Локальная, но смертоносная – для атаки достаточно изначально иметь минимальные права (например, через фишинг или RDP).
Тихий захват – не требует действий пользователя (exploit работает в фоне).
Патчи есть, но не для всех – Windows 10 x64/32-bit пока без защиты, а это огромный пласт корпоративных сетей.
Как работает атака?
1. Первичное заражение – через фишинг или уязвимые публичные сервисы.
2. Установка бэкдора PipeMagic – собирает данные, открывает удалённый доступ.
3. Эксплуатация CVE-2025-29824 – повышение прав до SYSTEM.
4. Развёртывание ransomware + записка с выкупом (!_READ_ME_REXX2_!.txt).
💀RansomEXX – не новички, их атаки всегда целевые (корпорации, госсектор).
PipeMagic – швейцарский нож хакеров – его видели ещё в 2022-м, но до сих пор активно используют.
CLFS – слабое звено – это уже вторая критическая уязвимость в этом драйвере за два года (после CVE-2023-28252).
Подробнее: https://extrim-security.ru/news-ib/tpost/5rhpe40nj1-kiberugroza-novogo-urovnya-ransomexx-ata
Please open Telegram to view this post
VIEW IN TELEGRAM
Недавний анализ Trend Micro подтвердил то, что многие в индустрии уже подозревали: уязвимости в контейнерах — это не просто баги, а системная проблема безопасности. История с CVE-2024-0132 и CVE-2025-23359 в NVIDIA Container Toolkit — пример того, как неполное исправление может создать ещё больше рисков, чем исходная уязвимость.
👀 Изначально была найдена критическая уязвимость TOCTOU (9.0 по CVSS), позволяющая сбежать из контейнера и получить root-доступ к хосту.
NVIDIA выпустила патч, но Trend Micro обнаружила, что фикс не закрыл проблему полностью и даже добавил новую DoS-уязвимость в Docker под Linux.
🔈 Теперь злоумышленник может не только скомпрометировать хост, но и положить систему, переполнив таблицу монтирования.
1. Контейнеры ≠ изоляция. Многие до сих пор считают, что контейнеры безопасны по умолчанию. Но эта история доказывает: любая ошибка в механизмах изоляции — это прямой путь к хосту.
2. Компании часто спешат выпустить патч, но не проводят глубокий аудит на побочные эффекты. Результат — цепочка уязвимостей.
3. Атака возможна даже после фикса. Если злоумышленник уже внутри контейнера (например, через скомпрометированный образ), он может использовать старые дыры из-за некачественного исправления.
Подробнее: https://extrim-security.ru/news-ib/tpost/7pugv4x811-nedorabotannoe-ispravlenie-uyazvimosti-v
NVIDIA выпустила патч, но Trend Micro обнаружила, что фикс не закрыл проблему полностью и даже добавил новую DoS-уязвимость в Docker под Linux.
1. Контейнеры ≠ изоляция. Многие до сих пор считают, что контейнеры безопасны по умолчанию. Но эта история доказывает: любая ошибка в механизмах изоляции — это прямой путь к хосту.
2. Компании часто спешат выпустить патч, но не проводят глубокий аудит на побочные эффекты. Результат — цепочка уязвимостей.
3. Атака возможна даже после фикса. Если злоумышленник уже внутри контейнера (например, через скомпрометированный образ), он может использовать старые дыры из-за некачественного исправления.
Подробнее: https://extrim-security.ru/news-ib/tpost/7pugv4x811-nedorabotannoe-ispravlenie-uyazvimosti-v
Please open Telegram to view this post
VIEW IN TELEGRAM
💰 20 млн евро убытка, сбои в поставках и e-commerce на месяцы — так Fourlis Group, франчайзи IKEA, ощутила на себе последствия ransomware-атаки.
Атака случилась накануне Black Friday — пикового времени для ритейла. Компания не стала платить выкуп и восстановила системы своими силами, с привлечением экспертов.
Данные, судя по всему, не утекли, но логистика и онлайн-продажи дали сбой на 3 месяца.
1️⃣ Атака на цепочку поставок. Хакеры выбрали уязвимое звено — не просто базы данных, а операционную деятельность. Результат: дефицит товаров, потеря клиентов и репутационные риски.
