Опрос
|
реклама
Быстрый переход
Хакеры слили данные сотен сотрудников ФБР, Минюста и Министерства внутренней безопасности США
17.10.2025 [18:13],
Сергей Сурабекянц
Группа Scattered LAPSUS$ Hunters из хакерского сообщества Com, стоящего за крупными утечками данных в последние годы, опубликовала имена и личные данные сотен государственных служащих, включая сотрудников ФБР, Министерства юстиции США, Министерства внутренней безопасности США, Иммиграционной и таможенной полиции США. Хакеры публично обратились к мексиканским наркокартелям, требуя вознаграждения за доксинг (раскрытие персональных данных) агентов США. ![]() Источник изображения: unsplash.com «Я хочу свои деньги, Мексика», — написал пользователь Telegram-канала Scattered LAPSUS$ Hunters, объединяющего несколько хакерских групп, связанных с киберпреступным сообществом Com. «Мексиканские картели, мы сбрасываем все документы, где мой миллион долларов?» — говорится в другом сообщении. Хакеры имеют в виду заявление Министерства внутренней безопасности США о том, что мексиканские картели начали предлагать вознаграждение за доксинг агентов. Правительство США не подтвердило и не опровергло это утверждение, несмотря на угрозы хакеров в следующий раз раскрыть данные работников налогового управления. Издание 404 Media изучило несколько таблиц с данными, опубликованных в Telegram-канале группы. Одна содержала якобы персональные данные 680 сотрудников Министерства внутренней безопасности, другая — сведения о более чем 170 адресах электронной почты ФБР и их владельцах; а третья — персональные данные более 190 сотрудников Министерства юстиции. При содействии компании District 4 Labs, специализирующейся на кибербезопасности, сотрудники 404 Media подтвердили достоверность некоторых опубликованных данных. Исследование показало, что многие части документов действительно относились к государственным служащим с тем же именем, названием агентства, адресом или номером телефона. В некоторых случаях адреса, опубликованные хакерами, по-видимому, относились к жилым, а не к офисным помещениям. Неясно, как хакеры собрали или иным образом получили эти данные, будь то объединение предыдущих разрозненных утечек данных или получение их из конкретного государственного органа. Министерство внутренней безопасности заявило, что его чиновники «сталкиваются с более чем 1000 % ростом числа нападений на них и их семьи, подвергающихся доксингу и угрозам в интернете». Остаётся неясным, как именно Министерство рассчитало этот рост и какие данные использовало. Правительство США принимает меры в отношении приложений, веб-сайтов и страниц в социальных сетях, которые, по его мнению, раскрывают персональную информацию или иным образом угрожают государственным служащим. Во многих случаях эти источники информации действовали в соответствии с первой поправкой к Конституции США и не занимались доксингом, но всё равно вынуждены были подчиниться. Так, Apple была вынуждена удалить приложение Eyes Up, которое собирало видеозаписи действий и злоупотреблений иммиграционных и таможенных служащих. Также Apple пришлось запретить ряд приложений, которые демонстрировали незаконные действия государственных чиновников, после прямого давления со стороны Министерства юстиции. Хакерская группа Scattered LAPSUS$ Hunters приобрела известность после угрозы опубликовать большой объём данных клиентов Salesforce, включая Disney/Hulu, FedEx, Toyota, UPS и других. В 2016 году другая хакерская группа под названием Crackas With Attitude опубликовала личные данные около 20 000 агентов ФБР и 9000 сотрудников Министерства внутренней безопасности. В популярнейшем архиваторе 7-Zip обнаружены две уязвимости, позволяющие удалённо взламывать ПК
13.10.2025 [23:55],
Анжелла Марина
Исследователи безопасности выявили две критические уязвимости в популярной программе сжатия данных 7-Zip, которые позволяют злоумышленникам выполнять произвольный код на компьютере жертвы, если пользователь откроет или извлечёт содержимое специально сформированного ZIP-архива. ![]() Источник изображения: Kandinsky Как стало известно Tom's Hardware, о проблеме сообщила 7 октября японская компания-разработчик ПО для кибербезопасности Trend Micro в рамках инициативы Zero Day Initiative (ZDI). Уязвимости зарегистрированы под идентификаторами CVE-2025-11001 и CVE-2025-11002 и связаны с тем, как 7-Zip обрабатывает символические ссылки внутри ZIP-файлов. Злоумышленник может создать архив, способный выйти за пределы целевой директории распаковки и записать файлы в произвольные системные пути. При комбинированном использовании эти уязвимости позволяют добиться