📚17,5 миллионов украденных аккаунтов или обычный баг? Рассказываем, стоит ли верить сообщениям о взломе Instagram
12 января. / securitylab.ru /. Instagram* заявил, что не подвергался взлому, несмотря на волну тревожных писем о сбросе паролей, которые в последние дни получили некоторые пользователи. Компания настаивает, что речь идет не о компрометации данных, а об уже устраненной технической проблеме.
Поводом для паники стал пост компании Malwarebytes. В нем был показан скриншот письма от Instagram с уведомлением о запросе на сброс пароля. Авторы поста утверждали, что киберпреступники якобы похитили данные 17,5 миллиона аккаунтов Instagram, включая имена пользователей, физические адреса, номера телефонов и адреса электронной почты. По их словам, эта информация уже выставлена на продажу в даркнете и может быть использована для мошенничества и атак.
Однако сама соцсеть эту информацию опровергла. Instagram сообщил, что обнаружил и исправил проблему, которая позволяла внешней стороне инициировать отправку писем о сбросе пароля для части пользователей. При этом компания не раскрыла, кто именно стоял за этими запросами и в чем заключалась техническая суть уязвимости.
Примечательно, что официальное заявление было опубликовано не в Instagram и не в Threads, а в соцсети X. В сообщении компания подчеркнула, что пользователи могут просто игнорировать подобные письма, извинившись за возникшую путаницу. О каких-либо утечках персональных данных или их продаже Instagram не сообщил.
12 января. / securitylab.ru /. Instagram* заявил, что не подвергался взлому, несмотря на волну тревожных писем о сбросе паролей, которые в последние дни получили некоторые пользователи. Компания настаивает, что речь идет не о компрометации данных, а об уже устраненной технической проблеме.
Поводом для паники стал пост компании Malwarebytes. В нем был показан скриншот письма от Instagram с уведомлением о запросе на сброс пароля. Авторы поста утверждали, что киберпреступники якобы похитили данные 17,5 миллиона аккаунтов Instagram, включая имена пользователей, физические адреса, номера телефонов и адреса электронной почты. По их словам, эта информация уже выставлена на продажу в даркнете и может быть использована для мошенничества и атак.
Однако сама соцсеть эту информацию опровергла. Instagram сообщил, что обнаружил и исправил проблему, которая позволяла внешней стороне инициировать отправку писем о сбросе пароля для части пользователей. При этом компания не раскрыла, кто именно стоял за этими запросами и в чем заключалась техническая суть уязвимости.
Примечательно, что официальное заявление было опубликовано не в Instagram и не в Threads, а в соцсети X. В сообщении компания подчеркнула, что пользователи могут просто игнорировать подобные письма, извинившись за возникшую путаницу. О каких-либо утечках персональных данных или их продаже Instagram не сообщил.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
SecurityLab.ru
17,5 миллионов украденных аккаунтов или обычный баг? Рассказываем, стоит ли верить сообщениям о взломе Instagram
Соцсеть прокомментировала слухи о продаже данных пользователей.
Мошенники крадут аккаунты на Госуслугах под предлогом капремонта
12 января. / Anti-Malware /. В Angara MTDR предупредили о новой схеме кражи учётных записей на портале «Госуслуги». Злоумышленники эксплуатируют тему изменений в жилищном законодательстве, согласно которым управляющие компании обязаны взаимодействовать с жильцами через цифровые сервисы.
О появлении схемы сообщает РИА Новости со ссылкой на Angara MTDR. По данным компании, мошенники создают чаты в Telegram, выдавая себя за представителей региональных властей.
В таких чатах пользователям предлагают «проверить корректность данных» или участвовать в формировании списков на проведение работ по капитальному ремонту домов.
Для «подтверждения» информации аферисты просят воспользоваться якобы официальным ботом «Госуслуг». На самом деле через него они перехватывают учётные данные пользователей, включая коды второго фактора аутентификации.
В компании также отмечают, что мошенников нередко выдают устаревшие термины, некорректные формулировки и большое количество грамматических и стилистических ошибок. Кроме того, в Angara MTDR напомнили, что официальные органы не ведут взаимодействие с гражданами через чаты в мессенджерах.
По данным Angara MTDR, взломы аккаунтов на «Госуслугах» в 2024 году составили около 90% всех зарегистрированных киберпреступлений. В большинстве случаев такие учётные записи использовались для мошеннических операций, связанных с оформлением микрозаймов.
В 2025 году злоумышленники скорректировали тактику. Сообщения о взломе «Госуслуг», в том числе ложные, всё чаще становятся частью многоступенчатых схем, направленных на хищение денежных средств.
12 января. / Anti-Malware /. В Angara MTDR предупредили о новой схеме кражи учётных записей на портале «Госуслуги». Злоумышленники эксплуатируют тему изменений в жилищном законодательстве, согласно которым управляющие компании обязаны взаимодействовать с жильцами через цифровые сервисы.
О появлении схемы сообщает РИА Новости со ссылкой на Angara MTDR. По данным компании, мошенники создают чаты в Telegram, выдавая себя за представителей региональных властей.
В таких чатах пользователям предлагают «проверить корректность данных» или участвовать в формировании списков на проведение работ по капитальному ремонту домов.
Для «подтверждения» информации аферисты просят воспользоваться якобы официальным ботом «Госуслуг». На самом деле через него они перехватывают учётные данные пользователей, включая коды второго фактора аутентификации.
«Часто весь чат создаётся для одной реальной жертвы, а остальные “участники” — это боты или сами злоумышленники. Они имитируют активность и отправку кодов, подталкивая человека к необдуманным действиям. Расчёт делается на то, что в период длительных выходных жертва столкнётся с задержками при восстановлении доступа к учётной записи, что даст атакующим дополнительное время», — пояснили в Angara MTDR.
В компании также отмечают, что мошенников нередко выдают устаревшие термины, некорректные формулировки и большое количество грамматических и стилистических ошибок. Кроме того, в Angara MTDR напомнили, что официальные органы не ведут взаимодействие с гражданами через чаты в мессенджерах.
По данным Angara MTDR, взломы аккаунтов на «Госуслугах» в 2024 году составили около 90% всех зарегистрированных киберпреступлений. В большинстве случаев такие учётные записи использовались для мошеннических операций, связанных с оформлением микрозаймов.
В 2025 году злоумышленники скорректировали тактику. Сообщения о взломе «Госуслуг», в том числе ложные, всё чаще становятся частью многоступенчатых схем, направленных на хищение денежных средств.
Найдена серия опасных багов в ядре Linux, влияющих на память, сеть и изоляцию процессов
13 января. / CYBER MEDIA /. Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра. Речь идёт не об одной уязвимости, а о типовом классе багов, которые годами повторяются в разных подсистемах и приводят к крахам системы, утечкам данных и, в ряде сценариев, к повышению привилегий.
Ключевая проблема заключается в ошибках управления временем жизни объектов ядра. В ряде случаев ядро продолжает обращаться к структурам данных после их освобождения из памяти. Такие use-after-free-сценарии позволяют либо аварийно завершить работу системы, либо контролируемо перезаписать память, если атакующий способен повлиять на повторное выделение этих областей. Это создаёт предпосылки для выполнения произвольного кода на уровне ядра.
Часть багов связана с гонками состояний между потоками выполнения. Из-за отсутствия корректной синхронизации разные части ядра могут одновременно изменять одни и те же структуры, что приводит к повреждению данных. В сетевых подсистемах такие ошибки вызывают падения при обработке специально сформированных пакетов, а в локальных сценариях могут использоваться для выхода за пределы изоляции контейнеров и sandboxes.
Отдельное внимание исследователи уделяют ошибкам в механизмах учёта ссылок и флагов состояния. Неправильное обновление счётчиков приводит к тому, что объект считается валидным, хотя фактически уже удалён или находится в промежуточном состоянии. Это особенно опасно в подсистемах, связанных с файловыми дескрипторами, IPC и сетевыми фильтрами.
Практическая эксплуатация таких багов чаще всего начинается с отказа в обслуживании, однако при наличии локального доступа или возможности запускать код в ограниченной среде атакующий может выстроить цепочку до эскалации привилегий. Именно такие уязвимости регулярно используются в эксплойтах для контейнерных сред и серверов с несколькими пользователями.
13 января. / CYBER MEDIA /. Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра. Речь идёт не об одной уязвимости, а о типовом классе багов, которые годами повторяются в разных подсистемах и приводят к крахам системы, утечкам данных и, в ряде сценариев, к повышению привилегий.
Ключевая проблема заключается в ошибках управления временем жизни объектов ядра. В ряде случаев ядро продолжает обращаться к структурам данных после их освобождения из памяти. Такие use-after-free-сценарии позволяют либо аварийно завершить работу системы, либо контролируемо перезаписать память, если атакующий способен повлиять на повторное выделение этих областей. Это создаёт предпосылки для выполнения произвольного кода на уровне ядра.
Часть багов связана с гонками состояний между потоками выполнения. Из-за отсутствия корректной синхронизации разные части ядра могут одновременно изменять одни и те же структуры, что приводит к повреждению данных. В сетевых подсистемах такие ошибки вызывают падения при обработке специально сформированных пакетов, а в локальных сценариях могут использоваться для выхода за пределы изоляции контейнеров и sandboxes.
Отдельное внимание исследователи уделяют ошибкам в механизмах учёта ссылок и флагов состояния. Неправильное обновление счётчиков приводит к тому, что объект считается валидным, хотя фактически уже удалён или находится в промежуточном состоянии. Это особенно опасно в подсистемах, связанных с файловыми дескрипторами, IPC и сетевыми фильтрами.
Практическая эксплуатация таких багов чаще всего начинается с отказа в обслуживании, однако при наличии локального доступа или возможности запускать код в ограниченной среде атакующий может выстроить цепочку до эскалации привилегий. Именно такие уязвимости регулярно используются в эксплойтах для контейнерных сред и серверов с несколькими пользователями.
📚Что общего у хакеров и угонщиков? И те, и другие очень любят Nissan
13 января. / securitylab.ru /. Группа Everest заявила о взломе японского автопроизводителя Nissan Motor Co., Ltd. По утверждению злоумышленников, из корпоративных систем компании было похищено около 900 ГБ конфиденциальных данных. Инцидент, как утверждается, произошёл 10 января 2026 года, однако его достоверность пока не подтверждена независимыми источниками.
По данным, опубликованным участниками группы, они представили образцы украденных материалов, но их содержание и масштаб утечки не раскрываются. Если заявленный объём данных соответствует действительности, под угрозой могут оказаться внутренние документы, сведения о сотрудниках, интеллектуальная собственность и клиентская информация.
Nissan занимает важное место на мировом рынке автомобильного производства, поставляя автомобили, комплектующие и технологические решения, от которых зависит множество смежных отраслей. Возможное нарушение безопасности такого масштаба способно повлиять не только на деятельность компании, но и на устойчивость цепочек поставок.
От степени достоверности заявления зависит оценка последствий и уровня угрозы для компании. В рамках анализа серьёзности инцидента используется система оценки ESIX, позволяющая определить потенциальное воздействие утечки на бизнес и клиентов.
Представители отрасли отмечают, что производственные компании всё чаще становятся целью организованных групп, стремящихся получить доступ к проектной документации, данным о производственных процессах и клиентской базе. Инцидент с Nissan снова подчёркивает необходимость постоянного укрепления мер кибербезопасности и контроля цепочек поставок в промышленном секторе.
13 января. / securitylab.ru /. Группа Everest заявила о взломе японского автопроизводителя Nissan Motor Co., Ltd. По утверждению злоумышленников, из корпоративных систем компании было похищено около 900 ГБ конфиденциальных данных. Инцидент, как утверждается, произошёл 10 января 2026 года, однако его достоверность пока не подтверждена независимыми источниками.
