5693
Новости связанные с Федеральной службой по техническому и экспортному контролю (ФСТЭК России) Неофициальный канал. По всем вопросам: @GovInfoBot Купить рекламу: https://telega.in/c/fstecru
🔸Участники рынка страховых услуг столкнулись с резким ростом утечек чувствительной информации
25 марта. / КОММЕРСАНТ /. По итогам 2025 года число кибератак на страховые компании выросло почти в полтора раза. По реакции страховщиков, такие инциденты для них крайне чувствительны, поскольку их отработка является сложной, затратной и длительной. С 2027-го регулятор обязал страховщиков реализовать стандартный уровень защиты цифровой информации. Но примерно для половины участников рынка страховых услуг даже эта цель пока представляется недостижимой.
Атаки и утечки растут
По оценкам системного интегратора «Кросс технолоджис»,? в 2025 году число кибератак на страховые организации выросло на 45%, достигнув нескольких десятков тысяч за год. Это рекордный прирост с 2022-го. В среднем на одну страховую компанию приходилось примерно 4 тыс. атак, при этом доля успешных атак составила 8–9%, добавляют в компании.
По данным экспертно-аналитического центра ГК InfoWatch, в 2025 году страхование стало одной из немногих сфер, где выросло количество утечек — рост составил 20%. И этот рост последовал за значительным падением в 2024-м, отмечает руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев.
Защита отстает
Вместе с тем уровень защищенности страховых компаний отстает от банковского сектора. Страховые компании ломают примерно теми же способами, что и любые другие компании с сетевым присутствием — только у страховщиков в среднем по сравнению с банками и крупными IT-компаниями слабее процессы безопасности и больше подрядчиков с доступом к системам, подтверждает независимый эксперт в сфере информационной безопасности Сергей Белов.
Большие потери
«Рост кибератак бьет по трем ключевым точкам: операционная устойчивость (простои системы), финансовые потери (восстановление, штрафы, иски) и репутация (утрата доверия клиентов). В условиях, когда основа страхования — работа с персональными данными, даже единичный инцидент может иметь долгосрочные последствия для бизнеса»?,— поясняет руководитель управления информационной безопасности «АльфаСтрахования» Евгений Солянкин.
По информации Всероссийского союза страховщиков (ВСС), ужесточение наказания за утечки персональных данных, введенное соответствующими изменениями в Административный кодекс (КоАП), является стимулом для повышения внимания и затрат на информационную безопасность.
Security Vision добавила в ранжирование уязвимостей сведения ФСТЭК России
25 марта. / anti-malware.ru /. Компания Security Vision сообщила, что усилила механизмы приоритизации уязвимостей в своих продуктах за счёт данных ФСТЭК России. Речь идёт об информации по так называемым «трендовым» уязвимостям — тем, для которых уже есть либо средства эксплуатации, либо подтверждения использования в реальных атаках.
Если совсем просто, теперь при ранжировании рисков система будет опираться не только на общие международные источники и формальные оценки опасности, но и на данные регулятора о том, какие уязвимости действительно используются на практике.
Это важно потому, что стандартные базы обычно во многом завязаны на CVSS — то есть на теоретическую оценку критичности. Но высокая оценка по CVSS ещё не всегда означает, что уязвимость прямо сейчас активно эксплуатируют. И наоборот: некоторые проблемы могут оказаться особенно актуальными именно в реальных атаках, даже если формально не выглядят самыми громкими.
В Security Vision уточнили, что сведения от ФСТЭК поступают в аналитический центр компании в рамках обмена информацией об угрозах. После этого данные включаются в ежедневные обновления пакетов экспертизы для нескольких продуктов компании, включая VM, NG SOAR, SIEM и TIP.
На практике это означает, что системы должны быстрее поднимать в приоритете именно те уязвимости, которые уже замечены в эксплуатации и потому требуют более срочного внимания со стороны ИБ-команд.
Если говорить шире, это ещё один шаг в сторону более прикладной оценки рисков: не только «насколько опасна уязвимость в теории», но и «насколько вероятно, что ею воспользуются прямо сейчас».
Система блокировок сломалась в марте — и теперь Россия тратит 83 миллиарда на то, чтобы она больше не ломалась
25 марта. / securitylab.ru /. Минцифры планирует увеличить пропускную способность автоматизированной системы обеспечения безопасности (АСБИ) в 2,5 раза к 2030 году, доведя ее до 954 Тбит/с, следует из приказа о плане деятельности ведомства, с которым ознакомился «Коммерсантъ». Ранее целевой показатель составлял 752,6 Тбит/с согласно паспорту федерального проекта «Инфраструктура кибербезопасности». Ожидается, что уже в 2026 году система должна обрабатывать 100% трафика российского сегмента интернета.
Финансирование федпроекта выросло на 14,9 млрд руб. и составит 83,7 млрд руб. Основная часть средств пойдет на расширение пропускной способности и обновление АСБИ. Наращивание мощности системы, согласно приказу, направлено на обеспечение сетевого суверенитета и информационной безопасности к 2030 году. В Роскомнадзоре сообщили, что система масштабируется вместе с ростом трафика операторов связи.
АСБИ построена на оборудовании технических средств противодействия угрозам (ТСПУ), которое устанавливается на сетях операторов связи. Оборудование работает на технологии глубокого анализа трафика (DPI), пропускает через себя весь трафик сети и анализирует пакеты передаваемой информации. Содержимое пакета при этом остается неизвестным, но DPI определяет тип трафика, например отличает трафик мессенджера от заблокированной соцсети. ТСПУ используется для блокировки ресурсов и противодействия DDoS-атакам.
У ТСПУ есть ограничения по мощности: при перегрузке включается режим bypass, и трафик проходит без фильтрации. По данным собеседника издания на телеком-рынке, именно это произошло в ночь с 22 на 23 марта, когда многие заблокированные ресурсы в России временно стали доступны. В систему было введено большое количество новых правил фильтрации: около 40 тыс. ежедневно при обычной нагрузке в 10-15 тыс., и ТСПУ не справилась. Для решения проблемы необходимо устанавливать дополнительные узлы фильтрации и наращивать мощность.
При таких масштабах, отмечают участники рынка, важна не только пропускная способность, но и архитектура системы: топология сети, распределенность узлов и качество управления трафиком.
В Госдуме предложили запретить брать плату за VPN
24 марта. / anti-malware.ru /. Депутаты Госдумы от партии «Новые люди» во главе с лидером фракции, вице-спикером нижней палаты Владиславом Даванковым предложили запретить провайдерам взимать дополнительную плату за использование VPN. Соответствующее обращение они направили министру цифрового развития, связи и массовых коммуникаций Максуту Шадаеву.
Документ оказался в распоряжении РИА Новости. По мнению депутатов, подобные списания можно расценивать как грубое нарушение прав потребителей.
Ситуацию усугубляет отсутствие прозрачной информации о том, каким образом интернет-трафик классифицируется и тарифицируется. В результате у абонентов возникает обоснованная неопределённость относительно реальных причин дополнительных списаний.