выполнения кода с привилегиями текущего пользователя, что достаточно для компрометации среды Windows. Обе уязвимости имеют базовую оценку по шкале CVSS, равную 7,0. Согласно бюллетеню ZDI, для эксплуатации требуется минимальное взаимодействие пользователя — достаточно просто открыть или извлечь вредоносный архив. После этого уязвимость обхода каталогов через символические ссылки может перезаписать файлы или разместить полезную нагрузку в чувствительных путях, что позволяет хакеру перехватить поток выполнения. ZDI классифицирует обе ошибки как уязвимости обхода каталогов, ведущие к удалённому выполнению кода в контексте учётной записи службы. Российский разработчик 7-Zip Игорь Павлов выпустил версию 25.00 5 июля, в которой были устранены данные уязвимости. Стабильная версия 25.01 появилась в августе. Однако публичное раскрытие технических деталей произошло лишь на этой неделе, когда ZDI опубликовала соответствующие уведомления. Это означает, что пользователи, не обновлявшие программу с начала лета, оставались уязвимыми в течение нескольких месяцев, не зная об этом. Кроме того, из-за отсутствия механизма автоматического обновления многие продолжают использовать старые версии программы. Ранее в этом году уязвимость CVE-2025-0411 привлекла внимание специалистов, поскольку позволяла обходить защиту Windows Mark-of-the-Web (MOTW) путём вложения вредоносных ZIP-архивов друг в друга, эффективно удаляя метку «загружено из интернета» с файлов. Эта проблема была устранена в версии 24.09. Для обеспечения защиты рекомендуется загрузить 7-Zip версии 25.01 или новее непосредственно с официального сайта проекта. Установщик обновит существующую конфигурацию без изменения пользовательских настроек. До обновления следует избегать распаковки архивов из ненадёжных источников. Microsoft затруднит доступ к режиму Internet Explorer в Edge из-за атак хакеров — уязвимости останутся без патчей
13.10.2025 [23:06],
Анжелла Марина
Несмотря на официальное прекращение поддержки Internet Explorer в 2022 году, Microsoft вынуждена ввести дополнительные ограничения на использование режима IE в браузере Edge после того, как стало известно об эксплуатации уязвимостей Internet Explorer хакерами для удалённого получения контроля над устройствами пользователей через функцию IE Mode, встроенную в Edge. ![]() Источник изображения: AI Microsoft сохранила режим IE в своём современном браузере Edge, поскольку некоторые старые веб-сайты, особенно в отдельных регионах мира, по-прежнему доступны только через Internet Explorer. Однако, как сообщает издание PCMag, было обнаружено что злоумышленники, включая хакеров из Северной Кореи, научились принуждать пользователей активировать IE Mode с помощью простых методов социальной инженерии. ![]() Источник изображения: pcmag.com Атакующие сначала направляют жертву на поддельный официальный сайт, а затем предлагают перезагрузить страницу в режиме Internet Explorer с помощью всплывающего элемента интерфейса. После этого они используют эксплойт для получения удалённого выполнения кода, а затем применяют второй эксплойт для повышения привилегий и полного захвата устройства. Такой метод атаки позволяет обойти встроенные механизмы защиты Edge, установить вредоносное ПО, шпионить за сетевым трафиком и похищать данные. В ответ Microsoft ввела дополнительные ограничения для некоммерческих пользователей: удалены наиболее рискованные способы запуска IE Mode, включая отдельную кнопку на панели инструментов, пункт контекстного меню и элементы в «гамбургере». Теперь активация режима возможна только через настройки Edge и только для конкретных сайтов, добавленных пользователем вручную. ![]() Источник изображения: pcmag.com Однако, как заявили в Microsoft, введённые меры — это не исправление уязвимостей, а лишь барьер для их эксплуатации. Для корпоративных пользователей, управляющих IE Mode через корпоративные политики, никаких изменений не предусмотрено. Компания настоятельно рекомендует полностью отказаться от использования Internet Explorer, поскольку он опирается на устаревшие веб-технологии, несущие серьёзные риски безопасности. Хакерская группировка объявила о взломе Nintendo — похищены файлы выпущенных и грядущих игр
11.10.2025 [19:32],
Павел Котов
