Лондон вынудил Apple удалить функцию шифрования, крупнейшая кража криптовалюты случилась в Дубае, американская компания SonicWall назвала ключевые тенденции киберугроз, хакеры превращают геополитическую нестабильность в оружие, группа DragonForce нацелилась на богатые цели Ближнего Востока, а отчет Veracode о состоянии безопасности программного обеспечения делает неутешительные выводы.
Эксперты критикуют правительство после «катастрофического» решения Apple по шифрованию
Эксперты по безопасности и правам потребителей призвали законодателей привлечь правительство Великобритании к ответственности после того, как Apple удалила сквозное шифрование (E2EE) в iCloud в связи с требованиями Министерства внутренних дел о доступе к данным. Хотя запрос на доступ был сделан тайно в соответствии со спорным Законом о полномочиях следователей (IPA), также называемым «Хартией шпиона», широко сообщалось, что это произошло в начале этого месяца.
Однако, как долго утверждали Apple и другие технологические компании, невозможно создать «черный ход» E2EE для правительства и правоохранительных органов, не подвергая риску всех клиентов. Вот почему Apple приняла решение удалить функцию дополнительной расширенной защиты данных (ADP) для клиентов из Великобритании.
«Мы глубоко разочарованы тем, что защита, предоставляемая ADP, не будет доступна нашим клиентам в Великобритании, учитывая продолжающийся рост утечек данных и других угроз конфиденциальности клиентов, — говорится в заявлении Apple. — Повышение безопасности облачного хранилища с помощью сквозного шифрования сейчас важнее, чем когда-либо. Apple по-прежнему стремится предлагать нашим пользователям высочайший уровень безопасности их персональных данных и надеется, что в будущем мы сможем сделать это в Соединенном Королевстве».
Пока неизвестно, будет ли удаление ADP достаточным для удовлетворения правительства, учитывая, что его требования теоретически применимы во всем мире, в странах, где эта функция все еще действует. Рик Фергюсон, вице-президент по безопасности Forescout, сказал, что это был реалистично единственный путь, по которому могла пойти Apple после того, как правительство загнало ее в угол.
«Во-первых, бэкдор, дающий правительству Великобритании глобальный доступ к зашифрованным данным всех людей, никогда не появится. Бэкдоры не различают, и глобальная охота за угрозами, чтобы использовать их, будет немедленной и эффективной, — сказал он. — Во-вторых, где будет проведена черта? Если правительство Великобритании получит свой собственный бэкдор, что остановит Францию, США или, в конечном итоге, Россию, Иран или любую другую страну от того, чтобы потребовать того же?».
Эксперты считают, что этот шаг может нанести ущерб национальным интересам, поставив под угрозу потоки данных между Великобританией и ЕС. По их мнению, желающие избежать слежки всегда смогут найти инструменты, которые помогут им в этом. Но если решение Apple вызовет эффект домино для других крупных технологических компаний, Великобритания может перестать считаться безопасным местом для хранения персональных данных. Страна прекратит соответствовать требованиям ЕС. Каждая компания, ведущая бизнес в Европе, будет обязана выполнять дополнительные дорогостоящие обязательства по соблюдению, что затруднит планы правительства по росту и более тесным европейским политическим отношениям.
Майк Салем, представитель Центра потребительского выбора в Великобритании, призвал оппозиционные партии выразить свое недовольство и потребовать от правительства изложить свои доводы. По его словам, правительство Великобритании создало прецедент и новую репутацию, которая подчеркивает эрозию личных свобод и конфиденциальности в цифровую эпоху, когда эти ценности нужны как никогда. Крайне тревожен тот факт, что сделано это было без обсуждения, контроля или предварительного предупреждения пользователей Apple в Великобритании. По мнению критиков, потеря сквозного шифрования — это плохо. Но глобальное влияние этого требования имеет еще более опасный потенциал.
Bybit предлагает вознаграждение в размере 140 млн долларов за возврат средств после масштабного ограбления криптовалюты
Bybit предложил вознаграждение в размере 10% от любых возвращенных средств в попытке вернуть часть из 1,4 млрд долларов в криптовалюте, украденной в конце прошлой недели. Lazarus Group из Северной Кореи подозревается в совершении атаки Ethereum на биржу в Дубае 21 февраля, что уже было описано как крупнейшая в истории кража криптовалюты.
«Инцидент произошел, когда наш холодный кошелек ETH multisig выполнил перевод на наш теплый кошелек. К сожалению, эта транзакция была сфальсифицирована с помощью сложной атаки, которая замаскировала интерфейс подписи, отобразив правильный адрес, изменив при этом базовую логику смарт-контракта, — объяснила Bybit в сообщении в X (ранее Twitter). — В результате злоумышленник смог получить контроль над пострадавшим холодным кошельком ETH и перевести свои активы на неопознанный адрес. Наша команда безопасности совместно с ведущими экспертами по судебной экспертизе блокчейна и партнерами активно расследует инцидент».
