(Не) безопасный дайджест: виртуозная BEC-атака, детсадовский беспредел и криптоферма из воздуха

Пришло время для традиционного ежемесячного обзора «классических» и нетривиальных ИБ-инцидентов. В ноябрьской программе: мстительный бывший устроил саботаж в ИТ-инфраструктуре работодателя, Intel в очередной раз столкнулась с утечкой конфиденциальных данных, а сотрудники японского медиахолдинга опять не распознали фишинг.

https://habr.com/ru/companies/searchinform/articles/972364/

#утечки #взломы #инсайдеры #промышленный_шпионаж #фишинг #кибератаки

«Хакер»: самые важные новости мира безопасности за ноябрь

В этом месяце: роутеры Keenetic обновляются самостоятельно, Microsoft борется с KMS-активацией Windows, Минцифры дополнило «белые списки» сайтов, маршрутизаторы Asus подверглись массовому взлому, исследователи сумели собрать личные данные 3,5 миллиарда пользователей WhatsApp, а также другие важные и интересные события ноября.

https://habr.com/ru/companies/xakep/articles/971574/

#Keenetic #Asus #маршрутизаторы #информационная_безопасность #уязвимости #Microsoft #Windows #кибератаки #утечки_данных #WhatsApp

Уже не Thor: как мы выслеживали одну группировку и «разбудили» другую

Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader . Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs . Дальнейшее расследование позволило обнаружить в инфраструктуре жертвы активность другой группировки. Интересно, что ее деятельность, вероятно, помешала QuietCrabs реализовать атаку и стала причиной, по которой на эту атаку обратили внимание. Мы предполагаем, что второй группировкой являются хакеры Thor . В статье мы покажем цепочки атак, обнаруженные нами во время расследования, и расскажем про сами инструменты, которые использовали злоумышленники.

https://habr.com/ru/companies/pt/articles/967426/

#реагирование_на_инциденты #целевые_атаки #кибератаки #группировка #thor #quietcrabs #удаленное_выполнение_кода #rce #killchain #цепочка_атаки_хакера

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

Расследование инцидентов и ретроспективный анализ: итоги проектов 2024-2025

Команда комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершила анализ инцидентов за период с IV квартала 2024 года по III квартал 2025 года. За это время мы провели более сотни расследований и в очередной раз убедились: киберугрозы не становятся сложнее, но становятся результативнее. Хакеры нечасто придумывают что-то принципиально новое — они совершенствуют уже проверенные методы и реализовывают их эффективнее . Наша статья для тех, кто ответствен за информационную безопасность: от CTO и CISO до администраторов и аналитиков SOC. В ней собрана информация о том, как проникают хакеры, какие инструменты используют, и что из этого следует для защиты.

https://habr.com/ru/companies/pt/articles/967968/

#расследование_инцидентов #кибератаки #ретроспектива #анализ_данных

Европол: 80% от хакерските атаки с искане за откуп са дело на руски хакери.
Експертите отчитат ръст на измамите с „дийп фейк“ технологии. #Европол #кибератаки #Русия #киберсигурност #cybercrime https://paralell.eu/2025/11/11/ruski-hakeri-stoyat-zad-80-ot-atakite-s-iskane-na-otkup-saobsthi-evropol

Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить

В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации. Сегодня мы, Лада Антипова и Александр Гантимуров, расскажем, что представляет собой фреймворк постэксплуатации AdaptixC2, как выявлять следы его использования и чем отличается выявленный способ эксплуатации фреймворка от всех описанных публично ранее. В результате расследования компьютерного инцидента был выявлен инструмент злоумышленников, который использовался для закрепления в скомпрометированной системе. Он выгодно отличался от других видов типового и самописного ВПО, которые эти же злоумышленники использовали в ходе атаки. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности по конфигурации. После непродолжительного исследования стало ясно, что перед нами агент Beacon от фреймворка постэксплуатации AdaptixC2. AdaptixC2 — это фреймворк для постэксплуатации, который часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub . Ранее о его применении в кибератаках на другие страны сообщали Symantec , Palo Alto и « Лаборатория Касперского ». Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих организации в России, было лишь вопросом времени.

https://habr.com/ru/companies/angarasecurity/articles/962088/

#фреймфорк #впо #cobaltstrike #кибератаки #автоматизация #вредоносы

Гайд по здравому смыслу: Как защитить корпоративные данные в эпоху нейросетей

Привет, Хабр! Меня зовут Кирилл Пшинник, я научный сотрудник Университета Иннополис и СЕО

https://habr.com/ru/articles/957282/

#информационная_безопасность #безопасность_данных #кибербезопасность #защита_данных #искусственный_интеллект #нейросети #бизнеспроцессы #кибератаки #облачная_инфраструктура #кибергигиена

MITM-атаки: угроза, которая может настигнуть любого человека в самый неподходящий момент

