Ваш компьютер вам врёт: в BIOS написано «защищено», а на деле — заходи, кто хочет
20 декабря. / securitylab.ru /. На некоторых материнских платах, использующих прошивку UEFI, обнаружена серьёзная уязвимость, из-за которой системы оказываются незащищёнными от атак с прямым доступом к памяти на ранней стадии загрузки. Хотя программное обеспечение утверждает, что защита от таких вмешательств активирована, на деле она не срабатывает из-за некорректной инициализации IOMMU — модуля, ограничивающего доступ периферийных устройств к оперативной памяти.
В результате, злоумышленник, имеющий физический доступ к компьютеру, может использовать совместимое с DMA устройство, чтобы считывать или изменять данные до того, как операционная система включит собственные механизмы защиты.
Основу доверенной загрузки современных устройств составляют два компонента: UEFI и IOMMU. Первый отвечает за начальную настройку оборудования и применение базовых мер безопасности. Второй обеспечивает контроль за прямым доступом к памяти со стороны подключённых устройств. Однако в затронутых прошивках есть расхождение между заявленной и фактической реализацией защиты — несмотря на то, что интерфейс сообщает об активных ограничениях, фактически они не работают.
Проблема затрагивает материнские платы от нескольких крупных производителей. В их прошивке защита не активируется на этапе передачи управления от прошивки к операционной системе. Это открывает окно возможностей для атак с использованием устройств, подключаемых по шине PCI Express, позволяя вмешиваться в загрузку или получать доступ к конфиденциальной информации. Такой сценарий особенно опасен в ситуациях, где физический доступ к компьютеру невозможно полностью исключить.
Для устранения уязвимости производители начали выпускать обновления прошивок, в которых процесс включения IOMMU откорректирован. Специалисты призывают устанавливать эти версии как можно скорее. Особенно это касается систем, работающих в средах с особыми требованиями к изоляции и доверию, например в виртуализированных или облачных инфраструктурах, где IOMMU используется для разграничения доступа между компонентами.
По информации координационного центра CERT при Институте программной инженерии, проблема зафиксирована на платах ASRock, ASUS, GIGABYTE и MSI. При этом устройства от AMD, Intel, American Megatrends, Insyde и других поставщиков не подвержены уязвимости. Сообщается, что в обнаружении недостатка принимали участие сотрудники компании Riot Games, а координацию с производителями обеспечивал тайваньский национальный CERT.
Специалисты подчёркивают, что игнорирование проблемы может привести к компрометации системы до загрузки операционной среды, а значит — к полному подрыву доверия к платформе. Отслеживать выход обновлений стоит напрямую на сайтах производителей, поскольку процесс выпуска исправлений идёт по разным графикам.
20 декабря. / securitylab.ru /. На некоторых материнских платах, использующих прошивку UEFI, обнаружена серьёзная уязвимость, из-за которой системы оказываются незащищёнными от атак с прямым доступом к памяти на ранней стадии загрузки. Хотя программное обеспечение утверждает, что защита от таких вмешательств активирована, на деле она не срабатывает из-за некорректной инициализации IOMMU — модуля, ограничивающего доступ периферийных устройств к оперативной памяти.
В результате, злоумышленник, имеющий физический доступ к компьютеру, может использовать совместимое с DMA устройство, чтобы считывать или изменять данные до того, как операционная система включит собственные механизмы защиты.
Основу доверенной загрузки современных устройств составляют два компонента: UEFI и IOMMU. Первый отвечает за начальную настройку оборудования и применение базовых мер безопасности. Второй обеспечивает контроль за прямым доступом к памяти со стороны подключённых устройств. Однако в затронутых прошивках есть расхождение между заявленной и фактической реализацией защиты — несмотря на то, что интерфейс сообщает об активных ограничениях, фактически они не работают.
Проблема затрагивает материнские платы от нескольких крупных производителей. В их прошивке защита не активируется на этапе передачи управления от прошивки к операционной системе. Это открывает окно возможностей для атак с использованием устройств, подключаемых по шине PCI Express, позволяя вмешиваться в загрузку или получать доступ к конфиденциальной информации. Такой сценарий особенно опасен в ситуациях, где физический доступ к компьютеру невозможно полностью исключить.
Для устранения уязвимости производители начали выпускать обновления прошивок, в которых процесс включения IOMMU откорректирован. Специалисты призывают устанавливать эти версии как можно скорее. Особенно это касается систем, работающих в средах с особыми требованиями к изоляции и доверию, например в виртуализированных или облачных инфраструктурах, где IOMMU используется для разграничения доступа между компонентами.
По информации координационного центра CERT при Институте программной инженерии, проблема зафиксирована на платах ASRock, ASUS, GIGABYTE и MSI. При этом устройства от AMD, Intel, American Megatrends, Insyde и других поставщиков не подвержены уязвимости. Сообщается, что в обнаружении недостатка принимали участие сотрудники компании Riot Games, а координацию с производителями обеспечивал тайваньский национальный CERT.
Специалисты подчёркивают, что игнорирование проблемы может привести к компрометации системы до загрузки операционной среды, а значит — к полному подрыву доверия к платформе. Отслеживать выход обновлений стоит напрямую на сайтах производителей, поскольку процесс выпуска исправлений идёт по разным графикам.
Обзор кибератак и уязвимостей за прошедшую неделю: 15 - 19 декабря 2025
21 декабря. / CYBER MEDIA /. Редакция Cyber Media отобрала ключевые события в мире кибербезопасности, произошедших на этой неделе. В дайджест вошли сразу несколько показательных инцидентов: массовое использование нового фишингового набора для атак на корпоративные аккаунты, сохраняющийся высокий уровень утечек данных российских компаний, выявление скрытого сбора переписок пользователей с ИИ-чатами через VPN-расширение, а также первые зафиксированные случаи кибершпионажа, где значительная часть операции выполнялась с помощью искусственного интеллекта. Особое внимание вызвала атака GhostPairing, позволяющая незаметно захватывать аккаунты в социальных сетях без прямого взаимодействия с жертвой.
Фишинговый набор Spiderman массово используется для кражи корпоративных учётных данных
Исследователи зафиксировали активное распространение нового фишингового набора под названием Spiderman, который используется для компрометации корпоративных аккаунтов. Инструмент позволяет злоумышленникам быстро разворачивать поддельные страницы сервисов и перехватывать логины, пароли и коды двухфакторной аутентификации. Отмечается, что набор применяется в масштабных кампаниях против компаний из разных отраслей, а его функциональность упрощает проведение атак даже для операторов с низким уровнем подготовки.
В 2025 году выявлено более 200 крупных утечек данных российских компаний
Аналитики по итогам 2025 года зафиксировали более 200 масштабных утечек данных, затронувших российские компании. Речь идёт о случаях публикации корпоративных и пользовательских баз данных в открытых источниках и на специализированных площадках. В материалах отмечается, что количество выявленных инцидентов остаётся высоким, а сами утечки продолжают охватывать различные отрасли экономики, включая коммерческий и государственный секторы.
Расширение Urban VPN уличили в сборе переписок пользователей с ИИ-чатами
Исследователи выявили, что популярное браузерное расширение Urban VPN осуществляло сбор данных из переписок пользователей с ИИ-чатами. Согласно опубликованным данным, расширение получало доступ к содержимому страниц с чат-сервисами и перехватывало вводимую информацию. В материале подчёркивается, что подобная функциональность создаёт риски для конфиденциальности пользователей, особенно с учётом широкой популярности инструмента.
Исследователи сообщили о срыве кибершпионской операции, почти полностью выполненной ИИ
Эксперты по кибербезопасности заявили о выявлении и блокировке кибершпионской операции, в которой ключевые этапы атаки выполнялись с применением искусственного интеллекта. По данным исследования, ИИ использовался для автоматизации разведки, анализа инфраструктуры и подготовки атакующих действий. Отмечается, что операция не была доведена до завершения, однако сам факт её реализации указывает на рост роли ИИ в сложных целевых атаках.
Атака GhostPairing позволяет незаметно захватывать аккаунты WhatsApp
Исследователи сообщили о новой атаке под названием GhostPairing, которая позволяет злоумышленникам получить доступ к аккаунтам WhatsApp* без взлома пароля или SIM-карты. Атака основана на злоупотреблении штатным механизмом привязки дополнительных устройств и реализуется с помощью социальной инженерии. Жертву убеждают выполнить действия, в результате которых атакующий получает доступ к переписке, контактам и новым сообщениям, при этом компрометация может остаться незамеченной.
21 декабря. / CYBER MEDIA /. Редакция Cyber Media отобрала ключевые события в мире кибербезопасности, произошедших на этой неделе. В дайджест вошли сразу несколько показательных инцидентов: массовое использование нового фишингового набора для атак на корпоративные аккаунты, сохраняющийся высокий уровень утечек данных российских компаний, выявление скрытого сбора переписок пользователей с ИИ-чатами через VPN-расширение, а также первые зафиксированные случаи кибершпионажа, где значительная часть операции выполнялась с помощью искусственного интеллекта. Особое внимание вызвала атака GhostPairing, позволяющая незаметно захватывать аккаунты в социальных сетях без прямого взаимодействия с жертвой.
Фишинговый набор Spiderman массово используется для кражи корпоративных учётных данных
Исследователи зафиксировали активное распространение нового фишингового набора под названием Spiderman, который используется для компрометации корпоративных аккаунтов. Инструмент позволяет злоумышленникам быстро разворачивать поддельные страницы сервисов и перехватывать логины, пароли и коды двухфакторной аутентификации. Отмечается, что набор применяется в масштабных кампаниях против компаний из разных отраслей, а его функциональность упрощает проведение атак даже для операторов с низким уровнем подготовки.
В 2025 году выявлено более 200 крупных утечек данных российских компаний
Аналитики по итогам 2025 года зафиксировали более 200 масштабных утечек данных, затронувших российские компании. Речь идёт о случаях публикации корпоративных и пользовательских баз данных в открытых источниках и на специализированных площадках. В материалах отмечается, что количество выявленных инцидентов остаётся высоким, а сами утечки продолжают охватывать различные отрасли экономики, включая коммерческий и государственный секторы.
