⚡️ Не волнуйтесь, РКН тут не при чём!
Просто Cloudflare глобально прилёг.

Вчера только объявили о покупке Replicate, и сразу на тебе. ИИ-революция подкралась, откуда не ждали

@П2Т

🎁 Вам премия! И смените пароль.

В среднем 40% сотрудников переходят по подозрительным ссылкам, но это число повышается до 66,5%, если письмо посвящено расчёту премий. Такова печальная статистика анализа тренировочных фишинговых рассылок, который совместно провели специалисты «Лаборатории Касперского» и МегаФона. Также (зря) вызывают доверие оповещения о смене паролей и нарушении корпоративных политик.

Попав на мутную фишинговую страницу, каждый четвёртый адресат (10% от всех протестированных сотрудников) вводит конфиденциальные данные, а 9% открывают вложения, которые в реальных кибератаках были бы вредоносными.
Наибольшее доверие у сотрудников вызывают письма якобы от HR-, финансового и ИТ-отделов.

Только систематическое обучение зримо улучшает ситуацию. Среди прошедших тренинги лишь 7% открывают подозрительные письма, 2% переходят по сомнительным ссылкам и 0,2% вводят данные на целевой странице — то есть показатель успеха гипотетической атаки снижается в 190 раз.

Бизнесы начинают понимать это, поэтому 95 % корпоративных клиентов ежегодно повторяют учебные мероприятия. Кроме регулярного обучения и тренингов, важно адаптировать программу и список тем к должности и риск-профилю сотрудника.
Чтобы реализовать такой систематический подход, оцените возможности Kaspersky Automated Security Awareness Platform.

#советы @П2Т

🔎 Ботнеты разбушевались

Общедоступное оптоволокно и изобилие IoT подпитывают гонку вооружений DDoS. Microsoft поделилась информацией об очередном рекордном инциденте, в котором единичный endpoint Azure в Австралии стал мишенью DDoS на 15,72 Тб/с и 3,64 млрд пакетов в секунду. Атака состояли из UDP flood с полумиллиона IP. Azure, к его чести, выдержал, сервисы продолжали работать.

Источником атаки назван быстрорастущий ботнет Aisuru, который относят к классу Turbo-Mirai 😂. Он инфицирует камеры видонаблюдения и сетевые видеорекордеры, роутеры Zyxel, D-Link и Linksys. Ботнет был обнаружен в 2024 году, а в сентябре этого года вышел более подробный анализ его деятельности.

Ранее тот же ботнет провёл рекордную блиц-атаку, отражённую Cloudflare (22,2 Тб/с).

Но возможности Aisuru в будущем может опередить быстрорастущий конкурент RondoDox. Обнаруженный лишь в июле, он растёт экспоненциально и сочетает несколько примечательных свойств:

🔵 быстро расширяющийся список атакуемых устройств. В октябре отмечена эксплуатация более 50 уязвимостей в оборудовании 30 вендоров: DVR, NAS, роутеры и веб-серверы. Уже в ноябре в список попала CVE-2025-24893 в XWiki;
🔴 значительные усилия авторов, чтобы избежать обнаружения и анализа ВПО;
🟢 маскировка вредоносного трафика под популярные игры и сервисы: Valve, Roblox, Minecraft, OpenVPN, WireGuard и пр.

В преддверии праздников и распродаж всем онлайн-сервисам необходимо перепроверить, что они адекватно защищены против DDoS-атак нового уровня. Стоит обсудить со своим поставщиком DDoS-защиты проведение учений, чтобы заранее обнаружить и устранить любые проблемы в инфраструктуре.

#угрозы @П2Т

😴 ИБ и отдых

В Cyber Risk Alliance не поленились выпустить целую брошюру о том, что сотрудникам SOC и ИБ в целом нужно отдыхать.
По статистике треть ИБ-специалистов отмечает снижение эффективности и внимательности в четвёртом квартале, а 68% не могут отключиться от работы, даже если берут отпуск на длинные праздники.

