 2,7 млн уникальных IP-адресов, взаимодействовавших с сервером управления ботнетом, что свидетельствует о масштабах кампании. Помимо DDoS он поддерживает прокси-перенаправление трафика, удалённый доступ и управление файлами на инфицированных устройствах, что превращает заражённые девайсы в инструмент для различных злоумышленнических задач.
Аналитики отметили связь Kimwolf с другой крупной Android-угрозой - Aisuru. Вредоносные скрипты, используемые в кампаниях обоих ботнетов, имеют сходство, а зловредные файлы подписаны одинаковыми цифровыми сертификатами. Это указывает на возможное участие одной и той же группы разработчиков или эволюцию предыдущей угрозы.
География заражения распределена по всему миру, с высокой активностью в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди часто заражаемых устройств - модели TV BOX, SuperBOX, X96Q, SmartTV и MX10. Эксперты предупреждают, что небезопасные Android- и IoT-устройства остаются критической уязвимостью в глобальной кибербезопасности: их легко захватить и использовать в составе распределённых сетей для масштабных атак.
22 декабря. / CYBER MEDIA /. Исследователи из QiAnXin XLab обнаружили крупный ботнет под названием Kimwolf, который заразил как минимум 1,8 млн Android-устройств по всему миру. В группу заражённых входят преимущественно «умные» телевизоры, ТВ-приставки и планшеты, что делает её одной из крупнейших сетей такого рода на сегодняшний день.
Kimwolf оснащён широким набором функций. Основная активность - распределённые атаки отказа в обслуживании (DDoS), причём в период с 3 по 5 декабря исследования зафиксировали около 2,7 млн уникальных IP-адресов, взаимодействовавших с сервером управления ботнетом, что свидетельствует о масштабах кампании. Помимо DDoS он поддерживает прокси-перенаправление трафика, удалённый доступ и управление файлами на инфицированных устройствах, что превращает заражённые девайсы в инструмент для различных злоумышленнических задач.
Аналитики отметили связь Kimwolf с другой крупной Android-угрозой - Aisuru. Вредоносные скрипты, используемые в кампаниях обоих ботнетов, имеют сходство, а зловредные файлы подписаны одинаковыми цифровыми сертификатами. Это указывает на возможное участие одной и той же группы разработчиков или эволюцию предыдущей угрозы.
География заражения распределена по всему миру, с высокой активностью в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди часто заражаемых устройств - модели TV BOX, SuperBOX, X96Q, SmartTV и MX10. Эксперты предупреждают, что небезопасные Android- и IoT-устройства остаются критической уязвимостью в глобальной кибербезопасности: их легко захватить и использовать в составе распределённых сетей для масштабных атак.
Более 70% утечек данных в России за год пришлось на госсектор
22 декабря. /КОММЕРСАНТ /. Хакеры власть не признают. За 2025 год 73% всех утечек данных из российских организаций пришлось на госсектор. В топе по уязвимым направлениям также сферы ритейла и услуг. Аналитики отмечают, что такая ситуация в государственных структурах связана с политической мотивацией хакеров, а также низким уровнем кибербезопасности некоторых организаций. В перспективе при сохранении геополитической напряженности число утечек продолжит расти, прогнозируют они.
“Ъ” ознакомился с данными компании «Еca Про» (входит в ГК «Кросс технолоджис») о росте утечек данных из российских организаций в 2025 году. Из них следует, что лидером по числу утечек стал госсектор (73%) — за отчетный период было слито более 105 млн строк данных с записями о пользователях и компаниях. На втором мест — ритейл (19%), на третьем — сфера услуг, куда входят, например, образование, онлайн-сервисы, медицина (6,5%). Всего за год утекло более 145 млн строк.
Как считают в компании, «лидерство» госсектора в первую очередь связано с политической мотивацией хакеров, которые нацелены на государственные организации.
На уязвимость сегмента также влияют низкий уровень кибербезопасности многих организаций из-за «халатности сотрудников и недостатка финансирования». Ранее “Ъ” писал, что за первую половину 2025 года доля совершаемых с целью шпионажа кибератак достигла 36%, а каждая пятая атака носила идеологический характер. В целом за январь—июль на долю госсектора пришлось 29% всех совершаемых атак ради шпионажа. В ГК «Солар» подтверждают лидерство госсектора по количеству утекших строк данных, однако в целом за январь—сентябрь, напротив, видят уменьшение сообщений об утечках баз данных российских компаний на 17% год к году.
При этом в F6 видят рост утечек строк с данными пользователей почти на 68%, до 767 млн, однако количество слитых баз данных в тематических Telegram-каналах и на андерграундных форумах сократилось на 50%, до 225 штук. Разницу в подсчетах можно объяснить разными методиками, кроме того, любая статистика будет «приблизительной», поскольку не все утечки попадают в общий доступ, поясняет начальник отдела по ИБ компании «Код безопасности» Алексей Коробченко. «Злоумышленники особенно активно используют уязвимости в легитимном ПО. Например, браузеры на базе Chrome, мессенджер Telegram, Linux. Если говорить о вредоносном ПО, то чаще всего хакеры использовали трояны-стилеры, например Lumma Stealer, программы-вымогатели и различные бэкдоры»,— напоминает он.