По данным, опубликованным участниками группы, они представили образцы украденных материалов, но их содержание и масштаб утечки не раскрываются. Если заявленный объём данных соответствует действительности, под угрозой могут оказаться внутренние документы, сведения о сотрудниках, интеллектуальная собственность и клиентская информация.
Nissan занимает важное место на мировом рынке автомобильного производства, поставляя автомобили, комплектующие и технологические решения, от которых зависит множество смежных отраслей. Возможное нарушение безопасности такого масштаба способно повлиять не только на деятельность компании, но и на устойчивость цепочек поставок.
От степени достоверности заявления зависит оценка последствий и уровня угрозы для компании. В рамках анализа серьёзности инцидента используется система оценки ESIX, позволяющая определить потенциальное воздействие утечки на бизнес и клиентов.
Представители отрасли отмечают, что производственные компании всё чаще становятся целью организованных групп, стремящихся получить доступ к проектной документации, данным о производственных процессах и клиентской базе. Инцидент с Nissan снова подчёркивает необходимость постоянного укрепления мер кибербезопасности и контроля цепочек поставок в промышленном секторе.
Правительство России планирует усилить защиту граждан от кибермошенников новыми мерами
13 января. / CYBER MEDIA /. В российском правительстве обсуждаются дополнительные меры по усилению защиты населения от кибермошенничества. Инициатива направлена на совершенствование нормативной базы и создание более эффективных механизмов предупреждения и пресечения преступлений, связанных с цифровым мошенничеством.
Ожидается, что предлагаемые изменения будут включать как усовершенствование правоприменительной практики, так и развитие инструментов профилактики. В числе рассматриваемых мер - более жёсткие требования к информационной безопасности в финансовой сфере, расширение полномочий правоохранительных органов для оперативного реагирования на инциденты, а также усиление взаимодействия между государственными структурами и коммерческими компаниями в сфере обмена данными о мошеннической активности.
Кроме того, планируется уделить внимание повышению цифровой грамотности граждан через образовательные программы и информационные кампании. Это связано с тем, что многие успешные мошеннические схемы основываются на социальной инженерии, когда жертвы добровольно раскрывают свои данные или выполняют указания злоумышленников под давлением времени или эмоций.
Отдельный блок предложений касается усовершенствования технических решений по обнаружению и блокировке подозрительной активности в онлайн-сервисах. В обсуждение включены проекты по созданию централизованных систем мониторинга и анализа угроз, а также использование технологий искусственного интеллекта для раннего выявления аномалий и предотвращения атак.
13 января. / CYBER MEDIA /. В российском правительстве обсуждаются дополнительные меры по усилению защиты населения от кибермошенничества. Инициатива направлена на совершенствование нормативной базы и создание более эффективных механизмов предупреждения и пресечения преступлений, связанных с цифровым мошенничеством.
Ожидается, что предлагаемые изменения будут включать как усовершенствование правоприменительной практики, так и развитие инструментов профилактики. В числе рассматриваемых мер - более жёсткие требования к информационной безопасности в финансовой сфере, расширение полномочий правоохранительных органов для оперативного реагирования на инциденты, а также усиление взаимодействия между государственными структурами и коммерческими компаниями в сфере обмена данными о мошеннической активности.
Кроме того, планируется уделить внимание повышению цифровой грамотности граждан через образовательные программы и информационные кампании. Это связано с тем, что многие успешные мошеннические схемы основываются на социальной инженерии, когда жертвы добровольно раскрывают свои данные или выполняют указания злоумышленников под давлением времени или эмоций.
Отдельный блок предложений касается усовершенствования технических решений по обнаружению и блокировке подозрительной активности в онлайн-сервисах. В обсуждение включены проекты по созданию централизованных систем мониторинга и анализа угроз, а также использование технологий искусственного интеллекта для раннего выявления аномалий и предотвращения атак.
Исследователи зафиксировали рост кибератак на майнинг-пулы
14 января. / CYBER MEDIA /. Компания Interhash сообщила о резком увеличении числа кибератак на инфраструктуру майнинг-пулов. По данным аналитики компании, за последние недели частота инцидентов выросла примерно на 30%. Тенденцию подтверждают не только внутренние наблюдения Interhash, но и действия самих пулов, которые начали усиливать меры защиты.
Генеральный директор компании Александр Лозбень отметил, что характер угроз заметно изменился. Если ранее атаки чаще были связаны с попытками манипулировать сложностью сети и параметрами майнинга, то сейчас злоумышленники используют более сложные и динамичные методы. Это делает атаки менее предсказуемыми и повышает операционные риски для участников рынка.
В ответ на рост инцидентов Interhash усилила взаимодействие с ключевыми игроками майнинговой отрасли. Компания предоставляет аналитические данные и помогает в оперативном расследовании атак, а также обращает внимание на необходимость быстрого реагирования на новые сценарии угроз.
По оценке исследователей, без ускоренного внедрения современных протоколов безопасности и более прозрачного обмена информацией об атаках отрасли будет сложно обеспечить стабильную работу майнинг-пулов и сохранить доверие со стороны майнеров.
14 января. / CYBER MEDIA /. Компания Interhash сообщила о резком увеличении числа кибератак на инфраструктуру майнинг-пулов. По данным аналитики компании, за последние недели частота инцидентов выросла примерно на 30%. Тенденцию подтверждают не только внутренние наблюдения Interhash, но и действия самих пулов, которые начали усиливать меры защиты.
Генеральный директор компании Александр Лозбень отметил, что характер угроз заметно изменился. Если ранее атаки чаще были связаны с попытками манипулировать сложностью сети и параметрами майнинга, то сейчас злоумышленники используют более сложные и динамичные методы. Это делает атаки менее предсказуемыми и повышает операционные риски для участников рынка.
В ответ на рост инцидентов Interhash усилила взаимодействие с ключевыми игроками майнинговой отрасли. Компания предоставляет аналитические данные и помогает в оперативном расследовании атак, а также обращает внимание на необходимость быстрого реагирования на новые сценарии угроз.
По оценке исследователей, без ускоренного внедрения современных протоколов безопасности и более прозрачного обмена информацией об атаках отрасли будет сложно обеспечить стабильную работу майнинг-пулов и сохранить доверие со стороны майнеров.
📚У половины компаний российского телекома нашли дыры в инфраструктуре
14 января. / ВЕДОМОСТИ /. Почти 50% компаний телекоммуникационной отрасли имеют критические уязвимости в своих IT-системах. В госсекторе и ритейле такие уязвимости есть у трети организаций (31%), в сфере здравоохранения практически у каждой четвертой компании (у 23%), а в финсекторе лишь у 22%. Об этом говорится в исследовании компании в сфере информбезопасности (ИБ) CICADA8, для которого были «неинвазивным методом» проанализированы 20 000 компаний.
Общий низкий уровень безопасности бизнеса подтверждается и исследованием, проведенным компанией «Кибериспытание» (входит в фонд «Сайберус», созданный сооснователем компании Positive Technologies Юрием Максимовым) на основе результатов проверки 74 организаций. Согласно данным исследования, две из трех российских компаний (67%) можно взломать менее чем за сутки и более чем в 60% случаев удастся реализовать событие, которое могло бы остановить работу бизнеса, писали «Ведомости» в августе 2025 г. Самый быстрый взлом занял всего 34 минуты с момента публикации задания.
14 января. / ВЕДОМОСТИ /. Почти 50% компаний телекоммуникационной отрасли имеют критические уязвимости в своих IT-системах. В госсекторе и ритейле такие уязвимости есть у трети организаций (31%), в сфере здравоохранения практически у каждой четвертой компании (у 23%), а в финсекторе лишь у 22%. Об этом говорится в исследовании компании в сфере информбезопасности (ИБ) CICADA8, для которого были «неинвазивным методом» проанализированы 20 000 компаний.
Общий низкий уровень безопасности бизнеса подтверждается и исследованием, проведенным компанией «Кибериспытание» (входит в фонд «Сайберус», созданный сооснователем компании Positive Technologies Юрием Максимовым) на основе результатов проверки 74 организаций. Согласно данным исследования, две из трех российских компаний (67%) можно взломать менее чем за сутки и более чем в 60% случаев удастся реализовать событие, которое могло бы остановить работу бизнеса, писали «Ведомости» в августе 2025 г. Самый быстрый взлом занял всего 34 минуты с момента публикации задания.
Ведомости
У половины компаний российского телекома нашли дыры в инфраструктуре
Самыми защищенными традиционно оказались структуры финансового сектора
6 лет колонии за «работу» курьером. В Петербурге вынесли приговор пособнику телефонных мошенников.
14 января. / securitylab.ru /. Петроградский районный суд Санкт-Петербурга вынес приговор Барату Агаеву, который работал курьером на телефонных мошенников. Мужчина проведёт шесть лет в колонии общего режима и выплатит пострадавшей семье более 8,4 миллиона рублей компенсации.
Схема преступления была типичной для подобных афер, но от этого не менее циничной. В начале июня 2025 года Агаев через Telegram вступил в сговор с группой злоумышленников, находящихся за пределами России, и согласился за денежное вознаграждение участвовать в краже.
Мошенники заранее раздобыли контакты несовершеннолетней девочки и начали ей звонить, представляясь сотрудниками ФСБ. Используя психологическое давление и наступательную тактику общения, они убедили подростка в том, что её родителей обвиняют в государственной измене и собираются арестовать. Войдя в доверие к девочке, преступники узнали адрес её проживания.
Затем Агаев вместе с ещё одним соучастником встретился с несовершеннолетней у подъезда дома на Большом проспекте Петроградской стороны. Девочка сама провела их в квартиру, откуда они похитили деньги и ювелирные украшения на общую сумму 6 960 301 рубль 50 копеек.
Суд признал Агаева виновным по пункту «б» части 4 статьи 158 УК РФ (кража в особо крупном размере) и обязал возместить материальный ущерб в размере 6 690 301 рубля 50 копеек, а также выплатить 1,8 миллиона рублей компенсации морального вреда. Уголовное дело в отношении остальных участников группы выделено в отдельное производство.
14 января. / securitylab.ru /. Петроградский районный суд Санкт-Петербурга вынес приговор Барату Агаеву, который работал курьером на телефонных мошенников. Мужчина проведёт шесть лет в колонии общего режима и выплатит пострадавшей семье более 8,4 миллиона рублей компенсации.
Схема преступления была типичной для подобных афер, но от этого не менее циничной. В начале июня 2025 года Агаев через Telegram вступил в сговор с группой злоумышленников, находящихся за пределами России, и согласился за денежное вознаграждение участвовать в краже.
Мошенники заранее раздобыли контакты несовершеннолетней девочки и начали ей звонить, представляясь сотрудниками ФСБ. Используя психологическое давление и наступательную тактику общения, они убедили подростка в том, что её родителей обвиняют в государственной измене и собираются арестовать. Войдя в доверие к девочке, преступники узнали адрес её проживания.
Затем Агаев вместе с ещё одним соучастником встретился с несовершеннолетней у подъезда дома на Большом проспекте Петроградской стороны. Девочка сама провела их в квартиру, откуда они похитили деньги и ювелирные украшения на общую сумму 6 960 301 рубль 50 копеек.
Суд признал Агаева виновным по пункту «б» части 4 статьи 158 УК РФ (кража в особо крупном размере) и обязал возместить материальный ущерб в размере 6 690 301 рубля 50 копеек, а также выплатить 1,8 миллиона рублей компенсации морального вреда. Уголовное дело в отношении остальных участников группы выделено в отдельное производство.
