Массовые атаки – это конвейерные кампании, которые бьют по тысячам компаний одним махом. По нашим оценкам, за первые три квартала 2025 года каждая пятая успешная атака на организации была массовой, а одна кампания могла затрагивать от десятков до нескольких тысяч жертв. Для атакующих это идеальный бизнес: один сценарий, одна инфраструктура – и огромный охват, тогда как для компаний это лавина инцидентов, утечек и простоев, с которой уже не справиться силами «классического антивируса» и перегруженной SOC-команды.

Поддельные CAPTCHA, сгенерированный ИИ вредонос, отказ в обслуживании Citrix и прочие неприятные сюрпризы от хакеров.

Подготовили для вас подборку самых нашумевших массовых кибератак за первые три месяца.

Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader. Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs.

Дальнейшее расследование позволило обнаружить в инфраструктуре жертвы активность другой группировки. Интересно, что ее деятельность, вероятно, помешала QuietCrabs реализовать атаку и стала причиной, по которой на эту атаку обратили внимание. Мы предполагаем, что второй группировкой являются хакеры Thor.

В статье мы покажем цепочки атак, обнаруженные нами во время расследования, и расскажем про сами инструменты, которые использовали злоумышленники.

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

Команда комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершила анализ инцидентов за период с IV квартала 2024 года по III квартал 2025 года. За это время мы провели более сотни расследований и в очередной раз убедились: киберугрозы не становятся сложнее, но становятся результативнее. Хакеры нечасто придумывают что-то принципиально новое — они совершенствуют уже проверенные методы и реализовывают их эффективнее .

Наша статья для тех, кто ответствен за информационную безопасность: от CTO и CISO до администраторов и аналитиков SOC. В ней собрана информация о том, как проникают хакеры, какие инструменты используют, и что из этого следует для защиты.

Всем привет! Вновь с вами аналитики из команды PT Cyber Analytics, и мы завершаем рассказ про исследование защищённости банкоматов. В первой части статьи мы подробно рассказали про устройство банкомата, принцип его работы и основные типы атак. Настало время перейти к самому интересному: логическим атакам.

За нами, читатель! Мы расскажем, как же всё-таки взламывают банкоматы без шума и пыли.

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 9 трендовых уязвимостей.

Всем привет! Вновь на связи аналитики из команды PT Cyber Analytics. В этой статье хотим поделиться экспертизой, полученной в ходе наших исследований в области защищенности банкоматов.

Основная цель анализа защищенности банкоматов — выявить сценарии хищения денег, которые могут реализовать хакеры различного уровня подготовки: от случайного преступника, использующего готовое ВПО, до сервисного инженера, имеющего знания о внутреннем устройстве банкомата, а также расширенный доступ к оборудованию.

В первую очередь разберем устройство банкоматов и расскажем об основных видах атак на них. А после — рассмотрим некоторые виды актуальных атак, а также дадим рекомендации по их предотвращению.

За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

BOOO 🎃🎃🎃 Про безопасников часто слышишь — мол, вы пугаете людей. Мы подумали, раз уж и дата сегодня соответствующая, ужаснуться не помешает. Хотя бы понарошку. Поэтому в эфире сегодня небольшая и красочная подборка.

Мы представили себе, как выглядел бы актерский состав киберугроз, если бы они снимались в фильмах ужасов, и вот что у нас получилось 🎃🎃🎃🎃🎃

Когда речь заходит о беспроводных сетях, злоумышленники часто сосредотачивают усилия на поиске брешей в механизмах аутентификации и на атаках на них: подобным способом они пытаются проникнуть в корпоративную сеть. На прошлой неделе мы рассказали, как устроен процесс аутентификации и какие протоколы для этого применяются. В зависимости от выбранного протокола используются определенные методы шифрования и проверки данных.

Так, у широко распространенного протокола WPA2 есть ряд известных уязвимостей. Среди них — подбор пароля по захваченному рукопожатию (handshake), восстановление ключа при слабом пароле (перехват PMKID), атаки на WPS (в том числе перебор PIN‑кода). В корпоративных сетях также возможны атаки на механизмы аутентификации, например downgrade‑атаки при использовании устаревших методов вроде EAP‑GTC.

Ни один протокол не идеален, и даже WPA3 не стал исключением. Хотя он действительно более безопасен, чем предшественники, исследователи обнаружили в нем уязвимости под общим названием Dragonblood. Например, одна из них позволяет провести атаку на точку доступа в режиме WPA3-Transition Mode. В этом режиме точка доступа поддерживает одновременно WPA2 и WPA3, что позволяет злоумышленнику понизить уровень безопасности до уровня WPA2 и обойти защиту. Дополнительно существует инструмент DragonShift, который автоматизирует процесс такой атаки, еще больше упрощая задачу хакеру.

Чтобы нагляднее показать, как распределяются атаки на беспроводные сети (в том числе на WPA2 и WPA3), можно условно выделить несколько категорий.