Мы не удивлены: больше людей болеют и в отпусках, сотрудники компании чаще попадаются на всякий фишинг и совершают другие ошибки, на оставшихся специалистов SOC валится больше работы. Чтобы специалисты не выгорали, предлагается простая трёхходовочка:

1️⃣Layered readiness: за этими красивыми словами скрываются активное использование ИИ для приоритизации алертов и сбора всего контекста, что упрощает первичный анализ инцидентов. Также нужна продуманная ротация смен, позволяющая людям работать с разной нагрузкой в разные дни и достаточно отдыхать между сменами.
2️⃣Resilience rhythms: обязательно встраивать микро-перерывы в рабочие процессы, чтобы аналитик мог переключиться и расслабить глаза и голову между работой над двумя алертами.
3️⃣Clear communication: этот общий термин скрывает чёткое определение рабочих периодов и всеми принятое обязательство не дёргать людей в определённые (нерабочие для них) часы.

За рамками этой схемы также говорят о важном — во многих компаниях по-прежнему есть «культура героизма», где переработки и постоянное присутствие на связи поощряются. В долгосрочном периоде это приводит к истощению ИБ-спецов и ошибкам в работе.

В брошюре отсутствуют практические пошаговые рекомендации, но их можно найти у нас в канале: вот советы по графику дежурств SOC, а вот конкретные примеры того, как в нашей SIEM ИИ реально снижает нагрузку и упрощает работу аналитиков.

#советы @П2Т

🌐 Шире поддержка passkey, Apple защитит от ИИ, а Firefox — от отпечатков, и другие важные новости конфиденциальности и личной ИБ

🐩 Вышел Firefox 145 с усиленной защитой от сбора отпечатков браузера. Новые способы защиты от fingerprinting пока работают только в приватном режиме и при активации enhanced tracking protection. Но в будущем обещают включить их по умолчанию.

🍏 Apple обновила требования к разработчикам — нужно получать явное согласие пользователей на отправку любых данных из приложения в сторонние ИИ.

📱 Под давлением возмущённой общественности Google отказались от планов блокировать установку приложений «непроверенных» разработчиков. С некоторыми сложностями установить не одобренное в Маунтин-Вью ПО всё же будет можно.

✅ А также Google планирует отмечать в Google play приложения, которые избыточно тратят батарею в фоновом режиме. Следующая остановка — доска позора 🙈

🔑 Хорошие новости для любителей ключей доступа — начиная с ноябрьского обновления, Windows 11 поддерживает сторонние менеджеры паролей при работе с passkey.

🗑 Плохие новости для них же: если вы перешли на passkey для входа в X/Twitter, вероятно ваш аккаунт качественно заблокирован. Смелый Элон решил отключить домен twitter.com, и сделал в ноябре следующий шаг — на twitter.com более недоступна аутентификация. Поэтому попытки войти со старым ключом доступа приводят к ошибке.

📡 Если вы пользуетесь Интернетом в самолёте, весьма вероятно, что ваш трафик буквально вещают на полмира без всякого шифрования. Поэтому шифрование обязательно добавлять своими силами.

👀 Гигант доставки еды DoorDash сообщил о крупной утечке личных данных. Интересно сравнить PR-методичку с утечкой из Яндекс.Еды.

🕵️‍♂️ Европейские СМИ провели исследование практик брокеров данных, приводящих к сбору информации о европейцах, включая госслужащих и военных. Как мы прекрасно понимаем, ничего хорошего они не нашли — изобилие данных позволяет осуществлять целевой шпионаж и подрывать национальную безопасность. Борьба с ADINT (advertising based intelligence) только начинается.

❔ Чтение на выходные: сводные рейтинги приватности для мессенджеров и соцсетей. На диво неплохо выступили Linkedin и Telegram.

#дайджест @П2Т

⏭ В ботнетах тоже есть маркетплейсы, аэрокосмический шпионаж, кража данных из Signal, и другие интересные исследования APT за неделю

🈁Анализ примечательного ботнета Tsundere, заражающего Windows-компьютеры. Он получает адреса С2 из блокчейна Ethereum, выполняет присланные сервером произвольные нагрузки на Javascript, и позволяет любому «арендатору» ботнета не только написать свою вредоносную нагрузку, но и продать её другим злоумышленникам.