У бизнеса растет спрос на проверку безопасности хранения и передачи данных
15 января. / КОММЕРСАНТ /. Регуляторное давление, растущее число киберинцидентов и устаревшая IT-инфраструктура формируют устойчивый спрос на контроль в сфере кибербезопасности. Основными драйверами рынка, который достиг в 2025 году 25 млрд руб., в дальнейшем станут финансовый сектор, промышленность и телеком, а наиболее востребованными услугами — аудиты защиты данных, приложений и антифрод-систем.
По итогам 2025 года рост рынка ИБ-аудита составляет более 25% по сравнению с 2024 годом, достигнув объема в 25 млрд руб., оценили эксперты интегратора «Кросс технолоджис». В компании добавляют, что в 2026 году показатель роста может достигнуть 30%. Основным драйвером специалисты называют ужесточения требований регуляторов в области ИБ, которые, в свою очередь, обусловлены внешними причинами. Рост сохранится как минимум до 2028 года, причем, скорее всего, в 2026–2027 годах будет наблюдаться наибольший рост, а далее темп спадет, считает руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион» Дмитрий Калинин.
Стоимость базового аудита для типовой инфраструктуры может начинаться от 50 тыс. руб. (см. “Ъ” от 16 октября 2025 года). Для проведения аудита компании чаще всего привлекают юристов и консультантов, работающих с защитой персональных данных, а также специалистов по кибербезопасности, имеющих сертификацию в области защиты данных ФСТЭК и ФСБ.
Наибольший спрос на ИБ-аудит в 2026 году, по оценкам «Кросс технолоджис», будет в финансовой отрасли, сфере промышленности и телекоммуникациях. Все эти отрасли относятся к критической информационной инфраструктуре (КИИ), для них сильнее всего ужесточаются требования регуляторов — ЦБ, ФСТЭК, ФСБ. Более того, эти отрасли относятся и к самым атакуемым хакерами, что также является драйвером спроса. Помимо предприятий, относящихся к КИИ, ИБ-аудит сейчас особенно востребован в госсекторе, медицине и ритейле, отмечает директор направления ИБ «Рексофт» Сергей Бабкин. Одновременно заказчики планируют увеличение бюджетов на ИБ «в связи с растущей резонансностью киберинцидентов», добавляет он. В перечень отраслей, которые все чаще проявляют интерес к ИБ-аудитам, руководитель направления стратегии и рисков компании «Информзащита» Тарас Макаренко включает авиаперевозчиков, логистические и транспортные компании, а также крупные распределительные холдинги. Эксперт связывает это с тем, что киберинциденты приводят к наиболее заметным простоям и прямым бизнес-потерям. Также он отмечает отдельный интерес к аудитам со стороны IT-аутсорсеров, облачных и сервисных провайдеров, для которых верифицированная защищенность становится инструментом подтверждения надежности перед клиентами и конкурентным преимуществом.
ИБ-аудит может стать обязательной процедурой для всего бизнеса на уровне цифровой гигиены, считает начальник отдела ИБ компании MONS (входит в ГК «КОРУС Консалтинг») Татьяна Белоусова. При этом, по ее словам, сама процедура станет значительно проще технически за счет автоматизации типовых процессов и внедрения ИИ-инструментов. Если ранее аудит во многих случаях воспринимался исключительно как формальное выполнение регуляторных требований, то сегодня он все чаще используется как прикладной инструмент управления рисками, говорит ведущий ИБ-эксперт компании UDV Group Ольга Луценко.
15 января. / КОММЕРСАНТ /. Регуляторное давление, растущее число киберинцидентов и устаревшая IT-инфраструктура формируют устойчивый спрос на контроль в сфере кибербезопасности. Основными драйверами рынка, который достиг в 2025 году 25 млрд руб., в дальнейшем станут финансовый сектор, промышленность и телеком, а наиболее востребованными услугами — аудиты защиты данных, приложений и антифрод-систем.
По итогам 2025 года рост рынка ИБ-аудита составляет более 25% по сравнению с 2024 годом, достигнув объема в 25 млрд руб., оценили эксперты интегратора «Кросс технолоджис». В компании добавляют, что в 2026 году показатель роста может достигнуть 30%. Основным драйвером специалисты называют ужесточения требований регуляторов в области ИБ, которые, в свою очередь, обусловлены внешними причинами. Рост сохранится как минимум до 2028 года, причем, скорее всего, в 2026–2027 годах будет наблюдаться наибольший рост, а далее темп спадет, считает руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион» Дмитрий Калинин.
Стоимость базового аудита для типовой инфраструктуры может начинаться от 50 тыс. руб. (см. “Ъ” от 16 октября 2025 года). Для проведения аудита компании чаще всего привлекают юристов и консультантов, работающих с защитой персональных данных, а также специалистов по кибербезопасности, имеющих сертификацию в области защиты данных ФСТЭК и ФСБ.
Наибольший спрос на ИБ-аудит в 2026 году, по оценкам «Кросс технолоджис», будет в финансовой отрасли, сфере промышленности и телекоммуникациях. Все эти отрасли относятся к критической информационной инфраструктуре (КИИ), для них сильнее всего ужесточаются требования регуляторов — ЦБ, ФСТЭК, ФСБ. Более того, эти отрасли относятся и к самым атакуемым хакерами, что также является драйвером спроса. Помимо предприятий, относящихся к КИИ, ИБ-аудит сейчас особенно востребован в госсекторе, медицине и ритейле, отмечает директор направления ИБ «Рексофт» Сергей Бабкин. Одновременно заказчики планируют увеличение бюджетов на ИБ «в связи с растущей резонансностью киберинцидентов», добавляет он. В перечень отраслей, которые все чаще проявляют интерес к ИБ-аудитам, руководитель направления стратегии и рисков компании «Информзащита» Тарас Макаренко включает авиаперевозчиков, логистические и транспортные компании, а также крупные распределительные холдинги. Эксперт связывает это с тем, что киберинциденты приводят к наиболее заметным простоям и прямым бизнес-потерям. Также он отмечает отдельный интерес к аудитам со стороны IT-аутсорсеров, облачных и сервисных провайдеров, для которых верифицированная защищенность становится инструментом подтверждения надежности перед клиентами и конкурентным преимуществом.
ИБ-аудит может стать обязательной процедурой для всего бизнеса на уровне цифровой гигиены, считает начальник отдела ИБ компании MONS (входит в ГК «КОРУС Консалтинг») Татьяна Белоусова. При этом, по ее словам, сама процедура станет значительно проще технически за счет автоматизации типовых процессов и внедрения ИИ-инструментов. Если ранее аудит во многих случаях воспринимался исключительно как формальное выполнение регуляторных требований, то сегодня он все чаще используется как прикладной инструмент управления рисками, говорит ведущий ИБ-эксперт компании UDV Group Ольга Луценко.
📚В реестр отечественного ПО включили мобильную ОС на базе Android Open Source Project
15 января. / CYBER MEDIA /. Минцифры России официально включило в единый реестр российского программного обеспечения мобильную операционную систему «Око», разработанную компанией «Байтэрг» (с июня 2025 г. 50 % принадлежит «Росатому»). Это произошло после неоднократных попыток производителя войти в реестр, ранее получавших отказ.
«Око» создана на базе Android Open Source Project (AOSP), но, как утверждают разработчики, очищена от компонентов Google и переработана таким образом, что полностью исключает зависимости от зарубежных сервисов. Это позволяет использовать её на мобильных устройствах в госсекторе.
Система построена на ядре Linux и оптимизирована под архитектуру ARMv8, что обеспечивает совместимость с современными смартфонами, планшетами и другим оборудованием. ОС поддерживает беспроводные сети (GSM, 3G, 4G, Wi-Fi, Bluetooth, GPS/ГЛОНАСС), мультимедийные функции и периферийные устройства. В неё встроено шифрование и изоляция профилей, а обновления безопасности могут распространяться по OTA-каналу.
Разработчик позиционирует «Око» как решение для импортозамещения. Ранее «Байтэрг» поставлял продукцию на российской ОС «Аврора», а сейчас уже предлагает устройства под собственными брендами, включая Oko Phone 5 и Oko Tab 5, работающие на новой платформе.
Включение в реестр отечественного ПО открывает компании доступ к участию в государственных закупках и подтверждает соответствие требованиям Минцифры в части независимости программного продукта от зарубежных технологий.
15 января. / CYBER MEDIA /. Минцифры России официально включило в единый реестр российского программного обеспечения мобильную операционную систему «Око», разработанную компанией «Байтэрг» (с июня 2025 г. 50 % принадлежит «Росатому»). Это произошло после неоднократных попыток производителя войти в реестр, ранее получавших отказ.
«Око» создана на базе Android Open Source Project (AOSP), но, как утверждают разработчики, очищена от компонентов Google и переработана таким образом, что полностью исключает зависимости от зарубежных сервисов. Это позволяет использовать её на мобильных устройствах в госсекторе.
Система построена на ядре Linux и оптимизирована под архитектуру ARMv8, что обеспечивает совместимость с современными смартфонами, планшетами и другим оборудованием. ОС поддерживает беспроводные сети (GSM, 3G, 4G, Wi-Fi, Bluetooth, GPS/ГЛОНАСС), мультимедийные функции и периферийные устройства. В неё встроено шифрование и изоляция профилей, а обновления безопасности могут распространяться по OTA-каналу.
Разработчик позиционирует «Око» как решение для импортозамещения. Ранее «Байтэрг» поставлял продукцию на российской ОС «Аврора», а сейчас уже предлагает устройства под собственными брендами, включая Oko Phone 5 и Oko Tab 5, работающие на новой платформе.
Включение в реестр отечественного ПО открывает компании доступ к участию в государственных закупках и подтверждает соответствие требованиям Минцифры в части независимости программного продукта от зарубежных технологий.
Forwarded from Новости Ростеха
Что стимулирует компании инвестировать в наем и обучение ИБ-специалистов
15 января. / Новости Ростеха /. О том, как на сферу киберзащиты бизнеса влияют изменение характера киберугроз и дефицит кадров, в интервью РБК рассказал руководитель направления информационной безопасности Госкорпорации Ростех Игорь Каландадзе.
— Как вы оцениваете текущее состояние рынка кибербезопасности? Какие есть сложности?
— Интернет давно уже стал пространством, где число потенциальных угроз и злоумышленников стремительно увеличивается. Рынок реагирует не менее динамично: он подвижен, быстро меняется и развивается наряду с ростом киберугроз.
Соответственно, мы видим бурный рост предложений от вендоров практически по всем классам решений для защиты. Сложилась сильная конкуренция, есть возможность выбора между производителями. По некоторым оценкам, в сегменте ИБ-решений работают сейчас около 300 компаний-разработчиков. Объем самого рынка всего за три года вырос почти на треть: с 190 млрд руб. в 2022 году до 300 млрд руб. в 2024-м.
— На ваш взгляд, насколько отечественные разработчики и потребители смогли преодолеть последствия санкций?
— Импортозамещение в сфере защиты информации началось еще с 2014 года, поэтому в 2022-м, когда санкции усилились, турбулентности рынок не ощутил. Например, Ростех и входящие в его экосистему компании уже давно работают на полностью отечественных решениях.
— Как меняется характер киберугроз и профиль киберпреступника?
— Еще недавно традиционными противниками были хакерские группировки. Они либо похищали информацию и требовали за нее выкуп, либо шифровали информационную инфраструктуру. В результате организация не могла этой инфраструктурой пользоваться, и многие были вынуждены непублично платить, чтобы продолжить работу. Если кто-то отказывался, то информация выставлялась в даркнете на продажу. Попытки промышленного шпионажа тоже были.
С началом геополитического кризиса характер кибератак изменился: киберпреступники действуют не из корыстных интересов, а ставят целью нанести максимальный урон российской IT-инфраструктуре, особенно критической. В их поле зрения не только оборонно-промышленный комплекс, к которому относится Ростех, но и другие государственные компании, ведомства, объекты ТЭК и т.д.
