Критическая уязвимость (CVE-2025-21420) в средстве очистки диска Windows (cleanmgr.exe) позволяет злоумышленникам незаметно загружать и выполнять вредоносный код. Эксперт компании «Газинформсервис» Екатерина Едемская предупреждает: такая атака крайне опасна из-за своей скрытности.

«Уязвимость CVE-2025-21420 использует доверие операционной системы к легитимным процессам для внедрения вредоносного кода, что делает такие атаки крайне сложными для обнаружения. Подобные уязвимости требуют создания и размещения вредоносной DLL в определённом каталоге, чтобы она была загружена вместо стандартной библиотеки при запуске cleanmgr.exe. Злоумышленник может поместить файл, например, в директорию C:\Users\System32\System32\System32, что заставит систему использовать вредоносную DLL. Это, в свою очередь, позволяет выполнить любой произвольный код, например запуск PowerShell или других инструментов для получения удалённого доступа к системе. Такие атаки могут долго оставаться незамеченными, поскольку вредоносный код исполняется в рамках доверенной программы», — объясняет Едемская.

Киберэксперт подчёркивает необходимость мониторинга загрузки DLL и строгого контроля над соответствующими каталогами при помощи инструментов, таких как Ankey SIEM NG: «В крупных инфраструктурах с многочисленными активами и сложными сетевыми топологиями дополнительные сложности создают попытки злоумышленников скрывать свои действия в большом объёме данных. Для таких ситуаций могут быть полезны решения для централизованного мониторинга, такие как SIEM-системы, в частности ANKEY SIEM NG от "Газинформсервиса". Система автоматизирует процесс анализа и корреляции событий безопасности, что позволяет оперативно реагировать на подозрительные события и предотвращать возможные угрозы ещё на стадии их появления».

Microsoft выпустила экстренное обновление безопасности, устраняющее уязвимость нулевого дня (CVE-2025-24989) в своей платформе веб-разработки — облачном сервисе Power Pages. По данным BleepingComputer, эта уязвимость уже активно используется злоумышленниками для проведения атак. Она позволила злоумышленникам повышать привилегии, обходя систему авторизации.

Эксперт компании «Газинформсервис» Екатерина Едемская предупреждает, что это серьёзная угроза для безопасности, особенно в контексте облачных сервисов, где эксплуатация может происходить удалённо. «Подобные уязвимости могут оставаться незамеченными долгое время, поскольку злоумышленники могут манипулировать правами доступа или учётными записями без немедленного отклика системы безопасности. Решением этой проблемы могут стать системы, использующие поведенческую аналитику (UEBA), позволяющие обнаруживать аномалии в действиях пользователей. Эти системы анализируют привычные модели поведения и выявляют подозрительные изменения, такие как неожиданное получение административных привилегий или попытки доступа к критически важным функциям. Выявление таких действий на ранних этапах позволяет предотвратить возможную атаку или быстро её нейтрализовать», — отмечает Едемская.

«Для эффективного мониторинга и быстрого реагирования на угрозы, связанные с подобными уязвимостями, компании могут рассмотреть использование системы Ankey ASAP от "Газинформсервиса". Программный комплекс сочетает методы поведенческого анализа и машинного обучения для обнаружения скрытых угроз и аномалий в пользовательских действиях. Интеграция с различными источниками данных позволяет системе Ankey ASAP оперативно фиксировать инциденты, проводить их анализ и помогать в расследовании, что значительно снижает риски компрометации инфраструктуры», — добавляет она.

Участились случаи взлома аккаунтов в мессенджерах с помощью поддельных устройств. Злоумышленники обманывают пользователей, заставляя их подтвердить подключение неизвестных устройств к их аккаунтам. Так, злоумышленники используют легитимную функцию «Привязанные устройства» (Linked Devices) в Signal для взлома аккаунтов, предупредили в Google Threat Intelligence Group.

Киберэксперт, аналитик L2 GSOC компании «Газинформсервис» Андрей Жданухин, отметил, что атаки, основанные на социальной инженерии — манипуляции с целью получения конфиденциальных данных, — представляют серьёзную угрозу для пользователей: «Злоумышленники всё чаще используют методы социальной инженерии, чтобы обманом получить доступ к защищённой информации. Недавние атаки с использованием поддельных привязанных устройств в Signal показывают, насколько уязвимы пользователи перед подобными угрозами. Главная проблема заключается в том, что многие недостаточно внимательны к безопасности своих учётных записей и легко доверяют вредоносным запросам. Кроме того, атаки на уровне социальной инженерии сложнее выявить стандартными средствами защиты, так как они эксплуатируют человеческий фактор, а не технические уязвимости».

Киберэксперт отмечает, что в таких подобных случаях необходим комплексный подход, включающий Security Awareness и технические меры защиты, такие как GSOC: «Обучение сотрудников кибербезопасности (Security Awareness) помогает предотвратить инциденты на ранних стадиях, повышая осведомлённость о современных методах социальной инженерии. Однако одних знаний недостаточно. GSOC компании «Газинформсервис» обеспечивает постоянный мониторинг активности в сети и анализ подозрительных действий, что позволяет выявлять аномалии в поведении пользователей. Например, если аккаунт внезапно связывается с неизвестным устройством, система может оперативно зафиксировать этот факт и инициировать проверку, предотвращая утечку данных. Такой симбиоз осведомленности пользователей и технологий SOC значительно снижает вероятность успешных атак», — отметил Андрей Жданухин.

В рамках ежегодного исследования по информационной безопасности в компаниях России выяснилось, что в 2024 году утечки коснулись почти половины опрошенных.

В 2023 г. 66% компаний столкнулись с попытками слива информации, а в 2024 г. 48% опрошенных фиксировали утечки, говорится в исследовании «СерчИнформ».

На сегодня ещё велик риск случайных инцидентов: в 67% случаев сотрудники допускали утечку из-за ошибок и незнания базовых правил кибергигиены.

Чаще всего с утечками сталкивались предприятия из сферы энергетики, кредитно-финансовые и нефтегазовые организации.

Также важно отметить, что в 72% организаций виновниками утечек становились линейные сотрудники, реже — линейные руководители (29%). В 20% компаний сталкивались с инсайдерами среди руководителей направлений. Нередко виновниками инцидентов оказывались контрагенты компаний, подробнее в материале CNews.