🐈‍⬛  Разбор обновлённого инструментария APT ToddyCat, преимущественно используемого для похищения почтовой переписки целевых компаний.  Примечателен инструмент TCSectorCopy, специально разработанный для похищения данных из открытых и заблокированных процессом Outlook файлов .ost.

🗿 Технический анализ загрузчика SNOWLIGHT, применяемого в атаках UNC5174 и ранее известного лишь в Linux-версии. Его Windows-вариант разворачивает бэкдор VShell.

🔵Разбор разновидностей и TTPs вымогателей, шифрующих корзины Amazon S3, БД RDS и другие хранилища жертвы в инфраструктуре AWS.

🟢Неизвестная ранее группировка NGC6061 проводит целевые фишинговые атаки на госорганы РФ. Документы-приманки имеют встроенный трекинг жертв, а конечной нагрузкой в атаке являются обратные шеллы.

🟢Анализ атак APT24 с применением загрузчика BADAUDIO. Атаки преимущественно нацелены на Windows-компьютеры тайваньских организаций,  векторы проникновения разнообразны: от целевого фишинга до атак на водопой (watering hole).

🪲  Разбор обширного арсенала Windows- и Linux-имплантов APT UNC1549, компрометирующей ближневосточные организации в аэрокосмической отрасли с целью шпионажа. Группировка использует доступ в атакованные организации для рассылки целевого фишинга их контрагентам, повышая шансы успешной компрометации новых жертв.

😈 Детальный анализ кампании APT Dragon Breath/APT-Q-27, распространяющей модифицированную в версию gh0st RAT и нацеленную на китаеязычных пользователей и обход популярных в Китае СЗИ.

〰️ Статистика киберугроз в третьем квартале: десктопы и серверы, мобильные устройства. С атаками шифровальщиков столкнулись почти 85 тыс. пользователей, печальное лидерство принадлежит Qilin. На Android примечательно агрессивное распространение банковского троянца Coper, потеснившего с первого места Mamont по числу атакованных пользователей.

🟣Анализ кампании SpearSpecter, которую APT42/Mint Sandstorm/CharmingCypress проводят против конкретных высокопоставленных лиц в госструктурах и оборонной индустрии на Ближнем Востоке. Жертвам устанавливают бэкдор TAMECAT.

🟣В атаках вымогателей отмечено использование постэксплуатационного фреймворка Tuoni C2. (краткая версия, полный PDF)

🟣Обзор ВПО и TTPs появившейся летом вымогательской группировки The Gentlemen.

🟢В фишките Sneaky2FA появилась новая уловка, упрощающая перехват паролей и кодов 2FA —  browser-in-the-browser.

🟣Немного устаревшие роутеры Asus WRT таргетирует WrtHug — операция по превращению устройств в домашние прокси для сдачи в субаренду злоумышленникам. Поражённые устройства находятся в США, России, ЮВА и Европе.

🟣Технический анализ Android-банкера Sturnus, способного в числе прочего извлекать переписку из приватных мессенджеров, после того как она расшифрована самим мессенджером.

🙄 Cloudflare выложили разбор вторничного инцидента, который не был кибератакой, а был сбоем нового антибот-модуля в прокси-сервисе FL2, написанного на Rust  (но Rust не при чём, мы просто разжигаем).

✔️ В будущих релизах Windows 11 из коробки будет Sysmon.

#APT #дайджест @П2Т

🟢 Kaspersky Security Bulletin: финансовый сектор

Эксперты «Лаборатории Касперского» начали подводить итоги года — в этом году ключевые тенденции, значимые события и прогнозы на 2026 сгруппированы по отраслям.

Начнём с финансовой отрасли.

▶️За год 8,15% пользователей в финансовом секторе столкнулись с онлайн-угрозами;
▶️12,8% финансовых организаций повстречались с вымогателями;
▶️зафиксировано 1 338 357 атак банковских троянцев.

