КиберСек

Новости Кибербезопасности

Метка: cyber attack

  • Проблемы цифровизации судебной системы выявлены Счетной палатой

    Проблемы цифровизации судебной системы выявлены Счетной палатой

    Аудиторы из Счётной палаты обнаружили проблемы в цифровизации судебной системы России. Система управления проектами неэффективна, и судебная система не интегрирована в цифровую трансформацию государственного управления.

    С 2018 по 2023 год количество дел, поступивших в суды, выросло на 25%. Большинство дел рассматриваются мировыми судьями, в основном это споры по кредитам, задолженности за услуги ЖКХ и жалобы на действия судебных приставов.

    В отчете отмечается, что цифровые проекты в судебной системе плохо управляются. Не хватает квалифицированных специалистов для поддержки ИТ-решений. Некоторые новые системы помогли сократить нагрузку на сотрудников и ускорить рассмотрение дел.

    Система ГАС Правосудие получила критику. Многие её компоненты введены формально и не используются полностью. Некоторые системы, запущенные десять лет назад, устарели. Счётная палата рекомендовала устранить недостатки, введя единые критерии оценки эффективности проектов и централизуя управление цифровыми инициативами.

    Эксперты отмечают, что цифровизация судебной системы далеко не идеальна. В некоторых случаях она отстает технологически. Однако есть успешные примеры, например, информационная система судов Москвы превосходит ГАС Правосудие.

    Проблемы с системой ГАС Правосудие могут быть связаны с кибератакой и техническим сбоем, которые произошли в 2024 и 2025 годах. Счётная палата также предупреждала о риске утечки данных через сервис Мой арбитр.

  • Центральный оборотень: атака на Россию и Беларусь через PDF-приманки

    Центральный оборотень: атака на Россию и Беларусь через PDF-приманки

    Специалисты отдела киберразведки компании F6 заметили, что группировка хакеров Core Werewolf снова начала активно действовать. Они как обычно направляют свои атаки на военные структуры России и Беларуси, а также на организации, связанные с обороной и критической инфраструктурой.

    Группировка Core Werewolf известна с 2021 года и использует инструменты UltraVNC и MeshCentral для удаленного доступа к зараженным устройствам. Недавняя атака произошла 2 мая 2025 года, когда был загружен файл .eml с зашифрованным архивом. Этот файл запускал вредоносную цепочку, позволяя хакерам получить доступ к зараженным устройствам.

    Кроме того, был обнаружен еще один подозрительный файл undoubtedly.exe, который также связан с группировкой Core Werewolf и использовался для атак на российские военные структуры. В обоих случаях использовались поддельные документы с военной тематикой для запуска вредоносной программы.

    Подробности атак можно найти в отчете на платформе F6 Malware Detonation Platform, а индикаторы компрометации доступны в блоге компании на Хабре.

  • Использование ИИ увеличило активность фишеров на 17%

    Использование ИИ увеличило активность фишеров на 17%

    В феврале 2025 года количество фишинговых писем увеличилось на 17% по сравнению с предыдущими шестью месяцами. Большинство таких сообщений (82%) использовали искусственный интеллект.

    Эксперты говорят, что использование ИИ позволяет фишерам создавать разнообразные атаки, меняя заголовки, содержимое и отправителей писем. Незначительные изменения, внесенные ИИ, позволяют обойти традиционные методы защиты, такие как блок-листы и статический анализ.

    Больше половины фишинговых писем (52%) отправляются с взломанных аккаунтов. Злоумышленники также используют фишинговые домены (25%) и веб-почту (20%) для обхода проверок.

    Использование ИИ позволяет делать фишинговые письма более персонализированными, собирая информацию об адресатах в реальном времени. Это делает их более убедительными и труднее для жертвы распознать ложь.

    Активность фишеров, использующих новые технологии, за год увеличилась на 53%. Эксперты отмечают, что для борьбы с этой угрозой необходимы более совершенные методы кибербезопасности, возможно, основанные на ИИ.