Хакерская группировка Crimson Collective заявила, что осуществила взлом файлов нескольких проектов Nintendo и в подтверждение этому опубликовала скриншоты папок на ресурсах японского производителя. Среди них значатся уже выпущенные продукты, игры в разработке и резервные копии данных. ![]() Источник изображения: Nicholas Fuentes / unsplash.com Подробная информация о масштабах взлома, а также о том, что Crimson Collective намерена делать с предположительно похищенными данными, пока отсутствует. Возможно, ориентиром может служить недавняя атака группировки на компанию Red Hat: хакеры, по их утверждению, взломали её закрытые репозитории на GitHub и похитили 570 Гбайт информации, включая данные, связанные с аутентификацией клиентов. После этого они заявили о намерении атаковать сайт Nintendo. Участники Crimson Collective через официальные каналы связались с Red Hat, пытаясь вымогать у компании деньги, в подтверждение взлома предоставив скриншоты внутренних папок, однако компания проигнорировала их требования. Факт взлома она признала 2 октября и сообщила, что обратилась в соответствующие органы. Возможно, с Nintendo сценарий будет разворачиваться аналогичным образом. В сентябре та же группировка взломала ресурсы оператора связи Claro Colombia, похитив 50 млн клиентских счетов и финансовых документов. Эксперты по кибербезопасности Anomali предполагают, что Crimson Collective намеренно проводит громкие атаки, чтобы завоевать авторитет в киберпреступных кругах. Любопытно, что сообщения от Crimson Collective публикуются с подписью Miku — под этим псевдонимом ранее действовал 19-летний Талха Джубаир (Thalha Jubair), член группировок LAPSUS$ и Scattered Spider, который, как считается, находится под стражей и ждёт суда. На счету LAPSUS$ также значится атака на Claro, а при взломе Red Hat хакеры Crimson Collective упомянули Vodafone, ранее подвергавшуюся атаке со стороны LAPSUS$. В 2022 году LAPSUS$ осуществляла атаки на Ubisoft и Microsoft; с ней, предположительно, был связан и хакер, опубликовавший игровые кадры GTA 6. Таким образом, между двумя группировками может существовать связь. С начала года северокорейские хакеры украли криптовалюты на $2 млрд — это рекорд
08.10.2025 [10:31],
Павел Котов
Добычей хакеров из КНДР с начала года стали криптовалютные активы на общую сумму более $2 млрд, подсчитали эксперты Elliptic — это рекордная для северокорейских киберпреступников сумма за такой срок. В общей сложности они похитили средств более чем на $6 млрд. ![]() Источник изображения: chainalysis.com В феврале им удалось осуществить крупнейшую кражу криптовалюты в истории — с биржи Bybit они увели более $1,4 млрд. Хакеры проникли в систему провайдера цифровых кошельков и осуществили перевод с «холодного» кошелька Bybit, на котором хранились 400 000 монет Ethereum. Около 68 % этих средств удалось отследить, сообщила администрация площадки, — это может значить, что злоумышленникам удалось обналичить лишь часть своих незаконных доходов. В этом году северокорейские хакеры также осуществили атаки на платформы LND.fi, WOO X и Seedify — всего около тридцати инцидентов. По данным экспертов Chainalysis, с начала года киберпреступники из КНДР завладели активами на сумму $2,17 млрд. ![]() Источник изображения: elliptic.co Elliptic и Chainalysis предлагают услуги отслеживания блокчейна и сотрудничают с правоохранительными органами, помогая им пресекать незаконные транзакции. Аналитики предупреждают, что хакеры могут осуществлять атаки не только на криптовалютные биржи и работающие с блокчейном компании, но и на состоятельных частных лиц. Киберпреступники используют, в частности, методы социальной инженерии и проводят фишинговые атаки, обманным путём заставляя жертв устанавливать вредоносное ПО. Доля краж у частных лиц в общем объёме связанных с криптовалютой преступлений растёт — с начала года она достигла 23,35 %, подсчитали в Chainalysis. Хакеры заявили о краже миллиарда записей у клиентов Salesforce — та всё отрицает
04.10.2025 [11:26],
Павел Котов
Известная хакерская группировка, состоящая преимущественно из англоязычных участников, запустила вымогательский веб-сайт с угрозами опубликовать около 1 млрд записей, украденных у компаний, хранящих контакты своих клиентов в облачных базах данных Salesforce. ![]() Источник изображения: Desola Lanre-Ologun / unsplash.com Не имеющее жёсткой организации сообщество киберпреступников, известное под названиями Lapsus$, Scattered Spider и ShinyHunters, запустило ресурс под названием Scattered LAPSUS$ Hunters. Его цель — заставить потерпевших заплатить выкуп, чтобы украденные данные не попали в интернет. «Свяжитесь с нами, чтобы восстановить контроль над управлением данными и не допустить публичного раскрытия вашей информации. Не попадите в новостные заголовки. Все обращения потребуют строгой верификации и будут обрабатываться с осторожностью», — говорится на сайте. ![]() Источник изображения: techcrunch.com Взлом своих ресурсов подтвердили, в