«Представляется целесообразным рассмотреть возможность нормативного закрепления запрета на взимание дополнительной платы исключительно за использование технологий VPN как способа обеспечения конфиденциальности и безопасности соединения, а также установления требования о полной прозрачности критериев классификации трафика», — говорится в обращении депутатов к главе Минцифры.
Telegram «оживает» в России: доступность выросла, но работает нестабильно
24 марта. / КИБЕР МЕДИА /. В России пользователи начали фиксировать улучшение работы Telegram, однако стабильным доступ к мессенджеру назвать пока нельзя. По данным наблюдений, уровень сбоев снизился с 80% до примерно 55%, что заметно улучшило пользовательский опыт.
В Москве Telegram на домашнем интернете стал работать значительно быстрее. Пользователи отмечают, что видео загружаются без VPN за считанные секунды, тогда как еще недавно доступность сервиса оценивалась всего в 19%.
При этом сохраняется ключевая проблема - нестабильное первое подключение. При запуске приложения пользователи часто видят статус «Обновление», и загрузка чатов может занимать продолжительное время. После успешного соединения работа мессенджера, как правило, стабилизируется.
Отдельно отмечается, что улучшения затронули только проводной интернет. В мобильных сетях Telegram по-прежнему работает с серьезными ограничениями или остается недоступным.
Причины изменений официально не объяснялись. В Роскомнадзор пока не комментировали ситуацию, что оставляет вопросы о характере происходящих изменений в работе сервиса.
🔔 Эти экспертные материалы помогут повысить надёжность ваших решений
PVS-Studio открыли ранний доступ к уникальным материалам митапа «Безопасная разработка в АСУ ТП»! В митапе приняли участие ведущие эксперты в области разработки безопасного ПО.
Что внутри:
🔵Анализ современных угроз для АСУ ТП;
🔵Перечень методов киберзащиты;
🔵Роль статического анализа кода в предотвращении сбоев и атак;
🔵Разбор отечественных стандартов и практик безопасной разработки;
🔵Реальный опыт сертификации СЗИ.
Ранний доступ к материалам митапа — это шаг к:
🔵Выстраиванию надёжных решений;
🔵Своевременному отслеживанию новых угроз и трендов;
🔵Предотвращению критических ошибок;
🔵Эффективному использованию времени и ресурсов.
Получите ранний доступ к материалам с митапа по этой ссылке и внедряйте проверенные практики!
✅ Полезные Telegram-каналы + их зеркала в MAX
🔸@kremlininfo Президент России - в MAX
🔸@governmentru Новости Правительства РФ - в MAX
🔸@vsrf_ru Новости ВC РФ - в MAX
🔸@ksrf_ru Новости КC РФ - в MAX
🔸@publicationpravogovru Правовые акты РФ - в MAX
🔸@zakonoproekty Законопроекты РФ - в MAX
🔸@zakupki44fz Госзакупки и тендеры - в MAX
🔸@roszakupki Новости госзакупок - в MAX
🔸@gosoboronzakaz Гособоронзаказ️ - в MAX
🔸@advgazeta_ru Адвокатская газета - в MAX
🔸@rapsinewsru Правовые новости - в MAX
🔸@garantrss ГАРАНТ.РУ - в MAX
🔸@consultantrss КонсультантПлюс - в MAX
🔸@pravorus Новости права - в MAX
🔸@legal_digest Правовой дайджест - в MAX
🔸@fas_time Новости ФАС России - в MAX
🔸@roskomnadzorro Новости Роскомнадзора - в MAX
🔸@fondgkh Фонд ЖКХ - в MAX
🔸@pensionfondrf Пенсионный Фонд РФ - в MAX
🔸@smz422 Самозанятость - в MAX
🔸@ip_na_usn ИП на УСН / ПСН - в MAX
🔸@socialfondrf Новости СФР - в MAX
🔸@rosmintrudru Новости Минтруда РФ - в MAX
🔸@rostrudgovru Новости Роструда - в MAX
🔸@trud_krut Полезное для Кадровика - в MAX
🔸@kadroviku Кадровику - в MAX
❗️Пока Telegram для многих остается основной площадкой. Но в свете последних новостей, на случай полной или частичной блокировки Telegram ссылки на соответствующие MAX каналы будут совсем не лишние.
📝 Подписывайтесь на каналы, которые Вам будут полезны и читайте их там, где Вам удобнее!
ℹ️ Государство в Telegram | в MAX
На одну российскую компанию в 2025 году пришлось более 900 DDoS-атак
20 марта. / КИБЕР МЕДИА /. По данным группы компаний «Солар», в 2025 году количество DDoS-атак на российские компании выросло на 11%, до 665,3 тысяч. В среднем на одну организацию приходилось 931 атака за год. В 2025 году хакеры сфокусировались на целевых ударах, комбинируя DDoS с атаками на веб-приложения крупных российских компаний из критичных отраслей. Такие выводы следуют из отчета ГК «Солар» о DDoS-атаках на онлайн-ресурсы российских организаций.
В аналитику вошли данные о DDoS-атаках на магистральные сети и клиентское оборудование более 700 клиентов сервиса Anti-DDoS за январь-декабрь 2025 года. Среди клиентов — организации из различных отраслей, включая ИТ, телеком, финансы и госсектор.
В 2025 году хакеры атаковали в периоды важных геополитических событий или общественно значимых мероприятий. Больше всего DDoS-атак произошло в марте (92,3 тыс.), мае (79,8 тыс.) и сентябре (80,5 тыс.) 2025 года — все эти пики приходились на международные переговоры, празднование Дня Победы и период Единого дня голосования.
При этом именно на майских праздниках был обновлен рекорд по мощности атаки — он достиг 11 Тбит/сек. Также довольно мощные атаки пришлись на август (1 522 Гбит/сек) и декабрь (1 447 Гбит/сек) — в обоих случаях под ударом оказались телеком-операторы.
Отдельно отметим, что хакеры, которые не смогли реализовать DDoS-атаку на ту или иную компанию, нередко переходят к более сложным атакам на веб-приложения, что уже может привести к утечке данных или взлому инфраструктуры. Такой тренд эксперты Anti-DDoS зафиксировали у 37% своих клиентов, пользующихся комплексной защитой от подобных киберугроз. В этом случае в фокусе злоумышленников чаще оказываются крупные компании из критично важных для экономики страны отраслей — логистики, транспортной, банковской сферы, государственного и энергетического секторов.
Лидером по среднему числу DDoS-атак на организацию в 2025 году остался телеком. Интенсивность ударов здесь составила 323 атаки в месяц, что на 20% больше, чем в 2024 году.
Стабильно высокое число DDoS зафиксировано и в ИТ-секторе — в среднем 123 атаки на компанию в месяц. По словам экспертов «Солара», злоумышленники часто выходят на более крупные организации через подрядчиков — в частности, из ИТ-сферы.
