Сидим мы как-то вечером, чай пьем, ноутбуки закрыты - ну, вы знаете этот момент, когда кажется, что все угрозы где-то далеко, а у вас тут «просто слабенький домашний компьютер; да и кому я в конце-концов нужен». И тут один из нас, который вечно мониторит всякие кибер-сводки, говорит: «Ребята, вы не поверите, что сегодня обнаружили. Помните LockBit? Они выпустили четвертую версию. Теперь они не только шифруют и сливают данные - они еще и DDoS-атакуют жертв во время переговоров». Мы переглянулись. Кто-то спросил: «И что, это вообще законно?» На что получил закономерный ответ: «Что ж, они по закону, по-твоему, работают?»
Вот так мы и поняли: наступивший год приготовил нам сюрпризы. Не те, которые хочется распаковывать под елкой или с первыми лучами весеннего солнца. И если вы думаете, что «меня это не коснется» - что ж, давайте просто посмотрим, с кем мы имеем дело.
Почему мы вообще об этом говорим
Мы ведь не параноики.
Ну, почти.
Просто за годы дружбы с компьютерами - от первых «Пентиумов», которые гудели как взлетающие самолеты, до современных сборок - мы усвоили простую вещь: лучше знать врага в лицо.
Тем более что враги эти эволюционируют с каждым годом, как будто они тоже читают книжки по саморазвитию.
И вот что мы насобирали по разным форумам, отчетам и собственным расследованиям (да, бывает и такое, когда «просто посмотреть» превращается в трехчасовое погружение в тему).
Главный парадокс, о котором молчат все
Вы когда-нибудь замечали, что самые опасные угрозы - это те, которые маскируются под что-то полезное?
Как тот самый знакомый, который приходит «просто чай попить», а потом выясняется, что ему нужна помощь с ремонтом, переездом, и еще собаку погулять.
В текущем году этот принцип работает на стероидах.
Самая опасная угроза сейчас — это не тот вирус, который сразу ломает систему, а тот, который тихо сидит, собирает данные и ждет, когда вы сами откроете ему доступ.
Потому что в мире, где все защищены фаерволами, самый слабый элемент - это мы с вами, которые нажимают «ок», не глядя.
LockBit 4.0: когда вирусы являются частью тёмного искусства
Этот парень - как тот воришка со стажем, который выходит на свободу и сразу берется за старое, но с новыми трюками.
Что это: RaaS-группировка (Ransomware as a Service - вымогатель как услуга, да, есть и такой бизнес-подход).
Связывают их с Восточной Европой, но точно никто не знает - такие ребята следов не оставляют.
Как работает: Находят слабое место - открытый RDP, дырявую печатную систему.
Заходят, копируют все данные, шифруют файлы и предъявляют счет.
В четвертую версию добавили вишенку на торт: если жертва торгуется или тянет время - они просто DDoS-ят ее сайты и сервисы до полной остановки бизнеса.
Тройное вымогательство в действии.
Опасность: 9 из 10.
Для организаций - практически смертельно.
Для частников - маловероятно, но если вы держите сервер дома - берегитесь.
Кто в зоне риска: крупный бизнес, больницы, госорганы.
Те, кто не может позволить себе просто «выключить и забыть».
Что делать:
- RDP и шлюзы - держать под замком, лучше вообще отключить, если не нужны.
- Резервные копии — и чтобы они лежали не в той же сети, где стоит зараженная машина.
- EDR-решения (это как антивирус, только который следит за поведением программ, а не просто сверяет с базой сигнатур).
Подробнее про защиту от этой пакости.
Профилактика:
- Держать туннели, RDP, интернет‑сервисы в актуальном состоянии, критические CVE закрывать максимум за 72 часа.
- Включить MFA для всех внешних доступов (шлюзы, RDP, админ‑панели), использовать сложные пароли и PAM‑решения.
- Делать immutable/offline‑бэкапы (отключённые от сети) и регулярно проверять, что из них реально можно восстановиться.
- Использовать EDR/XDR‑платформы (например, SentinelOne) с включенным режимом блокировки, а не «Detect only».
Если уже заразились:
- Немедленно изолировать заражённые хосты от сети (отключить от LAN и Wi‑Fi).
- Запустить план реагирования: форензика (как вошли, какие аккаунты скомпрометированы), затем полное удаление вредоносного кода и сброс всех паролей/ключей.
- Восстановить системы только из чистых бэкапов, предварительно убедившись, что в них нет LockBit.
- Для SentinelOne‑окружений - использовать функцию rollback, которая откатывает изменения и расшифровывает файлы.
