Опрос
|
реклама
Быстрый переход
Встроенная в DDR5 защита от атаки Rowhammer оказалась с дырой — любую современную систему можно взломать
16.09.2025 [12:59],
Геннадий Детинич
Исследователи обнаружили уязвимость модулей оперативной памяти стандарта DDR5 к атакам типа Rowhammer, хотя эта память должна была быть в значительной степени от них защищена. Последние спецификации DDR5 предусматривают защиту от злонамеренного переключения битов в чипах ОЗУ, но атака «Феникс» (Phoenix) проделала в ней брешь и привела к появлению инструментов для взлома самых современных компьютерных платформ. ![]() Источник изображения: www.bleepingcomputer.com Уязвимость чипов DDR5 к атакам типа Rowhammer показала сводная группа исследователей из отдела компьютерной безопасности (COMSEC) Швейцарской высшей технической школы Цюриха (ETH Zurich) и компании Google. Они изучили механизмы защиты самой распространённой памяти DDR5 производства компании SK hynix, доля которой на рынке достигает 36 %. Впрочем, это не означает, что память DDR5 других производителей свободна от этой уязвимости. Безопасных чипов, похоже, не существует. Атака Rowhammer, напомним, строится на увеличении частоты обращений к определённым ячейкам памяти. Это вызывает рост паразитных токов утечек в ячейках, что затрагивает соседние с ними ячейки DRAM. Следствием этого становится переключение битового состояния ячеек, непосредственно не атакуемых, а, например, в защищённых областях памяти. Такая атака позволяет злоумышленнику повысить привилегии в системе, извлечь ключ шифрования и сделать много других неприятных для пользователя вещей на атакуемом компьютере. После изучения встроенных в память DDR5 SK hynix решений по защите от атак Rowhammer группа учёных обнаружила слепые зоны в механизме Target Row Refresh (TRR), который предотвращает инверсию битов, отправляя дополнительную команду обновления при обнаружении частого обращения к определённой строке. Оказалось, что при работе TRR существуют интервалы, когда атака остаётся не скомпенсированной. В частности, для исследуемой памяти это оказались интервалы обновления 128 и 2608. Если атака синхронизирована с процессами защиты TRR, то она производится точно в то время, когда на неё не будет реакции от системы защиты. На основе выявленной уязвимости, получившей название Phoenix, исследователи создали эксплоит для повышения уровня привилегий в системе. Во время тестирования потребовалось менее двух минут, чтобы получить root-права «на стандартной системе DDR5 с настройками по умолчанию». Кроме того, исследователи изучили возможность практического применения атаки Phoenix для получения контроля над целевой системой. При нацеливании на записи таблицы страниц (PTE) для создания произвольного примитива чтения/записи в память они обнаружили, что все протестированные продукты уязвимы. В ходе другого теста исследователи замахнулись на ключи RSA-2048 в виртуальной машине, расположенной в том же месте, чтобы взломать аутентификацию по SSH, и обнаружили, что 73 % модулей DDR5 не обеспечили защиты. В настоящее время уязвимость Phoenix отслеживается как CVE-2025-6202 и имеет высокий уровень опасности. Она затрагивает все модули оперативной памяти DDR5, выпущенные в период с января 2021 года по декабрь 2024 года. Все 15 протестированных модулей памяти DDR5 компании SK hynix имели те или иные уязвимости к атаке Phoenix или даже полный комплект уязвимостей. В качестве варианта для защиты от атак Phoenix и других подобных исследователи предложили в три раза уменьшить время регенерации памяти (tRFC). Это «собьёт с толку» уже созданные для атаки эксплоиты, но следует добавить, что уменьшение интервала регенерации памяти скорее всего приведёт к падению производительности системы. Остаётся полагаться на производителей памяти и чипсетов, чтобы они создали механизмы защиты теперь уже от атак типа «Феникс», чтобы атака Rowhammer больше не смогла возродиться из пепла, как легендарная птица, давшая имя новой уязвимости. Хакеры украли данные миллионов клиентов Gucci и Balenciaga, включая информацию о покупках
16.09.2025 [12:24],
Антон Чивчалов