Злоумышленники освоили атаки на цепочку поставок, где компрометация подрядчиков иногда приводила к последствиям даже для национальных платёжных систем (злоупотребление системой PIX в Бразилии).

Преступные группы всё чаще совмещают физические и цифровые методы для повышения эффективности мошенничества, например подкупают инсайдеров в атакуемой компании. В целом киберпреступность и традиционная организованная преступность постепенно сливаются.

📌 Больше статистики, подробностей, а главное — предсказаний, к чему готовиться защитникам финансовой индустрии, ищите на специальном сайте Kaspersky Security Bulletin.

#статистика @П2Т

🗣 Чего ждать от XDR в 2025-2026 году

Решения XDR продолжают развиваться, следуя требованиям практиков ИБ, изменению ландшафта киберугроз и развитию законодательства. Эволюционирует всё: от более широкого применения автоматизации и LLM и обработки новых видов телеметрии до популяризации открытой архитектуры и уточнения места XDR в общей архитектуре ИБ.

Как это происходит в России, какие возможности появляются у отечественного бизнеса и что предлагает Kaspersky Symphony XDR — расскажем на онлайн-стриме в ближайший четверг! Обсудим:

▶️ эволюцию XDR в мире, в России и в «Лаборатории Касперского»;
▶️ XDR vs набор продуктов. Вечный вопрос о ценности для бизнеса;
▶️ жизнь — лучший сценарист: обзор возможностей по плейбукам;
▶️ подробные ответы на ваши вопросы!

Встречаемся в этот четверг: 27 ноября 2025 в 11:00 (МСК).
Нужна предварительная регистрация.

Зарезервировать место на вебинаре ⟶
#события @П2Т

🌪 Cloud Threat Modelling 2025

Cloud Security Alliance обновили своё руководство по моделированию облачных угроз, впервые выпущенное в 2021 году. Документ не является готовым фреймворком. Он даёт рекомендации по выбору подхода к моделированию, содержит обзор имеющихся фреймворков, а главное — подчёркивает аспекты, которые должны быть учтены в выбранном фреймворке и наборе инструментов, чтобы адекватно отразить реалии облачной инфраструктуры. Ведь не каждый инструмент моделирования позволяет адекватно учесть serverless-нагрузки, гибридные облака и одновременное использование нескольких облачных провайдеров, разделение ответственности за ИБ; далеко не все адекватно интегрированы с CSMP и IAM, или способны проанализировать конфигурацию инфраструктуры на базе данных IaC.

Обновления руководства по сравнению с версией 2021 года значительны. Самое крупное — отражены реалии проникновения ИИ в организации и влияние ИИ на безопасность облаков. Также предложены современные инструменты для автоматизации моделирования.

Документ не теоретический — почти по всем темам предложены пошаговые меры и даже метрики, позволяющие итеративно улучшать модель по мере развития организации.
В первую очередь руководство предназначено для архитекторов облачных систем, аналитиков угроз, разработчиков и DevSecOps, а также специалистов по оценке рисков.

#советы @П2Т

☝️ ИБ-бюджет в 2026, харденинг Exchange, консолидация ИБ-инструментов, и другие полезные посты ноября

В ноябре был Cloudflare и много разных новостей ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, на выходных как раз можно наверстать упущенное!

🔵руководство по харденингу Exchange on-premises;
🔵словарь ИИ-терминов с пояснениями по безопасности;
🔵как CISO верстают бюджет 2026 года;
🔵злоупотребление Finger в атаках ClickFix;
🔵подборка видео докладов с недавних ИБ-конференций;
🔵самые эффективные приманки в фишинг-симуляции;
🔵статистика киберугроз в финансовом секторе и прогнозы на 2026;
🔵внедрение ПКШ: обзор и статистика от Cloudflare;
🔵зачем ваш сайт злодеям чёрного SEO и как вовремя обнаружить атаку;
🔵больше инструментов ИБ — меньше безопасность?!

#дайджест @П2Т

🗣 Экосистема ИБ — эффективность или зависимость?