«Средняя цифра по опрошенным компаниям показывает, что количество утечек по вине сотрудников снизилось. Однако пока рано говорить, что проблема внутренних инцидентов решена. Надеемся, что количество утечек продолжит снижаться в 2025 г.: на это могут повлиять два фактора: стимул в виде штрафов за утечки и уголовная ответственность инсайдеров, которая станет серьёзным ограничителем», — сказал Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СерчИнформ».

«Из года в год цифры инцидентов, произошедших по вине инсайдеров, являются крупными относительно других цепочек атак. Избежать этого канала совсем, на 100%, сложно и чрезвычайно дорого. Но минимизировать риски наступления таких событий возможно. Контроль учётных данных, доступов и полномочий сотрудников вкупе с многофакторной аутентификацией, отслеживанием места аутентификации (geoip) и оснащением средств мониторинга утечек — вполне посильная задача для большинства компаний. Важно понимать, что такая защита делается, в первую очередь, в интересах бизнеса», — говорит Иван Корешков, менеджер по продукту Ankey IDM компании «Газинформсервис».

Недавно в популярном средстве защищённого удалённого доступа OpenSSH устранили две серьёзные уязвимости, способные привести к атакам типа «человек посередине» (MiTM) и отказу в обслуживании (DoS). Обе проблемы были исправлены в версии OpenSSH 9.9p2. Эксперт компании «Газинформсервис», аналитик L2 GSOC Андрей Жданухин, рекомендует пользователям обновить системы и проводить их постоянный мониторинг при помощи центров мониторинга класса SOC, таких как GSOC.

«Первая уязвимость (CVE-2025-26465) затрагивает клиентов OpenSSH с активированной опцией VerifyHostKeyDNS, позволяя злоумышленникам перехватывать SSH-сессии. Вторая (CVE-2025-26466) связана с неконтролируемым потреблением ресурсов, что может привести к DoS-атакам», — объясняет Андрей Жданухин.

Эксперт рекомендует пользователям обратиться к GSOC: «Обе проблемы были исправлены в версии OpenSSH 9.9p2, и пользователям рекомендуется обновить свои системы как можно скорее. В таких ситуациях Центр мониторинга и реагирования на инциденты информационной безопасности (GSOC) компании "Газинформсервис" играет ключевую роль в обеспечении безопасности ИТ-инфраструктуры. Специалисты GSOC оперативно отслеживают информацию о новых уязвимостях и обеспечивают своевременное обновление критически важных сервисов, таких как OpenSSH. Кроме того, GSOC проводит постоянный мониторинг сетевой активности, что позволяет быстро выявлять и предотвращать попытки эксплуатации подобных уязвимостей, обеспечивая защиту от потенциальных атак и минимизируя риски для бизнеса».

Хакеры с помощью программы-вымогателя Ghost взломали системы тысяч компаний и государственных учреждений в более чем 70 странах. Как защититься от шифровальщиков, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.

Под удар попали критическая инфраструктура, здравоохранение, образовательные учреждения, технологические компании, производственные предприятия и малый бизнес, сообщают CISA, ФБР и MS-ISAC в совместном предупреждении.

Хакеры эксплуатируют устаревшие версии программного обеспечения и прошивок, получая доступ к корпоративным сетям.

Преступники часто меняют код вредоносных программ, расширения зашифрованных файлов и тексты вымогательских записок, что усложняет их отслеживание.

«Количество атак вирусами-шифровальщиками стремительно растёт по всему миру и наносит значительный ущерб компаниям. Первоначальным вектором для атаки становятся уязвимые и слабо контролируемые активы компании. Это задача, решаемая современными средствами защиты (IDM, SIEM, NGFW), патчингом и харденингом. Результативным подспорьем в защите от таких угроз станет внедрение GSOC — передового центра мониторинга киберугроз. Эксперты центра обладают необходимыми компетенциями в области кибербеза и передовыми инструментами Ankey SIEM и Ankey IDM в составе GSOC», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

В браузере Chrome обнаружены критические уязвимости, связанные с переполнением буфера в куче в движке V8 (обработка JavaScript) и графической подсистеме. Эксперт компании «Газинформсервис» Екатерина Едемская предупреждает, что подобные ошибки — это не просто баги, а потенциальные точки входа для злоумышленников, позволяющие выполнять произвольный код и получать контроль над системой.

«Уязвимость в V8 связана с обработкой JavaScript — одним из самых часто используемых компонентов при загрузке веб-страниц. Хотя в Google уже выпустили обновление, угроза сохраняется до тех пор, пока пользователи не установят патчи. Особенно тревожно, что эксплойты такого типа часто используются в целевых атаках на организации», — поясняет Едемская.

Для минимизации рисков пользователям рекомендуется незамедлительно обновить Chrome до последней версии, а организациям — рассмотреть возможность использования решений для мониторинга и реагирования на угрозы информационной безопасности, например GSOC.

«Здесь на помощь организациям приходят специализированные SOC-центры, такие как GSOC от компании "Газинформсервис". Команда GSOC оперативно выявляет и нейтрализует подозрительную активность, в том числе попытки эксплуатации подобных уязвимостей. Это помогает предотвратить несанкционированный доступ и минимизировать риски, связанные с атакой, обеспечивая безопасную работу корпоративных систем», — отмечает эксперт.

Проект компании «Газинформсервис» GIS DAYS* прошёл в финал и попал на открытую защиту на международной ивент-премии bema!. В финале принимали участие представители компаний из 6 стран мира и 30 регионов России.

Около 600 заявок (по словам организаторов, это рекордное число) было подано, и около 300 перешло на этап открытых защит. Форум GIS DAYS участвовал в двух номинациях. За звание «Лучшего делового проекта для клиентов и партнёров» GIS DAYS боролся с Demo Day («Сбер»), Yandex Ecom Open Air 2024, Альфа-Конфой, REKONFA (Яндекс.Реклама) и другими. Второй номинацией был «Лучший обучающий проект для клиентов и партнёров», в которой GIS STUDENT DAY соревновался с Alfa Case Camp, Альфа-Конфа, а также проектами «Мегафон ПроБизнес» и «Авито». Григорий Ковшов, руководитель службы маркетинга и куратор проекта GIS DAYS, в рамках защиты назвал участие в премии полезным опытом:

«Мы уже 7 лет проводим GIS DAYS, и с каждым годом наш форум становится только интереснее и сильнее. Мероприятие масштабное, и мы отлично умеем его делать, поэтому, дебютировав в премии, мы сразу вышли в финал. Защита и презентация проекта в конкуренции с такими крупными игроками из разных отраслей на отечественном рынке только подогревала наш интерес. Да, мы не победили сейчас, однако нам удалось достичь самого главного: популяризовать наш форум, бренд компании и специфичную для многих кибербезопасность среди широкой аудитории».