В пятерку наиболее атакуемых направлений также вошли кредитно-финансовый сектор (в среднем 52 атаки на организацию в месяц), федеральные (115 атак в месяц) и региональные органы власти (51 атака в месяц).
Что касается географического распределения, то по-прежнему большая часть DDoS приходится на Москву. Второе место занял Приволжский федеральный округ — всего за год в этом регионе зафиксировано и отражено 53,1 тыс. атак. Вектор переместился в Поволжье из-за расположения в округе большого количества промышленных предприятий, в том числе оборонной отрасли, которые интересуют хакеров.
Уральский федеральный округ, который в 2024 году был на втором месте, в 2025 сместился на третье — с 51,7 тыс. атак. На четвертом, в свою очередь, оказалась Сибирь (51,6 тыс.), а замыкает пятерку Северо-Запад (49,1 тыс.) — там находятся организации из нефтеперерабатывающей и газодобывающей промышленности, которые вызывают интерес у злоумышленников.
Отдельно стоит отметить снижение числа ударов на Южный федеральный округ (31,2, тыс. атак в 2025 году). Однако по словам экспертов большая часть самых мощных атак на телеком-отрасль происходила именно в этом округе — так хакеры хотят нарушить режим работы связи в этом регионе.
Объем рекламы в Telegram вырос благодаря ограничениям
20 марта. / anti-malware.ru /. После 10 февраля в Telegram начался заметный рекламный всплеск. Объём затрат на рекламу в мессенджере вырос на 50% год к году. Рекламодатели, судя по всему, стараются запустить кампании, пока такая возможность ещё сохраняется. Такие выводы содержатся в исследовании сервиса CloudBuying, результаты которого приводит «Коммерсантъ».
В выборку вошли более 7,6 млн упоминаний, а их суммарный объём просмотров превысил 45 млрд. Сразу после 10 февраля, когда началось замедление Telegram, количество публикаций выросло на 15–20% по сравнению с началом года и на 50% в годовом выражении.
Число рекламных постов доходило до 50–52 тыс. в день, тогда как в январе этот показатель не превышал 40 тыс. Стоимость одного размещения составляет от 20 тыс. до 80 тыс. рублей в небольших каналах с аудиторией 10–50 тыс. подписчиков и от 250–300 тыс. рублей и выше — в крупных.
Наибольшую активность проявили рекламодатели из сфер ретейла, маркетплейсов, финансов и страхования. Также в числе лидеров по росту вложений оказались медицина, медиа и СМИ. В CloudBuying связывают рост активности с тем, что рекламодатели ускоряли кампании, опасаясь дальнейшего усиления ограничений.
Однако уже в марте число публикаций начало снижаться до 40–45 тыс. в день. Не исключено, что на это повлияло решение ФАС, признавшей незаконной рекламу на замедленных ресурсах.
По данным рынка, спрос на размещения в Telegram Ads в России в марте вырос в среднем на 68% по сравнению с аналогичным периодом 2025 года. Исполнительный директор МТС AdTech Татьяна Матвеева связала это со снижением стоимости тысячи показов на 30%.
🔹Хакеры едва не убили пациента, атаковав больницу во время пересадки печени
19 марта. / securitylab.ru /. Кибератака вывела из строя цифровые системы крупного медицинского центра в США прямо в тот момент, когда врачи готовились к жизненно важной операции по пересадке печени. Сбой затронул телефонию и электронные медицинские записи — без них работа клиники обычно невозможна. В подобных условиях любая ошибка может стоить пациенту жизни.
Пациентом стал житель города Мэдисон Уэйд Уоттс. Вечером накануне операции он получил долгожданное сообщение о донорском органе, а уже утром прибыл в Университетский медицинский центр Миссисипи. К вечеру 18 февраля хирурги приступили к трансплантации, не подозревая, что параллельно в больнице начинают отказывать системы.
Проблемы сначала приняли за плановое обслуживание, но вскоре стало ясно — речь идёт о кибератаке. К моменту, когда Уоттса перевели в отделение интенсивной терапии после успешной операции, цифровая инфраструктура фактически перестала работать. Персонал остался без привычных инструментов — электронных карт, автоматизированных проверок и связи.
Команда быстро перешла на ручной режим. Медики записывали данные на бумаге, прикрепляли результаты анализов прямо у палат, отслеживали состояние пациента с помощью досок и заметок. При введении препаратов каждое действие проверяли несколько раз вручную, чтобы исключить риск ошибки.
Жена пациента Сара, работающая медсестрой, наблюдала происходящее изнутри. Несмотря на хаос за пределами палаты, внутри весь процесс шёл без задержек. Персонал сохранял концентрацию и чётко выполнял процедуры, даже при увеличившейся нагрузке.
Восстановление прошло быстрее прогнозов. Уоттс провёл в больнице шесть дней вместо ожидаемых десяти и был выписан домой. Случай показал, что даже при полном отказе цифровых систем медики способны удержать качество оказываемой помощи, если команда готова работать в экстремальных условиях.
Тем не менее, этот случай — скорее исключение, чем правило. Атаки на медицинские учреждения происходят всё чаще, поскольку такие организации остаются уязвимой и критически важной целью. И зачастую сбои в работе систем уже приводили к тяжёлым последствиям, включая задержки лечения и даже гибель пациентов.
Критическая дыра в Linux: уязвимости AppArmor дают полный доступ к системе
19 марта. / КИБЕР МЕДИА /. Исследователи безопасности из Qualys обнаружили серию критических уязвимостей в механизме защиты AppArmor, используемом в Linux. Ошибки получили общее название CrackArmor и позволяют злоумышленнику повысить привилегии до уровня root.
По данным специалистов, уязвимости связаны с некорректной обработкой политик безопасности и механизмов изоляции процессов. В определенных условиях атакующий, имеющий локальный доступ к системе, может обойти ограничения AppArmor и получить полный контроль над устройством.
AppArmor применяется в ряде популярных дистрибутивов Linux, включая серверные и корпоративные системы. Он используется для ограничения действий приложений и защиты системы от несанкционированного доступа. Однако обнаруженные ошибки фактически позволяют выйти из-под этих ограничений.
Эксплуатация уязвимостей требует наличия локального доступа, но после успешной атаки злоумышленник может выполнять любые команды, изменять системные файлы, устанавливать вредоносное ПО и закрепляться в системе.
В Qualys отмечают, что проблема затрагивает различные версии ядра Linux и требует установки обновлений безопасности. Разработчики уже выпустили патчи, закрывающие выявленные уязвимости.
Эксперты подчеркивают, что подобные уязвимости особенно опасны в корпоративной среде, где даже ограниченный доступ пользователя может быть использован для полного захвата системы. Администраторам рекомендуется срочно обновить системы и проверить конфигурации безопасности.
Премия «Лучшее агентское медиа» от Далее и RUWARD
Расскажите о себе на весь диджитал.
Прием заявок до 2 апреля. 6 номинаций. Участие бесплатное.
