Предоплата, доплата за «экспертизу» — и работа из открытых источников. 17 студентов отчислили после заказа курсовых у мошенницы
3 ноября. / securitylab.ru /. В Иркутске завершено расследование уголовного дела о мошенничестве с выполнением студенческих работ. По данным следствия, 32-летняя безработная жительница Пермского края с сентября 2024 по май 2025 года через популярный сервис помощи студентам брала заказы на рефераты, курсовые и другие научные тексты для заказчиков из разных регионов России. Исполнительница не имела нужной квалификации, однако договаривалась о сроках и стоимости, получала предоплату, а затем под предлогом проверки на уникальность или проведения экспертизы требовала дополнительные платежи. В итоге работы либо не выполнялись, либо клиентам отправляли материалы, скачанные из открытых источников. У самой фигурантки диплом учителя химии. 😭
Пострадавшими признаны 17 студентов из разных городов, среди них Иркутск, Самара, Челябинск, Омск, Владивосток, Улан-Удэ, Санкт-Петербург и Новый Уренгой. Следствие допускает, что жертв может быть больше, поскольку не все обманутые обращаются в полицию. Часть студентов, заплатив за несданные работы, столкнулась с академическими проблемами, некоторые были отчислены. Общий ущерб превысил 260 тысяч рублей.
Женщину задержали сотрудники уголовного розыска регионального главка полиции и доставили в Иркутск. Уголовное дело возбуждено по статье 159 УК РФ. Следователи заявляют, что собрана достаточная доказательная база, прокурор утвердил обвинительное заключение, после вручения документы передадут в суд для рассмотрения по существу.
3 ноября. / securitylab.ru /. В Иркутске завершено расследование уголовного дела о мошенничестве с выполнением студенческих работ. По данным следствия, 32-летняя безработная жительница Пермского края с сентября 2024 по май 2025 года через популярный сервис помощи студентам брала заказы на рефераты, курсовые и другие научные тексты для заказчиков из разных регионов России. Исполнительница не имела нужной квалификации, однако договаривалась о сроках и стоимости, получала предоплату, а затем под предлогом проверки на уникальность или проведения экспертизы требовала дополнительные платежи. В итоге работы либо не выполнялись, либо клиентам отправляли материалы, скачанные из открытых источников. У самой фигурантки диплом учителя химии. 😭
Пострадавшими признаны 17 студентов из разных городов, среди них Иркутск, Самара, Челябинск, Омск, Владивосток, Улан-Удэ, Санкт-Петербург и Новый Уренгой. Следствие допускает, что жертв может быть больше, поскольку не все обманутые обращаются в полицию. Часть студентов, заплатив за несданные работы, столкнулась с академическими проблемами, некоторые были отчислены. Общий ущерб превысил 260 тысяч рублей.
Женщину задержали сотрудники уголовного розыска регионального главка полиции и доставили в Иркутск. Уголовное дело возбуждено по статье 159 УК РФ. Следователи заявляют, что собрана достаточная доказательная база, прокурор утвердил обвинительное заключение, после вручения документы передадут в суд для рассмотрения по существу.
SecurityLab.ru
ИИ в кабине вместо пилота. США испытали истребитель YFQ-44A, который сам выбирает цели и принимает решения
Новый автономный дрон-напарник ВВС США обходит конкурентов по скорости разработки и готовности к боевому применению.
Хакеры отказались от взлома и просто купили пароли. 90% атак в 2025 году — это легальный вход
4 ноября. / securitylab.ru /. Отчёт FortiGuard по итогам первой половины 2025 года показывает, что финансово мотивированные злоумышленники всё чаще обходятся без сложных эксплойтов и вредоносных программ. Вместо внедрения тяжёлых инструментов они используют действительные учётные записи и легитимные средства удалённого доступа, чтобы незаметно проникать в корпоративные сети. Этот подход оказался не только проще и дешевле, но и значительно эффективнее — атаки с использованием украденных паролей всё чаще проходят мимо средств обнаружения.
Специалисты сообщают, что за первые 6 месяцев года они расследовали десятки инцидентов в разных отраслях — от промышленности до финансов и телекоммуникаций. Анализ этих случаев показал повторяющуюся схему: злоумышленники получают доступ, используя похищенные или купленные учётные данные, подключаются через VPN, а затем двигаются по сети с помощью инструментов удалённого администрирования вроде AnyDesk, Atera, Splashtop и ScreenConnect. Такая стратегия позволяет им маскировать активность под обычную работу системных администраторов и избегать подозрений.
FortiGuard за тот же период подтверждает эти выводы: тенденции утечек паролей, фиксируемые в открытых источниках, совпадают с теми, что выявляются при расследованиях внутри компаний. По сути, злоумышленникам не приходится «взламывать» системы в привычном понимании — они просто входят под чужим логином, часто полученным в результате фишинга или с помощью инфостилеров, продающихся на подпольных площадках.
В одной из проанализированных атак злоумышленники воспользовались действительными учётными данными, чтобы подключиться к корпоративному VPN без многофакторной аутентификации, после чего извлекли из браузера скомпрометированного пользователя сохранённые пароли к гипервизору и зашифровали виртуальные машины. В другом случае оператор получил доступ через похищенную учётную запись администратора домена и массово установил AnyDesk по всей сети, используя RDP и групповые политики, что позволило ему перемещаться между системами и дольше оставаться незамеченным. Были и эпизоды, когда злоумышленники эксплуатировали старую уязвимость во внешнем сервере, внедряли несколько инструментов удалённого управления и создавали фиктивные сервисные учётные записи для скрытого перемещения и последующего выноса документов.
Анализ показал, что кража паролей остаётся одной из самых дешёвых и доступных стратегий. Стоимость доступа напрямую зависит от размера и географии компании: если для организаций с оборотом более миллиарда долларов в развитых странах она может достигать 20 тысяч долларов, то для небольших фирм в развивающихся регионах — всего сотни. Массовые инфостилер-кампании обеспечивают устойчивый поток свежих данных, а низкий порог входа делает такие атаки привлекательными даже для слабо подготовленных групп.
Главное преимущество этой схемы — скрытность. Поведение злоумышленников неотличимо от действий реальных сотрудников, особенно если они подключаются в привычные часы и к тем же системам. Средства защиты, ориентированные на поиск вредоносных файлов и подозрительных процессов, часто не способны заметить аномалии, когда атака сводится к обычным операциям входа в систему и перемещения по сети. Более того, при ручной краже данных через интерфейсы RDP или встроенные возможности RMM трудно отследить, какие файлы были перенесены, поскольку такие действия не оставляют явных сетевых артефактов.
4 ноября. / securitylab.ru /. Отчёт FortiGuard по итогам первой половины 2025 года показывает, что финансово мотивированные злоумышленники всё чаще обходятся без сложных эксплойтов и вредоносных программ. Вместо внедрения тяжёлых инструментов они используют действительные учётные записи и легитимные средства удалённого доступа, чтобы незаметно проникать в корпоративные сети. Этот подход оказался не только проще и дешевле, но и значительно эффективнее — атаки с использованием украденных паролей всё чаще проходят мимо средств обнаружения.
Специалисты сообщают, что за первые 6 месяцев года они расследовали десятки инцидентов в разных отраслях — от промышленности до финансов и телекоммуникаций. Анализ этих случаев показал повторяющуюся схему: злоумышленники получают доступ, используя похищенные или купленные учётные данные, подключаются через VPN, а затем двигаются по сети с помощью инструментов удалённого администрирования вроде AnyDesk, Atera, Splashtop и ScreenConnect. Такая стратегия позволяет им маскировать активность под обычную работу системных администраторов и избегать подозрений.
FortiGuard за тот же период подтверждает эти выводы: тенденции утечек паролей, фиксируемые в открытых источниках, совпадают с теми, что выявляются при расследованиях внутри компаний. По сути, злоумышленникам не приходится «взламывать» системы в привычном понимании — они просто входят под чужим логином, часто полученным в результате фишинга или с помощью инфостилеров, продающихся на подпольных площадках.
В одной из проанализированных атак злоумышленники воспользовались действительными учётными данными, чтобы подключиться к корпоративному VPN без многофакторной аутентификации, после чего извлекли из браузера скомпрометированного пользователя сохранённые пароли к гипервизору и зашифровали виртуальные машины. В другом случае оператор получил доступ через похищенную учётную запись администратора домена и массово установил AnyDesk по всей сети, используя RDP и групповые политики, что позволило ему перемещаться между системами и дольше оставаться незамеченным. Были и эпизоды, когда злоумышленники эксплуатировали старую уязвимость во внешнем сервере, внедряли несколько инструментов удалённого управления и создавали фиктивные сервисные учётные записи для скрытого перемещения и последующего выноса документов.
Анализ показал, что кража паролей остаётся одной из самых дешёвых и доступных стратегий. Стоимость доступа напрямую зависит от размера и географии компании: если для организаций с оборотом более миллиарда долларов в развитых странах она может достигать 20 тысяч долларов, то для небольших фирм в развивающихся регионах — всего сотни. Массовые инфостилер-кампании обеспечивают устойчивый поток свежих данных, а низкий порог входа делает такие атаки привлекательными даже для слабо подготовленных групп.
Главное преимущество этой схемы — скрытность. Поведение злоумышленников неотличимо от действий реальных сотрудников, особенно если они подключаются в привычные часы и к тем же системам. Средства защиты, ориентированные на поиск вредоносных файлов и подозрительных процессов, часто не способны заметить аномалии, когда атака сводится к обычным операциям входа в систему и перемещения по сети. Более того, при ручной краже данных через интерфейсы RDP или встроенные возможности RMM трудно отследить, какие файлы были перенесены, поскольку такие действия не оставляют явных сетевых артефактов.
Operation SkyCloak: оборонные предприятия РФ и Беларуси стали целью многоступенчатой атаки
5 ноября. / securitylab.ru /. В середине осени 2025 года специалисты компаний Cyble и Seqrite Labs зафиксировали новую волну целевой вредоносной активности, получившую название Operation SkyCloak. По их данным, неизвестные злоумышленники проводят фишинговую кампанию, ориентированную на оборонные организации в России и Беларуси. Целью рассылки является скрытая установка многоступенчатого бэкдора с использованием OpenSSH и анонимной инфраструктуры Tor, специально настроенной с применением протокола obfs4 для сокрытия сетевого трафика.
Письма рассылаются под видом военных документов и содержат ZIP-архив, внутри которого скрыт LNK-файл и дополнительный архив. Открытие ярлыка запускает цепочку PowerShell-команд, инициирующих дальнейшую загрузку компонентов. Эти команды выявляют, насколько среда заражения похожа на реальную — проверяется количество созданных ярлыков и число активных процессов. Если значение ниже порога, сценарий останавливается, исключая запуск в песочницах и на исследовательских машинах. Все образцы, по данным исследователей, были загружены в VirusTotal из Беларуси в октябре.
При успешном прохождении проверки скрипт открывает ложный PDF-документ и одновременно создаёт запланированную задачу с названием «githubdesktopMaintenance». Эта задача срабатывает ежедневно в одно и то же время после входа пользователя и запускает переименованное исполняемое приложение sshd.exe — компонент OpenSSH для Windows, размещённый под видом файла githubdesktop.exe в каталоге logicpro. Через него устанавливается ограниченный по ключам SSH-доступ, позволяющий операторам удалённо взаимодействовать с системой, избегая обнаружения стандартными средствами аудита.
