Критических уязвимостей стало больше на треть: PHP и WordPress под ударом
3 июля. / BI.ZONE /. Количество опасных уязвимостей в IT‑системах продолжает расти. Весна 2025 года показала тревожный тренд: резкий рост числа критических CVE, увеличение числа публичных PoC и смещение в сторону более опасных векторов атак. Под удар попали PHP‑решения и WordPress, а среди методов атак лидируют SQL‑инъекции. За весну было зафиксировано почти пять тысяч новых CVE.
По данным команды BI.ZONE WAF, с марта по май 2025 года количество критических уязвимостей выросло на 30% по сравнению с зимой. За то же время на 26% увеличилось число публичных PoC‑эксплоитов, то есть список доступных сценариев атак пополнился.
Наиболее уязвимыми остаются стек PHP и CMS‑решения, разработанные на его основе. В числе лидеров по количеству критических уязвимостей — экосистема WordPress, ее плагины и специализированные сборки. Всего в весеннем отчете выявлены 222 критические уязвимости в PHP‑решениях, из них 99 приходится на WordPress.
Весной изменились тренды в типах атак: SQL‑инъекции заняли первое место, обогнав XSS. Зарегистрировали 521 критическую уязвимость с использованием SQL‑инъекций и только 402 уязвимости на базе XSS.
Среди уязвимых решений — плагины WordPress, промышленное ПО для АСУ ТП, а также готовые проекты open-source на PHP. В их числе — phpgurukul для начинающих разработчиков и студентов, осваивающих веб‑разработку, и projectworlds для учебных и курсовых задач с авторизацией, CRUD‑функциональностью и работой с базами данных.
Весна 2025 года показала, что вектор атак сместился в сторону старых, но по‑прежнему актуальных уязвимостей. Простые эксплоиты, доступные буквально каждому злоумышленнику, делают устаревшие CMS и фреймворки легкой мишенью — особенно если система регулярно не обновляется и не защищена на уровне веб‑приложения.
Чтобы минимизировать репутационные и финансовые риски, бизнесу важно выстраивать многоуровневую защиту, оперативно устанавливать обновления и использовать решения, которые помогут предупредить атаки.
3 июля. / BI.ZONE /. Количество опасных уязвимостей в IT‑системах продолжает расти. Весна 2025 года показала тревожный тренд: резкий рост числа критических CVE, увеличение числа публичных PoC и смещение в сторону более опасных векторов атак. Под удар попали PHP‑решения и WordPress, а среди методов атак лидируют SQL‑инъекции. За весну было зафиксировано почти пять тысяч новых CVE.
По данным команды BI.ZONE WAF, с марта по май 2025 года количество критических уязвимостей выросло на 30% по сравнению с зимой. За то же время на 26% увеличилось число публичных PoC‑эксплоитов, то есть список доступных сценариев атак пополнился.
Наиболее уязвимыми остаются стек PHP и CMS‑решения, разработанные на его основе. В числе лидеров по количеству критических уязвимостей — экосистема WordPress, ее плагины и специализированные сборки. Всего в весеннем отчете выявлены 222 критические уязвимости в PHP‑решениях, из них 99 приходится на WordPress.
Весной изменились тренды в типах атак: SQL‑инъекции заняли первое место, обогнав XSS. Зарегистрировали 521 критическую уязвимость с использованием SQL‑инъекций и только 402 уязвимости на базе XSS.
Среди уязвимых решений — плагины WordPress, промышленное ПО для АСУ ТП, а также готовые проекты open-source на PHP. В их числе — phpgurukul для начинающих разработчиков и студентов, осваивающих веб‑разработку, и projectworlds для учебных и курсовых задач с авторизацией, CRUD‑функциональностью и работой с базами данных.
Весна 2025 года показала, что вектор атак сместился в сторону старых, но по‑прежнему актуальных уязвимостей. Простые эксплоиты, доступные буквально каждому злоумышленнику, делают устаревшие CMS и фреймворки легкой мишенью — особенно если система регулярно не обновляется и не защищена на уровне веб‑приложения.
Чтобы минимизировать репутационные и финансовые риски, бизнесу важно выстраивать многоуровневую защиту, оперативно устанавливать обновления и использовать решения, которые помогут предупредить атаки.
ФСТЭК России продлила сертификат на ОС «Аврора»
4 июля. / C.NEWS /. ФСТЭК России продлила до 10 февраля 2030 г. сертификат соответствия №4220 на операционную систему «Аврора», которую разрабатывает «Открытая мобильная платформа». Об этом CNews сообщил представитель компании.
ОС «Аврора» соответствует требованиям методических документов ФСТЭК России «Профиль защиты операционных систем типа «А» четвертого класса защиты» ИТ.ОС.А4.ПЗ и «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 4 уровню доверия и может использоваться в ГИСах, ИСПДн, АСУТП, объектах ЗОКИИ до 1 класса/уровня включительно.
«Продление сертификата ФСТЭК России – это важная веха для развития ОС «Аврора». Нормативные требования за последнее время ужесточились, проверок стало больше, и ОС «Аврора» полностью соответствует текущим требованиям ФСТЭК России. Наши заказчики могут полностью доверять нам безопасность своих данных и непрерывность процессов», — сказал начальник продуктовой экспертизы «Открытой мобильной платформы» Сергей Аносов.
ОС «Аврора» — это современная отечественная операционная система для смартфонов и планшетов, разработанная специалистами компании «Открытая мобильная платформа». Предназначена для решения корпоративных задач, цифровой трансформации предприятий и обеспечения информационной безопасности бизнес-процессов.
4 июля. / C.NEWS /. ФСТЭК России продлила до 10 февраля 2030 г. сертификат соответствия №4220 на операционную систему «Аврора», которую разрабатывает «Открытая мобильная платформа». Об этом CNews сообщил представитель компании.
ОС «Аврора» соответствует требованиям методических документов ФСТЭК России «Профиль защиты операционных систем типа «А» четвертого класса защиты» ИТ.ОС.А4.ПЗ и «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 4 уровню доверия и может использоваться в ГИСах, ИСПДн, АСУТП, объектах ЗОКИИ до 1 класса/уровня включительно.
«Продление сертификата ФСТЭК России – это важная веха для развития ОС «Аврора». Нормативные требования за последнее время ужесточились, проверок стало больше, и ОС «Аврора» полностью соответствует текущим требованиям ФСТЭК России. Наши заказчики могут полностью доверять нам безопасность своих данных и непрерывность процессов», — сказал начальник продуктовой экспертизы «Открытой мобильной платформы» Сергей Аносов.
ОС «Аврора» — это современная отечественная операционная система для смартфонов и планшетов, разработанная специалистами компании «Открытая мобильная платформа». Предназначена для решения корпоративных задач, цифровой трансформации предприятий и обеспечения информационной безопасности бизнес-процессов.
CNews.ru
ФСТЭК России продлила сертификат на ОС «Аврора» - CNews
ФСТЭК России продлила до 10 февраля 2030 г. сертификат соответствия №4220 на операционную систему «Аврора», которую...
Хакеры-вымогатели стали продуктивнее на 213 %: кто виноват и что делать?
5 июля. / Cyber Media /. Общемировая статистика показывает, что количество кибератак с использованием программ-вымогателей выросло на 213 %. Ирина Дмитриева, эксперт в области кибербезопасности, инженер-аналитик компании «Газинформсервис», рекомендует компаниям принять ряд мер для защиты от подобных атак.
«Стоит обратить внимание на аспекты мониторинга поисковиков скомпрометированных шифровальщиками компаний на специализированных ресурсах в Интернете (например, Ransomlook). Это позволит своевременно принять меры минимизации угроз при компрометации поставщика услуг в непосредственно вашу компанию», — предупредила эксперт.
Согласно отчету Cybersecurity News, количество атак программ-вымогателей, направленных на организации, резко возросло при сопоставлении данных за одинаковые интервалы 2024 и 2025 года: почти 2,5 тыс. жертв были установлены сейчас, что на 213 % больше по сравнению с 1 тыс. жертв, зарегистрированных годом ранее.
В сфере вымогателей отметились Cl0p: в 1 квартале 2025 года они нанесли урон 358 компаниям, что превышает их активность за весь 2024 год (93 жертвы) на 248 %. Злоумышленники провели сложную кампанию атак на инфраструктуры организаций через zero-day-уязвимости в ПО для передачи файлов Cleo (CVE-2024-50623 и CVE-2024-55956). Стабильно высокий уровень и качество атак демонстрируют RansomHub и Akira. Вместе с упомянутыми кибергруппировками активно доминируют новые RaaS-игроки: VanHelsing и Babuk2.
Дмитриева отметила, что хакеры становятся всё более изощрёнными в своих методах, используя сложные техники для проникновения в сеть и шифрования критически важных данных. В результате пострадавшие организации сталкиваются не только с финансовыми потерями от выкупа, но и с серьёзными перебоями в работе, потерей репутации и юридическими проблемами.