Международный фестиваль событийного маркетинга и коммуникаций bema! — ежегодная профессиональная премия, присуждаемая с 2017 года. Её участниками становятся проекты, развивающие различные отрасли экономики в сфере событийного маркетинга на рынке России и дружественных стран.

GIS DAYS (Global Information Security Days) — форум по информационной безопасности компании «Газинформсервис», который проводится с 2018 года. В этом году мероприятие состоится 1—3 октября традиционно в Санкт-Петербурге и Москве.

GIS DAYS* (Global Information Security Days) — дни глобальной информационной безопасности.

Исследователи из компании Rapid7 обнаружили в многофункциональных принтерах Xerox VersaLink C7025 сразу 2 уязвимости, позволяющие злоумышленникам перехватывать учётные данные с помощью Pass-back-атак. Аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева рассказала, как не допустить утечку информации.

Первая уязвимость позволяет злоумышленнику изменить конфигурацию принтера, перенаправляя учётные данные пользователей на подконтрольный сервер через LDAP. Вторая связана с адресной книгой пользователя, позволяя изменять IP-адрес сервера SMB или FTP и перехватывать учётные данные при сканировании файлов.

Обнаруженные уязвимости в принтерах Xerox подчёркивают важность своевременного обновления программного обеспечения и усиления мер безопасности для защиты конфиденциальных данных.

Уязвимости затрагивают устройства с прошивкой версии 57.69.91 и ранее.

«Обновление прошивок на периферийных устройствах имеет низкий приоритет и затягивается на длительный срок. В то время как интеграция периферийного оборудования без контроля конфигураций к корпоративной сети открывает широкую поверхность для атаки, позволяя злоумышленникам проникать в критически значимые информационные системы. Эксплуатация уязвимостей в принтерах Xerox Versalink C7025 может привести к перехвату учётных данных Windows Active Directory, что недопустимо. Управление сетевыми конфигурациями, контроль и мониторинг нелегитимных подключений, а также оперативная актуализация списка уязвимостей в установленных версиях прошивок минимизирует риски злонамеренных подключений к интерфейсам управления сетевыми устройствами. С данной задачей эффективно справляется программный комплекс Efros Defence Operations, внедряемый компанией "Газинформсервис". Efros DefOps выявляет уязвимости в прошивках ПО на сетевом оборудовании в соответствии с БДУ ФСТЭК, CVE и OVAL и отражает вектор потенциальной эксплуатации», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

Киберпреступники Earth Preta (также известные как Mustang Panda) эксплуатируют новую технику обхода антивирусной защиты в Windows-системах для последующего перехвата управления заражёнными системами. Аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева рассказала об эффективной защите от подобной атаки.

Эксперты Trend Micro обнаружили, что хакеры используют легитимный инструмент Windows под названием Microsoft Application Virtualization Injector («MAVInject.exe») для внедрения вредоносного кода в процесс «waitfor.exe», если на устройстве обнаружена работа антивируса ESET.

Атака начинается с загрузки нескольких файлов, включая легитимные исполняемые файлы, вредоносные компоненты и подставной PDF-документ, предназначенный для отвлечения внимания жертвы. В ходе атаки используется Setup Factory — инструмент для создания установщиков Windows, что помогает скрыть вредоносный код и обеспечить его незаметное выполнение.

«Злоумышленники эксплуатируют встроенные компоненты Windows для скрытого внедрения вредоносной нагрузки, реализуя цепочку техник, описанных в матрице MITRE ATT&CK. Последовательность действий не уникальна. Зачастую на этапе запуска обфусцированных вредоносных приложений антивирусные средства не способны детектировать первичные угрозы и подвергаются манипуляциям со стороны хакеров. Не допустить подобные угрозы поможет комплексная защита инфраструктуры, которую сможет обеспечить внедрение GSOC. Проактивный поиск угроз и автоматизированный анализ активности на каждом устройстве в сочетании с инструментами поведенческого анализа и высококлассной экспертизы аналитиков SOC обеспечивают гарантированное выявление атаки на первых этапах», — говорит эксперт «Газинформсервиса» Ирина Дмитриева.

*Trend Micro — международная компания в области кибербезопасности, специализирующаяся на защите от вредоносного программного обеспечения, угроз в интернете и прочих кибератак.

Компания «Газинформсервис» выпустила обновление СУБД Jatoba до версии 6.6.1. Обновление предлагает пользователям ряд преимуществ, обеспечивающих повышение отказоустойчивости и производительности, а также включает ряд ключевых улучшений, таких как сжатие данных на уровне страниц и полнотекстовый поиск.

«СУБД Jatoba 6.6.1 позволяет делать компрессию на уровне страниц, существенно экономя дисковое пространство, занимаемое таблицами, индексами, партициями и шардами. Сжатие происходит на работающей базе во время записи данных на диск. Его можно применять к таблице, индексу, партиции, ко всему табличному пространству или всей базе целиком.

В числе других важных нововведений — полнотекстовый поиск, ранее не доступный в PostgreSQL. Он позволяет решать задачи по поиску наиболее схожих по содержанию текстов, поиск текстов с фрагментом текста, наиболее похожим на искомый, и другие.

Традиционно ряд обновлённых функций повышают безопасность, удобство управления и производительность», — отметил Юрий Осипов, менеджер по продукту Jatoba.

В новой версии решена проблема сетевого разделения узлов кластера через дополнительный голос от узла-рефери. Управление кластером теперь возможно для внешних систем через защищённый протокол стандартного REST API. Работа с кластером Citus/JaDog (как с единым целым) полностью автоматизирована. Добавлена возможность автоматизированного построения кластеров с перекрёстной репликацией, что экономит серверные мощности при развёртывании распределённых кластеров.