Компания по анализу блокчейнов Elliptic объяснила, что злоумышленники работали по знакомому двухэтапному процессу отмывания денег после кражи. Первый шаг — обменять любые украденные токены на «родной» блокчейн-актив, такой как Ether. Второй этап включает «наслоение» украденных средств, чтобы скрыть след транзакции. Это усложняет отслеживание и дает достаточно времени, чтобы преступники могли обналичить средства.
Между тем Bybit пообещала выделить до 140 млн долларов США на «вознаграждение экспертов по этической кибербезопасности и сетевой безопасности, которые играют активную роль в возвращении украденных криптовалют в ходе инцидента». Компания высоко оценила работу отраслевых групп, которые объединились, чтобы помочь отследить, заблокировать и вернуть часть похищенных средств. Например, команда протокола mETH успешно восстановила 15 тыс. токенов cmETH на сумму около 43 млн долларов, сообщила Bybit.
Вторая по величине в мире криптовалютная биржа также выпустила новый API, который, по ее словам, обновит список подозрительных адресов кошельков, выявленных на данный момент, и поможет оптимизировать усилия по восстановлению. Bybit заявила, что также планирует запустить платформу HackBounty, которая в настоящее время находится в стадии разработки и призвана помочь всей отрасли отслеживать хакеров.
Сантьяго Понтироли, ведущий исследователь Acronis, сказал, что сам инцидент подчеркивает текущие проблемы безопасности, с которыми сталкивается криптосообщество. По его словам, в данном случае сочетание социальной инженерии и вредоносного, но специально созданного смарт-контракта предоставило злоумышленникам ключи от «королевства». Это подтверждает важность сохранения контроля над закрытыми ключами с помощью аппаратных кошельков или решений для самостоятельного хранения в целях снижения рисков, связанных с уязвимостями биржи. Эксперт выступил в пользу усиленного контроля над транзакциями, так как «слепое принятие взаимодействия со смарт-контрактами может открыть двери для вредоносных эксплойтов».
Bybit пообещала, что ни один клиент не пострадает из-за инцидента. По состоянию на утро прошлого понедельника компания сообщила в X, что ее резервы ETH близки к 100%, а депозиты и вывод средств вернулись к норме.
«Я воодушевлен невероятным товариществом в блокчейне и в реальной жизни. Это может стать моментом трансформации для нашей отрасли, если мы сделаем все правильно. Вместе мы сможем построить более надежную систему защиты от киберугроз», — отметил Бен Чжоу, соучредитель и генеральный директор Bybit.
61% хакеров используют новый код эксплойта в течение 48 часов после атаки
В 2024 году киберпреступники начинали атаки в течение 48 часов после обнаружения уязвимости, при этом 61% хакеров использовали новый код эксплойта за этот короткий промежуток времени. Компании сталкивались с критическими кибератаками в среднем в течение 68 дней, в то время как программы-вымогатели оставались самой значительной угрозой. Особенно пострадала отрасль здравоохранения: программы-вымогатели стали причиной 95% всех нарушений и затронули более 198 млн пациентов в США.
Эти цифры взяты из ежегодного отчета SonicWall о киберугрозах, в котором также говорилось, что злоумышленники используют автоматизацию на основе ИИ и передовые методы уклонения (это делает защиту для малого и среднего бизнеса все более сложной).
Вот некоторые из основных киберугроз, выявленных SonicWall в 2024 году:
1. Всплеск программ-вымогателей: в Северной Америке наблюдался рост на 8%, в то время как в Латинской Америке — на 259%.
2. Атаки IoT увеличились на 124% по сравнению с прошлым годом, хакеры нацелились на незащищенные устройства.
3. Взлом деловой электронной почты (BEC) составил 33% зарегистрированных событий киберстрахования (9% — в 2023 году).
4. Варианты вредоносного ПО: SonicWall выявил 210 258 ранее неизвестных вариантов вредоносного ПО, что в среднем составляет 637 новых угроз в день.
5. Бинарные файлы Living Off the Land (LOLBins): злоумышленники все чаще используют собственные системные инструменты для обхода обнаружения.
Согласно отчету, инструменты на основе ИИ делают кибератаки более доступными и сложными. Количество атак с подделкой запросов на стороне сервера выросло на 452%, поскольку нейросети улучшают методы обфускации и автоматизируют цепочку эксплойтов. Атаки с компрометацией деловой электронной почты (BEC) также развиваются, а генеративный ИИ позволяет киберпреступникам создавать очень убедительные фишинговые письма.