5 июля. / Cyber Media /. Общемировая статистика показывает, что количество кибератак с использованием программ-вымогателей выросло на 213 %. Ирина Дмитриева, эксперт в области кибербезопасности, инженер-аналитик компании «Газинформсервис», рекомендует компаниям принять ряд мер для защиты от подобных атак.
«Стоит обратить внимание на аспекты мониторинга поисковиков скомпрометированных шифровальщиками компаний на специализированных ресурсах в Интернете (например, Ransomlook). Это позволит своевременно принять меры минимизации угроз при компрометации поставщика услуг в непосредственно вашу компанию», — предупредила эксперт.
Согласно отчету Cybersecurity News, количество атак программ-вымогателей, направленных на организации, резко возросло при сопоставлении данных за одинаковые интервалы 2024 и 2025 года: почти 2,5 тыс. жертв были установлены сейчас, что на 213 % больше по сравнению с 1 тыс. жертв, зарегистрированных годом ранее.
В сфере вымогателей отметились Cl0p: в 1 квартале 2025 года они нанесли урон 358 компаниям, что превышает их активность за весь 2024 год (93 жертвы) на 248 %. Злоумышленники провели сложную кампанию атак на инфраструктуры организаций через zero-day-уязвимости в ПО для передачи файлов Cleo (CVE-2024-50623 и CVE-2024-55956). Стабильно высокий уровень и качество атак демонстрируют RansomHub и Akira. Вместе с упомянутыми кибергруппировками активно доминируют новые RaaS-игроки: VanHelsing и Babuk2.
Дмитриева отметила, что хакеры становятся всё более изощрёнными в своих методах, используя сложные техники для проникновения в сеть и шифрования критически важных данных. В результате пострадавшие организации сталкиваются не только с финансовыми потерями от выкупа, но и с серьёзными перебоями в работе, потерей репутации и юридическими проблемами.
securitymedia.org
Хакеры-вымогатели стали продуктивнее на 213 %: кто виноват и что делать?
Общемировая статистика показывает, что количество кибератак с использованием программ-вымогателей выросло на 213 %
Злоумышленники используют новую функцию Telegram для угона аккаунтов
7 июля. / Anti-Malware /. В обновлении Telegram от 1 июля появилась новая функция — «предложенные публикации». Этой возможностью сразу начали пользоваться злоумышленники для продвижения фишинговых ссылок: мошенники маскируют URL под потенциально интересный контент.
По мнению экспертов, опрошенных «Известиями», в первую очередь под угрозой оказываются владельцы каналов с аудиторией до 10 тыс. подписчиков.
Независимый эксперт Анатолий Долженков отметил, что злоумышленники могут предлагать администраторам гонорар за размещение таких ссылок. Многие, желая ознакомиться с предложением, переходят по ним.
Директор департамента киберрасследований T.Hunter Игорь Бедеров добавил, что преступники заранее создают фейковые каналы-приманки, стилизованные под новостные порталы или аналитические ресурсы. От их имени в «предложку» целевых каналов отправляются посты с вредоносными ссылками. При переходе по ним администратора перенаправляют на фишинговый сайт, внешне похожий на интерфейс Telegram.
Также злоумышленники могут распространять инфостилеры, маскируя их под документы форматов MS Office. По словам Бедерова, в июне количество регистраций фишинговых доменов, содержащих упоминание Telegram, выросло на 40%.
Как выяснили «Известия», случаи «угона» каналов уже были. В частности, контроль над каналом «Лига бустеров» был утрачен, и сейчас владельцы пытаются вернуть к нему доступ. О подобных инцидентах сообщил также блогер Денис Подемиров. Однако процедура восстановления может затянуться на месяцы и не всегда оказывается успешной.
В BI.ZONE отмечают общее увеличение числа атак: только в июне было зафиксировано 4 тыс. ресурсов, нацеленных на кражу пользовательских профилей. В них могут храниться пароли, данные банковских карт, фотографии документов. Кроме того, такие аккаунты можно использовать в массовых атаках, напомнил Дмитрий Кирюшкин.
Для защиты эксперты рекомендуют не переходить по ссылкам от незнакомцев и использовать надёжные защитные решения.
7 июля. / Anti-Malware /. В обновлении Telegram от 1 июля появилась новая функция — «предложенные публикации». Этой возможностью сразу начали пользоваться злоумышленники для продвижения фишинговых ссылок: мошенники маскируют URL под потенциально интересный контент.
По мнению экспертов, опрошенных «Известиями», в первую очередь под угрозой оказываются владельцы каналов с аудиторией до 10 тыс. подписчиков.
Независимый эксперт Анатолий Долженков отметил, что злоумышленники могут предлагать администраторам гонорар за размещение таких ссылок. Многие, желая ознакомиться с предложением, переходят по ним.
«Если жертва перейдёт по ссылке и введёт код авторизации или установит зловред, злоумышленник сможет перехватить управление каналом. В дальнейшем он может требовать выкуп за возврат доступа или использовать канал для обмана подписчиков», — рассказал о схеме атак руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин.
Директор департамента киберрасследований T.Hunter Игорь Бедеров добавил, что преступники заранее создают фейковые каналы-приманки, стилизованные под новостные порталы или аналитические ресурсы. От их имени в «предложку» целевых каналов отправляются посты с вредоносными ссылками. При переходе по ним администратора перенаправляют на фишинговый сайт, внешне похожий на интерфейс Telegram.
Также злоумышленники могут распространять инфостилеры, маскируя их под документы форматов MS Office. По словам Бедерова, в июне количество регистраций фишинговых доменов, содержащих упоминание Telegram, выросло на 40%.
«Обман с предложенными постами стал новым трендом. Он нацелен прежде всего на каналы с аудиторией до 10 тыс. человек, особенно если в них подключены платёжные инструменты. Администраторы таких каналов зачастую менее подкованы в вопросах кибербезопасности. Взломать крупный канал сложнее, а мелких очень много — именно на них и нацелены атаки. Из-за этой схемы сотни администраторов рискуют потерять доступ к своим аккаунтам», — предупреждает Игорь Бедеров.
Как выяснили «Известия», случаи «угона» каналов уже были. В частности, контроль над каналом «Лига бустеров» был утрачен, и сейчас владельцы пытаются вернуть к нему доступ. О подобных инцидентах сообщил также блогер Денис Подемиров. Однако процедура восстановления может затянуться на месяцы и не всегда оказывается успешной.
В BI.ZONE отмечают общее увеличение числа атак: только в июне было зафиксировано 4 тыс. ресурсов, нацеленных на кражу пользовательских профилей. В них могут храниться пароли, данные банковских карт, фотографии документов. Кроме того, такие аккаунты можно использовать в массовых атаках, напомнил Дмитрий Кирюшкин.
Для защиты эксперты рекомендуют не переходить по ссылкам от незнакомцев и использовать надёжные защитные решения.
Anti-Malware
Злоумышленники используют новую функцию Telegram для угона аккаунтов
В обновлении Telegram от 1 июля появилась новая функция — «предложенные публикации». Этой возможностью сразу начали пользоваться злоумышленники для продвижения фишинговых ссылок: мошенники маскируют
Китайские хакеры охотятся за Европой: три уязвимости и руткит превратили континент в золотую жилу
7 июля. / Cyber Media /. Французские власти раскрыли масштабную кибератаку, охватившую ключевые сферы — от госучреждений до телеком- и транспортных компаний. За операцией стоит китайская группировка Houken, действовавшая с сентября 2024 года. Хакеры эксплуатировали ранее неизвестные дыры в безопасности устройств Ivanti CSA, позволяя себе месяцами оставаться незаметными для админов и собирать данные с самых чувствительных сетей.
Специалисты ANSSI отмечают, что злоумышленники применяли целый арсенал — от классических PHP-вебшеллов до руткита на уровне ядра Linux. Для бокового перемещения по заражённым сетям использовались инструменты GOREVERSE и HTTP-туннели, а доступ к системам закреплялся через модуль «sysinitd.ko», который перехватывал трафик и открывал злоумышленникам полный контроль. Инфраструктура Houken базировалась на коммерческих VPN и арендованных серверах, помогая тщательно скрывать источник атак.
По данным экспертов, атака не ограничивалась промышленным шпионажем. Злоумышленники продавали доступы другим группам и использовали их для установки криптомайнеров, превращая сеть жертвы в источник дохода. Интересно, что после эксплуатации уязвимостей киберпреступники сами закрывали «дыры», чтобы защитить свои «владения» от конкурентов.
Улики, в том числе временная зона UTC+8 и китайскоязычные инструменты, указывают на происхождение группировки. Характер атак свидетельствует, что Houken и UNC5174 действуют как единая сила, специализирующаяся на продаже доступа и разведывательной информации. Пострадали не только европейские, но и азиатские организации, включая университеты и НПО, что говорит о глобальном масштабе кампании.
7 июля. / Cyber Media /. Французские власти раскрыли масштабную кибератаку, охватившую ключевые сферы — от госучреждений до телеком- и транспортных компаний. За операцией стоит китайская группировка Houken, действовавшая с сентября 2024 года. Хакеры эксплуатировали ранее неизвестные дыры в безопасности устройств Ivanti CSA, позволяя себе месяцами оставаться незаметными для админов и собирать данные с самых чувствительных сетей.
