Новости информационной безопасности

📚Казна пустеет, милорд. Почему доходы онлайн-пиратов в России падают семь лет подряд 2 марта. / securitylab.ru /. Компания F6 оценила объем рынка онлайн пиратства в России по итогам 2025 года в 34,4 млн долларов. Годом ранее показатель составлял 36,4 млн долларов, падение достигло 5,5%. После пика 2018 года с выручкой 87 млн долларов сегмент снижается уже семь лет подряд, а текущий уровень оказался в 2,5 раза ниже исторического максимума . Аналитики связывают спад с ухудшением рекламной монетизации, падением стоимости трафика и перераспределением аудитории в пользу легальных онлайн кинотеатров. Поисковый трафик на пиратские порталы сократился на 5,1%, тогда как интерес к легальным сервисам вырос на 27,6%. Средний CPM на пиратских ресурсах в 2025 году составил 3,1 доллара, что на 0,02 доллара ниже прошлогоднего значения . Серьезный удар по доходам нанесли блокировки. За 2025 год заблокировано рекордные 304 500 пиратских страниц. Показатель превысил суммарное количество блокировок за период с 2022 по 2024 годы. На ссылки на пиратские порталы и зеркала пришлось 98,4% всего заблокированного контента . F6 впервые включила в расчет не только пиратские сайты, но и видеохостинги, стриминговые платформы, блоги, социальные сети и мессенджеры. На дополнительные каналы пришлось 8,1 млн долларов выручки, что на 37,2% меньше уровня 2024 года. Суммарный доход пиратов с учетом всех площадок составил 42,5 млн долларов против 49,3 млн годом ранее . Помимо прямых потерь правообладателей, эксперты указывают на технические риски. Около 40% пиратских сайтов содержат вредоносный код, уязвимости или признаки компрометации, что повышает вероятность киберинцидентов уже при обычном посещении ресурса . По оценке руководителя F6 Digital Risk Protection Станислава Гончарова, несмотря на сокращение совокупной выручки, онлайн пиратство сохраняет масштаб и способность быстро перестраивать инфраструктуру. Среднее время обнаружения первой пиратской копии составляет 30 минут, 85% ссылок на нелегальные ресурсы удается удалить в первые семь дней, 87% ссылок снимаются в досудебном порядке .

Вебинар: "Как управлять ИТ-проектами. Опыт КРОК" Любую команду на ИТ-проекте можно сравнить с оркестром. Необходимо правильно подобрать инструменты, быть гибкими к изменениям и следовать четкому плану. А как сделать так, чтобы участники «играли» слаженно и поддерживали общий ритм работы? Об этом можно узнать из вебинара, на котором своими секретами управления ИТ-проектами поделился практик — Екатерина Тихонова из КРОК. На вебинаре обсудили: — на что обратить внимание при выборе ИСУП; — какую методологию управления использовать; — для чего нужен портфель проектов и какая роль у проектного офиса; — какие инструменты нужны, чтобы грамотно планировать работы, назначать и контролировать ресурсы, учитывать трудозатраты и отслеживать риски. Запись уже доступна Скачать #реклама 16+ projects.directum.ru О рекламодателе

Сайт Роскомнадзора третий день под DDoS-атакой, специалисты пытаются её отразить 2 марта. / CYBER MEDIA /. Начались третьи сутки инцидента с доступностью официального сайта Роскомнадзор. Ресурс остаётся под международной DDoS-атакой, которая, по данным ведомства, начала ослабевать. Специалисты РКН продолжают работу по отражению атаки и локализации её источников. Как сообщили в ведомстве, 27 февраля 2026 года в 09:11 Центр мониторинга и управления сетью связи общего пользования зафиксировал начало DDoS-атаки на информационные ресурсы Роскомнадзора, Министерства обороны РФ и инфраструктуру ГРЧЦ. Мощность атаки достигала 33 Гбит/с, скорость - до 36,9 млн пакетов в секунду. В Роскомнадзоре уточнили, что вредоносный трафик был отделён и направлен на серверы очистки, после чего доступность ресурсов была восстановлена. При этом атака продолжается, ведётся работа по установлению источников и мест расположения ботнетов. По данным ведомства, атакующие серверы и ботнеты расположены преимущественно в России, а также в США, Китае, Великобритании и Нидерландах. Жалобы на сбои при доступе к сайту начали поступать 26 февраля после 10:00 мск, в том числе через сервисы мониторинга, такие как Detector404. Пользователи из разных регионов сообщали о недоступности сайта или медленной загрузке страниц. В Роскомнадзоре отметили, что специалисты продолжают отражать атаку и проводить мероприятия по её локализации.