Расширение Urban VPN уличили в сборе переписок пользователей с ИИ-чатами
Исследователи выявили, что популярное браузерное расширение Urban VPN осуществляло сбор данных из переписок пользователей с ИИ-чатами. Согласно опубликованным данным, расширение получало доступ к содержимому страниц с чат-сервисами и перехватывало вводимую информацию. В материале подчёркивается, что подобная функциональность создаёт риски для конфиденциальности пользователей, особенно с учётом широкой популярности инструмента.
Исследователи сообщили о срыве кибершпионской операции, почти полностью выполненной ИИ
Эксперты по кибербезопасности заявили о выявлении и блокировке кибершпионской операции, в которой ключевые этапы атаки выполнялись с применением искусственного интеллекта. По данным исследования, ИИ использовался для автоматизации разведки, анализа инфраструктуры и подготовки атакующих действий. Отмечается, что операция не была доведена до завершения, однако сам факт её реализации указывает на рост роли ИИ в сложных целевых атаках.
Атака GhostPairing позволяет незаметно захватывать аккаунты WhatsApp
Исследователи сообщили о новой атаке под названием GhostPairing, которая позволяет злоумышленникам получить доступ к аккаунтам WhatsApp* без взлома пароля или SIM-карты. Атака основана на злоупотреблении штатным механизмом привязки дополнительных устройств и реализуется с помощью социальной инженерии. Жертву убеждают выполнить действия, в результате которых атакующий получает доступ к переписке, контактам и новым сообщениям, при этом компрометация может остаться незамеченной.
* Принадлежит компании Meta, признанной экстремистской организацией на территории Российской Федерации
Firebox рвут на куски прямо сейчас — критическая дыра топит корпоративные сети без пароля и удалённо
21 декабря. / securitylab.ru /. WatchGuard предупредила клиентов о критической уязвимости в межсетевых экранах Firebox, которая уже используется злоумышленниками в реальных атаках. Речь идёт об ошибке удалённого выполнения кода, позволяющей захватить устройство без какой-либо аутентификации и без участия пользователя. Компания настоятельно рекомендует как можно скорее установить обновления.
Проблема отслеживается под идентификатором CVE-2025-14733 и затрагивает широкий диапазон версий Fireware OS. Под удар попали сборки ветки 11.x, начиная с 11.12.4 Update1, все релизы 12.x, включая 12.11.5, а также линейка 2025.1 вплоть до версии 2025.1.3. Ошибка кроется в некорректной обработке данных, приводящей к записи за пределами допустимого диапазона памяти, что открывает атакующему прямую дорогу к выполнению произвольного кода на незащённом устройстве.
Эксплуатация не требует сложных условий. По данным WatchGuard, атаки имеют низкий уровень сложности и не предполагают никаких действий со стороны администратора или пользователя. Достаточно сетевого доступа к уязвимому компоненту. При этом важная деталь касается конфигурации: Firebox становится уязвимым, если на нём используется VPN на базе IKEv2. Однако даже удаление проблемных настроек не всегда гарантирует безопасность.
Компания отдельно подчёркивает, что риск может сохраняться и в тех случаях, когда мобильный VPN с IKEv2 или туннель между офисами с динамическим пиром уже были удалены. Если при этом остаётся активным branch office VPN с IKEv2, настроенный на статический шлюз, устройство всё равно может быть скомпрометировано. Именно такие остаточные конфигурации, по словам разработчика, создают ложное ощущение защищённости.
Помимо обновлений, WatchGuard опубликовала индикаторы компрометации, чтобы администраторы могли проверить, не было ли их оборудование уже атаковано. В случае обнаружения подозрительной активности компания рекомендует немедленно сменить все локально хранимые секреты на уязвимых устройствах, включая ключи и пароли.
21 декабря. / securitylab.ru /. WatchGuard предупредила клиентов о критической уязвимости в межсетевых экранах Firebox, которая уже используется злоумышленниками в реальных атаках. Речь идёт об ошибке удалённого выполнения кода, позволяющей захватить устройство без какой-либо аутентификации и без участия пользователя. Компания настоятельно рекомендует как можно скорее установить обновления.
Проблема отслеживается под идентификатором CVE-2025-14733 и затрагивает широкий диапазон версий Fireware OS. Под удар попали сборки ветки 11.x, начиная с 11.12.4 Update1, все релизы 12.x, включая 12.11.5, а также линейка 2025.1 вплоть до версии 2025.1.3. Ошибка кроется в некорректной обработке данных, приводящей к записи за пределами допустимого диапазона памяти, что открывает атакующему прямую дорогу к выполнению произвольного кода на незащённом устройстве.
Эксплуатация не требует сложных условий. По данным WatchGuard, атаки имеют низкий уровень сложности и не предполагают никаких действий со стороны администратора или пользователя. Достаточно сетевого доступа к уязвимому компоненту. При этом важная деталь касается конфигурации: Firebox становится уязвимым, если на нём используется VPN на базе IKEv2. Однако даже удаление проблемных настроек не всегда гарантирует безопасность.
Компания отдельно подчёркивает, что риск может сохраняться и в тех случаях, когда мобильный VPN с IKEv2 или туннель между офисами с динамическим пиром уже были удалены. Если при этом остаётся активным branch office VPN с IKEv2, настроенный на статический шлюз, устройство всё равно может быть скомпрометировано. Именно такие остаточные конфигурации, по словам разработчика, создают ложное ощущение защищённости.
Помимо обновлений, WatchGuard опубликовала индикаторы компрометации, чтобы администраторы могли проверить, не было ли их оборудование уже атаковано. В случае обнаружения подозрительной активности компания рекомендует немедленно сменить все локально хранимые секреты на уязвимых устройствах, включая ключи и пароли.
SecurityLab.ru
Firebox рвут на куски прямо сейчас — критическая дыра топит корпоративные сети без пароля и удалённо
Защитные экраны WatchGuard стали главной угрозой и поставили под огонь сотни тысяч компаний.
🔹Ботнет Kimwolf захватил миллионы Android-устройств
22 декабря. / CYBER MEDIA /. Исследователи из QiAnXin XLab обнаружили крупный ботнет под названием Kimwolf, который заразил как минимум 1,8 млн Android-устройств по всему миру. В группу заражённых входят преимущественно «умные» телевизоры, ТВ-приставки и планшеты, что делает её одной из крупнейших сетей такого рода на сегодняшний день.
Kimwolf оснащён широким набором функций. Основная активность - распределённые атаки отказа в обслуживании (DDoS), причём в период с 3 по 5 декабря исследования зафиксировали около 2,7 млн уникальных IP-адресов, взаимодействовавших с сервером управления ботнетом, что свидетельствует о масштабах кампании. Помимо DDoS он поддерживает прокси-перенаправление трафика, удалённый доступ и управление файлами на инфицированных устройствах, что превращает заражённые девайсы в инструмент для различных злоумышленнических задач.
Аналитики отметили связь Kimwolf с другой крупной Android-угрозой - Aisuru. Вредоносные скрипты, используемые в кампаниях обоих ботнетов, имеют сходство, а зловредные файлы подписаны одинаковыми цифровыми сертификатами. Это указывает на возможное участие одной и той же группы разработчиков или эволюцию предыдущей угрозы.
География заражения распределена по всему миру, с высокой активностью в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди часто заражаемых устройств - модели TV BOX, SuperBOX, X96Q, SmartTV и MX10. Эксперты предупреждают, что небезопасные Android- и IoT-устройства остаются критической уязвимостью в глобальной кибербезопасности: их легко захватить и использовать в составе распределённых сетей для масштабных атак.
22 декабря. / CYBER MEDIA /. Исследователи из QiAnXin XLab обнаружили крупный ботнет под названием Kimwolf, который заразил как минимум 1,8 млн Android-устройств по всему миру. В группу заражённых входят преимущественно «умные» телевизоры, ТВ-приставки и планшеты, что делает её одной из крупнейших сетей такого рода на сегодняшний день.
Kimwolf оснащён широким набором функций. Основная активность - распределённые атаки отказа в обслуживании (DDoS), причём в период с 3 по 5 декабря исследования зафиксировали около 2,7 млн уникальных IP-адресов, взаимодействовавших с сервером управления ботнетом, что свидетельствует о масштабах кампании. Помимо DDoS он поддерживает прокси-перенаправление трафика, удалённый доступ и управление файлами на инфицированных устройствах, что превращает заражённые девайсы в инструмент для различных злоумышленнических задач.
Аналитики отметили связь Kimwolf с другой крупной Android-угрозой - Aisuru. Вредоносные скрипты, используемые в кампаниях обоих ботнетов, имеют сходство, а зловредные файлы подписаны одинаковыми цифровыми сертификатами. Это указывает на возможное участие одной и той же группы разработчиков или эволюцию предыдущей угрозы.
География заражения распределена по всему миру, с высокой активностью в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди часто заражаемых устройств - модели TV BOX, SuperBOX, X96Q, SmartTV и MX10. Эксперты предупреждают, что небезопасные Android- и IoT-устройства остаются критической уязвимостью в глобальной кибербезопасности: их легко захватить и использовать в составе распределённых сетей для масштабных атак.
Более 70% утечек данных в России за год пришлось на госсектор
22 декабря. /КОММЕРСАНТ /. Хакеры власть не признают. За 2025 год 73% всех утечек данных из российских организаций пришлось на госсектор. В топе по уязвимым направлениям также сферы ритейла и услуг. Аналитики отмечают, что такая ситуация в государственных структурах связана с политической мотивацией хакеров, а также низким уровнем кибербезопасности некоторых организаций. В перспективе при сохранении геополитической напряженности число утечек продолжит расти, прогнозируют они.
“Ъ” ознакомился с данными компании «Еca Про» (входит в ГК «Кросс технолоджис») о росте утечек данных из российских организаций в 2025 году. Из них следует, что лидером по числу утечек стал госсектор (73%) — за отчетный период было слито более 105 млн строк данных с записями о пользователях и компаниях. На втором мест — ритейл (19%), на третьем — сфера услуг, куда входят, например, образование, онлайн-сервисы, медицина (6,5%). Всего за год утекло более 145 млн строк.
Как считают в компании, «лидерство» госсектора в первую очередь связано с политической мотивацией хакеров, которые нацелены на государственные организации.