BlackCat / ALPHV: шифратор на Rust, который не спрашивает разрешения
Мы сначала подумали: «Rust? Это же язык безопасный».
Оказалось, что безопасный - для разработчиков.
Для пользователей - нет.
Источник: Группировка ALPHV, тоже из восточноевропейского региона, судя по косвенным признакам.
Как работает: Приходит через фишинговое письмо или через дыру в веб-сервисе, потом разворачивает шифратор, написанный на Rust.
Его особенность в том, что Rust-программы сложнее детектить классическим антивирусам.
Хитро, ничего не скажешь.
Опасность: 8 из 10.
Не такой массовый, как LockBit, но для крупных организаций - билет в один конец.
Кто в зоне риска: средний и крупный бизнес, особенно в сфере услуг, образования, здравоохранения.
Что делать:
- MFA (многофакторная аутентификация) - включить везде, где можно.
- Ограничить права пользователей. Не всем же быть администраторами, правда?
- Регулярные аудиты безопасности. Да, это скучно, но это работает.
Подробнее.
Профилактика:
- Регулярно сканировать интернет‑доступные сервисы на уязвимости и приводить конфигурации к безопасным значениям.
- Обновлять ОС, софт и прошивки, чтобы закрывать известные лазейки, особенно на публичных сервисах.
- Использовать SIEM + SOAR + EDR, чтобы автоматом ловить аномальное шифрование, массовые изменения файлов и подозрительные процессы.
- Ограничить или заблокировать SMB‑трафик наружу и отключить старые версии SMB, чтобы не дать BlackCat быстро распространяться.
Если заражение уже произошло:
- Выделить и изолировать инфицированный хост (playbook «isolate endpoint»), заблокировать IP/домен/URL из IoC‑списка.
- В SIEM добавить индикаторы компрометации (хэши, IP, домены) и заблокировать их на прокси/фаерволах.
- Полностью удалить вредоносный код и восстановить из бэкапов, проверив их целостность.
Cl0p: король цепочек поставок
Помните историю про MOVEit в прошлые годы?
Так вот, они не успокоились.
Источник: Группа Cl0p, которую связывают с TA505, и, как говорят, корни их где-то на постсоветском пространстве.
Как работает: Они не столько шифруют, сколько выгружают данные через уязвимости в софте поставщиков.
Потом они говорят: «Заплатите, или все увидят ваши внутренние документы».
Для многих компаний утечка данных страшнее, чем парализованная система.
Опасность: 9 из 10.
Потому что атакуют не напрямую, а через тех, кому вы доверяете.
Кто в зоне риска: организации, которые используют внешний софт для обмена файлами, CRM, бухгалтерию.
Что делать:
- Обновлять ПО поставщиков. Сразу, как выходят патчи. Не «на следующей неделе», а сразу.
- Анализировать цепочку поставок - да, это про то, чтобы спрашивать у подрядчиков, как они защищены.
- EDR и SIEM (системы, которые собирают логи и сигналят о подозрительной активности).
Подробнее.
Профилактика:
- Жёстко контролировать цепочку поставок: обновления от вендоров, настройки файловых шлюзов (MOVEit‑подобные, Oracle E‑Business и т.п.).
- Не выставлять консоли и порталы бизнес‑приложений (Oracle EBS и др.) в интернет без фильтрации и MFA.
- Настроить мониторинг необычных входов и массовых выгрузок данных от системных пользователей.
Если атака уже произошла:
- Отключить уязвимый сервис от внешнего доступа, сменить все учётные записи, вовлечённые в инцидент.
- Проверить, какие данные были выгружены (лог‑анализ, DLP), и планировать уведомление клиентов/регуляторов.
- Восстановить из бэкапов только после обновления и пере‑конфигурирования эксплуатируемого сервиса.
QakBot: маленький проводник больших бед
Этот - как тот друг, который говорит: «Я только познакомлю», а потом приводит в дом гопника.
Источник: Международная бот-сеть, которую используют разные группировки.
Как работает: Приходит через макрос в Excel или Word.
Вы открываете файл, разрешаете макросы (потому что «ну надо же посмотреть, что там прислали»), и QakBot уже у вас в системе.
Дальше он собирает пароли, учетные данные и передает доступ тем, кто потом загрузит LockBit или BlackCat.
Опасность: 7 из 10.
Сам по себе не смертелен, но как «отмычка» - идеален.
Кто в зоне риска: и частники, и бизнес.
Разница только в том, что бизнесу потом будет больнее.
Что делать:
- Выключить макросы в Office по умолчанию. Навсегда.
- EDR (да, опять он).