Кроме того, решена проблема некорректной работы механизма ротации файлов. Теперь за подготовку файлов для записи событий отвечает отдельный фоновый процесс, который обеспечивает корректную ротацию даже в условиях высокой нагрузки — большого количества подключений пользователей к СУБД.

Также среди ключевых обновлений версии 6.6.1 — обновление Jatoba Data Safe до версии 2.6. Появился раздел «Ландшафт» для управления развёрнутыми в инфраструктуре сервисами и редактирования параметров СУБД. Управление расширениями теперь позволяет устанавливать, обновлять и удалять расширения в базах данных, выбирая из списка расширений, доступных для СУБД. Кроме того, расширены функции для работы со снимками производительности, например, добавлена возможность создания базовых и дифференциальных отчётов по различным параметрам, экспорт и импорт данных отчётов. Также реализованы функции выполнения резервного копирования СУБД.

Исследователи CYFIRMA* выявили новую угрозу в киберпространстве — вирус-вымогатель Vgod, активно распространяющийся на подпольных хакерских форумах. Киберэксперт Михаил Спицын рассказал об особенностях вируса и как от него защититься.

Это вредоносное ПО нацелено на операционные системы Windows, где оно применяет сложные методы шифрования и добавляет к зашифрованным файлам уникальное расширение «.Vgod».

После проникновения на устройство вирус шифрует данные, а затем оставляет на рабочем столе жертвы записку под названием «Decryption Instructions.txt» с требованиями злоумышленников.

Анализ поведения Vgod указывает на его сложные механизмы уклонения от обнаружения. Он использует DLL Sideloading для обхода защитных механизмов, инъекции процессов, а также манипуляции с системным реестром.

«Вирус-вымогатель Vgod использует сложные методы шифрования и маскировки для уклонения от обнаружения, а также применяет тактику двойного вымогательства с угрозой публикации украденных данных. Есть рекомендации по внедрению принципов Zero Trust, использованию многофакторной аутентификации и регулярным обновлениям систем, однако для организации комплексной защиты предлагается подключение к GSOC. Это структура, ответственная за непрерывный мониторинг безопасности информационных ресурсов организации — систем, сетей, приложений и данных, и оперативное реагирование в случае возникновения инцидентов, а благодаря инструментам поведенческого анализа специалисты SOC оперативно локализируют и останавливают вредоносную активность», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

*Cyfirma — это технологическая компания, специализирующаяся на кибербезопасности и разведке в интернете.

Исследователи кибербезопасности из компании SlashNext обнаружили новый сложный фишинговый набор Astaroth. Он способен обходить двухфакторную аутентификацию (2FA) и нацелен на широкий спектр онлайн-аккаунтов, включая Gmail, Yahoo, AOL, Microsoft 365 и др.

Киберэксперт компании «Газинформсервис» Александр Катасонов предупреждает о серьезности угрозы и настоятельно рекомендует использовать комплексные решения для защиты от подобных атак, предотвращающих финансовые потери и утечку конфиденциальных данных. Ведь это не просто кража учетных данных — это потенциальный плацдарм для масштабных атак.

«Фишинг — одна из самых распространённых атак, поскольку она проста в исполнении и имеет высокую вероятность успеха. Такие атаки охватывают большое количество пользователей одновременно, что значительно повышает шансы злоумышленников на компрометацию корпоративных данных. Они нацелены на неопытных и невнимательных сотрудников, создавая точку входа для последующего проникновения в инфраструктуру компании. Фишинговые атаки часто становятся первым этапом более сложных атак, таких как заражение вредоносным ПО или кража учетных данных», — поясняет инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» Александр Катасонов.

Для защиты от подобных угроз Катасонов рекомендует использовать комплексные решения класса SOC, такие как GSOC: «Центр мониторинга и реагирования на инциденты осуществляет круглосуточный контроль состояния инфраструктуры, выявляет подозрительные активности и предотвращает атаки на ранних этапах. Интеллектуальные механизмы анализа позволяют обнаруживать даже скрытые угрозы, минимизируя риски утечек данных и взломов. Использование сервисов, таких как GSOC, значительно повышает уровень кибербезопасности предприятия и позволяет своевременно нейтрализовать угрозы».

Атаки на сетевые ресурсы остаются одними из самых распространенных киберугроз — к такому выводу приходят эксперты Intel 471. Злоумышленники вновь активизировали распространение вредоносного ПО SocGholish, маскируя его под обновления браузеров.

Эксперт компании «Газинформсервис» предупреждает, что фишинговые рассылки, компрометация учетных данных и уязвимости в популярных сервисах — это лишь некоторые из инструментов, используемых злоумышленниками ежедневно.

«Атаки на сетевые ресурсы — одни из самых распространённых, и их последствия могут быть весьма серьёзными. Основной целью таких атак становятся пользователи, а именно их невнимательность, которая может сыграть злую шутку и привести к критическим последствиям как для самих сотрудников, так и для целых компаний. Фишинговые рассылки, компрометация учётных данных и эксплуатация уязвимостей в популярных сервисах — всё это инструменты, которыми злоумышленники пользуются ежедневно. Чем крупнее организация, тем более привлекательной целью она становится для атакующих, что делает вопрос кибербезопасности первостепенной задачей», — отмечает инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» Александр Катасонов.

Эксперт подчёркивает, что для эффективной защиты от подобных угроз, необходимо использовать надёжные средства кибербезопасности. Одного только антивирусного ПО или межсетевого экрана уже недостаточно — современные атаки требуют глубокой аналитики событий и оперативного реагирования на инциденты. «Для защиты корпоративных сред и сервисов целесообразно применять решения, такие как Efros Defence Operations. Этот инструмент позволяет контролировать изменения в инфраструктуре, централизованно управлять доступом пользователей и администраторов, а также предотвращать незаметные изменения конфигурации сервисов злоумышленниками. Автоматизированные механизмы мониторинга и детектирования аномалий позволяют выявлять подозрительные действия на ранних стадиях и предотвращать потенциальные атаки до того, как они нанесут ущерб».

Исследователи безопасности обнаружили в киберпространстве необычный вредоносный Python-скрипт, использующий нестандартный метод обхода анализа — имитацию «синего экрана смерти» (BSOD). Киберэксперт Ксения Ахрамеева рассказала, что необходимо для защиты от такого рода уязвимостей.

Новая уловка не только усложняет анализ вредоносного кода, но и способна ввести пользователей в заблуждение.

