Что у нас на повестке :
🇰🇵 Хакеры из Северной Кореи с помощью ИИ и deepfake атакуют компании крипто-сектора
Специалисты по кибербезопасности обнаружили, что группа злоумышленников, связанная с Северной Кореей, вновь активизировала свои операции против компаний в крипто- и веб3-индустрии. Эти атаки становятся всё более изощрёнными — с использованием технологий искусственного интеллекта, поддельных видеозвонков и хитрых методов социальной инженерии.
Аналитики компании Google Cloud Mandiant, которые отслеживают эту угрозу под кодовым именем UNC1069, считают, что её члены действуют с 2018 года и сейчас сделали криптовалютный сектор своей главной целью.
🤖 Как устроена новая кампания атак
В одной из недавних атак злоумышленники сначала получили доступ к Telegram-аккаунту одного из руководителей крипто-компании и использовали его, чтобы связаться с другим сотрудником.
Затем жертве отправили приглашение на встречу через календарь (Calendly). На первый взгляд это выглядело как обычное рабочее приглашение, но переход по ссылке открывал фальшивый Zoom-звонок, который велся через инфраструктуру злоумышленников.
Во время такого звонка использовалось AI-генерированное видео (deepfake), на котором якобы появлялся известный руководитель из другой компании. Жертве говорили, что есть «проблемы со звуком» и предлагали помощь — а затем просили выполнить определённые команды в системе для «устранения неполадок».
Это классическая уловка, известная как ClickFix, когда человек добровольно вводит команды, которые на самом деле запускают вредоносный код.
💻 Что делает вредоносное ПО
Как только пользователь вводил команды, на его компьютер устанавливалось несколько различных вредоносных программ. Они позволяли атакующим:
- получить доступ к данным из браузера и ключам авторизации;
- украсть информацию из мессенджеров и приложений;
- извлечь криптовалютные ключи и сессионные токены;
- установить «бекдоры» для дальнейшего контроля.
Такая многоступенчатая цепочка позволяет не только украсть данные, но и использовать их в будущих кампаниях социальной инженерии.
🧠 Почему именно крипто-компании в прицеле
Эксперты объясняют, что группы, связанные с Северной Кореей, давно рассматривают цифровые активы как источник финансирования.
Цифровая валюта легко переводится и отмывается, не требуя сложных процедур, которые есть у банков. Кроме того:
- много компаний работают через мессенджеры и видеосвязь, что облегчает социальную инженерию;
- крипто-платформы часто имеют прямой доступ к крупным средствам;
- транзакции блокчейн-сетей необратимы — вернуть украденные средства практически невозможно.
Такие операции стали частью более широкой паттерны: по данным аналитиков, северокорейские хакерские группы уже похитили криптовалюту на миллиарды долларов за последние годы.
⚠️ Новые приёмы и ИИ
Главная отличительная черта этой кампании — использование технологий искусственного интеллекта. Помимо deepfake-видео похищенные аккаунты и автоматизированные инструменты используются для:
- редактирования изображений и логотипов,
- создания правдоподобных профилей и сообщений,
- проведения более убедительной социальной инженерии.
ИИ позволяет хакерам готовить персонализированные сообщения, автоматически генерировать контент и делать атаки более масштабными, чем раньше.
🛡️ Как можно защититься
Эксперты по безопасности дают несколько практических рекомендаций, чтобы снизить риск подобных атак:
🔹 Проверяйте подлинность приглашений на встречи
Если приглашают через сторонние сервисы — убедитесь, что ссылка не ведёт на сайт злоумышленников.
🔹 Дважды уточняйте через другой канал связи
Если сообщение приходит через Telegram, позвоните или напишите на рабочий e-mail.
🔹 Не вводите команды по указанию собеседника
Никогда не выполняйте команды, присланные в ходе «технической поддержки» без подтверждения со стороны IT-специалистов.
🔹 Используйте многофакторную аутентификацию
Это усложняет злоумышленникам использование украденных логинов.
📌 Итоги
🔸 Северокорейский хакерский кластер UNC1069, вероятно связанный с государственными структурами, активно нацелен на криптовалютные проекты и DeFi-компании.
🔸 Атаки построены на сложной комбинации поддельных видеозвонков, компрометации аккаунтов и ClickFix-трюков.
🔸 Хакеры применяют ИИ, чтобы сделать фишинг и социальную инженерию более правдоподобными и убедительными.
🔸 Основная цель — кража данных, а затем украденная криптовалюта и учетные записи служат для дальнейших операций или перепродажи.