На уязвимость сегмента также влияют низкий уровень кибербезопасности многих организаций из-за «халатности сотрудников и недостатка финансирования». Ранее “Ъ” писал, что за первую половину 2025 года доля совершаемых с целью шпионажа кибератак достигла 36%, а каждая пятая атака носила идеологический характер. В целом за январь—июль на долю госсектора пришлось 29% всех совершаемых атак ради шпионажа. В ГК «Солар» подтверждают лидерство госсектора по количеству утекших строк данных, однако в целом за январь—сентябрь, напротив, видят уменьшение сообщений об утечках баз данных российских компаний на 17% год к году.
При этом в F6 видят рост утечек строк с данными пользователей почти на 68%, до 767 млн, однако количество слитых баз данных в тематических Telegram-каналах и на андерграундных форумах сократилось на 50%, до 225 штук. Разницу в подсчетах можно объяснить разными методиками, кроме того, любая статистика будет «приблизительной», поскольку не все утечки попадают в общий доступ, поясняет начальник отдела по ИБ компании «Код безопасности» Алексей Коробченко. «Злоумышленники особенно активно используют уязвимости в легитимном ПО. Например, браузеры на базе Chrome, мессенджер Telegram, Linux. Если говорить о вредоносном ПО, то чаще всего хакеры использовали трояны-стилеры, например Lumma Stealer, программы-вымогатели и различные бэкдоры»,— напоминает он.
22 декабря. /КОММЕРСАНТ /. Хакеры власть не признают. За 2025 год 73% всех утечек данных из российских организаций пришлось на госсектор. В топе по уязвимым направлениям также сферы ритейла и услуг. Аналитики отмечают, что такая ситуация в государственных структурах связана с политической мотивацией хакеров, а также низким уровнем кибербезопасности некоторых организаций. В перспективе при сохранении геополитической напряженности число утечек продолжит расти, прогнозируют они.
“Ъ” ознакомился с данными компании «Еca Про» (входит в ГК «Кросс технолоджис») о росте утечек данных из российских организаций в 2025 году. Из них следует, что лидером по числу утечек стал госсектор (73%) — за отчетный период было слито более 105 млн строк данных с записями о пользователях и компаниях. На втором мест — ритейл (19%), на третьем — сфера услуг, куда входят, например, образование, онлайн-сервисы, медицина (6,5%). Всего за год утекло более 145 млн строк.
Как считают в компании, «лидерство» госсектора в первую очередь связано с политической мотивацией хакеров, которые нацелены на государственные организации.
На уязвимость сегмента также влияют низкий уровень кибербезопасности многих организаций из-за «халатности сотрудников и недостатка финансирования». Ранее “Ъ” писал, что за первую половину 2025 года доля совершаемых с целью шпионажа кибератак достигла 36%, а каждая пятая атака носила идеологический характер. В целом за январь—июль на долю госсектора пришлось 29% всех совершаемых атак ради шпионажа. В ГК «Солар» подтверждают лидерство госсектора по количеству утекших строк данных, однако в целом за январь—сентябрь, напротив, видят уменьшение сообщений об утечках баз данных российских компаний на 17% год к году.
При этом в F6 видят рост утечек строк с данными пользователей почти на 68%, до 767 млн, однако количество слитых баз данных в тематических Telegram-каналах и на андерграундных форумах сократилось на 50%, до 225 штук. Разницу в подсчетах можно объяснить разными методиками, кроме того, любая статистика будет «приблизительной», поскольку не все утечки попадают в общий доступ, поясняет начальник отдела по ИБ компании «Код безопасности» Алексей Коробченко. «Злоумышленники особенно активно используют уязвимости в легитимном ПО. Например, браузеры на базе Chrome, мессенджер Telegram, Linux. Если говорить о вредоносном ПО, то чаще всего хакеры использовали трояны-стилеры, например Lumma Stealer, программы-вымогатели и различные бэкдоры»,— напоминает он.
Коммерсантъ
Хакеры власть не признают
Более 70% утечек данных в России за год пришлось на госсектор
Россия под атакой: Самые атакуемые сферы в России это ИТ, телекоммуникации и розничная торговля
22 декабря. / C.NEWS /. В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда ИТ-сервисы и даже ИТ-инфраструктура компаний оказывались недоступны или были полностью уничтожены. По данным экспертов Bi.Zone, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
Отрасли в зоне риска
Эксперты Bi.Zone 22 декабря 2025 г. назвали самые атакуемые хакерами сферы в России, об этом CNews сообщили представители Bi.Zone. По данным экспертов, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда онлайн-сервисы и ИТ-инфраструктура у бизнеса оказывались недоступны или были полностью уничтожены. «Мы фиксируем все более частое использование вайперов — разрушительных ИТ-инструментов, которые полностью уничтожают данные и сетевое оборудование», — пояснил руководитель управления по борьбе с киберугрозами Bi.Zone Михаил Прохоренко.
Со слов экспертов кибербезопасности, в уходящем году ритейл также стал лидером по утечкам данных: почти 40% всех случаев. Причиной инцидентов в большинстве случаев является устаревшая ИТ-инфраструктура и слабое сегментирование сетей.
За ИТ-отраслью следует розничная торговля с долей 26% от общего количества киберрасследований. ИТ-специалисты по информационной безопасности (ИБ) отмечают, что злоумышленники проявляют интерес даже к небольшим компаниям этого сектора. Такие компании часто выступают подрядчиками крупных организаций и могут служить точкой входа в интранет более защищенных структур.
Увеличилась скрытность
ИБ-специалисты фиксируют рост среднего срока скрытого пребывания злоумышленников в корпоративных сетях. Если в 2024 г. этот показатель составлял 25 дней, то в декабре 2025 г. он увеличился до 42 дней.
По данным Bi.Zone, в 2025 г. минимальное время развития кибератаки от момента скрытого проникновения в ресурсы компании до начала активного взлома составило 12,5 минуты. Максимальный же зафиксированный период достиг 181 дня т.е. почти пол года.
Кибератаки на предприятия
По данным Bi.Zone и Curator, в I квартале 2025 г. на промышленные компании пришлось от 6 до 11% всех целевых кибератак на российские организации, о чем информировал CNews.
В то же время специалисты сервиса Anti-DDoS группы компаний «Солар» с января по апрель 2025 г. зафиксировали 4,6 тыс. DDoS-атак, направленных на предприятия промышленного сектора.
В среднем на одну компанию пришлось 72 атаки — это почти на 42% меньше, чем за аналогичный период 2024 г., и на 53% меньше по сравнению с тем же отрезком 2023 г. В 57% случаев атаки на промышленные компании совершались с целью шпионажа, а в 43% — с целью финансовой выгоды, уточнял представитель Bi.Zone.
По оценке аналитиков, выкуп, запрашиваемый вымогателями, в 2024 г. для крупных и средних предприятий начинался от 5 млн руб. Как предупредили эксперты по кибербезопасности, если раньше в действиях хакеров преобладали финансовые цели, то в 2025 г. растет доля кибератак с политической подоплекой и шпионажем, что является следствием глобального переустройства мира.
22 декабря. / C.NEWS /. В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда ИТ-сервисы и даже ИТ-инфраструктура компаний оказывались недоступны или были полностью уничтожены. По данным экспертов Bi.Zone, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
Отрасли в зоне риска
Эксперты Bi.Zone 22 декабря 2025 г. назвали самые атакуемые хакерами сферы в России, об этом CNews сообщили представители Bi.Zone. По данным экспертов, на долю отрасли пришелся 31% всех обращений о таких ИТ-инцидентах.
В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда онлайн-сервисы и ИТ-инфраструктура у бизнеса оказывались недоступны или были полностью уничтожены. «Мы фиксируем все более частое использование вайперов — разрушительных ИТ-инструментов, которые полностью уничтожают данные и сетевое оборудование», — пояснил руководитель управления по борьбе с киберугрозами Bi.Zone Михаил Прохоренко.
Со слов экспертов кибербезопасности, в уходящем году ритейл также стал лидером по утечкам данных: почти 40% всех случаев. Причиной инцидентов в большинстве случаев является устаревшая ИТ-инфраструктура и слабое сегментирование сетей.
За ИТ-отраслью следует розничная торговля с долей 26% от общего количества киберрасследований. ИТ-специалисты по информационной безопасности (ИБ) отмечают, что злоумышленники проявляют интерес даже к небольшим компаниям этого сектора. Такие компании часто выступают подрядчиками крупных организаций и могут служить точкой входа в интранет более защищенных структур.
Увеличилась скрытность
ИБ-специалисты фиксируют рост среднего срока скрытого пребывания злоумышленников в корпоративных сетях. Если в 2024 г. этот показатель составлял 25 дней, то в декабре 2025 г. он увеличился до 42 дней.
По данным Bi.Zone, в 2025 г. минимальное время развития кибератаки от момента скрытого проникновения в ресурсы компании до начала активного взлома составило 12,5 минуты. Максимальный же зафиксированный период достиг 181 дня т.е. почти пол года.
Кибератаки на предприятия
По данным Bi.Zone и Curator, в I квартале 2025 г. на промышленные компании пришлось от 6 до 11% всех целевых кибератак на российские организации, о чем информировал CNews.
В то же время специалисты сервиса Anti-DDoS группы компаний «Солар» с января по апрель 2025 г. зафиксировали 4,6 тыс. DDoS-атак, направленных на предприятия промышленного сектора.
В среднем на одну компанию пришлось 72 атаки — это почти на 42% меньше, чем за аналогичный период 2024 г., и на 53% меньше по сравнению с тем же отрезком 2023 г. В 57% случаев атаки на промышленные компании совершались с целью шпионажа, а в 43% — с целью финансовой выгоды, уточнял представитель Bi.Zone.
По оценке аналитиков, выкуп, запрашиваемый вымогателями, в 2024 г. для крупных и средних предприятий начинался от 5 млн руб. Как предупредили эксперты по кибербезопасности, если раньше в действиях хакеров преобладали финансовые цели, то в 2025 г. растет доля кибератак с политической подоплекой и шпионажем, что является следствием глобального переустройства мира.