Киберпреступники похитили персональные данные миллионов клиентов люксовых брендов одежды Gucci, Balenciaga и Alexander McQueen, передаёт BBC. В результате атаки скомпрометированы имена, адреса (электронные и обычные), телефоны и суммы покупок, однако финансовая информация не пострадала. ![]() Источник изображения: Samuel Regan-Asante/Unleashed Инцидент произошёл ещё в апреле этого года, но широко известно о нём стало только сейчас. Злоумышленники получили временный доступ к внутренним системам компании Kering — материнской структуры вышеупомянутых брендов. Представители Kering уже подтвердили факт утечки и добавили, что о произошедшем уведомлены как клиенты, так и соответствующие государственные органы. Хакер, стоящий за этой атакой, называет себя Shiny Hunters. Он утверждает, что располагает данными, связанными с 7,4 млн уникальных электронных адресов жертв кибератаки. В распоряжении BBC есть образец украденной информации, включающий несколько тысяч записей. Предварительная проверка подтвердила их подлинность. В частности, среди них есть сведения о суммах покупок. Некоторые клиенты приобретали товары на суммы до $86 тыс. По словам представителя Kering, в июне компания выяснила, что «несанкционированная третья сторона получила временный доступ к нашим системам и к ограниченным данным клиентов некоторых брендов. Финансовая информация, такая как номера банковских счетов, банковских карт и государственные идентификаторы, не затронута». Сам Shiny Hunters сказал, что пытался вести переговоры с Kering о выкупе утёкших данных за биткоины, но в Kering отрицают факт вступления в такие переговоры и добавляют, что полностью следуют рекомендациям правоохранительных органов. Ранее происходили похожие атаки на два других люксовых бренда — Cartier и Louis Vuitton. Пока неизвестно, связаны ли эти инциденты между собой. По данным Google, Shiny Hunters может быть не хакером-одиночкой, а группой хакеров, также обозначаемой как UNC6040. Она активно пользуется методами социальной инженерии. Хакеры научились внедрять невидимые вредоносные запросы к ИИ в изображения
26.08.2025 [20:39],
Сергей Сурабекянц
Атака с внедрением подсказок — это способ сделать инструкции для системы искусственного интеллекта невидимыми для оператора-человека. Исследователи из Trail of Bits обнаружили, что такие инструкции можно скрывать в изображениях, делая текст невидимым для человеческого глаза. При последующей загрузке изображения в систему ИИ и его сжатии нейросетью подсказка становится доступной для распознавания, расшифровывается и может быть выполнена — всё это абсолютно незаметно для человека. ![]() Источник изображения: unsplash.com Инструменты ИИ сегодня популярны даже среди пользователей, не слишком разбирающихся в традиционном ПО или вопросах безопасности, и это открывает множество новых возможностей для хакеров. Исследовательская группа Trail of Bits показала способ скрывать атаки с внедрением подсказок, используя сжатие изображений при их загрузке в систему ИИ. Хорошая аналогия — скрытый фишинг в электронном письме, где текст окрашен тем же цветом, что и фон: человек его не заметит, а нейросеть прочитает и, возможно, выполнит. В примере, представленном Trail of Bits, при загрузке изображения с внедрённой подсказкой в Gemini бэкенд Google сжимает его для экономии пропускной способности и вычислительных ресурсов. В результате скрытый текст становится видимым для нейросети, и подсказка успешно внедряется, например сообщая Gemini о необходимости передать данные из личного календаря пользователя третьей стороне. ![]() Источник изображения: Trail of Bits Безусловно, такой метод требует значительных усилий ради получения относительно небольшого объёма персональных данных, причём и сама атака, и изображение должны быть адаптированы под конкретную систему ИИ. Пока нет доказательств того, что метод активно используется злоумышленниками. Но это показательный пример того, как на первый взгляд безобидное действие может превратиться в вектор атаки. Хакеры похитили личные данные клиентов Cisco, выманив пароль по телефону
05.08.2025 [19:50],
Сергей Сурабекянц