  • Система Платон восстановлена после DDoS-атаки

    Система Платон восстановлена после DDoS-атаки

    Вечером 31 марта компания Платон сообщила, что их система полностью восстановлена после масштабной DDoS-атаки, которая длилась несколько дней. Из-за этой атаки некоторые логистические компании прекратили свою работу из-за опасений получить штрафы за неоплату.

    По отзывам пользователей в социальной сети VK, атака началась 27 марта. С тех пор пользователи не могли войти в свой аккаунт, пополнить баланс или оформить маршрутные карты через сайт или мобильное приложение.

    Представители компании объяснили, что проблемы с работой были вызваны атакой на оператора связи. Они посоветовали пользователям обращаться в офисы обслуживания для пополнения баланса и оформления маршрутных карт. Однако многие перевозчики не оценили такое решение.

    Это привело к тому, что ряд логистических компаний приостановили свою деятельность. Водители жаловались, что им приходится ехать на значительные расстояния до терминалов для оформления необходимых документов.

    Президент Ассоциации грузового автомобильного транспорта Владимир Матягин напомнил о проблемах, с которыми столкнулись перевозчики в феврале из-за атак с использованием средств радиоэлектронной борьбы. Он отметил, что такие ситуации могут привести к серьезным финансовым потерям для отрасли.

    По данным сервиса Downdetector, жалобы на работу Платона продолжали поступать и 1 апреля. Пользователи из Белоруссии также сообщали о проблемах с сайтом и приложением компании.

  • Шифровальщики атаковали Лукойл в рамках кампании против ТЭК России

    Шифровальщики атаковали Лукойл в рамках кампании против ТЭК России

    Атака на компанию Лукойл была совершена вероятно хакерами, которые зашифровали данные в их компьютерной системе. Они могли использовать различные методы, такие как фишинг, уязвимости или доступ через партнеров компании. Это может быть частью целенаправленной атаки на энергетический сектор России.

    Возможно, за атакой стоит группа, такая как BlackCat или LockBit, которые вымогают деньги у крупных компаний. Эксперты предупреждают, что компании, которые платят выкуп, могут стать жертвами атак снова, так как деньги пойдут на новые атаки.

    Атака на Лукойл началась утром 26 марта. О ней было объявлено на сайте Центра мониторинга сетей связи общего пользования. Атака затронула станции и офисы компании в Москве, что привело к парализации работы трех офисов.

  • Хакеры получили доступ к списку HaveIBeenPwned через MailChimp

    Хакеры получили доступ к списку HaveIBeenPwned через MailChimp

    Известный специалист по защите информации и создатель сервиса HaveIBeenPwned Трой Хант объявил, что его рассылка через MailChimp была скомпрометирована из-за атаки хакеров. Злоумышленники получили доступ к списку из 16 000 подписчиков, включая более 7 500 отписавшихся адресатов.

    Хант извинился перед активными подписчиками и обещал уведомить их об инциденте. Он также выразил обеспокоенность тем, что MailChimp хранит данные пользователей даже после отписки, и пообещал выяснить, является ли это его ошибкой.

    Фишинговое письмо, которое получил Хант, было очень реалистичным и просил его проверить кампании из-за жалобы на спам. Хант ввел свои данные на поддельной странице, после чего злоумышленники получили доступ к списку подписчиков.

    Хант подчеркнул, что двухфакторная аутентификация не всегда защищает от фишинга, так как злоумышленники могут перехватить код. Он также напомнил о важности внимательности при автоматическом заполнении данных.

    Хант также отметил ошибку в приложении Outlook для iOS, которое не отображало фактический домен отправителя письма. Фишинговый домен был быстро отключен после атаки, и Хант удалил API-ключ, чтобы предотвратить дальнейший доступ хакеров к его аккаунту.