2️⃣ Молчание хакеров — тревожный сигнал. Возможно, это не классический ransomware, а кибершпионаж или тестирование атак перед более крупными целями.
3️⃣ Отказ от выплаты — правильное решение. Fourlis Group поступила грамотно: платить = финансировать преступников. Но восстановление обошлось дорого — 20 млн евро.
Современные кибератаки — это не только про "заплати или потеряешь данные". Это про паралич бизнеса, репутационные потери и долгосрочные убытки.
Подробнее: https://extrim-security.ru/news-ib/tpost/kg8ttgmy31-kiberataka-na-fourlis-group-uscherb-v-20
Атака случилась накануне Black Friday — пикового времени для ритейла. Компания не стала платить выкуп и восстановила системы своими силами, с привлечением экспертов.
Данные, судя по всему, не утекли, но логистика и онлайн-продажи дали сбой на 3 месяца.
1️⃣ Атака на цепочку поставок. Хакеры выбрали уязвимое звено — не просто базы данных, а операционную деятельность. Результат: дефицит товаров, потеря клиентов и репутационные риски.
2️⃣ Молчание хакеров — тревожный сигнал. Возможно, это не классический ransomware, а кибершпионаж или тестирование атак перед более крупными целями.
3️⃣ Отказ от выплаты — правильное решение. Fourlis Group поступила грамотно: платить = финансировать преступников. Но восстановление обошлось дорого — 20 млн евро.
Современные кибератаки — это не только про "заплати или потеряешь данные". Это про паралич бизнеса, репутационные потери и долгосрочные убытки.
Подробнее: https://extrim-security.ru/news-ib/tpost/kg8ttgmy31-kiberataka-na-fourlis-group-uscherb-v-20
CA/Browser Forum решил: с 2029 года максимальный срок жизни SSL/TLS-сертификатов сократится до 47 дней. Сейчас — 398.
Киберугрозы эволюционируют быстрее, чем обновляются сертификаты. 1+ год — это слишком долго в мире, где:
Уязвимости в криптоалгоритмах (например, SHA-1) обнаруживают постфактум.
Компрометация ключей может месяцами оставаться незамеченной.
Автоматизация (ACME, Let’s Encrypt) уже доказала: частый ротацией = меньше "мёртвых" сертов в дикой природе.
✅ Плюсы:
Безопасность: Короткий срок = меньше времени на эксплуатацию уязвимостей.
Стимул для автоматизации: Ручное управление сертификатами умрёт — и это хорошо.
Актуальность криптографии: Принудительный отказ от старых алгоритмов.
⚠️ Риски:
Хаос для малого бизнеса: Если у вас 50+ доменов, затраты на обновление вырастут.
Ошибки конфигурации: Частые смены = больше шансов на косяки в настройке.
DCV на 10 дней: Жёстко, особенно для Enterprise-сред с долгими процессами согласований.
Подробнее: https://extrim-security.ru/news-ib/tpost/l9ttouc7b1-srok-zhizni-ssltls-sertifikatov-sokratit
Киберугрозы эволюционируют быстрее, чем обновляются сертификаты. 1+ год — это слишком долго в мире, где:
Уязвимости в криптоалгоритмах (например, SHA-1) обнаруживают постфактум.
Компрометация ключей может месяцами оставаться незамеченной.
Автоматизация (ACME, Let’s Encrypt) уже доказала: частый ротацией = меньше "мёртвых" сертов в дикой природе.
✅ Плюсы:
Безопасность: Короткий срок = меньше времени на эксплуатацию уязвимостей.
Стимул для автоматизации: Ручное управление сертификатами умрёт — и это хорошо.
Актуальность криптографии: Принудительный отказ от старых алгоритмов.
⚠️ Риски:
Хаос для малого бизнеса: Если у вас 50+ доменов, затраты на обновление вырастут.
Ошибки конфигурации: Частые смены = больше шансов на косяки в настройке.
DCV на 10 дней: Жёстко, особенно для Enterprise-сред с долгими процессами согласований.