Скрипт имеет низкую детектируемость антивирусами: на VirusTotal его выявили всего 4 из 59 антивирусных решений.

В отличие от большинства вредоносных программ на Python, работающих через командную строку, этот скрипт генерирует полноэкранное окно, стилизованное под BSOD. Окно, созданное через Tkinter, не содержит кнопок управления и открывается на весь экран, поверх всех остальных окон, создавая иллюзию критического сбоя системы.

Отдельную озабоченность вызывает низкий уровень детектирования данного скрипта антивирусными решениями, что подчёркивает необходимость применения поведенческого анализа и мониторинга активности в дополнение к традиционным методам защиты.

 «Антивирусные приложения не всегда справляются с вредоносными скриптами, которые могут проникнуть на компьютер пользователя, и далее в корпоративную сеть, если речь идет о сотруднике компании. Для защиты от такого рода уязвимостей необходимо заранее побеспокоится о безопасности ИТ-инфраструктуры. Существуют надежные отечественные решения, которые позволяют произвести аудит состояния безопасности сетевой инфраструктуры и выявить любые несоответствия заданным эталонам и внутренним compliance, как это реализовано, например, в многофункциональном комплексе Efros Defence Operations. Только осуществляя комплексный подход к обеспечению безопасности, можно достичь эффективной защиты ИТ-инфраструктуры организации», - говорит Ксения Ахрамеева, к.т.н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

В 2024 году на киберпреступной сцене стремительно появился новый игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. Эксперт в области информационной безопасности Михаил Спицын рассказал, как защититься от продвинутых угроз.

По данным исследования Group-IB, группа RansomHub заполнила вымогательскую нишу. Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах. Основной стратегией стало переманивание хакеров, ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.

Использование хакерами готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.

RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.

Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.

 «Угрозы вроде атак вымогателей в формате ransomware-as-a-service, становятся все более распространёнными. Группировка RansomHub, использующая сложные методы взлома и эксплуатации уязвимостей, уже атаковала более 600 организаций, шифруя системы на различных платформах и шантажируя жертв. Для защиты от подобных продвинутых угроз недостаточно ограничиваться лишь стандартными средствами защиты информации (СЗИ), организациям необходимо регулярно обновлять программное обеспечение, минимизировать поверхность атаки и внедрять системы мониторинга, такие как Security Operations Center (SOC), для своевременного реагирования на инциденты. С помощью средств расширенной и поведенческой аналитики на базе собственных ML-решений, GSOC способен прервать цепочку атаки на ранних этапах», — говорит киберэксперт «Газинформсервиса» Спицын Михаил.

Критическая уязвимость, затрагивающая ряд версий PHP 8, угрожает веб-приложениям и сайтам, позволяя провести SQL-инъекцию и завладеть базой данных. Киберэксперт Михаил Спицын рассказал, как защититься от подозрительных SQL-запросов.

Брешь актуальна для PHP 8.0.x до версии 8.0.27, 8.1.x до версии 8.1.15 и 8.2.x до версии 8.2.2. Баг кроется в функции PDO::quote() при использовании баз данных SQLite.

Эта функция часто применяется для очистки вводимых пользователем данных перед их использованием в запросах к БД. По типу CVE-2022-31631 представляет собой классическую проблему целочисленного переполнения буфера. Если PDO::quote() обрабатывает слишком длинную строку, функция не может корректно экранировать входные данные. Этот изъян может привести к созданию опасных SQL-запросов, которые могут позволить киберпреступникам внедрить вредоносный код и получить контроль над базой данных.

«Уязвимость CVE-2022-31631 в конечном счете позволяет злоумышленникам создать опасные SQL-запросы, вставить вредоносный код и захватить управление над базой данных. Рекомендуется использовать WAF (Web Application Firewall), чтобы блокировать попытки эксплуатации этой уязвимости, однако такое ПО зависит от регулярных обновлений, поэтому для создания безопасного контура необходимо использовать несколько систем защиты на разных уровнях инфраструктуры. Например, используя защищенную СУБД Jatoba, владельцы баз данных смогут защититься от подозрительных SQL-запросов, в том числе и от SQL-инъекций», — говорит киберэксперт «Газинформсервиса» Спицын Михаил.

Шесть из десяти компаний по всему миру ожидают серьёзный инцидент кибербезопасности уже в следующем году. К такому выводу пришли аналитики Zscaler в своём новом исследовании, предупреждая, что компании переоценивают свою защищённость. Киберэксперт, аналитик L2 GSOC компании «Газинформсервис» Андрей Жданухин, призывает бизнес обратить внимание на решения класса SOC.

«Разрыв между уверенностью ИТ-лидеров и реальным уровнем защиты остаётся значительным, что подчёркивает необходимость пересмотра подходов к обеспечению киберустойчивости», — отмечает Жданухин.

Эксперт говорит, что ключевую роль в защите бизнеса играют решения класса SOC, такие как GSOC: «Наш Центр мониторинга и реагирования на инциденты информационной безопасности обеспечивает круглосуточный мониторинг и анализ событий, оперативно выявляя и нейтрализуя угрозы. Кроме того, специалисты GSOC помогают организациям использовать современные подходы к кибербезопасности, минимизируя возможности эксплуатации потенциальных уязвимостей и повышая общую устойчивость ИТ-инфраструктуры к возможным атакам».

Мировой рынок ИТ-вакансий столкнулся с беспрецедентным падением. Количество объявлений о найме разработчиков сократилось на 70% по сравнению с пиком после пандемии. HR-эксперт Анна Прабарщук рассказала, как обстоят дела с ИТ-кадрами в России.

 По данным FRED (Federal Reserve Economic Data), индекс вакансий в сфере разработки программного обеспечения достигал 230 пунктов в 2022 году, но теперь рухнул до отметки 70, что отражает резкое падение спроса на специалистов.

До пандемии индекс находился на уровне 100, а с первыми новостями о COVID-19 снизился до 65. Однако последовавшие меры экономического стимулирования спровоцировали резкий рост, достигший максимума в 2022 году. Это совпало с бумом венчурного финансирования и массовым появлением стартапов-единорогов. Но уже с 2023 года, на фоне охлаждения инвестиционной активности, количество предложений о работе начало снижаться. К началу 2025 года число вакансий упало ниже февральского уровня 2020 года, что говорит о серьёзных структурных изменениях на рынке.