частности, Google, страховой гигант Allianz Life, модный конгломерат Kering, авиакомпания Qantas, группа автопроизводителей Stellantis, кредитное бюро TransUnion и платформа управления персоналом Workday. На хакерском сайте также указаны служба доставки FedEx, видеоплатформа Hulu (входит в Disney) и Toyota Motors — от них комментариев не последовало. Кроме того, «есть множество других компаний, которые не были включены в список», заявил представитель ShinyHunters ShinyHunters ресурсу TechCrunch. На сайте содержится призыв выплатить выкуп и к самой Salesforce, а также угроза, что в противном случае «будут опубликованы данные всех ваших клиентов». Это даёт основания предположить, что компания с вымогателями пока на связь не выходила. Об инциденте в Salesforce знают, но действовать не спешат. «Наши данные указывают, что эти попытки связаны с прошлыми или неподтверждёнными инцидентами, и мы продолжаем оказывать поддержку потерпевшим клиентам. На данный момент нет никаких признаков того, что платформа Salesforce была скомпрометирована, и эти действия не связаны с какой-либо известной уязвимостью в наших технологиях»,— гласит заявление компании. Хакерам наконец удалось полностью удалить защиту Denuvo из игры, но праздновать победу пиратам пока рано
24.09.2025 [10:44],
Дмитрий Рудь
Хакерская группировка Skidrow отчиталась о первом за долгое время полном удалении антипиратской системы Denuvo из защищённой ею игры. Впрочем, радоваться цифровым флибустьерам пока рано. Напомним, самые громкие релизы от хакера Empress (приостановила деятельность в 2023 году) лишь обходили Denuvo, а не удаляли её из игры — другими словами, механизм всё ещё мог, например, негативно влиять на производительность. Полностью избавить игру от Denuvo хакерам из Skidrow наконец удалось в случае с Tourist Bus Simulator — малоизвестным симулятором туристического автобуса образца 2018 года на движке Unreal Engine 4. Skidrow приняла вызов удалить Denuvo из игры не на движке Unity уже «достаточно давно» и после «настоящей демонстрации силы» справилась: «Невозможно переоценить, насколько дьявольски сложной была задача». На фоне успеха Skidrow также бросила вызов Empress полностью вырезать новейшую версию Denuvo из игры и опубликовать взломанную сборку без проведения предварительного бета-тестирования. Стоит отметить, что с учётом возраста Tourist Bus Simulator защищавшая её версия Denuvo наверняка была далека от актуальной, так что о какой-либо победе над антипиратским решением компании Irdeto говорить не приходится. Кроме того, вопреки распространяемой по соцсетям информации, Skidrow не обещала игровым пиратам новые взломы. В сообществе сомневаются, что достижение группировки можно считать переломным моментом в борьбе с Denuvo. 15 хакерских группировок объявили о закрытии — хакеры хотят насладиться «золотыми парашютами»
16.09.2025 [13:06],
Павел Котов
Негласная ассоциация из 15 хакерских группировок, наиболее известными из которых являются Scattered Spider и Lapsus$, объявила о прекращении своей деятельности. Хакеры группировок заявили, что больше не будут совершать кибератаки от своего имени. ![]() Источник изображения: Kevin Ku / unsplash.com Об этом хакеры объявили на профильном форуме: они, по их словам, добились своих целей, которыми оказались разоблачение уязвимых систем, а не вымогательство средств. Они отметили, что «теперь наша сила — в молчании». «Если беспокоитесь о нас, не стоит, <..> [нам] хватит накопленных группой „золотых парашютов“. Изучать и совершенствовать системы, которыми вы пользуетесь в повседневной жизни, продолжат другие. Молча», — заявили хакеры. Это они недавно осуществили кибератаки на ресурсы автопроизводителя Jaguar Land Rover и розничной сети Marks & Spencer. Нескольких членов группировки удалось арестовать, и соучастники пообещали попытаться их освободить. Группировке могут приписать и другие атаки, добавили её члены, но эти акции были совершены до объявления о завершении карьеры. Уверенности в том, что киберпреступники сделали своё заявление искренне, нет — хакеры часто пытаются уйти от ответственности, отказываясь от своих псевдонимов, меняя тактику и действуя под новыми вывесками. Впрочем, событий в мире киберпреступности и кибербезопасности пока хватает. Неизвестные лица допустили масштабную утечку данных, связанных с технологиями «Великого китайского файрвола», у которого обнаружилась коммерческая «коробочная» версия с уникальными схемами работы. Американские власти объявили вознаграждение в размере $10 млн за поимку Владимира Тимощука — его обвиняют в организации кибератак с использованием