В современном мире есть огромное количество вызовов, и помимо пресловутых “капитанов галактической полиции из Центробанка”, которые призваны защитить тебя от мошенников (на самом деле нет, кто не понял - это был сарказм), существует куча угроз, которые даже не увидишь то толком. И я сейчас не про микробы и инфекции, а про интернет безопасность, мы же на Хабре, в конце концов, правда?

https://habr.com/ru/articles/959264/

#mitm #кибератаки #кибератака

Разбор атаки на PassOffice: мой пропуск в базу данных

Привет, Хабр! На связи @mirez , в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных на киберучениях Standoff Standalone . Нашей целью была система управления гостями PassOffice, которую используют в бизнес-центрах. Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода. Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

https://habr.com/ru/companies/pt/articles/950718/

#passoffice #ctf #standoff_365 #standoff_bug_bounty #багхантинг #киберполигон #sql #rb #кибератаки #flask

Главные угрозы для малого и среднего бизнеса

Привет, Хабр! Сегодня киберугрозы эволюционировали из кустарных атак в сложные, многоходовые сценарии, способные поставить на паузу работу организации любого масштаба. Но особенно больно они бьют по малому и среднему бизнесу. Почему? У корпораций есть выделенные службы ИБ, SOC‑центры, и бюджеты на проактивную защиту. У малого и среднего бизнеса ресурсы ограничены. Для злоумышленников это сигнал о том, что сопротивление будет минимальным. Знать, как именно атакуют, — значит понимать, как защищаться. В этом материале я расскажу о пяти наиболее распространённых киберугрозах.

https://habr.com/ru/companies/beget/articles/946120/

#информационная_безопасность #киберугрозы #малый_бизнес #средний_бизнес #вредоносное_по #ddosатаки #защита_данных #программывымогатели #кибератаки #антифрод

Комплексная защита АСУ ТП или ICS XDR в действии

Всем привет! Меня зовут Максим Гусев, я инженер направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . Последние несколько лет мы наблюдаем масштабный рост количества атак на производственные объекты. При этом они еще и усложняются — становятся целенаправленными на разрушение ИТ-инфраструктур конкретных организаций. Для собственников и сотрудников производств ситуация еще усложняется растущими требованиями по кибербезопасности со стороны государства. Поэтому для эффективного отражения атак сегодня необходимы новые подходы — комплексные системы мониторинга и реагирования. В частности, все популярнее становится ICS XDR, адаптированный под задачи промышленности. В этой статье я подробно описал, что из себя представляет и зачем нужна эта платформа, а также показал ее эффективность на примере работы ICS XDR от Лаборатории Касперского.

https://habr.com/ru/companies/k2tech/articles/945342/

#кибербезопасность #информационная_безопасность #асутп #защита_асу_тп #безопасность_асу_тп #xdr #ics #kics #безопасность_предприятий #кибератаки

Кого и как атаковали в первом полугодии: кейсы успешных кибератак и безуспешного противостояния им

В своих исследованиях мы с коллегами часто делаем акцент на масштабах и характере негативных последствий, которые влекут за собой реальные кибератаки. В своем недавнем аналитическом отчете мы подробно рассказали об актуальных угрозах первого полугодия 2025 года: хакерских инструментах, жертвах кибератак среди отраслей и пользователей, а в этой статье хотим поделиться живыми примерами атак в I–II кварталах, которые повлекли за собой негативные последствия и вызвали большой резонанс. Итак, что же привлекло наше внимание и внимание других специалистов ИБ-отрасли.

https://habr.com/ru/companies/pt/articles/944196/

#cybersecurity #кибератаки #первое_полугодие

Эффективные методы борьбы с современными угрозами кибербезопасности

​Угрозы кибербезопасности растут с развитием технологий. В этой статье разработчиками компании DST Global рассказывается, как бороться с распространёнными угрозами.

Большинство организаций переходят на использование облачных технологий , то есть фактически работают...

#DST #DSTGlobal #ДСТ #ДСТГлобал #кибербезопасность #безопасность #Спуфинг #Кибератаки #Обнаружениеугроз #PoSA #XDR #EDR

Источник: https://dstglobal.ru/club/1106-effektivnye-metody-borby-s-sovremennymi-ugrozami-kiberbezopasnosti

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Не лает, не кусает, в 1С не пускает. Что поможет спасти ваши базы 1С от критической уязвимости BDU:2025-07182

17.06.2025 г. ФСТЭК России зафиксирована критическая уязвимость в платформе 1С:Предприятие 8 под номером BDU-2025-07182 . Этот дефект позволяет злоумышленникам, действующим удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, что создает серьезные риски для компаний, использующих решения 1С в своих бизнес-процессах. Что грозит в связи с этим малому и среднему бизнесу? И как защититься? Подробно рассказываю далее.