Второй элемент — модифицированная сборка Tor, размещённая под именем pinterest.exe, также запускается по расписанию. Её задача — создать скрытую службу, связывающуюся с onion-адресом злоумышленников через obfs4-трафик. Этот бинарник даёт возможность проксировать доступ к ряду критических сервисов Windows — таких как RDP, SMB и SSH — по сети Tor, обеспечивая при этом устойчивое соединение и обход стандартных средств защиты.
По завершении установки бэкдор передаёт сведения о заражённой системе, включая сгенерированный для неё onion-хостнейм, посредством команды curl. После этого злоумышленники получают возможность полноценно управлять целевой машиной, пользуясь зашифрованным каналом командно-контрольной инфраструктуры.
Характеристики вредоносной цепочки и выбор целевых стран, по оценке Seqrite и Cyble, указывают на её возможную принадлежность к шпионской операции, связанной с Восточной Европой. Авторы отчёта подчёркивают, что задействованная архитектура позволяет атакующим работать незаметно — весь обмен данными проходит через Tor, а ключи шифрования для доступа подставляются заранее.
5 ноября. / securitylab.ru /. В середине осени 2025 года специалисты компаний Cyble и Seqrite Labs зафиксировали новую волну целевой вредоносной активности, получившую название Operation SkyCloak. По их данным, неизвестные злоумышленники проводят фишинговую кампанию, ориентированную на оборонные организации в России и Беларуси. Целью рассылки является скрытая установка многоступенчатого бэкдора с использованием OpenSSH и анонимной инфраструктуры Tor, специально настроенной с применением протокола obfs4 для сокрытия сетевого трафика.
Письма рассылаются под видом военных документов и содержат ZIP-архив, внутри которого скрыт LNK-файл и дополнительный архив. Открытие ярлыка запускает цепочку PowerShell-команд, инициирующих дальнейшую загрузку компонентов. Эти команды выявляют, насколько среда заражения похожа на реальную — проверяется количество созданных ярлыков и число активных процессов. Если значение ниже порога, сценарий останавливается, исключая запуск в песочницах и на исследовательских машинах. Все образцы, по данным исследователей, были загружены в VirusTotal из Беларуси в октябре.
При успешном прохождении проверки скрипт открывает ложный PDF-документ и одновременно создаёт запланированную задачу с названием «githubdesktopMaintenance». Эта задача срабатывает ежедневно в одно и то же время после входа пользователя и запускает переименованное исполняемое приложение sshd.exe — компонент OpenSSH для Windows, размещённый под видом файла githubdesktop.exe в каталоге logicpro. Через него устанавливается ограниченный по ключам SSH-доступ, позволяющий операторам удалённо взаимодействовать с системой, избегая обнаружения стандартными средствами аудита.
Второй элемент — модифицированная сборка Tor, размещённая под именем pinterest.exe, также запускается по расписанию. Её задача — создать скрытую службу, связывающуюся с onion-адресом злоумышленников через obfs4-трафик. Этот бинарник даёт возможность проксировать доступ к ряду критических сервисов Windows — таких как RDP, SMB и SSH — по сети Tor, обеспечивая при этом устойчивое соединение и обход стандартных средств защиты.
По завершении установки бэкдор передаёт сведения о заражённой системе, включая сгенерированный для неё onion-хостнейм, посредством команды curl. После этого злоумышленники получают возможность полноценно управлять целевой машиной, пользуясь зашифрованным каналом командно-контрольной инфраструктуры.
Характеристики вредоносной цепочки и выбор целевых стран, по оценке Seqrite и Cyble, указывают на её возможную принадлежность к шпионской операции, связанной с Восточной Европой. Авторы отчёта подчёркивают, что задействованная архитектура позволяет атакующим работать незаметно — весь обмен данными проходит через Tor, а ключи шифрования для доступа подставляются заранее.
SecurityLab.ru
Operation SkyCloak: оборонные предприятия РФ и Беларуси стали целью многоступенчатой атаки
Кампания началась в середине осени с рассылки архивов под видом служебной документации.
📚Обзор кибератак и уязвимостей за прошедшую неделю: 27 октября - 1 ноября 2025
5 ноября. / CYBER MEDIA /. В последнюю неделю октября мошенники активизировались перед сезоном распродаж, усилили давление на частных пользователей и бизнес. На уровне технологий появились новые уязвимости, затрагивающие доверенные вычислительные среды ведущих производителей чипов.
Редакция Cyber Media отобрала ключевые события недели — дайджест фиксирует ключевые события недели: от роста числа пострадавших несовершеннолетних до обнаружения уязвимости TEE-Fail, ставящей под вопрос безопасность аппаратных средств защиты. Материал отражает общий вектор развития угроз: злоумышленники всё чаще совмещают социальные методы обмана с техническими атаками, а кибербезопасность всё сильнее зависит от человеческого фактора.
Число несовершеннолетних, пострадавших от кибермошенников, выросло на 120%
В России зафиксирован резкий рост числа детей, ставших жертвами интернет-мошенничества. Эксперты связывают всплеск с активностью преступников в мессенджерах и соцсетях, где подростков вовлекают в фишинговые схемы и псевдозаработки. МВД отмечает, что подростки чаще всего попадаются на обещания «быстрого заработка» и не распознают признаки обмана. Родителям советуют чаще обсуждать с детьми онлайн-риски и проверять установленные приложения.
Хакеры усилили DDoS-атаки на фоне значимых событий в России
По данным группы компаний «Солар», за девять месяцев 2025 года зафиксировано более 560 тысяч DDoS-атак. Пиковая активность пришлась на март, май и сентябрь - периоды крупных государственных мероприятий. Самая мощная атака достигла 1,5 Тбит/с. Чаще всего под удар попадали телеком-, IT- и финансовые компании, а также органы власти. Аналитики отмечают, что хакеры всё чаще комбинируют DDoS с другими типами атак, включая веб-эксплойты и фишинг.
От фишинга до фрода: в сезон распродаж мошенники атакуют покупателей и бизнес
С началом осенних скидок резко выросло число фальшивых интернет-магазинов и рассылок с «выгодными предложениями». Мошенники используют поддельные сайты популярных брендов и фишинговые письма, чтобы похищать данные карт. Одновременно растёт число атак на продавцов: злоумышленники пытаются взломать платёжные системы и CRM-платформы. Эксперты советуют проверять адрес сайта перед оплатой и не переходить по ссылкам из мессенджеров.
ChatGPT Atlas от OpenAI уязвим к Tainted Memories: атака позволяет внедрять вредоносные инструкции
Исследователи LayerX обнаружили уязвимость в браузере ChatGPT Atlas, которая позволяет внедрять скрытые команды в память ИИ-модели. Ошибка получила название Tainted Memories. При переходе по специально сформированной ссылке вредоносный код сохраняется и может выполняться даже после перезапуска браузера. Тесты показали, что Atlas блокирует лишь около 6% попыток фишинга, тогда как Chrome и Edge показывают результат выше 45%.
Выявлена масштабная спам-рассылка, склоняющая к мошенничеству с налогами
Специалисты обнаружили новую фишинговую кампанию, в рамках которой злоумышленники рассылают письма якобы от налоговых органов. Сообщения содержат ссылки для «проверки задолженностей» и загрузки вредоносных документов. Цель атак - кража данных из личных кабинетов и онлайн-банков. Отдельное внимание мошенники уделяют индивидуальным предпринимателям и бухгалтерам.
Исследователи раскрыли уязвимость TEE-Fail, ставящую под угрозу безопасность чипов AMD, Intel и Qualcomm
Новая уязвимость TEE-Fail затрагивает доверенные вычислительные среды в процессорах трёх крупнейших производителей. Атака позволяет извлекать данные из защищённых областей, включая ключи шифрования. Проблема выявлена в механизмах Intel SGX, AMD SEV-SNP и Arm TrustZone. Компании подтвердили наличие ошибки и готовят обновления микрокода.
5 ноября. / CYBER MEDIA /. В последнюю неделю октября мошенники активизировались перед сезоном распродаж, усилили давление на частных пользователей и бизнес. На уровне технологий появились новые уязвимости, затрагивающие доверенные вычислительные среды ведущих производителей чипов.
Редакция Cyber Media отобрала ключевые события недели — дайджест фиксирует ключевые события недели: от роста числа пострадавших несовершеннолетних до обнаружения уязвимости TEE-Fail, ставящей под вопрос безопасность аппаратных средств защиты. Материал отражает общий вектор развития угроз: злоумышленники всё чаще совмещают социальные методы обмана с техническими атаками, а кибербезопасность всё сильнее зависит от человеческого фактора.
Число несовершеннолетних, пострадавших от кибермошенников, выросло на 120%
В России зафиксирован резкий рост числа детей, ставших жертвами интернет-мошенничества. Эксперты связывают всплеск с активностью преступников в мессенджерах и соцсетях, где подростков вовлекают в фишинговые схемы и псевдозаработки. МВД отмечает, что подростки чаще всего попадаются на обещания «быстрого заработка» и не распознают признаки обмана. Родителям советуют чаще обсуждать с детьми онлайн-риски и проверять установленные приложения.
Хакеры усилили DDoS-атаки на фоне значимых событий в России
По данным группы компаний «Солар», за девять месяцев 2025 года зафиксировано более 560 тысяч DDoS-атак. Пиковая активность пришлась на март, май и сентябрь - периоды крупных государственных мероприятий. Самая мощная атака достигла 1,5 Тбит/с. Чаще всего под удар попадали телеком-, IT- и финансовые компании, а также органы власти. Аналитики отмечают, что хакеры всё чаще комбинируют DDoS с другими типами атак, включая веб-эксплойты и фишинг.
От фишинга до фрода: в сезон распродаж мошенники атакуют покупателей и бизнес
С началом осенних скидок резко выросло число фальшивых интернет-магазинов и рассылок с «выгодными предложениями». Мошенники используют поддельные сайты популярных брендов и фишинговые письма, чтобы похищать данные карт. Одновременно растёт число атак на продавцов: злоумышленники пытаются взломать платёжные системы и CRM-платформы. Эксперты советуют проверять адрес сайта перед оплатой и не переходить по ссылкам из мессенджеров.
ChatGPT Atlas от OpenAI уязвим к Tainted Memories: атака позволяет внедрять вредоносные инструкции
Исследователи LayerX обнаружили уязвимость в браузере ChatGPT Atlas, которая позволяет внедрять скрытые команды в память ИИ-модели. Ошибка получила название Tainted Memories. При переходе по специально сформированной ссылке вредоносный код сохраняется и может выполняться даже после перезапуска браузера. Тесты показали, что Atlas блокирует лишь около 6% попыток фишинга, тогда как Chrome и Edge показывают результат выше 45%.
Выявлена масштабная спам-рассылка, склоняющая к мошенничеству с налогами
Специалисты обнаружили новую фишинговую кампанию, в рамках которой злоумышленники рассылают письма якобы от налоговых органов. Сообщения содержат ссылки для «проверки задолженностей» и загрузки вредоносных документов. Цель атак - кража данных из личных кабинетов и онлайн-банков. Отдельное внимание мошенники уделяют индивидуальным предпринимателям и бухгалтерам.
