С 2018 года производственный сектор понес колоссальные убытки от атак программ-вымогателей ✉️

По данным исследования Comparitech, эти инциденты привели к остановке работы 858 компаний по всему миру, а средний дневной убыток от простоя составил $1,9 млн.

Почему это критично?
Рэнсомвар не только замораживает производственные линии, но и срывает выполнение заказов, подрывает доверие клиентов и увеличивает время и стоимость восстановления.

В 2024 году число атак увеличилось почти вдвое: зарегистрировано 194 случая против 109 в 2023 году.

Особенно заметен рост утечек данных:
🔸 В 2023 году киберпреступники похитили 43,9 млн записей — это в 40 раз больше, чем годом ранее.
🔸 Среди крупнейших утечек VF Corporation – 35,5 млн записей и PharMerica – 5,8 млн записей

💸 Стоимость простоев и выкупов
Средняя продолжительность простоя составляет 11,6 дней, но может варьироваться от нескольких часов до 129 дней. Основные убытки:
🔸 Demant (2019): $95 млн на восстановление
🔸 TSMC (2018): $85 млн за 3 дня простоя
🔸 WestRock (2021): $79 млн убытков, включая $50 млн от потерь в производстве

Средняя сумма выкупа с 2018 года составила $10,7 млн. При этом известны случаи, когда требования доходили до $200 млн.

👀 Интересный факт: Boeing в 2023 году отказалась платить $200 млн, и преступники выложили в открытый доступ 43 ГБ данных компании.

Наибольшее число атак пришлось на:
🔸 Транспортное и автомобильное производство – 130 атак
🔸 Пищевую промышленность – 124 атаки

По данным на осень 2024 года:
🔸 Подтверждено 137 атак,
🔸 Средняя продолжительность простоя — 11 дней.

#новости

Veeam* выявила и устранила две серьезные уязвимости в Veeam Service Provider Console (VSPC), одна из которых получила почти максимальный балл по шкале CVSS — 9.9.

*Veeam разрабатывает решения для резервного копирования, восстановления данных и управления облачными и виртуальными средами, обеспечивая их доступность и защиту.

Подробности уязвимостей:
1️⃣ CVE-2024-42448 (критическая, CVSS 9.9)
🔸 Уязвимость позволяет удаленное выполнение кода на сервере VSPC через авторизованный агент управления.
🔸 Потенциальная угроза: полный контроль над системой и компрометация конфиденциальных данных.

“Эта уязвимость представляет значительный риск для организаций. Злоумышленники могут использовать ее для полного взлома серверов,” — Эрик Шваке, директор по стратегии кибербезопасности в Salt Security.

2️⃣ CVE-2024-42449 (высокая, CVSS 7.1)
🔸 Уязвимость позволяет утечку NTLM-хэша учетной записи службы VSPC и удаление файлов на сервере.
🔸 Пострадавшие версии: VSPC 8.1.0.21377 и более ранние версии сборок 7, 8.

Как защититься в будущем?
🔸 Регулярно обновляйте используемое ПО.
🔸 Настройте многоуровневую защиту: резервное копирование, проактивный мониторинг уязвимостей, эффективный план реагирования на инциденты.
🔸 Контролируйте безопасность не только своих систем, но и сервисов, которыми вы пользуетесь.

"Эти уязвимости подчеркивают важность своевременного патчинга и внедрения многослойных систем безопасности. Без таких мер компании подвергаются значительным угрозам," — Элад Луз, руководитель исследований в Oasis Security.

#новости

Microsoft выпустила декабрьское обновление Patch Tuesday, закрыв 71 уязвимость, среди которых активно эксплуатируемая CVE-2024-49138 👀

Что произошло?
CVE-2024-49138 — уязвимость повышения привилегий в драйвере Windows Common Log File System (CLFS). Этот сервис отвечает за работу системных журналов и может использоваться злоумышленниками для получения системных привилегий.