Когда: 3 декабря 2025 в 11:00 (МСК)

Повышение требований к ИБ, дефицит кадров и бюджетные ограничения побуждают бизнес переходить от закупки «набора коробок» к внедрению платформ и экосистем. Экосистемный подход обещает меньше проблем с интеграцией, единые плейбуки и измеримый эффект (MTTD/MTTR, доступность, простои), но усиливает опасения избыточной зависимости от одного производителя, venor lock-in.

Есть ли тут золотая середина? Можно ли извлечь выгоды экосистемности, при этом снизив риски зависимости? Как внедрять экосистемные решения, оценивать результат, как планировать сценарий возможной смены поставщика?
Об этом эксперты разных секторов ИБ-индустрии поговорят на онлайн-конференции AM-Live! Обсудим:

▶️ реальные изменения в экосистемах в 2025 году, что удалось улучшить по сравнению с 2024;
▶️ где экосистема даёт ощутимый ROI за счёт консолидации стека и автоматизации, какие ещё метрики фиксировать;
▶️ как сформулировать «техзадание на результат»;
▶️ как выстроить 90-дневный план пилота экосистемы;
▶️ механики выхода (exit strategy), совместимость и стандарты обмена данными.

👤 От «Лаборатории Касперского» выступит Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервиса.

Встречаемся в среду: 3 декабря 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🐍 Возвращение Tomiris и Shai Hulud, шпионы против вымогателей и другие интересные исследования APT за неделю

❕ APT Tomiris, отслеживаемая нами с 2021 года и проводящая шпионские атаки на государственные и межправительственные организации в среднеазиатских государствах, значительно обновила инструментарий. В новых атаках применяются фреймворки Adaptix C2 и Havoc, а также добрый десяток имплантов первого этапа, написанных на Rust, Go, C#, PowerShell, и др.

🟢Также в регионе зарегистрированы новые атаки APT Bloody Wolf, на сей раз фишинговые PDF приводят к установке NetSupport RAT.

⚪️Новая версия «офисной» атаки с угоном аккаунта Госуслуг — жертв приглашают в Telegram-чат, якобы принадлежащий их компании, где HR просит всех сотрудников прислать ФИО и дату рождения для актуализации баз данных по пенсии. Все «коллеги» в многолюдном чате — фальшивые. Схема любопытная, предупредите коллег.

🟣Shai Hulud v2 снова навёл шороху в npm, а затем и в Maven. «Нулевым пациентом» стали популярные пакеты PostHog, а затем червь заразил более 500 различных пакетов. Модифицированная версия ВПО успешно работает в Windows и Linux, глубоко компрометирует среду CI/CD и извлекает из неё все возможные секреты, снова выкладывая их репозиторий GitHub от имени жертвы. Если атака не удалась из-за отсутствия токенов с правами на публикацию, червь уничтожает все доступные файлы в папке пользователя.

🟣Интересный случай столкновения интересов: в одном инциденте были обнаружены артефакты присутствия шпионской APT QuietCrabs/UNC5221/APT27 и вымогательской группировки Thor, причём последние ненароком демаскировали первых. Атакующие эксплуатировали свежие CVE в SharePoint и Ivanti EMM, разворачивая у жертвы ВПО KrystyLoader, Silver, а также инструменты Tactical RMM и MeshAgent.

🔵Детальный разбор атак APT PlushDaemon, в которых для заражения жертв хорошо известным ВПО SlowStepper сначала компрометируется сетевое устройство, которым хотя бы иногда пользуется жертва. На роутеры устанавливают ВПО EdgeStepper, которое манипулирует DNS и проводит AiTM-атаки, подсовывая вредоносные файлы в момент, когда легитимное ПО на компьютере жертвы пытается установить обновления.

🟣Статистика атак, связанных с шоппингом — аккурат к пятнице известного цвета и киберпонедельнику. В этом сезоне, например, было отмечено более миллиона атак банковских троянцев.