Специалисты ANSSI отмечают, что злоумышленники применяли целый арсенал — от классических PHP-вебшеллов до руткита на уровне ядра Linux. Для бокового перемещения по заражённым сетям использовались инструменты GOREVERSE и HTTP-туннели, а доступ к системам закреплялся через модуль «sysinitd.ko», который перехватывал трафик и открывал злоумышленникам полный контроль. Инфраструктура Houken базировалась на коммерческих VPN и арендованных серверах, помогая тщательно скрывать источник атак.
По данным экспертов, атака не ограничивалась промышленным шпионажем. Злоумышленники продавали доступы другим группам и использовали их для установки криптомайнеров, превращая сеть жертвы в источник дохода. Интересно, что после эксплуатации уязвимостей киберпреступники сами закрывали «дыры», чтобы защитить свои «владения» от конкурентов.
Улики, в том числе временная зона UTC+8 и китайскоязычные инструменты, указывают на происхождение группировки. Характер атак свидетельствует, что Houken и UNC5174 действуют как единая сила, специализирующаяся на продаже доступа и разведывательной информации. Пострадали не только европейские, но и азиатские организации, включая университеты и НПО, что говорит о глобальном масштабе кампании.
securitymedia.org
Китайские хакеры охотятся за Европой: три уязвимости и руткит превратили континент в золотую жилу
Французские власти раскрыли масштабную кибератаку, охватившую ключевые сферы — от госучреждений до телеком- и транспортных компаний
ФСТЭК России утвердил новые требования по защите информации для госструктур
3 июля. / ЦИТ /. Официально опубликован приказ ФСТЭК России № 117 от 11 апреля 2025 года "Об утверждении Требований о защите информации, содержащейся в государственных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений", который вступает в силу 1 марта 2026 года.
Новый приказ отменяет Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", а также все его последующие редакции и дополнения.
Основные изменения:
🔹Расширена область регулирования — теперь требования касаются не только государственных информационных систем, но и иных информационных государственных органов, государственных унитарных предприятий, государственных учреждений.
🔹Введены строгие требования к кадровому составу подразделений ИБ — не менее 30 % сотрудников должны иметь профильное образование или пройти подготовку.
🔹Установлена регулярная оценка защищённости (раз в полгода) и уровня зрелости (не реже одно раза в два года).
🔹Введены сроки устранения уязвимостей: критических — до 24 часов, высоких — до 7 дней.
🔹Подрядчики обязаны соблюдать внутреннюю политику информационной безопасности и подтверждать это документально.
Важное уточнение: аттестаты соответствия, выданные до 1 марта 2026 года, сохраняют силу. Это позволит организациям плавно перейти на новые требования без необходимости срочного переоформления документов.
"Принятие Приказа № 117 особенно важно для обеспечения информационной безопасности информационных ресурсов на территории Волгоградской области. Он устанавливает единые стандарты защиты информации во всех государственных учреждениях региона, что снижает риски кибербезопасности и повышает уровень защищенности региональных информационных систем, укрепляя доверие граждан" - отметил Алексей Николаевич Кидалов, председатель комитета информационных технологий Волгоградской области.
Стоит отметить, что новый правовой базис закладывает надёжную основу для безопасного развития национального проекта "Экономика данных и цифровая трансформация государства" на территории Волгоградской области.
3 июля. / ЦИТ /. Официально опубликован приказ ФСТЭК России № 117 от 11 апреля 2025 года "Об утверждении Требований о защите информации, содержащейся в государственных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений", который вступает в силу 1 марта 2026 года.
Новый приказ отменяет Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", а также все его последующие редакции и дополнения.
Основные изменения:
🔹Расширена область регулирования — теперь требования касаются не только государственных информационных систем, но и иных информационных государственных органов, государственных унитарных предприятий, государственных учреждений.
🔹Введены строгие требования к кадровому составу подразделений ИБ — не менее 30 % сотрудников должны иметь профильное образование или пройти подготовку.
🔹Установлена регулярная оценка защищённости (раз в полгода) и уровня зрелости (не реже одно раза в два года).
🔹Введены сроки устранения уязвимостей: критических — до 24 часов, высоких — до 7 дней.
🔹Подрядчики обязаны соблюдать внутреннюю политику информационной безопасности и подтверждать это документально.
Важное уточнение: аттестаты соответствия, выданные до 1 марта 2026 года, сохраняют силу. Это позволит организациям плавно перейти на новые требования без необходимости срочного переоформления документов.
"Принятие Приказа № 117 особенно важно для обеспечения информационной безопасности информационных ресурсов на территории Волгоградской области. Он устанавливает единые стандарты защиты информации во всех государственных учреждениях региона, что снижает риски кибербезопасности и повышает уровень защищенности региональных информационных систем, укрепляя доверие граждан" - отметил Алексей Николаевич Кидалов, председатель комитета информационных технологий Волгоградской области.
Стоит отметить, что новый правовой базис закладывает надёжную основу для безопасного развития национального проекта "Экономика данных и цифровая трансформация государства" на территории Волгоградской области.
www.garant.ru
Приказ Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117 Об утверждении Требований о защите…
Документы ленты ПРАЙМ: Приказ Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных…
Новый шпионский софт Batavia атакует промышленность в России
7 июля. / Anti-Malware /. С июля 2024 года неизвестная группа злоумышленников начала атаковать российские предприятия, рассылая вредоносные письма с новой шпионской программой под названием Batavia. Эту угрозу обнаружили специалисты «Лаборатории Касперского».
Главная цель атак — получить доступ к внутренним документам промышленных и научных организаций.
По данным аналитиков, письма с вредоносным вложением получили сотрудники десятков компаний, включая предприятия судостроения, авиации, нефтегазового сектора и конструкторские бюро.
Сам троян Batavia был замечен весной 2025 года. Он состоит из скрипта VBA и двух исполняемых файлов. Вредонос умеет искать и собирать документы, системные журналы, списки программ и компонентов ОС, письма и другие файлы, хранящиеся на компьютере или внешних носителях. Также он может делать скриншоты и устанавливать другие вредоносные программы.
Схема заражения довольно типичная: жертве приходит письмо с предложением открыть вложение — якобы это договор. На деле — вредоносная ссылка. После нажатия запускается заражение, а для отвлечения внимания пользователю показывается фальшивый документ. Дальше троян начинает собирать нужную злоумышленникам информацию и пересылает её на удалённый сервер.
Эксперты отмечают, что подобные письма могут выглядеть вполне правдоподобно, особенно в деловой переписке. Весной 2025 года в потоках заражений начали часто появляться файлы с названиями вроде «договор-2025-5» или «приложение».
Именно так и был обнаружен ранее неизвестный троянец, который теперь назван Batavia. В отличие от многих других шпионских программ, он заточен прежде всего под кражу документов.
В системах защиты вредонос распознаётся как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen.
7 июля. / Anti-Malware /. С июля 2024 года неизвестная группа злоумышленников начала атаковать российские предприятия, рассылая вредоносные письма с новой шпионской программой под названием Batavia. Эту угрозу обнаружили специалисты «Лаборатории Касперского».
Главная цель атак — получить доступ к внутренним документам промышленных и научных организаций.
По данным аналитиков, письма с вредоносным вложением получили сотрудники десятков компаний, включая предприятия судостроения, авиации, нефтегазового сектора и конструкторские бюро.
Сам троян Batavia был замечен весной 2025 года. Он состоит из скрипта VBA и двух исполняемых файлов. Вредонос умеет искать и собирать документы, системные журналы, списки программ и компонентов ОС, письма и другие файлы, хранящиеся на компьютере или внешних носителях. Также он может делать скриншоты и устанавливать другие вредоносные программы.
Схема заражения довольно типичная: жертве приходит письмо с предложением открыть вложение — якобы это договор. На деле — вредоносная ссылка. После нажатия запускается заражение, а для отвлечения внимания пользователю показывается фальшивый документ. Дальше троян начинает собирать нужную злоумышленникам информацию и пересылает её на удалённый сервер.
Эксперты отмечают, что подобные письма могут выглядеть вполне правдоподобно, особенно в деловой переписке. Весной 2025 года в потоках заражений начали часто появляться файлы с названиями вроде «договор-2025-5» или «приложение».
Именно так и был обнаружен ранее неизвестный троянец, который теперь назван Batavia. В отличие от многих других шпионских программ, он заточен прежде всего под кражу документов.
В системах защиты вредонос распознаётся как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen.
Anti-Malware
Новый шпионский софт Batavia атакует промышленность в России
С июля 2024 года неизвестная группа злоумышленников начала атаковать российские предприятия, рассылая вредоносные письма с новой шпионской программой под названием Batavia. Эту угрозу обнаружили
Операторов данных могут обязать использовать только отечественное ПО
8 июля. / FrankMedia /. Председатель правительства Михаил Мишустин поручил Минцифры, ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю – FM) изучить вопрос «о внесении изменений в законодательство РФ, устанавливающих обязанность операторов персональных данных использовать для обработки и хранения данных граждан исключительно российское ПО, в том числе системы управления базами данных (СБУД)». С перечнем поручений по итогам Х конференции «Цифровая индустрия промышленной России» ознакомилась газета «Коммерсантъ».
