Германия обвинила Россию в кибератаке на систему управления воздушным движением и дестабилизации выборов
https://www.unian.net/world/germaniya-obvinila-rossiyu-v-kiberatake-na-sistemu-upravleniya-vozdushnym-dvizheniem-13224663.html
#unian #Новостимира #ГибриднаявойнаРФпротивЕС #Германия #Россия #кибератаки #ГРУ

Пара реальных историй из жизни аналитиков SOC

Своевременное выявление инцидентов ИБ позволяет минимизировать возможный ущерб в случае реализации связанных с ними рисков. Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки и именно от них зависит, насколько быстро будет обнаружена та или иная атака. В этой статье мы рассмотрим пару реальных случаев расследования инцидентов аналитиками SOC. Но для начала давайте разберемся с тем, как построено взаимодействие специалистов в Security Operations Center. Как работает SOC

https://habr.com/ru/companies/otus/articles/972158/

#soc #siem #edr #мониторинг_безопасности #реагирование_на_инциденты #расследование_инцидентов #фишинговая_атака #кибератаки

Корпоративный фрод и пути борьбы с ним

Привет! Меня зовут Сергей, я руководитель отдела методологии ИБ РТК-ЦОД. Наш отдел часто сталкивается с попытками заполучить обманными схемами корпоративную информацию. В этой статье я напомню, что представляет собой фрод, расскажу, с какими схемами мы сталкиваемся и что можно сделать, чтобы обезопасить себя и бизнес. Цели корпоративного фрода Корпоративный фрод — совокупность методов мошеннических действий: получение конфиденциальных данных и их несанкционированное использование, финансовые махинации и подлоги. Их мишень — бизнес. Злоумышленники зарабатывают на любой ценной информации компании — базах данных, разработках, внутренних документах, финансовых сведениях и т.д. Полученную информацию они либо продают конкурентам, хакерам и другим преступникам на теневых форумах (даркнет), либо используют для проведения целевых кибератак на компанию. Успешно реализованные фрод-атаки причиняют серьезный ущерб. По данным МВД России ущерб от действий кибермошенников в 2023 году оценивался в 147 млрд руб., а в 2024 уже достиг 200 млрд руб., при этом 40% от всех зарегистрированных преступлений в 2024 году (свыше 765,4 тысяч) совершены с использованием информационных технологий. Таким образом, тематика защиты информации и бизнеса от мошеннических действий не только очевидна, но и год от года не теряет актуальности. Важный аспект защиты — это знания о фроде и умение ему противостоять. Это позволяет снизить риски финансовых потерь, сохранить доверие клиентов и репутацию компании. Поговорим о схемах корпоративного фрода, с которыми столкнулась наша компания. CEO-фрод: атака (дипфейк-звонки) от имени руководителя Одна из наиболее массовых мошеннических схем, также известная под названием «фейк босс». Злоумышленники маскируются под генерального директора или другого высокопоставленного руководителя, обращаются к сотрудникам со срочными запросами предоставить чувствительную корпоративную информацию, оказывают давление вплоть до угроз. Вот как это выглядит: сотруднику приходит письмо на корпоративную почту или сообщение в мессенджере от имени директора, который под «тайным и конфиденциальным предлогом» просит срочно совершить что-либо, что не входит в обязанности — провести оплату по направленному счету, прислать документы для проведения торгов, базу данных клиентов, перевести деньги на указанный счет, изменить настройки доступа, сообщить пароль от учетной записи и т. п. При этом «директор» давит на сотрудника: ожидает проявления лояльности компании и ему лично, а просьбу требует сохранить в тайне. Срочность, нестандартность и давление — вообще ключевые элементы CEO-фрода: у жертвы возникает иллюзия чрезвычайной ситуации, в которой нет возможности придерживаться принятых бизнес-процесса или процедуры согласования, а тем более обратиться за советом к линейному руководителю или коллеге.