Как-то раз мы делали кликер для запуска нашего межсетевого экрана нового поколения (PT NGFW) — простую игру, где игроки-хакеры атакуют разные поколения файрволов. Задумка была классная: на последнем уровне пользователей ждал наш главный защитник — PT NGFW, и все их мощные инструменты против него внезапно становились бесполезными. Так мы хотели показать, что PT NGFW — это реальный инструмент для отражения кибератак, а проходимость трафика 300 Гбит/с — это не просто цифра, а реальный технологический прорыв.

Но в процессе разработки игры профессионалы из команды Phygital.Team так увлеклись геймдизайном, визуалом и механиками, что не учли, что кибербез-компания привлечет особое внимание кибервзломщиков.

Под катом — вся эта эпичная история со взломами, патчами на коленке и неожиданными поворотами.

(поиграть тоже дадим)

Привет, Хабр! На связи команда PT Cyber Analytics. Мы подготовили для вас материал по устройству и безопасности современных беспроводных сетей. В его основе — результаты проведенных проектов и экспертиза наших исследователей.

Представьте, что вы вернулись в 1995 год. Там, где вместо гигабитных скоростей — dial-up, вместо Netflix — видеокассеты, а Wi-Fi — это магия, передающая данные со скоростью всего лишь 1–2 Мбит/с. Сейчас все иначе: беспроводные сети — от домашнего Wi-Fi до корпоративных инфраструктур, поддерживающих сотни устройств одновременно, — стали неотъемлемой частью нашей цифровой жизни.

While researching malware used by attacker groups, we came across a series of unusual attacks that used GitHub repositories to store malicious files and victim data. These campaigns appear targeted rather than large-scale, and it seems the attackers relied heavily on AI during development. The earliest activity we traced was in September 2024, and the most recent in April 2025.

Our Threat Intelligence team investigates complex attacks featuring novel persistence and data collection methods and unique infrastructures. Sometimes we find simple two-line scripts, and other times we run into "bombs" that trigger dozens of different payloads at once. But it's pretty rare for us to come across such long chains of really simple AI-written scripts that still work, tied together in a way that clearly wasn't random. Think of this as an APT-style attack implemented at the "script kiddie" level (a derogatory term in hacker culture for those who rely on scripts or programs written by others).

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 3 трендовые уязвимости.

Антивирус, EPP, EDR и XDR… Многие слышали эти термины, но далеко не все понимают, чем они различаются и почему одного только антивируса сегодня уже недостаточно. В этой статье эксперты из Positive Technologies — Паша Попов, лидер практики по управлению уязвимостями, Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, и Кирилл Черкинский, руководитель практики защиты конечных устройств, — разбираются с помощью наглядных аналогий в средствах киберзащиты и их роли в управлении уязвимостями.

Слово «антивирус» сейчас для некоторых звучит как анахронизм, что-то из 90-х. Ну какой же, помилуйте, антивирус, когда тут иногда глубокоэшелонированная защита не спасает?!

На прошедшем в мае PHDays мы обсудили с ведущими вендорами и экспертами, как изменился рынок защиты конечных устройств и какие тренды сейчас определяют развитие антивирусных технологий.

Так вышло, что вести дискуссию доверили мне, Сергею Лебедеву, руководителю департамента разработки средств защиты рабочих станций и серверов Positive Technologies, и в этой статье я решил поделиться с вами основными выводами, которые для себя отметил.

Если вам интересно, жив ли пациент антивирус и как себя чувствует этот класс систем защиты информации — добро пожаловать под кат.

Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных в сегменте Standalone на Standoff Hackbase. Нашей целью была система контроля посетителей PassOffice.

Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода.

Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

В процессе исследования вредоносных файлов, которые использовали группировки злоумышленников, мы наткнулись на интересные ранее незамеченные атаки, в которых использовались GitHub-аккаунты для хранения вредоносных файлов и данных жертв. Эти атаки не выглядели как что-то массовое, и, судя по всему, при разработке злоумышленники использовали ИИ. Самую раннюю подобную активность мы зафиксировали в сентябре 2024 года, самую позднюю — в апреле 2025-го.

Мы в команде Threat Intelligence исследуем сложные атаки с интересными способами закрепления и сбора информации, с уникальной инфраструктурой. Бывает, попадаются какие-то простенькие скрипты на пару строчек или же «бомбы», которые запускают сразу десятки различных малварей. Но очень редко мы встречаем настолько длинные цепочки очень простых скриптов, написанных ИИ и при этом рабочих, в такой сложной связке — видно, что логика была продумана. Считайте это описание целевых атак в иерархии script kiddie.

Привет! Меня зовут Иван Преображенский, я руковожу группой молодых и талантливых юристов, отвечающих за операционное направление в Positive Technologies. Любой коллега может прийти к нам за правовой помощью или советом: какой договор необходимо использовать для защиты компании и работников, нужно ли согласовывать использование того или иного визуала с правообладателем, как правильно соблюдать конфиденциальность в работе с заказчиком, где и какой потребуется добавить дисклеймер. И вопросов этих становится всё больше с каждым даже не годом, а месяцем. В этой статье расскажу про ключевые моменты, связанные с работой современного IT-юриста.

Привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 8 трендовых уязвимостей.