22 декабря. /КОММЕРСАНТ /. Хакеры власть не признают. За 2025 год 73% всех утечек данных из российских организаций пришлось на госсектор. В топе по уязвимым направлениям также сферы ритейла и услуг. Аналитики отмечают, что такая ситуация в государственных структурах связана с политической мотивацией хакеров, а также низким уровнем кибербезопасности некоторых организаций. В перспективе при сохранении геополитической напряженности число утечек продолжит расти, прогнозируют они.
“Ъ” ознакомился с данными компании «Еca Про» (входит в ГК «Кросс технолоджис») о росте утечек данных из российских организаций в 2025 году. Из них следует, что лидером по числу утечек стал госсектор (73%) — за отчетный период было слито более 105 млн строк данных с записями о пользователях и компаниях. На втором мест — ритейл (19%), на третьем — сфера услуг, куда входят, например, образование, онлайн-сервисы, медицина (6,5%). Всего за год утекло более 145 млн строк.
Как считают в компании, «лидерство» госсектора в первую очередь связано с политической мотивацией хакеров, которые нацелены на государственные организации.
На уязвимость сегмента также влияют низкий уровень кибербезопасности многих организаций из-за «халатности сотрудников и недостатка финансирования». Ранее “Ъ” писал, что за первую половину 2025 года доля совершаемых с целью шпионажа кибератак достигла 36%, а каждая пятая атака носила идеологический характер. В целом за январь—июль на долю госсектора пришлось 29% всех совершаемых атак ради шпионажа. В ГК «Солар» подтверждают лидерство госсектора по количеству утекших строк данных, однако в целом за январь—сентябрь, напротив, видят уменьшение сообщений об утечках баз данных российских компаний на 17% год к году.
При этом в F6 видят рост утечек строк с данными пользователей почти на 68%, до 767 млн, однако количество слитых баз данных в тематических Telegram-каналах и на андерграундных форумах сократилось на 50%, до 225 штук. Разницу в подсчетах можно объяснить разными методиками, кроме того, любая статистика будет «приблизительной», поскольку не все утечки попадают в общий доступ, поясняет начальник отдела по ИБ компании «Код безопасности» Алексей Коробченко. «Злоумышленники особенно активно используют уязвимости в легитимном ПО. Например, браузеры на базе Chrome, мессенджер Telegram, Linux. Если говорить о вредоносном ПО, то чаще всего хакеры использовали трояны-стилеры, например Lumma Stealer, программы-вымогатели и различные бэкдоры»,— напоминает он.
Коммерсантъ
Хакеры власть не признают
Более 70% утечек данных в России за год пришлось на госсектор
Россия под атакой: Самые атакуемые сферы в России это ИТ, телекоммуникации и розничная торговля
22 декабря. / C.NEWS /. В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда ИТ-сервисы и даже ИТ-инфраструктура компаний оказывались недоступны или были полностью уничтожены. По данным экспертов Bi.Zone, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
Отрасли в зоне риска
Эксперты Bi.Zone 22 декабря 2025 г. назвали самые атакуемые хакерами сферы в России, об этом CNews сообщили представители Bi.Zone. По данным экспертов, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда онлайн-сервисы и ИТ-инфраструктура у бизнеса оказывались недоступны или были полностью уничтожены. «Мы фиксируем все более частое использование вайперов — разрушительных ИТ-инструментов, которые полностью уничтожают данные и сетевое оборудование», — пояснил руководитель управления по борьбе с киберугрозами Bi.Zone Михаил Прохоренко.
Со слов экспертов кибербезопасности, в уходящем году ритейл также стал лидером по утечкам данных: почти 40% всех случаев. Причиной инцидентов в большинстве случаев является устаревшая ИТ-инфраструктура и слабое сегментирование сетей.
За ИТ-отраслью следует розничная торговля с долей 26% от общего количества киберрасследований. ИТ-специалисты по информационной безопасности (ИБ) отмечают, что злоумышленники проявляют интерес даже к небольшим компаниям этого сектора. Такие компании часто выступают подрядчиками крупных организаций и могут служить точкой входа в интранет более защищенных структур.
Увеличилась скрытность
ИБ-специалисты фиксируют рост среднего срока скрытого пребывания злоумышленников в корпоративных сетях. Если в 2024 г. этот показатель составлял 25 дней, то в декабре 2025 г. он увеличился до 42 дней.
По данным Bi.Zone, в 2025 г. минимальное время развития кибератаки от момента скрытого проникновения в ресурсы компании до начала активного взлома составило 12,5 минуты. Максимальный же зафиксированный период достиг 181 дня т.е. почти пол года.
Кибератаки на предприятия
По данным Bi.Zone и Curator, в I квартале 2025 г. на промышленные компании пришлось от 6 до 11% всех целевых кибератак на российские организации, о чем информировал CNews.
В то же время специалисты сервиса Anti-DDoS группы компаний «Солар» с января по апрель 2025 г. зафиксировали 4,6 тыс. DDoS-атак, направленных на предприятия промышленного сектора.