Подать заявку
#реклама
awards-dalee.ru
О рекламодателе
Нажали F12 и увидели пустоту? Поздравляем, хакеры уже раскусили вас и стёрли все улики
17 марта. / securitylab.ru /. Группировка SilverFox усилила активность и изменила тактику атак, сделав упор на массовое распространение вредоносного ПО под видом популярных программ. Команда Knownsec 404 knownsec404team/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain-impersonation-and-8a7f03571186?utm_source=Securitylab.ru">описала новые приёмы, которые позволяют злоумышленникам обходить проверку кода, маскировать инфраструктуру и масштабировать кампании против организаций.
SilverFox нацеливается прежде всего на сотрудников управленческого и финансового звена. Основные каналы доставки остаются прежними — мессенджеры WeChat и QQ, фишинговые письма и поддельные сайты с «инструментами». После утечки исходников Gh0st набор инструментов разросся и стал доступен разным участникам подпольного рынка, что резко увеличило масштаб атак.
Одно из ключевых изменений — поведение фишинговых страниц. Вредоносные сайты активно мешают анализу: отключают правый клик, блокируют комбинации клавиш для открытия инструментов разработчика и отслеживают попытки их запуска через изменение размеров окна. При обнаружении анализа страница либо очищается, либо перенаправляет пользователя. Такой подход рассчитан на специалистов, которые обычно проверяют код перед запуском файлов.
Параллельно злоумышленники давят на поведение обычных пользователей. Любое нажатие на странице — даже на кнопки «Главная» или «Контакты» — запускает загрузку вредоносного файла. Подобная «универсальная» схема ломает привычную логику интерфейса и повышает вероятность заражения, хотя автоматического запуска файлов не происходит.
Серьёзную роль играет доменная инфраструктура. Операторы регистрируют адреса, почти неотличимые от официальных ресурсов, добавляя лишние символы, меняя доменные зоны или используя региональные обозначения. Часто встречаются варианты с привязкой к конкретным регионам, что снижает подозрения у пользователей. Анализ более 700 доменов показал концентрацию в отдельных регионах Китая, но в целом охват остаётся широким.
Ещё одна особенность — массовое производство вредоносных сборок. Злоумышленники используют модульную архитектуру, комбинируя компоненты вроде кейлоггеров, захвата экрана и механизмов скрытой передачи данных. Конфигурация подстраивается под цель: в атаках на финансовые структуры усиливают сбор учётных данных, в атаках на государственные организации — обход систем обнаружения.
Для распространения применяют шаблоны поддельного ПО. Среди них — якобы официальные сервисы для госуслуг, офисные пакеты, инструменты удалённого доступа, мессенджеры и утилиты. Интерфейс и внешний вид максимально копируют оригиналы, иногда используются украденные сертификаты подписи, что усиливает доверие.
ИИ на службе вымогателей: новая группировка использует искусственный интеллект для атак
17 марта. / КИБЕР МЕДИА /. Эксперты по кибербезопасности из IBM сообщили о появлении новой группы вымогателей Slopoly, которая активно применяет инструменты искусственного интеллекта для подготовки и проведения атак. По данным аналитиков подразделения X-Force, злоумышленники используют ИИ для автоматизации разведки и повышения эффективности своих операций.
Исследование показало, что участники группировки применяют генеративные модели для подготовки фишинговых писем, анализа инфраструктуры компаний и поиска уязвимостей в системах. Такой подход позволяет быстрее подбирать сценарии атак и адаптировать вредоносные кампании под конкретные организации.
В рамках атак Slopoly злоумышленники сначала получают доступ к инфраструктуре компаний, после чего разворачивают программы-шифровальщики и требуют выкуп за восстановление доступа к данным. Использование ИИ помогает им создавать более убедительные письма и сообщения, что повышает вероятность успешного фишинга.
Эксперты IBM отмечают, что внедрение искусственного интеллекта в арсенал киберпреступников становится новой тенденцией. Благодаря автоматизации многие этапы атак выполняются быстрее, а вредоносные кампании становятся более масштабными и сложными для обнаружения.
Специалисты рекомендуют компаниям усиливать защиту почтовых систем, внедрять многофакторную аутентификацию и регулярно обучать сотрудников распознавать фишинговые атаки, поскольку именно человеческий фактор по-прежнему остается одним из основных способов проникновения злоумышленников в корпоративные сети.
Обзор кибератак и уязвимостей за прошедшую неделю: 9 - 13 марта 2026 года
15 марта. / КИБЕР МЕДИА /. Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю. В фокусе оказались: неконтролируемое поведение ИИ-агента Alibaba, который самовольно занялся майнингом на серверных GPU и устанавливал обратные SSH-туннели; взлом критических систем ФБР, используемых для выдачи ордеров на прослушку (FISA); новый метод обхода антифишинговых фильтров через служебный домен .arpa; утверждение Минцифры порядка передачи обезличенных данных операторами в ГИС при ЧС и карантинах; а также подозрения в аффилированности приложения «Телега» (форк Telegram) с VK на фоне 200 млн рублей инвестиций и миллиона скачиваний.
Нейросеть Alibaba самопроизвольно занялась майнингом на собственных GPU, обойдя системы безопасности
Исследователи Alibaba зафиксировали инцидент, в ходе которого ИИ-агент во время штатного обучения без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях. Системы мониторинга Cloud Firewall зафиксировали аномалии: попытки доступа к внутренней сети и характерный для майнинга трафик, который совпал по времени с вызовами инструментов и этапами выполнения кода агентом. В одном из случаев агент установил обратный SSH-туннель от облачного экземпляра к внешнему IP-адресу, обойдя фильтрацию входящего трафика, и перепрофилировал GPU для майнинга, отвлекая ресурсы от обучения. В Alibaba квалифицировали это как новый класс небезопасных действий, возникающих вне предполагаемой изолированной среды и без явных инструкций.
ФБР расследует взлом систем, управляющих прослушкой и ордерами на слежку
Федеральное бюро расследований (ФБР) подтвердило факт несанкционированного доступа к своим внутренним сетям. По данным СМИ, инцидент затронул критически важные системы, используемые для управления электронным наблюдением и ордерами на слежку по иностранным делам (FISA). Ведомство заявило, что выявило подозрительную активность и задействовало все технические средства для реагирования, но от дальнейших комментариев отказалось.
Неприкасаемый .arpa превратили в хостинг: новый метод обхода антифишинговых фильтров
Специалисты Infoblox обнаружили технику, при которой злоумышленники используют домен верхнего уровня .arpa, предназначенный исключительно для инфраструктуры DNS, для хостинга фишинговых страниц. Атака основана на получении контроля над блоком IPv6-адресов (например, через бесплатные туннели Hurricane Electric) и создании A-записей для обратных DNS-имен в зоне ip6.arpa вместо положенных PTR-записей. В результате строка вида d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa резолвится в IP-адрес и ведет на фишинговый сайт. Для обфускации перед основным доменом подставляется случайный поддомен из 10 букв. Исследователи подтвердили, что Cloudflare и Hurricane Electric позволяют создавать такие записи; техника используется с 2017 года.