Исследователи раскрыли уязвимость TEE-Fail, ставящую под угрозу безопасность чипов AMD, Intel и Qualcomm
Новая уязвимость TEE-Fail затрагивает доверенные вычислительные среды в процессорах трёх крупнейших производителей. Атака позволяет извлекать данные из защищённых областей, включая ключи шифрования. Проблема выявлена в механизмах Intel SGX, AMD SEV-SNP и Arm TrustZone. Компании подтвердили наличие ошибки и готовят обновления микрокода.
В первой половине 2025 года Роскомнадзор зафиксировал 35 фактов утечек персональных данных, в результате чего в открытом доступе оказалось более 39 млн записей российских пользователей. А за 2024 год ведомство выявило 135 фактов утечек и более 710 млн записей. Наибольшее количество утечек было зафиксировано в сфере торговли и оказания услуг.
Один из главных рисков для бизнеса в случае утечки — операционные издержки, которые могут привести к простою системы, снижению производительности труда сотрудников, затратам на наем персонала и непредвиденным расходам на восстановление данных. В случае раскрытия конфиденциальных данных наиболее опасным последствием могут стать репутационные риски, что повлечет за собой весомые финансовые потери, утрату доверия и лояльности клиентов.
Рассказываем, как сохранить безопасность данных в цифровой среде, что такое маскирование данных и какие задачи решает.
РБК Отрасли
Один из главных рисков для бизнеса в случае утечки — операционные издержки, которые могут привести к простою системы, снижению производительности труда сотрудников, затратам на наем персонала и непредвиденным расходам на восстановление данных. В случае раскрытия конфиденциальных данных наиболее опасным последствием могут стать репутационные риски, что повлечет за собой весомые финансовые потери, утрату доверия и лояльности клиентов.
Рассказываем, как сохранить безопасность данных в цифровой среде, что такое маскирование данных и какие задачи решает.
РБК Отрасли
«СберТех» и ОМП подтвердили совместимость своих программных продуктов
5 ноября. / C.NEWS /. Российские разработчики «СберТех» и «Открытая мобильная платформа» (ОМП) подтвердили совместимость своих программных продуктов. В комплексе решения позволят клиентам выстраивать высокопроизводительные и надежные системы для управления корпоративными мобильными устройствами и приложениями.
В ходе испытаний была протестирована работа пяти продуктов «СберТеха» — серверной операционной системы Platform V SberLinux OS Server, реляционной системы управления базами данных Platform V Pangolin DB, инструмента для управления контейнерными приложениями Platform V DropApp, веб- и обратного прокси-сервера Platform V SynGX и программного брокера сообщений Platform V Corax — в связке с платформой управления пользовательскими устройствами «Аврора Центр». Результаты показали, что вместе российские решения функционируют корректно и эффективно. Их комплексное использование позволит клиентам выстраивать устойчивые высоконагруженные системы с миллионом и более оконечных устройств.
Использование сертифицированных продуктов «СберТеха» и платформы «Аврора Центр» позволит значительно снизить затраты на лицензирование и поддержку, особенно в сравнении с иностранными аналогами. Это поможет клиентам оптимизировать бюджет и направить средства на развитие других направлений бизнеса.
Максим Тятюшев, генеральный директор «СберТеха», сказал: «Ключевым конкурентным преимуществом для российских компаний сегодня является способность быстро реагировать на изменения, в том числе масштабировать ИТ-инфраструктуру в соответствии с новыми бизнес-задачами. Благодаря программным продуктам «СберТеха» и ОМП предприятия смогут гибко и своевременно создавать стационарные, мобильные и гибридные рабочие места и эффективно ими управлять, исходя из актуальных потребностей и нагрузки».
Павел Эйгес, генеральный директор «Открытой мобильной платформы», отметил: «ОМП совместно с партнерами предлагает своим заказчикам эффективные и надежные решения, удовлетворяющие потребности современных российских компаний любого размера. Внедрение платформы «Аврора Центр» вместе с продуктами «СберТеха» открывает нашим клиентам доступ к передовым технологиям и функциональным возможностям, которые помогут им оставаться конкурентоспособными, адаптироваться к меняющимся условиям и реализовывать инновационные проекты».
Решения «СберТеха» и ОМП сертифицированы ФСТЭК России, что гарантирует их соответствие российским стандартам информационной безопасности. Обе компании имеют сертификаты безопасной разработки ПО, которые подтверждают, что все процессы создания продуктов в «СберТехе» и ОМП учитывают актуальные стандарты кибербезопасности. Это особенно важно для организаций, относящихся к КИИ, ЗОКИИ, государственных и финансовых организаций, где защита данных является критически важным аспектом.
5 ноября. / C.NEWS /. Российские разработчики «СберТех» и «Открытая мобильная платформа» (ОМП) подтвердили совместимость своих программных продуктов. В комплексе решения позволят клиентам выстраивать высокопроизводительные и надежные системы для управления корпоративными мобильными устройствами и приложениями.
В ходе испытаний была протестирована работа пяти продуктов «СберТеха» — серверной операционной системы Platform V SberLinux OS Server, реляционной системы управления базами данных Platform V Pangolin DB, инструмента для управления контейнерными приложениями Platform V DropApp, веб- и обратного прокси-сервера Platform V SynGX и программного брокера сообщений Platform V Corax — в связке с платформой управления пользовательскими устройствами «Аврора Центр». Результаты показали, что вместе российские решения функционируют корректно и эффективно. Их комплексное использование позволит клиентам выстраивать устойчивые высоконагруженные системы с миллионом и более оконечных устройств.
Использование сертифицированных продуктов «СберТеха» и платформы «Аврора Центр» позволит значительно снизить затраты на лицензирование и поддержку, особенно в сравнении с иностранными аналогами. Это поможет клиентам оптимизировать бюджет и направить средства на развитие других направлений бизнеса.
Максим Тятюшев, генеральный директор «СберТеха», сказал: «Ключевым конкурентным преимуществом для российских компаний сегодня является способность быстро реагировать на изменения, в том числе масштабировать ИТ-инфраструктуру в соответствии с новыми бизнес-задачами. Благодаря программным продуктам «СберТеха» и ОМП предприятия смогут гибко и своевременно создавать стационарные, мобильные и гибридные рабочие места и эффективно ими управлять, исходя из актуальных потребностей и нагрузки».
Павел Эйгес, генеральный директор «Открытой мобильной платформы», отметил: «ОМП совместно с партнерами предлагает своим заказчикам эффективные и надежные решения, удовлетворяющие потребности современных российских компаний любого размера. Внедрение платформы «Аврора Центр» вместе с продуктами «СберТеха» открывает нашим клиентам доступ к передовым технологиям и функциональным возможностям, которые помогут им оставаться конкурентоспособными, адаптироваться к меняющимся условиям и реализовывать инновационные проекты».
Решения «СберТеха» и ОМП сертифицированы ФСТЭК России, что гарантирует их соответствие российским стандартам информационной безопасности. Обе компании имеют сертификаты безопасной разработки ПО, которые подтверждают, что все процессы создания продуктов в «СберТехе» и ОМП учитывают актуальные стандарты кибербезопасности. Это особенно важно для организаций, относящихся к КИИ, ЗОКИИ, государственных и финансовых организаций, где защита данных является критически важным аспектом.
CNews.ru
«СберТех» и ОМП подтвердили совместимость своих программных продуктов - CNews
Российские разработчики «СберТех» и «Открытая мобильная платформа» (ОМП) подтвердили совместимость своих программных...
Ошибка в RSA. Norton нашел фатальную ошибку в шифровальщике Midnight и выпустил бесплатный дешифратор.
7 ноября. / securitylab.ru /. Команда Norton, входящая в структуру Gen Digital, обнаружила критическую уязвимость в новом образце программы-вымогателя под названием Midnight. Этот вредоносный инструмент создан на базе исходного кода Babuk, утёкшего в сеть в 2021 году. Разработчики Midnight стремились усилить механизм шифрования, но непреднамеренно ослабили его, что позволило специалистам разработать бесплатный инструмент для расшифровки файлов.
Исходная цель авторов Midnight заключалась в улучшении скорости и надёжности шифрования. Однако изменения в реализации привели к ошибкам при работе с RSA-ключами. В результате появилась возможность частичной расшифровки данных, что и легло в основу решения от Norton. Доступный в открытом виде инструмент позволяет восстановить зашифрованные файлы без уплаты выкупа, снижая ущерб для пострадавших пользователей.
Midnight унаследовал архитектуру Babuk и использует комбинированное шифрование с применением алгоритмов ChaCha20 и RSA. Особенностью является выборочная обработка фрагментов файлов в зависимости от их размера, что ускоряет процесс и сохраняет деструктивный эффект. Последние версии шифруют практически все типы данных, за исключением исполняемых файлов с расширениями .exe, .dll и .msi.
На заражённых устройствах зашифрованные объекты часто получают расширения .Midnight или .endpoint, а также могут содержать эти обозначения внутри файлов. Наряду с ними появляются текстовые инструкции по выкупу, сохраняемые под названием How To Restore Your Files.txt. Иногда фиксируются и вспомогательные лог-файлы, такие как Report.Midnight или debug.endpoint.
Norton опубликовала расшифровщик, совместимый с 32-битными и 64-битными системами Windows. Утилита автоматически находит зашифрованные файлы, предлагает создать резервные копии и запускает процесс восстановления. В компании рекомендуют не отключать опцию резервного копирования, чтобы избежать потери данных при сбоях.
Midnight стал очередным примером того, как повторное использование исходного кода известных вредоносных программ может привести не только к появлению новых угроз, но и к ошибкам, делающим их уязвимыми. Бесплатный инструмент от Norton — редкий случай, когда пользователи получают шанс восстановить доступ к своим данным без финансовых потерь.
7 ноября. / securitylab.ru /. Команда Norton, входящая в структуру Gen Digital, обнаружила критическую уязвимость в новом образце программы-вымогателя под названием Midnight. Этот вредоносный инструмент создан на базе исходного кода Babuk, утёкшего в сеть в 2021 году. Разработчики Midnight стремились усилить механизм шифрования, но непреднамеренно ослабили его, что позволило специалистам разработать бесплатный инструмент для расшифровки файлов.
Исходная цель авторов Midnight заключалась в улучшении скорости и надёжности шифрования. Однако изменения в реализации привели к ошибкам при работе с RSA-ключами. В результате появилась возможность частичной расшифровки данных, что и легло в основу решения от Norton. Доступный в открытом виде инструмент позволяет восстановить зашифрованные файлы без уплаты выкупа, снижая ущерб для пострадавших пользователей.
Midnight унаследовал архитектуру Babuk и использует комбинированное шифрование с применением алгоритмов ChaCha20 и RSA. Особенностью является выборочная обработка фрагментов файлов в зависимости от их размера, что ускоряет процесс и сохраняет деструктивный эффект. Последние версии шифруют практически все типы данных, за исключением исполняемых файлов с расширениями .exe, .dll и .msi.
На заражённых устройствах зашифрованные объекты часто получают расширения .Midnight или .endpoint, а также могут содержать эти обозначения внутри файлов. Наряду с ними появляются текстовые инструкции по выкупу, сохраняемые под названием How To Restore Your Files.txt. Иногда фиксируются и вспомогательные лог-файлы, такие как Report.Midnight или debug.endpoint.