В среднем на одну компанию пришлось 72 атаки — это почти на 42% меньше, чем за аналогичный период 2024 г., и на 53% меньше по сравнению с тем же отрезком 2023 г. В 57% случаев атаки на промышленные компании совершались с целью шпионажа, а в 43% — с целью финансовой выгоды, уточнял представитель Bi.Zone.
По оценке аналитиков, выкуп, запрашиваемый вымогателями, в 2024 г. для крупных и средних предприятий начинался от 5 млн руб. Как предупредили эксперты по кибербезопасности, если раньше в действиях хакеров преобладали финансовые цели, то в 2025 г. растет доля кибератак с политической подоплекой и шпионажем, что является следствием глобального переустройства мира.
22 декабря. / C.NEWS /. В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда ИТ-сервисы и даже ИТ-инфраструктура компаний оказывались недоступны или были полностью уничтожены. По данным экспертов Bi.Zone, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
Отрасли в зоне риска
Эксперты Bi.Zone 22 декабря 2025 г. назвали самые атакуемые хакерами сферы в России, об этом CNews сообщили представители Bi.Zone. По данным экспертов, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда онлайн-сервисы и ИТ-инфраструктура у бизнеса оказывались недоступны или были полностью уничтожены. «Мы фиксируем все более частое использование вайперов — разрушительных ИТ-инструментов, которые полностью уничтожают данные и сетевое оборудование», — пояснил руководитель управления по борьбе с киберугрозами Bi.Zone Михаил Прохоренко.
Со слов экспертов кибербезопасности, в уходящем году ритейл также стал лидером по утечкам данных: почти 40% всех случаев. Причиной инцидентов в большинстве случаев является устаревшая ИТ-инфраструктура и слабое сегментирование сетей.
За ИТ-отраслью следует розничная торговля с долей 26% от общего количества киберрасследований. ИТ-специалисты по информационной безопасности (ИБ) отмечают, что злоумышленники проявляют интерес даже к небольшим компаниям этого сектора. Такие компании часто выступают подрядчиками крупных организаций и могут служить точкой входа в интранет более защищенных структур.
Увеличилась скрытность
ИБ-специалисты фиксируют рост среднего срока скрытого пребывания злоумышленников в корпоративных сетях. Если в 2024 г. этот показатель составлял 25 дней, то в декабре 2025 г. он увеличился до 42 дней.
По данным Bi.Zone, в 2025 г. минимальное время развития кибератаки от момента скрытого проникновения в ресурсы компании до начала активного взлома составило 12,5 минуты. Максимальный же зафиксированный период достиг 181 дня т.е. почти пол года.
Кибератаки на предприятия
По данным Bi.Zone и Curator, в I квартале 2025 г. на промышленные компании пришлось от 6 до 11% всех целевых кибератак на российские организации, о чем информировал CNews.
В то же время специалисты сервиса Anti-DDoS группы компаний «Солар» с января по апрель 2025 г. зафиксировали 4,6 тыс. DDoS-атак, направленных на предприятия промышленного сектора.
В среднем на одну компанию пришлось 72 атаки — это почти на 42% меньше, чем за аналогичный период 2024 г., и на 53% меньше по сравнению с тем же отрезком 2023 г. В 57% случаев атаки на промышленные компании совершались с целью шпионажа, а в 43% — с целью финансовой выгоды, уточнял представитель Bi.Zone.
По оценке аналитиков, выкуп, запрашиваемый вымогателями, в 2024 г. для крупных и средних предприятий начинался от 5 млн руб. Как предупредили эксперты по кибербезопасности, если раньше в действиях хакеров преобладали финансовые цели, то в 2025 г. растет доля кибератак с политической подоплекой и шпионажем, что является следствием глобального переустройства мира.
CNews.ru
Россия под атакой: Самые атакуемые сферы в России это ИТ, телекоммуникации и розничная торговля - CNews
В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда ИТ-сервисы и даже ИТ-инфраструктура компаний оказывались недоступны или были полностью...
🔸ФСТЭК определила угрозы безопасности от искусственного интеллекта
23 декабря. / ВЕДОМОСТИ /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) впервые внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом (ИИ), следует из сообщения на сайте регулятора.
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. Это, в частности, модели машинного обучения, наборы обучающих данных (датасеты), а также RAG (Retrieval Augmented Generation – подход, при котором ответ генерируется на основе данных, полученных из внешних источников) и LoRA-адаптеры (Low-Rank Adaptation – подход, который позволяет адаптировать большие модели к конкретным задачам).
Также в разделе описаны векторы возможных атак, например эксплуатация уязвимостей в фреймворках (шаблонах) для ИИ, модификация системных промптов (запросов) или конфигураций агентов, а также DoS-атаки (атака, при которой используется одно устройство), направленные на исчерпание квоты запросов.
23 декабря. / ВЕДОМОСТИ /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) впервые внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом (ИИ), следует из сообщения на сайте регулятора.
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. Это, в частности, модели машинного обучения, наборы обучающих данных (датасеты), а также RAG (Retrieval Augmented Generation – подход, при котором ответ генерируется на основе данных, полученных из внешних источников) и LoRA-адаптеры (Low-Rank Adaptation – подход, который позволяет адаптировать большие модели к конкретным задачам).
