Secure Defence - Ваша кибербезопасность

Знаете, что общего у SEO-оптимизатора и киберпреступника в 2026 году? Оба зарабатывают на поисковой выдаче. Только второй делает это так, что клиенты вашего банка теряют миллионы, а финансовая отчётность превращается в дым. Пару месяцев назад мы разбирали инцидент в одной платежной системе — пользователи массово жаловались на невозможность войти в личный кабинет. Оказалось, они даже не доходили до настоящего сайта. По запросу «вход СБП» в топе «Яндекса» красовалась идеальная копия портала, собравшая за неделю логины и пароли нескольких тысяч человек...

🔥 Совсем недавно мы разматывали клубок атаки на одного крупного российского поставщика. Вскрылось всё случайно: один из системных администраторов заметил странную активность на FTP-сервере. И знаете, что это было? Последний «творческий» апдейт от группировки HoneyMyte. Их трояны теперь умеют прятаться в файлах легального софта, который вы качаете каждый день. В этой статье я покажу, как именно они работают и почему ваши стандартные меры защиты — это старый замок, который взламывают отмычкой из интернета...

🚨 Только в прошлом квартале мы нашли следы этой атаки у двух клиентов — регионального банка и крупного поставщика для ОПК. И оба были на 100% уверены, что у них всё обновлено. Знаете, что самое неприятное? Эксплойт для CVE-2025-8088 уже встроен в популярные киберкриминальные наборы и продаётся на русскоязычных форумах за копейки. Если у вас до сих пор работает WinRAR — эта статья, честно говоря, спасёт вам репутацию, а возможно, и бизнес. Я расскажу не просто про уязвимость, а про то, как её сейчас используют против российских компаний в 2026 году...

Знакомый всем SyncAppvPublishingServer.vbs — это ведь не какой-то подозрительный скрипт из интернета. Это подписанный корпоративный компонент Microsoft для виртуализации приложений. Он запускается через wscript.exe — процесс, которому доверяют все мониторы активности. И именно он становится троянским конём, проксируя выполнение вредоносного PowerShell. На практике это выглядит так: скрипт, имеющий цифровую подпись Microsoft, тихо запускает PowerShell, который тянет полезную нагрузку. EDR-система видит цепочку: доверенный процесс → доверенный скрипт → PowerShell...

Финансовый директор получил звонок якобы из службы безопасности их же банка. Голос был точь-в-в точь как у знакомого менеджера, фон — шум офиса, где-то даже перезванивали телефоны. Всё выглядело идеально. Человека попросили «пройти срочную проверку из-за подозрительной транзакции» и обновить данные в личном кабинете. Он открыл сайт, который ему продиктовали — тот был как две капли воды похож на официальный портал. Ввёл логин, пароль, а потом и шестизначный код из смс… Через 17 минут со счетов ушло 45 миллионов рублей...

Почему в 2025-2026 DDoS-атаки стали умнее, злее и как одна фальшивая QR-кампания может обрушить ваш онлайн за 17 минут? 🤯 Посмотрите на статистику за прошлый год. Не на ту, что в пресс-релизах, а на ту, что мы видим изнутри SOC. Количество DDoS-атак в России в 2025-м подскочило почти вдвое. И ладно бы просто рост числа. Нет — их характер изменился до неузнаваемости. Если раньше это был грубый кувалдой удар по воротам, то теперь это хирургический скальпель, который ищет аорту вашего бизнеса. Я сам в ноябре разбирал инцидент у одного из наших клиентов — федеральной сети...

Патч от Broadcom был ещё в 2024-м. А в январе 2026-го мы сидели в телемосте с ИБ-командой крупного банка и смотрели, как незнакомец из Восточной Европы через уязвимость CVE-2024-37079 методично убивает их виртуальную инфраструктуру. И всё потому, что «не было окна на обновление». Сейчас расскажу, как это было, и дам 10 правил 2026 года, чтобы такого не случилось с вами. Плюс — дорожная карта для тех, кто в панике проверяет свои vCenter прямо сейчас. Честно говоря, когда в конце января 2026-го CISA...

Когда звонят из «службы безопасности банка» и с ходу называют меня по имени-отчеству, паспортные данные и сумму последнего кредита. Масштабной, вульгарной и совершенно безнаказанной. А теперь представьте, что за такую «ошибку» оператора или взломанную базу данных директору компании грозит реальный срок. Не штраф в пару сотен тысяч, а уголовная статья. Фантастика? В Казахстане это скоро может стать реальностью. И это не просто новость из соседнего государства — это прямой сигнал для всех CISO и владельцев бизнеса в России...

Вот реальная история, после которой я не спал две ночи. Наш SOC получил сигнал от WAF одного крупного маркетплейса — подозрительные запросы к админке. Оказалось, через кастомное расширение для расчёта доставки атакующие полгока выгружали базы с платёжками. Владелец узнал только после того, как клиенты начали жаловаться на списания. А ведь всё началось с одной строчки уязвимого кода в модуле, который скачали 50 000 раз. Сейчас такое происходит массово. Это прямой сигнал тревоги для каждого, у кого есть интернет-магазин на Magento, WooCommerce, Bitrix...

Вы уверены, что трафик вашего сайта идёт именно на ваши сервера? Прямо сейчас, пока вы читаете эти строки, десятки российских компаний, включая, возможно, и вашу, незаметно потеряли контроль над своими доменами. Через дыру, которую многие считают теоретической. Мы в нашей SOC-практике только за последний квартал нашли 17 таких «сидячих уток» у клиентов из топ-20. И знаете, что самое страшное? Владельцы об этом даже не догадывались. Пока мы не показали им логи с их же данными, но полученные через чужие серверы...

На прошлой неделе мы расследовали инцидент в одном региональном банке — утечку телефонных номеров топ-менеджеров. Обшарили всё: почту, мессенджеры, DLP, даже проверили на коммерческий шпионаж. Виновника нашли спустя три дня. И знаете, что это было? Обычные беспроводные наушники Redmi Buds 4 Pro у нового вице-президента. Да, те самые, что лежат у половины сотрудников в кармане. Честно говоря, я тогда впервые задумался, насколько наша привычная бытовая электроника стала идеальным троянским конём прямо в сердце корпоративной безопасности...

Если честно, я уже думал, что про все эти классические «файло-загрузочные» уязвимости можно забыть. Ан нет. На днях разгребали последствия на одном довольно крупном портале — кричали утром в понедельник, что сайт «пал». А корень зла оказался в, казалось бы, безобидном компоненте для удобной работы с файлами — Livewire Filemanager. Знаете, такая штука, чтобы через админку картинки заливать. Так вот, дыра в нем (CVE-2025-14894, если по-паспорту) — это не просто баг, это прямая дорога к полному контролю над вашим сервером...