🇷🇺 РОССИЯ
📊 Исследования
RED Security: DDoS-атаки на российский бизнес выросли в 2,7 раза
В 2025 году RED Security зафиксировала более 186 тысяч DDoS-инцидентов против российских компаний — в 2,7 раза больше, чем годом ранее. Атаки стали мощнее и продолжительнее: злоумышленники переходят от точечных ударов к многовекторным схемам. Рост прямо пропорционален падению стоимости аренды ботнетов на теневом рынке — порог входа для атакующих снизился до нескольких сотен рублей в час.
⚠️ Атаки и инциденты
Фишинговая кампания к 8 марта: праздничные открытки ведут на вредоносные ресурсы
Злоумышленники запустили массовую рассылку «праздничных» открыток через мессенджеры и социальные сети: внутри — фишинговые ссылки на страницы сбора персональных данных или установки вредоносного программного обеспечения. По оценке F6, около 94% подобных инцидентов строятся на социальной инженерии. Праздники остаются предсказуемым сезонным окном атак с чётким триггером.
Массовая кампания по распространению троянца Mamont через мессенджер MAX
Злоумышленники начали масштабное распространение банковского троянца Mamont через мессенджер MAX. Пользователям приходят сообщения с вложениями, замаскированными под видеозаписи или изображения; после открытия вредоносное программное обеспечение получает доступ к банковским данным. Атака эксплуатирует доверие к знакомому сервису: смена бренда с ВК на MAX не снизила уровень доверия аудитории, зато притупила её бдительность.
Группа Stan Ghouls усилила атаки в СНГ и впервые атаковала цели в Иордании
Аналитики зафиксировали активизацию кибершпионской группы Stan Ghouls: атаки на организации СНГ участились, а в географии целей впервые появилась Иордания. Группа специализируется на краже учётных данных и документов из корпоративных сетей. Расширение за пределы постсоветского пространства указывает либо на выполнение стороннего заказа, либо на смену стратегического приоритета.
📋 Регулирование
Системы шифрования сигнала для телевещателей включены в перечень объектов КИИ
Согласно распоряжению правительства №360-р от 26 февраля 2026 года, системы условного доступа к телерадиовещанию вошли в перечень объектов критической информационной инфраструктуры. На рынке по-прежнему преобладают зарубежные решения: вещатели обязаны либо провести сертификацию иностранного программного обеспечения по требованиям ФСТЭК, либо перейти на отечественные аналоги. Для российских разработчиков систем условного доступа — прямое регуляторное окно для входа на новый рынок.
РКН опроверг слухи о запрете прямого подключения к иностранным VPN-серверам
Роскомнадзор официально опроверг сообщения о готовящемся запрете прямого подключения к зарубежным VPN-серверам: ведомство продолжает блокировать отдельные сервисы (к концу февраля — 469), однако саму технологию подключения ограничивать не планирует. Для корпоративных пользователей с собственной VPN-инфраструктурой угрозы нет — под удар попадают конкретные провайдеры.
Минцифры прорабатывает схему передачи данных о просмотрах онлайн-кинотеатров через «Яндекс» и VK
Минцифры рассматривает механизм передачи данных об активности в онлайн-кинотеатрах компании Mediascope через отечественные платформы «Яндекс» и VK. Решение обсуждается в контексте требований о локализации и государственного контроля над аудиторными метриками. Для ИБ-рынка — очередной сигнал расширения требований к защите данных и разграничению доступа по мере роста государственных схем агрегации.
🌍 МИРОВЫЕ НОВОСТИ
🚔 Регулирование
ФБР и Европол ликвидировали LeakBase: 142 000 пользователей, 14 стран, ~100 следственных действий — Operation Leak
В ходе двухфазной операции 3–4 марта ФБР и Европол уничтожили LeakBase — один из крупнейших форумов по торговле похищенными базами данных и логами стилеров. К декабрю 2025 года форум насчитывал более 142 тысяч зарегистрированных участников, свыше 32 тысяч публикаций и 215 тысяч личных сообщений. Правоохранители захватили полную базу данных: аккаунты, публикации, банковские реквизиты, переписку и IP-адреса пользователей. Примечательная деталь: форум запрещал публикацию данных российских граждан и компаний — классический признак негласных договорённостей с местными властями.