CNews.ru
Россия под атакой: Самые атакуемые сферы в России это ИТ, телекоммуникации и розничная торговля - CNews
В России в 2025 г. на ритейл пришлось больше всего хакерских кибератак с высоким уровнем ущерба, когда ИТ-сервисы и даже ИТ-инфраструктура компаний оказывались недоступны или были полностью...
🔸ФСТЭК определила угрозы безопасности от искусственного интеллекта
23 декабря. / ВЕДОМОСТИ /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) впервые внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом (ИИ), следует из сообщения на сайте регулятора.
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. Это, в частности, модели машинного обучения, наборы обучающих данных (датасеты), а также RAG (Retrieval Augmented Generation – подход, при котором ответ генерируется на основе данных, полученных из внешних источников) и LoRA-адаптеры (Low-Rank Adaptation – подход, который позволяет адаптировать большие модели к конкретным задачам).
Также в разделе описаны векторы возможных атак, например эксплуатация уязвимостей в фреймворках (шаблонах) для ИИ, модификация системных промптов (запросов) или конфигураций агентов, а также DoS-атаки (атака, при которой используется одно устройство), направленные на исчерпание квоты запросов.
23 декабря. / ВЕДОМОСТИ /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) впервые внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом (ИИ), следует из сообщения на сайте регулятора.
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. Это, в частности, модели машинного обучения, наборы обучающих данных (датасеты), а также RAG (Retrieval Augmented Generation – подход, при котором ответ генерируется на основе данных, полученных из внешних источников) и LoRA-адаптеры (Low-Rank Adaptation – подход, который позволяет адаптировать большие модели к конкретным задачам).
Также в разделе описаны векторы возможных атак, например эксплуатация уязвимостей в фреймворках (шаблонах) для ИИ, модификация системных промптов (запросов) или конфигураций агентов, а также DoS-атаки (атака, при которой используется одно устройство), направленные на исчерпание квоты запросов.
Ведомости
ФСТЭК определила угрозы безопасности от искусственного интеллекта
Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры
Google Chrome хуже других браузеров защищает приватность пользователей
23 декабря. / CYBER MEDIA /. Отчёт Digitain о приватности браузеров показал, что Google Chrome входит в число решений с наименее эффективной защитой пользовательских данных.
По результатам тестирования Chrome получил 76 баллов из 99 по показателю Privacy Risk Score, где более высокое значение означает больший риск для конфиденциальности. Это один из самых высоких показателей риска среди популярных браузеров.
В части защиты от фингерпринтинга Chrome набрал 68 баллов, что указывает на частичную способность противостоять идентификации устройства по техническим параметрам. При этом в категории блокировки трекеров браузер получил 0 баллов, фактически не ограничивая сбор данных о действиях пользователя сторонними сервисами.
Для сравнения, ряд альтернативных браузеров показал более низкие показатели риска за счёт встроенной блокировки трекеров и дополнительных механизмов защиты. В отчёте указано, что именно отсутствие таких механизмов у Chrome значительно снижает уровень приватности.
Авторы исследования отмечают, что популярность браузера не коррелирует с уровнем защиты данных. Используемая в Chrome модель обработки пользовательской информации и тесная интеграция с рекламной экосистемой делают его менее устойчивым к отслеживанию.
Вывод отчёта сводится к тому, что пользователям, для которых конфиденциальность является приоритетом, стоит учитывать эти показатели при выборе браузера и обращать внимание на решения с более низким уровнем Privacy Risk Score.
23 декабря. / CYBER MEDIA /. Отчёт Digitain о приватности браузеров показал, что Google Chrome входит в число решений с наименее эффективной защитой пользовательских данных.
По результатам тестирования Chrome получил 76 баллов из 99 по показателю Privacy Risk Score, где более высокое значение означает больший риск для конфиденциальности. Это один из самых высоких показателей риска среди популярных браузеров.
В части защиты от фингерпринтинга Chrome набрал 68 баллов, что указывает на частичную способность противостоять идентификации устройства по техническим параметрам. При этом в категории блокировки трекеров браузер получил 0 баллов, фактически не ограничивая сбор данных о действиях пользователя сторонними сервисами.
Для сравнения, ряд альтернативных браузеров показал более низкие показатели риска за счёт встроенной блокировки трекеров и дополнительных механизмов защиты. В отчёте указано, что именно отсутствие таких механизмов у Chrome значительно снижает уровень приватности.
Авторы исследования отмечают, что популярность браузера не коррелирует с уровнем защиты данных. Используемая в Chrome модель обработки пользовательской информации и тесная интеграция с рекламной экосистемой делают его менее устойчивым к отслеживанию.
Вывод отчёта сводится к тому, что пользователям, для которых конфиденциальность является приоритетом, стоит учитывать эти показатели при выборе браузера и обращать внимание на решения с более низким уровнем Privacy Risk Score.
В России резко выросло число DDoS-атак мощностью более 2 Тбит/с
23 декабря. / CYBER MEDIA /. Компания StormWall зафиксировала резкий рост гиперобъемных DDoS-атак в России с использованием ботнета Aisuru. По данным аналитиков, с 1 по 30 ноября 2025 года количество инцидентов мощностью свыше 2 Тбит/с увеличилось в 2,5 раза по сравнению с октябрем.
Основу атак составляет ботнет Aisuru, включающий от 1 до 4 млн зараженных устройств. В основном это роутеры и IoT-устройства, взломанные через уязвимости и слабые пароли. Часть из них используется как residential proxy, что позволяет маскировать вредоносный трафик под активность обычных домашних пользователей и осложняет фильтрацию атак.
Наиболее пострадавшими от атак мощностью более 2 Тбит/с в ноябре стали финансовые организации и e-commerce. На финансовый сектор пришлось 50% инцидентов - атаки были направлены на мобильные банки, платежные шлюзы и ипотечные сервисы. Электронная коммерция заняла 30% - под ударом оказались корзины онлайн-магазинов, платежные системы и API. Также пострадали телеком-сфера с долей 9 процентов и логистика с долей 7%.
Мощность атак с использованием Aisuru в ноябре выросла в 3 раза по сравнению с октябрем и в ряде случаев превышала 2 Тбит/с. Максимальный зафиксированный показатель составил 2,26 Тбит/с. За счет роста мощности эффективность подобных атак увеличилась на 120%, а средняя продолжительность сложных целевых инцидентов достигала 4-6 часов.
Злоумышленники активно применяли HTTPS-флуды и многовекторные атаки, а также новую тактику, получившую название «терабитный каскад» - последовательное наращивание мощности от 500 Гбит/с до более чем 2 Тбит/с. Такие атаки вызывали не только сбои в работе корпоративных систем, но и перегрузки инфраструктуры интернет-провайдеров.
В первой половине декабря 2025 года число атак мощностью более 2 Тбит/с выросло еще на 32% по сравнению с первой половиной ноября. Эксперты предупреждают, что в предновогодний период основной целью может стать онлайн-ритейл, а в перспективе пиковая мощность DDoS-инцидентов в России способна достигать 10-15 Тбит/с.
23 декабря. / CYBER MEDIA /. Компания StormWall зафиксировала резкий рост гиперобъемных DDoS-атак в России с использованием ботнета Aisuru. По данным аналитиков, с 1 по 30 ноября 2025 года количество инцидентов мощностью свыше 2 Тбит/с увеличилось в 2,5 раза по сравнению с октябрем.
Основу атак составляет ботнет Aisuru, включающий от 1 до 4 млн зараженных устройств. В основном это роутеры и IoT-устройства, взломанные через уязвимости и слабые пароли. Часть из них используется как residential proxy, что позволяет маскировать вредоносный трафик под активность обычных домашних пользователей и осложняет фильтрацию атак.
Наиболее пострадавшими от атак мощностью более 2 Тбит/с в ноябре стали финансовые организации и e-commerce. На финансовый сектор пришлось 50% инцидентов - атаки были направлены на мобильные банки, платежные шлюзы и ипотечные сервисы. Электронная коммерция заняла 30% - под ударом оказались корзины онлайн-магазинов, платежные системы и API. Также пострадали телеком-сфера с долей 9 процентов и логистика с долей 7%.
Мощность атак с использованием Aisuru в ноябре выросла в 3 раза по сравнению с октябрем и в ряде случаев превышала 2 Тбит/с. Максимальный зафиксированный показатель составил 2,26 Тбит/с. За счет роста мощности эффективность подобных атак увеличилась на 120%, а средняя продолжительность сложных целевых инцидентов достигала 4-6 часов.
Злоумышленники активно применяли HTTPS-флуды и многовекторные атаки, а также новую тактику, получившую название «терабитный каскад» - последовательное наращивание мощности от 500 Гбит/с до более чем 2 Тбит/с. Такие атаки вызывали не только сбои в работе корпоративных систем, но и перегрузки инфраструктуры интернет-провайдеров.
В первой половине декабря 2025 года число атак мощностью более 2 Тбит/с выросло еще на 32% по сравнению с первой половиной ноября. Эксперты предупреждают, что в предновогодний период основной целью может стать онлайн-ритейл, а в перспективе пиковая мощность DDoS-инцидентов в России способна достигать 10-15 Тбит/с.
Ничего святого. В онлайн-заказах начали подменять современную оперативную память на древнюю. Может коснуться каждого
23 декабря. / C.NEWS /. Зафиксированы первые случаи подмены оперативной памяти DDR5 на устаревшую DDR4 при заказе на крупных маркетплейсах. Пока это касается только Amazon, который не работает в России, но схема запросто может распространиться на весь мир на фоне глобального дефицита оперативной памяти и стремительного роста цен на нее, особенно на DDR5.
Кручу-верчу, оперативную память хочу
Пользователь американского интернет-магазина Amazon столкнулся с новым видом мошенничества – неизвестные подменили заказанную им современную оперативную память DDR5 на чипы предыдущего поколения DDR4, пишет Tom’s Hardware. Планки DDR4 во-первых, несовместимы со слотом DDR5, во-вторых, работают гораздо медленнее.
Чтобы пользователь раскрыл схему лишь после того, как распаковал упаковку и попытался вставить планки в компьютер, мошенники скрыли маркировку на модулях памяти под радиатором. Таким образом, отличить планки DDR4 от DDR5 стало почти невозможно – подлог заметит лишь тот, кто отчетливо понимает, как физически отличаются слоты под эти стандарты памяти.
