Хакеры проводят масштабную атаку на сетевые устройства
Глобальная атака методом перебора паролей затронула миллионы сетевых устройств по всему миру, в том числе в России. Киберэксперт Михаил Спицын рассказал, как защитить сетевые устройства.
По данным Shadowserver*, злоумышленники используют почти 2,8 миллиона IP-адресов ежедневно в попытках подобрать учётные данные к устройствам Palo Alto Networks, Ivanti, SonicWall и других производителей.
Атакующие IP-адреса находятся в Бразилии, Турции, России, Аргентине, Марокко и Мексике. Вектором нападения стали пограничные устройства безопасности — межсетевые экраны, VPN-шлюзы и прочие решения, обеспечивающие удалённый доступ.
По информации Shadowserver, атака длится уже несколько недель, но недавно активность резко возросла. В атаках задействованы маршрутизаторы и IoT-устройства от MikroTik, Huawei, Cisco, Boa и ZTE, часто используемые в ботнетах. Применение таких устройств в атаке указывает на возможное участие крупной сети заражённых узлов или сервисов резидентных прокси.
Резидентные прокси позволяют злоумышленникам скрывать свою активность, используя IP-адреса реальных пользователей интернет-провайдеров. Это усложняет обнаружение и блокировку атакующих, так как их действия выглядят, как обычный трафик. Хакеры могут направлять вредоносные запросы через корпоративные сети, используя их, как узлы выхода.
«Без надёжной аутентификации и авторизации злоумышленники могут получать доступ к критически важной инфраструктуре компании, что может привести к серьёзным последствиям. Резидентные прокси могут быть использованы для маскировки, однако это не означает гарантированного успешного проникновения в систему. NAC-модуль (Network Access Control) способен обеспечить защиту, применяя многоуровневую проверку доступа и мониторинг сетевой активности. Например, Efros DefOps NAC обеспечивает централизованную сетевую идентификацию», — говорит киберэксперт компании «Газинформсервис» МихаилСпицын.
*Shadowserver — организация, которая занимается мониторингом сетей и борьбой с киберпреступностью.
Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.
В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.
Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.
Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».
Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.
Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.
В прошлом году эксперты в рамках проекта «ИБ-пророк. Когда сходятся звёзды: прогнозы лидеров инфобеза»* предсказывали появление новых схем мошенничества, включая голосовые дипфейки, — и теперь эти прогнозы сбываются. Злоумышленники звонят россиянам под видом соцопросов, чтобы записать их голос и создать поддельные аудио. Но это лишь один из сценариев. Какие ещё угрозы предвидели специалисты?