Europol и Microsoft ликвидировали Tycoon 2FA — крупнейшую PhaaS-платформу для обхода двухфакторной аутентификации
При участии одиннадцати ИБ-компаний Europol и Microsoft уничтожили инфраструктуру Tycoon 2FA — фишинговой платформы как услуги, через которую с 2023 года обходилась многофакторная аутентификация методом «атака посредника». Изъяты 330 доменов; в пиковый период на платформу приходилось около 62% всех заблокированных Microsoft фишинговых попыток — более 30 миллионов писем в месяц. Сервис продавался в Telegram примерно за 120 долларов, что делало его доступным для атакующих любой квалификации. Оба изъятия недели сигнализируют о смене стратегии правоохранителей: цель теперь не отдельные злоумышленники, а сервисная инфраструктура киберпреступности.
⚠️ Угрозы и инциденты
Хактивисты взломали ICE и опубликовали контракты с 6 000+ компаниями — партнёры Иммиграционной службы США деанонимизированы
Группа «The Department of Peace» заявила о взломе систем Министерства внутренней безопасности США и публикации файлов Офиса отраслевого партнёрства: контракты между ДВБ, Иммиграционной и таможенной службой и более чем 6 000 частных компаний оказались в открытом доступе. Для корпораций, сотрудничающих с ведомствами с политически чувствительными функциями, — новый класс репутационного риска: само партнёрство с государством становится мишенью.
Иран — кибер и физика параллельно: AWS повреждён ударами беспилотников, сотни атак на камеры наблюдения по всему Ближнему Востоку
После авиаудара США и Израиля по Ирану в конце февраля конфликт вышел на несколько уровней: серверы AWS в ОАЭ получили структурные повреждения от ударов беспилотников, ЦОД в Бахрейне пострадал от близкого взрыва. Одновременно проиранские группы предприняли сотни попыток взлома IP-камер Hikvision и Dahua по всему Ближнему Востоку. Аналитики Radware зафиксировали 149 DDoS-атак на 110 организаций в 16 странах от 12 хактивистских групп за период 28 февраля — 2 марта. Американские банки перешли в режим усиленного мониторинга.
Тайвань: 62 обвиняемых в отмывании 339 миллионов долларов через криптоафёры в Камбодже
Тайваньские прокуроры предъявили обвинения 62 фигурантам дела Prince Group — транснациональной преступной сети, работавшей из Камбоджи и признанной Министерством юстиции США организованной преступной организацией. Среди обвиняемых — предполагаемый организатор Чэнь Чжи, экстрадированный из Камбоджи в Китай. Расследование ведётся в координации с американским Министерством юстиции — устойчивый сигнал роста спроса на криптофорензику и инструменты выявления мошеннических схем в Азиатско-Тихоокеанском регионе.
🛡️ Уязвимости и патчи
Cisco SD-WAN: CVE-2026-20127 (CVSS 10.0) активно эксплуатируется с 2023 года — CISA выпустила экстренную директиву 26-03
Cisco подтвердила активную эксплуатацию критической уязвимости CVE-2026-20127 в Catalyst SD-WAN Manager: неаутентифицированный злоумышленник получает административный доступ через некорректный механизм проверки однорангового узла. Cisco Talos отслеживает кампанию под обозначением UAT-8616 и установила активность как минимум с 2023 года. CISA внесла уязвимость в каталог KEV и обязала федеральные агентства провести инвентаризацию устройств и немедленно применить патчи. Параллельно Cisco раскрыла ещё два критических изъяна в Secure Firewall Management Center (CVSS 10.0) с возможностью удалённого выполнения кода без аутентификации. Обходных решений не существует — только обновление версии программного обеспечения.
Google закрыла 129 уязвимостей Android, включая эксплуатируемый нулевой день в чипах Qualcomm
Google выпустила мартовский пакет обновлений безопасности для Android: 129 уязвимостей, 10 критических. Ключевая — CVE-2026-21385, уязвимость повреждения памяти в открытом компоненте графического драйвера Qualcomm, которая уже эксплуатируется в реальных атаках и затрагивает 234 чипсета — от бюджетных до флагманских. Открытая природа компонента, вероятно, ускорила и обнаружение уязвимости, и разработку рабочего эксплойта.
Chrome: уязвимость CVE-2026-0628 позволяла расширению захватить камеру, микрофон и файлы через панель Gemini
В боковой панели Chrome Gemini Live обнаружена уязвимость высокой степени опасности CVE-2026-0628: низкопривилегированное расширение могло внедрить код в панель Gemini и унаследовать её расширенные права — доступ к локальным файлам, снимки экрана, управление камерой и микрофоном. Устранена в январском обновлении, публичное раскрытие — только сейчас. Инцидент показывает, что расширение изолированной программной среды браузерных расширений не успевает за темпами наделения AI-агентов всё более широкими системными привилегиями.