Почему это важно?
CLFS уже становился объектом атак в предыдущие годы (CVE-2022-24521, CVE-2023-23376 и др.). Новый баг, связанный с переполнением кучи (CWE-122), может привести не только к отказу в обслуживании, но и к выполнению вредоносного кода.

Другие критические уязвимости:
🔸 LDAP: CVE-2024-49112 (CVSS 9.8) — критическая RCE-уязвимость, связанная с вызовами LDAP.
🔸 RDP: Девять уязвимостей в службе Windows Remote Desktop Services.
🔸 MSMQ: Две RCE-уязвимости в Microsoft Message Queuing.

Эти уязвимости особенно привлекательны для авторов вредоносного ПО, в том числе для разработчиков программ-вымогателей.

#новости

🤩 Исследователи из Check Point раскрыли новый метод обхода защитных систем, используемый киберпреступниками. Злоумышленники активно эксплуатируют Google Calendar и Google Drawings, чтобы отправлять фальшивые приглашения с вредоносными ссылками.

Как работает атака?
🤩 Мошенники используют .ics-файлы, которые выглядят как легитимные приглашения от Google Calendar.
🤩 Они модифицируют заголовки отправителя, делая письма похожими на те, что отправлены от имени знакомого человека.
🤩 В приглашениях содержатся ссылки на поддельные Google Forms или Google Drawings.

После перехода по ссылке жертва попадает на фальшивую страницу, например, с поддельной поддержкой криптовалют или фейковым reCAPTCHA. Пользователей просят пройти "аутентификацию", ввести личные данные или реквизиты оплаты.

💳 Собранные данные используются для кредитного мошенничества, несанкционированных транзакций и взлома других аккаунтов жертвы .

Google рекомендует включить настройку "Только от известных отправителей" в Google Calendar. Она предупреждает пользователей о подозрительных приглашениях.

Дополнительные меры:
🤩 Используйте современные платформы email-безопасности для фильтрации фишинга.
🤩 Внедряйте MFA (многофакторную аутентификацию).
🤩 Мониторьте активность сторонних Google-приложений.
🤩 Настройте инструменты поведенческого анализа для выявления подозрительных попыток входа.

#новости

💬 Вы бы продали свои данные за деньги?

Исследователи в сфере безопасности обнаружили крупную операцию на даркнете, связанную с фермами биометрических данных. Анонимная группировка собрала огромное количество подлинных документов и соответствующих фотографий лиц, чтобы обмануть системы верификации "Знай своего клиента" (KYC).

🔗 Особенность схемы
Согласно данным iProov, злоумышленники могут получать эти данные не только через кражу, но и добровольно – пользователи сами продают свои документы и фото за деньги.

По словам главного научного сотрудника iProov Эндрю Ньюэлла:

«Люди, продающие свои биометрические данные, рискуют не только финансовой безопасностью, но и помогают преступникам создать полноценные идентификационные пакеты для сложных мошеннических схем»

🌐 Операция была выявлена в Латинской Америке, где уже оповещена местная полиция. Похожие схемы также замечены в Восточной Европе.

Интересные факты:
🟢 ICO запретила использование распознавания лиц компанией Serco Leisure для учета сотрудников.
🟢 AI-генерируемые глубокие фейки стали частью 24% попыток обмана систем биометрической проверки движений. При этом менее сложные механизмы, вроде селфи-аутентификации, чаще поддаются обычным подделкам.

#новости

Критическая уязвимость нулевого дня в Ivanti активно эксплуатируется в реальной среде

Национальный центр кибербезопасности Великобритании (NCSC) и его американский аналог (CISA) призвали пользователей Ivanti срочно принять меры для устранения двух новых уязвимостей, одна из которых уже активно используется злоумышленниками.