Кто пострадал
История с Amazon приключилась в европейском филиале этого маркетплейса, вероятнее всего, в британском, так как все суммы указаны в фунтах стерлингов. Ее в красках описал пользователь Reddit под псевдонмом Leading-Growth-3861, ставший ее главным героем.
По его словам, у него есть полностью собранный ПК, и он решил улучшить его, добавив немного оперативной памяти.
Для этого он зашел на Amazon и заказал там планки DDR5 – только они подходят к материнской плате его компьютера. Получив заказ, Leading-Growth-3861 попытался вставить ОЗУ в слоты на системной плате и потерпел неудачу – приобретенные им планки не подошли физически.
В этот момент он понял, что произошло: кто-то вынул модули DDR5 из упаковки, снял с них оригинальные радиаторы и надел их на планки DDR4, чтобы все выглядело как новое. Отметим, что современный рынок предлагает множество кастомных радиаторов охлаждения для ОЗУ, так что мошенник почти ничего не потерял, решившись на такой маневр.
23 декабря. / C.NEWS /. Зафиксированы первые случаи подмены оперативной памяти DDR5 на устаревшую DDR4 при заказе на крупных маркетплейсах. Пока это касается только Amazon, который не работает в России, но схема запросто может распространиться на весь мир на фоне глобального дефицита оперативной памяти и стремительного роста цен на нее, особенно на DDR5.
Кручу-верчу, оперативную память хочу
Пользователь американского интернет-магазина Amazon столкнулся с новым видом мошенничества – неизвестные подменили заказанную им современную оперативную память DDR5 на чипы предыдущего поколения DDR4, пишет Tom’s Hardware. Планки DDR4 во-первых, несовместимы со слотом DDR5, во-вторых, работают гораздо медленнее.
Чтобы пользователь раскрыл схему лишь после того, как распаковал упаковку и попытался вставить планки в компьютер, мошенники скрыли маркировку на модулях памяти под радиатором. Таким образом, отличить планки DDR4 от DDR5 стало почти невозможно – подлог заметит лишь тот, кто отчетливо понимает, как физически отличаются слоты под эти стандарты памяти.
Кто пострадал
История с Amazon приключилась в европейском филиале этого маркетплейса, вероятнее всего, в британском, так как все суммы указаны в фунтах стерлингов. Ее в красках описал пользователь Reddit под псевдонмом Leading-Growth-3861, ставший ее главным героем.
По его словам, у него есть полностью собранный ПК, и он решил улучшить его, добавив немного оперативной памяти.
Для этого он зашел на Amazon и заказал там планки DDR5 – только они подходят к материнской плате его компьютера. Получив заказ, Leading-Growth-3861 попытался вставить ОЗУ в слоты на системной плате и потерпел неудачу – приобретенные им планки не подошли физически.
В этот момент он понял, что произошло: кто-то вынул модули DDR5 из упаковки, снял с них оригинальные радиаторы и надел их на планки DDR4, чтобы все выглядело как новое. Отметим, что современный рынок предлагает множество кастомных радиаторов охлаждения для ОЗУ, так что мошенник почти ничего не потерял, решившись на такой маневр.
CNews.ru
Ничего святого. В онлайн-заказах начали подменять современную оперативную память на древнюю. Может коснуться каждого - CNews
Зафиксированы первые случаи подмены оперативной памяти DDR5 на устаревшую DDR4 при заказе на крупных маркетплейсах. Пока это касается только Amazon, который не работает в России, но схема запросто...
Три четверти кибератак в России в 2025 году были критическими
24 декабря. / КОММЕРСАНТ /. В 2025 году киберпреступники вместо демонстративных атак и кражи данных стали все чаще стремиться к полному уничтожению IT-инфраструктуры компаний для вымогательства или саботажа. На такие атаки приходилось более 70% критических инцидентов в 2025 году, при этом суммы выкупов достигали рекордных 500 млн руб. Причины уязвимостей в инфраструктуре компаний остаются прежними: человеческий фактор, халатность и неготовность бизнеса к фундаментальным инвестициям в безопасность.
В 2025 году акцент злоумышленников, атакующих российские компании, сместился с дефейсов (подмена надписи или изображения на сайте), хищения данных и DDoS-атак на полное уничтожение инфраструктуры с целью вымогательства в случае вирусов-шифровальщиков или полной остановки деятельности без возможности восстановления, выявили эксперты компании «Инфосистемы Джет». 76% критических кибератак были направлены на уничтожение инфраструктуры. Большая часть из них (44%) — это шифрование инфраструктуры (Babyk, LockBit, Zeppelin, Phobos, Enmity и пр.), 32% — разрушение инфраструктуры. Также основными трендами в 2025 году специалисты «Инфосистемы Джет» назвали более активное использование атакующими инструментов с поддержкой ИИ и коллаборации группировок.
Эксперты Лаборатории цифровой криминалистики F6 отмечают, что в текущем году прирост количества атак программ-вымогателей составил 15% по сравнению с 2024 годом. Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 млн руб. на момент атаки, порядка 384 млн на декабрь), что почти в два раза больше по сравнению с прошлым годом (240 млн руб.), отмечают в F6.
Финансовый сектор, IT и рынок недвижимости возглавили рейтинг наиболее атакуемых сфер, отмечают в «Инфосистемы Джет». При этом ключевые причины взломов остаются «классическими»: фишинг, взломы через подрядчиков, уязвимости в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая «гигиена доступа». Аудиты внешнего периметра экспертами «Инфосистемы Джет» выявили, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются учетные данные по умолчанию.
Вместо пятилетних планов CISO выбирают гибкие циклы на один-два года, отмечают эксперты «Инфосистемы Джет», а также смещают фокус на инфраструктуру, способную восстанавливаться и стать надежнее после каждой атаки. Также, по данным компании, вдвое увеличился спрос на независимые аудиты систем резервного копирования, а более 70% крупных компаний внедрили регулярные тестирования восстановления данных.
24 декабря. / КОММЕРСАНТ /. В 2025 году киберпреступники вместо демонстративных атак и кражи данных стали все чаще стремиться к полному уничтожению IT-инфраструктуры компаний для вымогательства или саботажа. На такие атаки приходилось более 70% критических инцидентов в 2025 году, при этом суммы выкупов достигали рекордных 500 млн руб. Причины уязвимостей в инфраструктуре компаний остаются прежними: человеческий фактор, халатность и неготовность бизнеса к фундаментальным инвестициям в безопасность.
В 2025 году акцент злоумышленников, атакующих российские компании, сместился с дефейсов (подмена надписи или изображения на сайте), хищения данных и DDoS-атак на полное уничтожение инфраструктуры с целью вымогательства в случае вирусов-шифровальщиков или полной остановки деятельности без возможности восстановления, выявили эксперты компании «Инфосистемы Джет». 76% критических кибератак были направлены на уничтожение инфраструктуры. Большая часть из них (44%) — это шифрование инфраструктуры (Babyk, LockBit, Zeppelin, Phobos, Enmity и пр.), 32% — разрушение инфраструктуры. Также основными трендами в 2025 году специалисты «Инфосистемы Джет» назвали более активное использование атакующими инструментов с поддержкой ИИ и коллаборации группировок.
Эксперты Лаборатории цифровой криминалистики F6 отмечают, что в текущем году прирост количества атак программ-вымогателей составил 15% по сравнению с 2024 годом. Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 млн руб. на момент атаки, порядка 384 млн на декабрь), что почти в два раза больше по сравнению с прошлым годом (240 млн руб.), отмечают в F6.
Финансовый сектор, IT и рынок недвижимости возглавили рейтинг наиболее атакуемых сфер, отмечают в «Инфосистемы Джет». При этом ключевые причины взломов остаются «классическими»: фишинг, взломы через подрядчиков, уязвимости в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая «гигиена доступа». Аудиты внешнего периметра экспертами «Инфосистемы Джет» выявили, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются учетные данные по умолчанию.
Вместо пятилетних планов CISO выбирают гибкие циклы на один-два года, отмечают эксперты «Инфосистемы Джет», а также смещают фокус на инфраструктуру, способную восстанавливаться и стать надежнее после каждой атаки. Также, по данным компании, вдвое увеличился спрос на независимые аудиты систем резервного копирования, а более 70% крупных компаний внедрили регулярные тестирования восстановления данных.
Коммерсантъ
Взломом подпоясанные
Три четверти кибератак в России в 2025 году были критическими
Вокруг приказа ФСТЭК №117 сейчас много обсуждений — и это понятно.
Документ заметно меняет привычный подход к защите информации в ГИС и ИС госорганов: вместо разовых проверок — постоянные процессы, вместо формального соответствия — управляемая и измеримая ИБ.
В требованиях много практики:
● уязвимости и обновления,
● мониторинг событий,
● контроль конфигураций и доступа,
● работа с подрядчиками,
● безопасная разработка.
Отдельный блок — про корректное и безопасное использование ИИ, чего раньше в регулировании просто не было.
«Лаборатория Касперского» разобрала требования №117 приказа и подготовила памятку, где сформированы предложения по техническим средствам, реализующим меры по защите информации — без пересказа нормативки и без абстрактной теории.
Если вы в череде дел еще помните, что 2026 год когда-нибудь наступит, документ будет вам полезен!
Документ заметно меняет привычный подход к защите информации в ГИС и ИС госорганов: вместо разовых проверок — постоянные процессы, вместо формального соответствия — управляемая и измеримая ИБ.
В требованиях много практики:
● уязвимости и обновления,
● мониторинг событий,
● контроль конфигураций и доступа,
● работа с подрядчиками,
● безопасная разработка.
Отдельный блок — про корректное и безопасное использование ИИ, чего раньше в регулировании просто не было.
«Лаборатория Касперского» разобрала требования №117 приказа и подготовила памятку, где сформированы предложения по техническим средствам, реализующим меры по защите информации — без пересказа нормативки и без абстрактной теории.
Если вы в череде дел еще помните, что 2026 год когда-нибудь наступит, документ будет вам полезен!
ФСТЭК опубликовала список угроз искусственного интеллекта
23 декабря. / ITINFO MEDIA /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) составила перечень опасностей, которые несут системы искусственного интеллекта.