  • Операция Zero: $4 млн за уязвимости в Telegram

    Операция Zero: $4 млн за уязвимости в Telegram

    Компания Operation Zero запустила новую программу вознаграждений за нахождение уязвимостей в мессенджере Telegram. За самые опасные уязвимости, которые могут быть использованы без участия пользователя, компания готова выплатить до $1,5 млн. За уязвимости, которые требуют хотя бы одного клика пользователя, сумма вознаграждения составляет $500 тысяч.
    Самая большая награда в $4 млн предусмотрена за набор уязвимостей, который позволит получить полный контроль над устройством пользователей Telegram.
    Эксперты отмечают, что такие высокие награды отражают интерес клиентов компании к возможности взлома Telegram, где есть более миллиарда активных пользователей. Уязвимости могут использоваться для направленных кибератак на отдельных пользователей или группы, что делает их ценными для спецслужб и других организаций.
    Ранее компания предлагала до $20 млн за уязвимости, которые позволяют полностью контролировать устройства на iOS и Android.

  • Скрытый драйвер: взлом привилегий SYSTEM через Paragon

    Скрытый драйвер: взлом привилегий SYSTEM через Paragon

    Исследователи из Microsoft обнаружили пять уязвимостей в драйвере BioNTdrv.sys, который используется в программе Paragon Partition Manager для работы с жестким диском. Одна из этих уязвимостей уже используется злоумышленниками для получения специальных прав в Windows.

    Атакующие используют метод BYOVD, чтобы внедрить уязвимый драйвер на компьютер и получить больше прав. CERT/CC предупреждает, что злоумышленники могут использовать эти уязвимости для повышения прав или создания проблем с обслуживанием.

    Поскольку драйвер подписан Microsoft, атаки могут быть проведены даже на компьютерах без Paragon Partition Manager. Уязвимости в BioNTdrv.sys позволяют злоумышленникам выполнять команды с максимальными правами, обходя защитные механизмы и антивирусные программы.

    Microsoft назвала особенно опасной уязвимость с номером CVE-2025-0289, так как она уже используется злоумышленниками. Разработчики Paragon Software рекомендуют обновить программу до версии 2.0.0, где исправлен драйвер BioNTdrv.sys.

    Для защиты системы пользователи должны активировать опцию «Список заблокированных уязвимых драйверов» в параметрах Windows 11. Это поможет предотвратить атаки. Пользователям Paragon Partition Manager и Hard Disk Manager также нужно обновить программу до последней версии, чтобы избежать блокировки драйвера Windows.

    Хотя конкретные группировки, использующие уязвимость, не названы, известно, что такие киберпреступники, как Scattered Spider, Lazarus Group, BlackByte, LockBit, активно применяют метод BYOVD. Поэтому важно активировать защитные механизмы Windows, чтобы предотвратить эксплуатацию уязвимых драйверов.

  • Украдены более 6 Гбайт данных у Orange

    Украдены более 6 Гбайт данных у Orange

    На одном сайте для хакеров появилась информация о том, что у компании Orange Group были украдены внутренние данные. Французский провайдер телеком-услуг подтвердил, что его системы были взломаны, и сейчас он пытается оценить ущерб и уменьшить возможные последствия.

    Хакерам удалось украсть тысячи документов, включая более 600 тысяч записей о клиентах румынского филиала компании, информацию о сотрудниках, контрактах и проектах, а также исходные коды. Взломщик, который сообщил об этом на форуме, сказал, что он часть кибергруппы, но атака на Orange не связана с другими их операциями.

    Для взлома систем Orange использовались скомпрометированные учетные данные и уязвимости в Jira и внутренних порталах компании. Злоумышленники имели доступ к данным более месяца и украли около 12 тысяч файлов объемом почти 6,5 Гбайт. После кражи они попытались вымогать выкуп, но Orange отказалась платить, поэтому хакеры решили опубликовать информацию о взломе.

    Проверка экспертов подтвердила, что украденные данные содержат адреса электронной почты сотрудников и партнеров Orange Romania, а также частичные данные платежных карт. Некоторая информация уже устарела, так как некоторые сотрудники ушли, а срок действия некоторых карт истек.