🟣Разбор атак APT31, нацеленных на промышленный шпионаж и кражу интеллектуальной собственности в российских ИТ-компаниях. Атакующие используют целевой фишинг для разворачивания целой батареи вредоносного ПО, включая COFFProxy YaLeak CloudyLoader и OneDrivedoor.

🔵Очередное усложнение атак ClickFix — установка ВПО идёт аж в четыре этапа, и код последнего этапа достают из картинки, где он смешан с пикселями — полноценная стеганография.

🟢У OpenAI утекли имена, емейлы и некоторые другие данные части пользователей API. Утечка произошла у поставщика веб-аналитики, MixPanel. Основной угрозой жертвам утечки является убедительный фишинг.

⚪️Серьёзный недостаток сервисов и опасная ошибка пользователей. Сайты для онлайн-оформления кода и данных JSONFormatter и CodeBeautify позволяют легко скачать недавно прошедший через них код других пользователей — а в нём зачастую оставляют ключи API, учётные данные и многое другое.

🔵Длинный список файлов, в которых можно словить ВПО, пополнили 3D-модели Blender. Через маркетплейсы моделей реально распространяют стилер StealC v2.

🟢Microsoft назвала фишкит Tycon2FA/Storm-1747 самым активным в этом году — в этой инфраструктуре только в октябре провели 13 млн атак, и 25% всех атак с применением QR-кодов.

🟣Greynoise выкатили сервис, на котором можно проверить, не сидят ли ваши роутер или холодильник в ботнете.

#APT #дайджест П2Т

🔥 NGFW против уязвимости WSUS

Закрытый в рамках октябрьского Patch Tuesday дефект CVE-2025-59287 (CVSS 9.8) в Windows Server Update Service, приводящий к выполнению произвольного кода, надолго запомнится чередой неэффективных патчей, которые к тому же нарушали нормальный цикл обновлений на уязвимых серверах. Уязвимостью уже вооружились злоумышленники, поэтому её устранение критически важно.

Грамотная архитектура ИБ позволяет организациям защититься от эксплуатации этого и подобных дефектов. В новой статье разобрали, как обнаруживают уязвимость и предотвращают её эксплуатацию различные наши решения: EPP, EDR, KATA/NDR и NGFW. Тем, кто предпочитает один раз увидеть — короткое видео с участием NGFW. Межсетевой экран предотвращает отправку эксплойта на уязвимый сервер и фиксирует факт атаки.

#видео #NGFW #Microsoft @П2Т

🚀 Инфостилеры на марше

В адвент-календаре Kaspersky Security Bulletin пополнение — эксперты «Лаборатории Касперского» поделились общей статистикой обнаруженных за год киберугроз. Число задетектированных вредоносных файлов выросло на умеренные 7%, но вот инфостилеры показали значительный рост — их стало на 59% больше, чем годом ранее.

Эта категория угроз росла опережающими темпами во всех регионах, но рекорд принадлежит АТР. В Азии детектировали на 132% (!) больше стилеров, чем годом ранее. Второе место у стран СНГ с тоже впечатляющим ростом 67%.

Украденные учётные данные остаются вторым по эффективности способом проникновения в организации. Поэтому операторы ransomware охотно платят операторам инфостилеров за эту информацию.

📌Рекомендации по защите от этой угрозы и более подробная статистика доступны на сайте Kaspersky Security Bulletin.

#статистика @П2Т

🧐 Киберразведка, исследования ИБ или сетевая безопасность: что выберете вы?

Мы запустили онлайн-проект о профессиях в кибербезопасности. Это интерактивный помощник для всех, кто задумывается о работе в ИБ — он поможет выбрать подходящую специализацию и расскажет о навыках, необходимых для успешной карьеры.

Что внутри:
🟢карта «Кому полезно развитие в ИБ?». Спойлер: практически всем — от студентов до опытных ИТ-специалистов;
🟢тест с персональными рекомендациями по профессиональному пути в кибербезе;
🟢карточки профессий в ИБ – основные задачи и инструменты, возможные позиции, рекомендуемые курсы;
🟢знакомство с нашей командой кибергероев.

Подробности по ссылке.