Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще выполняют задачи в интересах государств и аффилированных с ними структур, а ущерб от их атак уже достигает уровня APT-группировок. 

Мы, группа международной аналитики PT Cyber Analytics, проанализировали деятельность сотен группировок за год — получилось большое исследование. В статье расскажем о самом важном: как меняется ландшафт глобальных киберугроз, какие методы чаще всего используют атакующие и что нас ждет в будущем. А еще покажем топ интересных атак за 2025 год. 

Привет, Хабр!

Меня зовут Александр Коробко, я занимаюсь продуктовым маркетингом в Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Семёном Костромичевым — он отвечает за развитие технологии управления активами aka Asset Management.

Представьте ситуацию: вы — безопасник, и вам нужно следить за тем, чтобы в инфраструктуре компании не было уязвимостей, которые могут использовать хакеры. Но недостатков безопасности может быть много, со всеми справится нереально, поэтому необходимо выбрать самые критичные и начать с их. Например, один из них — критическая уязвимость в ОС на ноутбуке кого-то из коллег,  а вы не знаете, кому именно он принадлежит ноутбук. Смотрите в Excel, а там сотрудник уволился полгода назад, железо передали стажеру, но в базу не внесли. Знакомо?

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 4 трендовые уязвимости, все из февральского Microsoft Patch Tuesday.

Финансовые организации остаются одними из наиболее приоритетных целей для киберпреступников, в том числе хактивистских групп и высокоорганизованных APT-группировок. Рост геополитической напряженности, цифровизация финансовых сервисов, активное внедрение API-банкинга, облачных и платформенных решений, а также ускоренное использование искусственного интеллекта качественно меняют ландшафт киберугроз.

Даже организации с высоким уровнем зрелости ИБ, сертифицированными процессами и значительными инвестициями остаются уязвимыми для сложных многошаговых атак, усиленных искусственным интеллектом, для компрометации цепочек поставок, атак через доверенных подрядчиков и злоупотреблений легитимными цифровыми механизмами. В этих условиях ключевым становится не вопрос «произойдет ли инцидент?», а вопрос «как минимизировать ущерб и быстро восстановить деятельность организации в условиях инцидента?».

Совместное исследование Positive Technologies и Ассоциации ФинТех направлено на формирование целостного взгляда на ключевые изменения сфере кибербезопасности финансового сектора на горизонте 2026-2027 годов. Материал адресован руководителям ИБ и ИТ, архитекторам цифровых платформ, риск-менеджерам, а также представителям регуляторных и отраслевых структур.

Привет всем!

На связи аналитики из команды PT Cyber Analytics. Мы сопровождаем red‑team‑проекты и помогаем клиентам разобраться в результатах работы белых хакеров. Детально анализируем результаты тестирований на проникновение, оцениваем риски, связанные с обнаруженными уязвимостями, определяем уровень защищенности компаний и разрабатываем рекомендации по устранению слабых мест в инфраструктуре.

В этой статье мы проанализируем практики безопасного использования менеджеров паролей. Рассмотрим принципы работы различных типов менеджеров и их архитектуру, методы защиты, возможные угрозы безопасности, некоторые примеры взломов, а также способы минимизации рисков. Кроме того, уделим внимание рекомендациям по мониторингу и реагированию на инциденты, связанные с менеджерами паролей.

Привет, Хабр!

Хотим поделиться новым расследованием. На этот раз в поле зрения нашего экспертного центра безопасности (PT ESC) попала хакерская группировка Mythic Likho, атакующая крупные (читайте — платежеспособные) объекты инфраструктуры: неудивительно, ведь целью злоумышленников было вымогательство за расшифровку украденной информации.

В рамках данного исследования мы объединили экспертизу департаментов киберразведки (Threat Intelligence) и комплексного реагирования на киберугрозы (Incident Response) экспертного центра безопасности PositiveTechnologies, соединили разрозненные следы активности группировки Mythic Likho в единый кластер и провели его комплексное исследование. Наша цель — сформировать исчерпывающее понимание тактик, техник, средств нападения группировки. Подробности ищите под катом.

Всем привет, меня зовут Влад, aka Arkeil. Довольно часто решаю таски на платформе Standoff 365  и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase.

Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку персональных данных клиентов. Чтобы выполнить задание, необходимо получить информацию о клиенте с ID=2.

Перед началом поиска уязвимостей сканируем хост на открытые порты.

В феврале российские компании столкнулись с целевой атакой хакеров из группировки BO Team (также известной как Black Owl, Lifting Zmiy и Hoody Hyena). Злоумышленники использовали уязвимость в системах с установленным пакетом Microsoft Office, распространяя фишинговые письма с RTF‑файлами, оформленными под служебную переписку. При открытии вложений в программах Microsoft Office атакующие могли обходить встроенную защиту, получая возможность проникновения в ИТ‑инфраструктуру организаций.

Подробности про атаку читайте под катом.