Norton опубликовала расшифровщик, совместимый с 32-битными и 64-битными системами Windows. Утилита автоматически находит зашифрованные файлы, предлагает создать резервные копии и запускает процесс восстановления. В компании рекомендуют не отключать опцию резервного копирования, чтобы избежать потери данных при сбоях.
Midnight стал очередным примером того, как повторное использование исходного кода известных вредоносных программ может привести не только к появлению новых угроз, но и к ошибкам, делающим их уязвимыми. Бесплатный инструмент от Norton — редкий случай, когда пользователи получают шанс восстановить доступ к своим данным без финансовых потерь.
Forwarded from Новости госзакупок
Российские госкомпании нарастили закупки в сфере кибербезопасности
С января по сентябрь 2025 г. объем госзакупок ПО и услуг в области кибербезопасности увеличился на 8% год к году и составил 11,9 млрд руб., приводят «Ведомости» прогноз экспертов электронной площадки «РТС-тендер» (часть цифровой платформы закупок и продаж b2b-РТС).
До 45% закупок в области информационной безопасности (ИБ) приходится на IV квартал, так что за весь 2025 г. рост совокупного объема может увеличиться в годовом выражении до 10% (20,8 млрд руб.), отметили аналитики.
Большая часть спроса (80%) приходится не на ПО, а на работы в области защиты информации и обеспечения безопасности критической информационной инфраструктуры (КИИ), указано в отчете.
Прогноз составлен на основе анализа данных Единой информационной системы в сфере закупок по закупкам по 44-ФЗ (регулирует закупки государственных и муниципальных учреждений) и 223-ФЗ (регулирует закупки компаний с госучастием) за 2024–2025 гг.
На что тратят госбюджеты
По данным компании «Серчинформ», спрос на услуги в ИБ растет быстрее, чем на новое ПО. Для 83% госзаказчиков это главная статья расхода ИБ-бюджетов. В бизнесе о том же говорят 77% компаний.
Для госорганизаций актуально уже не внедрение новых решений, а расширение функционала действующих продуктов, оплата технической поддержки и обновлений, продления лицензий и проч., прокомментировал заместитель генерального директора по инновационной деятельности «Серчинформа» Алексей Парфентьев.
Увеличение объемов происходит преимущественно за счет усложнения закупаемых решений и расширения номенклатуры работ, а не за счет роста количества тендеров, добавил замдиректора центра компетенций «Национальной технологической инициативы» «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. Он отметил также влияние увеличения средней стоимости контрактов, отражающее переход от стандартных коробочных продуктов к интегрированным системам защиты.
Повышенные штрафы работают
На увеличение ИБ-бюджетов влияет введение в конце 2024 г. оборотных штрафов за утечки персональных данных, полагает заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов.
С этим выводом согласен Парфентьев. Актуальные задачи связаны с обслуживанием и повышением эффективности имеющихся средств защиты информации, сказал он. Провайдеры ИБ-сервисов донастраивают их, помогают в аудитах и разработке новых регламентов в области кибербезопасности.
В апреле 2025 г. расширился перечень организаций, которые относятся к субъектам КИИ, которым нужно использовать только отечественные программные продукты, поэтому многим госорганизациям приходится адаптироваться и перестраивать процедуры, уточнил эксперт.
Еще один фактор, влияющий на динамику спроса — меняющиеся модели угроз, обратил внимание главный инженер ИБ-направления «Уралэнерготела» Сергей Ратников. Рисков становится больше, угрозы для функционирования предприятий становятся все существеннее, в том числе не только риски утечки информации, но и нарушения бизнес-процессов.
Сравнение с показателями прошлого года
В 2024 г. денежный объем госзакупок ПО в отрасли информационной безопасности вырос на 13%, как писал CNews в марте 2025 г.
Самый большой прирост в денежном выражении «Тендерплан» фиксировал по продукту для сетевой безопасности VipNet, который поставляет «ИнфоТекс». Если в 2023 г. общая сумма договоров по 223-ФЗ составляла 440,4 млн руб., а по 44-ФЗ — два млрд руб., то в 2024 году оба показателя выросли почти в два раза — до одного и четырех млрд руб. соответственно. Продажи продуктов «Лаборатории Касперского» по госзаказам выросли с 3,1 млрд до 4,1 млрд руб. год к году, продуктов «КриптоПро» — с 240,2 млн до 888 млн руб.
В связи с требованиями по импортозамещению и ростом хакерской активности госсектор и предприятия КИИ в 2024 г. стали также активнее нанимать специалистов по ИБ. Госсектор даже вошел в число лидеров по росту спроса на ИБ-специалистов. В I полугодии 2024 г. число вакансий для них в государственных организациях увеличилось более чем в два раза — с 563 до 1,226 тыс.
С января по сентябрь 2025 г. объем госзакупок ПО и услуг в области кибербезопасности увеличился на 8% год к году и составил 11,9 млрд руб., приводят «Ведомости» прогноз экспертов электронной площадки «РТС-тендер» (часть цифровой платформы закупок и продаж b2b-РТС).
До 45% закупок в области информационной безопасности (ИБ) приходится на IV квартал, так что за весь 2025 г. рост совокупного объема может увеличиться в годовом выражении до 10% (20,8 млрд руб.), отметили аналитики.
Большая часть спроса (80%) приходится не на ПО, а на работы в области защиты информации и обеспечения безопасности критической информационной инфраструктуры (КИИ), указано в отчете.
Прогноз составлен на основе анализа данных Единой информационной системы в сфере закупок по закупкам по 44-ФЗ (регулирует закупки государственных и муниципальных учреждений) и 223-ФЗ (регулирует закупки компаний с госучастием) за 2024–2025 гг.
На что тратят госбюджеты
По данным компании «Серчинформ», спрос на услуги в ИБ растет быстрее, чем на новое ПО. Для 83% госзаказчиков это главная статья расхода ИБ-бюджетов. В бизнесе о том же говорят 77% компаний.
Для госорганизаций актуально уже не внедрение новых решений, а расширение функционала действующих продуктов, оплата технической поддержки и обновлений, продления лицензий и проч., прокомментировал заместитель генерального директора по инновационной деятельности «Серчинформа» Алексей Парфентьев.
Увеличение объемов происходит преимущественно за счет усложнения закупаемых решений и расширения номенклатуры работ, а не за счет роста количества тендеров, добавил замдиректора центра компетенций «Национальной технологической инициативы» «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. Он отметил также влияние увеличения средней стоимости контрактов, отражающее переход от стандартных коробочных продуктов к интегрированным системам защиты.
Повышенные штрафы работают
На увеличение ИБ-бюджетов влияет введение в конце 2024 г. оборотных штрафов за утечки персональных данных, полагает заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов.
С этим выводом согласен Парфентьев. Актуальные задачи связаны с обслуживанием и повышением эффективности имеющихся средств защиты информации, сказал он. Провайдеры ИБ-сервисов донастраивают их, помогают в аудитах и разработке новых регламентов в области кибербезопасности.
В апреле 2025 г. расширился перечень организаций, которые относятся к субъектам КИИ, которым нужно использовать только отечественные программные продукты, поэтому многим госорганизациям приходится адаптироваться и перестраивать процедуры, уточнил эксперт.
Еще один фактор, влияющий на динамику спроса — меняющиеся модели угроз, обратил внимание главный инженер ИБ-направления «Уралэнерготела» Сергей Ратников. Рисков становится больше, угрозы для функционирования предприятий становятся все существеннее, в том числе не только риски утечки информации, но и нарушения бизнес-процессов.
Сравнение с показателями прошлого года
В 2024 г. денежный объем госзакупок ПО в отрасли информационной безопасности вырос на 13%, как писал CNews в марте 2025 г.
Самый большой прирост в денежном выражении «Тендерплан» фиксировал по продукту для сетевой безопасности VipNet, который поставляет «ИнфоТекс». Если в 2023 г. общая сумма договоров по 223-ФЗ составляла 440,4 млн руб., а по 44-ФЗ — два млрд руб., то в 2024 году оба показателя выросли почти в два раза — до одного и четырех млрд руб. соответственно. Продажи продуктов «Лаборатории Касперского» по госзаказам выросли с 3,1 млрд до 4,1 млрд руб. год к году, продуктов «КриптоПро» — с 240,2 млн до 888 млн руб.
В связи с требованиями по импортозамещению и ростом хакерской активности госсектор и предприятия КИИ в 2024 г. стали также активнее нанимать специалистов по ИБ. Госсектор даже вошел в число лидеров по росту спроса на ИБ-специалистов. В I полугодии 2024 г. число вакансий для них в государственных организациях увеличилось более чем в два раза — с 563 до 1,226 тыс.
CNews.ru
Российские госкомпании нарастили закупки в сфере кибербезопасности - CNews
За девять месяцев 2025 г. объем госзакупок в сфере ИБ уже увеличился на 8% год к году и, скорее всего, продолжит рост. Изменилась и структура спроса — 80% пришлось не на ПО, а на услуги.
В России будут блочить боты Telegram, предлагающие подмену голоса
7 ноября. / anti-malware.ru /. Хамовнический суд Москвы признал запрещенной публикуемую в мессенджерах информацию о возможности изменения голоса во время звонков. Телеграм-боты, предлагающие такие услуги, подлежат блокировке на территории РФ.
Решение принято судом по ходатайству прокуратуры, поданному в защиту неопределенного круга лиц. Ответчику (Роскомнадзору) предписано ограничить доступ к ресурсам Telegram, нарушающим российское законодательство.
Основанием для иска послужили результаты прокурорской проверки. В их ходе был выявлен ряд телеграм-ботов, предлагающих услуги по подмене голоса инициатора телефонных вызовов и аудиобесед в мессенджере.
Суд установил, что публичный доступ к таким ресурсам повышает риск их использования в нарушение российских законов о связи, противодействии терроризму и экстремистской деятельности. Кроме того, доступность услуг по подмене голоса провоцирует мошенничество, с которым российские власти усиленно борются.
Особенно опасны в этом плане дипфейки. В прошлом году из-за использования злоумышленниками ИИ-технологий число атак с применением дипфейков, по данным экспертов МТС, измерялось десятками тысяч.
7 ноября. / anti-malware.ru /. Хамовнический суд Москвы признал запрещенной публикуемую в мессенджерах информацию о возможности изменения голоса во время звонков. Телеграм-боты, предлагающие такие услуги, подлежат блокировке на территории РФ.
Решение принято судом по ходатайству прокуратуры, поданному в защиту неопределенного круга лиц. Ответчику (Роскомнадзору) предписано ограничить доступ к ресурсам Telegram, нарушающим российское законодательство.
Основанием для иска послужили результаты прокурорской проверки. В их ходе был выявлен ряд телеграм-ботов, предлагающих услуги по подмене голоса инициатора телефонных вызовов и аудиобесед в мессенджере.
Суд установил, что публичный доступ к таким ресурсам повышает риск их использования в нарушение российских законов о связи, противодействии терроризму и экстремистской деятельности. Кроме того, доступность услуг по подмене голоса провоцирует мошенничество, с которым российские власти усиленно борются.
Особенно опасны в этом плане дипфейки. В прошлом году из-за использования злоумышленниками ИИ-технологий число атак с применением дипфейков, по данным экспертов МТС, измерялось десятками тысяч.
Союз хакерских группировок борется за место в Telegram. Администрация мессенджера его постоянно удаляет
7 ноября. /C.NEWS/. Большинство из них ликвидируется администрацией сервиса, но хакеры их восстанавливают.