Сегодня компания Cisco сообщила, что 24 июля хакеры получили доступ и экспортировали «подмножество базовой информации профиля» из базы данных сторонней облачной системы управления взаимоотношениями с клиентами (предположительно CRM компании Salesforce). По утверждению Cisco, киберпреступники воспользовались голосовым фишингом (вишингом — vishing, от voice phishing), обманом убедив представителя Cisco предоставить им доступ. ![]() Источник изображений: unsplash.com Cisco сообщила, что украденные данные включали «имя клиента, название организации, адрес, назначенный Cisco идентификатор пользователя, адрес электронной почты, номер телефона и метаданные, связанные с учётной записью», такие как дата создания учётной записи. Компания не уточнила, сколько её пользователей пострадало от этой утечки. Cisco является известным клиентом Salesforce. По мнению специалистов Bleeping Computer, утечка данных Cisco может оказаться результатом одной из целой серии атак, нацеленных на данные компаний, пользующихся услугами сервисов Salesforce. Среди целей преступников — американский страховой гигант Allianz Life, ритейлер предметов роскоши Tiffany, австралийская авиакомпания Qantas и многие другие известные компании. ![]() Salesforce — американская компания, разработчик одноимённой CRM-системы, предоставляемой заказчикам исключительно по модели SaaS (software as a service — «программное обеспечение как услуга»). Под наименованием Force.com компания предоставляет PaaS-систему для самостоятельной разработки приложений, а под брендом Database.com — облачную систему управления базами данных. Роскомнадзор: утечки данных при хакерской атаке на «Аэрофлот» не было
01.08.2025 [09:37],
Антон Чивчалов
Роскомнадзор не подтвердил утечку данных при недавней масштабной кибератаке на «Аэрофлот». «По состоянию на 14:00 31 июля 2025 года информация о возможной утечке данных из компании не получила подтверждение», — заявили в ведомстве, цитату приводит РИА «Новости». ![]() Источник изображения: Ivan Shimko / unsplash.com 28 июля 2025 года «Аэрофлот» подвергся одной из крупнейших хакерских атак в истории российской авиации. Целый ряд информационных систем авиаперевозчика вышли из строя, были отменены около 20 % рейсов. Ответственность за атаку взяли на себя две хакерские группы. По их собственным утверждениям, им удалось «уничтожить» около 7000 виртуальных и физических серверов компании, а также похитить 22 терабайта данных, в том числе персональные сведения клиентов и сотрудников авиаперевозчика. Именно последний факт отрицают в Роскомнадзоре. Некоторые эксперты считают утверждения киберпреступников преувеличенными. Так, директор департамента расследований T.Hunter Игорь Бедеров заявил в интервью «Ведомостям», что невозможно уничтожить такое количество IT-инфраструктуры в одной атаке. Генеральная прокуратуре РФ возбудила уголовное дело о неправомерном доступе к компьютерной информации. Атаки хакеров на промышленность стали более узконаправленными
30.07.2025 [08:37],
Владимир Фетисов
За первые шесть месяцев 2025 года количество кибератак на промышленные предприятия превысило 7,5 тыс., что втрое меньше по сравнению с аналогичным показателем 2024 года. Снижение в основном касается массовых и низкоквалифицированных атак, которые легко обнаруживаются и блокируются автоматическими средствами, тогда как количество сложных таргетированных атак (Advance Persistent Threat) растёт. Об этом пишет «Коммерсантъ» со ссылкой на данные RED Security SOC. ![]() Источник изображения: Mika Baumeister / Unsplash За отчётный период специалисты RED Security выявили две профессиональные группировки хакеров, которые осуществляли целенаправленные атаки на представителей промышленного сектора. Для этого злоумышленники задействовали кастомизированные инструменты против конкретных сотрудников или IT-систем предприятий. В зависимости от поставленной цели стоимость таких APT-атак может существенно варьироваться, однако в среднем организаций подобной кампании стоит не менее 1 млн рублей. Специалисты компания «Информзащита» и Positive Technologies оценивают рост АРТ-атак на промышленный сектор в первом полугодии 2025 года в 20 и 22 % по сравнению с прошлым годом соответственно. По данным RED Security, чаще всего злоумышленники атакуют сферы пищевой