CVE-2025-0282
🔸 Тип: Нулевой день
🔸 CVSS: 9.0 (Критическая)
🔸 Риски: Удаленное выполнение кода (RCE) без аутентификации
🔸 Затронутые продукты:
- Ivanti Connect Secure (до версии 22.7R2.5)
- Ivanti Policy Secure (до версии 22.7R1.2)
- Ivanti Neurons for ZTA (до версии 22.7R2.3)

CVE-2025-0283
🔸 Тип: Эскалация привилегий
🔸 Риски: Локальная атака с повышением прав
🔸 Затронутые продукты: Те же версии, что и в CVE-2025-0282

Исследователи Microsoft и Google Mandiant обнаружили, что CVE-2025-0282 активно эксплуатируется начиная с декабря 2024 года.

🔔 Рекомендации Ivanti и агентств безопасности:
1. Запустите инструмент Integrity Checker Tool (ICT) для проверки на компрометацию.
2. При обнаружении компрометации немедленно сообщите в NCSC или CISA.
3. Выполните сброс настроек до заводских и установите последние обновления для Ivanti Connect Secure.
4. Проверьте конфигурацию Ivanti Policy Secure, чтобы она не была доступна из интернета.
5. Для ZTA gateways избегайте подключения незакрепленных шлюзов к контроллеру.
6. Выполняйте непрерывный мониторинг и поиск угроз.

✏️ Обновления уже доступны для Ivanti Connect Secure. Для Policy Secure и ZTA gateways исправления выйдут 21 января.

Ivanti ранее сталкивалась с высокоопасными уязвимостями, включая обход аутентификации, обнаруженный менее года назад. Эти инциденты подчеркивают необходимость оперативной реакции на угрозы.

#новости

⚡️ Microsoft устраняет 8 уязвимостей нулевого дня в рамках январского Patch Tuesday 2025

Microsoft начала 2025 год с выпуска обновлений безопасности, закрывающих 8 уязвимостей нулевого дня, из которых 3 активно эксплуатируются злоумышленниками:

CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335:

➡️Тип: Elevation of Privilege (EoP)
➡️Описание: Уязвимости в Windows Hyper-V NT Kernel Integration VSP с CVSS 7.8.

Несмотря на "не самый высокий" рейтинг, эксперты предупреждают о серьёзной угрозе из-за ключевой роли Hyper-V в Windows 11 (защита устройства, управление учетными данными).

Комментарий эксперта Immersive Labs, Кевина Брина:

«Если злоумышленник уже получил доступ к системе (например, через фишинг), эти уязвимости позволяют ему повысить свои привилегии до системного уровня, отключить защитные механизмы, похитить учетные данные и организовать дальнейшие атаки».

Другие исправленные уязвимости нулевого дня:
🔸 CVE-2025-21275: Проблема повышения привилегий в Windows App Package Installer
🔸 CVE-2025-21308: Спуфинг Windows Themes
🔸 CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: Уязвимости удалённого выполнения кода (RCE) в Microsoft Access

Критические уязвимости с CVSS 9.8:
🔸 CVE-2025-21311: Повышение привилегий в Windows NTLM V1
🔸 CVE-2025-21307: RCE в Windows Reliable Multicast Transport Driver (RMCAST)
🔸 CVE-2025-21298: RCE в Windows OLE

⚙️ Рекомендации:
Microsoft устранила свыше 150 CVE за январь, поэтому админам важно автоматизировать процесс управления патчами. Без этого сложно справиться с текущими темпами выхода обновлений.

#новости

💵 Согласно отчёту аналитической компании Chainalysis, киберпреступники получили не менее $41 млрд с использованием криптовалюты. Ожидается, что эта сумма вырастет до $51 млрд, так как продолжается выявление новых адресов, связанных с преступной деятельностью.

Ключевые направления незаконной активности:
🔸 Организованные группы — крупные сети преступников, включая транснациональные.
🔸 Мошенничество и скамы — с каждым годом изощрённее.
🔸 Даркнет-рынки — оборот составил $2 млрд.
🔸 Кражи средств — прирост на 21% до $2.2 млрд.
🔸 Санкционированные юрисдикции — криптоактивы под контролем санкционных органов.