Список содержит элементы ИИ, которые могут стать мишенями для злоумышленников. В него вошли модели машинного обучения, наборы данных для их обучения, технология RAG и адаптеры LoRA. RAG помогает ИИ искать ответы в сторонних источниках, а LoRA позволяет подстраивать большие модели под узкие задачи.
Также описаны способы возможных атак. К ним относят использование ошибок в программных платформах для ИИ, изменение служебных запросов или настроек автоматических агентов. Еще одной угрозой названы атаки на отказ в обслуживании, которые исчерпывают лимит запросов к системе и выводят ее из строя.
23 декабря. / ITINFO MEDIA /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) составила перечень опасностей, которые несут системы искусственного интеллекта.
Список содержит элементы ИИ, которые могут стать мишенями для злоумышленников. В него вошли модели машинного обучения, наборы данных для их обучения, технология RAG и адаптеры LoRA. RAG помогает ИИ искать ответы в сторонних источниках, а LoRA позволяет подстраивать большие модели под узкие задачи.
Также описаны способы возможных атак. К ним относят использование ошибок в программных платформах для ИИ, изменение служебных запросов или настроек автоматических агентов. Еще одной угрозой названы атаки на отказ в обслуживании, которые исчерпывают лимит запросов к системе и выводят ее из строя.
Forwarded from Правительство России
Media is too big
VIEW IN TELEGRAM
Правительство направило в Госдуму второй пакет мер против кибермошенников
Документ включает порядка 20 инициатив, среди которых:
✔️Операторы связи, банки и госорганы смогут обменяться информацией о мошеннических вызовах с помощью платформы «Антифрод».
✔️Усовершенствуются процедуры авторизации на портале госуслуг, чтобы мошенникам было сложнее получить доступ к учетной записи гражданина.
✔️Фишинговые сайты и сайты, распространяющие вредоносное ПО, будут блокировать во внесудебном порядке.
💬 Нужно и далее продолжить проработку эффективных способов и инструментов − организационных, нормативных, технических − для борьбы с дистанционным хищением средств. Важно, чтобы добропорядочные граждане были защищены от мошенничества💬 , − поставил задачу Михаил Мишустин.
🇷🇺 Подписаться на Правительство России в MAX
Документ включает порядка 20 инициатив, среди которых:
✔️Операторы связи, банки и госорганы смогут обменяться информацией о мошеннических вызовах с помощью платформы «Антифрод».
✔️Усовершенствуются процедуры авторизации на портале госуслуг, чтобы мошенникам было сложнее получить доступ к учетной записи гражданина.
✔️Фишинговые сайты и сайты, распространяющие вредоносное ПО, будут блокировать во внесудебном порядке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Четверть крупнейших компаний России тратит на ИБ более 100 млн руб. в год
24 декабря. / C.NEWS /. MWS Cloud, входит в МТС Web Services, провела исследование ИТ рынка России. Согласно его результатам, сегмент крупнейшего отечественного бизнеса в 24% случаев тратит на информационную безопасность (ИБ) более 100 млн руб. в год. Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Об этом CNews сообщили представители МТС.
Данные получены на основе опроса и последующей серии интервью представителей 700 компаний В опросе принимали участие специалисты, компетентные в вопросах цифрового развития в соответствующих компаниях: более половины опрошенных составили представители высшего менеджмента компаний.
Инвестиции в ИБ зависят от величины бизнеса. В крупнейшем сегменте 24% компаний тратят на кибербезопасность более 100 млн руб. в год. В среднем бизнесе более 10 млн руб. на ИБ тратят лишь 8% компаний, 56% опрошенных инвестируют в защищенность от 500 тыс. до 10 млн руб. В микро и малом бизнесе инвестиции в ИБ более 10 млн руб. есть лишь у 4% опрошенных, 34% тратят на кибербезопасность от 500 тыс. до 10 млн руб., но в основном затраты не превышают 500 тыс. руб.
Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Компании из данных отраслей более чем в четверти случаев инвестируют в ИБ более 10 млн руб. Также активно инвестируют в ИБ компании из здравоохранения, ритейла, а также сферы науки и образования.
Компании все чаще диверсифицируют риски, привлекая нескольких внедоров: 28% предприятий пользуются услугами двух ИБ компаний, 39% – трех и более. При этом чем больше заказчик, тем большим числом вендоров она пользуется. В крупнейшем сегменте услугами одного ИБ вендора пользуются лишь четверть компаний, а трех и более – 52%. В среднем бизнесе с одной ИБ компанией работает уже 38% заказчиков, а с тремя и более – 35%, в микро и малом бизнесе это соотношение достигает 43% и 25%.
24 декабря. / C.NEWS /. MWS Cloud, входит в МТС Web Services, провела исследование ИТ рынка России. Согласно его результатам, сегмент крупнейшего отечественного бизнеса в 24% случаев тратит на информационную безопасность (ИБ) более 100 млн руб. в год. Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Об этом CNews сообщили представители МТС.
Данные получены на основе опроса и последующей серии интервью представителей 700 компаний В опросе принимали участие специалисты, компетентные в вопросах цифрового развития в соответствующих компаниях: более половины опрошенных составили представители высшего менеджмента компаний.
Инвестиции в ИБ зависят от величины бизнеса. В крупнейшем сегменте 24% компаний тратят на кибербезопасность более 100 млн руб. в год. В среднем бизнесе более 10 млн руб. на ИБ тратят лишь 8% компаний, 56% опрошенных инвестируют в защищенность от 500 тыс. до 10 млн руб. В микро и малом бизнесе инвестиции в ИБ более 10 млн руб. есть лишь у 4% опрошенных, 34% тратят на кибербезопасность от 500 тыс. до 10 млн руб., но в основном затраты не превышают 500 тыс. руб.
Более всего тратят на ИБ компании из сферы ИТ, развлечения и медиа, финансов и добычи полезных ископаемых. Компании из данных отраслей более чем в четверти случаев инвестируют в ИБ более 10 млн руб. Также активно инвестируют в ИБ компании из здравоохранения, ритейла, а также сферы науки и образования.
Компании все чаще диверсифицируют риски, привлекая нескольких внедоров: 28% предприятий пользуются услугами двух ИБ компаний, 39% – трех и более. При этом чем больше заказчик, тем большим числом вендоров она пользуется. В крупнейшем сегменте услугами одного ИБ вендора пользуются лишь четверть компаний, а трех и более – 52%. В среднем бизнесе с одной ИБ компанией работает уже 38% заказчиков, а с тремя и более – 35%, в микро и малом бизнесе это соотношение достигает 43% и 25%.
CNews.ru
Четверть крупнейших компаний России тратит на ИБ более 100 млн руб. в год - CNews
MWS Cloud, входит в МТС Web Services, провела исследование ИТ рынка России. Согласно его результатам, сегмент крупнейшего...
После летней кибератаки в «Аэрофлоте» сменился глава IT-блока
25 декабря. / КОММЕРСАНТ /. Летняя масштабная кибератака на «Аэрофлот» (MOEX: AFLT), как выяснил “Ъ”, привела к первым кадровым последствиям. Пост покинул замгендиректора авиакомпании по информационным технологиям Антон Мацкевич — как подчеркивают в «Аэрофлоте», по собственному желанию. Большинство собеседников “Ъ” считают, что топ-менеджер такого уровня не мог сохранить должность после резонансной атаки, и ожидали его отставки еще летом. Но другие отмечают, что сложность кибератак на авиацию во всем мире растет и от них не застрахован ни один IT-руководитель.
Как выяснил “Ъ”, Антон Мацкевич, с 2022 года занимавший должность замгендиректора по информационным технологиям и информбезопасности «Аэрофлота», покинул свой пост. По словам двух источников “Ъ” в авиаотрасли, руководителя IT-блока уволили в середине декабря. Однако в «Аэрофлоте», где “Ъ” подтвердили его уход, подчеркивают, что он покинул компанию по собственному желанию.
В авиакомпании сообщили, что сейчас обязанности замгендиректора по IT и ИБ исполняет назначенный директором департамента информационных систем «Аэрофлота» Денис Попов, ранее возглавлявший дочернюю IT-компанию «АФЛТ-Системс». Новый руководитель, добавили в «Аэрофлоте», «имеет все необходимые навыки и опыт в разработке и внедрении цифровых проектов в компаниях группы». В компании также отметили, что при Антоне Мацкевиче в компании произошел «существенный рывок в развитии IT-направления компании в части импортозамещения и реализации стратегии цифровой трансформации группы».
Собеседники “Ъ” в авиаотрасли единогласно связывают произошедшую перестановку с последствиями хакерской атаки 28 июля, ставшей самым резонансным киберинцидентом в России (см. “Ъ” от 28 июля). В этот день перевозчик отменил 54 парных рейса (туда-обратно) из 206 через базовый для себя аэропорт Шереметьево, ответственность на себя взяли две хакерские группировки из Украины и Белоруссии. «Аэрофлот» оперативно стабилизировал рейсы и уже 30 июля полностью возобновил полеты по расписанию, но доступ в личный кабинет для участников программы лояльности удалось восстановить только к середине августа.
В то же время еще несколько опрошенных “Ъ” IT-экспертов в авиации подчеркивают, что ни один топ-менеджер не может быть полностью застрахован от повторения такой ситуации, поскольку количество кибератак на авиацию в мире выросло в семь раз, их сложность прогрессирует (см. “Ъ” от 19 декабря). Два IT-специалиста считают смену главы IT-сектора потенциально преждевременной, поскольку в компаниях масштаба «Аэрофлота» полноценное погружение нового руководителя в процессы потребует месяцы, тогда как действующий глава должен был довести процесс «полноценного восстановления систем до конца».
25 декабря. / КОММЕРСАНТ /. Летняя масштабная кибератака на «Аэрофлот» (MOEX: AFLT), как выяснил “Ъ”, привела к первым кадровым последствиям. Пост покинул замгендиректора авиакомпании по информационным технологиям Антон Мацкевич — как подчеркивают в «Аэрофлоте», по собственному желанию. Большинство собеседников “Ъ” считают, что топ-менеджер такого уровня не мог сохранить должность после резонансной атаки, и ожидали его отставки еще летом. Но другие отмечают, что сложность кибератак на авиацию во всем мире растет и от них не застрахован ни один IT-руководитель.