Также в разделе описаны векторы возможных атак, например эксплуатация уязвимостей в фреймворках (шаблонах) для ИИ, модификация системных промптов (запросов) или конфигураций агентов, а также DoS-атаки (атака, при которой используется одно устройство), направленные на исчерпание квоты запросов.
Ведомости
ФСТЭК определила угрозы безопасности от искусственного интеллекта
Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры
Google Chrome хуже других браузеров защищает приватность пользователей
23 декабря. / CYBER MEDIA /. Отчёт Digitain о приватности браузеров показал, что Google Chrome входит в число решений с наименее эффективной защитой пользовательских данных.
По результатам тестирования Chrome получил 76 баллов из 99 по показателю Privacy Risk Score, где более высокое значение означает больший риск для конфиденциальности. Это один из самых высоких показателей риска среди популярных браузеров.
В части защиты от фингерпринтинга Chrome набрал 68 баллов, что указывает на частичную способность противостоять идентификации устройства по техническим параметрам. При этом в категории блокировки трекеров браузер получил 0 баллов, фактически не ограничивая сбор данных о действиях пользователя сторонними сервисами.
Для сравнения, ряд альтернативных браузеров показал более низкие показатели риска за счёт встроенной блокировки трекеров и дополнительных механизмов защиты. В отчёте указано, что именно отсутствие таких механизмов у Chrome значительно снижает уровень приватности.
Авторы исследования отмечают, что популярность браузера не коррелирует с уровнем защиты данных. Используемая в Chrome модель обработки пользовательской информации и тесная интеграция с рекламной экосистемой делают его менее устойчивым к отслеживанию.
Вывод отчёта сводится к тому, что пользователям, для которых конфиденциальность является приоритетом, стоит учитывать эти показатели при выборе браузера и обращать внимание на решения с более низким уровнем Privacy Risk Score.
23 декабря. / CYBER MEDIA /. Отчёт Digitain о приватности браузеров показал, что Google Chrome входит в число решений с наименее эффективной защитой пользовательских данных.
По результатам тестирования Chrome получил 76 баллов из 99 по показателю Privacy Risk Score, где более высокое значение означает больший риск для конфиденциальности. Это один из самых высоких показателей риска среди популярных браузеров.
В части защиты от фингерпринтинга Chrome набрал 68 баллов, что указывает на частичную способность противостоять идентификации устройства по техническим параметрам. При этом в категории блокировки трекеров браузер получил 0 баллов, фактически не ограничивая сбор данных о действиях пользователя сторонними сервисами.
Для сравнения, ряд альтернативных браузеров показал более низкие показатели риска за счёт встроенной блокировки трекеров и дополнительных механизмов защиты. В отчёте указано, что именно отсутствие таких механизмов у Chrome значительно снижает уровень приватности.
Авторы исследования отмечают, что популярность браузера не коррелирует с уровнем защиты данных. Используемая в Chrome модель обработки пользовательской информации и тесная интеграция с рекламной экосистемой делают его менее устойчивым к отслеживанию.
Вывод отчёта сводится к тому, что пользователям, для которых конфиденциальность является приоритетом, стоит учитывать эти показатели при выборе браузера и обращать внимание на решения с более низким уровнем Privacy Risk Score.
В России резко выросло число DDoS-атак мощностью более 2 Тбит/с
23 декабря. / CYBER MEDIA /. Компания StormWall зафиксировала резкий рост гиперобъемных DDoS-атак в России с использованием ботнета Aisuru. По данным аналитиков, с 1 по 30 ноября 2025 года количество инцидентов мощностью свыше 2 Тбит/с увеличилось в 2,5 раза по сравнению с октябрем.
Основу атак составляет ботнет Aisuru, включающий от 1 до 4 млн зараженных устройств. В основном это роутеры и IoT-устройства, взломанные через уязвимости и слабые пароли. Часть из них используется как residential proxy, что позволяет маскировать вредоносный трафик под активность обычных домашних пользователей и осложняет фильтрацию атак.
Наиболее пострадавшими от атак мощностью более 2 Тбит/с в ноябре стали финансовые организации и e-commerce. На финансовый сектор пришлось 50% инцидентов - атаки были направлены на мобильные банки, платежные шлюзы и ипотечные сервисы. Электронная коммерция заняла 30% - под ударом оказались корзины онлайн-магазинов, платежные системы и API. Также пострадали телеком-сфера с долей 9 процентов и логистика с долей 7%.
Мощность атак с использованием Aisuru в ноябре выросла в 3 раза по сравнению с октябрем и в ряде случаев превышала 2 Тбит/с. Максимальный зафиксированный показатель составил 2,26 Тбит/с. За счет роста мощности эффективность подобных атак увеличилась на 120%, а средняя продолжительность сложных целевых инцидентов достигала 4-6 часов.
Злоумышленники активно применяли HTTPS-флуды и многовекторные атаки, а также новую тактику, получившую название «терабитный каскад» - последовательное наращивание мощности от 500 Гбит/с до более чем 2 Тбит/с. Такие атаки вызывали не только сбои в работе корпоративных систем, но и перегрузки инфраструктуры интернет-провайдеров.
