Warlock: как хакеры взламывают компании быстрее, чем они успевают обновиться

В конце 2025 года наши эксперты по реагированию на инциденты Angara MTDR зафиксировали серию атак группировки Warlock (также известной как Lenient Wolf, Storm-2603, GOLD SALEM).

Злоумышленники эксплуатируют критические уязвимости внешнего периметра, например CVE-2023-24955, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, в опубликованном веб-приложении SharePoint. В октябре 2025 года этот ряд пополнился свежей уязвимостью WSUS — CVE 2025-59287 (9,8 из 10 по CVSS), о чем мы сразу же сообщили в нашем Telegram-канале.

⚠️ Одной из ключевых угроз по-прежнему является временной фактор:

Между публикацией PoC (Proof-of-Concept) и началом массового сканирования проходят минуты. Поэтому и первичное проникновение в систему происходит до того, как команды безопасности попросту успевают среагировать на новость об уязвимой версии ПО. При этом, и развитие атаки занимает часы, а не дни, и используются актуальные и не самые стандартные техники атак.

Случай с Warlock — это наглядная демонстрация того, почему классического мониторинга уже недостаточно, и необходимы решения, способные дополнительно отслеживать быстро меняющийся ландшафт угроз и контролировать внешний контур организации.

📖 Подробный технический разбор инцидентов, TTPs группировки и рекомендации по защите — читайте в нашей новой статье.

#AngaraMTDR #AngaraDFIRMA
@angarasecurity

💡Как эффективно управлять инцидентами ИБ с помощью SOAR

➡️ Что делать, если количество инцидентов растет, а процессы становятся хаотичными? Ответ прост — внедрить SOAR!

➡️ Как SOAR помогает выстраивать эффективные процессы управления инцидентами: приоритизация, эскалация, контроль сроков и качество расследований.

📌Читайте подробнее в материале Александры Евсеевой, эксперта по кибербезопасности Angara Security

📥Уходящий 2025 год стал для российских компаний временем, когда главным противником является не конкретный тип вредоносного ПО, а сочетание технологического развития и человеческого фактора, помноженные на скорость. Ландшафт угроз становится всё более комплексным и персонализированным, стирая границы между классическими векторами атак.

📎Алексей Варлаханов для Cyber Media рассказал, что может стать главной угрозой для CISO в 2026 году.

@angarasecurity

Ранее мы спросили у нашего комьюнити (спасибо всем 130 участникам!), с какой первой проблемой в сфере информационной безопасности они столкнулись в начале года. И результаты получились очень показательными!

1️⃣ Лидер мнений (42%):«Выпили кофе – приступили к планированию. Никакого аврала».
Рады за вас! Видимо, защита была настроена надежно, а коллеги вернулись отдохнувшими и внимательными. Идеальный старт года!

2️⃣ Вторая строчка (34%): «Отчеты, планы, бюджеты – год начался!» Суровая реальность. Не проблема, а рутина, но отнимающая львиную долю времени. Желаем сил и успехов!🛠️

3️⃣ А вот и первые сбои (16%):«Сломалось/упало/перестало работать что-то важное».
Классика жанра. После праздников часто «проявляются» накопившиеся проблемы или сбои в системах, которые тихо работали в щадящем режиме.

4️⃣ Человеческий фактор (7%): Коллеги «забыли» все политики безопасности за каникулы.
«Забыли пароль», «кликнули не глядя», «нужно срочно, обойдем процедуры» — знакомо? Пора напоминать о безопасности.

5️⃣ Фишинг не дремлет (1%): «Шквал писем с «безопасных» ресурсов и подозрительных рассылок».
Злоумышленники тоже вышли на работу. Всего 1% — это либо хорошая фильтрация, либо... многие просто не заметили угрозу.

💡Вывод: Большинство стартовали 2026 год планомерно, но почти каждый третий уже в отчетах, а каждый шестой — в борьбе со сбоями. Человеческий фактор и фишинг, хоть и в меньшинстве, напоминают о себе сразу после выходных.