вирусов-вымогателей LockerGoga, MegaCortex и Nefilim с декабря 2018 по октябрь 2021 года. Впрочем, это скорее пиар-акция: если подозреваемый не окажется в стране в которой действует договор об экстрадиции с США, ему ничто не грозит. Финский вымогатель Алексантери Кивимяки (Aleksanteri Kivimäki) вышел на свободу и объявил о намерении обжаловать решение суда — его приговорили за взлом ресурса психотерапевтической клиники в 2018 году. Хакер разослал её 20 000 пациентам требования о выкупе с угрозой раскрыть информацию из их медицинских карт — сам Кивимяки заявил, что средства он получил от криптовалютных операций, а не от вымогательства; хотя признал, что не заплатил с них налоги. Наконец, ФБР предупредило пользователей Salesforce CRM о крупномасштабной атаке на сервис, осуществляемой хакерскими группировками UNC6040 и UNC6395 — ведомство редко публикует подобные экстренные предупреждения, поэтому относиться к ним рекомендуется со всей серьёзностью. Встроенная в DDR5 защита от атаки Rowhammer оказалась с дырой — любую современную систему можно взломать
16.09.2025 [12:59],
Геннадий Детинич
Исследователи обнаружили уязвимость модулей оперативной памяти стандарта DDR5 к атакам типа Rowhammer, хотя эта память должна была быть в значительной степени от них защищена. Последние спецификации DDR5 предусматривают защиту от злонамеренного переключения битов в чипах ОЗУ, но атака «Феникс» (Phoenix) проделала в ней брешь и привела к появлению инструментов для взлома самых современных компьютерных платформ. ![]() Источник изображения: www.bleepingcomputer.com Уязвимость чипов DDR5 к атакам типа Rowhammer показала сводная группа исследователей из отдела компьютерной безопасности (COMSEC) Швейцарской высшей технической школы Цюриха (ETH Zurich) и компании Google. Они изучили механизмы защиты самой распространённой памяти DDR5 производства компании SK hynix, доля которой на рынке достигает 36 %. Впрочем, это не означает, что память DDR5 других производителей свободна от этой уязвимости. Безопасных чипов, похоже, не существует. Атака Rowhammer, напомним, строится на увеличении частоты обращений к определённым ячейкам памяти. Это вызывает рост паразитных токов утечек в ячейках, что затрагивает соседние с ними ячейки DRAM. Следствием этого становится переключение битового состояния ячеек, непосредственно не атакуемых, а, например, в защищённых областях памяти. Такая атака позволяет злоумышленнику повысить привилегии в системе, извлечь ключ шифрования и сделать много других неприятных для пользователя вещей на атакуемом компьютере. После изучения встроенных в память DDR5 SK hynix решений по защите от атак Rowhammer группа учёных обнаружила слепые зоны в механизме Target Row Refresh (TRR), который предотвращает инверсию битов, отправляя дополнительную команду обновления при обнаружении частого обращения к определённой строке. Оказалось, что при работе TRR существуют интервалы, когда атака остаётся не скомпенсированной. В частности, для исследуемой памяти это оказались интервалы обновления 128 и 2608. Если атака синхронизирована с процессами защиты TRR, то она производится точно в то время, когда на неё не будет реакции от системы защиты. На основе выявленной уязвимости, получившей название Phoenix, исследователи создали эксплоит для повышения уровня привилегий в системе. Во время тестирования потребовалось менее двух минут, чтобы получить root-права «на стандартной системе DDR5 с настройками по умолчанию». Кроме того, исследователи изучили возможность практического применения атаки Phoenix для получения контроля над целевой системой. При нацеливании на записи таблицы страниц (PTE) для создания произвольного примитива чтения/записи в память они обнаружили, что все протестированные продукты уязвимы. В ходе другого теста исследователи замахнулись на ключи RSA-2048 в виртуальной машине, расположенной в том же месте, чтобы взломать аутентификацию по SSH, и обнаружили, что 73 % модулей DDR5 не обеспечили защиты. В настоящее время уязвимость Phoenix отслеживается как CVE-2025-6202 и имеет высокий уровень опасности. Она затрагивает все модули оперативной памяти DDR5, выпущенные в период с января 2021 года по декабрь 2024 года. Все 15 протестированных модулей памяти DDR5 компании SK hynix имели те или иные уязвимости к атаке Phoenix или даже полный комплект уязвимостей. В качестве варианта для защиты от атак Phoenix и других подобных исследователи предложили в три раза уменьшить время регенерации памяти (tRFC). Это «собьёт с толку» уже созданные для атаки эксплоиты, но следует добавить, что уменьшение интервала регенерации памяти скорее всего приведёт к падению производительности системы. Остаётся полагаться на производителей памяти и чипсетов, чтобы они создали механизмы защиты теперь уже от атак типа «Феникс», чтобы атака Rowhammer больше не смогла возродиться из пепла, как легендарная птица, давшая имя новой уязвимости. Пароли «admin» и другие дыры в кибербезопасности сети ресторанов Burger King выявили белые хакеры