Предложения по указанной инициативе нужно подготовить до 1 декабря 2025 года, а ее реализация запланирована в срок до 1 сентября 2027 года.
В Минцифры газете подтвердили, что обсудят варианты реализации инициативы с участниками рынка и государственными органами. В пресс-служб вице-премьера Дмитрия Григоренко, курирующего вопросы цифрового развития России, отметили, что работают над механизмом поэтапного перехода компаний на отечественные решения.
«Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО, который на данный момент содержит тысячи разработок различных классов», – уточнили в аппарате Григоренко.
По мнению директора направления «Информационная безопасность» компании «Рексофт» Сергея Бабкина, реализация инициативы до 1 сентября 2027 года маловероятна, поскольку вопрос нужно рассматривать куда шире, чем просто говорить о переносе данных, — многие крупные российские компании десятилетиями использовали западное ПО, и последнее слишком плотно интегрировалось в их жизнь.
В пресс-службе Ассоциации больших данных (АБД, входят «Сбер», «Яндекс» и другие) отмечают, что также важно учитывать различия в объеме данных, которые необходимо будет перенести на отечественные решения, в зависимости от размера компаний. Согласно заявлению АБД, полный переход требует детальной проработки вопроса о готовности инфраструктуры и об организационных и финансовых издержках.
У использования open source решений есть еще одно преимущество. По мнению гендиректора НЦК ИСУ Кирилла Семиона, оно позволит реализовать инициативу в указанные сроки — до 1 сентября 2027 года. Менеджер по продукту NGR Softlab Николай Перетягин напоминает, что сегодня в России уже есть отечественные open source решения, сертифицированные ФСТЭК.
8 июля. / FrankMedia /. Председатель правительства Михаил Мишустин поручил Минцифры, ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю – FM) изучить вопрос «о внесении изменений в законодательство РФ, устанавливающих обязанность операторов персональных данных использовать для обработки и хранения данных граждан исключительно российское ПО, в том числе системы управления базами данных (СБУД)». С перечнем поручений по итогам Х конференции «Цифровая индустрия промышленной России» ознакомилась газета «Коммерсантъ».
Предложения по указанной инициативе нужно подготовить до 1 декабря 2025 года, а ее реализация запланирована в срок до 1 сентября 2027 года.
В Минцифры газете подтвердили, что обсудят варианты реализации инициативы с участниками рынка и государственными органами. В пресс-служб вице-премьера Дмитрия Григоренко, курирующего вопросы цифрового развития России, отметили, что работают над механизмом поэтапного перехода компаний на отечественные решения.
«Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО, который на данный момент содержит тысячи разработок различных классов», – уточнили в аппарате Григоренко.
По мнению директора направления «Информационная безопасность» компании «Рексофт» Сергея Бабкина, реализация инициативы до 1 сентября 2027 года маловероятна, поскольку вопрос нужно рассматривать куда шире, чем просто говорить о переносе данных, — многие крупные российские компании десятилетиями использовали западное ПО, и последнее слишком плотно интегрировалось в их жизнь.
В пресс-службе Ассоциации больших данных (АБД, входят «Сбер», «Яндекс» и другие) отмечают, что также важно учитывать различия в объеме данных, которые необходимо будет перенести на отечественные решения, в зависимости от размера компаний. Согласно заявлению АБД, полный переход требует детальной проработки вопроса о готовности инфраструктуры и об организационных и финансовых издержках.
У использования open source решений есть еще одно преимущество. По мнению гендиректора НЦК ИСУ Кирилла Семиона, оно позволит реализовать инициативу в указанные сроки — до 1 сентября 2027 года. Менеджер по продукту NGR Softlab Николай Перетягин напоминает, что сегодня в России уже есть отечественные open source решения, сертифицированные ФСТЭК.
Google удалил 350+ вредоносных приложений IconAds, заражавших Android рекламным спамом
8 июля. / CYBER.MEDIA /. Google провел масштабную чистку Play Store, удалив 352 приложения, участвовавших в мошеннической кампании IconAds. Эти программы выдавали себя за легальные сервисы, но ежедневно рассылали свыше миллиарда рекламных запросов, генерируя нелегальный доход через полноэкранные баннеры и скрытую рекламу. Исследователи Human Security подчеркнули, что масштабы угрозы сравнимы с кампанией BADBOX 2.0, когда вредоносное ПО поражало миллионы IoT-устройств.
Особенность IconAds в том, что приложения могли менять свои значки и названия, маскируясь под системные сервисы вроде Google Play, чтобы избежать обнаружения и удаления. При запуске такие приложения открывали официальное приложение Play Store, оставаясь активными в фоновом режиме и продолжая демонстрировать рекламу.
Все выявленные приложения были оперативно удалены из магазина, и пользователи с включённым Play Protect защищены от повторной установки. Однако тем, кто уже скачал эти программы, необходимо самостоятельно удалить их со своих устройств — автоматической деактивации не предусмотрено.
Google признала наличие большого числа устаревших и некачественных приложений в Play Store и анонсировала планы по внедрению новой функции: при загрузке таких программ пользователи будут получать уведомления, что поможет сократить риски заражения и усилить защиту Android-устройств.
8 июля. / CYBER.MEDIA /. Google провел масштабную чистку Play Store, удалив 352 приложения, участвовавших в мошеннической кампании IconAds. Эти программы выдавали себя за легальные сервисы, но ежедневно рассылали свыше миллиарда рекламных запросов, генерируя нелегальный доход через полноэкранные баннеры и скрытую рекламу. Исследователи Human Security подчеркнули, что масштабы угрозы сравнимы с кампанией BADBOX 2.0, когда вредоносное ПО поражало миллионы IoT-устройств.
Особенность IconAds в том, что приложения могли менять свои значки и названия, маскируясь под системные сервисы вроде Google Play, чтобы избежать обнаружения и удаления. При запуске такие приложения открывали официальное приложение Play Store, оставаясь активными в фоновом режиме и продолжая демонстрировать рекламу.
Все выявленные приложения были оперативно удалены из магазина, и пользователи с включённым Play Protect защищены от повторной установки. Однако тем, кто уже скачал эти программы, необходимо самостоятельно удалить их со своих устройств — автоматической деактивации не предусмотрено.
Google признала наличие большого числа устаревших и некачественных приложений в Play Store и анонсировала планы по внедрению новой функции: при загрузке таких программ пользователи будут получать уведомления, что поможет сократить риски заражения и усилить защиту Android-устройств.
securitymedia.org
Google удалил 350+ вредоносных приложений IconAds, заражавших Android рекламным спамом
Google провел масштабную чистку Play Store, удалив 352 приложения, участвовавших в мошеннической кампании IconAds. Эти программы выдавали себя за легальные сервисы, но ежедневно рассылали свыше миллиарда рекламных запросов, генерируя нелегальный доход через…
Уязвимость в Call of Duty: WWII позволяла взламывать пользователей Windows
8 июля. / Anti-Malware /. В десктопной версии Call of Duty: WWII объявилась уязвимость удаленного выполнения кода, которую геймеры начали использовать для получения несанкционированного доступа к Windows-машинам в ходе матчей в мультиплеерном режиме.
Первые сообщения об эксплойте появились в сообществе через несколько дней после открытия подписки на сохранивший популярность шутер в Microsoft Xbox и PC Game Pass.
Ради забавы игроки взламывали по p2p-сети персональные компьютеры, открывали на них окно командной строки, отправляли провокационные сообщения через Notepad, подменяли обои рабочего стола порноконтентом, удаленно выключали машины соперников.
Во избежание еще больших бед команда Call of Duty отключила онлайн-доступ к игре, которую Microsoft после выкупа издателя Activision начала поэтапно интегрировать в свои сервисы.
Данная RCE актуальна лишь для Windows-десктопов. По слухам, Activision уже работает над патчем, который будет включен в очередное обновление ее античит-системы Ricochet.
Игровое сообщество ждет официального заявления издателя. До выхода исправлений фстэк геймерам рекомендуется воздержаться от запуска Call of Duty: WWII на десктопах, в особенности версий, доступных в Microsoft Store и Game Pass.
8 июля. / Anti-Malware /. В десктопной версии Call of Duty: WWII объявилась уязвимость удаленного выполнения кода, которую геймеры начали использовать для получения несанкционированного доступа к Windows-машинам в ходе матчей в мультиплеерном режиме.
Первые сообщения об эксплойте появились в сообществе через несколько дней после открытия подписки на сохранивший популярность шутер в Microsoft Xbox и PC Game Pass.
Ради забавы игроки взламывали по p2p-сети персональные компьютеры, открывали на них окно командной строки, отправляли провокационные сообщения через Notepad, подменяли обои рабочего стола порноконтентом, удаленно выключали машины соперников.
Во избежание еще больших бед команда Call of Duty отключила онлайн-доступ к игре, которую Microsoft после выкупа издателя Activision начала поэтапно интегрировать в свои сервисы.