Снижение активности в отдельных категориях
➡️ Средства, поступившие на fraud-шопы, упали более чем на 50% – всего $220 млн.
➡️ Оборот даркнет-рынков также сократился по сравнению с 2023 годом.

Рост краж и влияние Северной Кореи
Из $2.2 млрд похищенных средств около $1.3 млрд украли северокорейские хакеры, которые остаются в авангарде кибератак, особенно на криптовалютные платформы и проекты.

Смена предпочтений в криптовалютах
🔸 Stablecoins стали фаворитом среди преступников — на их долю пришлось 63% всей незаконной активности.
🔸 Bitcoin, хоть и теряет популярность, всё ещё активно используется в схемах вымогательства и на даркнет-рынках.

Хотя преступная деятельность в криптопространстве остаётся заметной, общий объём таких транзакций составляет всего **0.14%** от всех операций за 2024 год.

Как преступники используют криптовалюту
➡️ Традиционные схемы: отмывание денег, торговля наркотиками и оружием. ➡️ Поликриминал: многоуровневые преступления, такие как торговля людьми и интеллектуальное пиратство.

#новости

Как мемкоин Трамп открыл новую эру блокчейна: смекалка, миллионы и азарт

Ночью блокчейн Solana стал ареной настоящей крипто-драмы, которая дала понять, зачем на самом деле нужен блокчейн. Мемкоин Трамп, взлетевший за считанные часы, стал катализатором новой волны спекуляций, смекалки и неожиданных успехов.

Разгон $ TRUMP
На один из кошельков, связанный с создателем токена Трамп, поступило более 56 миллионов монет (2.7 миллиарда долларов). Это мог быть маркетмейкер, участник команды или сам президент. Но внимание привлекли не только объемы мемкоина Трамп.

На кошелек начали закидывать "левые" мемкоины. Один из них — Милей. Создатель токена Милей отправил 4.4 миллиона монет на кошельки крупнейших держателей Трампов. Блокчейн-энтузиасты, мониторящие Solana, начали скупать этот мемкоин. Итог: за 10 часов объем продаж мемкоин-подкидышей превысил $487 тысяч.

Как сейчас зарабатывают на мемах 🙂
Создатели других подкинутых монет тоже не теряли времени. На крупные кошельки, держащие Трамп за сутки накидали 183 новых токена. Некоторые из них за ночь принесли своим создателям сотни тысяч долларов. К примеру:

➡️ Токен 1: объем продаж — $500 тысяч.
➡️ Токен 2: объем продаж — $500 тысяч.
🔸 Общая сумма продаж всех "левых" монет за сутки — более $20 миллионов.

Создать монету, закинуть её на заметный кошелек и смотреть, как трейдеры начинают покупать, — теперь это новая модель заработка в блокчейне.

Мемкоин TRUMP уже стал символом новой эпохи блокчейна — это похоже на эволюцию классических казино, только с прозрачностью и безграничными возможностями децентрализации.

Поздравляем тех, кто успел заработать, и наблюдаем за развитием событий 👀 Криптаны в чате, активизируйтесь!

#новости

⚡️ Дональд Трамп неожиданно помиловал основателя печально известного подпольного онлайн-рынка Silk Road Росса Ульбрихта, который с 2015 года отбывал пожизненный срок в федеральной тюрьме. Это решение стало настоящей сенсацией, вызвав шквал обсуждений в СМИ и соцсетях.

Silk Road, функционировавший в сети Tor, стал первой крупной платформой, где за биткойны продавались наркотики, фальшивые документы и другие нелегальные товары. 👀 Ульбрихт, управлявший сайтом под псевдонимом "Ужасный пират Робертс" (отсылка к фильму "Принцесса-невеста"), был признан виновным по целому ряду обвинений, включая наркоторговлю, отмывание денег и сговор с целью взлома компьютерных систем.