Совет нечестивых
Альянс трёх киберпреступных группировок, известных как Scattered Spider, LAPSUS$ и ShinyHunters, - с 8 августа 2025 г. создал не менее 16 каналов в Telegram. Большинство из них были ликвидированы администрацией сервиса, но каждый раз хакеры создают новые.
Объединение Scattered LAPSUS$ Hunters (SLH) впервые заявило о себе в начале августа серией вымогательских атак против различных организаций.
Как минимум, некоторые из них в последние месяцы использовали решения Salesforce. В начале октября члены SLH заявили, что увели не менее 1 млрд записей из облачных ресурсов Salesforce.
Основным «коммерческим предложением» SLH, впрочем, является вымогательство-как-услуга (EaaS), к которой могут присоединиться другие «партнёры» (и, соответственно, осуществлять вымогательство под «брендом» альянса SLH).
По оценкам, все три группы связаны с киберпреступным картелем The Com, для которого характерны «гибкое сотрудничество и обмен брендами». Те же злоумышленники продемонстрировали наличие связи с другими кластерами, известными как CryptoChameleon и Crimson Collective.
Перекрёстное опыление
Ранее компания Acronis сообщила, что злоумышленники, стоящие за DragonForce, выпустили новый вариант вредоносного ПО, который использует уязвимые драйверы, такие как truesight.sys и rentdrv2.sys для отключения программного обеспечения безопасности и остановки защищенных процессов в рамках атаки с использованием внедрённого уязвимого драйвера (BYOVD).
Компания DragonForce, которая в начале этого года создала картель по производству программ-вымогателей, с тех пор также сотрудничает с Qilin и LockBit. Отмечено и эпизодическое взаимодействие со Scattered Spider.
7 ноября. /C.NEWS/. Большинство из них ликвидируется администрацией сервиса, но хакеры их восстанавливают.
Совет нечестивых
Альянс трёх киберпреступных группировок, известных как Scattered Spider, LAPSUS$ и ShinyHunters, - с 8 августа 2025 г. создал не менее 16 каналов в Telegram. Большинство из них были ликвидированы администрацией сервиса, но каждый раз хакеры создают новые.
«С момента своего дебюта каналы группы в Telegram удалялись и создавались заново как минимум 16 раз под разными вариациями первоначального названия; этот повторяющийся цикл демонстрирует как подходы к модерации платформы, так и решимость операторов поддерживать этот особый тип публичного присутствия, несмотря на препятствия», — цитирует издание The Hacker News отчёт компании Trustwave SpiderLabs.
Объединение Scattered LAPSUS$ Hunters (SLH) впервые заявило о себе в начале августа серией вымогательских атак против различных организаций.
Как минимум, некоторые из них в последние месяцы использовали решения Salesforce. В начале октября члены SLH заявили, что увели не менее 1 млрд записей из облачных ресурсов Salesforce.
Основным «коммерческим предложением» SLH, впрочем, является вымогательство-как-услуга (EaaS), к которой могут присоединиться другие «партнёры» (и, соответственно, осуществлять вымогательство под «брендом» альянса SLH).
По оценкам, все три группы связаны с киберпреступным картелем The Com, для которого характерны «гибкое сотрудничество и обмен брендами». Те же злоумышленники продемонстрировали наличие связи с другими кластерами, известными как CryptoChameleon и Crimson Collective.
Перекрёстное опыление
Ранее компания Acronis сообщила, что злоумышленники, стоящие за DragonForce, выпустили новый вариант вредоносного ПО, который использует уязвимые драйверы, такие как truesight.sys и rentdrv2.sys для отключения программного обеспечения безопасности и остановки защищенных процессов в рамках атаки с использованием внедрённого уязвимого драйвера (BYOVD).
Компания DragonForce, которая в начале этого года создала картель по производству программ-вымогателей, с тех пор также сотрудничает с Qilin и LockBit. Отмечено и эпизодическое взаимодействие со Scattered Spider.
CNews.ru
Союз хакерских группировок борется за место в Telegram. Администрация мессенджера его постоянно удаляет - CNews
Альянс киберпреступных группировок создает каналы в Telegram. Большинство из них ликвидируется администрацией сервиса, но хакеры их восстанавливают.
Нажали «Enter» в чате? Поздравляем, вы только что создали «улику», которая будет храниться 3 года (с 1.01.2026)
8 ноября. / securitylab.ru /. Правительство России увеличило срок хранения данных интернет-пользователей с одного года до трёх лет. Постановление подписал премьер-министр Михаил Мишустин, документ опубликован на официальном портале правовых актов.
Поправка внесена в правила хранения информации, утверждённые постановлением правительства от 23 сентября 2020 года № 1526.
Теперь организаторы распространения информации обязаны хранить сведения о пользователях и их активности в интернете три года вместо одного.
Под действие правил подпадает информация о фактах приёма, передачи, доставки и обработки голосовых сообщений, текстов, изображений, звуков, видео и других электронных сообщений, а также данные о самих пользователях.
Эти сведения предоставляются по запросу уполномоченных органов, осуществляющих оперативно-разыскную деятельность или обеспечивающих безопасность России.
Постановление вступит в силу с 1 января 2026 года.
8 ноября. / securitylab.ru /. Правительство России увеличило срок хранения данных интернет-пользователей с одного года до трёх лет. Постановление подписал премьер-министр Михаил Мишустин, документ опубликован на официальном портале правовых актов.
Поправка внесена в правила хранения информации, утверждённые постановлением правительства от 23 сентября 2020 года № 1526.
Теперь организаторы распространения информации обязаны хранить сведения о пользователях и их активности в интернете три года вместо одного.
Под действие правил подпадает информация о фактах приёма, передачи, доставки и обработки голосовых сообщений, текстов, изображений, звуков, видео и других электронных сообщений, а также данные о самих пользователях.
Эти сведения предоставляются по запросу уполномоченных органов, осуществляющих оперативно-разыскную деятельность или обеспечивающих безопасность России.
Постановление вступит в силу с 1 января 2026 года.
Спрашиваете ИИ про политику? Ваш провайдер это видит. Даже через HTTPS.
10 ноября. / securitylab.ru /. Microsoft рассказала о новой атаке побочного канала на удаленные языковые модели. Она позволяет пассивному злоумышленнику, который видит зашифрованный сетевой трафик, определить тему разговора пользователя с ИИ даже при использовании HTTPS. Технику назвали Whisper Leak.
В компании пояснили, что утечка касается диалогов со стриминговыми LLM, то есть с моделями, которые отправляют ответ частями по мере генерации. Такой режим удобен для пользователя, потому что не нужно ждать, пока модель полностью посчитает длинный ответ. Но именно по этим частям можно восстановить контекст разговора. Microsoft отмечает, что это создает риск для конфиденциальности переписки людей и корпоративных пользователей.
Исследователи Джонатан Бар Ор и Джефф Макдональд из Microsoft Defender Security Research Team объяснили, что атака становится возможной в ситуации, когда к трафику есть доступ у сильного противника. Это может быть структура на уровне провайдера, кто-то в той же локальной сети или даже человек, подключенный к тому же Wi-Fi. Такой противник не сможет прочитать содержимое сообщения, потому что TLS шифрует данные. Но он увидит размеры пакетов и интервалы между ними. Этого достаточно, чтобы обученной модели определить, относится ли запрос к одной из заранее заданных тем.
Авторы работы отмечают неприятную деталь. Чем дольше злоумышленник будет собирать обучающие выборки и чем больше у него будет примеров диалогов, тем точнее станет классификация. Это превращает Whisper Leak из теоретической атаки в практическую. После ответственного раскрытия информации OpenAI, Mistral, Microsoft и xAI внедрили защитные меры.
Одним из эффективных приемов защиты стало добавление к ответу случайной последовательности текста переменной длины. Это размывает зависимость между длиной токенов и размерами пакетов, из-за чего побочный канал теряет информативность. Microsoft также советует пользователям, которые переживают за конфиденциальность, не обсуждать чувствительные темы в недоверенных сетях, при возможности использовать VPN, выбирать нестриминговые варианты LLM и работать с провайдерами, которые уже внедрили смягчающие меры.
10 ноября. / securitylab.ru /. Microsoft рассказала о новой атаке побочного канала на удаленные языковые модели. Она позволяет пассивному злоумышленнику, который видит зашифрованный сетевой трафик, определить тему разговора пользователя с ИИ даже при использовании HTTPS. Технику назвали Whisper Leak.
В компании пояснили, что утечка касается диалогов со стриминговыми LLM, то есть с моделями, которые отправляют ответ частями по мере генерации. Такой режим удобен для пользователя, потому что не нужно ждать, пока модель полностью посчитает длинный ответ. Но именно по этим частям можно восстановить контекст разговора. Microsoft отмечает, что это создает риск для конфиденциальности переписки людей и корпоративных пользователей.
Исследователи Джонатан Бар Ор и Джефф Макдональд из Microsoft Defender Security Research Team объяснили, что атака становится возможной в ситуации, когда к трафику есть доступ у сильного противника. Это может быть структура на уровне провайдера, кто-то в той же локальной сети или даже человек, подключенный к тому же Wi-Fi. Такой противник не сможет прочитать содержимое сообщения, потому что TLS шифрует данные. Но он увидит размеры пакетов и интервалы между ними. Этого достаточно, чтобы обученной модели определить, относится ли запрос к одной из заранее заданных тем.
Авторы работы отмечают неприятную деталь. Чем дольше злоумышленник будет собирать обучающие выборки и чем больше у него будет примеров диалогов, тем точнее станет классификация. Это превращает Whisper Leak из теоретической атаки в практическую. После ответственного раскрытия информации OpenAI, Mistral, Microsoft и xAI внедрили защитные меры.
Одним из эффективных приемов защиты стало добавление к ответу случайной последовательности текста переменной длины. Это размывает зависимость между длиной токенов и размерами пакетов, из-за чего побочный канал теряет информативность. Microsoft также советует пользователям, которые переживают за конфиденциальность, не обсуждать чувствительные темы в недоверенных сетях, при возможности использовать VPN, выбирать нестриминговые варианты LLM и работать с провайдерами, которые уже внедрили смягчающие меры.
📚Масштабные хакерские атаки в 2024–2025 годах
9 ноября. / КОММЕРСАНТ /. В июле 2025 года беспрецедентной хакерской атаке подвергся «Аэрофлот». Две хакерские группировки — «Киберпартизаны BY» и Silent Crow — заявили о проведении «успешной продолжительной операции», в результате которой была «полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура» «Аэрофлота». В результате авиаперевозчик был вынужден отменить несколько десятков рейсов. Недополученная выручка «Аэрофлота» могла составить 275 млн руб. (см. “Ъ” от 28 июля).
В этом же месяце хакеры атаковали торговую сеть «Винлаб». Инцидент нарушил работу части IT-инфраструктуры и повлиял на онлайн-продажи и розницу, а примерный ущерб от простоя оценивался в 1 млрд руб. (см. “Ъ” от 17 июля).
В марте 2025 года масштабной атаке подвергся ЛУКОЙЛ. Сотрудники московских офисов компании столкнулись с трудностями в работе персональных компьютеров, а на ряде АЗС была недоступна оплата банковскими картами (см. “Ъ” от 26 марта). Размер ущерба не раскрывался.