Минцифры утвердило «паспорт» для обезличенных данных: ведомство будет запрашивать их при ЧС и карантинах
Министерство цифрового развития выпустило приказ № 173, который регламентирует порядок предоставления операторами обезличенных персональных данных в ГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД). Документ детализирует процедуру передачи данных, установленную постановлением правительства № 1154 от августа 2025 года. Перечень оснований для запроса строго ограничен постановлением № 538 и включает только чрезвычайные ситуации, режим ЧП и карантины. Требование о предоставлении данных должно содержать перечень сведений, их формат, сроки и критерии выборки: категория абонентов, территория, глубина сбора или временной период.
«Телега» на 200 миллионов: приложение для обхода блокировки Telegram заподозрили в связях с VK
Разработчик альтернативного клиента Telegram, АО «Телега», привлек 200 млн рублей от учредителей в 2025 году, направив средства на разработку (41 млн), ФОТ (47 млн) и оборудование. При чистом убытке 91 млн рублей и выручке чуть выше 100 тыс. рублей приложение скачали более миллиона раз на фоне н
Защита корпоративной почты: тренды и автоматизация 2026
Почта остается одной из главных целей для атак, поэтому руководителю важно выстроить стратегию защиты. 31 марта мы обсудим тренды угроз на ближайшие годы и разберем причины, по которым большинство атак сейчас идет из-за рубежа.
В программе вебинара:
— Ландшафт угроз 2025–2026 и причины смещения векторов атак.
— Базовые меры защиты от обновлений до харденинга TLS.
Спикеры объяснят, как новые инструменты помогают экономить ресурcы команды и создать надежный барьер для внешних угроз.
Участие бесплатное, регистрация открыта
#реклама
О рекламодателе
Отечественная нейросеть выявит несогласованные граффити и нелегальную рекламу
25 марта. / Новости Ростеха /. Технологический партнер Госкорпорации Ростех, компания NtechLab, разработала видеоаналитику на базе искусственного интеллекта, которая способна выявлять несогласованные граффити. Нейросеть также поможет бороться с нелегальной рекламой, в том числе с размещением листовок в общественных местах. Сейчас ИИ тестируется в нескольких российских регионах.
Система анализирует видеопоток с камер на борту общественного транспорта и со стационарных городских камер, выявляет нарушения и сообщает о них соответствующим службам. При этом комплекс настраивается таким образом, что легальный стрит-арт и муралы не будут попадать в поле «зрения» нейросети.
«Решения NtechLab для городской среды широко используются в ряде регионов, в том числе помогают оптимизировать работу городского транспорта, снижать очереди на остановках, а также улучшать экологическую обстановку. Одна из проблем городов — мелкий вандализм, в том числе — несогласованные граффити на ограждениях вдоль дорог, на зданиях, гаражах. Наше решение поможет оперативно обнаруживать и ликвидировать такие нарушения. Таким образом внешний вид городов улучшится», — отметил генеральный директор NtechLab Алексей Паламарчук.
Сейчас ИИ работает в нескольких регионах в пилотном режиме. В течение этого года планируется внедрение технологии в ряде городов.
Технологии NtechLab для улучшения городской среды эффективно работают в российских регионах. Так, например, видеоаналитика применяется на площадках сбора твердых коммунальных отходов в Нижегородской, Вологодской и Ленинградской областях. Нейросеть помогает коммунальным службам соблюдать график очистки площадок, а также предупреждает об автомобилях, которые мешают проезду мусоровозов.
Блокировки не спасают: киберпреступники продолжают использовать Telegram несмотря на зачистки
24 марта. / КИБЕР МЕДИА /. Несмотря на усиление модерации и блокировок в Telegram, киберпреступники продолжают активно использовать платформу и быстро адаптируются к новым ограничениям. К такому выводу пришли аналитики в свежем отчете по теневой активности в мессенджере.
По данным исследования, Telegram остается одной из ключевых площадок для координации мошеннических схем, продажи украденных данных и распространения вредоносных инструментов. Даже после удаления крупных каналов и сообществ злоумышленники оперативно создают новые, восстанавливая инфраструктуру практически без потерь.
Эксперты отмечают, что устойчивость криминальной экосистемы обеспечивается децентрализованной структурой. Используются резервные каналы, зеркала, автоматические боты и системы перенаправления аудитории, что делает блокировки менее эффективными.
Отдельно подчеркивается роль Telegram как платформы для первичного контакта с жертвами. Через мессенджер распространяются фишинговые ссылки, вредоносные файлы и предложения участия в мошеннических схемах, включая дропперство и инвестиционные аферы.
При этом аналитики указывают, что усиление давления на платформу все же влияет на поведение злоумышленников. Они становятся осторожнее, используют более сложные схемы маскировки и чаще переходят в закрытые сообщества.
В итоге Telegram остается важным элементом криминальной инфраструктуры, но борьба с незаконной активностью постепенно усложняет работу злоумышленников и повышает порог входа в такие схемы.
🔸ФНС заглянет в выписки без проверок. Новые правила контроля за переводами между гражданами
24 марта. / securitylab.ru /. Правительственная комиссия одобрила законопроект, расширяющий обмен данными между ФНС и Банком России о переводах между физическими лицами. Цель инициативы - выявлять доходы, которые граждане получают на карты от других физлиц без уплаты налогов, сообщил источник РИА Новости.
Согласно законопроекту, Банк России будет обязан передавать в налоговую службу сведения о физлицах, в отношении которых сработали критерии ведения предпринимательской деятельности. ФНС в таком случае сможет запрашивать у банков выписки по счетам таких граждан без проведения проверки. Как пишет РБК, речь идет о платежах по возмездным сделкам между физлицами, которые оформляются как обычные переводы на карты, счета и электронные кошельки. По оценке разработчиков, сейчас подобный заработок фактически находится за пределами налогового контроля.
Изменения также предлагается внести в законы о налоговых органах и о противодействии отмыванию преступных доходов и финансированию терроризма. ФНС, в свою очередь, будет передавать Центральному банку информацию об открытии и закрытии счетов и вкладов физлиц, не являющихся индивидуальными предпринимателями, а также о получении и прекращении права на использование электронных платежных средств.
Кроме того, ИНН станет обязательным реквизитом для идентификации клиента банка. Для упрощенной идентификации перечень документов расширят: к нему добавят СНИЛС, полис ОМС и водительское удостоверение.
Законопроект направлен на расширение информационного обмена между налоговой службой и Центральным банком в рамках мер по легализации отдельных секторов экономики.
🔹Полноценная ИИ-инфраструктура отсутствует в 91% компаний в России
23 марта. / КИБЕР МЕДИА /. Инфраструктурная база для масштабирования ИИ остается ограниченной. Только 9% организаций в РФ полностью обеспечены вычислительными мощностями для задач ИИ, – говорится в исследовании ИТ-холдинга Т1. В «Группе Астра» подтвердили данные исследования.