Действующая в России кибергруппа Head Mare обновила Windows-бэкдор 27 февраля. / anti-malware.ru /. В этом месяце хактивисты Head Mare провели еще одну вредоносную рассылку с прицелом на российские организации. При разборе атак эксперты «Лаборатории Касперского» обнаружили новый вариант трояна PhantomCore. В предыдущей серии имейл-атак, тоже февральских, группировка Head Mare пыталась заселить в российские корпоративные сети схожий Windows-бэкдор PhantomHeart. Новые письма-ловушки злоумышленники рассылали от имени некоего НИИ, предлагая его услуги в качестве подрядчика. Вложенный архив под паролем содержал несколько файлов с двойным расширением .pdf.lnk. При запуске эти ярлыки действуют одинаково: автоматически скачивают с внешнего сервера документы-приманки и файл USOCachedData.txt. Загрузчики различаются лишь ссылками, по которым они работают. Невинный на вид USOCachedData.txt на самом деле скрывает DLL обновленного PhantomCore. Анализ образца (результат VirusTotal на 23 февраля — 34/72) показал, что новобранец написан на C++, строки кода зашифрованы путем побайтового XOR, а основной задачей трояна является обеспечение удаленного доступа к консоли в зараженной системе. При подключении к C2-серверу вредонос отправляет два POST-запроса с данными жертвы для регистрации и ожидает команд. В ответ он получает координаты архива с TemplateMaintenanceHost.exe — модулем для создания туннеля, который оседает в папке %AppData% и обживается через создание нового запланированного задания. Написанный на Go компонент TemplateMaintenanceHost.exe отвечает за запуск утилиты ssh.exe, которая может работать как SOCKS5-прокси и по дефолту включена в состав новейших Windows. Итоговый туннель открывает злоумышленникам возможность подключаться к другим машинам в той же локальной сети. По данным Kaspersky, новые поддельные письма Head Mare были разосланы на адреса сотен сотрудников российских госучреждений, финансовых институтов, промышленных предприятий и логистических компаний.

Пограничник забрал телефон "на минуту" — вернул со шпионским ПО. Теперь КГБ видит всё: переписки, звонки, экран 1 марта. / securitylab.ru /. Телефон может оказаться у представителей закона на несколько минут в самых разных ситуациях. Пограничник просит разблокировать устройство для проверки содержимого, сотрудник на КПП забирает аппарат в отдельную комнату под предлогом досмотра, телефон изымают и возвращают после краткого опроса. Для ResidentBat такого окна хватает: заражение происходит не через интернет и не дистанционно, а при физическом доступе к устройству. ResidentBat описывают как шпионское ПО для Android, которое, согласно совместному расследованию Reporters Without Borders и RESIDENT.NGO, применяли против журналистов и представителей гражданского общества. Публично о ResidentBat сообщили в декабре 2025 года. Анализ кода указывает, что разработка могла начаться как минимум в 2021 году. Распространение у ResidentBat точечное. Сервер управления не раздаёт установочные файлы и не заражает устройства сам. Для установки нужны физический доступ к телефону, загрузка APK через ADB, ручная выдача разрешений и отключение Google Play Protect. ADB, то есть Android Debug Bridge, обычно используют для отладки, но при атаке этот инструмент позволяет установить приложение в обход магазина. Такой способ не подходит для массовых заражений, зато даёт устойчивый контроль над конкретным устройством. После установки ResidentBat даёт оператору длительный доступ к данным и функциям телефона. В перечне возможностей указаны журналы звонков и SMS, доступ к данным из зашифрованных мессенджеров, запись с микрофона, снимки экрана и выгрузка файлов из памяти устройства. Сервер управления принимает выгруженные данные, отправляет команды, передаёт обновления и меняет настройки агента. Отдельный риск связан с удалённым стиранием. ResidentBat умеет вызывать DevicePolicyManager.wipeData и очищать устройство. Для журналистов и активистов это опасно не только утечкой, но и потерей материалов, переписок и контактов, включая источники. Канал управления работает по HTTPS и оставляет набор стабильных признаков. Узлы ResidentBat используют самоподписанные сертификаты со значением CN=server и одинаковый отпечаток баннера. Censys добавил ResidentBat в Threat Module с идентификатором THREAT-240, чтобы находить такие узлы автоматически. По состоянию на февраль 2026 года в одном из представлений Censys инфраструктура ResidentBat была сосредоточена в Европе и России: Нидерланды (5 узлов), Германия (2), Швейцария (2), Россия (1). Управляющий трафик обычно идёт по портам 7000–7257, а часть узлов также использует порт 4022. Один из индикаторов для поиска выглядит так:

banner_hash_sha256: 6f6676d369e99d61ce152e1e2b2eb6f5e26a4331f4008b5d6fe567edefdbeaca