промышленности (29 %), нефтегазовый сектор (23 %) и машиностроение (17 %). Пищевая промышленность привлекает злоумышленников из-за высокой чувствительности к простоям, нефтегазовый сектор — из-за стратегической важности, а машиностроение — из-за ценной интеллектуальной собственности. Аналитик исследовательской группы Positive Technologies Валерия Беседина считает, что в текущем году ATP-группировки продолжат делать упор на проведении скрытных вредоносных кампаний, поскольку для них выгодно как можно дольше оставаться незамеченными в инфраструктуре жертв. Главный инженер ИБ-направления компании «Уралэнерготел» Сергей Ратников добавил, что ART-группировки обычно не атакуют напрямую хорошо защищённые цели. Вместо этого они пытаются провести атаку через слабое звено, например, компанию-подрядчика, IT-интегратора, поставщика программного или аппаратного обеспечения, уровень защиты которого ниже. Из-за этого вектор атак всё чаще смещается в сторону цепочек поставок. Хакеры научились обходить многофакторную авторизацию FIDO
22.07.2025 [16:09],
Павел Котов
Киберпреступники нашли способ кражи учётных данных для авторизации на сайтах даже в тех случаях, когда такая авторизация первоначально предусматривает работу с физическими ключами. Для этого они подключают резервный механизм входа через QR-коды — он срабатывает лишь в определённых сценариях. ![]() Источник изображения: charlesdeluvio / unsplash.com Ключи FIDO представляют собой аппаратные или программные средства аутентификации, которые при помощи криптографических решений обеспечивают безопасный вход на сайты и в приложения. Они выступают в качестве инструментов многофакторной авторизации, не позволяющих хакерам получать доступ к целевым аккаунтам, даже если они завладели учётными данными. Чтобы использовать аутентификатор, в большинстве случаев его необходимо физически подключить; но в некоторых случаях предусмотрен механизм сканирования QR-кода — он подвержен взлому при помощи атаки типа «посредник-злоумышленник» (AitM). Начальный этап атаки — фишинговое письмо, рассказали эксперты по кибербезопасности из компании Expel. Переход по ссылке из этого письма ведёт на целевую страницу, имитирующую внешний вид и функции стандартной процедуры авторизации. Обычно после ввода учётных данных требуется подключить физический ключ FIDO, но в сценарии хакеров потенциальной жертве выводится QR-код. Аварийное срабатывание резервного способа входа провоцируется искусственно — в фоновом режиме злоумышленники запрашивают «вход с нескольких устройств». Когда жертва сканирует QR-код, производится вход, и киберпреступники успешно входят в систему. Лучший способ защититься от такой атаки — включить функцию проверки непосредственной близости через Bluetooth, чтобы QR-коды срабатывали только на смартфоне, который находится рядом с компьютером пользователя. Можно также обучить работников компании выявлять подозрительные страницы входа, например, по URL-адресу. Наконец, ещё одним индикатором взлома могут служить подозрительные авторизации с помощью QR-кодов и новые регистрации FIDO — их можно отследить силами профильного отдела в компании. В России хотят наказывать за DDoS-атаки крупным штрафом или тюремным заключением
06.06.2025 [17:22],
Владимир Мироненко
В России планируют ввести ответственность за DDoS-атаки вплоть до тюремного заключения на срок до восьми лет, пишет «Коммерсантъ» со ссылкой на новый пакет мер по борьбе с киберпреступностью, разработанный Минцифры совместно с участниками IT-отрасли. В ведомстве сообщили, что в настоящее время документ находится на согласовании и может меняться с учётом поступающих предложений. ![]() Источник изображения: Moritz Erken/unsplash.com С 1 июня 2025 года в России вступил в силу закон о борьбе с телефонным и интернет-мошенничеством, которым предусмотрено более 30 мер, включая создание государственной системы «Антифрод» для обмена данными о подозрительных номерах и счетах, обязательную маркировку звонков, запрет на передачу SIM-карт третьим лицам и т.