В 2024 году в работе ритейлера «Верный» произошел сбой. В течение нескольких дней клиенты по всей России не могли произвести оплату покупок. Недоступны были и онлайн-заказы, поскольку не работал сайт и приложение ритейлера. По оценкам экспертов, потери компании могли составить 120–140 млн руб. в день (см. “Ъ” от 3 июня 2024 года).
В этом же году с масштабной атакой столкнулся СДЭК, обрабатывающий в день почти 300 тыс. отправлений. В результате компания сутки не принимала и не отправляла заказы. Не работали приложение и сайт сервиса (см. “Ъ” от 27 мая 2024 года). По оценкам экспертов, ущерб мог составить от 300 млн до 1 млрд руб.
9 ноября. / КОММЕРСАНТ /. В июле 2025 года беспрецедентной хакерской атаке подвергся «Аэрофлот». Две хакерские группировки — «Киберпартизаны BY» и Silent Crow — заявили о проведении «успешной продолжительной операции», в результате которой была «полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура» «Аэрофлота». В результате авиаперевозчик был вынужден отменить несколько десятков рейсов. Недополученная выручка «Аэрофлота» могла составить 275 млн руб. (см. “Ъ” от 28 июля).
В этом же месяце хакеры атаковали торговую сеть «Винлаб». Инцидент нарушил работу части IT-инфраструктуры и повлиял на онлайн-продажи и розницу, а примерный ущерб от простоя оценивался в 1 млрд руб. (см. “Ъ” от 17 июля).
В марте 2025 года масштабной атаке подвергся ЛУКОЙЛ. Сотрудники московских офисов компании столкнулись с трудностями в работе персональных компьютеров, а на ряде АЗС была недоступна оплата банковскими картами (см. “Ъ” от 26 марта). Размер ущерба не раскрывался.
В 2024 году в работе ритейлера «Верный» произошел сбой. В течение нескольких дней клиенты по всей России не могли произвести оплату покупок. Недоступны были и онлайн-заказы, поскольку не работал сайт и приложение ритейлера. По оценкам экспертов, потери компании могли составить 120–140 млн руб. в день (см. “Ъ” от 3 июня 2024 года).
В этом же году с масштабной атакой столкнулся СДЭК, обрабатывающий в день почти 300 тыс. отправлений. В результате компания сутки не принимала и не отправляла заказы. Не работали приложение и сайт сервиса (см. “Ъ” от 27 мая 2024 года). По оценкам экспертов, ущерб мог составить от 300 млн до 1 млрд руб.
Коммерсантъ
Масштабные хакерские атаки в 2024–2025 годах
Подробнее на сайте
Apple отозвала сертификаты подлинности у российских разработчиков ПО
10 ноября. / CYBER MEDIA /. Компания Apple отозвала цифровые сертификаты подлинности у ряда российских разработчиков программного обеспечения, включая издателей приложений для macOS и iOS. Об этом сообщили «Ведомости» со ссылкой на участников рынка.
Сертификаты используются для подписи программ, подтверждения их происхождения и предотвращения предупреждений системы безопасности при установке. После их отзыва пользователи не смогут запускать или обновлять такие приложения без дополнительных разрешений.
По данным источников издания, под ограничения могли попасть несколько отечественных разработчиков, работающих в сфере кибербезопасности, образования и медиа. Некоторые компании уже столкнулись с тем, что их приложения перестали проходить проверку на устройствах Apple, а система предупреждает пользователей о «недоверенном издателе».
Официальных комментариев от Apple на момент публикации не поступало. Российские разработчики оценивают последствия как серьёзные, поскольку потеря сертификата ограничивает распространение приложений и делает невозможной их установку в корпоративных средах без обходных решений.
Эксперты считают, что отзыв сертификатов может быть связан как с политическими ограничениями, так и с внутренними изменениями в политике безопасности Apple, направленными на ужесточение контроля за происхождением и распространением приложений.
10 ноября. / CYBER MEDIA /. Компания Apple отозвала цифровые сертификаты подлинности у ряда российских разработчиков программного обеспечения, включая издателей приложений для macOS и iOS. Об этом сообщили «Ведомости» со ссылкой на участников рынка.
Сертификаты используются для подписи программ, подтверждения их происхождения и предотвращения предупреждений системы безопасности при установке. После их отзыва пользователи не смогут запускать или обновлять такие приложения без дополнительных разрешений.
По данным источников издания, под ограничения могли попасть несколько отечественных разработчиков, работающих в сфере кибербезопасности, образования и медиа. Некоторые компании уже столкнулись с тем, что их приложения перестали проходить проверку на устройствах Apple, а система предупреждает пользователей о «недоверенном издателе».
Официальных комментариев от Apple на момент публикации не поступало. Российские разработчики оценивают последствия как серьёзные, поскольку потеря сертификата ограничивает распространение приложений и делает невозможной их установку в корпоративных средах без обходных решений.
Эксперты считают, что отзыв сертификатов может быть связан как с политическими ограничениями, так и с внутренними изменениями в политике безопасности Apple, направленными на ужесточение контроля за происхождением и распространением приложений.
📚12 из 13 — столько популярных антивирусов (включая ESET, Avast и Касперский) провалили тест на шпионское ПО
11 ноября. / securitylab.ru /. Приложения для слежки, устанавливаемые тайно на Android-устройства, по-прежнему остаются незаметной угрозой для жертв домашнего насилия, партнёрского преследования и цифрового контроля. Несмотря на наличие встроенных защитных механизмов и антивирусов, большинство решений не справляется с задачей своевременного обнаружения таких программ.
Новое исследование, проведённое организацией Electronic Frontier Foundation (EFF), выявило масштабные провалы в работе мобильных систем защиты — особенно в части обнаружения и адекватного уведомления пользователей о скрытом шпионском ПО. Анализ охватил тринадцать популярных антивирусов для Android, и лишь один из них — Malwarebytes Mobile Security — сработал безупречно, обнаружив все 17 образцов сталкерского ПО.
Встроенная система Google Play Protect показала наихудший результат, сумев зафиксировать лишь чуть более половины образцов. Почти все остальные решения дали частичную реакцию: Bitdefender, ESET, McAfee и Kaspersky пропустили по одному образцу, Avast, Avira и F-Secure — по два, а Norton и Sophos уловили около 82% угроз. За ними следуют G Data, Trend Micro и снова Google — с наименьшими показателями.
Программы типа Stalkerware предоставляют злоумышленникам постоянный доступ к содержимому устройства: сообщениям, фотографиям, геолокации, аудиозаписям и другим данным. Их часто маскируют под приложения для родительского контроля или слежения за сотрудниками, однако в реальности они используются для несанкционированного наблюдения.
По мнению авторов исследования, одних встроенных мер недостаточно для защиты уязвимых пользователей. Чтобы противостоять этой категории угроз, необходимо не только улучшить алгоритмы распознавания, но и внедрить понятные уведомления, прозрачные объяснения рисков и безопасные инструменты для удаления. Только так производители смогут обеспечить настоящую защиту в ситуациях, когда от своевременного вмешательства зависит безопасность человека.
11 ноября. / securitylab.ru /. Приложения для слежки, устанавливаемые тайно на Android-устройства, по-прежнему остаются незаметной угрозой для жертв домашнего насилия, партнёрского преследования и цифрового контроля. Несмотря на наличие встроенных защитных механизмов и антивирусов, большинство решений не справляется с задачей своевременного обнаружения таких программ.
Новое исследование, проведённое организацией Electronic Frontier Foundation (EFF), выявило масштабные провалы в работе мобильных систем защиты — особенно в части обнаружения и адекватного уведомления пользователей о скрытом шпионском ПО. Анализ охватил тринадцать популярных антивирусов для Android, и лишь один из них — Malwarebytes Mobile Security — сработал безупречно, обнаружив все 17 образцов сталкерского ПО.
Встроенная система Google Play Protect показала наихудший результат, сумев зафиксировать лишь чуть более половины образцов. Почти все остальные решения дали частичную реакцию: Bitdefender, ESET, McAfee и Kaspersky пропустили по одному образцу, Avast, Avira и F-Secure — по два, а Norton и Sophos уловили около 82% угроз. За ними следуют G Data, Trend Micro и снова Google — с наименьшими показателями.
Программы типа Stalkerware предоставляют злоумышленникам постоянный доступ к содержимому устройства: сообщениям, фотографиям, геолокации, аудиозаписям и другим данным. Их часто маскируют под приложения для родительского контроля или слежения за сотрудниками, однако в реальности они используются для несанкционированного наблюдения.
По мнению авторов исследования, одних встроенных мер недостаточно для защиты уязвимых пользователей. Чтобы противостоять этой категории угроз, необходимо не только улучшить алгоритмы распознавания, но и внедрить понятные уведомления, прозрачные объяснения рисков и безопасные инструменты для удаления. Только так производители смогут обеспечить настоящую защиту в ситуациях, когда от своевременного вмешательства зависит безопасность человека.
SecurityLab.ru
12 из 13 — столько популярных антивирусов (включая ESET, Avast и Касперский) провалили тест на шпионское ПО
Google Play Protect показал себя одним из худших в этом критическом тесте.
Группировка Kimsuky использует функцию Google Find Hub для устранения данных с Android-устройств
11 ноября. / CYBER MEDIA /. Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI). Злоумышленники использовали украденные Google-аккаунты и функцию Find Hub, чтобы дистанционно стирать данные с устройств жертв.
По данным отчёта, атака начиналась с таргетированных фишинговых сообщений в мессенджере KakaoTalk. Жертвам отправляли архивы с вредоносными Android-приложениями, замаскированными под «программы для снятия стресса» или «упражнения для дыхания». После установки приложение запрашивало разрешения на доступ к учётной записи Google и сервисам управления устройством.
Получив контроль над аккаунтом, злоумышленники входили в Find Hub и инициировали удалённый сброс телефона. Это стирало данные и удаляло следы активности, что делало анализ атаки значительно сложнее. Одновременно похищались токены авторизации и контакты, которые использовались для дальнейшего распространения вредоносных файлов через доверенные каналы.
Эксперты отмечают, что подобная техника ранее не применялась публично: впервые злоумышленники используют легитимную функцию Google для уничтожения улик. Основными целями атак стали активисты, журналисты и сотрудники НКО, работающие с северокорейскими перебежчиками.
Genians рекомендует пользователям Android проверять разрешения приложений, активировать двухфакторную аутентификацию и не переходить по ссылкам, присланным даже знакомыми контактами: в ряде случаев атака начиналась с уже скомпрометированных аккаунтов друзей.
11 ноября. / CYBER MEDIA /. Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI). Злоумышленники использовали украденные Google-аккаунты и функцию Find Hub, чтобы дистанционно стирать данные с устройств жертв.
По данным отчёта, атака начиналась с таргетированных фишинговых сообщений в мессенджере KakaoTalk. Жертвам отправляли архивы с вредоносными Android-приложениями, замаскированными под «программы для снятия стресса» или «упражнения для дыхания». После установки приложение запрашивало разрешения на доступ к учётной записи Google и сервисам управления устройством.
Получив контроль над аккаунтом, злоумышленники входили в Find Hub и инициировали удалённый сброс телефона. Это стирало данные и удаляло следы активности, что делало анализ атаки значительно сложнее. Одновременно похищались токены авторизации и контакты, которые использовались для дальнейшего распространения вредоносных файлов через доверенные каналы.