Как выяснил “Ъ”, Антон Мацкевич, с 2022 года занимавший должность замгендиректора по информационным технологиям и информбезопасности «Аэрофлота», покинул свой пост. По словам двух источников “Ъ” в авиаотрасли, руководителя IT-блока уволили в середине декабря. Однако в «Аэрофлоте», где “Ъ” подтвердили его уход, подчеркивают, что он покинул компанию по собственному желанию.
В авиакомпании сообщили, что сейчас обязанности замгендиректора по IT и ИБ исполняет назначенный директором департамента информационных систем «Аэрофлота» Денис Попов, ранее возглавлявший дочернюю IT-компанию «АФЛТ-Системс». Новый руководитель, добавили в «Аэрофлоте», «имеет все необходимые навыки и опыт в разработке и внедрении цифровых проектов в компаниях группы». В компании также отметили, что при Антоне Мацкевиче в компании произошел «существенный рывок в развитии IT-направления компании в части импортозамещения и реализации стратегии цифровой трансформации группы».
Собеседники “Ъ” в авиаотрасли единогласно связывают произошедшую перестановку с последствиями хакерской атаки 28 июля, ставшей самым резонансным киберинцидентом в России (см. “Ъ” от 28 июля). В этот день перевозчик отменил 54 парных рейса (туда-обратно) из 206 через базовый для себя аэропорт Шереметьево, ответственность на себя взяли две хакерские группировки из Украины и Белоруссии. «Аэрофлот» оперативно стабилизировал рейсы и уже 30 июля полностью возобновил полеты по расписанию, но доступ в личный кабинет для участников программы лояльности удалось восстановить только к середине августа.
В то же время еще несколько опрошенных “Ъ” IT-экспертов в авиации подчеркивают, что ни один топ-менеджер не может быть полностью застрахован от повторения такой ситуации, поскольку количество кибератак на авиацию в мире выросло в семь раз, их сложность прогрессирует (см. “Ъ” от 19 декабря). Два IT-специалиста считают смену главы IT-сектора потенциально преждевременной, поскольку в компаниях масштаба «Аэрофлота» полноценное погружение нового руководителя в процессы потребует месяцы, тогда как действующий глава должен был довести процесс «полноценного восстановления систем до конца».
Коммерсантъ
Сбитый айтишник
После летней кибератаки в «Аэрофлоте» сменился глава IT-блока
В Chrome годами работали вредоносные расширения, незаметно перехватывающие данные пользователей
25 декабря. / CYBER MEDIA /. Новые вредоносные расширения для браузера Google Chrome под названием Phantom Shuttle оказались инструментами скрытого перехвата пользовательских данных. Исследователи безопасности выявили, что эти расширения на протяжении минимум 8 лет тайно перенаправляли интернет-трафик пользователей через инфраструктуру злоумышленников.
Расширения маскировались под сервисы проверки скорости сети и прокси или VPN-инструменты для разработчиков и специалистов, работающих с зарубежными платформами. Они распространялись через официальный Chrome Web Store и предлагались по платной подписке стоимостью от $1,4 до $13,6 в месяц, что создавало впечатление легального продукта.
Технический анализ показал, что Phantom Shuttle изменяли настройки прокси в браузере и получали полный доступ к HTTP- и HTTPS-трафику. В результате злоумышленники могли перехватывать логины, пароли, данные форм, сессионные cookie и API-токены. По оценке исследователей, сбор данных затрагивал более 170 популярных сайтов, включая облачные сервисы, платформы для разработчиков и социальные сети.
Вредоносная логика была скрыта внутри модифицированной библиотеки jQuery. Для подключения к прокси использовались жестко прописанные учетные данные, а расширения регулярно связывались с управляющим сервером через фоновые запросы. Активность инфраструктуры фиксировалась вплоть до 23 декабря 2025 года.
На момент публикации исследования расширения оставались доступными в магазине Chrome. Эксперты уже уведомили Google и предупреждают пользователей, что установка подобных дополнений может привести к масштабной утечке учетных данных. Специалисты рекомендуют удалить подозрительные расширения и внимательно проверять запрашиваемые разрешения, особенно если дополнение требует доступ к прокси или управлению трафиком браузера.
25 декабря. / CYBER MEDIA /. Новые вредоносные расширения для браузера Google Chrome под названием Phantom Shuttle оказались инструментами скрытого перехвата пользовательских данных. Исследователи безопасности выявили, что эти расширения на протяжении минимум 8 лет тайно перенаправляли интернет-трафик пользователей через инфраструктуру злоумышленников.
Расширения маскировались под сервисы проверки скорости сети и прокси или VPN-инструменты для разработчиков и специалистов, работающих с зарубежными платформами. Они распространялись через официальный Chrome Web Store и предлагались по платной подписке стоимостью от $1,4 до $13,6 в месяц, что создавало впечатление легального продукта.
Технический анализ показал, что Phantom Shuttle изменяли настройки прокси в браузере и получали полный доступ к HTTP- и HTTPS-трафику. В результате злоумышленники могли перехватывать логины, пароли, данные форм, сессионные cookie и API-токены. По оценке исследователей, сбор данных затрагивал более 170 популярных сайтов, включая облачные сервисы, платформы для разработчиков и социальные сети.
Вредоносная логика была скрыта внутри модифицированной библиотеки jQuery. Для подключения к прокси использовались жестко прописанные учетные данные, а расширения регулярно связывались с управляющим сервером через фоновые запросы. Активность инфраструктуры фиксировалась вплоть до 23 декабря 2025 года.
На момент публикации исследования расширения оставались доступными в магазине Chrome. Эксперты уже уведомили Google и предупреждают пользователей, что установка подобных дополнений может привести к масштабной утечке учетных данных. Специалисты рекомендуют удалить подозрительные расширения и внимательно проверять запрашиваемые разрешения, особенно если дополнение требует доступ к прокси или управлению трафиком браузера.
Финсектор отбился от хакеров
25 декабря. / КОММЕРСАНТ /. Количество атак на финансовые организации сократилось за год на 12%.
В 2025 году количество успешных атак на финсектор сократилось до минимума за четыре года — 1,07 тыс. Однако от массовых нападений злоумышленники постепенно перешли к целевым с усложненными сценариями с более высоким потенциальным результатом. В дальнейшем сложность атак будет возрастать, в том числе за счет использования искусственного интеллекта. Одновременно ИИ будет способствовать увеличению числа хакеров с низкой технической подготовкой.
По оценкам системного интегратора компании «Информзащита», в 2025 году количество успешных атак на финсектор (банки, биржи, МФО и др.) составило 1,07 тыс., сократившись по сравнению с прошлым годом на 12% и более чем в три раза по сравнению с 2022 годом. В результате их доля в общем объеме атак на финсектор составила лишь 7%, минимальное значение за четыре года.
Под успешной подразумевается любая достигшая цели атака злоумышленников. Среди них компрометация данных или учетных записей, нарушение деятельности (недоступность сайта, приложения), утечка информации, финансовый ущерб или закрепление в системе. По оценке «Информзащиты», всего за 2025 год было совершено более 15 тыс. атак на финансовые организации.
Финансовые организации — приоритетные цели для многих категорий злоумышленников. Банки, страховые, кредитные и другие организации отрасли обрабатывают значительные объемы конфиденциальных данных и играют ключевую роль в функционировании экономики государства, отмечает аналитик исследовательской группы Positive Technologies Роман Резников.
По оценке «Информзащиты», наибольшую (и возрастающую) долю в способах проведения успешных атак в уходящем году заняли социальная инженерия (53%) и вредоносное программное обеспечение (ВПО, 50%). При этом эксплуатация уязвимостей (21%), компрометация учетных данных (13%) и веб-атаки (вредоносные воздействия на веб-ресурсы, 8%) использовались реже. Злоумышленники сочетают разные типы атак, поэтому общая доля превышает 100%, поясняют эксперты.
В новом году эксперты ожидают дальнейшего усложнения атак. По словам руководителя группы расследования инцидентов Solar 4RAYS Ивана Сюхина, профессиональные группировки будут применять большие языковые модели для управления сложными атаками. Например, недавно хакеры начали использовать инструмент из более чем 150 самостоятельных ИИ-агентов, который позволяет искать уязвимости, автоматизировать создание эксплойтов (программ, которые использует ошибки в ПО) и формировать новые цепочки атак, указывает он. Будет также увеличиваться и число сгенерированных инструментов для хакеров с низкой технической подготовкой, в том числе за счет «вайб-кодинга» — генерации кода с помощью ИИ без последующей проверки и тестирования, считает господин Сюхин.
25 декабря. / КОММЕРСАНТ /. Количество атак на финансовые организации сократилось за год на 12%.
В 2025 году количество успешных атак на финсектор сократилось до минимума за четыре года — 1,07 тыс. Однако от массовых нападений злоумышленники постепенно перешли к целевым с усложненными сценариями с более высоким потенциальным результатом. В дальнейшем сложность атак будет возрастать, в том числе за счет использования искусственного интеллекта. Одновременно ИИ будет способствовать увеличению числа хакеров с низкой технической подготовкой.
По оценкам системного интегратора компании «Информзащита», в 2025 году количество успешных атак на финсектор (банки, биржи, МФО и др.) составило 1,07 тыс., сократившись по сравнению с прошлым годом на 12% и более чем в три раза по сравнению с 2022 годом. В результате их доля в общем объеме атак на финсектор составила лишь 7%, минимальное значение за четыре года.
Под успешной подразумевается любая достигшая цели атака злоумышленников. Среди них компрометация данных или учетных записей, нарушение деятельности (недоступность сайта, приложения), утечка информации, финансовый ущерб или закрепление в системе. По оценке «Информзащиты», всего за 2025 год было совершено более 15 тыс. атак на финансовые организации.
Финансовые организации — приоритетные цели для многих категорий злоумышленников. Банки, страховые, кредитные и другие организации отрасли обрабатывают значительные объемы конфиденциальных данных и играют ключевую роль в функционировании экономики государства, отмечает аналитик исследовательской группы Positive Technologies Роман Резников.