https://habr.com/ru/companies/rt-dc/articles/975330/

#фрод #кибербезопасность #фишинг #вредоносное_программное_обеспечение #дипфейк #человеческий_фактор #киберкультура #фишинговое_письмо #кибератаки

(Не) безопасный дайджест: виртуозная BEC-атака, детсадовский беспредел и криптоферма из воздуха

Пришло время для традиционного ежемесячного обзора «классических» и нетривиальных ИБ-инцидентов. В ноябрьской программе: мстительный бывший устроил саботаж в ИТ-инфраструктуре работодателя, Intel в очередной раз столкнулась с утечкой конфиденциальных данных, а сотрудники японского медиахолдинга опять не распознали фишинг.

https://habr.com/ru/companies/searchinform/articles/972364/

#утечки #взломы #инсайдеры #промышленный_шпионаж #фишинг #кибератаки

«Хакер»: самые важные новости мира безопасности за ноябрь

В этом месяце: роутеры Keenetic обновляются самостоятельно, Microsoft борется с KMS-активацией Windows, Минцифры дополнило «белые списки» сайтов, маршрутизаторы Asus подверглись массовому взлому, исследователи сумели собрать личные данные 3,5 миллиарда пользователей WhatsApp, а также другие важные и интересные события ноября.

https://habr.com/ru/companies/xakep/articles/971574/

#Keenetic #Asus #маршрутизаторы #информационная_безопасность #уязвимости #Microsoft #Windows #кибератаки #утечки_данных #WhatsApp

Уже не Thor: как мы выслеживали одну группировку и «разбудили» другую

Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader . Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs . Дальнейшее расследование позволило обнаружить в инфраструктуре жертвы активность другой группировки. Интересно, что ее деятельность, вероятно, помешала QuietCrabs реализовать атаку и стала причиной, по которой на эту атаку обратили внимание. Мы предполагаем, что второй группировкой являются хакеры Thor . В статье мы покажем цепочки атак, обнаруженные нами во время расследования, и расскажем про сами инструменты, которые использовали злоумышленники.

https://habr.com/ru/companies/pt/articles/967426/

#реагирование_на_инциденты #целевые_атаки #кибератаки #группировка #thor #quietcrabs #удаленное_выполнение_кода #rce #killchain #цепочка_атаки_хакера

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

Расследование инцидентов и ретроспективный анализ: итоги проектов 2024-2025

Команда комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершила анализ инцидентов за период с IV квартала 2024 года по III квартал 2025 года. За это время мы провели более сотни расследований и в очередной раз убедились: киберугрозы не становятся сложнее, но становятся результативнее. Хакеры нечасто придумывают что-то принципиально новое — они совершенствуют уже проверенные методы и реализовывают их эффективнее . Наша статья для тех, кто ответствен за информационную безопасность: от CTO и CISO до администраторов и аналитиков SOC. В ней собрана информация о том, как проникают хакеры, какие инструменты используют, и что из этого следует для защиты.

https://habr.com/ru/companies/pt/articles/967968/

#расследование_инцидентов #кибератаки #ретроспектива #анализ_данных

Европол: 80% от хакерските атаки с искане за откуп са дело на руски хакери.
Експертите отчитат ръст на измамите с „дийп фейк“ технологии. #Европол #кибератаки #Русия #киберсигурност #cybercrime https://paralell.eu/2025/11/11/ruski-hakeri-stoyat-zad-80-ot-atakite-s-iskane-na-otkup-saobsthi-evropol

Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить

В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации. Сегодня мы, Лада Антипова и Александр Гантимуров, расскажем, что представляет собой фреймворк постэксплуатации AdaptixC2, как выявлять следы его использования и чем отличается выявленный способ эксплуатации фреймворка от всех описанных публично ранее. В результате расследования компьютерного инцидента был выявлен инструмент злоумышленников, который использовался для закрепления в скомпрометированной системе. Он выгодно отличался от других видов типового и самописного ВПО, которые эти же злоумышленники использовали в ходе атаки. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности по конфигурации. После непродолжительного исследования стало ясно, что перед нами агент Beacon от фреймворка постэксплуатации AdaptixC2. AdaptixC2 — это фреймворк для постэксплуатации, который часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub . Ранее о его применении в кибератаках на другие страны сообщали Symantec , Palo Alto и « Лаборатория Касперского ». Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих организации в России, было лишь вопросом времени.