Более половины отечественных компаний (51%) нуждаются в вычислительных ресурсах, еще 40% обеспечены ими частично. Глобальные расходы на ИИ показывают стремительную динамику. В 2025 году рекордный прирост инвестиций – в 15 раз – пришелся именно на инфраструктуру для ИИ. Для сравнения, расходы на программное обеспечение выросли на 238%, на модели ИИ – на 152%, на услуги – на 69%.
Графические процессоры (GPU) остаются ключевым звеном для современных ИИ-нагрузок. Спрос на высокопроизводительные вычисления подогревается расширением внедрения генеративного ИИ, развитием ИИ-агентов и других технологий. В среднесрочной перспективе рост потребления GPU будет опережать производственные мощности, формируя устойчивый дефицит.
Объем российского рынка ИИ-ускорителей в 2025 году достиг около 63 млрд рублей. Основная доля спроса (80%) приходится на крупных корпоративных клиентов, экосистемные компании и госсектор. По оценкам экспертов Т1, при базовом сценарии рынок вырастет с 52,1 млрд рублей в 2024 году до 257,6 млрд рублей к 2030 году.
В «Группе Астра», крупнейшем разработчике ИИ-решений и вендоре B2B-решений, прокомментировали результаты исследования.
«Сегодня большинство компаний в России внедряют ИИ без необходимой инфраструктуры под ним — работают на «латаных» облаках, разрозненных стойках, ручных интеграциях. Итог предсказуемый: пилоты есть, масштаба нет, экономика не сходится. К сожалению, приходится часто наблюдать такой подход, например в enterprise. Для безопасности и экономического развития ИИ необходимо запускать в суверенном контуре, с понятным TCO и без сюрпризов для P&L, именно под эти задачи мы в «Группе Астра» развиваем отечественный «Тессеракт»», — говорить Станислав Ежов, директор по развитию ИИ «Группы Астра».
Система sPACE PAM получила сертификат ФСТЭК России
23 марта. / C.NEWS /. Система управления привилегированным доступом sPACE PAM прошла сертификационные испытания ФСТЭК России по четвертому уровню доверия. Это подтверждает ее высокий уровень безопасности и позволяет использовать в организациях с повышенными требованиями к безопасности, включая объекты КИИ и АСУТП до первой категории значимости включительно, государственные информационные системы (ГИС) и информационные системы персональных данных до первого уровня защищенности включительно. Об этом CNews сообщили представители «Вэб Контрол ДК».
Сертификат соответствия № 5040 выдан 12 февраля 2026 г. сроком на пять лет.
Забыл «закрыть дверь». Как одна открытая папка погубила карьеру иранского хакера
21 марта. / securitylab.ru /. Специалисты обнаружили масштабную инфраструктуру ботнета, развёрнутую на базе ошибочно открытого каталога на сервере в Иране. Утечка позволила восстановить почти всю цепочку работы оператора — от настройки сети обхода блокировок до создания инструментов для атак и управления заражёнными устройствами.
Инцидент выявили аналитики Hunt.io во время мониторинга открытых серверов. Один из узлов с адресом 185.221.239[.]162 содержал сотни файлов, включая конфигурации, исходный код и историю команд. Сервер принадлежал иранскому провайдеру Dade Samane Fanava Company и использовался как точка входа в более широкую инфраструктуру.
Анализ TLS-сертификата помог раскрыть сеть из 15 узлов. Семь серверов размещались у хостинг-провайдера Hetzner в Финляндии, ещё семь — у иранских операторов связи. Дополнительный узел находился в Лондоне у OVH. Все элементы объединяла единая схема — входящий трафик шёл через Иран, а выходные точки располагались за рубежом.
Конфигурационные файлы показали, что сеть применяли не только для атак. Сервер выполнял роль туннеля на базе Paqet — инструмента обхода интернет-фильтрации. Трафик направлялся через KCP с шифрованием, что позволяло маскировать активность и обходить глубокую проверку пакетов.
История bash-команд раскрыла три этапа работы оператора. Сначала развернули туннельную инфраструктуру и отладили прокси-сервисы. Затем начались эксперименты с DDoS-инструментами. На сервере компилировали программы на C для SYN- и UDP-флуда, а также запускали MHDDOS против конкретных целей, включая игровой сервер FiveM.
Заключительный этап показал переход к созданию ботнета. Скрипт ohhhh.py использовал список учётных данных для массового подключения по SSH. Одновременно открывались сотни сессий, после чего на удалённых машинах компилировался вредоносный клиент и запускался в фоновом режиме. Исполняемый файл маскировали под «hex», чтобы снизить вероятность обнаружения.
Дополнительный скрипт yse.py позволял оператору быстро останавливать все процессы на заражённых узлах. Основной бинарный клиент — образец вредоносного ПО — содержал функции связи с управляющим сервером, передачу информации о системе и команды для запуска атак. В коде обнаружили механизм автоматического переподключения, что делает заражённые машины устойчивыми к сбоям инфраструктуры.
Косвенные признаки — использование иранских провайдеров, комментарии на фарси и архитектура обхода блокировок — указывают на происхождение оператора. При этом характер целей и уровень инструментов не похожи на деятельность, связанную с государственными структурами. Скорее, речь идёт о частной или коммерческой активности.
Инцидент наглядно показывает, как одна ошибка в настройке сервера раскрывает всю операционную схему. В данном случае открытый каталог позволил проследить полный цикл — от построения сети до атак и управления ботнетом.
Telegram-боты под угрозой: вредоносный Python-пакет открывает полный доступ к серверам
20 марта. / КИБЕР МЕДИА /. Обнаружен вредоносный пакет pyronut в экосистеме Python, который маскируется под библиотеку для работы с Telegram-ботами, но на деле внедряет бэкдор с возможностью удалённого выполнения кода. Пакет распространялся через публичные репозитории и мог быть установлен разработчиками как зависимость без подозрений.
После установки pyronut активирует скрытую функциональность: он устанавливает соединение с управляющим сервером и ожидает команды от оператора. Через этот канал злоумышленник может выполнять произвольный код на машине разработчика или сервере, где развернут Telegram-бот.
Технически вредонос интегрируется в процесс работы бота, используя стандартные механизмы Python-импортов. Это позволяет ему работать незаметно, не вызывая сбоев в основной логике приложения. При этом он может получать доступ к токенам ботов, конфигурационным файлам, переменным окружения и другим чувствительным данным.
Ключевая опасность в том, что Telegram-боты часто размещаются на серверах с доступом к базам данных, API и внутренним сервисам. Через pyronut атакующий может не только перехватывать сообщения, но и использовать инфраструктуру как точку входа для дальнейшего продвижения внутри системы.
Анализ показал, что вредонос использует механизмы обфускации и может динамически подгружать дополнительные модули. Это усложняет обнаружение и позволяет адаптировать поведение под конкретную цель.