В первой половине декабря 2025 года число атак мощностью более 2 Тбит/с выросло еще на 32% по сравнению с первой половиной ноября. Эксперты предупреждают, что в предновогодний период основной целью может стать онлайн-ритейл, а в перспективе пиковая мощность DDoS-инцидентов в России способна достигать 10-15 Тбит/с.
23 декабря. / CYBER MEDIA /. Компания StormWall зафиксировала резкий рост гиперобъемных DDoS-атак в России с использованием ботнета Aisuru. По данным аналитиков, с 1 по 30 ноября 2025 года количество инцидентов мощностью свыше 2 Тбит/с увеличилось в 2,5 раза по сравнению с октябрем.
Основу атак составляет ботнет Aisuru, включающий от 1 до 4 млн зараженных устройств. В основном это роутеры и IoT-устройства, взломанные через уязвимости и слабые пароли. Часть из них используется как residential proxy, что позволяет маскировать вредоносный трафик под активность обычных домашних пользователей и осложняет фильтрацию атак.
Наиболее пострадавшими от атак мощностью более 2 Тбит/с в ноябре стали финансовые организации и e-commerce. На финансовый сектор пришлось 50% инцидентов - атаки были направлены на мобильные банки, платежные шлюзы и ипотечные сервисы. Электронная коммерция заняла 30% - под ударом оказались корзины онлайн-магазинов, платежные системы и API. Также пострадали телеком-сфера с долей 9 процентов и логистика с долей 7%.
Мощность атак с использованием Aisuru в ноябре выросла в 3 раза по сравнению с октябрем и в ряде случаев превышала 2 Тбит/с. Максимальный зафиксированный показатель составил 2,26 Тбит/с. За счет роста мощности эффективность подобных атак увеличилась на 120%, а средняя продолжительность сложных целевых инцидентов достигала 4-6 часов.
Злоумышленники активно применяли HTTPS-флуды и многовекторные атаки, а также новую тактику, получившую название «терабитный каскад» - последовательное наращивание мощности от 500 Гбит/с до более чем 2 Тбит/с. Такие атаки вызывали не только сбои в работе корпоративных систем, но и перегрузки инфраструктуры интернет-провайдеров.
В первой половине декабря 2025 года число атак мощностью более 2 Тбит/с выросло еще на 32% по сравнению с первой половиной ноября. Эксперты предупреждают, что в предновогодний период основной целью может стать онлайн-ритейл, а в перспективе пиковая мощность DDoS-инцидентов в России способна достигать 10-15 Тбит/с.
Ничего святого. В онлайн-заказах начали подменять современную оперативную память на древнюю. Может коснуться каждого
23 декабря. / C.NEWS /. Зафиксированы первые случаи подмены оперативной памяти DDR5 на устаревшую DDR4 при заказе на крупных маркетплейсах. Пока это касается только Amazon, который не работает в России, но схема запросто может распространиться на весь мир на фоне глобального дефицита оперативной памяти и стремительного роста цен на нее, особенно на DDR5.
Кручу-верчу, оперативную память хочу
Пользователь американского интернет-магазина Amazon столкнулся с новым видом мошенничества – неизвестные подменили заказанную им современную оперативную память DDR5 на чипы предыдущего поколения DDR4, пишет Tom’s Hardware. Планки DDR4 во-первых, несовместимы со слотом DDR5, во-вторых, работают гораздо медленнее.
Чтобы пользователь раскрыл схему лишь после того, как распаковал упаковку и попытался вставить планки в компьютер, мошенники скрыли маркировку на модулях памяти под радиатором. Таким образом, отличить планки DDR4 от DDR5 стало почти невозможно – подлог заметит лишь тот, кто отчетливо понимает, как физически отличаются слоты под эти стандарты памяти.
Кто пострадал
История с Amazon приключилась в европейском филиале этого маркетплейса, вероятнее всего, в британском, так как все суммы указаны в фунтах стерлингов. Ее в красках описал пользователь Reddit под псевдонмом Leading-Growth-3861, ставший ее главным героем.
По его словам, у него есть полностью собранный ПК, и он решил улучшить его, добавив немного оперативной памяти.
Для этого он зашел на Amazon и заказал там планки DDR5 – только они подходят к материнской плате его компьютера. Получив заказ, Leading-Growth-3861 попытался вставить ОЗУ в слоты на системной плате и потерпел неудачу – приобретенные им планки не подошли физически.
В этот момент он понял, что произошло: кто-то вынул модули DDR5 из упаковки, снял с них оригинальные радиаторы и надел их на планки DDR4, чтобы все выглядело как новое. Отметим, что современный рынок предлагает множество кастомных радиаторов охлаждения для ОЗУ, так что мошенник почти ничего не потерял, решившись на такой маневр.
23 декабря. / C.NEWS /. Зафиксированы первые случаи подмены оперативной памяти DDR5 на устаревшую DDR4 при заказе на крупных маркетплейсах. Пока это касается только Amazon, который не работает в России, но схема запросто может распространиться на весь мир на фоне глобального дефицита оперативной памяти и стремительного роста цен на нее, особенно на DDR5.