https://habr.com/ru/companies/angarasecurity/articles/962088/

#фреймфорк #впо #cobaltstrike #кибератаки #автоматизация #вредоносы

Гайд по здравому смыслу: Как защитить корпоративные данные в эпоху нейросетей

Привет, Хабр! Меня зовут Кирилл Пшинник, я научный сотрудник Университета Иннополис и СЕО

https://habr.com/ru/articles/957282/

#информационная_безопасность #безопасность_данных #кибербезопасность #защита_данных #искусственный_интеллект #нейросети #бизнеспроцессы #кибератаки #облачная_инфраструктура #кибергигиена

MITM-атаки: угроза, которая может настигнуть любого человека в самый неподходящий момент

В современном мире есть огромное количество вызовов, и помимо пресловутых “капитанов галактической полиции из Центробанка”, которые призваны защитить тебя от мошенников (на самом деле нет, кто не понял - это был сарказм), существует куча угроз, которые даже не увидишь то толком. И я сейчас не про микробы и инфекции, а про интернет безопасность, мы же на Хабре, в конце концов, правда?

https://habr.com/ru/articles/959264/

#mitm #кибератаки #кибератака

Разбор атаки на PassOffice: мой пропуск в базу данных

Привет, Хабр! На связи @mirez , в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных на киберучениях Standoff Standalone . Нашей целью была система управления гостями PassOffice, которую используют в бизнес-центрах. Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода. Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

https://habr.com/ru/companies/pt/articles/950718/

#passoffice #ctf #standoff_365 #standoff_bug_bounty #багхантинг #киберполигон #sql #rb #кибератаки #flask

Главные угрозы для малого и среднего бизнеса

Привет, Хабр! Сегодня киберугрозы эволюционировали из кустарных атак в сложные, многоходовые сценарии, способные поставить на паузу работу организации любого масштаба. Но особенно больно они бьют по малому и среднему бизнесу. Почему? У корпораций есть выделенные службы ИБ, SOC‑центры, и бюджеты на проактивную защиту. У малого и среднего бизнеса ресурсы ограничены. Для злоумышленников это сигнал о том, что сопротивление будет минимальным. Знать, как именно атакуют, — значит понимать, как защищаться. В этом материале я расскажу о пяти наиболее распространённых киберугрозах.

https://habr.com/ru/companies/beget/articles/946120/

#информационная_безопасность #киберугрозы #малый_бизнес #средний_бизнес #вредоносное_по #ddosатаки #защита_данных #программывымогатели #кибератаки #антифрод

Комплексная защита АСУ ТП или ICS XDR в действии

Всем привет! Меня зовут Максим Гусев, я инженер направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . Последние несколько лет мы наблюдаем масштабный рост количества атак на производственные объекты. При этом они еще и усложняются — становятся целенаправленными на разрушение ИТ-инфраструктур конкретных организаций. Для собственников и сотрудников производств ситуация еще усложняется растущими требованиями по кибербезопасности со стороны государства. Поэтому для эффективного отражения атак сегодня необходимы новые подходы — комплексные системы мониторинга и реагирования. В частности, все популярнее становится ICS XDR, адаптированный под задачи промышленности. В этой статье я подробно описал, что из себя представляет и зачем нужна эта платформа, а также показал ее эффективность на примере работы ICS XDR от Лаборатории Касперского.

https://habr.com/ru/companies/k2tech/articles/945342/

#кибербезопасность #информационная_безопасность #асутп #защита_асу_тп #безопасность_асу_тп #xdr #ics #kics #безопасность_предприятий #кибератаки