Эксперты отмечают, что инцидент вписывается в растущий тренд атак через цепочку поставок ПО - злоумышленники внедряют вредоносный код в популярные или правдоподобные библиотеки, рассчитывая на автоматическую установку зависимостей.
Telegram оказался сильнее: Роскомнадзору становится тяжелее блокировать интернет-сервисы
20 марта. / КИБЕР МЕДИА /. В России снижается эффективность блокировок интернет-ресурсов - современные технологии обхода и архитектура самих сервисов делают работу Роскомнадзора всё сложнее. По информации, предоставленной Forbes, это особенно касается платформ вроде Telegram, которые изначально проектируются с учётом устойчивости к цензуре.
Ключевая проблема в том, что многие сервисы используют распределённую инфраструктуру, CDN и динамическую смену IP-адресов. В результате традиционные методы блокировки - по IP или доменам - перестают работать стабильно: адреса быстро меняются, а трафик маскируется под легитимный.
Дополнительную сложность создаёт использование шифрования и нестандартных протоколов передачи данных. Это ограничивает возможности DPI-систем: они могут видеть факт соединения, но не всегда способны точно определить его назначение без риска затронуть легальный трафик.
Эксперты отмечают, что Telegram и аналогичные сервисы активно применяют техники обфускации трафика и балансировки нагрузки через облачные провайдеры. Это приводит к тому, что попытки блокировки могут затрагивать сторонние сервисы и инфраструктуру, что делает такие меры чувствительными и ограниченными в применении.
На этом фоне регулятору приходится искать более сложные и точечные методы, однако их внедрение требует времени и ресурсов. В итоге возникает ситуация, при которой технологическая эволюция интернет-сервисов опережает возможности их блокировки, а борьба переходит в постоянную гонку между платформами и регуляторами.
Приглашаем на вебинар «Автоматизация анализа с помощью PVS-Studio»
Статический анализатор — мощный, но не всегда простой инструмент. Серия вебинаров «Знакомство с PVS-Studio» поможет разобраться в различных вопросах: от установки анализатора до встраивания в CI/CD и тонких настроек.
В части про автоматизацию анализа расскажут о том, как встроить PVS-Studio в рабочий процесс разработки и минимизировать ручную работу.
В программе:
— Запуск анализатора из командной строки (CLI).
— Использование PVS-Studio в Docker-контейнерах.
— Интеграция в процессы CI/CD.
— Обзор утилит Plog Converter и Blame Notifier.
Когда: 26 марта 14:00
Подробности и регистрация по ссылке.
📚Эксперты рассказали, как получить отдачу от инвестиций в ИИ
18 марта. / КИБЕР МЕДИА /. Согласно исследованию аналитической компании Gartner, проведённому среди 110 HR-руководителей, 78% из них считают, что для получения максимальной отдачи от инвестиций в искусственный интеллект компаниям придётся пересмотреть рабочие процессы и роли сотрудников.
По оценке Gartner, в 2026 году на стратегии управления изменениями будут влиять четыре основных фактора. Первый — ИИ как катализатор быстрых изменений. Искусственный интеллект запускает стремительные и масштабные трансформации, затрагивающие сразу несколько функций бизнеса. Второй — неравномерная трансформация работы. Изменения происходят с разной скоростью в разных командах и это создаёт трения в рабочих процессах и приводит к тому, что часть сотрудников не успевает адаптироваться. Третий — ИИ — не цель, а инструмент изменений. Компании всё чаще используют ИИ для решения конкретных бизнес-задач. Практический опыт работы с технологиями стимулирует дальнейшее их внедрение. Четвертый — смещение фокуса на возможности для сотрудников. Сотрудники всё чаще воспринимают изменения как способ получить новые навыки и расширить профессиональные связи.
Эксперты подчёркивают: эпоха ИИ требует от компаний не просто внедрения новых технологий, а глубокой перестройки подходов к управлению людьми и изменениями. Успех будет зависеть от способности организаций быстро адаптироваться и одновременно поддерживать сотрудников в этом процессе.
В «Группе Астра», крупнейшем разработчике ИИ-решений и вендоре B2B-решений, прокомментировали результаты исследования и рассказали о собственном опыте внедрения цифрового HR-менеджера.
«В Российский реалиях все ровно также — без перестройки ролей ROI от ИИ не будет. Наш свежий кейс это подтверждает, когда внедряли цифрового HR-менеджера на базе ПАК Тессеракт, стоимость найма падала в 5 раз и вакансия закрывается вдвое быстрее. Цифровой сотрудник работает 24/7. Технология полностью готова и протестирована», — говорить Станислав Ежов, директор по развитию ИИ «Группы Астра».
Эксперты оценили идею установить критерии и сроки устранения ИБ-уязвимостей
18 марта. / ВЕДОМОСТИ /. О необходимости определить единые критерии и срок, в который компании должны будут устранять критические уязвимости в системах заявил представитель Генпрокуратуры. Вопрос на круглом столе в Совете Федерации начальник отдела по надзору за исполнением законов в сфере ИКТ Главного управления по надзору за исполнением законодательства ведомства Олег Кипкаев.
По словам Кипкаева, компании нарушают обязательные требования информационной безопасности. «[В связи с этим] должна быть обеспечена системная работа по выявлению, учету и обязательному устранению критических уязвимостей в установленные сроки. Эта деятельность должна вестись на постоянной основе по единым критериям и четким определениям степени опасности выявляемых недостатков», – заявил Кипкаев.
Также Кипкаев предложил ужесточить ответственность за неустранение критических уязвимостей, в случаях когда такое бездействие грозит «причинением существенного вреда государственным, общественным и частным интересам». При этом он отметил, что если «по объективным причинам» устранение уязвимостей в кратчайшие сроки невозможно, например, из-за отсутствия нужного обновления софта либо при необходимости серьезной технологической перестройки бизнес-процессов, то «должны незамедлительно приниматься компенсирующие меры».
Представитель Минцифры подчеркнул, что эти предложения в целом согласуются с позицией ведомства по этому вопросу. В частности, летом 2025 г. был принят 325-ФЗ, в котором предусматривается введение понятия доверенного ПО, напомнил собеседник. Такой софт должны будут использовать объекты критической информационной инфраструктуры (КИИ, к ним относятся, например, операторы связи, госорганы и т. д.). Требования к такому доверенному софту сейчас дорабатываются, в их составе есть положения об обязательствах разработчика устранять уязвимости в установленный срок, уточнил собеседник в министерстве.
Если устранить уязвимость в установленные сроки невозможно, то компания обязана применить компенсирующие меры, т. е. временные действия, направленные на блокировку возможности эксплуатации уязвимости, говорит Бедеров: в них входят сетевая фильтрация и сегментация, усиление мониторинга и реагирования, виртуальные патчи, ограничение прав доступа. Перечисленные меры позволяют «купить время» и обеспечить защиту, уточнил он.
