Год подходит к концу, и пора взглянуть на самые значительные показатели DDoS-атак, которые мы фиксировали в 2025-м
🍾10❤2
Вот и подоспели наши итоги года: мы выпускали множество новых фич и готовили почву для будущих релизов, участвовали в подкастах, выступали с докладами, проводили исследования, соревновались: бежали, ехали на велосипеде и даже забирались на вершины гор!
И в каждом действии чувствовали поддержку коллег, единомышленников, подписчиков, партнеров и дорогих сердцу людей.
Команда DDoS-Guard благодарит всех, кто был рядом, кто интересовался и делился, доверял и был готов к экспериментам. Вместе мы сделаем интернет безопаснее!
Поздравляем вас с наступающим Новым годом! Пусть он принесет много приятных сюрпризов 🎄🎁✨🎊
А заключительный пост 2025-го уже в нашем блоге: https://ddos-guard.ru/blog/itogi-2025-goda-v-ddos-guard
И в каждом действии чувствовали поддержку коллег, единомышленников, подписчиков, партнеров и дорогих сердцу людей.
Команда DDoS-Guard благодарит всех, кто был рядом, кто интересовался и делился, доверял и был готов к экспериментам. Вместе мы сделаем интернет безопаснее!
Поздравляем вас с наступающим Новым годом! Пусть он принесет много приятных сюрпризов 🎄🎁✨🎊
А заключительный пост 2025-го уже в нашем блоге: https://ddos-guard.ru/blog/itogi-2025-goda-v-ddos-guard
❤13
Пока все отдыхали, хакеры никуда не уходили — кратко о главном за праздники.
👉В даркнете обнаружили базу с данными 17,5 млн пользователей Instagram*: почты, телефоны и другая личная информация. Утечку подтвердили специалисты Malwarebytes. На фоне инцидента фиксируется волна фишинговых писем с просьбой срочно сменить пароль. Meta* официально утечку не подтвердила, пользователям рекомендуют не переходить по ссылкам и включить 2FA.
*Принадлежит Meta, которая признана экстремистской и запрещена в РФ.
👉Группа вымогателей Gentlemen атаковала крупнейшего поставщика электроэнергии Complexul Energetic Oltenia в Румынии (30% генерации страны). Были зашифрованы документы и выведены из строя ERP, почта и сайт. Компания подтвердила инцидент и заявила, что на работу энергосистемы он не повлиял. Восстановление идет из бэкапов, власти начали расследование.
👉Хакеры сорвали рождественский сезон для Jaguar Land Rover: из-за кибератаки встали заводы, а восстановление производства и логистики затянулось до середины ноября. В результате компания потеряла до половины мировых поставок, а продажи в отдельных регионах обвалились более чем на 60%.
👉Трамп заявил, что отключение интернета в Каракасе перед операцией США — это «их кибератака», чтобы ослабить связь в Венесуэле перед военной операцией. На деле Cloudflare выяснила: сбой произошел из-за обычной ошибки в сети венесуэльского оператора CANTV, признаков целенаправленной атаки не обнаружено.
👉На теневых форумах заявили о взломе инфраструктуры NordVPN: злоумышленник под ником 1011 утверждает, что получил доступ к базам и ключам API, а образцы SQL-дампов выложил в даркнете.
👉В даркнете обнаружили базу с данными 17,5 млн пользователей Instagram*: почты, телефоны и другая личная информация. Утечку подтвердили специалисты Malwarebytes. На фоне инцидента фиксируется волна фишинговых писем с просьбой срочно сменить пароль. Meta* официально утечку не подтвердила, пользователям рекомендуют не переходить по ссылкам и включить 2FA.
*Принадлежит Meta, которая признана экстремистской и запрещена в РФ.
👉Группа вымогателей Gentlemen атаковала крупнейшего поставщика электроэнергии Complexul Energetic Oltenia в Румынии (30% генерации страны). Были зашифрованы документы и выведены из строя ERP, почта и сайт. Компания подтвердила инцидент и заявила, что на работу энергосистемы он не повлиял. Восстановление идет из бэкапов, власти начали расследование.