Подробнее: https://extrim-security.ru/news-ib/tpost/l9ttouc7b1-srok-zhizni-ssltls-sertifikatov-sokratit
Икс три безопасность - бизнес-ужин от Экстрим безопасность, который мы провели на прошлой неделе⭐️
Пригласили трех вендоров, которые рассказали о своих продуктах нашим клиентам. С удовольствием послушали их, а потом общались в неформальной обстановке. Вкусно кушали, пили вино и обсуждали информационную безопасность
Скромничать не будем, средняя оценка мероприятия от всех присутствующих гостей - 10/10 😏
И нам очень понравилось!
Спасибо за участие Positive Technologies, StaffCop, НИИ Масштаб! И спасибо за помощь в организации OCS!
P.S. Название мероприятия - "Х3 Безопасность". Штуки про хэзэ слышались весь вечер, и нам было очень весело :)
Пригласили трех вендоров, которые рассказали о своих продуктах нашим клиентам. С удовольствием послушали их, а потом общались в неформальной обстановке. Вкусно кушали, пили вино и обсуждали информационную безопасность
Скромничать не будем, средняя оценка мероприятия от всех присутствующих гостей - 10/10 😏
И нам очень понравилось!
Спасибо за участие Positive Technologies, StaffCop, НИИ Масштаб! И спасибо за помощь в организации OCS!
P.S. Название мероприятия - "Х3 Безопасность". Штуки про хэзэ слышались весь вечер, и нам было очень весело :)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 Внимание! Новая угроза для Android-устройств
В России обнаружен опасный вирус Gorilla, нацеленный на перехват SMS и кражу конфиденциальных данных. Особенно опасен для банковских клиентов и пользователей популярных сервисов.
Как действует вирус:
- Перехватывает входящие SMS
- Собирает информацию о пользователе
- Может управлять устройством
Что делать при заражении:
- Смените все пароли
- Сообщите в банки
- Просканируйте устройство антивирусом
- При необходимости восстановите до заводских настроек
⚠️ Будьте бдительны! Вирус может перехватывать SMS с кодами подтверждения для двухфакторной аутентификации.
Подробнее: https://extrim-security.ru/news-ib/tpost/onf0o886b1-novaya-vredonosnaya-programma-gorilla-at
#новости
В России обнаружен опасный вирус Gorilla, нацеленный на перехват SMS и кражу конфиденциальных данных. Особенно опасен для банковских клиентов и пользователей популярных сервисов.
Как действует вирус:
- Перехватывает входящие SMS
- Собирает информацию о пользователе
- Может управлять устройством
Что делать при заражении:
- Смените все пароли
- Сообщите в банки
- Просканируйте устройство антивирусом
- При необходимости восстановите до заводских настроек
⚠️ Будьте бдительны! Вирус может перехватывать SMS с кодами подтверждения для двухфакторной аутентификации.
Подробнее: https://extrim-security.ru/news-ib/tpost/onf0o886b1-novaya-vredonosnaya-programma-gorilla-at
#новости
Обнаружена сложная фишинговая атака с использованием инфраструктуры Google
Пользователь выявил новый метод фишинговых атак, использующий уязвимости в инфраструктуре Google. Злоумышленники научились создавать поддельные письма от имени Google с действительной цифровой подписью DKIM.
⚙️ Механизм атаки
Атака состоит из двух компонентов:
Фишинговый портал размещается на платформе sites.google.com, которая позволяет:
* Размещать произвольный контент
* Выполнять скрипты
* Встраивать элементы
* Использовать домен google.com
Поддельное письмо создается следующим образом:
* Регистрация домена и учетной записи Google
* Создание OAuth-приложения с текстом фишингового сообщения
* Получение от Google легитимного уведомления о безопасности
* Пересылка сообщения жертве
💬 Признаки атаки
На мошенничество указывают:
* Домен sites.google.com вместо accounts.google.com
* Необычное имя отправителя 'me@...'
Подробнее: https://extrim-security.ru/news-ib/tpost/y5pt6vto41-obnaruzhena-slozhnaya-fishingovaya-ataka
#новости
Пользователь выявил новый метод фишинговых атак, использующий уязвимости в инфраструктуре Google. Злоумышленники научились создавать поддельные письма от имени Google с действительной цифровой подписью DKIM.