Данная RCE актуальна лишь для Windows-десктопов. По слухам, Activision уже работает над патчем, который будет включен в очередное обновление ее античит-системы Ricochet.
Игровое сообщество ждет официального заявления издателя. До выхода исправлений фстэк геймерам рекомендуется воздержаться от запуска Call of Duty: WWII на десктопах, в особенности версий, доступных в Microsoft Store и Game Pass.
Anti-Malware
Уязвимость в Call of Duty: WWII позволяла взламывать пользователей Windows
В десктопной версии Call of Duty: WWII объявилась уязвимость удаленного выполнения кода, которую геймеры начали использовать для получения несанкционированного доступа к Windows-машинам в ходе матчей
Госдума отклонила законопроект о легализации «белых» хакеров
8 июля. / РБК /. На заседании во вторник, 8 июля, Госдума отклонила законопроект, который должен был легализовать в России деятельность «белых» хакеров. Решение было принято после соответствующей рекомендации профильного комитета Госдумы по государственному строительству и законодательству.
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Комитет посчитал, что законопроект, внесенный группой депутатов в 2023 году, не учитывает особенности информационного обеспечения работы госорганов. Эта работа регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры (к ней относятся сети связи и информационные системы госорганов, транспортных, энергетических, финансовых и ряда др. компаний).
Эксперт напомнил, что с 2022 года многие российские компании пересмотрели подход к регистрации уязвимостей и взаимодействуют по этому вопросу исключительно с ФСТЭК, в первую очередь по поводу российского софта. Что касается иностранных производителей, компании оповещают их только после того, как ФСТЭК разместит информацию об уязвимости в Банке данных угроз безопасности информации, рассказал Курамин. По его мнению, необходимы более четкие механизмы взаимодействия с иностранными производителями, возможно, с привлечением госорганов, чтобы обеспечить эффективное раскрытие уязвимостей, не подвергая риску нацбезопасность. Эксперт считает, что для такого софта потребуются особые правила, например обязательная сертификация и контроль раскрытия уязвимостей.
8 июля. / РБК /. На заседании во вторник, 8 июля, Госдума отклонила законопроект, который должен был легализовать в России деятельность «белых» хакеров. Решение было принято после соответствующей рекомендации профильного комитета Госдумы по государственному строительству и законодательству.
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Комитет посчитал, что законопроект, внесенный группой депутатов в 2023 году, не учитывает особенности информационного обеспечения работы госорганов. Эта работа регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры (к ней относятся сети связи и информационные системы госорганов, транспортных, энергетических, финансовых и ряда др. компаний).
Эксперт напомнил, что с 2022 года многие российские компании пересмотрели подход к регистрации уязвимостей и взаимодействуют по этому вопросу исключительно с ФСТЭК, в первую очередь по поводу российского софта. Что касается иностранных производителей, компании оповещают их только после того, как ФСТЭК разместит информацию об уязвимости в Банке данных угроз безопасности информации, рассказал Курамин. По его мнению, необходимы более четкие механизмы взаимодействия с иностранными производителями, возможно, с привлечением госорганов, чтобы обеспечить эффективное раскрытие уязвимостей, не подвергая риску нацбезопасность. Эксперт считает, что для такого софта потребуются особые правила, например обязательная сертификация и контроль раскрытия уязвимостей.
РБК
Госдума отклонила законопроект о легализации «белых» хакеров
Госдума отклонила проект о легализации «белых» хакеров: он не учитывает нормы о гостайне и безопасности критических систем. Минцифры уже готовит новые предложения — требования к поиску уязвимостей и
Хактивисты атакуют всё чаще — но не всегда из идейных соображений
9 июля. / CYBERMEDIA /. Количество кибератак со стороны хактивистских группировок за первые полгода 2025 года заметно выросло. Почти каждая пятая атака на российские организации оказалась делом рук именно таких сообществ. Однако эксперты подчеркивают: граница между идеологией и чистым заработком всё чаще стирается — многие злоумышленники требуют выкуп и только потом публикуют громкие заявления якобы «по убеждениям».
Особое беспокойство вызывает то, что хактивисты причастны к 24% самых тяжелых инцидентов, связанных с компрометацией ключевой инфраструктуры. Некоторые группы не просто сотрудничают между собой, но и разрабатывают собственные инструменты для атак. Так, например, группа под названием Rainbow Hyena использовала письма с многоформатными вложениями, которые обходят фильтры и устанавливают на устройства жертв шпионскую программу PhantomRemote.
Этот вредонос позволяет собрать подробную информацию о системе, загружать дополнительные модули с внешних серверов и выполнять удаленные команды. Целью атак Rainbow Hyena в последнее время становились компании из сфер ИТ и здравоохранения, также под удар попали телеком и государственные структуры.
Специалисты отмечают, что многие подобные атаки маскируются под деловую переписку и исходят с уже скомпрометированных корпоративных адресов. Это делает фишинг по-прежнему одним из самых опасных инструментов, особенно на фоне растущей технической оснащенности и креативности злоумышленников.
9 июля. / CYBERMEDIA /. Количество кибератак со стороны хактивистских группировок за первые полгода 2025 года заметно выросло. Почти каждая пятая атака на российские организации оказалась делом рук именно таких сообществ. Однако эксперты подчеркивают: граница между идеологией и чистым заработком всё чаще стирается — многие злоумышленники требуют выкуп и только потом публикуют громкие заявления якобы «по убеждениям».
Особое беспокойство вызывает то, что хактивисты причастны к 24% самых тяжелых инцидентов, связанных с компрометацией ключевой инфраструктуры. Некоторые группы не просто сотрудничают между собой, но и разрабатывают собственные инструменты для атак. Так, например, группа под названием Rainbow Hyena использовала письма с многоформатными вложениями, которые обходят фильтры и устанавливают на устройства жертв шпионскую программу PhantomRemote.
Этот вредонос позволяет собрать подробную информацию о системе, загружать дополнительные модули с внешних серверов и выполнять удаленные команды. Целью атак Rainbow Hyena в последнее время становились компании из сфер ИТ и здравоохранения, также под удар попали телеком и государственные структуры.
Специалисты отмечают, что многие подобные атаки маскируются под деловую переписку и исходят с уже скомпрометированных корпоративных адресов. Это делает фишинг по-прежнему одним из самых опасных инструментов, особенно на фоне растущей технической оснащенности и креативности злоумышленников.
securitymedia.org
Хактивисты атакуют всё чаще — но не всегда из идейных соображений
Количество кибератак со стороны хактивистских группировок за первые полгода 2025 года заметно выросло - к такому выводу пришли эксперты BI
18 троянских расширений Chrome и Edge заразили 2,3 миллиона пользователей
9 июля. / Anti- Malware /. Анализ троянизированного плагина-пипетки для браузера Google позволил выявить масштабную кампанию по шпионажу через браузеры с помощью аналогичных продуктов, доступных в Chrome Web Store и Microsoft Edge Add-ons.
Суммарно исследователи из Koi Security насчитали в обоих магазинах 18 вредоносных расширений с общим числом загрузок более 2,3 миллиона. Все они позиционировались как средства повышения производительности либо инструменты цифровых развлечений.
Заявленные назначения отличаются большим разнообразием. В рамках кросс-платформенной кампании, условно названной RedDirection, злоумышленники предлагают для скачивания клавиатуры эмодзи, оптимизаторы просмотра видео, плагины прогноза погоды, темные темы, регуляторы громкости, VPN для Discord и TikTok.
9 июля. / Anti- Malware /. Анализ троянизированного плагина-пипетки для браузера Google позволил выявить масштабную кампанию по шпионажу через браузеры с помощью аналогичных продуктов, доступных в Chrome Web Store и Microsoft Edge Add-ons.
Суммарно исследователи из Koi Security насчитали в обоих магазинах 18 вредоносных расширений с общим числом загрузок более 2,3 миллиона. Все они позиционировались как средства повышения производительности либо инструменты цифровых развлечений.
Заявленные назначения отличаются большим разнообразием. В рамках кросс-платформенной кампании, условно названной RedDirection, злоумышленники предлагают для скачивания клавиатуры эмодзи, оптимизаторы просмотра видео, плагины прогноза погоды, темные темы, регуляторы громкости, VPN для Discord и TikTok.
Anti-Malware
18 троянских расширений Chrome и Edge заразили 2,3 миллиона пользователей
Анализ троянизированного плагина-пипетки для браузера Google позволил выявить масштабную кампанию по шпионажу через браузеры с помощью аналогичных продуктов, доступных в Chrome Web Store и Microsoft
Методический сбор 2 июля 2025 г., г. Симферополь
2 июля 2025 г. Межрегиональным управлением ФСТЭК России на базе Министерства здравоохранения Республики Крым проведен методический сбор с представителями субъектов критической информационной инфраструктуры, осуществляющих деятельность в сферах связи и здравоохранения на территории Республики Крым, не завершившими категорирование объектов критической информационной инфраструктуры.
На сборе присутствовали 94 представителя от 89 субъектов критической информационной инфраструктуры.
В ходе методического сбора рассмотрены вопросы реализации законодательства Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры.