По оценке «Информзащиты», наибольшую (и возрастающую) долю в способах проведения успешных атак в уходящем году заняли социальная инженерия (53%) и вредоносное программное обеспечение (ВПО, 50%). При этом эксплуатация уязвимостей (21%), компрометация учетных данных (13%) и веб-атаки (вредоносные воздействия на веб-ресурсы, 8%) использовались реже. Злоумышленники сочетают разные типы атак, поэтому общая доля превышает 100%, поясняют эксперты.
В новом году эксперты ожидают дальнейшего усложнения атак. По словам руководителя группы расследования инцидентов Solar 4RAYS Ивана Сюхина, профессиональные группировки будут применять большие языковые модели для управления сложными атаками. Например, недавно хакеры начали использовать инструмент из более чем 150 самостоятельных ИИ-агентов, который позволяет искать уязвимости, автоматизировать создание эксплойтов (программ, которые использует ошибки в ПО) и формировать новые цепочки атак, указывает он. Будет также увеличиваться и число сгенерированных инструментов для хакеров с низкой технической подготовкой, в том числе за счет «вайб-кодинга» — генерации кода с помощью ИИ без последующей проверки и тестирования, считает господин Сюхин.
Коммерсантъ
Финсектор отбился от хакеров
Количество атак на финансовые организации сократилось за год на 12%
Вредонос WebRat распространяют через поддельные эксплойты уязвимостей на GitHub
26 декабря. / CYBER MEDIA /. Специалисты по безопасности выявили кампанию распространения вредоносного ПО WebRat через фейковые репозитории на GitHub. Злоумышленники публикуют проекты, выдавая их за рабочие эксплойты известных уязвимостей, чтобы привлечь разработчиков и ИБ-специалистов.
При загрузке и запуске «эксплойта» на систему устанавливается WebRat - троян с функциями удаленного управления. Вредонос собирает информацию о системе, позволяет выполнять команды, загружать дополнительные модули и передавать данные на сервер управления.
Анализ показал, что WebRat использует модульную архитектуру и легитимные системные утилиты, что помогает ему обходить базовые средства защиты. Кампания нацелена как на Windows, так и на Linux-системы.
Эксперты предупреждают, что GitHub все чаще используется как канал доставки вредоносного ПО, и рекомендуют проверять происхождение репозиториев и не запускать код из непроверенных источников, даже если он заявлен как эксплойт известной уязвимости.
26 декабря. / CYBER MEDIA /. Специалисты по безопасности выявили кампанию распространения вредоносного ПО WebRat через фейковые репозитории на GitHub. Злоумышленники публикуют проекты, выдавая их за рабочие эксплойты известных уязвимостей, чтобы привлечь разработчиков и ИБ-специалистов.
При загрузке и запуске «эксплойта» на систему устанавливается WebRat - троян с функциями удаленного управления. Вредонос собирает информацию о системе, позволяет выполнять команды, загружать дополнительные модули и передавать данные на сервер управления.
Анализ показал, что WebRat использует модульную архитектуру и легитимные системные утилиты, что помогает ему обходить базовые средства защиты. Кампания нацелена как на Windows, так и на Linux-системы.
Эксперты предупреждают, что GitHub все чаще используется как канал доставки вредоносного ПО, и рекомендуют проверять происхождение репозиториев и не запускать код из непроверенных источников, даже если он заявлен как эксплойт известной уязвимости.
Мошенники навязывают мессенджер MAX
26 декабря. / anti-malware.ru /. Мошенники активизировали продвижение мессенджера MAX, который всё чаще навязывают своим потенциальным жертвам. Основная причина такого интереса — именно MAX стал основным каналом доставки кодов подтверждения для портала «Госуслуги».
В качестве примера портал AndroidInsider привёл историю с пенсионеркой из Нижнего Тагила, о которой ранее сообщил телеграм-канал «Эксплоит».
Женщине позвонил злоумышленник, представившийся заместителем главного врача больницы, где она ранее работала. Он потребовал установить MAX, сославшись на якобы официальный документ с соответствующим предписанием. От установки приложения пенсионерку в итоге отговорили родственники.
По версии авторов «Эксплоита», целью атаки был «угон» учётной записи на «Госуслугах». Эту версию косвенно подтверждает и тот факт, что с начала декабря многие пользователи при входе на портал сталкивались с экраном, настойчиво предлагающим установить MAX — зачастую без возможности пропустить этот шаг.
В Минцифры официально признали, что интеграция с MAX была реализована для защиты от перехвата кодов подтверждения. При этом в ведомстве заверили, что возможность получения кодов по СМС сохранится для пользователей без смартфонов.
Помимо интеграции с «Госуслугами», в MAX хранятся номера документов, включая СНИЛС, ИНН, полис ОМС и паспортные данные. Эта информация также представляет интерес для мошенников.
Такие данные используются в атаках либо перепродаются на теневом рынке. Дополнительный интерес к MAX усиливает и анонсированная интеграция мессенджера с банковскими сервисами.
Параллельно MAX активно продвигает Минстрой России. Уже с августа начался перевод домовых чатов в российский мессенджер. Глава ведомства Ирек Файзуллин анонсировал для таких чатов новые функции, включая бота для напоминаний об оплате услуг ЖКХ.
При этом в Минстрое пообещали обеспечить высокий уровень защищённости сервиса — что особенно актуально, учитывая, что сфера ЖКХ также привлекает мошенников. Кроме того, домовые чаты активно используются и недобросовестными управляющими компаниями, в том числе для давления на конкурентов.
26 декабря. / anti-malware.ru /. Мошенники активизировали продвижение мессенджера MAX, который всё чаще навязывают своим потенциальным жертвам. Основная причина такого интереса — именно MAX стал основным каналом доставки кодов подтверждения для портала «Госуслуги».
В качестве примера портал AndroidInsider привёл историю с пенсионеркой из Нижнего Тагила, о которой ранее сообщил телеграм-канал «Эксплоит».
Женщине позвонил злоумышленник, представившийся заместителем главного врача больницы, где она ранее работала. Он потребовал установить MAX, сославшись на якобы официальный документ с соответствующим предписанием. От установки приложения пенсионерку в итоге отговорили родственники.
По версии авторов «Эксплоита», целью атаки был «угон» учётной записи на «Госуслугах». Эту версию косвенно подтверждает и тот факт, что с начала декабря многие пользователи при входе на портал сталкивались с экраном, настойчиво предлагающим установить MAX — зачастую без возможности пропустить этот шаг.
В Минцифры официально признали, что интеграция с MAX была реализована для защиты от перехвата кодов подтверждения. При этом в ведомстве заверили, что возможность получения кодов по СМС сохранится для пользователей без смартфонов.
Помимо интеграции с «Госуслугами», в MAX хранятся номера документов, включая СНИЛС, ИНН, полис ОМС и паспортные данные. Эта информация также представляет интерес для мошенников.
Такие данные используются в атаках либо перепродаются на теневом рынке. Дополнительный интерес к MAX усиливает и анонсированная интеграция мессенджера с банковскими сервисами.
Параллельно MAX активно продвигает Минстрой России. Уже с августа начался перевод домовых чатов в российский мессенджер. Глава ведомства Ирек Файзуллин анонсировал для таких чатов новые функции, включая бота для напоминаний об оплате услуг ЖКХ.
При этом в Минстрое пообещали обеспечить высокий уровень защищённости сервиса — что особенно актуально, учитывая, что сфера ЖКХ также привлекает мошенников. Кроме того, домовые чаты активно используются и недобросовестными управляющими компаниями, в том числе для давления на конкурентов.
Anti-Malware
Мошенники навязывают мессенджер MAX
Мошенники активизировали продвижение мессенджера MAX, который всё чаще навязывают своим потенциальным жертвам. Основная причина такого интереса — именно MAX стал основным каналом доставки кодов
В положение о сертификации СЗИ вводится обязательное представление сведений о заимствованном открытом коде – проект приказа ФСТЭК
26 декабря. / D-Russia /. Для общественного обсуждения опубликован проект приказа ФСТЭК «О внесении изменений в положение о системе сертификации средств защиты информации (СЗИ)…».
Согласно пояснительной записке, предлагается уточнение порядка сертификации СЗИ в части:
🔹обязательности представления заявителем на сертификацию СЗИ перечня заимствованных программных компонентов с открытым исходным кодом, входящих в состав СЗИ (в случае наличия в СЗИ заимствованных программных компонентов с открытым исходным кодом), а также перечня образов контейнеров, входящих в состав СЗИ (в случае наличия в СЗИ образов контейнеров);
🔹уточнения комплектности материалов сертификационных испытаний средств защиты информации, направляемых испытательной лабораторией в орган по сертификации, а также порядка их представления в ФСТЭК России;
🔹уточнение порядка внесения изменений в сертифицированное средство защиты информации, а также в материалы, представляемые в ФСТЭК России по результатам проведения испытаний средств защиты информации в связи с внесением в них изменений.
26 декабря. / D-Russia /. Для общественного обсуждения опубликован проект приказа ФСТЭК «О внесении изменений в положение о системе сертификации средств защиты информации (СЗИ)…».
Согласно пояснительной записке, предлагается уточнение порядка сертификации СЗИ в части:
🔹обязательности представления заявителем на сертификацию СЗИ перечня заимствованных программных компонентов с открытым исходным кодом, входящих в состав СЗИ (в случае наличия в СЗИ заимствованных программных компонентов с открытым исходным кодом), а также перечня образов контейнеров, входящих в состав СЗИ (в случае наличия в СЗИ образов контейнеров);
🔹уточнения комплектности материалов сертификационных испытаний средств защиты информации, направляемых испытательной лабораторией в орган по сертификации, а также порядка их представления в ФСТЭК России;
🔹уточнение порядка внесения изменений в сертифицированное средство защиты информации, а также в материалы, представляемые в ФСТЭК России по результатам проведения испытаний средств защиты информации в связи с внесением в них изменений.
Digital Russia
В положение о сертификации СЗИ вводится обязательное представление сведений о заимствованном открытом коде – проект приказа ФСТЭК
Для общественного обсуждения опубликован проект приказа ФСТЭК «О внесении изменений в положение о системе сертификации средств защиты информации (СЗИ)…».