"Это было необходимо" — Д. Трамп

На платформе Truth Social Трамп резко высказался в адрес тех, кто добивался обвинительного приговора:

🗣️ Мерзавцы, которые работали над его осуждением, были теми же безумцами, что пытались устроить охоту на меня

Помилование, по его словам, стало "полным и безоговорочным", а сам он лично позвонил матери Ульбрихта, чтобы сообщить ей радостную новость.

Адвокат Росса, Джошуа Дрейтел, выразил благодарность за это решение, заявив, что теперь его подзащитный сможет "начать новую жизнь и реализовать тот потенциал, который был утерян за годы заключения". Однако сроки освобождения Ульбрихта из тюрьмы в Аризоне пока не уточняются.

❓ Кто такой Росс Ульбрихт?
Росс, амбициозный программист, в свое время мечтал создать платформу свободного рынка, где не будет государственного контроля. Его адвокаты утверждают, что Silk Road позже был передан другим лицам, а самого Ульбрихта сделали "козлом отпущения".

Новость уже вызвала бурю реакций: от восторженных комментариев в криптосообществах до резкой критики со стороны сторонников жесткой борьбы с наркотрафиком.

Как это решение изменит цифровой мир и повлияет на будущее судебных процессов в эпоху криптовалют? Делитесь своими мыслями в комментариях!

#новости

Китайский стартап DeepSeek стремительно ворвался на рынок генеративного ИИ, представив DeepSeek-R1 — модель, созданную для сложных логических рассуждений. Однако исследования в области кибербезопасности показали, что R1 обладает критическими уязвимостями и крайне слабо защищена от атак.

🗣️ Новые отчёты компаний WithSecure, Kela Cyber, Unit 42 (Palo Alto Networks) и EnkryptAI выявили уязвимости в DeepSeek-R1, делающие её лёгкой мишенью для хакеров.

➡️Высокая подверженность prompt injection атакам: WithSecure Consulting протестировала 19 LLM-моделей, включая DeepSeek-R1, OpenAI o1 и Claude 3.5 Sonnet, с помощью нового инструмента Spikee.

Итоги неутешительны:
🔸 DeepSeek-R1 заняла 17-е место из 19, демонстрируя ASR (Attack Success Rate) 77% в тестах на защиту от атак
🔸 При добавлении системных правил и маркеров защита улучшилась незначительно (ASR 55%)
🔸 Для сравнения, OpenAI o1 заняла 4-е место в базовом тесте (ASR 27%) и 1-е место в режиме с усиленной защитой (0% атак)

➡️Подверженность джейлбрейку и созданию вредоносного кода
Исследование Kela Cyber показало, что DeepSeek-R1 легко взламывается с помощью техники Evil Jailbreak, ранее использовавшейся для обхода ограничений в OpenAI GPT-3.5. Эта атака позволяет модели генерировать вредоносный контент, включая инструкции по распространению вредоносного ПО.

➡️Новые техники обхода ограничений: Аналитики Unit 42 (Palo Alto Networks) обнаружили три новые методики джейлбрейка.

1️⃣ Crescendo — постепенное введение модели в заблуждение, направленное на генерацию запрещённого контента
2️⃣ Deceptive Delight — скрытие вредоносных запросов среди легитимных, используя положительный контекст
3️⃣ Bad Likert Judge — манипуляция оценочной шкалой, заставляющая модель выдавать вредоносные примеры

➡️DeepSeek-R1 в 11 раз чаще создаёт вредоносные выходные данные, чем OpenAI o1
Компания EnkryptAI провела тестирование моделей по стандартам безопасности OWASP Top 10 for LLMs, MITRE ATLAS и NIST AI RMF.