⚙️ Механизм атаки
Атака состоит из двух компонентов:
Фишинговый портал размещается на платформе sites.google.com, которая позволяет:
* Размещать произвольный контент
* Выполнять скрипты
* Встраивать элементы
* Использовать домен google.com
Поддельное письмо создается следующим образом:
* Регистрация домена и учетной записи Google
* Создание OAuth-приложения с текстом фишингового сообщения
* Получение от Google легитимного уведомления о безопасности
* Пересылка сообщения жертве
💬 Признаки атаки
На мошенничество указывают:
* Домен sites.google.com вместо accounts.google.com
* Необычное имя отправителя 'me@...'
Подробнее: https://extrim-security.ru/news-ib/tpost/y5pt6vto41-obnaruzhena-slozhnaya-fishingovaya-ataka
#новости
Защита от Juice Jacking оказалась неэффективной на iOS и Android
Исследователи безопасности обнаружили серьезные уязвимости в защите мобильных устройств от Juice Jacking – атаки, при которой злоумышленники используют общественные зарядные станции для взлома смартфонов.
Проблема затрагивает как устройства на базе iOS, так и Android. Несмотря на внедрение специальных защитных механизмов, злоумышленники могут легко обойти их и получить доступ к личным данным пользователей.
Механизм атаки заключается в следующем: когда пользователь подключает телефон к общественной зарядной станции, злоумышленник может использовать модифицированный USB-порт для установки вредоносного ПО или кражи данных. При этом операционная система не предупреждает пользователя о потенциальной угрозе.
Комментарии экспертов и способы защиты: https://extrim-security.ru/news-ib/tpost/7mi1guz141-zaschita-ot-juice-jacking-okazalas-neeff
#новости
Исследователи безопасности обнаружили серьезные уязвимости в защите мобильных устройств от Juice Jacking – атаки, при которой злоумышленники используют общественные зарядные станции для взлома смартфонов.
Проблема затрагивает как устройства на базе iOS, так и Android. Несмотря на внедрение специальных защитных механизмов, злоумышленники могут легко обойти их и получить доступ к личным данным пользователей.
Механизм атаки заключается в следующем: когда пользователь подключает телефон к общественной зарядной станции, злоумышленник может использовать модифицированный USB-порт для установки вредоносного ПО или кражи данных. При этом операционная система не предупреждает пользователя о потенциальной угрозе.
Комментарии экспертов и способы защиты: https://extrim-security.ru/news-ib/tpost/7mi1guz141-zaschita-ot-juice-jacking-okazalas-neeff
#новости
Проверка сети клиента в сфере промышленности и автоматики с помощью PT NAD
Провели пилотный проект решения NTA - PT Network Attack Discovery. Результаты ошеломительные:
ИНЦИДЕНТЫ ИБ
ZGrab / Nmap / PsExec / ПО Sina / TOR / Сетевое сканирование TCP SYN SCAN / UDP CUSTOM SCAN
НАРУШЕНИЕ РЕГЛАМЕНТА ИБ
AmmyAdmin / AeroAdmin / LLMNR and NetBios / Socks5 proxy / DoH_DoT / BitTorrent / HTTP credentials / Lifting Zmiy / Psiphon3 VPN connection
СЕТЕВЫЕ АТАКИ
Apache HTTP Server 2.4.49 / 2.4.50 / RCE attempt / Directory Traversal (CVE-2021-41773, CVE-2021-42013) / Realtek Jungle SDK RCE (CVE-2021-35394) / ZyWALL/USG (CVE-2023-28771) / D-LinkDIR-645 Linux command injection RCE Attempt (CVE-2015-2051) / GLPI htmLawed Command Injection RCE (CVE-2022-35914) / PHP CGI Argument Injection RCE (CVE-2024-4577) / GPON Home Gateway RCE (CVE-2018-10561, CVE-2018-10562) / WebShell / WGET
И многое другое
Читать лонгрид: https://extrim-security.ru/tpost/xa8dyn3du1-pilotnaya-istoriya-pt-nad-v-seti-klienta
#пилотнаяистория
Провели пилотный проект решения NTA - PT Network Attack Discovery. Результаты ошеломительные:
ИНЦИДЕНТЫ ИБ
ZGrab / Nmap / PsExec / ПО Sina / TOR / Сетевое сканирование TCP SYN SCAN / UDP CUSTOM SCAN
НАРУШЕНИЕ РЕГЛАМЕНТА ИБ
AmmyAdmin / AeroAdmin / LLMNR and NetBios / Socks5 proxy / DoH_DoT / BitTorrent / HTTP credentials / Lifting Zmiy / Psiphon3 VPN connection
СЕТЕВЫЕ АТАКИ
Apache HTTP Server 2.4.49 / 2.4.50 / RCE attempt / Directory Traversal (CVE-2021-41773, CVE-2021-42013) / Realtek Jungle SDK RCE (CVE-2021-35394) / ZyWALL/USG (CVE-2023-28771) / D-LinkDIR-645 Linux command injection RCE Attempt (CVE-2015-2051) / GLPI htmLawed Command Injection RCE (CVE-2022-35914) / PHP CGI Argument Injection RCE (CVE-2024-4577) / GPON Home Gateway RCE (CVE-2018-10561, CVE-2018-10562) / WebShell / WGET
И многое другое
Читать лонгрид: https://extrim-security.ru/tpost/xa8dyn3du1-pilotnaya-istoriya-pt-nad-v-seti-klienta
#пилотнаяистория
С 30 мая 2025 года ужесточается ответственность за нарушения в сфере персональных данных. Вот некоторые штрафы:
* При утечке от 1 000 до 10 000 записей: для должностных лиц — 200 000–400 000 рублей, для ИП и компаний — 3 000 000–5 000 000 рублей.
* При утечке от 10 000 до 100 000 идентификаторов: наказание аналогично предыдущему — 200 000–400 000 рублей для должностных лиц, 3 000 000–5 000 000 рублей для ИП и компаний.
* За утечку персональных данных специальных категорий: для должностных лиц — 1 000 000–1 300 000 рублей, для ИП и компаний — 10 000 000–15 000 000 рублей.
* За несообщение об утечке: для должностных лиц — 400 000–800 000 рублей, для ИП и компаний — 1 000 000–3 000 000 рублей.
Подробнее: https://extrim-security.ru/news-ib/tpost/eyg46a4nr1-novie-shtrafi-za-narusheniya-v-sfere-per
#новости
* При утечке от 1 000 до 10 000 записей: для должностных лиц — 200 000–400 000 рублей, для ИП и компаний — 3 000 000–5 000 000 рублей.
* При утечке от 10 000 до 100 000 идентификаторов: наказание аналогично предыдущему — 200 000–400 000 рублей для должностных лиц, 3 000 000–5 000 000 рублей для ИП и компаний.
* За утечку персональных данных специальных категорий: для должностных лиц — 1 000 000–1 300 000 рублей, для ИП и компаний — 10 000 000–15 000 000 рублей.
* За несообщение об утечке: для должностных лиц — 400 000–800 000 рублей, для ИП и компаний — 1 000 000–3 000 000 рублей.
Подробнее: https://extrim-security.ru/news-ib/tpost/eyg46a4nr1-novie-shtrafi-za-narusheniya-v-sfere-per
#новости
Как злоумышленник может попасть в сеть?
Мы составили перечень векторов проникновения, на которые не все обращают внимание при защите ИТ-инфраструктуры:
- Утечка данных
- Веб-приложения
- Публичные сервисы
- Беспроводная сеть
- Физическая сеть
- QR-коды
- Фишинг
- Внешние устройства
Читайте нашу статью, в которой мы расписали примеры способов проникновения и для более ясного понимания подобрали небольшие отрывки видео, в которых наглядно демонстрируется тот или иной способ вмешательства в ИТ-инфраструктуру.
Читать здесь: https://extrim-security.ru/news-ib/tpost/32h9y5uh61-kak-haker-mozhet-popat-v-infrastrukturu
#новости
Мы составили перечень векторов проникновения, на которые не все обращают внимание при защите ИТ-инфраструктуры:
- Утечка данных
- Веб-приложения
- Публичные сервисы
- Беспроводная сеть
- Физическая сеть
- QR-коды
- Фишинг
- Внешние устройства
Читайте нашу статью, в которой мы расписали примеры способов проникновения и для более ясного понимания подобрали небольшие отрывки видео, в которых наглядно демонстрируется тот или иной способ вмешательства в ИТ-инфраструктуру.
Читать здесь: https://extrim-security.ru/news-ib/tpost/32h9y5uh61-kak-haker-mozhet-popat-v-infrastrukturu
#новости