- Учить сотрудников не открывать подозрительные письма.
Подробнее.
Профилактика:
- Включить почтовые шлюзы с антифишинг‑проверками (фильтрация вложений, ссылок, spoof‑доменов).
- Проводить регулярные тренинги по фишингу: подозрительные вложения, неожиданные счета/договоры, макросы.
- Держать системы и ПО в актуальном состоянии, чтобы закрывать известные эксплойты.
- Ввести сильные пароли и MFA, сегментировать сеть (отделить пользовательские сегменты от серверов).
- Использовать EDR и IDS/IPS для ловли аномальной активности и lateral movement.
Если уже заразились:
- Отрубить заражённую машину от сети, провести сканирование всех устройств.
- Удалить QakBot с помощью современных антивирусов/EDR и пересоздать все пароли и токены, которые могли быть украдены.
- Проверить, не установлен ли на хостах дополнительный рэнсом/бэкдор, так как QakBot часто «открывает дверь» для других.
Agent Tesla: шпион в кармане
Этот товарищ - для масс-маркета.
Как спам-звонки, только в цифре.
Источник: Разные мелкие киберпреступники, часто из ближневосточного региона.
Как работает: Вам приходит письмо с вложением.
Вы открываете.
Внутри - скрипт, который устанавливает кейлоггер (записывает всё, что вы печатаете), крадет пароли из браузера, перехватывает файлы.
И всё это тихо отправляется злоумышленникам.
Опасность: 6 из 10.
Не катастрофа, но если вы храните пароли от банков в браузере - катастрофа для вашего кошелька.
Кто в зоне риска: частные лица и малый бизнес.
Крупные компании обычно лучше защищены.
Что делать:
- Антивирус. Да, базово, но работает.
- Двухфакторная аутентификация везде, где можно.
- Не открывать письма от незнакомцев.
Подробнее.
Профилактика:
- Не открывать сжатые (zip/rar/7z) вложения от неизвестных отправителей и непроверенные HTML/HTA‑файлы.
- Отключить автозапуск макросов и скриптов в офисных документах.
- Использовать почтовые фильтры, выявляющие многоступенчатые вложения и подозрительные вложения.
- Применять EDR с поведенческим анализом (инъекция в легитимные процессы, «living‑off‑the‑land»).
Если заразились:
- Изолировать хост, собрать артефакты (подозрительные процессы, файлы, планировщики задач) и провести форензику.
- Удалить вредонос, сбросить все пароли (почта, шлюзы, корпоративные аккаунты), так как они могли быть украдены.
- Проверить соответствие требованиям регуляторов (GDPR, локальные законы) и уведомить пострадавших, если утекают персональные данные.
RedLine Stealer: кража со взломом
Этот специализируется на одном - ваших паролях и криптокошельках.
Источник: Преступные группы, которые используют готовые сервисы-стилеры (такие продаются на теневых форумах как «конструкторы»).
Как работает: Вы скачиваете «крякнутую» программу с торрента или поддельный установщик.
Внутри - RedLine.
Он тихонечко собирает все сохраненные пароли из браузеров, cookies, данные кредиток, криптокошельки и отправляет хозяину.
Опасность: 6 из 10.
Для финансовой безопасности частника - выше.
Кто в зоне риска: те, кто скачивает пиратское ПО.
Ну, вы поняли.
Что делать:
- Не качать пиратские программы. Да, это дорого. Но потерять доступ к банку - дороже.
- Использовать менеджеры паролей (чтобы не хранить всё в браузере).
- Двухфакторка - снова она.
Подробнее.
Mirai-варианты: когда умный дом становится оружием
Мы тут любим всякие IoT-штучки — умные лампочки, камеры, розетки. А оказывается, злоумышленники их тоже любят.
Источник: Разные группы, часто из Азии и СНГ.
Как работает: Ищут по интернету устройства с заводскими паролями (admin/admin, 123456 — вы серьезно?). Взламывают, объединяют в бот-сеть и используют для DDoS-атак на игровые серверы, сайты, провайдеров.
Опасность: 5 из 10 для владельца устройства (вам просто отключат интернет), но для целей атаки — серьезно.
Кто в зоне риска: все, у кого есть «умные» устройства с доступом в интернет.
Что делать:
- Сменить пароли на всех IoT-устройствах. Сразу.
- Закрыть ненужные порты в роутере.
- Если устройство не обновляется годами — лучше отключить его от интернета.
- подробнее.
Профилактика для IoT‑устройств: роутеров, камер, видеорегистраторов, «умного дома»:
- Сразу менять заводские логин/пароль на сильный уникальный пароль на всех маршрутизаторах, IP‑камерах, регистраторах и других IoT‑устройствах.