2 июля 2025 г. Межрегиональным управлением ФСТЭК России на базе Министерства здравоохранения Республики Крым проведен методический сбор с представителями субъектов критической информационной инфраструктуры, осуществляющих деятельность в сферах связи и здравоохранения на территории Республики Крым, не завершившими категорирование объектов критической информационной инфраструктуры.
На сборе присутствовали 94 представителя от 89 субъектов критической информационной инфраструктуры.
В ходе методического сбора рассмотрены вопросы реализации законодательства Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры.
Фиксируем самые популярные схемы криптомошенников в Telegram
9 июля. / BI.ZONE /. Злоумышленники все чаще атакуют пользователей Telegram, используя темы криптовалют и быстрого заработка. Рассказываем о двух распространенных сценариях фишинговых атак .
Команда BI.ZONE Brand Protection обнаружила, что во II квартале 2025 года количество фишинговых сайтов, нацеленных на пользователей Telegram, увеличилось до 12,5 тыс. — это почти в 2 раза больше, чем в I квартале.
Telegram привлекает мошенников большой аудиторией: по данным Mediascope, мессенджером пользуются 74% россиян. С помощью массовых рассылок и поддельных платформ злоумышленники охватывают множество потенциальных жертв.
Наши эксперты отмечают популярность двух сценариев. В первой схеме мошенники создают фишинговые ресурсы, имитирующие страницу авторизации в Telegram или на Fragment — единственной официальной площадке мессенджера для купли‑продажи логинов и телефонных номеров. При входе фейковые сайты запрашивают у пользователя код подтверждения. Если пользователь отправляет код, его аккаунт попадает в руки злоумышленников. Они получают доступ к криптокошельку и личной информации жертвы, например паролям, реквизитам банковских карт и фотографиям документов, которые многие хранят в чатах или папке «Избранное».
Второй сценарий фишинговой атаки выглядит так: злоумышленник предлагает жертве купить у нее редкий цифровой подарок в Telegram за крупную сумму. В качестве оплаты мошенник присылает поддельные токены. С первого взгляда они неотличимы от настоящих, однако не имеют никакой реальной ценности. После перевода жертва остается без подарка и с фальшивой цифровой валютой.
Мы наблюдаем активный рост числа фишинговых ресурсов, которые имитируют различные официальные платформы, чтобы получить доступ к аккаунтам и криптоактивам пользователей Telegram. Схема с поддельными токенами показывает, что мошенники быстро адаптируются к популярным тематикам и постоянно обновляющимся функциям мессенджера.
Стоит быть осторожными при любых сделках, связанных с криптовалютой, особенно крупных. Если вам кажется, что предложение слишком выгодное, скорее всего, это мошенничество.
Всегда внимательно проверяйте адрес посещаемых страниц и мини-приложений, не переходите по подозрительным ссылкам и не отвечайте на предложения «быстрого заработка». Это одна из самых распространенных манипуляций злоумышленников.
9 июля. / BI.ZONE /. Злоумышленники все чаще атакуют пользователей Telegram, используя темы криптовалют и быстрого заработка. Рассказываем о двух распространенных сценариях фишинговых атак .
Команда BI.ZONE Brand Protection обнаружила, что во II квартале 2025 года количество фишинговых сайтов, нацеленных на пользователей Telegram, увеличилось до 12,5 тыс. — это почти в 2 раза больше, чем в I квартале.
Telegram привлекает мошенников большой аудиторией: по данным Mediascope, мессенджером пользуются 74% россиян. С помощью массовых рассылок и поддельных платформ злоумышленники охватывают множество потенциальных жертв.
Наши эксперты отмечают популярность двух сценариев. В первой схеме мошенники создают фишинговые ресурсы, имитирующие страницу авторизации в Telegram или на Fragment — единственной официальной площадке мессенджера для купли‑продажи логинов и телефонных номеров. При входе фейковые сайты запрашивают у пользователя код подтверждения. Если пользователь отправляет код, его аккаунт попадает в руки злоумышленников. Они получают доступ к криптокошельку и личной информации жертвы, например паролям, реквизитам банковских карт и фотографиям документов, которые многие хранят в чатах или папке «Избранное».
Второй сценарий фишинговой атаки выглядит так: злоумышленник предлагает жертве купить у нее редкий цифровой подарок в Telegram за крупную сумму. В качестве оплаты мошенник присылает поддельные токены. С первого взгляда они неотличимы от настоящих, однако не имеют никакой реальной ценности. После перевода жертва остается без подарка и с фальшивой цифровой валютой.
Мы наблюдаем активный рост числа фишинговых ресурсов, которые имитируют различные официальные платформы, чтобы получить доступ к аккаунтам и криптоактивам пользователей Telegram. Схема с поддельными токенами показывает, что мошенники быстро адаптируются к популярным тематикам и постоянно обновляющимся функциям мессенджера.
Стоит быть осторожными при любых сделках, связанных с криптовалютой, особенно крупных. Если вам кажется, что предложение слишком выгодное, скорее всего, это мошенничество.
Всегда внимательно проверяйте адрес посещаемых страниц и мини-приложений, не переходите по подозрительным ссылкам и не отвечайте на предложения «быстрого заработка». Это одна из самых распространенных манипуляций злоумышленников.
BI.ZONE
Фиксируем самые популярные схемы криптомошенников в Telegram
Злоумышленники все чаще атакуют пользователей Telegram, используя темы криптовалют и быстрого заработка. Рассказываем о двух распространенных сценариях фишинговых атак
Готовьтесь к цифровому отселению: бизнесу запретят хранить данные на западных СУБД — срок до 2027
9 июля. / SecurityLab.ru /. Правительство РФ рассматривает возможность законодательно закрепить обязанность операторов персональных данных использовать исключительно отечественное программное обеспечение для обработки и хранения информации, включая системы управления базами данных (СУБД). Соответствующее поручение премьер-министр Михаил Мишустин дал Минцифры, ФСБ и ФСТЭК. Разработать предложения по внесению изменений в законодательство поручено до 1 декабря 2025 года, а завершить переход на российские решения планируется к 1 сентября 2027 года.
Как стало известно “Ъ”, это поручение входит в перечень из 15 предписаний, составленных по итогам X конференции «Цифровая индустрия промышленной России» в начале июля. Большинство из них направлено министру цифрового развития Максуту Шадаеву.
В пресс-службе Минцифры сообщили, что ведомство планирует обсудить подходы к реализации инициативы с отраслевыми представителями и заинтересованными ведомствами. В аппарате профильного вице-премьера Дмитрия Григоренко уточнили, что ведётся работа над механизмом поэтапного перехода операторов персональных данных на отечественные решения для хранения, анализа и обработки информации, включая СУБД. Предполагается, что организации смогут выбирать решения из реестра российского ПО , в который уже входят тысячи разработок разных классов.
Эксперты считают, что успех полного перехода на отечественное программное обеспечение будет зависеть от того, какие именно требования будут зафиксированы в нормативно-правовых актах. По их оценке, завершить переход на российские СУБД к 1 сентября 2027 года маловероятно. Это связано с тем, что во многих крупных организациях западные СУБД за годы тесно интегрировались с бизнес-процессами. Вопрос стоит шире, чем просто перенос данных: потребуется адаптация прикладных систем, которые непосредственно влияют на внутренние процессы компаний.
Поскольку инициатива охватывает всех операторов персональных данных — юридических лиц, государственные и муниципальные органы, — необходимо учитывать различия между ними в объёме обрабатываемой информации. В Ассоциации больших данных подчёркивают, что реализация потребует детальной проработки: необходимо учитывать готовность инфраструктуры, финансовые и организационные издержки, сроки исполнения . Кроме того, потребуется разработка подходов к категорированию операторов и обеспечению поэтапного внедрения новых требований. В ассоциации также отмечают, что эффективным инструментом могут стать open source-решения , которые сопровождаются и поддерживаются в России.
9 июля. / SecurityLab.ru /. Правительство РФ рассматривает возможность законодательно закрепить обязанность операторов персональных данных использовать исключительно отечественное программное обеспечение для обработки и хранения информации, включая системы управления базами данных (СУБД). Соответствующее поручение премьер-министр Михаил Мишустин дал Минцифры, ФСБ и ФСТЭК. Разработать предложения по внесению изменений в законодательство поручено до 1 декабря 2025 года, а завершить переход на российские решения планируется к 1 сентября 2027 года.
Как стало известно “Ъ”, это поручение входит в перечень из 15 предписаний, составленных по итогам X конференции «Цифровая индустрия промышленной России» в начале июля. Большинство из них направлено министру цифрового развития Максуту Шадаеву.
В пресс-службе Минцифры сообщили, что ведомство планирует обсудить подходы к реализации инициативы с отраслевыми представителями и заинтересованными ведомствами. В аппарате профильного вице-премьера Дмитрия Григоренко уточнили, что ведётся работа над механизмом поэтапного перехода операторов персональных данных на отечественные решения для хранения, анализа и обработки информации, включая СУБД. Предполагается, что организации смогут выбирать решения из реестра российского ПО , в который уже входят тысячи разработок разных классов.