09.09.2025 [16:57],
Владимир Мироненко
Этичные хакеры BobDaHacker и BobTheShoplifter заявили об обнаружении «катастрофических уязвимостей» в компьютерных системах группы Restaurant Brands International (RBI), которой принадлежат такие известные сети ресторанов, как Burger King, Tim Hortons и Popeyes, с более чем 30 тыс. филиалов по всему миру. ![]() Источник изображения: Desola Lanre-Ologun/unsplash.com Выяснилось, что корпоративные сайты assistant.bk.com, assistant.popeyes.com и assistant.timhortons.com могли быть легко взломаны во всех более чем 30 тыс. филиалах группы по всему миру. Обнаруженные уязвимости позволили хакерам без труда получить доступ к учётным записям сотрудников, системам оформления заказов и прослушивать записи разговоров с клиентами в автокафе. По словам этичных хакеров, API для регистрации позволяет любому войти в компьютерную систему группы, поскольку команда веб-разработчиков «забыла заблокировать регистрацию пользователей». Используя функцию GraphQL introspection, хакеры смогли создать учётную запись без подтверждения электронной почтой, а пароль присылался в виде простого текста. С помощью инструмента createToken белые хакеры смогли повысить свой статус до администратора на всей платформе. На всех планшетах для автокафе был указан пароль admin. А для входа в систему заказа устройств группы пароль был жёстко прописан в HTML-коде. Этичные хакеры уведомили RBI об обнаруженных уязвимостях, которые та быстро устранила, даже не поблагодарив специалистов за помощь. Лучшая защита — нападение: Google начнёт проводить кибератаки на хакеров
29.08.2025 [17:00],
Павел Котов
Компания Google собирается занять более активную позицию в защите себя и, возможно, других американских организаций от кибератак — в компании допустили, что она может взять на себя роль нападающей в цифровом поле, передаёт CyberScoop. ![]() Источник изображения: Greta Schölderle Möller / unsplash.com В ближайшие месяцы Google планирует сформировать «группу активного противодействия» для борьбы с киберпреступниками, сообщила вице-президент подразделения Google Threat Intelligence Group Сандра Джойс (Sandra Joyce). «Мы в Google Threat Intelligence Group занимаемся проактивным выявлением возможностей по фактическому пресечению каких-либо кампаний или операций. Нам придётся перейти от реактивной к проактивной позиции, <..> если хотим изменить ситуацию прямо сейчас», — такое заявление она сделала на профильном мероприятии, по итогам которого был опубликован доклад «Взломать или не взломать в ответ? Вот в чём вопрос... или нет?». В документе обсуждаются идеи о том, следует ли властям США дать частным компаниям разрешение на проведение наступательных кибератак, поможет ли воздействие вне цифрового поля эффективно сдерживать противников, или, возможно, следует бросить ресурсы на совершенствование средств киберзащиты. В июле Конгресс США принял «Большой прекрасный законопроект», который, в частности, предусматривает выделение $1 млрд на наступательные кибероперации. Это не значит, что компании вроде Google в одночасье начнут взламывать какие-то ресурсы, но отражает дальнейшее направление политики США по данному вопросу — по меньшей мере, в лице администрации действующего президента. А 15 августа был внесён проект «Закона о разрешении на каперские свидетельства и репрессалии на мошеннические фермы 2025 года», который наделяет главу государства правом «выдавать каперские свидетельства и репрессалии в отношении актов агрессии против Соединённых Штатов, совершенных членом преступной организации или любым участвующим в сговоре лицом, связанным с замешанной в киберпреступлениях организацией». Каперскими свидетельствами во времена парусного флота назывались документы, от имени государства разрешавшие частным судам действовать пиратскими методами; под репрессалиями понимались принудительные меры политического или экономического характера, принимаемые одним государством в ответ на неправомерные действия другого — сейчас эти меры называются санкциями. Таким образом, власти США дают сигнал, что они готовы идти на крайние меры, чтобы отбить у киберпреступников других стран желание атаковать американские организации. Конкретных форм инициатива пока не обрела. Новые меры по борьбе с киберпреступниками могут ударить по «белым хакерам» в России