Отраслевые специалисты отмечают, что снижение числа вакансий на 70% — это не просто последствие окончания «эры дешёвых денег», а результат фундаментальной трансформации роли разработчиков. Теперь один хороший инженер с GitHub Copilot делает работу целой команды, что приводит к уменьшению спроса на традиционных разработчиков уровня Middle.

«Рынок труда ИТ России достаточно существенно отличается от американского: мы пока всё-таки наблюдаем дефицит ИТ-специалистов, в том числе разработчиков. Да, думаю, уже можно констатировать небольшое замедление рынка труда ИТ в России: акцент в поиске сместился на мидл-уровень и более взвешенное решение по зарплатным предложениям, но говорить о критическом изменении количества вакансий на данный момент не приходится», — говорит руководитель службы управления персоналом компании «Газинформсервис» Анна Прабарщук.

В архиваторе WinZip нашли опасную уязвимость, позволяющую удалённо выполнить произвольный код на устройстве. Киберэксперт Михаил Спицын рассказал, как обнаружить вредоносный файл.

Проблема, получившая идентификатор CVE-2025-1240, связана с механизмом парсинга файлов в формате 7Z. Условный злоумышленник может использовать брешь в атаке с помощью специально подготовленного вредоносного файла или веб-страницы.

Корень уязвимости кроется в недостаточной валидации вводимых пользователем данных в процессе парсинга 7Z. В анализе экспертов Zero Day Initiative говорится: «Проблема в отсутствии надлежащей валидации отправленных пользователем данных может привести к записи за пределами выделенного буфера». Другими словами, это классическая возможность записи за пределами границ, позволяющая атакующим выполнить код в контексте текущего процесса WinZip. Тем не менее эксплуатация подразумевает взаимодействие с целевым пользователем, которого надо заставить либо открыть специальный 7Z-файл, либо зайти на скомпрометированный сайт. Разработчики устранили CVE-2025-1240 в версии WinZip 29.0, которую пользователям советуют установить как можно скорее.

«Уязвимости, в том числе CVE-2025-1240, могут стать неожиданностью, и, касательно этого случая, для их эксплуатации достаточно было вывести жертву на вредоносный сайт или привлечь к загрузке вредоносного архива. Центры мониторинга SOC проводят мероприятия по информированию сотрудников об актуальных угрозах и предостерегают от необдуманных действий. Например, сотрудники GSOC к тому же обеспечивают непрерывное автоматизированное выявление угроз и реагирование на них с помощью инструментов поведенческой аналитики, могут зафиксировать выполнение вредоносных процессов на ранних этапах и разорвать цепочку атаки», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

Исследователи Elastic Security Labs обнаружили новую кибератаку с использованием мощного бэкдора FINALDRAFT. Новый бэкдор атакует госучреждения и компании по всему миру. Жертвами атаки стали внешнеполитическое ведомство одной из стран Южной Америки, телекоммуникационная компания и университет в Юго-Восточной Азии. Это демонстрирует широкий географический охват и разнообразие целей злоумышленников.

Эксперт, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» Александр Катасонов, отмечает, что для эффективной защиты от современных киберугроз важно использовать современные центры мониторинга инцидентов, такие как GSOC.

«Методы, использованные хакерами в данном случае, демонстрируют высокий уровень подготовки и глубокую осведомлённость. Подобные атаки напоминают, насколько неожиданными могут быть сценарии взлома и как быстро злоумышленники способны реализовать свои планы для достижения целей. В вопросах кибербезопасности нельзя расслабляться — необходимо всегда быть начеку и готовым к атакам в любое время, 24/7», — говорит эксперт, — «Именно поэтому наиболее эффективной стратегией защиты является использование SOC, например GSOC. Это современный центр мониторинга и реагирования на инциденты, который обеспечивает проактивное выявление угроз, анализ аномалий и оперативное противодействие атакам. Применение передовых технологий анализа трафика и поведенческой аналитики позволяет обнаруживать даже самые сложные скрытые атаки на ранних стадиях и предотвращать их развитие».

Нехватка адаптированных решений и необходимость интеграции с существующей инфраструктурой — ключевые препятствия для российских компаний при переходе на отечественные решения кибербезопасности. Согласно исследованию «СёрчИнформ», лишь 2% российских организаций полностью перешли на отечественные операционные системы и базы данных. Однако эксперт компании «Газинформсервис» Екатерина Едемская отмечает, что рынок постепенно предлагает конкурентоспособные отечественные продукты, например СУБД Jatoba, обеспечивающие высокую функциональность и безопасность.

Согласно данным исследования «СёрчИнформ», в государственном секторе динамика импортозамещения позитивная: в 2024 году 56% опрошенных компаний уже находились на стадии перехода (против 37% в 2023 году). В коммерческом секторе темпы ниже: лишь 1% организаций полностью завершили процесс импортозамещения, 24% компаний начали переход, а 48% —планируют приступить.

Едемская отмечает, что при правильном планировании и контроле миграция на такие решения пройдёт безболезненно и станет надёжной опорой в цифровой трансформации — это доказывает опыт успешной миграции.

«Для организаций важна не только надёжность отечественного ПО, но и его интеграция с существующими ИТ-системами, без которой процесс миграции может стать дорогостоящим и нарушить стабильность ключевых бизнес-процессов. Однако рынок постепенно реагирует на этот вызов, появляются отечественные продукты, способные конкурировать с зарубежными аналогами по функциональности и безопасности. Например, решения на базе открытого исходного кода, сертифицированные в России, хорошо адаптируются под наши реалии, соответствуют требованиям регуляторов и актуальным стандартам защиты», — говорит инженер-аналитик. «Одним из таких решений является СУБД Jatoba от компании "Газинформсервис", основанная на технологии PostgreSQL. Она демонстрирует высокий уровень безопасности и стабильности в ИТ-системах разного масштаба».

ФСТЭК России подготовила новый свод требований по защите информации, который вступит в силу в марте следующего года. Киберэксперт Сергей Полунин рассказал о сложностях и решениях в вопросе защиты информации.

Документ охватывает государственные информационные системы, а также системы других государственных органов, унитарных предприятий и учреждений.

Ключевые нововведения:

— Расширение сферы применения. Документ охватывает защиту информации, содержащейся в государственных информационных системах, включая данные государственной тайны, персональные данные и информацию, относящуюся к критической информационной инфраструктуре.