Кручу-верчу, оперативную память хочу
Пользователь американского интернет-магазина Amazon столкнулся с новым видом мошенничества – неизвестные подменили заказанную им современную оперативную память DDR5 на чипы предыдущего поколения DDR4, пишет Tom’s Hardware. Планки DDR4 во-первых, несовместимы со слотом DDR5, во-вторых, работают гораздо медленнее.
Чтобы пользователь раскрыл схему лишь после того, как распаковал упаковку и попытался вставить планки в компьютер, мошенники скрыли маркировку на модулях памяти под радиатором. Таким образом, отличить планки DDR4 от DDR5 стало почти невозможно – подлог заметит лишь тот, кто отчетливо понимает, как физически отличаются слоты под эти стандарты памяти.
Кто пострадал
История с Amazon приключилась в европейском филиале этого маркетплейса, вероятнее всего, в британском, так как все суммы указаны в фунтах стерлингов. Ее в красках описал пользователь Reddit под псевдонмом Leading-Growth-3861, ставший ее главным героем.
По его словам, у него есть полностью собранный ПК, и он решил улучшить его, добавив немного оперативной памяти.
Для этого он зашел на Amazon и заказал там планки DDR5 – только они подходят к материнской плате его компьютера. Получив заказ, Leading-Growth-3861 попытался вставить ОЗУ в слоты на системной плате и потерпел неудачу – приобретенные им планки не подошли физически.
В этот момент он понял, что произошло: кто-то вынул модули DDR5 из упаковки, снял с них оригинальные радиаторы и надел их на планки DDR4, чтобы все выглядело как новое. Отметим, что современный рынок предлагает множество кастомных радиаторов охлаждения для ОЗУ, так что мошенник почти ничего не потерял, решившись на такой маневр.
CNews.ru
Ничего святого. В онлайн-заказах начали подменять современную оперативную память на древнюю. Может коснуться каждого - CNews
Зафиксированы первые случаи подмены оперативной памяти DDR5 на устаревшую DDR4 при заказе на крупных маркетплейсах. Пока это касается только Amazon, который не работает в России, но схема запросто...
Три четверти кибератак в России в 2025 году были критическими
24 декабря. / КОММЕРСАНТ /. В 2025 году киберпреступники вместо демонстративных атак и кражи данных стали все чаще стремиться к полному уничтожению IT-инфраструктуры компаний для вымогательства или саботажа. На такие атаки приходилось более 70% критических инцидентов в 2025 году, при этом суммы выкупов достигали рекордных 500 млн руб. Причины уязвимостей в инфраструктуре компаний остаются прежними: человеческий фактор, халатность и неготовность бизнеса к фундаментальным инвестициям в безопасность.
В 2025 году акцент злоумышленников, атакующих российские компании, сместился с дефейсов (подмена надписи или изображения на сайте), хищения данных и DDoS-атак на полное уничтожение инфраструктуры с целью вымогательства в случае вирусов-шифровальщиков или полной остановки деятельности без возможности восстановления, выявили эксперты компании «Инфосистемы Джет». 76% критических кибератак были направлены на уничтожение инфраструктуры. Большая часть из них (44%) — это шифрование инфраструктуры (Babyk, LockBit, Zeppelin, Phobos, Enmity и пр.), 32% — разрушение инфраструктуры. Также основными трендами в 2025 году специалисты «Инфосистемы Джет» назвали более активное использование атакующими инструментов с поддержкой ИИ и коллаборации группировок.
Эксперты Лаборатории цифровой криминалистики F6 отмечают, что в текущем году прирост количества атак программ-вымогателей составил 15% по сравнению с 2024 годом. Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 млн руб. на момент атаки, порядка 384 млн на декабрь), что почти в два раза больше по сравнению с прошлым годом (240 млн руб.), отмечают в F6.
Финансовый сектор, IT и рынок недвижимости возглавили рейтинг наиболее атакуемых сфер, отмечают в «Инфосистемы Джет». При этом ключевые причины взломов остаются «классическими»: фишинг, взломы через подрядчиков, уязвимости в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая «гигиена доступа». Аудиты внешнего периметра экспертами «Инфосистемы Джет» выявили, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются учетные данные по умолчанию.
Вместо пятилетних планов CISO выбирают гибкие циклы на один-два года, отмечают эксперты «Инфосистемы Джет», а также смещают фокус на инфраструктуру, способную восстанавливаться и стать надежнее после каждой атаки. Также, по данным компании, вдвое увеличился спрос на независимые аудиты систем резервного копирования, а более 70% крупных компаний внедрили регулярные тестирования восстановления данных.
24 декабря. / КОММЕРСАНТ /. В 2025 году киберпреступники вместо демонстративных атак и кражи данных стали все чаще стремиться к полному уничтожению IT-инфраструктуры компаний для вымогательства или саботажа. На такие атаки приходилось более 70% критических инцидентов в 2025 году, при этом суммы выкупов достигали рекордных 500 млн руб. Причины уязвимостей в инфраструктуре компаний остаются прежними: человеческий фактор, халатность и неготовность бизнеса к фундаментальным инвестициям в безопасность.