Так-же далее:
📦 Почему старый баг в WinRAR может ударить по малым и средним компаниям даже спустя месяцы после исправления
Даже если уязвимость уже закрыта производителем, это не всегда спасает от атак. Недавно специалисты по безопасности сообщили, что опасная ошибка в популярной программе WinRAR всё ещё активно используется хакерами, причём больше всего рискуют столкнуться с этим обычные малые и средние предприятия (SMB).
🔍 Что за баг и откуда он взялся
В прошлом году была обнаружена серьёзная уязвимость под идентификатором CVE-2025-8088 — она позволяет злоумышленникам создавать специально подготовленные архивы, которые могут вызвать выполнение вредоносного кода при распаковке.
Уязвимость классифицируется как path traversal — обход пути, то есть так называемая «перепутанная» распаковка файлов, которая даёт злоумышленнику возможность скрытно поместить вредоносный файл в чувствительное место на компьютере жертвы.
Разработчики из RARLAB выпустили исправление этой ошибки ещё в июле 2025 года (версия 7.13), но это не остановило атакующих.
🛡️ Почему уязвимость всё ещё в ходу
Несмотря на то, что патч уже вышел, десятки миллионов устройств могут остаться незащищёнными — и вот главные причины:
📌 Программа редко обновляется
WinRAR не обновляется автоматически, поэтому многие пользователи даже не догадываются, что на их компьютерах стоит устаревшая версия. Даже если система предлагает обновление, его часто игнорируют.
📌 Приложение «спокойно живёт» на устройствах
WinRAR может быть установлен годами и не использоваться ежедневно — и пользователи про него просто забывают. Но как только кто-то открывает архив, уязвимость активизируется.
📌 Большая аудитория
WinRAR используется на сотнях миллионов устройств по всему миру, как в личных, так и в корпоративных системах. Это делает его идеальной «мишенью» для злоумышленников, которые рассчитывают на широкий охват.
🧠 Кто именно эксплуатирует баг
Исследователи Google Threat Intelligence Group, которые анализировали активность злоумышленников, отмечают, что к эксплуатации уязвимости причастны как государственные атакующие, так и криминальные группы.
Атаки фиксируются в разных частях мира:
🌍 Россия и Китай упоминаются как источники атак, направленных на разведку или сбор данных;
🌍 также наблюдаются попытки использования уязвимости для установки троянов и программ-воров.
Такие атаки создают скрытую базу вредоносных программ в инфраструктуре жертвы, часто внедряя исполняемые файлы через скрытые системы метаданных Windows (ADS — Alternate Data Streams), которые остаются незаметными для обычного пользователя.
📉 Какие риски это создаёт для бизнеса
Малые и средние организации особенно уязвимы по нескольким причинам:
🔹 они могут не иметь выделенного ИТ-персонала;
🔹 обновления ПО применяются редко или нерегулярно;
🔹 сотрудники часто получают и открывают архивы в рамках повседневной работы — это повышает шанс эксплуатации уязвимости.
Такие компании могут не заметить вторжения, пока злоумышленник уже закрепился в системе и не начал скрытую работу, например — установку вредоносных троянов или сбор конфиденциальных данных.
🔧 Как защититься уже сейчас
Эксперты по кибербезопасности дают следующие простые рекомендации:
✅ Немедленно обновите WinRAR до последней версии (минимум 7.13).
✅ Отключите автораспаковку архивов в рабочих процессах, если это возможно.
✅ Контролируйте входящие архивы, особенно те, что приходят по электронной почте или через мессенджеры.
✅ Проводите регулярные проверки безопасности и аудит программного обеспечения — это помогает выявлять устаревшие версии ПО, которые уже не поддерживаются.
📌 Итог
Даже после выхода исправления программная ошибка в WinRAR всё ещё представляет серьёзную угрозу — особенно для необновлённых систем и малого бизнеса, где ПО может не обновляться вовремя.
📍 Уязвимость позволяет скрыто вписать вредоносный файл во время распаковки и автоматически выполнить его при следующем запуске системы.
📍 Злоумышленники, включая государственные и криминальные группы, продолжают использовать её даже спустя несколько месяцев после патча.
📍 Обновление программного обеспечения и регулярный аудит — ключ к защите от подобных угроз.