— Обновление нормативной базы. Новый свод требований опирается на существующие нормативные акты, такие как Постановление Правительства РФ № 1119 и Федеральный закон № 187-ФЗ, а также другие регламенты по технической защите информации. Это позволит адаптировать меры безопасности к современным вызовам.

— Жёсткие сроки устранения уязвимостей. Документ вводит строгие временные рамки для реагирования на угрозы: критические уязвимости необходимо устранять в течение 24 часов, высокие — не позднее 7 рабочих дней, а средние и низкие — в соответствии с внутренними регламентами организации.

— Новые процедуры уведомления. Операторы обязаны в течение 5 рабочих дней передавать в Банк данных угроз ФСТЭК информацию о ранее неизвестных уязвимостях. Это обеспечит оперативное выявление новых киберугроз и позволит быстрее реагировать на потенциальные риски.

— Упрощение классификации информационных систем. Новый подход к классификации упрощает процесс оценки рисков и выбора мер защиты, делая регулирование более прозрачным. Обновлённый свод требований ФСТЭК России направлен на повышение оперативности и эффективности мер по защите информации, адаптацию к современным киберугрозам и создание единого подхода к обеспечению информационной безопасности в государственных структурах.

«Требования регулятора к информационной безопасности на предприятиях вполне логичные и являются адекватным ответом на новые вызовы. Вопрос только в том, насколько это реально поможет что-либо улучшить в нашей жизни, учитывая, что компании всё больше ограничены в бюджетах. Например, для того, чтобы организовать устранение критической уязвимости в течение 24 часов, нужны специалисты соответствующего уровня и вообще готовность инфраструктуры к оперативным изменениям. С другой стороны, применение решений, где механизмы безопасности уже являются частью системы, таких как СУБД Jatoba, существенно сокращает это время», — говорит руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

В каталоге KEV — справочнике уязвимостей, которые активно используются хакерами по всему миру, — обнаружена критическая уязвимость (CVE-2025-0994) в Trimble Cityworks. Это программное обеспечение, широко используемое муниципальными службами, коммунальными предприятиями и инфраструктурными организациями для управления активами и рабочими процессами. Уязвимость, позволяющая злоумышленникам выполнять произвольный код на сервере, представляет серьёзную угрозу для организаций, полагающихся на Cityworks для управления критически важной инфраструктурой.

Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис», предупреждает, что всё более изощрённые способы взлома ПО появляются практически каждый день: «Число злоумышленников растёт, эта гонка никогда не прекращается. Простым пользователям приходится адаптироваться к новым угрозам, а специалистам в области информационной безопасности — постоянно совершенствовать методы защиты».

Киберэксперт подчёркивает, что сложность заключается в том, что нужно защищаться и от ещё не известных угроз, так называемых «атак нулевого дня»: «Наиболее эффективным способом противодействия атакам нулевого дня является использование нейронных сетей и поведенческой аналитики. Если для компании критически важно избежать компрометации, ей необходимо применять решения, такие как Ankey ASAP — программный комплекс расширенной аналитики событий и инцидентов информационной безопасности с функциями поведенческого анализа. Подобные технологии создают достойную конкуренцию злоумышленникам и обеспечивают защиту данных даже от самых новых и сложных угроз».

Киберпреступники использовали уязвимость CVE-2025-24200 для атак на iOS и iPadOS компании Apple. Внеплановое обновление безопасности уже выпущено. Эксперт компании «Газинформсервис» рассказала, как защитить корпоративную сеть от атак через подобные появляющиеся уязвимости.

Проблема уязвимости связана с ошибкой авторизации, позволяющей злоумышленникам отключать режим ограниченного доступа USB на заблокированных устройствах, что делает их уязвимыми для кибератак.

Для эксплуатации уязвимости требуется физический доступ к устройству. Режим ограниченного доступа USB, впервые представленный в iOS 11.4.1, предотвращает передачу данных через USB, если устройство не было разблокировано и подключено к аксессуарам в течение последнего часа. Эта мера защиты направлена на противодействие цифровым криминалистическим инструментам, таким как Cellebrite и GrayKey, используемым правоохранительными органами.

Apple признаёт, что ошибка могла использоваться в сложных атаках против определённых целей.

«С 1 августа 2023 года сотрудникам госслужб и работникам ФНС РФ запрещено использовать мобильные устройства компании Apple для ведения переговоров, а также для обработки, хранения и передачи информации в ходе служебной деятельности. Однако множество коммерческих организаций продолжают использовать данную технику, поэтому целесообразно принять меры по предотвращению атак и по обеспечению информационной безопасности сети. Например, программный комплекс Efros Defence Operations способен производить аудит безопасности сети и сетевых устройств и вовремя обратить внимание на несанкционированный доступ к тем или иным ресурсам», — говорит Ксения Ахрамеева, к. т. н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис».

Обнаружена критическая уязвимость в ПО «ушедшей» из России корпорации ABB. Злоумышленники могут получить доступ к файловой системе через уязвимость CVE-2024-48510 в ПО Drive Composer, инструменте для настройки и обслуживания промышленных приводов. Компания уже выпустила рекомендации по безопасности. Уязвимость представляет угрозу для некоторых промышленных предприятий.

Эксперт, инженер-аналитик компании «Газинформсервис» Никита Титаренко, подчёркивает важность своевременного обновления ПО. «Эта уязвимость позволяет злоумышленникам получить несанкционированный доступ к файлам на устройстве», — объясняет Титаренко. — «Потенциально атакующий может получить право читать, изменять или удалять критически важные данные (например, файлы конфигурации или чувствительную информацию). Кроме того, эксплуатация данной уязвимости может позволить атакующему повысить привилегии на хосте или выполнить произвольный вредоносный код».

Киберэксперт рекомендует устанавливать обновления безопасности как можно скорее. Если же нет возможности немедленно это сделать, то стоит прислушаться к общим рекомендациям компании по безопасности: к примеру, открывать файлы Drive Composer только из надёжных источников. «Учитывая сложность современных киберугроз, — добавляет он, — стоит также воспользоваться услугами SOC-центра, такого как GSOC, специалисты которого осуществляют постоянный мониторинг событий безопасности в корпоративной сети и выявляют попытки проведения атак на корпоративные ресурсы и эксплуатацию локальных уязвимостей».