👉Хакеры сорвали рождественский сезон для Jaguar Land Rover: из-за кибератаки встали заводы, а восстановление производства и логистики затянулось до середины ноября. В результате компания потеряла до половины мировых поставок, а продажи в отдельных регионах обвалились более чем на 60%.
👉Трамп заявил, что отключение интернета в Каракасе перед операцией США — это «их кибератака», чтобы ослабить связь в Венесуэле перед военной операцией. На деле Cloudflare выяснила: сбой произошел из-за обычной ошибки в сети венесуэльского оператора CANTV, признаков целенаправленной атаки не обнаружено.
👉На теневых форумах заявили о взломе инфраструктуры NordVPN: злоумышленник под ником 1011 утверждает, что получил доступ к базам и ключам API, а образцы SQL-дампов выложил в даркнете.
👀4🔥2
За пеленой новогодних праздников мало кто заметил, но XLab совершили важное открытие, развернуто детализированное в двух лонгридах ИБ-журналистом Брайаном Кребсом.
Суперботнет Kimwolf оказался сайд-проектом AISURU — в скандал вовлечены легальные прокси-провайдеры
📺XLab подробно описали новый суперботнет Kimwolf, который стремительно заражает телеприставки и телевизоры на Android — и уже «зомбировал» порядка 2 млн устройств.
🔎Исследователи нашли доказательства, что за Kimwolf стоят те же люди, что и за суперботнетом AISURU, который несколько раз побил мировые рекорды (мы писали о нем на Хабре развернутую статью). У обоих ботнетов оказалась общая база кода; совместная дистрибуция через одни и те же IP-адреса; совпадения в распространении вредоносных пакетов и так далее.
🥷По данным Кребса и XLab, с начала 2025 года Kimwolf управляют хакеры Дорт и Сноу. Сноу ранее уже был известен как оператор AISURU, а Дорт, по словам Кребса, также упоминался другим оператором AISURU — Форки — в их личной переписке.
📈Оказалось, что ботнет Kimwolf использует практически все (96%) зараженные устройства как трафик-релеи для нескольких сервисов прокси, в том числе легальных SDK ByteConnect и Maskify (владельцы этих сервисов пока не дали комментариев СМИ). В схеме по проксированию и перепродаже трафика оказалась также замешана американская компания Resi Rack LLC, «премиум-хостинг игровых серверов и прокси-решений» (представители компании отрицают свою причастность).
🌐Таким образом, коммерческий смысл в существовании AISURU/Kimwolf все же нашелся — оба ботнета оказались частью более широкой инфраструктуры, включавшей прокси-сети, SDK-монетизацию и коммерческие предложения прокси-трафика. Как минимум частично в эту схему было вовлечено несколько легальных поставщиков прокси-услуг.
Суперботнет Kimwolf оказался сайд-проектом AISURU — в скандал вовлечены легальные прокси-провайдеры
📺XLab подробно описали новый суперботнет Kimwolf, который стремительно заражает телеприставки и телевизоры на Android — и уже «зомбировал» порядка 2 млн устройств.
🔎Исследователи нашли доказательства, что за Kimwolf стоят те же люди, что и за суперботнетом AISURU, который несколько раз побил мировые рекорды (мы писали о нем на Хабре развернутую статью). У обоих ботнетов оказалась общая база кода; совместная дистрибуция через одни и те же IP-адреса; совпадения в распространении вредоносных пакетов и так далее.
🥷По данным Кребса и XLab, с начала 2025 года Kimwolf управляют хакеры Дорт и Сноу. Сноу ранее уже был известен как оператор AISURU, а Дорт, по словам Кребса, также упоминался другим оператором AISURU — Форки — в их личной переписке.
📈Оказалось, что ботнет Kimwolf использует практически все (96%) зараженные устройства как трафик-релеи для нескольких сервисов прокси, в том числе легальных SDK ByteConnect и Maskify (владельцы этих сервисов пока не дали комментариев СМИ). В схеме по проксированию и перепродаже трафика оказалась также замешана американская компания Resi Rack LLC, «премиум-хостинг игровых серверов и прокси-решений» (представители компании отрицают свою причастность).