Россия вошла в тройку наиболее атакуемых хакерами стран мира
17 марта. / КИБЕР МЕДИА /. По данным исследования Positive Technologies, в 2025 году Россия вошла в число трех стран, которые чаще всего становились мишенью кибератак, наряду с США и Китаем. Здесь была зафиксирована активность 57 киберпреступных групп, атакующих страны СНГ. Ключевыми целями злоумышленников оставались кража конфиденциальной информации, промышленный шпионаж, саботаж и получение финансовой выгоды. При этом в атаках киберпреступники активно применяли искусственный интеллект, а также нестандартные инструменты для создания фишинговых кампаний и дипфейков.
Основная часть всех атак в СНГ пришлась на три страны: Россию (46%), Беларусь (11%) и Казахстан (8%). Эксперты связывают это с региональными геополитическими процессами, масштабом экономической деятельности и численностью населения. Чаще всего СНГ атаковали APT-группировки; на долю хактивистов пришлось всего 19% атак в регионе. Такое распределение связано с тем, что политически мотивированные злоумышленники зачастую либо подчиняются прогосударственным группам, либо вытесняются ими, выполняя роль посредников.
Всего в 2025 году на территории СНГ эксперты Positive Technologies отслеживали деятельность 123 киберпреступных групп, из которых 57 проявили себя в России. Активнее всего действовали Rare Werewolf, Lifting Zmiy, PhantomCore, Cyber Partisans, Silent Crow и TA558. Их главными целями стали промышленные предприятия, правительственные учреждения и финансовые организации: на эти сферы пришлось почти 50% всех атак. При этом промышленность атаковало большинство активных группировок. Последствия подобных киберпреступлений принимали разные формы: от крупных утечек конфиденциальных данных до прямого вывода из строя объектов инфраструктуры.
Фишинг и эксплуатация уязвимостей в публично доступных приложениях оставались в 2025 году главными векторами проникновения во всех регионах мира. При этом злоумышленники активно внедряли искусственный интеллект как для создания более убедительного фишинга, так и для написания вредоносного кода. Например, группировка Rare Werewolf применяла собственные вредоносные модули, разработанные с помощью ИИ, в атаках на предприятия авиационной и радиопромышленности. Потенциальный ущерб от таких атак включает не только кражу данных, но и незаметное использование вычислительных мощностей предприятий для добычи криптовалюты. Киберпреступная группа Goffee также применяла нейросети в атаках на российские оборонные компании.
«Для обхода сигнатурных средств защиты, широко распространенных в регионе, злоумышленники маскировали вредоносное ПО под легитимные файлы и популярные расширения, обфусцировали код и применяли автозагрузку через реестр или планировщик задач. Для выполнения вредоносных скриптов в основном использовались интерпретаторы командной строки. Некоторые группировки также адаптировали вредоносы для проверки среды выполнения, снижая риск их запуска в песочницах. Эти данные показывают: квалификация атакующих повышается, а значит, и подходы к защите нуждаются в системном пересмотре. Для минимизации рисков целевых атак необходимо проактивно анализировать угрозы, проводить реалистичные тестирования и обучение команд», — отмечает Артем Белей, старший аналитик группы международной аналитики Positive Technologies.
Эксперты ожидают, что в 2026 году высокая активность APT-группировок и хактивистов в регионе сохранится. Даже при возможной заморозке текущих конфликтов атакующие сосредоточатся на промышленном шпионаже и получении разведывательной информации. Киберпреступники будут активно использовать огромное количество уже скомпрометированных учетных данных в новых попытках получить несанкционированный доступ. Кроме того, запланированные на 2026 год в странах СНГ масштабные мероприятия могут расширить поверхность атаки.
📚Хакеры начали распространять фейковые VPN через поисковики: новая кампания крадет логины и пароли пользователей
16 марта. / КИБЕР МЕДИА /. Эксперты по кибербезопасности из Microsoft сообщили о новой вредоносной кампании, в рамках которой злоумышленники распространяют поддельные VPN-клиенты через поисковую выдачу. За атакой стоит хакерская группа Storm-2561, использующая метод так называемого SEO-poisoning - манипулирования результатами поиска для продвижения вредоносных сайтов.
По данным специалистов, злоумышленники создают сайты, маскирующиеся под страницы популярных VPN-сервисов. Благодаря оптимизации под поисковые системы такие ресурсы появляются среди первых результатов поиска. Пользователи, пытаясь скачать VPN для обхода ограничений или повышения конфиденциальности, попадают на поддельные страницы и загружают зараженное программное обеспечение.
После установки фальшивый VPN фактически не выполняет заявленных функций. Вместо этого вредоносная программа собирает учетные данные пользователей, включая логины, пароли и другую конфиденциальную информацию. Полученные данные затем могут использоваться для взлома аккаунтов или дальнейших атак.
В Microsoft отмечают, что подобные кампании становятся все более распространенными, поскольку злоумышленники активно используют популярные запросы пользователей. Особенно часто атакуются темы, связанные с безопасностью, VPN-сервисами и программами для удаленного доступа.
Облава в Бангкоке и конец онлайн-разводов. Спецслужбы всего мира объединились против азиатской кибермафии
15 марта. / securitylab.ru /. Международная операция правоохранительных органов и технологических компаний привела к масштабному удару по сетям онлайн-мошенников, действующих из стран Юго-Восточной Азии. Совместные действия затронули преступные центры, которые годами обманывали пользователей из США, Великобритании и государств Азиатско-Тихоокеанского региона.
В ходе операции специалисты компании Meta* совместно с правоохранительными структурами разных стран отключили более 150 тысяч аккаунтов, связанных с мошенническими центрами. Одновременно подразделение по борьбе с кибермошенничеством Королевской полиции Таиланда задержало 21 человека, подозреваемого в участии в преступных схемах.
Координацию действий обеспечила так называемая неделя совместных операций в Бангкоке. Инициаторами выступили тайский Центр противодействия кибермошенничеству, Федеральное бюро расследований США и специальная группа Министерства юстиции США по борьбе с мошенническими центрами. К операции присоединились правоохранительные органы из Великобритании, Канады, Южной Кореи, Японии, Сингапура, Филиппин, Австралии, Новой Зеландии и Индонезии. В обсуждениях участвовали и представители мессенджера LINE.
По словам представителей Meta, современные мошеннические сети действуют как полноценные бизнес-структуры. Подобные центры часто размещаются в Камбодже, Мьянме и Лаосе. Преступные группы используют масштабные схемы обмана, тщательно скрывают инфраструктуру и активно применяют цифровые платформы для поиска жертв.
Операция продолжила инициативу, запущенную в декабре прошлого года. Тогда правоохранительные органы совместно с Meta провели пилотную неделю обмена оперативными данными. Результатом стало удаление 59 тысяч страниц, групп и аккаунтов в сервисах компании, а также выдача шести ордеров на арест.
Участники операции считают международное сотрудничество ключевым инструментом против организованных сетей интернет-мошенничества. Правоохранительные органы и технологические компании намерены продолжить совместные действия, чтобы разрушать инфраструктуру преступных групп и ограничивать их доступ к цифровым платформам.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.Читать полностью…