При проверке открытых узлов исследователи увидели попытки усложнить идентификацию на уровне HTTP. Любой путь возвращает 200 OK с пустым телом, заголовки авторизации и тела POST-запросов не дают видимого отклика. В ответах встречается статический или поддельный заголовок Date, например Tue, 06 Jan 2026 01:00:00 GMT. Из-за такого поведения сигнатуры по HTTP-ответам почти бесполезны, поэтому основными признаками остаются TLS-сертификат и баннерный отпечаток. Описание инфраструктуры также допускает, что сервер проверяет клиента по сертификату, встроенному в APK, использует собственный протокол вместо обычного REST и принимает команды только от заранее разрешённых устройств. Для сетевого мониторинга полезно отслеживать исходящие HTTPS-подключения к узлам с самоподписанным сертификатом CN=server на портах 7000–7257, а также на 4022, где порт встречается. Для блокировок и оповещений можно использовать отпечатки сертификатов и баннерный хеш. На устройстве помогут контроль использования ADB, поиск пакетов, установленных в обход магазина, и проверка разрешений у приложений, которые маскируются под системные.

«Я что-то нажала и всё исчезло». Слабость к прекрасному полу может стать главной причиной взломов в 2026 году 28 февраля. / securitylab.ru /. Киберпреступные группы всё чаще делают ставку не на сложные эксплойты, а на разговоры с техподдержкой. Свежий пример показал, как злоумышленники пытаются повысить результативность телефонной социальной инженерии за счёт подбора «правильного» голоса. 22 февраля 2026 года компания Dataminr заметила на публичной телеграм-доске объявление о наборе женщин в группировку Scattered Lapsus$ Hunters (SLH) для кампании голосового фишинга. Набранным участницам обещают аванс за каждый звонок в размере 500-1000 долларов и готовые сценарии разговоров. Целью называют обращения в IT-службы поддержки, где звонящий пытается выдать себя за сотрудника или подрядчика и добиться сброса пароля, смены факторов аутентификации или других действий, открывающих доступ к корпоративным системам. По оценке Dataminr, ставка на женские голоса выглядит как прагматичный ход. Сотрудники Help Desk нередко ориентируются на типовые «профили» злоумышленников, а нестандартная подача вместе с уверенным сценарием может снизить настороженность и ускорить выполнение запроса. SLH в отчётах Dataminr фигурирует как «супергруппа», связанная с альянсом Lapsus$, Scattered Spider и ShinyHunters. Объединение зарабатывает на вымогательстве и взломах крупных организаций, а также связывается с кражей более 1,5 млрд записей. Среди пострадавших в прошлых атаках упоминались Google, Cisco, Adidas и клиенты Salesforce. Излюбленные приёмы группировки — SIM Swapping и MFA Fatigue. Dataminr советует компаниям усилить защиту от социальной инженерии и отдельно подготовить Help Desk к таким звонкам. Полезно вводить независимую проверку личности при запросах на сброс пароля или смену MFA, например через видеозвонок или вторую внутреннюю верификацию, отказаться от уязвимых схем на SMS и push-уведомлениях в пользу аппаратных ключей с поддержкой FIDO2, а также внимательнее разбирать журналы событий на предмет создания новых учётных записей и повышения привилегий вскоре после обращений в поддержку.

Энтузиаст случайно получил доступ к тысячам роботов-пылесосов DJI Romo 27 февраля. / CYBER MEDIA /. Исследователь по безопасности по ошибке получил удалённый доступ к тысячам роботов-пылесосов DJI Romo после анализа открытой инфраструктуры сервиса. Об этом сообщило издание TechRadar. По данным публикации, доступ стал возможен из-за некорректной конфигурации облачной системы, связанной с управлением устройствами. В результате исследователь смог видеть информацию о подключённых пылесосах и потенциально взаимодействовать с ними через удалённые интерфейсы. Речь идёт о моделях бренда DJI Romo, подключённых к интернету для дистанционного управления и обновлений. Устройства, как и многие IoT-продукты, используют облачную инфраструктуру для координации работы, что при ошибках настройки может привести к масштабной экспозиции. Сообщается, что обнаруживший проблему специалист не преследовал вредоносных целей и уведомил соответствующие стороны о найденной уязвимости. После раскрытия информации доступ был закрыт. Инцидент вновь подчёркивает риски, связанные с экосистемой «умного дома»: при подключении к облачным сервисам даже бытовые устройства могут стать точкой входа при ошибках конфигурации или недостаточном контроле доступа.