Зарубежные эксперты заявляют, что платформа для интернет-магазинов Magento стала жертвой атаки с использованием скимминга кредитных карт. Виновником этого стал вредоносный скрипт, внедрённый в бесплатный диспетчер тегов от компании Google — Google Tag Manager (GTM).

Киберэксперт, аналитик L2 GSOC компании «Газинформсервис» Андрей Жданухин, отметил, что недавний инцидент с компрометацией сайтов на платформе Magento через внедрение вредоносного кода в Google Tag Manager (GTM) демонстрирует высокий уровень изощрённости современных атак на электронную коммерцию. Хакеры использовали GTM для внедрения скрипта, который незаметно перехватывал данные кредитных карт пользователей во время оформления заказа. Маскировка вредоносного кода под легитимные теги Google Analytics значительно усложняла его обнаружение, что подчёркивает важность постоянного мониторинга и аудита систем безопасности.

«Ключевую роль в защите от подобных угроз играет центр мониторинга безопасности, который с помощью SIEM-систем способен анализировать логи и сетевой трафик, выявляя аномалии и потенциальные атаки на ранней стадии. Например, GSOC использует современные платформы анализа угроз и может выявлять подозрительные изменения в GTM, несанкционированные скрипты и утечки данных, что значительно снижает вероятность успешной атаки. Интеграция SOC в инфраструктуру бизнеса помогает не только предотвращать такие инциденты, но и повышать общий уровень кибербезопасности, обеспечивая защиту критически важных данных клиентов», — подчеркнул киберэксперт.

Глобальная атака методом перебора паролей затронула миллионы сетевых устройств по всему миру, в том числе в России. Киберэксперт Михаил Спицын рассказал, как защитить сетевые устройства.

 По данным Shadowserver*, злоумышленники используют почти 2,8 миллиона IP-адресов ежедневно в попытках подобрать учётные данные к устройствам Palo Alto Networks, Ivanti, SonicWall и других производителей.

Атакующие IP-адреса находятся в Бразилии, Турции, России, Аргентине, Марокко и Мексике. Вектором нападения стали пограничные устройства безопасности — межсетевые экраны, VPN-шлюзы и прочие решения, обеспечивающие удалённый доступ.

По информации Shadowserver, атака длится уже несколько недель, но недавно активность резко возросла. В атаках задействованы маршрутизаторы и IoT-устройства от MikroTik, Huawei, Cisco, Boa и ZTE, часто используемые в ботнетах. Применение таких устройств в атаке указывает на возможное участие крупной сети заражённых узлов или сервисов резидентных прокси.

Резидентные прокси позволяют злоумышленникам скрывать свою активность, используя IP-адреса реальных пользователей интернет-провайдеров. Это усложняет обнаружение и блокировку атакующих, так как их действия выглядят, как обычный трафик. Хакеры могут направлять вредоносные запросы через корпоративные сети, используя их, как узлы выхода.

 «Без надёжной аутентификации и авторизации злоумышленники могут получать доступ к критически важной инфраструктуре компании, что может привести к серьёзным последствиям. Резидентные прокси могут быть использованы для маскировки, однако это не означает гарантированного успешного проникновения в систему. NAC-модуль (Network Access Control) способен обеспечить защиту, применяя многоуровневую проверку доступа и мониторинг сетевой активности. Например, Efros DefOps NAC обеспечивает централизованную сетевую идентификацию», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

*Shadowserver — организация, которая занимается мониторингом сетей и борьбой с киберпреступностью.

Роскомнадзор зафиксировал существенное снижение количества уведомлений об утечках персональных данных в 2024 году. Хотя общее число атак снизилось, отдельные инциденты стали сложнее и изощрённее. Киберэксперт Михаил Спицын рассказал, что обезопасить компании от утечек можно при помощи решений класса защищённых СУБД, таких как отечественная Jatoba.

«Утечки данных из организации — это репутационный риск для бизнеса, а чувствительная информация — предмет продажи на теневых форумах и также предмет шантажа. В связи с этим ужесточение ответственности — мотивация организаций к усилению защиты. Выполнить требования регуляторов и укрепить защиту репутации компании поможет отечественное решение СУБД. И, например, СУБД Jatoba предоставляет широкие возможности для надёжной и безопасной обработки данных в критически важных инфраструктурах», — говорит Спицын.

По данным Роскомнадзора, в 2024 г. зафиксировано 200 уведомлений об утечках персональных данных по сравнению с 380 в 2023-м. Это связано с усилением мер кибербезопасности и эффективной работой систем защиты. Несмотря на общую положительную динамику, Роскомнадзор отмечает рост сложности и изощрённости отдельных инцидентов. По данным ведомства, наибольшее количество утечек в 2024 году произошло в компаниях сферы торговли и услуг (в 2023 году лидировали страховые, медицинские, торговые и образовательные организации).

Напомним, российские компании обязаны сообщать о любых утечках персональных данных в Роскомнадзор в течение 24 часов.

Microsoft обнаружила новую тактику кибератак, при которой злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Киберэксперт Михаил Спицын рассказал, как не стать жертвой новой кибератаки.

Проблема связана с разработчиками, использующими статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.

Machine Keys предназначены для защиты ViewState от подделки и утечек данных. Однако хакеры находят публично доступные ключи и используют их для создания вредоносных ViewState, содержащих специально подготовленный код аутентификации сообщений (Message Authentication Code, MAC). При обработке таких ViewState IIS-сервер загружает их в память рабочего процесса и выполняет, что позволяет атакующим исполнять код удалённо и загружать дополнительное вредоносное ПО.

Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак.

 «Человеческий фактор нередко приводит к печальным результатам, разработчикам следует понимать, что статические ключи должны быть уникальными и защищёнными. Размещение таких данных в открытых репозиториях или документах эквивалентно предоставлению злоумышленникам несанкционированного доступа к системе. Чтобы защититься от несанкционированного доступа и выполнения вредоносного кода, рекомендуется иметь софт, позволяющий отслеживать возможные вредоносные процессы на устройстве: это те, что отклоняются от базовой линии поведения. И, например, платформа расширенной аналитики Ankey ASAP благодаря анализу действий пользователей и устройств сигнализирует о возможной вредоносной активности, позволяя прервать цепочку событий», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.