- Отключить или закрыть Telnet (TCP 23/2323), если он включён, использовать SSH и шлюзы вместо Telnet для удалённого доступа.
- Регулярно обновлять прошивку роутеров, камер и других IoT‑устройств, ставить патчи для уязвимостей, которые Mirai‑варианты активно эксплуатируют (RCE, командные инъекции и др.).
- Не публиковать админ‑панель устройств в Интернет напрямую; если нужен удалённый доступ - использовать туннели и фильтрацию по IP.
- На уровне сети включить DDoS‑защиту и фильтрацию аномального трафика, особенно если вы провайдер/хостер или держите публичные сервисы (использовать IDMS‑системы, профильные облачные DDoS‑сервисы).
Если устройство уже в ботсети (заражено Mirai):
- Выполнить перезагрузку до заводских настроек (reset) и немедленно обновить прошивку до последней версии.
- После ресета сразу сменить все пароли, отключить Telnet/ненужные сервисы, закрыть проброшенные порты на роутере.
- Проверить сетевой трафик (веб‑интерфейс роутера, NetFlow, лог‑анализ) на повторные обращения к известным Mirai C2‑адресам и сканирование портов 23/2323 - это признак повторной инфекции.
- При массовой атаке на вашу инфраструктуру - подключить/усилить внешнюю DDoS‑защиту, настроить фильтры по протоколам, которые Mirai активно использует (SYN flood, UDP flood, HTTP flood и др.).
Если говорить языком фантастики
Это было прямо сейчас. Календарь утверждал, что мы давно должны были летать к звездам.
Вместо этого мы все еще сидели в своих квартирах, пытаясь защитить домашние компьютеры от того, что сами же и запускали.
В одном неприметном НИИ, где разрабатывали нейросети для медицинской диагностики, системный администратор Игорек каждое утро заваривал чай и смотрел на дашборд безопасности. Обычно там было тихо. Но в тот вторник что-то пошло не так.
Сначала дашборд показал аномалию: кто-то с легитимного аккаунта бухгалтерии загрузил скрипт.
Игорь подумал: «Ну, обновление 1С, наверное».
Но через три минуты скрипт запустил еще один процесс, который начал сканировать сеть.
«А это уже не 1С», - сказал он пустой комнате и нажал кнопку изоляции сегмента.
Спустя сорок семь секунд LockBit 4.0 попытался распространиться на серверы с данными пациентов.
Но не смог.
Сеть была разделена, а зараженный компьютер отключен.
Позже, когда вирусологи расшифровали образец, они нашли в коде комментарий на русском языке: «а вы обновляли RDP?».
Игорь выдохнул.
В тот день он понял главное: в мире, где код пишут люди, ошибки будут всегда.
Но если ты быстрее - ты выигрываешь.
Комментарий в коде он распечатал и повесил над монитором.
Напоминание.
Что со всем этим делать
Мы не говорим, что нужно жить в постоянном страхе.
Но есть вещи, которые работают, и мы их проверили на себе:
- Обновления. Не откладывать. Да, это раздражает, да, иногда ломает. Но старые версии - это открытые двери.
- Пароли. Если у вас везде «qwerty123» - вы сами себя обманываете. Менеджеры паролей спасают нервы и деньги.
- Резервные копии. И чтобы они были не в той же сети, что и основной компьютер. Потому что шифровальщики ищут и их тоже.
- Любопытство. Не открывать письма от незнакомцев. Даже если там «важное уведомление». Важное - придет дважды.
Вместо послесловия
А вы давно проверяли, какие программы установлены на вашем компьютере?
Или, может, в роутере до сих пор пароль от провайдера?
Мы вот вчера провели ревизию - нашли один старый интернет-клиент, который не обновлялся два года.
Удалили, не глядя.
Мир не станет безопаснее завтра.
Но ваша система - может.
Развивающие материалы
Если хотите копнуть глубже или просто отвлечься от технических баталий - вот что мы для вас приготовили:
- Идем в поход - потому что иногда лучшая защита от цифровых угроз - просто выйти на улицу.
Теперь, давайте, допивайте чай и - проверять пароли.
Вместе веселее.
Читать больше материалов по информационным технологиям блога "В мире ИТ" на Дзен:
Домашний робот Mike Microtron с Kim-1 от Тода Луфбурроу
Контроллер INTERSEPTOR MEGA DISK для Sega
RF детекторы обнаружения радиочастотных сигналов
RF детекторы на микроконтроллерах