❓ Гигиена каталога пользователей: зачем чистить старые группы, атрибуты и устаревшие роли?

➡️ Современные компании сталкиваются с постоянным ростом объема учетных записей, групп и ролей в Active Directory (AD) и LDAP-каталогах. По данным экспертов, в 2025 года в корпоративных каталогах среднего и крупного предприятия хранится свыше 50 000 объектов, при этом до 30-40% из них могут быть неактивными, устаревшими или избыточными.

➡️ Такая "цифровая свалка" создает значительные риски для информационной безопасности, являясь идеальной средой для атакующих. Согласно исследованиям, более 80% успешных кибератак так или иначе связаны с компрометацией привилегированных учетных записей или эксплуатацией ошибок в конфигурации AD.

🅰️Иван Бодарев, системный архитектор Angara Security, рассказал о чистке каталога пользователей, включая удаление «зомби-аккаунтов», очистку устаревших групп и актуализацию атрибутов. Автор предлагает конкретные меры по обеспечению чистоты и безопасности каталога, снижающие вероятность компрометации важных ресурсов и повышающие эффективность управления правами доступа.

Читать подробнее.

@angarasecurity ​

❓ИИ в кибербезопасности: Панацея или просто инструмент?

➡️ Все говорят, что искусственный интеллект изменит безопасность. Но сможет ли он заменить основы? Нет.

➡️ Почему даже самый продвинутый ИИ бессилен без кибергигиены и классических мер защиты?

Об этом порталу PLUSworld рассказал заместитель генерального директора Angara Security, директор Angara MTDR Тимур Зиннятуллин.

#AngaraSecurity #AngaraMTDR
@angarasecurity

1️⃣⏏️🔼🔼 WAF и Anti-DDoS в России: рынок ускоряется

➡️ Рынок кибербезопасности вступает в фазу активной зрелости. Инвестиции в WAF и Anti-DDoS перестают быть просто «чек-боксом» для compliance, а становятся стратегической необходимостью для обеспечения непрерывности бизнеса и защиты цифровых активов.

📈 Что движет рынком?

Эксперты Angara Security выделяют ключевые факторы:

По сегменту Anti-DDoS:

«Увеличение спроса действительно заметно — как со стороны крупных корпоративных заказчиков, так и со стороны среднего бизнеса, который ранее относился к таким решениям как к опциональным. С 2024-2025 годов мы видим переход к более осознанным инвестициям в развитие и масштабирование защитных сервисов»,

— Денис Бандалетов, руководитель отдела сетевых технологий.

По сегменту WAF:

«Спрос на решения значительно увеличился, что стало особенно заметно осенью 2025 года. Во многом на росте сказались регуляторные изменения, в том числе новый Приказ ФСТЭК России, утвердивший повышенные требования к защите информации в государственных и смежных информационных системах»,

— Алексей Варлаханов, руководитель отдела прикладных систем.

Читать подробнее в материале Comnews

@angarasecurity

🧡🧡🧡🧡🧡 Angara Security набирает высоту!

🏆 Новые проекты, новые вызовы, новые горизонты. Наш рост — это возможность для тех, кто ищет не просто работу, а место для серьезных достижений.

Все подробности у нашего HR:
@anastasiia_sergevna ​

💬💬 Mamont стал умнее и опаснее

Помните наш нашумевший разбор Mamont, который маскировался под «срочные продажи» в популярных мессенджерах?

Казалось, мы изучили его вдоль и поперек. Но злоумышленники не отдыхают: проведя зимние «каникулы» за усилением защиты, Mamont вернулся с обновлениями.

⚠️ Новые версии еще четче определяют факт анализа вредоносного приложения, с шифрованием нагрузки. Наш эксперт Александр Гантимуров разобрал, как теперь выглядит угроза и что изменилось для пользователей. Хоть и до BTMOB RAT ему еще далеко, эволюция уже сейчас впечатляет. Тем не менее, главные правила безопасности все еще действуют!

➡️Меры защиты и технические детали в нашем новом материале на Хабре

#AngaraMTDR #AngaraDFIRMA
@angarasecurity