🌐Таким образом, коммерческий смысл в существовании AISURU/Kimwolf все же нашелся — оба ботнета оказались частью более широкой инфраструктуры, включавшей прокси-сети, SDK-монетизацию и коммерческие предложения прокси-трафика. Как минимум частично в эту схему было вовлечено несколько легальных поставщиков прокси-услуг.
❤3👍1
🏴☠️Когда в новостях говорят про «закрытие даркнета», создается впечатление, что существует какой-то секретный интернет, полный преступников, который нужно изолировать от остального мира.
На самом деле все иначе. Даркнет — это слой анонимного доступа поверх обычных серверов и интернет-маршрутов. Каждый пакет данных проходит через цепочку узлов и ни один из них не видит весь путь целиком — сеть устроена так, чтобы быть «неуловимой» и адаптивной.
Закрыть отдельный сайт возможно, но это похоже на поиск иголки в постоянно меняющемся стоге сена: сначала нужно найти сервер, подтвердить, что это именно он, и вложить немало ресурсов.
Между тем сеть продолжает работать: зеркала поднимаются, адреса меняются, маршруты адаптируются быстрее, чем успевают реагировать многие правоохранительные структуры.
👉Итог простой: полностью «выключить даркнет» невозможно. Можно лишь повышать цену входа для злоумышленников и усложнять работу отдельным ресурсам.
На самом деле все иначе. Даркнет — это слой анонимного доступа поверх обычных серверов и интернет-маршрутов. Каждый пакет данных проходит через цепочку узлов и ни один из них не видит весь путь целиком — сеть устроена так, чтобы быть «неуловимой» и адаптивной.
Закрыть отдельный сайт возможно, но это похоже на поиск иголки в постоянно меняющемся стоге сена: сначала нужно найти сервер, подтвердить, что это именно он, и вложить немало ресурсов.
Между тем сеть продолжает работать: зеркала поднимаются, адреса меняются, маршруты адаптируются быстрее, чем успевают реагировать многие правоохранительные структуры.
👉Итог простой: полностью «выключить даркнет» невозможно. Можно лишь повышать цену входа для злоумышленников и усложнять работу отдельным ресурсам.
🔥4❤1
🔐 Компания Reflectiz проанализировала 4700 сайтов и выяснила: 64% сторонних сервисов получают доступ к конфиденциальным данным без необходимости — год назад таких было 51%.
Речь о легальных инструментах: аналитике, пикселях, платежных модулях и маркетинговых скриптах. Проблема в том, что если такой сервис взламывают или подменяют, атакующий автоматически получает доступ ко всем сайтам, где он подключен — включая формы входа и оплаты.
📈 В госсекторе вредоносная активность выросла с 2% до 12,9%, в образовании взломан уже каждый 7-й сайт.
Чаще всего избыточные права получают:
⚠️Google Tag Manager
⚠️Shopify
⚠️Facebook Pixel
Большинство компаний признают угрозу атак через сторонние веб-сервисы, но реальные меры защиты от них внедрили только 39%
Вывод: сайты все чаще ломают не напрямую, а через доверенные сторонние сервисы, которым выдали слишком много доступа.
👉 Полный отчет Reflectiz с цифрами, кейсами и методологией можно скачать здесь.
Речь о легальных инструментах: аналитике, пикселях, платежных модулях и маркетинговых скриптах. Проблема в том, что если такой сервис взламывают или подменяют, атакующий автоматически получает доступ ко всем сайтам, где он подключен — включая формы входа и оплаты.
📈 В госсекторе вредоносная активность выросла с 2% до 12,9%, в образовании взломан уже каждый 7-й сайт.
Чаще всего избыточные права получают:
⚠️Google Tag Manager
⚠️Shopify
⚠️Facebook Pixel
Большинство компаний признают угрозу атак через сторонние веб-сервисы, но реальные меры защиты от них внедрили только 39%
Вывод: сайты все чаще ломают не напрямую, а через доверенные сторонние сервисы, которым выдали слишком много доступа.
👉 Полный отчет Reflectiz с цифрами, кейсами и методологией можно скачать здесь.
😱2
Понедельник начинается с социальной инженерии и кражи $282 млн — без взломов, эксплойтов и «дыр» в коде.