В 2025 году акцент злоумышленников, атакующих российские компании, сместился с дефейсов (подмена надписи или изображения на сайте), хищения данных и DDoS-атак на полное уничтожение инфраструктуры с целью вымогательства в случае вирусов-шифровальщиков или полной остановки деятельности без возможности восстановления, выявили эксперты компании «Инфосистемы Джет». 76% критических кибератак были направлены на уничтожение инфраструктуры. Большая часть из них (44%) — это шифрование инфраструктуры (Babyk, LockBit, Zeppelin, Phobos, Enmity и пр.), 32% — разрушение инфраструктуры. Также основными трендами в 2025 году специалисты «Инфосистемы Джет» назвали более активное использование атакующими инструментов с поддержкой ИИ и коллаборации группировок.
Эксперты Лаборатории цифровой криминалистики F6 отмечают, что в текущем году прирост количества атак программ-вымогателей составил 15% по сравнению с 2024 годом. Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 млн руб. на момент атаки, порядка 384 млн на декабрь), что почти в два раза больше по сравнению с прошлым годом (240 млн руб.), отмечают в F6.
Финансовый сектор, IT и рынок недвижимости возглавили рейтинг наиболее атакуемых сфер, отмечают в «Инфосистемы Джет». При этом ключевые причины взломов остаются «классическими»: фишинг, взломы через подрядчиков, уязвимости в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая «гигиена доступа». Аудиты внешнего периметра экспертами «Инфосистемы Джет» выявили, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются учетные данные по умолчанию.
Вместо пятилетних планов CISO выбирают гибкие циклы на один-два года, отмечают эксперты «Инфосистемы Джет», а также смещают фокус на инфраструктуру, способную восстанавливаться и стать надежнее после каждой атаки. Также, по данным компании, вдвое увеличился спрос на независимые аудиты систем резервного копирования, а более 70% крупных компаний внедрили регулярные тестирования восстановления данных.
Коммерсантъ
Взломом подпоясанные
Три четверти кибератак в России в 2025 году были критическими
Вокруг приказа ФСТЭК №117 сейчас много обсуждений — и это понятно.
Документ заметно меняет привычный подход к защите информации в ГИС и ИС госорганов: вместо разовых проверок — постоянные процессы, вместо формального соответствия — управляемая и измеримая ИБ.
В требованиях много практики:
● уязвимости и обновления,
● мониторинг событий,
● контроль конфигураций и доступа,
● работа с подрядчиками,
● безопасная разработка.
Отдельный блок — про корректное и безопасное использование ИИ, чего раньше в регулировании просто не было.
«Лаборатория Касперского» разобрала требования №117 приказа и подготовила памятку, где сформированы предложения по техническим средствам, реализующим меры по защите информации — без пересказа нормативки и без абстрактной теории.
Если вы в череде дел еще помните, что 2026 год когда-нибудь наступит, документ будет вам полезен!
Документ заметно меняет привычный подход к защите информации в ГИС и ИС госорганов: вместо разовых проверок — постоянные процессы, вместо формального соответствия — управляемая и измеримая ИБ.
В требованиях много практики:
● уязвимости и обновления,
● мониторинг событий,
● контроль конфигураций и доступа,
● работа с подрядчиками,
● безопасная разработка.
Отдельный блок — про корректное и безопасное использование ИИ, чего раньше в регулировании просто не было.
«Лаборатория Касперского» разобрала требования №117 приказа и подготовила памятку, где сформированы предложения по техническим средствам, реализующим меры по защите информации — без пересказа нормативки и без абстрактной теории.
Если вы в череде дел еще помните, что 2026 год когда-нибудь наступит, документ будет вам полезен!
ФСТЭК опубликовала список угроз искусственного интеллекта
23 декабря. / ITINFO MEDIA /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) составила перечень опасностей, которые несут системы искусственного интеллекта.
Список содержит элементы ИИ, которые могут стать мишенями для злоумышленников. В него вошли модели машинного обучения, наборы данных для их обучения, технология RAG и адаптеры LoRA. RAG помогает ИИ искать ответы в сторонних источниках, а LoRA позволяет подстраивать большие модели под узкие задачи.
Также описаны способы возможных атак. К ним относят использование ошибок в программных платформах для ИИ, изменение служебных запросов или настроек автоматических агентов. Еще одной угрозой названы атаки на отказ в обслуживании, которые исчерпывают лимит запросов к системе и выводят ее из строя.
23 декабря. / ITINFO MEDIA /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) составила перечень опасностей, которые несут системы искусственного интеллекта.
Список содержит элементы ИИ, которые могут стать мишенями для злоумышленников. В него вошли модели машинного обучения, наборы данных для их обучения, технология RAG и адаптеры LoRA. RAG помогает ИИ искать ответы в сторонних источниках, а LoRA позволяет подстраивать большие модели под узкие задачи.
Также описаны способы возможных атак. К ним относят использование ошибок в программных платформах для ИИ, изменение служебных запросов или настроек автоматических агентов. Еще одной угрозой названы атаки на отказ в обслуживании, которые исчерпывают лимит запросов к системе и выводят ее из строя.
Forwarded from Правительство России
Media is too big
VIEW IN TELEGRAM
Правительство направило в Госдуму второй пакет мер против кибермошенников
Документ включает порядка 20 инициатив, среди которых:
✔️Операторы связи, банки и госорганы смогут обменяться информацией о мошеннических вызовах с помощью платформы «Антифрод».