— Какие технологические и организационные тренды будут определять работу команды киберзащиты?
— Стоит отметить усиление жестких режимов защиты и снижение публичности как компаний, так и конкретных сотрудников. С 2022 года предприятия ОПК, например, вывели значительную часть систем и ресурсов из открытого интернет-пространства. Многие компании теперь не раскрывают данные о себе и своих сотрудниках, ограничивают доступ к информационному обмену с внешней средой, убирая все важное внутрь и усиливая его защиту. Это помогает уменьшить риски, сократить количество потенциальных точек для атак и повысить безопасность информационных систем.
15 января. / Новости Ростеха /. О том, как на сферу киберзащиты бизнеса влияют изменение характера киберугроз и дефицит кадров, в интервью РБК рассказал руководитель направления информационной безопасности Госкорпорации Ростех Игорь Каландадзе.
— Как вы оцениваете текущее состояние рынка кибербезопасности? Какие есть сложности?
— Интернет давно уже стал пространством, где число потенциальных угроз и злоумышленников стремительно увеличивается. Рынок реагирует не менее динамично: он подвижен, быстро меняется и развивается наряду с ростом киберугроз.
Соответственно, мы видим бурный рост предложений от вендоров практически по всем классам решений для защиты. Сложилась сильная конкуренция, есть возможность выбора между производителями. По некоторым оценкам, в сегменте ИБ-решений работают сейчас около 300 компаний-разработчиков. Объем самого рынка всего за три года вырос почти на треть: с 190 млрд руб. в 2022 году до 300 млрд руб. в 2024-м.
— На ваш взгляд, насколько отечественные разработчики и потребители смогли преодолеть последствия санкций?
— Импортозамещение в сфере защиты информации началось еще с 2014 года, поэтому в 2022-м, когда санкции усилились, турбулентности рынок не ощутил. Например, Ростех и входящие в его экосистему компании уже давно работают на полностью отечественных решениях.
— Как меняется характер киберугроз и профиль киберпреступника?
— Еще недавно традиционными противниками были хакерские группировки. Они либо похищали информацию и требовали за нее выкуп, либо шифровали информационную инфраструктуру. В результате организация не могла этой инфраструктурой пользоваться, и многие были вынуждены непублично платить, чтобы продолжить работу. Если кто-то отказывался, то информация выставлялась в даркнете на продажу. Попытки промышленного шпионажа тоже были.
С началом геополитического кризиса характер кибератак изменился: киберпреступники действуют не из корыстных интересов, а ставят целью нанести максимальный урон российской IT-инфраструктуре, особенно критической. В их поле зрения не только оборонно-промышленный комплекс, к которому относится Ростех, но и другие государственные компании, ведомства, объекты ТЭК и т.д.
— Какие технологические и организационные тренды будут определять работу команды киберзащиты?
— Стоит отметить усиление жестких режимов защиты и снижение публичности как компаний, так и конкретных сотрудников. С 2022 года предприятия ОПК, например, вывели значительную часть систем и ресурсов из открытого интернет-пространства. Многие компании теперь не раскрывают данные о себе и своих сотрудниках, ограничивают доступ к информационному обмену с внешней средой, убирая все важное внутрь и усиливая его защиту. Это помогает уменьшить риски, сократить количество потенциальных точек для атак и повысить безопасность информационных систем.
«Придержите дверь, я с кофе (и вирусом)». Как ваша вежливость помогает хакерам грабить компанию
16 января. / securitylab.ru /. За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам, у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.
Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.
Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на YouTube продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.
Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.
Главный тренд, который он сейчас наблюдает, — это сочетание ИИ-инструментов с классическими методами физического взлома. Более того, он использует обычные чат-боты даже на этапе планирования атак. Иногда они отказываются напрямую помогать, но всё равно находят обходные пути и выдают полезные подсказки. При этом на даркнете уже существуют версии ботов без ограничений, способные, например, разрабатывать вредоносное ПО.
Несмотря на это, Шапланд считает, что индустрия кибербезопасности пока преувеличивает масштабы использования ИИ преступниками. Сейчас они в основном экспериментируют. Однако в ближайшие годы ситуация резко изменится. Он уверен, что поддельные видеоконференции скоро станут неотличимы от настоящих, и человек по ту сторону экрана может быть кем угодно.
В качестве примера он приводит волну реалистичных фейковых видео, которые появились после выхода Sora 2 прошлой осенью. Такие ролики активно распространяются в соцсетях, и многие принимают их за правду.
Рассказывая о своей работе, Шапланд преследует вполне практичную цель. Он хочет, чтобы сотрудники компаний осознали, насколько уязвимыми они бывают в реальных ситуациях. Почти все свои проникновения он тайно снимает на скрытые камеры, встроенные в галстуки или очки. Позже эти записи показывают персоналу. По его словам, увидеть себя на экране, впускающим незнакомца в офис или оставляющим рабочий стол без присмотра, куда эффективнее любого теста или онлайн-курса.
Он уверен, что обучение кибербезопасности стало скучным и формальным, превратилось в галочку для отчётности и давно перестало выполнять свою задачу.
16 января. / securitylab.ru /. За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам, у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.
Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.
Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на YouTube продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.
Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.
Главный тренд, который он сейчас наблюдает, — это сочетание ИИ-инструментов с классическими методами физического взлома. Более того, он использует обычные чат-боты даже на этапе планирования атак. Иногда они отказываются напрямую помогать, но всё равно находят обходные пути и выдают полезные подсказки. При этом на даркнете уже существуют версии ботов без ограничений, способные, например, разрабатывать вредоносное ПО.
Несмотря на это, Шапланд считает, что индустрия кибербезопасности пока преувеличивает масштабы использования ИИ преступниками. Сейчас они в основном экспериментируют. Однако в ближайшие годы ситуация резко изменится. Он уверен, что поддельные видеоконференции скоро станут неотличимы от настоящих, и человек по ту сторону экрана может быть кем угодно.
В качестве примера он приводит волну реалистичных фейковых видео, которые появились после выхода Sora 2 прошлой осенью. Такие ролики активно распространяются в соцсетях, и многие принимают их за правду.
Рассказывая о своей работе, Шапланд преследует вполне практичную цель. Он хочет, чтобы сотрудники компаний осознали, насколько уязвимыми они бывают в реальных ситуациях. Почти все свои проникновения он тайно снимает на скрытые камеры, встроенные в галстуки или очки. Позже эти записи показывают персоналу. По его словам, увидеть себя на экране, впускающим незнакомца в офис или оставляющим рабочий стол без присмотра, куда эффективнее любого теста или онлайн-курса.
Он уверен, что обучение кибербезопасности стало скучным и формальным, превратилось в галочку для отчётности и давно перестало выполнять свою задачу.
ФСТЭК ввела термин «SAP-системы» и предупредила об их небезопасности
16 января. / d-russia.ru /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала «Рекомендации по предотвращению реализации угроз безопасности информации при применении SAP-систем в условиях прекращения их технической поддержки и распространения обновлений на территории Российской Федерации», сообщает служба.
Документ разработан по результатам анализа сведений об угрозах безопасности информации, проводимого специалистами ФСТЭК России, говорится в сообщении.
Под «SAP-системами» служба понимает системы планирования и учёта ресурсов предприятия (ERP-системы) от немецкой SAP. Как говорится в сообщении, к таким системам относятся платформы SAP NetWeaver ABAP, SAP NetWeaver Java, SAP S/4HANA, SAP Solution Manager (SAP-системы тестовой и производственной инфраструктуры, инфраструктуры разработки, системы управления базами данных SAP HANA, Oracle, Microsoft SQL Server и MaxDB) и их компоненты.
16 января. / d-russia.ru /. Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала «Рекомендации по предотвращению реализации угроз безопасности информации при применении SAP-систем в условиях прекращения их технической поддержки и распространения обновлений на территории Российской Федерации», сообщает служба.
Документ разработан по результатам анализа сведений об угрозах безопасности информации, проводимого специалистами ФСТЭК России, говорится в сообщении.
Под «SAP-системами» служба понимает системы планирования и учёта ресурсов предприятия (ERP-системы) от немецкой SAP. Как говорится в сообщении, к таким системам относятся платформы SAP NetWeaver ABAP, SAP NetWeaver Java, SAP S/4HANA, SAP Solution Manager (SAP-системы тестовой и производственной инфраструктуры, инфраструктуры разработки, системы управления базами данных SAP HANA, Oracle, Microsoft SQL Server и MaxDB) и их компоненты.
Digital Russia
ФСТЭК ввела термин «SAP-системы» и предупредила об их небезопасности
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала «Рекомендации по предотвращению реализации угроз безопасности информации
Мошенники устроили «распродажу» невостребованных новогодних подарков в мессенджерах
16 января. / CYBER MEDIA /. Киберполиция Санкт-Петербурга предупредила о новой волне мошенничества, в рамках которой злоумышленники предлагают пользователям купить электронику и бытовую технику по бросовым ценам под предлогом распродажи «зависших» новогодних подарков.
Мошенники действуют преимущественно через мессенджеры, отправляя сообщения якобы от имени крупных розничных сетей с предложениями «эксклюзивных акций». В текстах таких сообщений содержатся ссылки или призывы прислать одноразовый код из SMS для подтверждения брони или участия в акции. Получив код, злоумышленники используют его для получения доступа к банковским операциям или учётным записям жертв.
Киберполиция отмечает, что крупные торговые сети, как правило, публикуют информацию о настоящих акциях только на официальных сайтах и в проверенных аккаунтах в социальных сетях, а запрос одноразовых кодов по SMS от имени продавцов не практикуется. Если код уже передан злоумышленникам, пострадавшим рекомендуется немедленно связаться с банком, изменить пароли, заблокировать операции по карте и проверить счета на предмет подозрительных списаний и несанкционированных транзакций.
По мнению экспертов, такие схемы возникают из-за сочетания высокой активности пользователей мессенджеров и доверчивости людей в период сезонных распродаж, а также в ответ на усиление мер противодействия мошенничеству, из-за чего злоумышленники вынуждены придумывать новые приманки для обмана.
16 января. / CYBER MEDIA /. Киберполиция Санкт-Петербурга предупредила о новой волне мошенничества, в рамках которой злоумышленники предлагают пользователям купить электронику и бытовую технику по бросовым ценам под предлогом распродажи «зависших» новогодних подарков.
Мошенники действуют преимущественно через мессенджеры, отправляя сообщения якобы от имени крупных розничных сетей с предложениями «эксклюзивных акций». В текстах таких сообщений содержатся ссылки или призывы прислать одноразовый код из SMS для подтверждения брони или участия в акции. Получив код, злоумышленники используют его для получения доступа к банковским операциям или учётным записям жертв.
Киберполиция отмечает, что крупные торговые сети, как правило, публикуют информацию о настоящих акциях только на официальных сайтах и в проверенных аккаунтах в социальных сетях, а запрос одноразовых кодов по SMS от имени продавцов не практикуется. Если код уже передан злоумышленникам, пострадавшим рекомендуется немедленно связаться с банком, изменить пароли, заблокировать операции по карте и проверить счета на предмет подозрительных списаний и несанкционированных транзакций.
По мнению экспертов, такие схемы возникают из-за сочетания высокой активности пользователей мессенджеров и доверчивости людей в период сезонных распродаж, а также в ответ на усиление мер противодействия мошенничеству, из-за чего злоумышленники вынуждены придумывать новые приманки для обмана.
«Лаборатория Касперского» представила прогноз киберугроз для телекома в 2026 году
16 января. / КИБЕР МЕДИА /. Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) проанализировали ландшафт киберугроз для телекома в 2025 году, а также поделились своим видением, каким он будет в 2026 году.