🥷🏿Злоумышленники выдавали себя за поддержку Trezor, производителя аппаратных криптокошельков, и убедили жертву раскрыть seed-фразу, получив полный доступ к активам. Этого оказалось достаточно, чтобы мгновенно вывести 1459 BTC и 2,05 млн LTC. В денежном эквиваленте это более $282 миллионов.
💸После этого средства начали быстро «рассеивать» через сервисы мгновенного обмена, включая Thorchain, перебрасывая их между сетями Ethereum, Ripple и Litecoin. Это в очередной раз вызвало критику протокола, который все чаще используют для перемещения украденных средств.
Значительную часть капитала злоумышленник конвертировал в Monero (XMR). В ZeroShadow сообщили, что успели заморозить около $1 000 000, но основная сумма прошла через анонимные сети. На фоне резкого спроса курс Monero за неделю вырос на 36%📈
История подчеркивает системную проблему крипторынка: мошенники все чаще делают ставку не на взломы, а на обман людей. По данным Chainalysis, число подобных схем за год выросло на 1400%, а средний ущерб от одного инцидента — более чем в шесть раз.
🥷🏿Злоумышленники выдавали себя за поддержку Trezor, производителя аппаратных криптокошельков, и убедили жертву раскрыть seed-фразу, получив полный доступ к активам. Этого оказалось достаточно, чтобы мгновенно вывести 1459 BTC и 2,05 млн LTC. В денежном эквиваленте это более $282 миллионов.
💸После этого средства начали быстро «рассеивать» через сервисы мгновенного обмена, включая Thorchain, перебрасывая их между сетями Ethereum, Ripple и Litecoin. Это в очередной раз вызвало критику протокола, который все чаще используют для перемещения украденных средств.
Значительную часть капитала злоумышленник конвертировал в Monero (XMR). В ZeroShadow сообщили, что успели заморозить около $1 000 000, но основная сумма прошла через анонимные сети. На фоне резкого спроса курс Monero за неделю вырос на 36%📈
История подчеркивает системную проблему крипторынка: мошенники все чаще делают ставку не на взломы, а на обман людей. По данным Chainalysis, число подобных схем за год выросло на 1400%, а средний ущерб от одного инцидента — более чем в шесть раз.
😁2
Вы отправляете данные — и уверены, что они идут напрямую адресату. Но иногда между вами появляется третий участник, который все видит, может менять сообщения и остается незаметным. Это и есть атака Man-in-the-Middle — одна из самых старых, но все еще рабочих техник в арсенале злоумышленников👨🏻💻🥷🏿👩🏼💻
В новом материале разбираем, как именно работают MitM-атаки, где они чаще всего возникают — от Wi-Fi до TLS — и почему даже современная криптография не спасает без правильной аутентификации. Читайте полный разбор на сайте👇
https://ddos-guard.ru/blog/chto-takoe-ataka-mitm
В новом материале разбираем, как именно работают MitM-атаки, где они чаще всего возникают — от Wi-Fi до TLS — и почему даже современная криптография не спасает без правильной аутентификации. Читайте полный разбор на сайте👇
https://ddos-guard.ru/blog/chto-takoe-ataka-mitm
❤🔥5👍4
💥 Утечки данных доставляют массу проблем как людям, чьи данные слили, так и компаниям, которые ее допустили.
Согласно исследованию центра «Гарда» за 2025 год, 51% россиян перестают пользоваться услугами компаний после утечки их персональных данных.
В то же время 81% граждан сталкиваются с мошенническими звонками, 39% — с взломами соцсетей, 6% теряют деньги, а у 9% взламывают банковские приложения и госуслуги.
В карточках рассказываем, как даже «невинные» утечки электронной почты, телефона и документов превращаются в реальные проблемы👆
Согласно исследованию центра «Гарда» за 2025 год, 51% россиян перестают пользоваться услугами компаний после утечки их персональных данных.
В то же время 81% граждан сталкиваются с мошенническими звонками, 39% — с взломами соцсетей, 6% теряют деньги, а у 9% взламывают банковские приложения и госуслуги.
В карточках рассказываем, как даже «невинные» утечки электронной почты, телефона и документов превращаются в реальные проблемы👆
👍3👀3