Эксперты отмечают, что подобная техника ранее не применялась публично: впервые злоумышленники используют легитимную функцию Google для уничтожения улик. Основными целями атак стали активисты, журналисты и сотрудники НКО, работающие с северокорейскими перебежчиками.
Genians рекомендует пользователям Android проверять разрешения приложений, активировать двухфакторную аутентификацию и не переходить по ссылкам, присланным даже знакомыми контактами: в ряде случаев атака начиналась с уже скомпрометированных аккаунтов друзей.
Новый банковский троян Maverick распространяется через WhatsApp Web
12 ноября. / Anti-Malware /. Исследователи из CyberProof обнаружили новый банковский зловред под названием Maverick, активно распространяющийся через WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России). Эксперты уже отметили его сходство с другим трояном — Coyote.
По данным CyberProof, вредонос прячется в ZIP-архиве, который распространяется через WhatsApp.
Внутри — ярлык Windows (LNK), который при запуске подгружает PowerShell-скрипт с внешнего сервера zapgrande[.]com. Этот скрипт отключает Microsoft Defender, запускает загрузчик .NET и проверяет системный язык, часовой пояс и регион. Только после этого Maverick устанавливается и начинает работу.
Задачи у него вполне типичные для банковских троянов: следить за активными вкладками браузера, перехватывать обращения к сайтам банков и показывать поддельные страницы для кражи данных.
Интересный момент — исследователи заметили, что зловред теперь атакует не только банки, но и гостиницы в Бразилии, что может указывать на расширение целей кампании.
По данным Trend Micro, за атакой стоит группировка Water Saci. Их схема работает в два этапа: сначала подключается самораспространяющийся компонент SORVEPOTEL, который управляет заражением через веб-версию WhatsApp, а затем уже загружается основной троян Maverick.
В новой версии Water Saci отказались от .NET в пользу VBScript и PowerShell. Скрипты скачивают ChromeDriver и Selenium, чтобы автоматизировать браузер и получить доступ к WhatsApp Web без участия пользователя — даже без повторного сканирования QR-кода.
Далее вредонос рассылает архивы всем контактам заражённого пользователя, маскируясь под «WhatsApp Automation v6.0». Он также обращается к серверу управления, получает шаблоны сообщений и имена контактов, чтобы делать рассылку максимально персонализированной.
Команда Trend Micro отмечает, что злоумышленники внедрили полноценный C2-механизм, который позволяет в реальном времени останавливать, возобновлять и контролировать рассылку. Более того, команды поступают не через обычный HTTP, а через IMAP-доступ к почтовым ящикам terra.com[.]br — с MFA, чтобы самим же хакерам не взломали их C2.
Возможности Maverick впечатляют: сбор информации о системе, выполнение команд через CMD и PowerShell, снятие скриншотов, работа с файлами, перезагрузка и выключение устройства, обновление самого себя — и даже поиск новых адресов серверов в письмах злоумышленников.
12 ноября. / Anti-Malware /. Исследователи из CyberProof обнаружили новый банковский зловред под названием Maverick, активно распространяющийся через WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России). Эксперты уже отметили его сходство с другим трояном — Coyote.
По данным CyberProof, вредонос прячется в ZIP-архиве, который распространяется через WhatsApp.
Внутри — ярлык Windows (LNK), который при запуске подгружает PowerShell-скрипт с внешнего сервера zapgrande[.]com. Этот скрипт отключает Microsoft Defender, запускает загрузчик .NET и проверяет системный язык, часовой пояс и регион. Только после этого Maverick устанавливается и начинает работу.
Задачи у него вполне типичные для банковских троянов: следить за активными вкладками браузера, перехватывать обращения к сайтам банков и показывать поддельные страницы для кражи данных.
Интересный момент — исследователи заметили, что зловред теперь атакует не только банки, но и гостиницы в Бразилии, что может указывать на расширение целей кампании.
По данным Trend Micro, за атакой стоит группировка Water Saci. Их схема работает в два этапа: сначала подключается самораспространяющийся компонент SORVEPOTEL, который управляет заражением через веб-версию WhatsApp, а затем уже загружается основной троян Maverick.
В новой версии Water Saci отказались от .NET в пользу VBScript и PowerShell. Скрипты скачивают ChromeDriver и Selenium, чтобы автоматизировать браузер и получить доступ к WhatsApp Web без участия пользователя — даже без повторного сканирования QR-кода.
Далее вредонос рассылает архивы всем контактам заражённого пользователя, маскируясь под «WhatsApp Automation v6.0». Он также обращается к серверу управления, получает шаблоны сообщений и имена контактов, чтобы делать рассылку максимально персонализированной.
Команда Trend Micro отмечает, что злоумышленники внедрили полноценный C2-механизм, который позволяет в реальном времени останавливать, возобновлять и контролировать рассылку. Более того, команды поступают не через обычный HTTP, а через IMAP-доступ к почтовым ящикам terra.com[.]br — с MFA, чтобы самим же хакерам не взломали их C2.
Возможности Maverick впечатляют: сбор информации о системе, выполнение команд через CMD и PowerShell, снятие скриншотов, работа с файлами, перезагрузка и выключение устройства, обновление самого себя — и даже поиск новых адресов серверов в письмах злоумышленников.
Anti-Malware
Новый банковский троян Maverick распространяется через WhatsApp Web
Исследователи из CyberProof обнаружили новый банковский зловред под названием Maverick, активно распространяющийся через WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и
Анонимность даркнета дала трещину. Задержан администратор, собиравший донаты на устранение чиновников
12 ноября. / securitylab.ru /. Одна ошибка в Tor позволила выйти на преступника.
Мужчина, подозреваемый в призывах к нападениям на немецких политиков и госслужащих, задержан по обвинению в терроризме и финансировании физических расправ. По данным федеральной прокуратуры Германии, речь идёт о гражданине с двойным немецко-польским гражданством, которого в соответствии с немецким законодательством о защите личных данных называют только Мартином S.
Следствие утверждает, что с июня он анонимно вёл площадку в даркнете, где публиковал списки политиков и чиновников, называя их «целями», размещал инструкции по изготовлению взрывчатки и призывал пользователей к нападениям. На ресурсе, как сообщается, также находились персональные данные потенциальных жертв и тексты с призывами к их ликвидации.
По версии прокуратуры, Мартин S. не только распространял подобные материалы, но и пытался собрать криптовалютные пожертвования, чтобы использовать их в качестве вознаграждения за ликвидации. Считается, что полученные средства предназначались для финансирования нападений на представителей власти и других общественных деятелей.
12 ноября. / securitylab.ru /. Одна ошибка в Tor позволила выйти на преступника.
Мужчина, подозреваемый в призывах к нападениям на немецких политиков и госслужащих, задержан по обвинению в терроризме и финансировании физических расправ. По данным федеральной прокуратуры Германии, речь идёт о гражданине с двойным немецко-польским гражданством, которого в соответствии с немецким законодательством о защите личных данных называют только Мартином S.
Следствие утверждает, что с июня он анонимно вёл площадку в даркнете, где публиковал списки политиков и чиновников, называя их «целями», размещал инструкции по изготовлению взрывчатки и призывал пользователей к нападениям. На ресурсе, как сообщается, также находились персональные данные потенциальных жертв и тексты с призывами к их ликвидации.
По версии прокуратуры, Мартин S. не только распространял подобные материалы, но и пытался собрать криптовалютные пожертвования, чтобы использовать их в качестве вознаграждения за ликвидации. Считается, что полученные средства предназначались для финансирования нападений на представителей власти и других общественных деятелей.
SecurityLab.ru
Анонимность даркнета дала трещину. Задержан администратор, собиравший донаты на устранение чиновников
Одна ошибка в Tor позволила выйти на преступника.
Безопасность вызывает доверие
13 ноября. / КОММЕРСАНТ /. Специалисты по кибербезопасности предлагают Минцифры доработать пока обсуждаемые проекты новых реестров отечественного программного обеспечения (ПО), а также внести изменения в работу уже существующего реестра, с тем чтобы повысить безопасность опубликованного там ПО. Решением, считает отрасль, может стать дополнительная проверка на уязвимости софта и маркировка таких проверенных IT-решений, по аналогии с уже действующей маркировкой ПО с искусственным интеллектом.
“Ъ” ознакомился с результатами обсуждения изменений в работе реестра российского ПО Минцифры профильным сообществом ИБ-компаний и специалистов в центре развития индустрии кибербезопасности «Кибердом», направленными в министерство в конце октября. Обращение отрасли касается инициатив, подготовленных и опубликованных Минцифры осенью, которые детализируют работу реестра отечественного ПО, а также предполагают появление двух новых перечней программ.
Так, министерство в конце сентября представило пакет подзаконных актов о создании новых реестров отечественного софта, в том числе с частными корпоративными разработками и так называемым доверенным ПО. Для признания ПО «доверенным» требуется в том числе подтвердить совместимость хотя бы одной версии программы с отечественным процессором, а также наличие техподдержки и системы учета ошибок и уязвимостей для устранения их в течение 30 дней и др. (см. “Ъ” от 22 сентября).
Как сказано в письме рабочей группы в Минцифры, инициатива создает «новую структуру регулирования рынка российского ПО», при этом, в случае сохранения существующих подходов к управлению рисками кибербезопасности и темпов импортозамещения, «положения выступают "заградительным барьером" для включения в него российских продуктов в сфере защиты».
«Отрасль озабочена тем, что доля успешных атак на российские компании через уязвимости в ПО составляет около 30% от общего числа киберинцидентов»,— говорит замгендиректора «Кибердома» Александра Шадюк. Крайне эффективно будет ввести маркировку безопасного ПО с точки зрения уязвимостей. Разработчикам также важно размещать на своих сайтах релевантные контакты для сдачи уязвимостей независимыми исследователями.
Но при определении ПО как «доверенного» важно зафиксировать требования по проведению инструментального анализа кода. Независимый исследователь Дмитрий Кирюхин отмечает, что компании, которые переходят с зарубежных решений на отечественные, а также те, кто самостоятельно разрабатывает решения, далеко не всегда учитывают уровень безопасности своего продукта. «Внутренних команд тестирования безопасности зачастую нет, а при внесении в реестр никакие исследования сторонними лабораториями не проводятся»,— отмечает эксперт. Говоря о трудностях совместимости ПО и отечественного «железа», источник “Ъ” на рынке кибербезопасности добавляет, что российские процессоры не дают нужной производительности и 90% решений на рынке эту совместимость обеспечить не может.
13 ноября. / КОММЕРСАНТ /. Специалисты по кибербезопасности предлагают Минцифры доработать пока обсуждаемые проекты новых реестров отечественного программного обеспечения (ПО), а также внести изменения в работу уже существующего реестра, с тем чтобы повысить безопасность опубликованного там ПО. Решением, считает отрасль, может стать дополнительная проверка на уязвимости софта и маркировка таких проверенных IT-решений, по аналогии с уже действующей маркировкой ПО с искусственным интеллектом.
“Ъ” ознакомился с результатами обсуждения изменений в работе реестра российского ПО Минцифры профильным сообществом ИБ-компаний и специалистов в центре развития индустрии кибербезопасности «Кибердом», направленными в министерство в конце октября. Обращение отрасли касается инициатив, подготовленных и опубликованных Минцифры осенью, которые детализируют работу реестра отечественного ПО, а также предполагают появление двух новых перечней программ.