28.08.2025 [14:06],
Владимир Мироненко
Предложенный Минцифры новый пакет антифрод-мер может серьёзно осложнить работу компаний в области кибербезопасности, поскольку он включает запрет на распространение информации о методах проведения кибератак наравне с экстремистским контентом, пишет «Коммерсантъ». ![]() Источник изображения: unsplash.com / ThisisEngineering Согласно документу, опубликованном 26 августа Минцифры на портале regulation.gov, ведомство предлагает внести поправку в ст. 15.3. «Порядок ограничения доступа к информации, распространяемой с нарушением закона» ФЗ «Об информации, информтехнологиях и о защите информации», согласно которой вводится запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ» или позволяющей получить доступ к софту, предназначенному для несанкционированного уничтожения или блокирования программ. Этой статьёй сейчас запрещено, в том числе, распространение «ложных сообщений об актах терроризма» или содержащих «призывы к массовым беспорядкам». В ИБ-вендоре Positive Technologies высказали опасение, что это может сильно ограничить деятельность специалистов по кибербезопасности, поскольку для них запрет на доступ к такой информации — «всё равно что запретить токсикологам доступ к описанию поражающих факторов отравляющих веществ». Блокировка или удаление профильной информации, предлагаемые новыми поправками, означают для «белых хакеров» дополнительные сложности и дополнительные риски, работа которых, по словам директора по работе с госорганами Positive Technologies Игоря Алексеева, «и раньше балансировала на тонкой грани». «Указанная формулировка вновь создаёт неопределённость для работы “белых хакеров”», — подтверждает бизнес-консультант Positive Technologies Алексей Лукацкий. Второй пакет антифрод-мер включает около 20 инициатив, в частности, передачу записей разговоров телефонных звонков, в которых имеются «признаки совершения противоправных действий», сбор подозрительных номеров и ограничение на количество банковских карт до 10 штук на гражданина. «Bug Bounty находится в группе риска, эта сфера сейчас имеет большой потенциал развития, и такой законодательный аспект точно не в её пользу», — говорит гендиректор Enterprise Legal Solutions Анна Барабаш. По её словам, предлагаемые меры могут породить правовую неопределённость. В Минцифры сообщили «Коммерсанту», что «запрет направлен не на деятельность “белых хакеров”, а именно на распространение информации о способах кибератак». В правительстве отметили, что предлагаемые меры обеспечат правовой барьер, что затруднит деятельность киберпреступников и снизит эффективность их атак. Также инициатива позволит правоохранителям эффективно блокировать каналы распространения вредоносных программ, минимизируя риски для граждан. Хакеры научились внедрять невидимые вредоносные запросы к ИИ в изображения
26.08.2025 [20:39],
Сергей Сурабекянц
Атака с внедрением подсказок — это способ сделать инструкции для системы искусственного интеллекта невидимыми для оператора-человека. Исследователи из Trail of Bits обнаружили, что такие инструкции можно скрывать в изображениях, делая текст невидимым для человеческого глаза. При последующей загрузке изображения в систему ИИ и его сжатии нейросетью подсказка становится доступной для распознавания, расшифровывается и может быть выполнена — всё это абсолютно незаметно для человека. ![]() Источник изображения: unsplash.com Инструменты ИИ сегодня популярны даже среди пользователей, не слишком разбирающихся в традиционном ПО или вопросах безопасности, и это открывает множество новых возможностей для хакеров. Исследовательская группа Trail of Bits показала способ скрывать атаки с внедрением подсказок, используя сжатие изображений при их загрузке в систему ИИ. Хорошая аналогия — скрытый фишинг в электронном письме, где текст окрашен тем же цветом, что и фон: человек его не заметит, а нейросеть прочитает и, возможно, выполнит. В примере, представленном Trail of Bits, при загрузке изображения с внедрённой подсказкой в Gemini бэкенд Google сжимает его для экономии пропускной способности и вычислительных ресурсов. В результате скрытый текст становится видимым для нейросети, и подсказка успешно внедряется, например сообщая Gemini о необходимости передать данные из личного календаря пользователя третьей стороне. ![]() Источник изображения: Trail of Bits Безусловно, такой метод требует значительных усилий ради получения относительно небольшого объёма персональных данных, причём и сама атака, и изображение должны быть адаптированы под конкретную систему ИИ. Пока нет доказательств того, что метод активно используется злоумышленниками. Но это показательный пример того, как на первый взгляд безобидное действие может превратиться в вектор атаки. ФСБ и МВД накрыли крупнейший в Рунете сервис по продаже персональных данных россиян