По данным «Лаборатории Касперского», по всему миру с ноября 2024 года по октябрь 2025 года 13% пользователей из телеком-отрасли столкнулись с веб-угрозами, то есть попытками заражения из интернета, а 21% — с угрозами на устройстве, когда вредоносные файлы распространяются, например, через съёмные носители. При этом 10% таких компаний столкнулись с программами-шифровальщиками.
Одной из главных угроз для организаций из сферы телекоммуникаций в 2025 году были сложные целевые атаки (APT). Преимущественно они были направлены на то, чтобы получить скрытый доступ к внутренним системам операторов — в целях долгосрочного кибершпионажа, а также эксплуатации повышенных привилегий внутри сети.
Другая распространённая угроза — атаки на цепочки поставок. Телекоммуникационные экосистемы зависят от множества вендоров, подрядчиков, а также тесно интегрированных платформ. Злоумышленники используют уязвимости в распространённом ПО и сервисах, чтобы получить доступ к сети операторов. В 2025 году угрозу также представляли DDoS-атаки, которые создавали проблемы с доступностью сервисов и пропускной способностью.
Телеком сейчас переходит от стремительного развития технологий к их широкому внедрению. В 2026 году это может создать не только новые возможности для отрасли, но и серьёзные киберриски. Есть три области, где внедрение передовых технологий потенциально может привести к проблемам, если этот процесс будет происходить неравномерно и без должного контроля:
🔹 Искусственный интеллект. Использование ИИ-инструментов для управления сетью может привести к ошибкам в конфигурации, а также к принятию решений на основе некорректных данных.
🔹 Постквантовая криптография. Хотя основной угрозой в сфере квантовых технологий сегодня остаётся сценарий «собери сейчас, расшифруй позже» (harvest now, decrypt later), при котором злоумышленники собирают зашифрованные данные для возможного взлома в будущем, именно он является одним из факторов, подталкивающих провайдеров к переходу на постквантовую криптографию. Если организация будет поспешно переходить к гибридной и постквантовой криптографии, есть риск, что возникнут проблемы с совместимостью и производительностью в ИТ-среде, а также средах управления и соединения.
🔹 5G. Интеграция 5G со спутниками (Non-Terrestrial Networks, NTN) позволяет расширить зоны покрытия услуг, но в то же время усиливает зависимость от партнёров. Это может привести к появлению новых точек интеграции, а также к потенциальным сбоям и ошибкам.
«Ключевые угрозы для телеком-компаний в 2025 году — APT-кампании, атаки на цепочки поставок, DDoS-атаки — останутся актуальными. Однако теперь к ним добавятся операционные риски, связанные с ИИ-автоматизацией, а также интеграцией со спутниками. Чтобы снизить риски, операторам необходимо обеспечить не только надёжную защиту от уже известных угроз, но и принять меры безопасности, связанные с внедрением новых технологий с самых ранних этапов. Один из ключевых факторов — непрерывный анализ угроз, охватывающий все элементы — от конечных точек до орбиты», — комментирует Леонид Безвершенко, старший эксперт Глобального центра исследования и анализа угроз (Kaspersky GReAT).
16 января. / КИБЕР МЕДИА /. Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) проанализировали ландшафт киберугроз для телекома в 2025 году, а также поделились своим видением, каким он будет в 2026 году.
По данным «Лаборатории Касперского», по всему миру с ноября 2024 года по октябрь 2025 года 13% пользователей из телеком-отрасли столкнулись с веб-угрозами, то есть попытками заражения из интернета, а 21% — с угрозами на устройстве, когда вредоносные файлы распространяются, например, через съёмные носители. При этом 10% таких компаний столкнулись с программами-шифровальщиками.
Одной из главных угроз для организаций из сферы телекоммуникаций в 2025 году были сложные целевые атаки (APT). Преимущественно они были направлены на то, чтобы получить скрытый доступ к внутренним системам операторов — в целях долгосрочного кибершпионажа, а также эксплуатации повышенных привилегий внутри сети.
Другая распространённая угроза — атаки на цепочки поставок. Телекоммуникационные экосистемы зависят от множества вендоров, подрядчиков, а также тесно интегрированных платформ. Злоумышленники используют уязвимости в распространённом ПО и сервисах, чтобы получить доступ к сети операторов. В 2025 году угрозу также представляли DDoS-атаки, которые создавали проблемы с доступностью сервисов и пропускной способностью.
Телеком сейчас переходит от стремительного развития технологий к их широкому внедрению. В 2026 году это может создать не только новые возможности для отрасли, но и серьёзные киберриски. Есть три области, где внедрение передовых технологий потенциально может привести к проблемам, если этот процесс будет происходить неравномерно и без должного контроля:
🔹 Искусственный интеллект. Использование ИИ-инструментов для управления сетью может привести к ошибкам в конфигурации, а также к принятию решений на основе некорректных данных.
🔹 Постквантовая криптография. Хотя основной угрозой в сфере квантовых технологий сегодня остаётся сценарий «собери сейчас, расшифруй позже» (harvest now, decrypt later), при котором злоумышленники собирают зашифрованные данные для возможного взлома в будущем, именно он является одним из факторов, подталкивающих провайдеров к переходу на постквантовую криптографию. Если организация будет поспешно переходить к гибридной и постквантовой криптографии, есть риск, что возникнут проблемы с совместимостью и производительностью в ИТ-среде, а также средах управления и соединения.
🔹 5G. Интеграция 5G со спутниками (Non-Terrestrial Networks, NTN) позволяет расширить зоны покрытия услуг, но в то же время усиливает зависимость от партнёров. Это может привести к появлению новых точек интеграции, а также к потенциальным сбоям и ошибкам.
«Ключевые угрозы для телеком-компаний в 2025 году — APT-кампании, атаки на цепочки поставок, DDoS-атаки — останутся актуальными. Однако теперь к ним добавятся операционные риски, связанные с ИИ-автоматизацией, а также интеграцией со спутниками. Чтобы снизить риски, операторам необходимо обеспечить не только надёжную защиту от уже известных угроз, но и принять меры безопасности, связанные с внедрением новых технологий с самых ранних этапов. Один из ключевых факторов — непрерывный анализ угроз, охватывающий все элементы — от конечных точек до орбиты», — комментирует Леонид Безвершенко, старший эксперт Глобального центра исследования и анализа угроз (Kaspersky GReAT).
WinRAR не откроет, а вирус — вполне: авторы Gootloader нашли необычную лазейку в системах защиты
17 января. / securitylab.ru /. После продолжительного затишья вредоносный загрузчик Gootloader вновь оказался в центре внимания. Обновлённую кампанию в ноябре прошлого года зафиксировала команда Huntress, которая указала на возвращение разработчика, ранее связанного с группировкой Vanilla Tempest. Эта структура на тот момент использовала вымогатель Rhysida.
Анализ же новых образцов Gootloader показал, что автор вернулся к своей прежней роли — обеспечению первоначального доступа, но сделал ставку на усовершенствованные приёмы маскировки. Возвращение вредоносного инструмента сопровождалось обновлённой тактикой, которая затрудняет его обнаружение.
Главная особенность нового подхода — использование необычного ZIP-архива, который на первый взгляд кажется повреждённым. Однако этот приём позволяет злоумышленникам обойти автоматический анализ и скрыться от антивирусных решений, сохранив при этом возможность запуска на системах жертв.
Механизм распространения Gootloader остался прежним — заражение начинается с JScript-файла, упакованного в ZIP-архив. При открытии файла запускается PowerShell, который закрепляет вредоносное присутствие в системе. Но именно формат ZIP-архива делает эту кампанию особенно примечательной. Архивы содержат сотни склеенных между собой ZIP-файлов — это возможно благодаря тому, что распаковка начинается с конца файла. Количество таких фрагментов варьируется, и каждый загруженный архив уникален, что исключает возможность обнаружения по хэшу.
Архив также нарушает спецификацию ZIP: в его структуре отсутствуют обязательные байты в конце каталога, а некоторые поля, вроде номера диска или времени модификации, заполняются случайными значениями. Это мешает корректной работе таких инструментов, как 7-Zip или WinRAR, но не влияет на встроенное средство распаковки Windows. Таким образом, вредоносный файл остаётся доступен для запуска пользователем, но недоступен для большинства систем автоматического анализа.
Методика, применяемая разработчиком Gootloader, ориентирована на скрытность. Благодаря «поддельному» ZIP и уникальному содержимому каждый раз, вредоносный код трудно отследить стандартными средствами. Даже JScript-файл замаскирован под безвредный: он содержит тысячи строк неопасного кода, среди которых спрятаны вредоносные инструкции.
Запуск происходит прямо из временной папки Windows, поскольку файл не извлекается пользователем вручную. Это создаёт возможность для обнаружения — например, можно отследить запуск «wscript.exe» из каталога AppData\Local\Temp. Ещё один признак — появление LNK-файлов в папке автозагрузки, ссылающихся на скрипты в нестандартных местах.
Также стоит обратить внимание на способ исполнения второго этапа заражения. Вредонос использует старый формат коротких имён файлов в NTFS — это редкость в современных системах и может служить дополнительным индикатором. Кроме того, при запуске наблюдается цепочка процессов: от CScript к PowerShell и далее — что тоже может использоваться для обнаружения.
Для защиты можно изменить поведение системы по умолчанию и открыть JScript-файлы не через WScript, а в обычном текстовом редакторе. Это снизит риск случайного запуска вредоносного кода. При отсутствии необходимости в использовании JScript рекомендуется также ограничить или полностью заблокировать запуск WScript и CScript.
Несмотря на техническую сложность ZIP-архива, специалисты подчёркивают, что именно на этом этапе у защитной стороны есть шанс прервать цепочку заражения до того, как вредонос получит доступ к системе. Такой подход позволяет заранее блокировать вредоносные действия Gootloader, ещё до активации более разрушительных компонентов, связанных с программами-вымогателями.
17 января. / securitylab.ru /. После продолжительного затишья вредоносный загрузчик Gootloader вновь оказался в центре внимания. Обновлённую кампанию в ноябре прошлого года зафиксировала команда Huntress, которая указала на возвращение разработчика, ранее связанного с группировкой Vanilla Tempest. Эта структура на тот момент использовала вымогатель Rhysida.
Анализ же новых образцов Gootloader показал, что автор вернулся к своей прежней роли — обеспечению первоначального доступа, но сделал ставку на усовершенствованные приёмы маскировки. Возвращение вредоносного инструмента сопровождалось обновлённой тактикой, которая затрудняет его обнаружение.
Главная особенность нового подхода — использование необычного ZIP-архива, который на первый взгляд кажется повреждённым. Однако этот приём позволяет злоумышленникам обойти автоматический анализ и скрыться от антивирусных решений, сохранив при этом возможность запуска на системах жертв.
Механизм распространения Gootloader остался прежним — заражение начинается с JScript-файла, упакованного в ZIP-архив. При открытии файла запускается PowerShell, который закрепляет вредоносное присутствие в системе. Но именно формат ZIP-архива делает эту кампанию особенно примечательной. Архивы содержат сотни склеенных между собой ZIP-файлов — это возможно благодаря тому, что распаковка начинается с конца файла. Количество таких фрагментов варьируется, и каждый загруженный архив уникален, что исключает возможность обнаружения по хэшу.
Архив также нарушает спецификацию ZIP: в его структуре отсутствуют обязательные байты в конце каталога, а некоторые поля, вроде номера диска или времени модификации, заполняются случайными значениями. Это мешает корректной работе таких инструментов, как 7-Zip или WinRAR, но не влияет на встроенное средство распаковки Windows. Таким образом, вредоносный файл остаётся доступен для запуска пользователем, но недоступен для большинства систем автоматического анализа.