Кого и как атаковали в первом полугодии: кейсы успешных кибератак и безуспешного противостояния им

В своих исследованиях мы с коллегами часто делаем акцент на масштабах и характере негативных последствий, которые влекут за собой реальные кибератаки. В своем недавнем аналитическом отчете мы подробно рассказали об актуальных угрозах первого полугодия 2025 года: хакерских инструментах, жертвах кибератак среди отраслей и пользователей, а в этой статье хотим поделиться живыми примерами атак в I–II кварталах, которые повлекли за собой негативные последствия и вызвали большой резонанс. Итак, что же привлекло наше внимание и внимание других специалистов ИБ-отрасли.

https://habr.com/ru/companies/pt/articles/944196/

#cybersecurity #кибератаки #первое_полугодие

Эффективные методы борьбы с современными угрозами кибербезопасности

​Угрозы кибербезопасности растут с развитием технологий. В этой статье разработчиками компании DST Global рассказывается, как бороться с распространёнными угрозами.

Большинство организаций переходят на использование облачных технологий , то есть фактически работают...

#DST #DSTGlobal #ДСТ #ДСТГлобал #кибербезопасность #безопасность #Спуфинг #Кибератаки #Обнаружениеугроз #PoSA #XDR #EDR

Источник: https://dstglobal.ru/club/1106-effektivnye-metody-borby-s-sovremennymi-ugrozami-kiberbezopasnosti

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Не лает, не кусает, в 1С не пускает. Что поможет спасти ваши базы 1С от критической уязвимости BDU:2025-07182

17.06.2025 г. ФСТЭК России зафиксирована критическая уязвимость в платформе 1С:Предприятие 8 под номером BDU-2025-07182 . Этот дефект позволяет злоумышленникам, действующим удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, что создает серьезные риски для компаний, использующих решения 1С в своих бизнес-процессах. Что грозит в связи с этим малому и среднему бизнесу? И как защититься? Подробно рассказываю далее.

https://habr.com/ru/articles/939488/

#Информационная_безопасность_и_1С #защита_баз_данных #обслуживание_ит_инфраструктуры #кибербезопасность #кибератаки #киберугрозы #уязвимости_и_их_эксплуатация #защита_данных #защита_информации #защита_от_уязвимостей

Шифровальщик внутри: план по восстановлению инфры + чеклист для профилактики вирусов

Привет, Хабр! Недавно мы опросили ИТ и ИБ-специалистов из 104 средних и крупных российских компаний разных отраслей о главных угрозах сетевой безопасности. Большинство — 64% респондентов — назвали вирусов-шифровальщиков (ransomware) самыми опасными для безопасности ИТ-инфраструктур. Это подтверждает и наша внутренняя статистика — с прошлого года количество запросов на защиту от шифровальщиков выросло в 2 раза, заявки в наш SOC поступают еженедельно. Цель шифровальщиков — модифицировать (зашифровать) все файлы с чувствительной информацией компании, а далее требовать выкуп за ее расшифровку. При этом ущерб может быть непредсказуемым и из-за простоя рабочих процессов. Например, если вирус-шифровальщик попадает из корпоративной среды в производство, то оно просто встает. В этом материале мы собрали роадмап по восстановлению ИТ-инфраструктуры, если инцидент уже произошел: конкретные шаги, инструменты и подходы + пример кейса из нашей практики. Также мы составили профилактический чеклист — что можно (и нужно) сделать уже сейчас, чтобы предупредить проникновение шифровальщика и его негативные последствия для инфраструктуры и бизнеса в целом.

https://habr.com/ru/companies/k2tech/articles/938726/

#кибербезопасность #инфраструктура #итинфраструктура #кибератаки #вирусы #вирусышифровальщики #шифровальщик #восстановление #восстановление_данных #восстановление_инфраструктуры