Модифицированные версии DeepSeek-R1 могут исполнять код при загрузке
Исследование Protect AI показало, что официальная версия R1 на Hugging Face не содержит явных уязвимостей. Однако модифицированные версии модели способны выполнять произвольный код при загрузке, что создаёт риск заражения системы при использовании неофициальных сборок.

#новости

Google тайно установил приложение, которое сканирует фото на вашем смартфоне 👀

Пользователи Android внезапно обнаружили на своих устройствах новое системное приложение — Android System SafetyCore. Оно устанавливается без согласия пользователей и работает в фоновом режиме.

После паники в интернете Google спустя несколько дней всё-таки подтвердил, что это приложение анализирует изображения в Google Messages и скрывает откровенный контент.

Что именно делает SafetyCore?
🔸 Приложение автоматически сканирует изображения в Google Messages на наличие 18+ контента.
🔸 Если обнаружен откровенный снимок, он размывается (блюрится) и появляется предупреждение.
🔸 Google заявляет, что вся обработка происходит на устройстве и файлы не загружаются в облако.

Почему пользователи возмущены?
1️⃣ Приложение установилось скрытно.
Google даже не уведомил пользователей о том, что добавляет новую систему сканирования изображений. Просто однажды люди заметили у себя на телефонах приложение, которое они не устанавливали.

2️⃣ Жрёт ресурсы.
SafetyCore требует около 2 ГБ оперативной памяти, что делает его непригодным для слабых смартфонов. Владельцы бюджетных Android-устройств уже жалуются на лаги и подвисания.

3️⃣ Кому-то это нужно?
Приложение работает только в Google Messages, а этот мессенджер почти никто не использует. Но Google всё равно принудительно загнал SafetyCore на миллионы устройств.

4️⃣ Сегодня не отправляет, а завтра?
Google уверяет, что фото остаются на устройстве и не передаются в облако. Но многие пользователи не верят в это. Уже сейчас компания собирает кучу данных о пользователях для таргетированной рекламы.

5️⃣ Что, если ИИ ошибётся?
Блюрятся только "откровенные" фото? А если система решит, что что-то на вашей картинке — это "неподобающий контент"? У Google уже были проблемы с алгоритмами, которые ошибочно блокировали пользователей и контент.

Google снова тестирует границы дозволенного. Как вам такое обновление?

#новости

Исследователи Reversing Labs обнаружили две вредоносные ML-модели на Hugging Face, крупнейшей платформе для обмена AI-моделями. Несмотря на наличие в них вредоносного кода, инструменты безопасности Hugging Face не отметили их как «опасные».

❓ Как работает атака?
Злоумышленники использовали уязвимость Pickle-файлов – формата сериализации в Python, который может исполнять код во время загрузки модели. Хотя вредоносные Pickle-файлы встречаются не впервые, исследователи выявили новую технику обхода защиты Picklescan – сканера, используемого Hugging Face для выявления угроз.

🔍 Метод nullifAI
Атакующие упаковали модели в формате PyTorch, но вместо стандартного ZIP использовали 7z, что сделало их невидимыми для Picklescan. Более того, файлы содержали «сломанные» Pickle-инструкции, из-за чего сканер не мог их корректно проверить.

💡 Проблемы в безопасности Hugging Face
Эксперты считают, что Hugging Face полагается на черный список опасных функций, что не защищает от новых угроз. Picklescan проверяет Pickle-файлы перед анализом, но сам механизм десериализации исполняет команды по мере их считывания. Вредоносный код в начале потока может обойти защиту и остаться незамеченным.

🗣️ Reversing Labs сообщили о проблеме в службу безопасности Hugging Face. Модели удалили в течение 24 часов, а Picklescan обновили, чтобы он мог обнаруживать угрозы в «сломанных» Pickle-файлах.

Если вы работаете с AI-моделями, избегайте загрузки Pickle-файлов из непроверенных источников. Атаки на ML-платформы становятся все изощреннее — будьте внимательны!

#новости