25.08.2025 [12:41],
Владимир Мироненко
Сотрудники УБК МВД России и ФСБ пресекли работу одного из крупнейших в Рунете интернет-ресурсов по торговле персональными данными россиян, пишет «Коммерсантъ» со ссылкой на Telegram-канал официального представителя МВД Ирины Волк. ![]() Источник изображения: charlesdeluvio / unsplash.com По словам Ирины Волк, сервис располагал большими массивами данных, собранных по результатам утечек из различных структур. Среди его пользователей — коммерческие организации, детективные и коллекторские агентства. Также правоохранителями были зафиксированы факты получения конфиденциальной информации аферистами для последующего хищения денежных средств населения. Злоумышленники предоставляли по запросу подробные досье на граждан, включая анкетные и паспортные данные, сведения об адресах проживания и местах работы, доходах, кредитной истории и т.д. Доступ к ресурсу осуществлялся по подписке через веб-форму или интерфейс АPI. Стоимость подписки зависела от объёма услуг и статуса клиента, нередко превышая один миллион рублей в месяц. Из-за высокой цены клиенты зачастую перепродавали подписку через объявления в специализированных Telegram-каналах и в даркнете. Предполагаемый организатор криминальной схемы и его сообщник, который отвечал за программную и техническую поддержку сервиса, уже задержаны на территории столичного региона и заключены под стражу. Им предъявлено обвинение по статье 272.1 Уголовного кодекса Российской Федерации — незаконное использование, сбор, передача и хранение персональной информации. В ходе обысков было изъято серверное оборудование с базами данных общим объёмом более 25 Тбайт, а также средства связи, компьютерная техника, договорная и бухгалтерская документация. Сообщается, что с декабря 2024 года только по двум счетам подконтрольных злоумышленникам юридических лиц зафиксировано поступление 66 млн руб. В настоящее время правоохранителями проверяется информация о более чем двух тысячах пользователей сервиса, а также приняты меры к установлению других возможных соучастников, в том числе иностранных граждан и спецслужб. Объявления о доступе к серверам российских компаний заполонили даркнет — взлом стоит всего $500
22.08.2025 [12:38],
Владимир Мироненко
В течение последнего года в даркнете заметно выросло число предложений о продаже доступа к IT-инфраструктуре российских компаний, хотя их стоимость по-прежнему составляет в среднем $500, пишет «Коммерсант». По оценкам Bi.Zone (ранее входила в структуры «Сбера»), количество таких предложений выросло в 2,5–3 раза по сравнению с 2024 годом. ![]() Источник изображения: Mika Baumeister/unsplash.com «Под доступами чаще всего понимаются логин и пароль от внутренней системы или иные данные для подключения», — сообщили в Bi.Zone. Всего эксперты компании обнаружили более 5 тыс. опасных сообщений (продажа доступов, распространение вредоносного софта и т. д.) на форумах и в Telegram-каналах злоумышленников за 2024 год и первую половину 2025 года. В компании F6 сообщили, что первоначальные доступы в корпоративные сети пользуются особым спросом в даркнете. Их стоимость начинается от $100–200 и может возрастать в разы в зависимости от масштаба организации, отрасли и уровня доступа. Также в F6 сообщили, что значительного роста таких предложений они не наблюдают, хотя по всему миру за последние пять лет их продажи заметно выросли — со 130 лотов в 2019 году до более 4 тыс. в 2024-м. В Positive Technologies оценивают долю успешных атак, связанных с эксплуатацией уязвимостей, от всего количества атак в первом полугодии в 31 %. В июле по вине хакеров произошёл масштабный сбой в системах «Аэрофлота». Также в последнее время подверглись хакерской атаке ретейлер «Винлаб», сеть аптек «Столички» и клиника «Семейный доктор». Гендиректор Start X, резидент бизнес-клуба «Кибердом» Сергей Волдохин отметил перенасыщение рынка предложений, в связи с чем продавцы вынуждены конкурировать между собой, не повышая цены. Это также свидетельствует о том, что взломать корпоративную систему стало просто, поскольку «сотрудники компаний массово открывают злоумышленникам доступ к своим рабочим системам, например, через фишинговые атаки». Кроме того, по словам эксперта, сотрудники могут сами осознанно предоставлять нужную информацию злоумышленникам. |