Методика, применяемая разработчиком Gootloader, ориентирована на скрытность. Благодаря «поддельному» ZIP и уникальному содержимому каждый раз, вредоносный код трудно отследить стандартными средствами. Даже JScript-файл замаскирован под безвредный: он содержит тысячи строк неопасного кода, среди которых спрятаны вредоносные инструкции.
Запуск происходит прямо из временной папки Windows, поскольку файл не извлекается пользователем вручную. Это создаёт возможность для обнаружения — например, можно отследить запуск «wscript.exe» из каталога AppData\Local\Temp. Ещё один признак — появление LNK-файлов в папке автозагрузки, ссылающихся на скрипты в нестандартных местах.
Также стоит обратить внимание на способ исполнения второго этапа заражения. Вредонос использует старый формат коротких имён файлов в NTFS — это редкость в современных системах и может служить дополнительным индикатором. Кроме того, при запуске наблюдается цепочка процессов: от CScript к PowerShell и далее — что тоже может использоваться для обнаружения.
Для защиты можно изменить поведение системы по умолчанию и открыть JScript-файлы не через WScript, а в обычном текстовом редакторе. Это снизит риск случайного запуска вредоносного кода. При отсутствии необходимости в использовании JScript рекомендуется также ограничить или полностью заблокировать запуск WScript и CScript.
Несмотря на техническую сложность ZIP-архива, специалисты подчёркивают, что именно на этом этапе у защитной стороны есть шанс прервать цепочку заражения до того, как вредонос получит доступ к системе. Такой подход позволяет заранее блокировать вредоносные действия Gootloader, ещё до активации более разрушительных компонентов, связанных с программами-вымогателями.
Ретро-хакинг на максималках. Почему ваша корпоративная сеть до сих пор думает, что на дворе девяностые
18 января. / securitylab.ru /. Mandiant опубликовала обширный набор радужных таблиц, предназначенных для расшифровки устаревшего протокола Net-NTLMv1. Эта инициатива призвана ускорить отказ от технологии, признанной небезопасной ещё в конце 90-х годов. Несмотря на то, что её уязвимости давно хорошо изучены, она до сих пор встречается в корпоративных инфраструктурах, где по-прежнему используется для аутентификации.
По оценке специалистов, причиной сохраняющегося присутствия Net-NTLMv1 остаётся сочетание технической инерции и отсутствия наглядной угрозы. Теперь же демонстрировать её опасность стало значительно проще. Ранее для атаки требовалось либо использовать сторонние онлайн-сервисы, что ставило под риск конфиденциальные данные, либо приобретать дорогостоящее оборудование. С публикацией новых таблиц подбор ключей возможен за несколько часов даже на бытовом железе стоимостью менее 600 долларов.
Таблицы доступны через портал исследовательских данных Google Cloud. Проверка их подлинности осуществляется с помощью SHA512-хешей. Представители сообщества по взлому паролей уже создали производные версии и разместили их на собственных площадках.
Реализация атаки основана на извлечении хеша Net-NTLMv1 без использования ESS. При наличии предсказуемой последовательности, такой как 1122334455667788, становится возможным применить атаку по известному открытому тексту. Таким способом можно восстановить хеш пароля объекта в Active Directory — пользователя или компьютера, — что открывает путь к получению повышенных привилегий.
Особую опасность представляет сценарий с принудительной аутентификацией от имени контроллера домена. Получив хеш его учётной записи, атакующий может использовать DCSync для копирования учётных данных других объектов внутри домена.
Для получения нужного хеша чаще всего используется утилита Responder с отключённой ESS и настройкой на фиксированное значение аутентификации. После захвата хеша он разбивается на части, соответствующие компонентам DES, которые затем обрабатываются с помощью специализированных программ поиска по радужным таблицам. Примеры использования различных утилит и этапов процесса Mandiant представила на иллюстрациях.
Финальный этап включает сборку полного NT-хеша и его проверку через специализированный режим в Hashcat. После этого становится возможным провести атаку DCSync с помощью утилиты secretsdump.py из набора инструментов Impacket.
Команда подчёркивает, что организации должны безотлагательно отключить Net-NTLMv1. Это делается через локальные и групповые политики Windows. Однако одного изменения настроек недостаточно. Угрозу представляют случаи, когда злоумышленники получают локальный доступ и вручную возвращают систему к уязвимому состоянию.
Для своевременного обнаружения таких попыток рекомендуется настроить фильтрацию по событиям с идентификатором 4624 в журналах Windows. В разделе информации об аутентификации следует обращать внимание на значения «LM» или «NTLMv1» в поле, обозначающем тип пакета.
18 января. / securitylab.ru /. Mandiant опубликовала обширный набор радужных таблиц, предназначенных для расшифровки устаревшего протокола Net-NTLMv1. Эта инициатива призвана ускорить отказ от технологии, признанной небезопасной ещё в конце 90-х годов. Несмотря на то, что её уязвимости давно хорошо изучены, она до сих пор встречается в корпоративных инфраструктурах, где по-прежнему используется для аутентификации.
По оценке специалистов, причиной сохраняющегося присутствия Net-NTLMv1 остаётся сочетание технической инерции и отсутствия наглядной угрозы. Теперь же демонстрировать её опасность стало значительно проще. Ранее для атаки требовалось либо использовать сторонние онлайн-сервисы, что ставило под риск конфиденциальные данные, либо приобретать дорогостоящее оборудование. С публикацией новых таблиц подбор ключей возможен за несколько часов даже на бытовом железе стоимостью менее 600 долларов.
Таблицы доступны через портал исследовательских данных Google Cloud. Проверка их подлинности осуществляется с помощью SHA512-хешей. Представители сообщества по взлому паролей уже создали производные версии и разместили их на собственных площадках.
Реализация атаки основана на извлечении хеша Net-NTLMv1 без использования ESS. При наличии предсказуемой последовательности, такой как 1122334455667788, становится возможным применить атаку по известному открытому тексту. Таким способом можно восстановить хеш пароля объекта в Active Directory — пользователя или компьютера, — что открывает путь к получению повышенных привилегий.
Особую опасность представляет сценарий с принудительной аутентификацией от имени контроллера домена. Получив хеш его учётной записи, атакующий может использовать DCSync для копирования учётных данных других объектов внутри домена.
Для получения нужного хеша чаще всего используется утилита Responder с отключённой ESS и настройкой на фиксированное значение аутентификации. После захвата хеша он разбивается на части, соответствующие компонентам DES, которые затем обрабатываются с помощью специализированных программ поиска по радужным таблицам. Примеры использования различных утилит и этапов процесса Mandiant представила на иллюстрациях.
Финальный этап включает сборку полного NT-хеша и его проверку через специализированный режим в Hashcat. После этого становится возможным провести атаку DCSync с помощью утилиты secretsdump.py из набора инструментов Impacket.
Команда подчёркивает, что организации должны безотлагательно отключить Net-NTLMv1. Это делается через локальные и групповые политики Windows. Однако одного изменения настроек недостаточно. Угрозу представляют случаи, когда злоумышленники получают локальный доступ и вручную возвращают систему к уязвимому состоянию.
Для своевременного обнаружения таких попыток рекомендуется настроить фильтрацию по событиям с идентификатором 4624 в журналах Windows. В разделе информации об аутентификации следует обращать внимание на значения «LM» или «NTLMv1» в поле, обозначающем тип пакета.
Не нажимай на кнопку — все равно получишь... взлом. Как работает новый 0-click эксплойт в Android
18 января. / securitylab.ru /. Вы можете даже не открывать сообщение и не нажимать «воспроизвести», а телефон уже начнет «разбирать» вложение на фоне, чтобы потом показать расшифровку или сделать его доступным для поиска. Удобно, но именно такие автоматические функции превращают обычную переписку в поверхность атаки, где злоумышленнику иногда достаточно просто отправить специально подготовленный файл.
Исследователи Google Project Zero опубликовали разбор полной 0-click цепочки эксплуатации для Google Pixel 9: от удаленного запуска кода в процессе декодирования медиа до выхода на уровень ядра. Серия состоит из трех частей и описывает, как уязвимости в обработке аудио и драйверах могут складываться в сценарий, при котором жертве не нужно совершать никаких действий. По данным Project Zero, исправления для уязвимостей из этой цепочки стали доступны в обновлениях от 5 января 2026 года.
Ключевой поворот последних лет в том, что «умные» функции на смартфонах стали заранее анализировать контент сообщений. В частности, Google Messages может автоматически декодировать входящие аудиовложения, полученные по SMS и RCS, чтобы сделать транскрибацию без участия пользователя. В результате сами аудиодекодеры, включая редко используемые, оказываются в зоне 0-click риска на большинстве Android-устройств.
Первая ступень цепочки связана с Dolby Unified Decoder (UDC), библиотекой для Dolby Digital и Dolby Digital Plus (AC-3 и EAC-3), которая встраивается в прошивки многих производителей. Project Zero показывает, как уязвимость CVE-2025-54957 в обработке метаданных (EMDF) позволяет добиться некорректной работы с памятью и в итоге получить выполнение кода в контексте mediacodec, то есть внутри изолированного процесса декодирования медиа на Pixel 9.
Но даже «песочница» медиадекодера не всегда означает, что атака на этом остановится. Во второй части Project Zero описывает, как из mediacodec удалось добраться до доступного из этого контекста драйвера /dev/bigwave, связанного с ускорением AV1 на чипе Pixel, и использовать уязвимость CVE-2025-36934 для выхода из ограничений и получения примитивов уровня ядра.
Отдельно исследователи подчеркивают, что впечатляет не только техника, но и «экономика» атаки: по их оценке, разработка эксплуатации для Dolby-уязвимости заняла около восьми человеко-недель, а для драйверной части базовый proof-of-concept потребовал порядка трех недель. При этом цепочка опиралась всего на два дефекта, а не на длинную связку из множества ошибок, и на практике многое упирается в то, насколько быстро экосистема доставляет патчи до пользователей.
В третьей части Project Zero приводит и неприятные цифры по срокам исправления: уязвимость в UDC сообщили Dolby 26 июня 2025 года, публичное раскрытие состоялось 15 октября 2025 года, Samsung, по их данным, выпустила патч 12 ноября 2025 года, а Pixel получил обновление только 5 января 2026 года. Это означает, что проблема оставалась публичной и не закрытой на Pixel в течение десятков дней, и сам путь обновлений для сторонних компонентов вроде UDC сложнее ускорить средствами Android, так как библиотека не поставляется как часть системы, обновляемой через механизмы наподобие APEX.
Практический вывод для владельцев Pixel 9 и других Android-смартфонов предельно скучный, но самый важный: проверить, что установлены свежие январские обновления безопасности 2026 года и все актуальные обновления приложений, которые участвуют в обработке сообщений и медиа. А производителям и разработчикам платформы, как отмечает Project Zero, придется внимательнее следить за тем, какие новые «умные» функции незаметно расширяют 0-click поверхность атаки, и сокращать число декодеров и драйверов, доступных из удаленно достижимых контекстов.
18 января. / securitylab.ru /. Вы можете даже не открывать сообщение и не нажимать «воспроизвести», а телефон уже начнет «разбирать» вложение на фоне, чтобы потом показать расшифровку или сделать его доступным для поиска. Удобно, но именно такие автоматические функции превращают обычную переписку в поверхность атаки, где злоумышленнику иногда достаточно просто отправить специально подготовленный файл.
Исследователи Google Project Zero опубликовали разбор полной 0-click цепочки эксплуатации для Google Pixel 9: от удаленного запуска кода в процессе декодирования медиа до выхода на уровень ядра. Серия состоит из трех частей и описывает, как уязвимости в обработке аудио и драйверах могут складываться в сценарий, при котором жертве не нужно совершать никаких действий. По данным Project Zero, исправления для уязвимостей из этой цепочки стали доступны в обновлениях от 5 января 2026 года.