Эксперты считают, что успех полного перехода на отечественное программное обеспечение будет зависеть от того, какие именно требования будут зафиксированы в нормативно-правовых актах. По их оценке, завершить переход на российские СУБД к 1 сентября 2027 года маловероятно. Это связано с тем, что во многих крупных организациях западные СУБД за годы тесно интегрировались с бизнес-процессами. Вопрос стоит шире, чем просто перенос данных: потребуется адаптация прикладных систем, которые непосредственно влияют на внутренние процессы компаний.
Поскольку инициатива охватывает всех операторов персональных данных — юридических лиц, государственные и муниципальные органы, — необходимо учитывать различия между ними в объёме обрабатываемой информации. В Ассоциации больших данных подчёркивают, что реализация потребует детальной проработки: необходимо учитывать готовность инфраструктуры, финансовые и организационные издержки, сроки исполнения . Кроме того, потребуется разработка подходов к категорированию операторов и обеспечению поэтапного внедрения новых требований. В ассоциации также отмечают, что эффективным инструментом могут стать open source-решения , которые сопровождаются и поддерживаются в России.
SecurityLab.ru
Готовьтесь к цифровому отселению: бизнесу запретят хранить данные на западных СУБД — срок до 2027
Новая догма для 2,3 млн операторов.
SIEM-решение САВРУС получило сертификат ФСТЭК по 4 уровню доверия
10 июля. / C.NEWS /. 11 июня 2025 года российская SIEM-платформа «САВРУС» (Среда анализа и визуализации рисков в управленческих системах) получила сертификат соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК) по 4 уровню доверия. Документ подтверждает, что решение соответствует строгим требованиям безопасности информации и может использоваться для защиты критически важных данных в государственных и коммерческих организациях.
Сертификат № 4942, действующий до 2030 года, был выдан по результатам испытаний. Эксперты оценили функционал системы, включая обработку событий информационной безопасности (ИБ), корреляцию угроз в реальном времени и ретроспективе, а также поддержку российских платформ.
Ключевые преимущества сертифицированного решения
САВРУС — это полностью отечественная разработка, включённая в реестр российского ПО. Среди её особенностей:
🔹Обработка более 100 000 событий в секунду (EPS) без потерь данных.
🔹Простота перехода с зарубежных SIEM-систем благодаря открытой архитектуре и API
🔹Предустановленные правила корреляции (200+) и агенты для 500+ источников данных, включая журналы Windows, Syslog и NetFlow.
🔹Возможность использования в режиме MSSP для предоставления SOC-услуг.
Сертификация ФСТЭК позволяет внедрять САВРУС в организациях, где требуется соответствие национальным стандартам безопасности, включая госструктуры, финансовый сектор и промышленные предприятия.
10 июля. / C.NEWS /. 11 июня 2025 года российская SIEM-платформа «САВРУС» (Среда анализа и визуализации рисков в управленческих системах) получила сертификат соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК) по 4 уровню доверия. Документ подтверждает, что решение соответствует строгим требованиям безопасности информации и может использоваться для защиты критически важных данных в государственных и коммерческих организациях.
Сертификат № 4942, действующий до 2030 года, был выдан по результатам испытаний. Эксперты оценили функционал системы, включая обработку событий информационной безопасности (ИБ), корреляцию угроз в реальном времени и ретроспективе, а также поддержку российских платформ.
Ключевые преимущества сертифицированного решения
САВРУС — это полностью отечественная разработка, включённая в реестр российского ПО. Среди её особенностей:
🔹Обработка более 100 000 событий в секунду (EPS) без потерь данных.
🔹Простота перехода с зарубежных SIEM-систем благодаря открытой архитектуре и API
🔹Предустановленные правила корреляции (200+) и агенты для 500+ источников данных, включая журналы Windows, Syslog и NetFlow.
🔹Возможность использования в режиме MSSP для предоставления SOC-услуг.
Сертификация ФСТЭК позволяет внедрять САВРУС в организациях, где требуется соответствие национальным стандартам безопасности, включая госструктуры, финансовый сектор и промышленные предприятия.
CNews.ru
SIEM-решение САВРУС получило сертификат ФСТЭК по 4 уровню доверия - CNews
11 июня 2025 года российская SIEM-платформа «САВРУС» (Среда анализа и визуализации рисков в управленческих системах)...
Количество DDoS-атак подскочило на 43% во втором квартале 2025 года
11 июля. / Anti-Malware /. Во втором квартале этого года число DDoS-атак резко выросло. Компания CURATOR, которая занимается защитой сайтов от перегрузок и кибератак, подсчитала: атак стало на 43% больше, чем за тот же период 2024 года. А вот нападений на уровне приложений (это когда атакуют именно работу сайтов, а не только трафик) стало на 74% больше — это очень много.
Кто пострадал больше всего?
По данным CURATOR, чаще всего атаки на сетевом уровне (L3–L4) были направлены на финтех-компании (22,6%), онлайн-торговлю (20,6%) и ИТ с телекомом (16,1%). Вместе эти три сектора собрали почти 60% всех атак такого рода за квартал.
Рекорды по длительности и мощности
Самая долгая атака за квартал длилась чуть больше четырёх суток — это была атака на сайт онлайн-букмекера. А вот самая мощная атака произошла 3 апреля и тоже пришлась на букмекеров: пиковая нагрузка — 965 Гбит/с. Почти повтор прошлогоднего рекорда.
И вот что интересно:
Масштабные ботнеты и миллионы IP-адресов.
Ещё одна крупная атака случилась 16 мая — тогда на одну из госструктур обрушился ботнет, в котором участвовало в 3,5 раза больше устройств, чем два месяца назад — около 4,6 млн IP-адресов!
11 июля. / Anti-Malware /. Во втором квартале этого года число DDoS-атак резко выросло. Компания CURATOR, которая занимается защитой сайтов от перегрузок и кибератак, подсчитала: атак стало на 43% больше, чем за тот же период 2024 года. А вот нападений на уровне приложений (это когда атакуют именно работу сайтов, а не только трафик) стало на 74% больше — это очень много.
Кто пострадал больше всего?
По данным CURATOR, чаще всего атаки на сетевом уровне (L3–L4) были направлены на финтех-компании (22,6%), онлайн-торговлю (20,6%) и ИТ с телекомом (16,1%). Вместе эти три сектора собрали почти 60% всех атак такого рода за квартал.
Рекорды по длительности и мощности
Самая долгая атака за квартал длилась чуть больше четырёх суток — это была атака на сайт онлайн-букмекера. А вот самая мощная атака произошла 3 апреля и тоже пришлась на букмекеров: пиковая нагрузка — 965 Гбит/с. Почти повтор прошлогоднего рекорда.
И вот что интересно:
«Дата атаки почти совпадает с тем, как Александр Овечкин стал рекордсменом НХЛ по голам — возможно, это и спровоцировало DDoS», — говорит Дмитрий Ткачёв, гендиректор CURATOR.
Масштабные ботнеты и миллионы IP-адресов.
Ещё одна крупная атака случилась 16 мая — тогда на одну из госструктур обрушился ботнет, в котором участвовало в 3,5 раза больше устройств, чем два месяца назад — около 4,6 млн IP-адресов!
«Ботнеты сейчас достигают такого масштаба, о котором год назад и мечтать не могли. Если такую атаку не остановить, она просто завалит онлайн-сервисы миллионами запросов — и сайты лягут, транзакции встанут, бизнес остановится», — подчёркивает Ткачёв.
Длительность DDos-атак на российские компании сократилась более чем в 4 раза
11 июля. / ВЕДОМОСТИ /. Длительность DDos-атак на российские компании и предприятия сокращается, признают эксперты по информбезопасности (ИБ). За первое полугодие 2025 г. наибольшая по длительности атака была совершена на букмекерскую компанию и длилась более четырех суток – 96,5 часа, тогда как за аналогичный период прошлого года одна атака на ритейл-компанию затянулась на 19,5 дня, следует из отчета Curator (ранее – Qrator Labs). Тренд на снижение продолжительности времени атак подтверждают и специалисты ГК «Солар»: по их расчетам, в 2024 г. максимальная продолжительность атаки снизилась почти в 8 раз в сравнении с 2023 г. – до 36 дней.
Такая тенденция может быть связана с «более бережным» использованием бот-сетей хакерами, предполагает генеральный директор Curator Дмитрий Ткачев: «Они сразу перестают атаковать, когда цель не достигнута». По словам руководителя направления Anti-DDoS ГК «Солар» Сергея Левина, это может быть связано со сменой тактик хакеров: «Они начинают атаковать компанию, натыкаются на защиту от DDoS-атак и после этого переходят к более сложным APT-ударам, которые способны полностью разрушить инфраструктуру и привести к приостановке бизнес-процессов». Как правило, отмечает эксперт, более продолжительные DDoS-атаки «достаются» компаниям без качественной защиты.