🤖 ИИ в кибербезопасности
Непрямое внедрение инструкций в AI-агентов зафиксировано в реальных атаках — новый класс угроз с рабочим эксплойтом
Задокументированы первые реальные случаи атак типа Indirect Prompt Injection на AI-агентов в производственной среде: злоумышленники встраивают скрытые команды в веб-страницы и документы, которые обрабатывают автономные агенты, и те выполняют инструкции атакующего в убеждённости, что действуют штатно. Вектор принципиально отличается от атак на модель: для его применения не нужен доступ к весам или API — достаточно контролировать контент, который агент читает. Для продактов в agentive security — новый класс угроз с подтверждённой практической реализацией.
Microsoft: подписанное вредоносное программное обеспечение использует легитимные инструменты удалённого управления как бэкдоры
Microsoft зафиксировала фишинговые кампании без атрибуции конкретной группе: письма с PDF-файлами (финансовые документы, счета) и поддельными корпоративными уведомлениями устанавливают вредоносное программное обеспечение с действительной цифровой подписью, которое маскируется под легитимные инструменты удалённого мониторинга и управления. Действительная подпись позволяет обходить большинство традиционных антивирусных решений. Применение RMM-инструментов как бэкдоров становится устойчивой тактикой — особенно опасной для MSP и их клиентов.
📊 Исследования
RED Security: DDoS-атаки на российский бизнес выросли в 2,7 раза
В 2025 году RED Security зафиксировала более 186 тысяч DDoS-инцидентов против российских компаний — в 2,7 раза больше, чем годом ранее. Атаки стали мощнее и продолжительнее: злоумышленники переходят от точечных ударов к многовекторным схемам. Рост прямо пропорционален падению стоимости аренды ботнетов на теневом рынке — порог входа для атакующих снизился до нескольких сотен рублей в час.
⚠️ Атаки и инциденты
Фишинговая кампания к 8 марта: праздничные открытки ведут на вредоносные ресурсы
Злоумышленники запустили массовую рассылку «праздничных» открыток через мессенджеры и социальные сети: внутри — фишинговые ссылки на страницы сбора персональных данных или установки вредоносного программного обеспечения. По оценке F6, около 94% подобных инцидентов строятся на социальной инженерии. Праздники остаются предсказуемым сезонным окном атак с чётким триггером.
Массовая кампания по распространению троянца Mamont через мессенджер MAX
Злоумышленники начали масштабное распространение банковского троянца Mamont через мессенджер MAX. Пользователям приходят сообщения с вложениями, замаскированными под видеозаписи или изображения; после открытия вредоносное программное обеспечение получает доступ к банковским данным. Атака эксплуатирует доверие к знакомому сервису: смена бренда с ВК на MAX не снизила уровень доверия аудитории, зато притупила её бдительность.
Группа Stan Ghouls усилила атаки в СНГ и впервые атаковала цели в Иордании
Аналитики зафиксировали активизацию кибершпионской группы Stan Ghouls: атаки на организации СНГ участились, а в географии целей впервые появилась Иордания. Группа специализируется на краже учётных данных и документов из корпоративных сетей. Расширение за пределы постсоветского пространства указывает либо на выполнение стороннего заказа, либо на смену стратегического приоритета.
📋 Регулирование
Системы шифрования сигнала для телевещателей включены в перечень объектов КИИ
Согласно распоряжению правительства №360-р от 26 февраля 2026 года, системы условного доступа к телерадиовещанию вошли в перечень объектов критической информационной инфраструктуры. На рынке по-прежнему преобладают зарубежные решения: вещатели обязаны либо провести сертификацию иностранного программного обеспечения по требованиям ФСТЭК, либо перейти на отечественные аналоги. Для российских разработчиков систем условного доступа — прямое регуляторное окно для входа на новый рынок.
РКН опроверг слухи о запрете прямого подключения к иностранным VPN-серверам
Роскомнадзор официально опроверг сообщения о готовящемся запрете прямого подключения к зарубежным VPN-серверам: ведомство продолжает блокировать отдельные сервисы (к концу февраля — 469), однако саму технологию подключения ограничивать не планирует. Для корпоративных пользователей с собственной VPN-инфраструктурой угрозы нет — под удар попадают конкретные провайдеры.
Минцифры прорабатывает схему передачи данных о просмотрах онлайн-кинотеатров через «Яндекс» и VK
Минцифры рассматривает механизм передачи данных об активности в онлайн-кинотеатрах компании Mediascope через отечественные платформы «Яндекс» и VK. Решение обсуждается в контексте требований о локализации и государственного контроля над аудиторными метриками. Для ИБ-рынка — очередной сигнал расширения требований к защите данных и разграничению доступа по мере роста государственных схем агрегации.