д. Новый пакет законодательных инициатив, получивший название «Антифрод 2.0», содержит несколько десятков новых мер, а также дополнения к уголовному, уголовно-процессуальному и административному кодексам. В частности, предлагается внести в УК статью 272.2 «Злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи», которой в качестве максимального наказания за DDoS-атаки предусмотрен штраф до 2 млн руб., лишение свободы до восьми лет и запрет занимать определённые должности до трёх лет. Преступное деяние описывается как целенаправленное воздействие на информационные и другие системы, сопряжённое с блокированием или уничтожением компьютерной информации, причинившее значительный ущерб или повлёкшее иные тяжкие последствия. Юристы и ИБ-специалисты назвали определение «целенаправленного воздействия» важным уточнением в проекте. «Привлекать к ответственности тех, кто обрушает сервисы, необходимо, но нужно точно определить, что именно считать атакой. Любой пользователь может ненамеренно создать нагрузку — вопрос в умысле и технологии», — отметил руководитель практики разрешения IT-споров в юрфирме «Рустам Курмаев и партнеры» Ярослав Шицле. Также эксперты подчеркнули, что важно определить объективные признаки нарушения (использование бот-сетей, аномальные запросы, повторяющиеся действия с одного IP и др.), чётко обозначить понятие умысла (координация действий, применение специального ПО, участие в киберпреступных группах) и установить порог ущерба (продолжительность сбоя, экономические потери, последствия для критических систем). В противном случае по этой статье могут понести наказание невиновные. Например, с DDoS-атакой можно также спутать кратное увеличение количества заказов на маркетплейсах и в интернет-магазинах, так как возможные последствия такого ажиотажа схожи с последствиями атаки, говорит замдиректора ЦК НТИ Тимофей Воронин. Хакеры похитили данные клиентов Coinbase, подкупив техподдержку — это может стоить криптобирже до $400 млн
16.05.2025 [18:36],
Владимир Фетисов
Американская криптовалютная биржа Coinbase столкнулась с серьёзными проблемами после раскрытия информации о крупной кибератаке, в результате которой были скомпрометированы данные части клиентов платформы. В заявлении компании сказано, что сумма ущерба от действий злоумышленников может составить от $180 млн до $400 млн. ![]() Источник изображения: Jefferson Santos / Unsplash Coinbase узнала о взломе 11 мая, когда неизвестный хакер прислал в компанию электронное письмо, в котором утверждал, что владеет конфиденциальной информацией о некоторых клиентских счетах и внутренней документацией Coinbase. По данным компании, злоумышленники могли получить доступ к именам клиентов, их почтовым адресам, адресам проживания, зашифрованным номерам банковских счетов и номерам социального страхования. При этом особо отмечается, что пароли, приватные ключи или прямой доступ к средствам клиентов хакерам получить не удалось. По словам представителей Coinbase, атака была организована через сеть подрядчиков и сотрудников службы поддержки, находящихся за пределами США, которых попросту подкупили для получения доступа к внутренним системам. Компания уже уволила всех причастных к этому инциденту сотрудников, а также уведомила клиентов, чьи данные могли быть скомпрометированы. Также отмечается, что Coinbase отказалась платить выкуп в размере $20 млн, который требовал хакер в обмен на неразглашение данных клиентов платформы. Вместо этого компания сотрудничает с правоохранительными органами, а также создала фонд в размере $20 млн. Эти средства получат те, кто предоставит информацию, которая приведёт к аресту злоумышленников. Компания также усилила меры безопасности, включая систему мониторинга потенциально мошеннической активности, и пообещала выплатить компенсации клиентам, которых хакеры обманом вынудили перевести свои средства. Среди посетителей интернет-магазинов стало больше роботов, чем людей
02.05.2025 [17:58],
Павел Котов