Ключевой поворот последних лет в том, что «умные» функции на смартфонах стали заранее анализировать контент сообщений. В частности, Google Messages может автоматически декодировать входящие аудиовложения, полученные по SMS и RCS, чтобы сделать транскрибацию без участия пользователя. В результате сами аудиодекодеры, включая редко используемые, оказываются в зоне 0-click риска на большинстве Android-устройств.
Первая ступень цепочки связана с Dolby Unified Decoder (UDC), библиотекой для Dolby Digital и Dolby Digital Plus (AC-3 и EAC-3), которая встраивается в прошивки многих производителей. Project Zero показывает, как уязвимость CVE-2025-54957 в обработке метаданных (EMDF) позволяет добиться некорректной работы с памятью и в итоге получить выполнение кода в контексте mediacodec, то есть внутри изолированного процесса декодирования медиа на Pixel 9.
Но даже «песочница» медиадекодера не всегда означает, что атака на этом остановится. Во второй части Project Zero описывает, как из mediacodec удалось добраться до доступного из этого контекста драйвера /dev/bigwave, связанного с ускорением AV1 на чипе Pixel, и использовать уязвимость CVE-2025-36934 для выхода из ограничений и получения примитивов уровня ядра.
Отдельно исследователи подчеркивают, что впечатляет не только техника, но и «экономика» атаки: по их оценке, разработка эксплуатации для Dolby-уязвимости заняла около восьми человеко-недель, а для драйверной части базовый proof-of-concept потребовал порядка трех недель. При этом цепочка опиралась всего на два дефекта, а не на длинную связку из множества ошибок, и на практике многое упирается в то, насколько быстро экосистема доставляет патчи до пользователей.
В третьей части Project Zero приводит и неприятные цифры по срокам исправления: уязвимость в UDC сообщили Dolby 26 июня 2025 года, публичное раскрытие состоялось 15 октября 2025 года, Samsung, по их данным, выпустила патч 12 ноября 2025 года, а Pixel получил обновление только 5 января 2026 года. Это означает, что проблема оставалась публичной и не закрытой на Pixel в течение десятков дней, и сам путь обновлений для сторонних компонентов вроде UDC сложнее ускорить средствами Android, так как библиотека не поставляется как часть системы, обновляемой через механизмы наподобие APEX.
Практический вывод для владельцев Pixel 9 и других Android-смартфонов предельно скучный, но самый важный: проверить, что установлены свежие январские обновления безопасности 2026 года и все актуальные обновления приложений, которые участвуют в обработке сообщений и медиа. А производителям и разработчикам платформы, как отмечает Project Zero, придется внимательнее следить за тем, какие новые «умные» функции незаметно расширяют 0-click поверхность атаки, и сокращать число декодеров и драйверов, доступных из удаленно достижимых контекстов.
🔹Мадуро летит в Нью-Йорк, а вирусы — в Вашингтон. Китайские хакеры использовали арест президента Венесуэлы как приманку
19 января. / securitylab.ru /. Китайская группа Mustang Panda запустила узконаправленную фишинговую кампанию против американских ведомств и аналитических структур, воспользовавшись резонансом вокруг задержания президента Венесуэлы Николаса Мадуро. Приманкой стало архивное вложение с громким названием про решения Вашингтона относительно будущего страны, рассчитанное на сотрудников, следящих за внешнеполитической повесткой.
Следы операции обнаружила исследовательская команда Acronis после публикации в начале января на VirusTotal ZIP-файла «US now deciding what's next for Venezuela». Внутри находился легитимный исполняемый файл, который использовался как загрузчик, а также скрытый бэкдор на базе DLL, получивший название Lotuslite.
Совокупность технических признаков позволила аналитикам связать атаку с Mustang Panda с умеренной степенью уверенности. В качестве аргументов названы пересечения в инфраструктуре, сходство методов внедрения и характерная для этой команды техника подгрузки вредоносных библиотек через доверенные приложения.
Группировка действует не первый год и регулярно фигурирует в расследованиях западных спецслужб. Американские правоохранительные органы ранее обвиняли её во взломах государственных учреждений и частных компаний в США, Европе и странах Индо-Тихоокеанского региона.
В новом отчёте Acronis подробно разобрана архитектура Lotuslite. Исследователи подчёркивают, что вредонос написан на C++ и работает как полноценный имплант удалённого доступа. Он связывается с жёстко прописанным управляющим сервером по IP, закрепляется в системе для автозапуска, периодически отправляет сигналы операторам и позволяет выгружать данные с заражённых машин.
Mustang Panda уже неоднократно подстраивала свои сценарии под мировую повестку. В прошлых эпизодах использовались темы дипломатических форумов и региональных выборов, а нынешний заход был запущен практически сразу после появления новостей о захвате Мадуро американскими военными.
Стиль в целом группы строится вокруг повторяемых техник средней сложности. Наиболее заметная из них это DLL sideloading, когда вредоносная библиотека подсовывается легитимной программе и запускается от её имени, обходя базовые механизмы доверия.
Анализ содержимого архива выявил ещё один замаскированный компонент. Исполняемый файл с названием «Maduro to be taken to New York» оказался переименованным лаунчером музыкального сервиса Tencent. Рядом находилась библиотека kugou.dll, которая и выполняла роль скрытого бэкдора Lotuslite.
Параллельно с этим специалисты Cisco Talos сообщили об активности другой предположительно китайской структуры UAT-8837. Она атаковала организации из сектора критической инфраструктуры США, используя ранее неизвестную уязвимость десериализации ViewState в продуктах SiteCore (CVE-2025-53690) для первоначального проникновения.
По оценке Talos, наличие нулевого дня у этой команды указывает на доступ к дорогостоящим эксплойтам и более высокий уровень подготовки. Аналитики связывают её с китайской APT-экосистемой со средней степенью уверенности и считают сентябрьские инциденты подтверждением использования закрытых инструментов до публичного раскрытия бреши.
19 января. / securitylab.ru /. Китайская группа Mustang Panda запустила узконаправленную фишинговую кампанию против американских ведомств и аналитических структур, воспользовавшись резонансом вокруг задержания президента Венесуэлы Николаса Мадуро. Приманкой стало архивное вложение с громким названием про решения Вашингтона относительно будущего страны, рассчитанное на сотрудников, следящих за внешнеполитической повесткой.
Следы операции обнаружила исследовательская команда Acronis после публикации в начале января на VirusTotal ZIP-файла «US now deciding what's next for Venezuela». Внутри находился легитимный исполняемый файл, который использовался как загрузчик, а также скрытый бэкдор на базе DLL, получивший название Lotuslite.
Совокупность технических признаков позволила аналитикам связать атаку с Mustang Panda с умеренной степенью уверенности. В качестве аргументов названы пересечения в инфраструктуре, сходство методов внедрения и характерная для этой команды техника подгрузки вредоносных библиотек через доверенные приложения.
Группировка действует не первый год и регулярно фигурирует в расследованиях западных спецслужб. Американские правоохранительные органы ранее обвиняли её во взломах государственных учреждений и частных компаний в США, Европе и странах Индо-Тихоокеанского региона.
В новом отчёте Acronis подробно разобрана архитектура Lotuslite. Исследователи подчёркивают, что вредонос написан на C++ и работает как полноценный имплант удалённого доступа. Он связывается с жёстко прописанным управляющим сервером по IP, закрепляется в системе для автозапуска, периодически отправляет сигналы операторам и позволяет выгружать данные с заражённых машин.
Mustang Panda уже неоднократно подстраивала свои сценарии под мировую повестку. В прошлых эпизодах использовались темы дипломатических форумов и региональных выборов, а нынешний заход был запущен практически сразу после появления новостей о захвате Мадуро американскими военными.
Стиль в целом группы строится вокруг повторяемых техник средней сложности. Наиболее заметная из них это DLL sideloading, когда вредоносная библиотека подсовывается легитимной программе и запускается от её имени, обходя базовые механизмы доверия.
Анализ содержимого архива выявил ещё один замаскированный компонент. Исполняемый файл с названием «Maduro to be taken to New York» оказался переименованным лаунчером музыкального сервиса Tencent. Рядом находилась библиотека kugou.dll, которая и выполняла роль скрытого бэкдора Lotuslite.
Параллельно с этим специалисты Cisco Talos сообщили об активности другой предположительно китайской структуры UAT-8837. Она атаковала организации из сектора критической инфраструктуры США, используя ранее неизвестную уязвимость десериализации ViewState в продуктах SiteCore (CVE-2025-53690) для первоначального проникновения.
По оценке Talos, наличие нулевого дня у этой команды указывает на доступ к дорогостоящим эксплойтам и более высокий уровень подготовки. Аналитики связывают её с китайской APT-экосистемой со средней степенью уверенности и считают сентябрьские инциденты подтверждением использования закрытых инструментов до публичного раскрытия бреши.
SecurityLab.ru
Мадуро летит в Нью-Йорк, а вирусы — в Вашингтон. Китайские хакеры использовали арест президента Венесуэлы как приманку
Mustang Panda атакует ведомства, спрятав боевой бэкдор внутри безобидного плеера.
GLOBAL TECH FORUM | Цифровая трансформация и автоматизация бизнеса
19 января. / CYBER MEDIA /. Приглашаем принять активное участие в масштабной конференции и выставки, посвященные цифровой трансформации и автоматизации бизнес-процессов.
120+ СПИКЕРОВ | 100+ ПАРТНЕРОВ | 2500+ УЧАСТНИКОВ
Дата: 27 марта 2026
На одной площадке соберутся разработчики и поставщики комплексных ИТ-решений, чтобы представить свои лучшие решения для цифровизации бизнес-процессов и повышения эффективности компаний.
В рамках конференции ведущие эксперты поделятся уникальным опытом внедрения цифровых технологий, расскажут об успешных кейсах и вызовах, с которыми им пришлось столкнуться, рассмотрят актуальные стратегии и продемонстрируют новейшие подходы, включая применение искусственного интеллекта.
Среди спикеров GLOBAL TECH FORUM: Яндекс, ВТБ, КРОК, Сбер AI, билайн, РУСАЛ, Северсталь, ОККО, Почта Банк, Самокат, ПЭК, СберУниверситет, VK Tech, Gulliver Group, Победа, Т2 Мобайл, Faberlic, Лемана ПРО, НОТА (ИТ-холдинг Т1), ЕВРАЗ Маркет, Unisender, Кофемания, Северсталь-Инфоком, СберМаркетинг, ФСК, Самокат, Vasilchuki, Тензор, Детский мир, Hoff Tech, Ростелеком, Еврохим, Яндекс Практикум, JUST AI, Nexign, MTC Web Services, Naumen, Hoff Tech, Ростелеком, Цифровые Технологии и Платформы (группа Еврохим), М.Видео-Эльдорадо, Альфа-банк, Т1 Искусственный интеллект, BPMSoft и другие.
Основные блоки конференции:
GLOBAL TECH
Обсуждение актуальных трендов и цифровых технологий, включая искусственный интеллект, большие данные, облачные решения и кибербезопасность.
HR & ED TECH
Рассмотрим кейсы и решения по автоматизации и оптимизации процессов, связанных с привлечением, отбором, развитием, оценкой и удержанием сотрудников с целью повышения эффективности HR-процессов и улучшения опыта сотрудников.
TEAM TECH
Обсудим технологии и инструменты, предназначенные для повышения эффективности и продуктивности сотрудников и координации работы. Такие сервисы помогают автоматизировать задачи, организовать рабочий процесс, отслеживать выполнение заданий и повышать общую продуктивность.
CLIENT TECH
Разберем кейсы и решения для автоматизации клиентского сервиса, включая CRM-системы, чат-боты, голосовые помощники, аналитические инструменты для повышения эффективности взаимодействия с клиентами.