Атаки с использованием файлов, особенно с использованием вредоносных PDF-файлов и HTML-файлов фишинга, также значительно возросли. По данным SonicWall, 38% обнаруженных вредоносных файлов были основаны на HTML, а PDF-файлы следовали за ними с небольшим отставанием — 22%.
Чтобы противостоять этим угрозам, предприятия должны принять многоуровневую стратегию кибербезопасности. Основные рекомендации от SonicWall включают:
1. Управление исправлениями в реальном времени: применять исправления безопасности в течение 48 часов с момента раскрытия.
2. Модели безопасности Zero Trust: ограничивать доступ и проверять весь сетевой трафик.
3. Круглосуточный мониторинг угроз: сотрудничать с поставщиками услуг управляемой безопасности для непрерывного надзора.
4. Улучшенная защита от программ-вымогателей: реализовывать сегментацию сети и обнаружение и реагирование на конечные точки (EDR).
5. Безопасность IoT: защищать подключенные устройства, изменяя учетные данные по умолчанию и обновляя прошивку.
В связи с ускорением тактики киберпреступников предприятия малого и среднего бизнеса должны действовать оперативно, чтобы усилить свою защиту и смягчить финансовый и репутационный ущерб.
Геополитическая напряженность подпитывает всплеск киберугроз и хактивизма
По данным Group-IB, в прошлом году геополитическая нестабильность привела к росту числа атак с государственной поддержкой и хактивизма, а также активности программ-вымогателей как услуги (RaaS).
Компания опубликовала отчет High-Tech Crime Trends 2025, основанный на собственных исследованиях, сборе разведданных и реальных расследованиях киберпреступлений. Он выявил 58%-ный годовой рост числа инцидентов с государственной поддержкой, при этом в Европе наблюдался самый большой всплеск в регионе (18%). За ней следуют Ближний Восток и Африка (4%).
Учитывая, что многие из этих атак были вызваны конфликтами, включая российско-украинский, неудивительно, что главными целями стали правительственный и военный секторы (16%), за которыми следует производство (5%). Та же геополитическая напряженность может объяснить тренд на хактивизм. Большая часть активности в 2024 году пришлась на Азиатско-Тихоокеанский регион (39%) и Европу (36%), а Украина стала главной целью таких атак в Европе, составив 17% от общего числа. И снова наиболее пострадавшими стали государственный и военный секторы (6%), а также производство (4%).
Поскольку многие филиалы и разработчики RaaS находятся в бывших советских республиках, динамика здесь также может быть связана с геополитическим ландшафтом. Group-IB зафиксировала 44%-ный рост числа объявлений, направленных на вербовку филиалов, и 10%-ный рост количества утечек данных.
Европа в прошлом году пострадала также от мошенничества: Group-IB обнаружила более 200 тыс. мошеннических «ресурсов» по всему миру, что на 22% больше в годовом исчислении. На европейский сектор финансовых услуг пришлось 34% всех мошенничеств в регионе.
Подпиткой всей этой преступной деятельности является работа брокеров первичного доступа (IAB) и огромные объемы личной информации и учетных данных, наводнивших «темную паутину». В отчете отмечено 15%-ное увеличение операций IAB в 2024 году — до 32% в Европе и 43% в Северной Америке. В Group-IB также рассказали о 6,4 млрд строк данных, включая адреса электронной почты, пароли и финансовые данные, которые были украдены по всему миру в 2024-м.
Интересно, что многие старые методы продолжают приносить плоды. Фишинг был самым распространенным вектором первоначального доступа в прошлом году, даже несмотря на появление новых тактик. Например, количество услуг deepfake, рекламируемых в Telegram, увеличилось на 40%. Генеральный директор Group-IB Дмитрий Волков предупредил о «неумолимом расширении» экономики даркнета.
«Киберпреступники не просто используют уязвимости — они превращают геополитическую нестабильность в оружие, чтобы парализовать критически важные отрасли по всему миру. Aтаки повышенной сложности, утечки данных, фишинг и программы-вымогатели не происходят изолированно, они подпитывают друг друга, образуя обширную взаимосвязанную сеть угроз, — отметил он. — Необходимость создания устойчивых сообществ кибербезопасности и принятия передовых стратегий безопасности никогда не была столь важной для борьбы с этими угрозами, как сегодня. Нельзя терять времени — организации должны предпринимать упреждающие шаги уже сейчас, чтобы опережать злоумышленников».
Программа-вымогатель DragonForce атакует саудовскую фирму: украдено 6 Тб данных
Новая акция с использованием вируса-вымогателя от DragonForce нацелена на организации в Саудовской Аравии. Атака, которая затронула известную компанию по недвижимости и строительству из Эр-Рияда, привела к утечке более 6 Тб конфиденциальных данных.