Интернет вступил в новую эру, когда трафик автоматизированных систем генерирует больше веб-активности, чем живые пользователи Сети, гласят результаты нового исследования. Владельцам ресурсов придётся развёртывать всё более сложные средства защиты от атак. ![]() Источник изображения: Shoper / unsplash.com Бо́льшая часть трафика в интернет-магазинах в праздничный сезон конца 2024 года пришлась не на людей, а на роботов, гласит доклад (PDF) компании Radware. Впервые в истории программные средства от простых скриптов до цифровых агентов с искусственным интеллектом составили 57 % всего трафика, превзойдя количество людей на сайтах электронной коммерции. В докладе подчёркивается, что вредоносные боты продолжают развиваться: почти 60 % теперь применяют поведенческие стратегии, разработанные, чтобы уклониться от обнаружения, в том числе смену IP-адресов и идентификаторов, средства для прохождения тестов CAPTCHA и имитацию манеры веб-сёрфинга человека. Между праздничными сезонами в 2023 и 2024 году на 160 % выросло число мобильных ботов. Злоумышленники развёртывают мобильные эмуляторы и браузеры без подписи, имитирующие поведение людей. Единственным эффективным средством противодействия вредоносным ботам является применение передовых инструментов — защиты на основе ИИ, способного обучаться и адаптироваться. Компаниям следует пересмотреть свои арсеналы средств безопасности, отказаться от базовых фильтров в пользу решений, предлагающих расширенную защиту от DDoS-атак и интеллектуальный мониторинг трафика. Боты активно встраиваются в повседневный интернет-трафик — на 32 % вырос трафик атак через прокси-сети с домашними IP-адресами, и это значительно усложняет администраторам интернет-магазинов применение традиционных методов защиты, таких как ограничение скорости или блокировка по геозонированию. Самое неприятное — рост моноговекторных кампаний, объединяющих ботов с традиционными эксплойтами и атаками, нацеленными прямо на API. Цель таких кампаний — уже не сбор цен или кража учётных данных, а полное отключение сайтов. Под угрозой оказываются предприятия, полагающиеся на конструкторы интернет-магазинов и удобные для пользователей платформы: средства безопасности должны развиваться наравне со средствами атаки, а операторам платформ придётся внедрять новые средства защиты от всё более сложных угроз. Посчитали — прослезились: только 6 % паролей уникальны, а остальное — сплошные «qwerty» и «1234»
02.05.2025 [00:09],
Анжелла Марина
Исследователи безопасности из CyberNews проанализировали 19 миллиардов паролей, попавших в сеть в следствии хакерских атак в 2024 и 2025 году, и пришли к выводу, что только 6 % являются уникальным набором символов, а остальные 94 % — это настоящая катастрофа, не отвечающая самым элементарным требованиям безопасности. ![]() Источник изображения: AI Как пишет TechSpot, 42 % пользователей выбирают пароли длиной 8–10 символов, а 27 % ограничиваются только цифрами и строчными буквами. Если бы не требования сервисов по количеству символов, многие использовали бы и вовсе 3–4 знака. В топе самых предсказуемых вариантов оказались «1234» (727 млн случаев), «password» (56 млн) и «admin» (53 млн). Также популярны имена, ругательства, названия городов, стран и животных. ![]() Источник изображения: CyberNews «Проблема не в незнании правил безопасности, а в нежелании их соблюдать, — говорят эксперты. — Создать сложный пароль легко, но запомнить его трудно, и без специальных программ держать в голове десятки надёжных комбинаций практически невозможно». Исследователи выяснили, что люди полагаются на шаблонные варианты, которые хакеры первыми проверяют при взломе. Например, словарь для подбора паролей обязательно включает «qwerty», «iloveyou» и «123456». Такие комбинации взламываются за секунды даже без специального ПО. ![]() Источник изображения: CyberNews Но решение конечно имеется. Можно использовать менеджеры паролей, например, Bitwarden или 1Password, и двухфакторную аутентификацию (2FA). Однако их используют немногие. «Люди готовы рисковать данными, лишь бы не тратить лишние 30 секунд», — констатируют в CyberNews. Сообщается, что все проанализированные данные были анонимизированы — не привязаны к конкретному логину или почте. Однако масштабы утечек показывают, если пароль простой или повторяется на нескольких сайтах, шанс взлома крайне велик. Количество атак на сайты российских компаний удвоилось в первом квартале
28.04.2025 [17:51],
Владимир Фетисов