Так, министерство в конце сентября представило пакет подзаконных актов о создании новых реестров отечественного софта, в том числе с частными корпоративными разработками и так называемым доверенным ПО. Для признания ПО «доверенным» требуется в том числе подтвердить совместимость хотя бы одной версии программы с отечественным процессором, а также наличие техподдержки и системы учета ошибок и уязвимостей для устранения их в течение 30 дней и др. (см. “Ъ” от 22 сентября).
Как сказано в письме рабочей группы в Минцифры, инициатива создает «новую структуру регулирования рынка российского ПО», при этом, в случае сохранения существующих подходов к управлению рисками кибербезопасности и темпов импортозамещения, «положения выступают "заградительным барьером" для включения в него российских продуктов в сфере защиты».
«Отрасль озабочена тем, что доля успешных атак на российские компании через уязвимости в ПО составляет около 30% от общего числа киберинцидентов»,— говорит замгендиректора «Кибердома» Александра Шадюк. Крайне эффективно будет ввести маркировку безопасного ПО с точки зрения уязвимостей. Разработчикам также важно размещать на своих сайтах релевантные контакты для сдачи уязвимостей независимыми исследователями.
Но при определении ПО как «доверенного» важно зафиксировать требования по проведению инструментального анализа кода. Независимый исследователь Дмитрий Кирюхин отмечает, что компании, которые переходят с зарубежных решений на отечественные, а также те, кто самостоятельно разрабатывает решения, далеко не всегда учитывают уровень безопасности своего продукта. «Внутренних команд тестирования безопасности зачастую нет, а при внесении в реестр никакие исследования сторонними лабораториями не проводятся»,— отмечает эксперт. Говоря о трудностях совместимости ПО и отечественного «железа», источник “Ъ” на рынке кибербезопасности добавляет, что российские процессоры не дают нужной производительности и 90% решений на рынке эту совместимость обеспечить не может.
«Инфофорум-2026»: главная дискуссионная площадка года по вопросам информационной безопасности
14 ноября. / CYBER MEDIA /. 28–29 января 2026 года в Москве, в Кластере «Ломоносов», состоится 28-й Национальный форум информационной безопасности «Инфофорум-2026».
Главная тема форума — приоритеты информационной безопасности России: чтобы быть на шаг впереди.
Форум традиционно объединит представителей Совета Безопасности РФ, Государственной Думы, ФСТЭК России, ФСБ России, Минцифры России, ведущих ИТ-компаний, вузов и региональных органов власти.
Участников ждут пленарное заседание, 15 тематических сессий, профессиональная выставка «Кибербезопасность сегодня» и церемония награждения лауреатов премии «Серебряный кинжал».
Основные темы форума
Критическая информационная инфраструктура и новые угрозы.
На сессии под модерацией представителей НКЦКИ и ФСТЭК России обсудят вопросы категорирования объектов, практику защиты от внутренних угроз, опыт построения региональных SOC-центров и комплексные решения для промышленности, энергетики и транспорта.
Международная информационная безопасность.
Будет представлен опыт сотрудничества в рамках ШОС и ОДКБ, инициативы России, Китая, Беларуси и Казахстана в сфере противодействия киберпреступности и развития общих стандартов безопасности.
Импортонезависимость и ИБ: лучшие практики-2025.
Российские ИТ-компании представят результаты перехода на отечественные решения NGFW, DLP- и SIEM-системы. Заказчики расскажут о реализованных кейсах и трудностях, с которыми они столкнулись в процессе внедрения современных решений.
Мозг и ИИ — кто победит?
В рамках дискуссии эксперты обсудят возможности использования ИИ для защиты данных и риски, которые несут нейросети.
Квантовые технологии защиты.
Эксперты из НКЦКИ, научного сообщества и ИТ-компаний представят перспективы постквантовой криптографии, квантового интернета и технологий защиты коммуникаций ближайшего будущего.
Медиапространство и гибридные угрозы.
Будут рассмотрены вызовы цифрового контента: дипфейки, дезинформация, манипуляции общественным сознанием и использование ИИ при создании фейков и в борьбе с ними.
Безопасность граждан и цифровых сервисов.
Обсудят механизмы защиты персональных данных, борьбу с мошенническими схемами, новые подходы к идентификации и роль государства в цифровой защите личности.
Безопасный город и подготовка кадров.
Отдельные сессии форума будут посвящены вопросам создания безопасной городской среды и развитию кадрового потенциала отрасли ИБ — с участием ведущих вузов и ИТ-компаний.
Расширенная секция Комитета по проблемам информационной безопасности НЭС Совета Безопасности России и деловой завтрак «Российские регионы: центральные проблемы и насущные задачи в сфере информационной безопасности» пройдут в закрытом формате.
Новые направления и география
В 2026 году «Инфофорум» впервые проведёт конференцию в СЗФО, в Калининграде — самой западной точке страны. Специалисты из России и дружественных государств обсудят вопросы международного сотрудничества в сфере ИБ в эпоху цифрового суверенитета. Отдельное внимание будет уделено укреплению ИБ в приграничных регионах и межрегиональному взаимодействию.
Возвращается Южный «Инфофорум», который в 2026 году пройдёт в Сочи, чтобы вновь объединить экспертов и представителей власти для обсуждения ключевых вопросов кибербезопасности на черноморском побережье.
Место проведения «Инфофорума-2026»: кластер «Ломоносов», Москва, Даты: 28–29 января 2026 года
Регистрация открыта
14 ноября. / CYBER MEDIA /. 28–29 января 2026 года в Москве, в Кластере «Ломоносов», состоится 28-й Национальный форум информационной безопасности «Инфофорум-2026».
Главная тема форума — приоритеты информационной безопасности России: чтобы быть на шаг впереди.
Форум традиционно объединит представителей Совета Безопасности РФ, Государственной Думы, ФСТЭК России, ФСБ России, Минцифры России, ведущих ИТ-компаний, вузов и региональных органов власти.
Участников ждут пленарное заседание, 15 тематических сессий, профессиональная выставка «Кибербезопасность сегодня» и церемония награждения лауреатов премии «Серебряный кинжал».
Основные темы форума
Критическая информационная инфраструктура и новые угрозы.
На сессии под модерацией представителей НКЦКИ и ФСТЭК России обсудят вопросы категорирования объектов, практику защиты от внутренних угроз, опыт построения региональных SOC-центров и комплексные решения для промышленности, энергетики и транспорта.
Международная информационная безопасность.
Будет представлен опыт сотрудничества в рамках ШОС и ОДКБ, инициативы России, Китая, Беларуси и Казахстана в сфере противодействия киберпреступности и развития общих стандартов безопасности.
Импортонезависимость и ИБ: лучшие практики-2025.
Российские ИТ-компании представят результаты перехода на отечественные решения NGFW, DLP- и SIEM-системы. Заказчики расскажут о реализованных кейсах и трудностях, с которыми они столкнулись в процессе внедрения современных решений.
Мозг и ИИ — кто победит?
В рамках дискуссии эксперты обсудят возможности использования ИИ для защиты данных и риски, которые несут нейросети.
Квантовые технологии защиты.
Эксперты из НКЦКИ, научного сообщества и ИТ-компаний представят перспективы постквантовой криптографии, квантового интернета и технологий защиты коммуникаций ближайшего будущего.
Медиапространство и гибридные угрозы.
Будут рассмотрены вызовы цифрового контента: дипфейки, дезинформация, манипуляции общественным сознанием и использование ИИ при создании фейков и в борьбе с ними.
Безопасность граждан и цифровых сервисов.
Обсудят механизмы защиты персональных данных, борьбу с мошенническими схемами, новые подходы к идентификации и роль государства в цифровой защите личности.
Безопасный город и подготовка кадров.
Отдельные сессии форума будут посвящены вопросам создания безопасной городской среды и развитию кадрового потенциала отрасли ИБ — с участием ведущих вузов и ИТ-компаний.
Расширенная секция Комитета по проблемам информационной безопасности НЭС Совета Безопасности России и деловой завтрак «Российские регионы: центральные проблемы и насущные задачи в сфере информационной безопасности» пройдут в закрытом формате.
Новые направления и география
В 2026 году «Инфофорум» впервые проведёт конференцию в СЗФО, в Калининграде — самой западной точке страны. Специалисты из России и дружественных государств обсудят вопросы международного сотрудничества в сфере ИБ в эпоху цифрового суверенитета. Отдельное внимание будет уделено укреплению ИБ в приграничных регионах и межрегиональному взаимодействию.
Возвращается Южный «Инфофорум», который в 2026 году пройдёт в Сочи, чтобы вновь объединить экспертов и представителей власти для обсуждения ключевых вопросов кибербезопасности на черноморском побережье.
Место проведения «Инфофорума-2026»: кластер «Ломоносов», Москва, Даты: 28–29 января 2026 года
Регистрация открыта
Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP
14 ноября. / Anti-Malware /. В F6 фиксируют вредоносные рассылки на адреса российских ретейлеров, микрофинансовых учреждений, коллекторских агентств, страховых компаний. При открытии аттача предлагается загрузить СКЗИ КриптоПро, а на самом деле — Windows-бэкдор.
Поддельные имейл-сообщения написаны от имени ФСБ России. Получателя просят ознакомиться с рекомендациями на случай теракта либо в течение суток представить отчет о тренинге по противодействию информационным атакам.
Инициатором адресных рассылок, по данным экспертов, является кибергруппа, которую они называют CapFIX. Адреса отправителя фейковые — некое российское турагентство либо ИТ-компания.
Для открытия и корректного отображения вложенного PDF предлагается скачать КриптоПро CSP. Ссылка под вставленной кнопкой привязана к сайту, зарегистрированному полтора месяца назад (sed documents[.]com).
Этот Windows-бэкдор специалисты F6 не так давно обнаружили при разборе одной из атак ClickFix. Вредонос умеет выполнять следующие команды:
🔹запуск PowerShell для получения доступа к cmd.exe;
🔹загрузка и запуск указанных оператором файлов EXE;
🔹загрузка и запуск файлов DLL;
🔹загрузка и запуск DLL COM‑объектов.
14 ноября. / Anti-Malware /. В F6 фиксируют вредоносные рассылки на адреса российских ретейлеров, микрофинансовых учреждений, коллекторских агентств, страховых компаний. При открытии аттача предлагается загрузить СКЗИ КриптоПро, а на самом деле — Windows-бэкдор.
Поддельные имейл-сообщения написаны от имени ФСБ России. Получателя просят ознакомиться с рекомендациями на случай теракта либо в течение суток представить отчет о тренинге по противодействию информационным атакам.
Инициатором адресных рассылок, по данным экспертов, является кибергруппа, которую они называют CapFIX. Адреса отправителя фейковые — некое российское турагентство либо ИТ-компания.
Для открытия и корректного отображения вложенного PDF предлагается скачать КриптоПро CSP. Ссылка под вставленной кнопкой привязана к сайту, зарегистрированному полтора месяца назад (sed documents[.]com).
Этот Windows-бэкдор специалисты F6 не так давно обнаружили при разборе одной из атак ClickFix. Вредонос умеет выполнять следующие команды:
🔹запуск PowerShell для получения доступа к cmd.exe;
🔹загрузка и запуск указанных оператором файлов EXE;
🔹загрузка и запуск файлов DLL;
🔹загрузка и запуск DLL COM‑объектов.