Согласно новому сообщению Resecurity, злоумышленники впервые объявили о взломе 14 февраля 2025 года, потребовав выкуп перед публикацией украденной информации. Крайний срок был установлен на 27 февраля, за день до начала Рамадана. После истечения срока выкупа DragonForce опубликовала украденные данные через специальный сайт утечки (DLS), отдельный от ее основной платформы.
Группа вымогателей, работающая по модели RaaS, продолжает расширять свою партнерскую сеть, предоставляя инструменты и ресурсы киберпреступникам в обмен на долю от выплат выкупа. В частности, ее DLS оснащена расширенными механизмами CAPTCHA для предотвращения автоматического отслеживания ИБ-компаниями.
Группировка набирает партнеров через подпольный форум RAMP, предлагая одну из самых высоких комиссионных ставок на рынке киберпреступности — до 80% от выкупа. Партнеры общаются через основанную на TOR систему обмена мгновенными сообщениями (TOX) и должны доказать свои возможности, продемонстрировав доступ к сетям жертв. Партнеры также получают услуги поддержки, такие как «Службы вызова» для прямого запугивания жертв и очень гибкий конструктор программ-вымогателей, позволяющий настраивать параметры шифрования.
DragonForce использует фишинговые атаки и эксплуатирует уязвимости в службах протокола удаленного рабочего стола (RDP) и виртуальной частной сети (VPN) для получения первоначального доступа. Группировка также использует тактику двойного вымогательства, шифруя данные жертвы и угрожая опубликовать украденную информацию, если требования выкупа не будут выполнены. Кроме того, известно, что DragonForce публикует аудиозаписи переговоров о выкупе, усиливая давление на жертв, чтобы они подчинились.
«Сочетание богатых целей, пробелов в кибербезопасности и геополитических факторов делает Ближний Восток привлекательным регионом для группировок, занимающихся вымогательством, — пишет Resecurity. — Программа-вымогатель DragonForce, нацеленная на Саудовскую Аравию, и связанная с ней утечка данных недавней жертвы подчеркивают настоятельную необходимость в усилении мер кибербезопасности для защиты жизненно важных национальных активов и конфиденциальной информации».
Устранение уязвимостей программного обеспечения занимает почти девять месяцев
Среднее время исправления уязвимостей безопасности программного обеспечения выросло до восьми с половиной месяцев, что на 47% больше, чем за последние пять лет, сообщается в последнем отчете Veracode о состоянии безопасности программного обеспечения (SoSS).
Среднее время исправления также на 327% больше, чем 15 лет назад — в основном из-за возросшей зависимости от стороннего кода и использования кода, созданного ИИ. Половина всех организаций имеет критический долг безопасности, определяемый как накопленные уязвимости высокой степени серьезности, остающиеся открытыми более года. Более двух третей (70%) этого критического долга безопасности приходится на сторонний код и цепочку поставок программного обеспечения. Около трех четвертей (74,2%) всех организаций имеют определенный долг безопасности, включая недостатки низкой степени серьезности.
Крис Вайсопал, главный ИТ-евангелист по безопасности в Veracode, прокомментировал тенденцию так: «Поверхность атаки становится все более сложной, особенно в последние пару лет с взрывным развитием разработки ИИ. В прошлогоднем отчете было зафиксировано, что 46% организаций имели долг по безопасности высокой степени серьезности. Хотя годовой рост может показаться незначительным, он идет в неправильном направлении».
Анализ также выявил значительные различия между уровнями зрелости организаций в поиске и устранении недостатков программного обеспечения. Так, 25% лучших исправляли более 10% своих недостатков программного обеспечения ежемесячно, в то время как 25% худших — менее 1% уязвимостей ежемесячно. Кроме того, 25% лучших организаций имеют долг по безопасности менее чем в 17% своих приложений; у 25% худших долг по безопасности присутствует в более чем 67% приложений.
Исследователи проанализировали 1,3 млн уникальных приложений, содержащих 126,4 млн необработанных результатов. В новом отчете установлено, что более половины (56%) приложений содержит уязвимости безопасности высокой степени серьезности, а 80,3% — некоторые недостатки. Около двух третей (64%) приложений имеют недостатки в коде собственной разработки, а 70% приложений — недостатки в коде третьей стороны.
Обнадеживающим является тот факт, что доля приложений, не содержащих никаких недостатков в списке топ-10 уязвимостей OWASP, выросла на 63% за последние пять лет. Также наблюдается устойчивое снижение количества приложений, содержащих недостатки в списке 25 самых серьезных ошибок программного обеспечения SANS Institute. Согласно рейтинговой системе Veracode, распространенность недостатков высокой степени серьезности сократилась вдвое с 2016 года.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)