Ещё на повестке:
💀 Вымогатель Sicarii: новая угроза, которую нельзя «разблокировать» даже за выкуп
В конце 2025 года в интернете появилась новая разновидность программ-вымогателей под названием Sicarii. Казалось бы, очередной заражающий шифровальщик… но в реальности он оказался так плохо реализован, что расшифровать файлы невозможно — даже если заплатить злоумышленникам. Это уникальный случай, который вызывает вопросы об уровне подготовки авторов такой угрозы и о том, какие риски несёт распространение подобных инструментов.
📌 Что такое Sicarii и как он действует
Sicarii — это разновидность ransomware-программы, которая впервые была замечена в конце 2025 года. Как и другие вымогатели, она шифрует файлы на заражённой системе и требует выкуп за ключ расшифровки. Однако техническая реализация этой угрозы оказалась настолько непрофессиональной, что даже при оплате «требования» восстановить данные не удаётся.
Исследователи из Halcyon’s Ransomware Research Center выяснили, что Sicarii генерирует уникальные ключи шифрования при каждом запуске и затем отбрасывает их, не сохраняя где-либо в системе или на серверах злоумышленников. Это означает, что ни при каких условиях файлы не получат правильный ключ для расшифровки.
⚠️ Почему нельзя платить выкуп
Традиционно жертвы ransomware иногда идут на риск и платят выкуп, надеясь получить инструменты для восстановления файлов. Но в случае Sicarii это просто бесполезно и бессмысленно, потому что механизмы дешифрования изначально не работают правильно. Даже сам оператор не может помочь, если вы заплатите — ключи были потеряны в процессе.
Эксперты подчёркивают: даже при грамотной реализации программы-вымогателя оплата выкупа — рискованное решение, так как это:
✔️ поощряет киберпреступников продолжать деятельность;
✔️ не гарантирует восстановление данных;
✔️ может привести к повторной атаке.
А когда программа сама по себе устроена неправильно, это делает ситуацию ещё хуже — вы не только потеряли данные, но и не можете их вернуть никаким техническим способом.
🤖 Ошибки в коде и возможная роль ИИ
Исследователи также отмечают, что код Sicarii выглядит крайне небрежно. Некоторые признаки указывают на то, что авторы могли применять автоматические инструменты или даже генерировать части кода с помощью искусственного интеллекта, а потом не доработали его вручную. Из-за этого произошло фундаментальное нарушение логики работы шифрования, и ключи были утеряны.
Интересно, что несмотря на то, что в вымогателе используются символы и тексты, связанные с ивритом и израильской тематикой, основная часть активности на форумах и в коммуникациях происходила на русском языке, а перевод выглядел машинным и некачественным — что также наводит на мысли о подделке «идентичности» группы.
🛡️ Что это значит для компаний и пользователей
Несмотря на то, что Sicarii оказался технически неисправным, он всё равно представляет опасность — особенно для тех, кто будет неопытно пытаться заплатить выкуп или разместить его на компьютерах сотрудников без должной защиты.
Вот основные выводы:
🔹 Оплата выкупа в случае Sicarii — бесполезна: файлы останутся зашифрованными.
🔹 Преступники могут использовать подобные инструменты как прикрытие для других угроз.
🔹 Ошибки в реализации показывают, что даже RaaS-программы могут быть сделаны плохо, если создатели полагаются на автоматические инструменты без проверки.
🧠 Практические рекомендации
Чтобы защититься от угроз вроде Sicarii (и более серьёзных ransomware-семейств), эксперты советуют:
✔️ всегда иметь актуальные резервные копии важных данных;
✔️ использовать комплексное антивирусное ПО с поведенческим анализом;
✔️ не открывать подозрительные вложения в письмах;
✔️ настраивать многофакторную аутентификацию в системах.
Даже самые «безобидные» заражения могут привести к потере доступа к файлам, если у вас нет актуального бэкапа.
📌 Итог
Новый ransomware Sicarii стал ярким примером того, что плохой код может причинить столько же вреда, сколько и профессиональные киберугрозы — но уже навсегда. В результате его использования пострадавшие остаются без доступа к данным, даже если они готовы заплатить злоумышленникам.
Это наглядная демонстрация того, что в борьбе с программами-вымогателями лучше опираться на профилактические меры и защиту, чем на попытки восстановить данные после инцидента.
- Хотите ещё полезных статей? Подпишитесь на нашу рассылку — раз в неделю лучшие материалы .
- Чтобы первыми получать аналитику, кейсы и практические инструкции.
- Получайте еженедельный дайджест с проверенными решениями для вашей работы.
- Подписка бесплатна и её легко отменить. Присоединяйтесь!