По данным провайдера комплексной кибербезопасности ГК «Солар», за первый квартал нынешнего года хакеры совершили 801,2 млн атак на сайты российских компаний, что вдвое больше по сравнению с аналогичным показателем за первые три месяца прошлого года. Чаще всего атакам подвергались веб-ресурсы логистических сервисов, госструктур и кредитно-финансовых организаций. ![]() Источник изображения: Hack Capital / Unsplash Выборка ГК «Солар» включает в себя сайты 134 компаний из России, представляющих разные отрасли и использующих для защиты сервис Solar WAF. В числе компаний — представители госсектора, IT-сегмента, логистики, ритейла, финансового сектора, промышленности и телекома. За отчётный период хакеры чаще всего проводили атаки против логистических сервисов. Количество атак на один из веб-сайтов выросло в 5,5 тыс. раз до 18,3 млн. В большинстве случаев в атаках использовались боты, перехватывающие с фишинговых сайтов номера заказов и создающие множество запросов на сайт атакуемой компании для повышения нагрузки на серверы. В пятёрку самых атакуемых отраслей также вошли госсектор, ритейл, грузопассажирские перевозки и нефтегазовый сектор. Отмечается, что киберпреступники стали чаще атаковать сайты для выявления их уязвимостей: количество сканирований увеличилось в 5,4 раза до 678 млн. Количество сложных кибератак выросло втрое. Ранее СМИ со ссылкой на экспертов Curator писали, что в первом квартале количество L3-L4 (сетевой и транспортный уровни) DDoS-атак выросло на 110 %. При этом средняя продолжительность таких атак снизилась с 71,7 до 11,5 минут, тогда как интенсивность упала ещё сильнее. Миллион россиян остался без интернета из-за DDoS-атаки на провайдера Lovit [обновлено]
22.03.2025 [14:37],
Павел Котов
Сотни тысяч, если не миллионы жителей домов крупнейшего российского застройщика «ПИК» в Москве и Санкт-Петербурге с 21 марта остаются без домашнего интернета. Виной тому стала массированная DDoS-атака на ресурсы обслуживающего эти дома провайдера Lovit. ![]() Источник изображения: t.me/bazabazon Факт атаки на инфраструктуру Lovit подтвердили в Роскомнадзоре, сообщил Telegram-канал «Контекст», — специалисты ведомства подключили национальную систему противодействия DDoS-атакам, и к настоящему моменту работа оператора частично восстановлена. Ситуация осложняется тем, что Lovit является единственным провайдером в домах «ПИК». ![]() Источник изображения: t.me/bazabazon DDoS-атака началась в 12 часов 21 марта, и оператор был вынужден отключить услуги связи, опубликовав соответствующее сообщение в соцсетях. Компания пообещала устранить неполадки до 22 марта, однако впоследствии сообщение об этом было удалено: жильцы домов «ПИК» выразили недоверие такой версии развития событий и выступили с резкой критикой работы провайдера, напомнив, что альтернатив ему нет, а отключения происходят слишком часто — в результате «без связи и возможности работать» остаются «под миллион человек». Обновление: 23 марта провайдер Lovit восстановил доступ к интернету: большинство сервисов работает в штатном режиме, сообщается в Telegram-канале компании. «Все клиентские платформы доступны только из сети lovit и недоступны из внешней. Также частично отсутствует доступ к иностранным ресурсам и сайтам. Безопасность системы усилена», — сообщил провайдер. Илон Маск сообщил о масштабной атаке на X, которая привела к сбоям в работе соцсети
10.03.2025 [23:26],
Владимир Мироненко
Вслед за сообщениями о масштабных сбоях в работе соцсети X, поступавшими в понедельник, 10 марта, от пользователей из разных стран, её владелец Илон Маск (Elon Musk) заявил, что причиной произошедшего стала крупная кибератака. ![]() Источник изображения: Mika Baumeister/unsplash.com «Против X была совершена (и всё ещё продолжается) масштабная кибератака», — написал Маск в своём аккаунте на платформе X. Он отметил, что соцсеть ежедневно подвергается хакерским атакам, но на этот раз в атаке задействовано большое количество ресурсов. «Либо это результат скоординированных действий большой группы хакеров, либо в этом замешана какая-то страна. Выясняем», — сообщил предприниматель, который в настоящее время возглавляет Департамент по повышению эффективности госуправления администрации США (DOGE). В