MARKETING & SALES TECH
Цифровые решения для автоматизации маркетинга и продаж, платформы для аналитики данных, инструменты персонализации контента и сервисы управления рекламными кампаниями.
Конференция актуальна для руководителей и специалистов из крупного и среднего бизнеса:
🔹 IT-директоров и руководителей IT-подразделений, специалистов по цифровой трансформации
🔹 Руководителей коммерческого блока, директоров и руководителей по маркетингу, продажам и клиентскому сервису
🔹 Директоров по персоналу, руководителей HR-направлений, специалистов по подбору и развитию персонала
🔹 Директоров по развитию бизнеса
🔹 Руководителей и владельцев бизнеса
19 января. / CYBER MEDIA /. Приглашаем принять активное участие в масштабной конференции и выставки, посвященные цифровой трансформации и автоматизации бизнес-процессов.
120+ СПИКЕРОВ | 100+ ПАРТНЕРОВ | 2500+ УЧАСТНИКОВ
Дата: 27 марта 2026
На одной площадке соберутся разработчики и поставщики комплексных ИТ-решений, чтобы представить свои лучшие решения для цифровизации бизнес-процессов и повышения эффективности компаний.
В рамках конференции ведущие эксперты поделятся уникальным опытом внедрения цифровых технологий, расскажут об успешных кейсах и вызовах, с которыми им пришлось столкнуться, рассмотрят актуальные стратегии и продемонстрируют новейшие подходы, включая применение искусственного интеллекта.
Среди спикеров GLOBAL TECH FORUM: Яндекс, ВТБ, КРОК, Сбер AI, билайн, РУСАЛ, Северсталь, ОККО, Почта Банк, Самокат, ПЭК, СберУниверситет, VK Tech, Gulliver Group, Победа, Т2 Мобайл, Faberlic, Лемана ПРО, НОТА (ИТ-холдинг Т1), ЕВРАЗ Маркет, Unisender, Кофемания, Северсталь-Инфоком, СберМаркетинг, ФСК, Самокат, Vasilchuki, Тензор, Детский мир, Hoff Tech, Ростелеком, Еврохим, Яндекс Практикум, JUST AI, Nexign, MTC Web Services, Naumen, Hoff Tech, Ростелеком, Цифровые Технологии и Платформы (группа Еврохим), М.Видео-Эльдорадо, Альфа-банк, Т1 Искусственный интеллект, BPMSoft и другие.
Основные блоки конференции:
GLOBAL TECH
Обсуждение актуальных трендов и цифровых технологий, включая искусственный интеллект, большие данные, облачные решения и кибербезопасность.
HR & ED TECH
Рассмотрим кейсы и решения по автоматизации и оптимизации процессов, связанных с привлечением, отбором, развитием, оценкой и удержанием сотрудников с целью повышения эффективности HR-процессов и улучшения опыта сотрудников.
TEAM TECH
Обсудим технологии и инструменты, предназначенные для повышения эффективности и продуктивности сотрудников и координации работы. Такие сервисы помогают автоматизировать задачи, организовать рабочий процесс, отслеживать выполнение заданий и повышать общую продуктивность.
CLIENT TECH
Разберем кейсы и решения для автоматизации клиентского сервиса, включая CRM-системы, чат-боты, голосовые помощники, аналитические инструменты для повышения эффективности взаимодействия с клиентами.
MARKETING & SALES TECH
Цифровые решения для автоматизации маркетинга и продаж, платформы для аналитики данных, инструменты персонализации контента и сервисы управления рекламными кампаниями.
Конференция актуальна для руководителей и специалистов из крупного и среднего бизнеса:
🔹 IT-директоров и руководителей IT-подразделений, специалистов по цифровой трансформации
🔹 Руководителей коммерческого блока, директоров и руководителей по маркетингу, продажам и клиентскому сервису
🔹 Директоров по персоналу, руководителей HR-направлений, специалистов по подбору и развитию персонала
🔹 Директоров по развитию бизнеса
🔹 Руководителей и владельцев бизнеса
Сайт конференции
Минус 33% переходов из поиска за год. Почему вы всё реже кликаете на новости (и дальше будет только хуже)
20 января. / securitylab.ru /. Похоже, привычная дорога к новостям через поиск начинает закрываться прямо у нас на глазах. Вместо списка ссылок все чаще появляется готовый ответ, и читатель так и не доходит до сайта редакции. В отчете Reuters Institute говорится, что именно этот сдвиг, вместе с ростом новостей от блогеров и авторов на платформах, в 2026 году будет сильнее всего сжимать медиа между двумя силами, генеративным ИИ и экономикой создателей.
Авторы исследования опросили 280 руководителей и цифровых менеджеров медиа из 51 страны. Итог настроений мрачный, уверенность в перспективах журналистики на ближайший год выражают только 38% респондентов. При этом в собственном бизнесе уверены 53%, то есть многие считают, что выживут сами, даже если отрасли в целом будет тяжело.
Главный страх звучит максимально конкретно. Руководители ожидают, что трафик из поисковиков за три года просядет более чем на 40%. И это не абстрактный прогноз на будущее. Данные Chartbeat, которые приводятся в отчете, уже фиксируют падение переходов из Google Search на сайты СМИ на 33% год к году в глобальной выборке. На этом фоне прежние источники аудитории тоже не радуют. Отчет напоминает о многолетнем обвале переходов из Facebook на 43% и из X на 46%, что сделало зависимость от платформ особенно болезненной.
Парадокс в том, что новые ИИ интерфейсы уже стали массовыми, но пока почти не компенсируют потери. В документе отмечается, что у ChatGPT около 800 млн активных пользователей в неделю, и переходы из чатботов растут, но в общей картине это все еще почти незаметно. Более того, Google, по расчетам Chartbeat, дает в 500 раз больше переходов, чем ChatGPT, если сравнивать только поиск, и в 1300 раз больше, если добавить Discover.
Ответ редакций на эту ситуацию тоже меняется. В отчете говорится, что медиа собираются сильнее вкладываться в то, что сложнее превратить в универсальную выжимку. Речь про оригинальные расследования и репортажи с места событий, анализ и объяснение контекста, а также про человеческие истории. Зато меньше внимания планируют уделять сервисным материалам и вечнозеленому контенту, который чатботы способны выдавать быстрее и дешевле. Параллельно редакции ускоряют поворот в сторону видео. YouTube становится главным приоритетом для дистрибуции, а TikTok и Instagram идут следом, при этом X и Facebook теряют статус обязательных площадок.
Еще один фронт конкуренции, это создатели контента, которые забирают и внимание, и иногда людей из редакций. В отчете 70% опрошенных говорят, что обеспокоены тем, что авторы и инфлюенсеры оттягивают время и внимание аудитории от журналистских брендов, а 39% опасаются потери сильных кадров. В результате 76% респондентов планируют, что их журналисты будут работать более "по-creatorски", то есть чаще выходить к аудитории лицом, активнее снимать, объяснять и строить персональный контакт.
При этом ИИ приносит не только падение трафика, но и новую волну мусора и подделок. Отчет отдельно описывает рост AI slop и дипфейков и предупреждает, что в такой среде обществу понадобятся новые защитные механизмы. Одним из ключевых направлений называется "цифровое происхождение", когда к фото и видео добавляют метаданные об источнике и правках по стандартам вроде C2PA. Но прогресс пока медленный, в документе отмечается, что менее 1% новостных изображений и видео в мире сейчас содержат такие метаданные. Любопытно, что около половины опрошенных, 52%, все же надеются, что тревога из-за фейков и ИИ контента со временем может сыграть на руку профессиональным медиа.
Итоговый прогноз звучит так. Новостным изданиям придется учиться жить в мире, где поиск перестает быть витриной ссылок, социальные сети становятся видеолентой без исходящих переходов, а доверие все чаще привязано к конкретному человеку, а не к логотипу. Кто сумеет перестроить продукт и стиль, сохранив качество и проверку фактов, у того остается шанс не просто выжить, а занять более заметное место в шумном, автоматизированном интернете.
20 января. / securitylab.ru /. Похоже, привычная дорога к новостям через поиск начинает закрываться прямо у нас на глазах. Вместо списка ссылок все чаще появляется готовый ответ, и читатель так и не доходит до сайта редакции. В отчете Reuters Institute говорится, что именно этот сдвиг, вместе с ростом новостей от блогеров и авторов на платформах, в 2026 году будет сильнее всего сжимать медиа между двумя силами, генеративным ИИ и экономикой создателей.
Авторы исследования опросили 280 руководителей и цифровых менеджеров медиа из 51 страны. Итог настроений мрачный, уверенность в перспективах журналистики на ближайший год выражают только 38% респондентов. При этом в собственном бизнесе уверены 53%, то есть многие считают, что выживут сами, даже если отрасли в целом будет тяжело.
Главный страх звучит максимально конкретно. Руководители ожидают, что трафик из поисковиков за три года просядет более чем на 40%. И это не абстрактный прогноз на будущее. Данные Chartbeat, которые приводятся в отчете, уже фиксируют падение переходов из Google Search на сайты СМИ на 33% год к году в глобальной выборке. На этом фоне прежние источники аудитории тоже не радуют. Отчет напоминает о многолетнем обвале переходов из Facebook на 43% и из X на 46%, что сделало зависимость от платформ особенно болезненной.
Парадокс в том, что новые ИИ интерфейсы уже стали массовыми, но пока почти не компенсируют потери. В документе отмечается, что у ChatGPT около 800 млн активных пользователей в неделю, и переходы из чатботов растут, но в общей картине это все еще почти незаметно. Более того, Google, по расчетам Chartbeat, дает в 500 раз больше переходов, чем ChatGPT, если сравнивать только поиск, и в 1300 раз больше, если добавить Discover.
Ответ редакций на эту ситуацию тоже меняется. В отчете говорится, что медиа собираются сильнее вкладываться в то, что сложнее превратить в универсальную выжимку. Речь про оригинальные расследования и репортажи с места событий, анализ и объяснение контекста, а также про человеческие истории. Зато меньше внимания планируют уделять сервисным материалам и вечнозеленому контенту, который чатботы способны выдавать быстрее и дешевле. Параллельно редакции ускоряют поворот в сторону видео. YouTube становится главным приоритетом для дистрибуции, а TikTok и Instagram идут следом, при этом X и Facebook теряют статус обязательных площадок.
Еще один фронт конкуренции, это создатели контента, которые забирают и внимание, и иногда людей из редакций. В отчете 70% опрошенных говорят, что обеспокоены тем, что авторы и инфлюенсеры оттягивают время и внимание аудитории от журналистских брендов, а 39% опасаются потери сильных кадров. В результате 76% респондентов планируют, что их журналисты будут работать более "по-creatorски", то есть чаще выходить к аудитории лицом, активнее снимать, объяснять и строить персональный контакт.
При этом ИИ приносит не только падение трафика, но и новую волну мусора и подделок. Отчет отдельно описывает рост AI slop и дипфейков и предупреждает, что в такой среде обществу понадобятся новые защитные механизмы. Одним из ключевых направлений называется "цифровое происхождение", когда к фото и видео добавляют метаданные об источнике и правках по стандартам вроде C2PA. Но прогресс пока медленный, в документе отмечается, что менее 1% новостных изображений и видео в мире сейчас содержат такие метаданные. Любопытно, что около половины опрошенных, 52%, все же надеются, что тревога из-за фейков и ИИ контента со временем может сыграть на руку профессиональным медиа.
Итоговый прогноз звучит так. Новостным изданиям придется учиться жить в мире, где поиск перестает быть витриной ссылок, социальные сети становятся видеолентой без исходящих переходов, а доверие все чаще привязано к конкретному человеку, а не к логотипу. Кто сумеет перестроить продукт и стиль, сохранив качество и проверку фактов, у того остается шанс не просто выжить, а занять более заметное место в шумном, автоматизированном интернете.