Киберпреступники маскируют трояны под геймерские инструменты 27 февраля. / anti-malware.ru /. Киберпреступники начали заманивать пользователей под видом игровых утилит. На деле вместо «полезных» инструментов жертвы получают вредоносные программы для удалённого доступа. Распространяются они через браузеры и чат-платформы, а конечная цель — установка трояна на компьютер. Как сообщили в Microsoft Threat Intelligence, цепочка атаки начинается с вредоносного загрузчика. Он разворачивает портативную среду Java и запускает JAR-файл с именем jd-gui.jar. Для скрытного выполнения злоумышленники используют PowerShell и штатные инструменты Windows — так называемые LOLBins, например cmstp.exe. Такой подход позволяет маскировать активность под легитимные процессы. Загрузчик удаляет сам себя, чтобы замести следы, а также добавляет исключения в Microsoft Defender для компонентов зловреда. Закрепление в системе происходит через запланированное задание и стартовый скрипт Windows под именем world.vbs. Финальный модуль представляет собой многофункциональный инструмент: он может работать как загрузчик, исполнитель команд, модуль для скачивания дополнительных файлов и полноценный RAT. После запуска вредоносная программа устанавливает соединение с внешним сервером 79.110.49[.]15, откуда получает команды. Это открывает злоумышленникам возможности для кражи данных и доставки дополнительных пейлоадов. Специалисты рекомендуют администраторам проверить список исключений в Microsoft Defender и перечень запланированных задач, удалить подозрительные элементы, изолировать заражённые хосты и сбросить учётные данные пользователей, которые работали на скомпрометированных машинах.

📚Власти обозначили сроки блокировки Telegram 27 февраля. / CYBER MEDIA /. Мессенджер Telegram может быть заблокирован в России в первых числах апреля. Об этом со ссылкой на источники, близкие к обсуждению в профильных ведомствах, сообщил РБК. По данным издания, решение рассматривается как окончательное. Собеседники издания утверждают, что техническая подготовка к ограничению доступа уже ведется. Ранее сообщалось о возможном замедлении работы сервиса, однако теперь речь идет о полной блокировке. Источники указывают, что мера может вступить в силу 1 апреля. В числе причин обсуждаемого решения называются вопросы безопасности и случаи использования платформы для противоправной деятельности, включая вербовку пользователей, в том числе несовершеннолетних. Также упоминаются претензии регуляторов к исполнению требований российского законодательства. Ранее министр цифрового развития заявлял, что ограничений работы Telegram в зоне специальной военной операции не планируется. Однако в дальнейшем регулятор сообщил о продолжении введения последовательных мер в отношении иностранных мессенджеров, которые, по его оценке, не выполняют требования по удалению запрещенного контента. В 2025 году Роскомнадзор уже ограничивал отдельные функции Telegram, а также WhatsApp, указывая на необходимость исполнения требований по модерации и взаимодействию с государственными органами. На этом фоне возможная полная блокировка Telegram может стать крупнейшим ограничением иностранного мессенджера за последние годы.

Бесплатная конференция по PostgreSQL Регистрируйся на бесплатную конференцию по PostgreSQL — 19.03.2026.📅 Эксперты расскажут о разработке, администрировании и новинках мира Postgres. ✅ Бесплатное участие ✅ Опытные спикеры ✅ 25+ тематических докладов ✅ Рабочие кейсы Каждый участник получает именной Сертификат участника мероприятия. Одни из немногих спикеров конференции: — Андрей Бородин PostgreSQL Major contributor, руководитель подразделения разработки РСУБД с открытым исходным кодом Yandex Cloud — Родион Хабибов DevOps-инженер «СберСервис» — Андрей Овчаренко Руководитель отдела Java-разработки Московской биржи ... и многие другие. Регистрируйся, будет интересно! И бесплатно! Зарегистрироваться #реклама 16+ pgbootcamp.ru О рекламодателе