понедельник сайт Downdetector, который отслеживает сбои и отключения популярных интернет-ресурсов, зафиксировал многочисленные жалобы пользователей из разных стран на сбои в работе X. Первая волна проблем началась примерно в 12:30 мск, после чего через час интенсивность сбоев пошла на спад. Вторая волна неполадок была зафиксирована примерно в 16:30 мск. Больше всего жалоб поступило из Японии и США — около 45 тыс. и 40 тыс. соответственно, а также из Великобритании (около 10 тыс.), Германии (около 6 тыс.), Канады, Франции и Бразилии (около 4 тыс.). Также были сообщения о сбоях из других стран. В основном пользователи жаловались на проблемы в работе мобильного приложения X, веб-версии соцсети и соединения с сервером. Хакеры 1,5 года оставались незамеченными в сети российской госорганизации
25.02.2025 [14:06],
Владимир Мироненко
Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил атаку на сети неназванной российской госорганизации хакерской группировкой Erudite Mogwai (Space Pirates), начавшуюся более полутора лет назад. В течение этого времени злоумышленники собирали конфиденциальные данные, скрывая своё присутствие в системе контроля и управления доступом. ![]() Источник изображения: Mikhail Fesenko/unsplash.com В ГК «Солар» рассказали Forbes, что следы присутствия хакеров обнаружили в системе контроля и управления доступом (СКУД, в нее входят турникеты, кодовые замки и т.п.), которая не была подключена к мониторингу ИБ. Благодаря этому киберпреступникам удалось незаметно проникнуть в марте 2023 года в компьютер этой системы. Далее злоумышленники продвигались по сети жертвы, оставаясь незамеченными, пока они не дошли до систем, контролируемых Solar JSOC. Сначала они взломали публично доступный веб-сервис, через который попали на недоменный компьютер (то есть находящийся вне системы, которая позволяет им централизованно управлять), который подключён к СКУД. По словам представителя центра исследования киберугроз Solar, недоменные компьютеры администрируются, обновляются или настраиваются вручную. Зачастую это делается нерегулярно. «К тому же обычно в таких системах используются локальные учетные записи с привилегиями администратора, пароль от которых может быть даже не установлен. Такие “забытые навеки системы” становятся находкой для злоумышленников», — отметил эксперт. В ГК «Солар» не стали раскрывать название пострадавшей организации, а также сумму ущерба. По словам ИБ-специалистов, группировка имеет восточно-азиатское происхождение, о чём свидетельствуют используемые ею тактики, техники и инструменты. Её назвали Erudite Mogwai (эрудированный дьявол), так как в код своего вредоносного ПО она добавляет отсылки к музыкальным и литературным произведениям. После проникновения в систему хакеры начали развивать атаку, используя видоизмененный инструмент для проксирования трафика Stowaway, помогавший скрывать коммуникации между заражёнными компьютерами и серверами управления. За полтора года хакеры Erudite Mogwai скомпрометировали несколько десятков систем организации с применением более 20 различных инструментов, которые удалялись после использования. Многие из использовавшихся ими Open Source-утилит были созданы китайскими разработчиками, а использованная в атаке версия утилиты Stowaway является собственной модификацией оригинала, разработанной специально под свои нужды. Как отметили в ГК «Солар», столь длительное нахождение хакеров в IT-инфраструктуре — отнюдь не редкость. В мае 2024 года её специалисты выявили деятельность хакерской группы Shedding Zmiy, которая шпионила за российскими организациями минимум с 2022-го года. В её послужном списке — десятки кибератак на госсектор, промышленность, телеком и другие отрасли российской экономики. Подобные группировки хорошо финансируются — суммы, выделяемые им на разработку инструментов для взлома и покупку уязвимостей, могут достигать миллионов долларов. Согласно исследованию F6 (бывшей F.A.C.C.T), количество кибератак и число хакерских групп будут и дальше расти. Если в 2023 году количество прогосударственных APT-групп (Advanced Persistent Threat), атакующих Россию и СНГ, составляло 14, то в 2024-м их число выросло до 27. |