✔️Усовершенствуются процедуры авторизации на портале госуслуг, чтобы мошенникам было сложнее получить доступ к учетной записи гражданина.
✔️Фишинговые сайты и сайты, распространяющие вредоносное ПО, будут блокировать во внесудебном порядке.
💬 Нужно и далее продолжить проработку эффективных способов и инструментов − организационных, нормативных, технических − для борьбы с дистанционным хищением средств. Важно, чтобы добропорядочные граждане были защищены от мошенничества💬 , − поставил задачу Михаил Мишустин.
🇷🇺 Подписаться на Правительство России в MAX
Документ включает порядка 20 инициатив, среди которых:
✔️Операторы связи, банки и госорганы смогут обменяться информацией о мошеннических вызовах с помощью платформы «Антифрод».
✔️Усовершенствуются процедуры авторизации на портале госуслуг, чтобы мошенникам было сложнее получить доступ к учетной записи гражданина.
✔️Фишинговые сайты и сайты, распространяющие вредоносное ПО, будут блокировать во внесудебном порядке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Четверть крупнейших компаний России тратит на ИБ более 100 млн руб. в год
24 декабря. / C.NEWS /. MWS Cloud, входит в МТС Web Services, провела исследование ИТ рынка России. Согласно его результатам, сегмент крупнейшего отечественного бизнеса в 24% случаев тратит на информационную безопасность (ИБ) более 100 млн руб. в год. Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Об этом CNews сообщили представители МТС.
Данные получены на основе опроса и последующей серии интервью представителей 700 компаний В опросе принимали участие специалисты, компетентные в вопросах цифрового развития в соответствующих компаниях: более половины опрошенных составили представители высшего менеджмента компаний.
Инвестиции в ИБ зависят от величины бизнеса. В крупнейшем сегменте 24% компаний тратят на кибербезопасность более 100 млн руб. в год. В среднем бизнесе более 10 млн руб. на ИБ тратят лишь 8% компаний, 56% опрошенных инвестируют в защищенность от 500 тыс. до 10 млн руб. В микро и малом бизнесе инвестиции в ИБ более 10 млн руб. есть лишь у 4% опрошенных, 34% тратят на кибербезопасность от 500 тыс. до 10 млн руб., но в основном затраты не превышают 500 тыс. руб.
Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Компании из данных отраслей более чем в четверти случаев инвестируют в ИБ более 10 млн руб. Также активно инвестируют в ИБ компании из здравоохранения, ритейла, а также сферы науки и образования.
Компании все чаще диверсифицируют риски, привлекая нескольких внедоров: 28% предприятий пользуются услугами двух ИБ компаний, 39% – трех и более. При этом чем больше заказчик, тем большим числом вендоров она пользуется. В крупнейшем сегменте услугами одного ИБ вендора пользуются лишь четверть компаний, а трех и более – 52%. В среднем бизнесе с одной ИБ компанией работает уже 38% заказчиков, а с тремя и более – 35%, в микро и малом бизнесе это соотношение достигает 43% и 25%.
24 декабря. / C.NEWS /. MWS Cloud, входит в МТС Web Services, провела исследование ИТ рынка России. Согласно его результатам, сегмент крупнейшего отечественного бизнеса в 24% случаев тратит на информационную безопасность (ИБ) более 100 млн руб. в год. Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Об этом CNews сообщили представители МТС.
Данные получены на основе опроса и последующей серии интервью представителей 700 компаний В опросе принимали участие специалисты, компетентные в вопросах цифрового развития в соответствующих компаниях: более половины опрошенных составили представители высшего менеджмента компаний.
Инвестиции в ИБ зависят от величины бизнеса. В крупнейшем сегменте 24% компаний тратят на кибербезопасность более 100 млн руб. в год. В среднем бизнесе более 10 млн руб. на ИБ тратят лишь 8% компаний, 56% опрошенных инвестируют в защищенность от 500 тыс. до 10 млн руб. В микро и малом бизнесе инвестиции в ИБ более 10 млн руб. есть лишь у 4% опрошенных, 34% тратят на кибербезопасность от 500 тыс. до 10 млн руб., но в основном затраты не превышают 500 тыс. руб.
Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Компании из данных отраслей более чем в четверти случаев инвестируют в ИБ более 10 млн руб. Также активно инвестируют в ИБ компании из здравоохранения, ритейла, а также сферы науки и образования.
Компании все чаще диверсифицируют риски, привлекая нескольких внедоров: 28% предприятий пользуются услугами двух ИБ компаний, 39% – трех и более. При этом чем больше заказчик, тем большим числом вендоров она пользуется. В крупнейшем сегменте услугами одного ИБ вендора пользуются лишь четверть компаний, а трех и более – 52%. В среднем бизнесе с одной ИБ компанией работает уже 38% заказчиков, а с тремя и более – 35%, в микро и малом бизнесе это соотношение достигает 43% и 25%.
CNews.ru
Четверть крупнейших компаний России тратит на ИБ более 100 млн руб. в год - CNews
MWS Cloud, входит в МТС Web Services, провела исследование ИТ рынка России. Согласно его результатам, сегмент крупнейшего...