11 июля. / ВЕДОМОСТИ /. Длительность DDos-атак на российские компании и предприятия сокращается, признают эксперты по информбезопасности (ИБ). За первое полугодие 2025 г. наибольшая по длительности атака была совершена на букмекерскую компанию и длилась более четырех суток – 96,5 часа, тогда как за аналогичный период прошлого года одна атака на ритейл-компанию затянулась на 19,5 дня, следует из отчета Curator (ранее – Qrator Labs). Тренд на снижение продолжительности времени атак подтверждают и специалисты ГК «Солар»: по их расчетам, в 2024 г. максимальная продолжительность атаки снизилась почти в 8 раз в сравнении с 2023 г. – до 36 дней.
Такая тенденция может быть связана с «более бережным» использованием бот-сетей хакерами, предполагает генеральный директор Curator Дмитрий Ткачев: «Они сразу перестают атаковать, когда цель не достигнута». По словам руководителя направления Anti-DDoS ГК «Солар» Сергея Левина, это может быть связано со сменой тактик хакеров: «Они начинают атаковать компанию, натыкаются на защиту от DDoS-атак и после этого переходят к более сложным APT-ударам, которые способны полностью разрушить инфраструктуру и привести к приостановке бизнес-процессов». Как правило, отмечает эксперт, более продолжительные DDoS-атаки «достаются» компаниям без качественной защиты.
Ведомости
Длительность DDos-атак на российские компании сократилась более чем в 4 раза
Столкнувшись с защитой, злоумышленники бросают атаку и ищут новую цель, поясняют эксперты
Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором
11 июля. / anti-malware /. В «Лабораторию Касперского» обратился российский разработчик в сфере блокчейна — у него с криптокошельков похитили криптовалюту примерно на полмиллиона долларов. Специалисты из команды Kaspersky GReAT провели расследование и выяснили, что всё началось с поддельного opensource-пакета.
Этот пакет маскировался под полезное расширение для среды Cursor AI — это такая среда разработки с поддержкой ИИ.
На вид — обычное расширение для работы с кодом на языке Solidity. На деле — ловушка: вместо помощи с кодом оно скачивало вредоносные программы.
Что произошло?
Разработчик ввёл в поиске по репозиторию нужный ему запрос, увидел первое в списке «популярное» расширение — и скачал его. У него было аж 54 тысячи установок (накрученных, как оказалось). Установка прошла быстро, но вместо полезного функционала на компьютер незаметно попали:
🔹ScreenConnect — для удалённого доступа,
🔹бэкдор Quasar,
🔹стилер, собирающий данные из браузеров, почты и криптокошельков.
В итоге злоумышленники получили полный контроль над устройством, вывели все средства с кошельков и скрылись.
Что было дальше?
Фейковое расширение удалили, но хакеры опубликовали его заново — и снова накрутили статистику: теперь уже до 2 миллионов установок. Всё это время оригинальное расширение набрало только 61 тысячу. Повторно фальшивку тоже удалили — благодаря сигналу от «Лаборатории Касперского».
Почему это сработало?
По словам экспертов, отличить вредоносный opensource-пакет становится всё сложнее. Злоумышленники используют всё более хитрые приёмы. В такие ловушки попадаются даже опытные специалисты, особенно из мира блокчейна.
Позже выяснилось, что эта же группа опубликовала и вредоносный NPM-пакет, и ещё несколько фальшивых расширений для Visual Studio Code. Все они к настоящему моменту уже удалены.
11 июля. / anti-malware /. В «Лабораторию Касперского» обратился российский разработчик в сфере блокчейна — у него с криптокошельков похитили криптовалюту примерно на полмиллиона долларов. Специалисты из команды Kaspersky GReAT провели расследование и выяснили, что всё началось с поддельного opensource-пакета.
Этот пакет маскировался под полезное расширение для среды Cursor AI — это такая среда разработки с поддержкой ИИ.
На вид — обычное расширение для работы с кодом на языке Solidity. На деле — ловушка: вместо помощи с кодом оно скачивало вредоносные программы.
Что произошло?
Разработчик ввёл в поиске по репозиторию нужный ему запрос, увидел первое в списке «популярное» расширение — и скачал его. У него было аж 54 тысячи установок (накрученных, как оказалось). Установка прошла быстро, но вместо полезного функционала на компьютер незаметно попали:
🔹ScreenConnect — для удалённого доступа,
🔹бэкдор Quasar,
🔹стилер, собирающий данные из браузеров, почты и криптокошельков.
В итоге злоумышленники получили полный контроль над устройством, вывели все средства с кошельков и скрылись.
Что было дальше?
Фейковое расширение удалили, но хакеры опубликовали его заново — и снова накрутили статистику: теперь уже до 2 миллионов установок. Всё это время оригинальное расширение набрало только 61 тысячу. Повторно фальшивку тоже удалили — благодаря сигналу от «Лаборатории Касперского».
Почему это сработало?
По словам экспертов, отличить вредоносный opensource-пакет становится всё сложнее. Злоумышленники используют всё более хитрые приёмы. В такие ловушки попадаются даже опытные специалисты, особенно из мира блокчейна.
«Мы ожидаем, что атаки на криптовладельцев будут продолжаться. Поэтому очень важно не экономить на защите данных и использовать проверенные средства безопасности», — говорит Георгий Кучерин из Kaspersky GReAT.
Позже выяснилось, что эта же группа опубликовала и вредоносный NPM-пакет, и ещё несколько фальшивых расширений для Visual Studio Code. Все они к настоящему моменту уже удалены.
Anti-Malware
Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором
В «Лабораторию Касперского» обратился российский разработчик в сфере блокчейна — у него с криптокошельков похитили криптовалюту примерно на полмиллиона долларов. Специалисты из команды Kaspersky
«СберТех» и «Ред Софт» помогут бизнесу обеспечить бесперебойную работу высоконагруженных веб-сервисов
14 июля. / C-NEWS /. Российские разработчики «СберТех» и «Ред Софт» подтвердили совместимость своих программных продуктов в ходе тестирования. Результаты показали, что обратный прокси-сервер Platform V SynGX «СберТеха» стабильно и корректно работает в окружении операционной системы «Ред ОС 8» компании «Ред Софт». Совместное применение решений позволит бизнесу создать импортонезависимую ИТ-инфраструктуру.
Максим Тятюшев, генеральный директор «СберТеха», сказал: «Совместимость операционной системы и прокси-сервера важны для стабильной и эффективной работы веб-приложений, которые сегодня являются основой цифрового взаимодействия с клиентами. Бизнес заинтересован в обеспечении производительности, минимизации сбоев и простой интеграции решений в инфраструктуру. Каждому из этих аспектов мы уделили особое внимание при разработке Platform V SynGX. При совместном использовании нашего решения с «Ред ОС» компании получат высокий уровень производительности и безопасности ИТ-систем».
«Ред ОС 8» — российская операционная система семейства Linux для серверов и рабочих станций, разработанная компанией «Ред Софт». В актуальном релизе используется ядро Linux 6.12, что обеспечивает совместимость с современными поколениями процессоров, видеоускорителей и периферийного оборудования. Также «Ред ОС» предлагает обширный инструментарий разработчика и возмож-ности для гибкой настройки рабочего окружения под конкретного пользователя. В «Ред ОС 8» по умолчанию применены рекомендации ФСТЭК России на основе методического документа «Рекомендации по безопасной настройке операцион-ных систем Linux» от 25 декабря 2022 г.
14 июля. / C-NEWS /. Российские разработчики «СберТех» и «Ред Софт» подтвердили совместимость своих программных продуктов в ходе тестирования. Результаты показали, что обратный прокси-сервер Platform V SynGX «СберТеха» стабильно и корректно работает в окружении операционной системы «Ред ОС 8» компании «Ред Софт». Совместное применение решений позволит бизнесу создать импортонезависимую ИТ-инфраструктуру.
Максим Тятюшев, генеральный директор «СберТеха», сказал: «Совместимость операционной системы и прокси-сервера важны для стабильной и эффективной работы веб-приложений, которые сегодня являются основой цифрового взаимодействия с клиентами. Бизнес заинтересован в обеспечении производительности, минимизации сбоев и простой интеграции решений в инфраструктуру. Каждому из этих аспектов мы уделили особое внимание при разработке Platform V SynGX. При совместном использовании нашего решения с «Ред ОС» компании получат высокий уровень производительности и безопасности ИТ-систем».
«Ред ОС 8» — российская операционная система семейства Linux для серверов и рабочих станций, разработанная компанией «Ред Софт». В актуальном релизе используется ядро Linux 6.12, что обеспечивает совместимость с современными поколениями процессоров, видеоускорителей и периферийного оборудования. Также «Ред ОС» предлагает обширный инструментарий разработчика и возмож-ности для гибкой настройки рабочего окружения под конкретного пользователя. В «Ред ОС 8» по умолчанию применены рекомендации ФСТЭК России на основе методического документа «Рекомендации по безопасной настройке операцион-ных систем Linux» от 25 декабря 2022 г.
CNews.ru
«СберТех» и «Ред Софт» помогут бизнесу обеспечить бесперебойную работу высоконагруженных веб-сервисов - CNews
Российские разработчики «СберТех» и «Ред Софт» подтвердили совместимость своих программных продуктов...