https://habr.com/ru/articles/939488/

#Информационная_безопасность_и_1С #защита_баз_данных #обслуживание_ит_инфраструктуры #кибербезопасность #кибератаки #киберугрозы #уязвимости_и_их_эксплуатация #защита_данных #защита_информации #защита_от_уязвимостей

Шифровальщик внутри: план по восстановлению инфры + чеклист для профилактики вирусов

Привет, Хабр! Недавно мы опросили ИТ и ИБ-специалистов из 104 средних и крупных российских компаний разных отраслей о главных угрозах сетевой безопасности. Большинство — 64% респондентов — назвали вирусов-шифровальщиков (ransomware) самыми опасными для безопасности ИТ-инфраструктур. Это подтверждает и наша внутренняя статистика — с прошлого года количество запросов на защиту от шифровальщиков выросло в 2 раза, заявки в наш SOC поступают еженедельно. Цель шифровальщиков — модифицировать (зашифровать) все файлы с чувствительной информацией компании, а далее требовать выкуп за ее расшифровку. При этом ущерб может быть непредсказуемым и из-за простоя рабочих процессов. Например, если вирус-шифровальщик попадает из корпоративной среды в производство, то оно просто встает. В этом материале мы собрали роадмап по восстановлению ИТ-инфраструктуры, если инцидент уже произошел: конкретные шаги, инструменты и подходы + пример кейса из нашей практики. Также мы составили профилактический чеклист — что можно (и нужно) сделать уже сейчас, чтобы предупредить проникновение шифровальщика и его негативные последствия для инфраструктуры и бизнеса в целом.

https://habr.com/ru/companies/k2tech/articles/938726/

#кибербезопасность #инфраструктура #итинфраструктура #кибератаки #вирусы #вирусышифровальщики #шифровальщик #восстановление #восстановление_данных #восстановление_инфраструктуры

Кто такой архитектор комплексной кибербезопасности и почему именно сейчас его роль критически важна

Ни для кого не секрет, что различные классы средств защиты информации появлялись постепенно. Плюс, практически все они проходили перерождение под «брендом» – next generation (NG). В итоге сегодня мы фактически имеем несколько десятков принципиально разных классов средств защиты информации и средств контроля и анализа защищенности (FW, DLP, SIEM, EDR, VM и т. д.). Вдобавок к этому существуют сотни встроенных механизмов защиты информации в общесистемное и прикладное ПО. А если «сдобрить» все это десятками процессов и «бессчетным» количеством регуляторных требований, то получается не самая тривиальная задача по выбору, приоритизации, реализации и поддержанию в актуальном состоянии комплексной системы обеспечения информационной безопасности (кибербезопасности) – КСОИБ. Эта проблема хорошо знакома ИБ-подразделениям крупных организаций, «растянутых» по всей территории нашей страны, и групп компаний, имеющих различные профильные дочерние зависимые общества (ДЗО). С учетом их масштабов очевидно, что ключевую роль в формировании киберустойчивости здесь имеют архитектура этой самой КСОИБ и тот, кто ее определяет – архитектор комплексной кибербезопасности. В июне мы совместно с Почтой России и другими лидерами рынка ИБ объявили о старте проекта обеспечения киберустойчивости Почты, где «Солар» выступает генеральным подрядчиком – тем самым архитектором комплексной кибербезопасности. Что это за роль такая и почему именно сейчас потребность в ней у крупных компаний возрастает – расскажем в этом материале.

https://habr.com/ru/companies/solarsecurity/articles/937588/

#архитектура_иб #кибербезопасность #кибератаки #cybersecurity #иб #защита_данных #итинфраструктура

API за стеной: как и от каких рисков защищает API Firewall

Через API проходит большой объем данных, в том числе конфиденциальных. Естественно, такое «богатство» интересует киберпреступников. Они могут с помощью уязвимостей API обойти авторизацию в приложения, получить ценные данные компании или клиентов и т.п. Для защиты программных интерфейсов может использоваться API-Firewall, который работает, по позитивно модели безопасности: разрешены запросы, соответствующие заранее определённой спецификации API, а все остальное – запрещено. Но это теория, а как защита работает в жизни? В данном посте мы постарались описать кейсы использования API-Firewall на примере нашего решения ПроAPI Защита.

https://habr.com/ru/companies/webmonitorx/articles/936424/

#api #защита_api #кибератаки #owasp_top10

Атрибуция Exchange-кейлоггеров к группировке PhantomCore

Салют, Хабр! На связи вновь команда киберразведки экспертного центра безопасности Positive Technologies и мы с новым расследованием, которое... как любое, наверно, детективное дело имеет свои предпосылки и всевозможные зацепки. Речь пойдет о группировке PhantomCore и ее темном прошлом, тайны которого мы извлекли на свет...

https://habr.com/ru/companies/pt/articles/936878/

#хакеры #aptгруппа #phantomcore #кибератаки #кейлоггеры #microsoft_exchange #outlook