Прошлый год ознаменовался чередой киберинцидентов, повлекших за собой рекордные убытки как для международных, так и для российских компаний. Благодаря ИИ и широкой доступности инструментария, атаки становятся все дешевле для хакеров, а вот компании далеко не всегда успевают принять необходимые меры по повышению уровня защищённости, обнаружению нарушителей и своевременному реагированию.

Проблема заключается не столько в квалификации специалистов и доступных ресурсах, сколько в отсутствии базовых процессов, например, процесса управления активами, напрямую связанным с нехваткой актуальных данных о защищаемой инфраструктуре и ее слабых местах. Важным остается и то, насколько быстро и эффективно выявляются и устраняются критически опасные недостатки, которыми могут воспользоваться злоумышленники, а также насколько оперативно компания достигает целевого уровня защищенности критически важных бизнес-процессов.

Хабр, привет!

На связи ведущий специалист Экспертного центра Positive Technologies Александр Леонов. Каждый месяц я рассказываю о трендовых уязвимостях в самых разных и широко используемых по всему миру продуктах и сервисах. Это такие уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в ближайшее время. В этой статье подведу итоги 2025 года и расскажу обо всех наиопаснейших уязимостях.

В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор.

В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

Смарт-контракты могут использоваться не только в публичных блокчейнах, но и в корпоративных и permissioned‑EVM-сетях. При этом с аудитами безопасности по‑прежнему связано много упрощенных представлений: от веры в то, что они не нужны в приватной сети, до ожидания, что аудит способен гарантировать отсутствие уязвимостей.

Мы обсудили эти вопросы с нашим экспертом по аудиту смарт‑контрактов на Solidity, Владимиром Чечеткиным. Под катом — разговор о типичных заблуждениях, качестве подготовки проектов и о том, почему ценность аудита часто раскрывается не в отчете, а в процессе взаимодействия.

Всем привет!

Меня зовут Игорь Панарин, я же m0nr0e21. Руковожу направлением анализа защищённости инфраструктуры в Дирекции по информационной безопасности РАНХиГС. Мы работаем с распределённой инфраструктурой: офисы, филиалы, ЦОДы — много площадок и зон ответственности. В такой среде важно не просто находить уязвимости, а наводить порядок в процессах, выстраивать понятное управление и делать безопасность системной, а не точечной.

В этой статье я разберу, как проходил взлом банковского сегмента на полигоне Standoff Hackbase, какие векторы атак сработали и какие практические выводы из этого стоит сделать специалистам по безопасности. Мы делаем большую системную работу — и иногда полезно выйти «в поле», чтобы убедиться, что защита действительно готова к бою.

Из года в год тема поддержания киберустойчивости не только не теряет актуальности, но и становится все острее. Хакеры не снижают своей активности, несмотря на то что технологии обеспечения кибербезопасности постоянно совершенствуются. 

По данным исследования Positive Technologies, в  период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. По итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%. 

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 2 трендовые уязвимости.

Привет всем!

Мы в группе киберразведки регулярно мониторим фишинговые кампании, построенные на социальной инженерии. В таких кейсах обычно отсутствуют вредоносные вложения, поэтому сигнатурные и sandbox-детекты часто дают ограниченный эффект. Ключевыми оказываются инфраструктурные признаки: кто указан отправителем, какие домены и узлы используются для рассылки, куда ведут ссылки и QR-коды. Масштаб достигается за счет массовой рассылки и отсутствия вредоносных вложений, из-за чего классическое антивирусное детектирование нередко не срабатывает.

Привет, Хабр!

На прошлой неделе мы рассказали о мировых трендах IT и ИБ, сложившихся в 2025 году. Это важные тенденции, которые буду влиять на нас и наше будущее в ближайшие месяцы и годы. Каким видится это будущее, исходя из тенденций — рассказываем в этой статье.

Во всём будет виноват ИИ, конечно, но не только.

12 декабря 2025 года ранее неизвестная группировка, именующая себя Punishing Owl, опубликовала пост о взломе сетей российского государственного учреждения из сферы безопасности. Сообщение содержало ссылки на DLS-сайт с внутренними документами жертвы и хранилище Mega.nz, дублирующее эти файлы.

Дарквеб‑форумы — неотъемлемая часть киберпреступного сообщества: здесь злоумышленники обмениваются опытом, продают украденные данные, распространяют вредоносное ПО и координируют незаконную деятельность. Теневые площадки дают участникам относительную защищенность, анонимность и чувство принадлежности к закрытому сообществу.

Эта статья о том, как современные киберпреступные форумы обеспечивают защиту своей инфраструктуры, какие технические и организационные меры применяют для поддержания анонимности, устойчивости и доверия среди участников, а также как их эволюция отражает глобальные процессы в сфере кибербезопасности, где обе стороны — и атакующие, и защитники — постоянно адаптируются к действиям друг друга.

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще три трендовые уязвимости.