    Представитель Orange Group подтвердил, что атака была направлена на их деятельность в Румынии, но операции клиентов не пострадали. Утечка данных произошла из несущественного приложения, используемого для обработки документации.

  • 130000 устройств атакуют сети Microsoft 365

    130000 устройств атакуют сети Microsoft 365

    Компания SecurityScorecard сообщила, что большая сеть ботов, состоящая из более чем 130 000 скомпрометированных устройств, атакует учетные записи Microsoft 365 по всему миру. Злоумышленники используют метод подбора паролей для обхода механизма аутентификации Basic Authentication и получения доступа без многофакторной аутентификации.

    Киберпреступники используют украденные учетные данные для атаки. Они делают неинтерактивные попытки входа с помощью Basic Auth, чтобы обойти систему безопасности.

    Эксперты предупреждают, что компании, которые полагаются только на мониторинг интерактивных входов, остаются уязвимыми. Неинтерактивные входы, особенно используемые для сервисных подключений и устаревших протоколов, часто не требуют многофакторной аутентификации. Хотя Microsoft постепенно отказывается от Basic Auth, некоторые компании все еще используют этот метод, делая их целью для атак.

    Basic Auth используется для перебора учетных записей с утекшими или слабыми паролями. Если пароль подобран успешно, MFA не активируется, что позволяет хакерам получить доступ без дополнительного подтверждения. Это также обходит политики условного доступа, делая атаку незаметной.

    После компрометации учетных данных злоумышленники могут получить доступ к устаревшим сервисам или использовать данные для дальнейших атак. Признаки атаки могут быть обнаружены в логах Entra ID.

    Исследователи предполагают, что ботнет может быть связан с группировками из Китая. Атака усложняется из-за использования большого количества IP-адресов.

    Специалисты рекомендуют компаниям отключить Basic Authentication в Microsoft 365, заблокировать указанные IP-адреса и включить многофакторную аутентификацию. Также необходимо отслеживать подозрительные попытки входа.

  • Хакеры атаковали Genea, сорвав тысячи циклов ЭКО

    Хакеры атаковали Genea, сорвав тысячи циклов ЭКО

    Австралийская клиника Genea, занимающаяся ЭКО, столкнулась с кибератакой, которая могла затронуть данные тысяч пациентов. После проблем со связью представители компании подтвердили, что какие-то посторонние люди получили доступ к их системам.

    Компания заметила подозрительную активность в сети и сразу приняла меры для защиты данных и провела расследование. Сейчас Genea сотрудничает с центром кибербезопасности.

    Пациенты были встревожены из-за проблем с доступом к приложению MyGenea. Некоторым нужны были срочные медицинские консультации, но они не могли связаться с клиникой. Руководство компании обещало уведомить пострадавших, если их данные пострадали.

    Geneа является одной из крупнейших клиник ЭКО в Австралии. Эксперты подчеркивают, что такие кибератаки поднимают важные вопросы о безопасности данных в медицине. Важно, чтобы клиники были готовы к подобным угрозам, чтобы защитить личную информацию пациентов и сохранить доверие к медицинским технологиям.

  • Банки предупреждены о компрометации ГК Ланит

    Банки предупреждены о компрометации ГК Ланит

    В субботу НКЦКИ опубликовало сообщение о возможной угрозе для компаний «ЛАНТЕР» и «ЛАН АТМсервис» из ГК «Ланит».
    Уровень угрозы был оценен как высокий, поэтому регулятор рекомендовал сменить пароли и ключи доступа ко всем системам компаний «Ланит». Также нужно усилить мониторинг безопасности и сообщить о любых подозрительных событиях.
    В 2024 году одной из серьезных угроз для российских компаний стали атаки через внешние каналы. Злоумышленники стремились получить доступ к информационным сетям компаний, занимающихся разработкой программного обеспечения. Их целью была компрометация информации клиентов.
    Документ содержит 20 рекомендаций для минимизации рисков. Их нужно выполнить без объяснений на русском языке.