🌍 МИРОВЫЕ НОВОСТИ
🚔 Регулирование
ФБР и Европол ликвидировали LeakBase: 142 000 пользователей, 14 стран, ~100 следственных действий — Operation Leak
В ходе двухфазной операции 3–4 марта ФБР и Европол уничтожили LeakBase — один из крупнейших форумов по торговле похищенными базами данных и логами стилеров. К декабрю 2025 года форум насчитывал более 142 тысяч зарегистрированных участников, свыше 32 тысяч публикаций и 215 тысяч личных сообщений. Правоохранители захватили полную базу данных: аккаунты, публикации, банковские реквизиты, переписку и IP-адреса пользователей. Примечательная деталь: форум запрещал публикацию данных российских граждан и компаний — классический признак негласных договорённостей с местными властями.
Europol и Microsoft ликвидировали Tycoon 2FA — крупнейшую PhaaS-платформу для обхода двухфакторной аутентификации
При участии одиннадцати ИБ-компаний Europol и Microsoft уничтожили инфраструктуру Tycoon 2FA — фишинговой платформы как услуги, через которую с 2023 года обходилась многофакторная аутентификация методом «атака посредника». Изъяты 330 доменов; в пиковый период на платформу приходилось около 62% всех заблокированных Microsoft фишинговых попыток — более 30 миллионов писем в месяц. Сервис продавался в Telegram примерно за 120 долларов, что делало его доступным для атакующих любой квалификации. Оба изъятия недели сигнализируют о смене стратегии правоохранителей: цель теперь не отдельные злоумышленники, а сервисная инфраструктура киберпреступности.
⚠️ Угрозы и инциденты
Хактивисты взломали ICE и опубликовали контракты с 6 000+ компаниями — партнёры Иммиграционной службы США деанонимизированы
Группа «The Department of Peace» заявила о взломе систем Министерства внутренней безопасности США и публикации файлов Офиса отраслевого партнёрства: контракты между ДВБ, Иммиграционной и таможенной службой и более чем 6 000 частных компаний оказались в открытом доступе. Для корпораций, сотрудничающих с ведомствами с политически чувствительными функциями, — новый класс репутационного риска: само партнёрство с государством становится мишенью.
Иран — кибер и физика параллельно: AWS повреждён ударами беспилотников, сотни атак на камеры наблюдения по всему Ближнему Востоку
После авиаудара США и Израиля по Ирану в конце февраля конфликт вышел на несколько уровней: серверы AWS в ОАЭ получили структурные повреждения от ударов беспилотников, ЦОД в Бахрейне пострадал от близкого взрыва. Одновременно проиранские группы предприняли сотни попыток взлома IP-камер Hikvision и Dahua по всему Ближнему Востоку. Аналитики Radware зафиксировали 149 DDoS-атак на 110 организаций в 16 странах от 12 хактивистских групп за период 28 февраля — 2 марта. Американские банки перешли в режим усиленного мониторинга.
Тайвань: 62 обвиняемых в отмывании 339 миллионов долларов через криптоафёры в Камбодже
Тайваньские прокуроры предъявили обвинения 62 фигурантам дела Prince Group — транснациональной преступной сети, работавшей из Камбоджи и признанной Министерством юстиции США организованной преступной организацией. Среди обвиняемых — предполагаемый организатор Чэнь Чжи, экстрадированный из Камбоджи в Китай. Расследование ведётся в координации с американским Министерством юстиции — устойчивый сигнал роста спроса на криптофорензику и инструменты выявления мошеннических схем в Азиатско-Тихоокеанском регионе.
🛡️ Уязвимости и патчи
Cisco SD-WAN: CVE-2026-20127 (CVSS 10.0) активно эксплуатируется с 2023 года — CISA выпустила экстренную директиву 26-03
Cisco подтвердила активную эксплуатацию критической уязвимости CVE-2026-20127 в Catalyst SD-WAN Manager: неаутентифицированный злоумышленник получает административный доступ через некорректный механизм проверки однорангового узла. Cisco Talos отслеживает кампанию под обозначением UAT-8616 и установила активность как минимум с 2023 года. CISA внесла уязвимость в каталог KEV и обязала федеральные агентства провести инвентаризацию устройств и немедленно применить патчи. Параллельно Cisco раскрыла ещё два критических изъяна в Secure Firewall Management Center (CVSS 10.0) с возможностью удалённого выполнения кода без аутентификации. Обходных решений не существует — только обновление версии программного обеспечения.
Google закрыла 129 уязвимостей Android, включая эксплуатируемый нулевой день в чипах Qualcomm
Google выпустила мартовский пакет обновлений безопасности для Android: 129 уязвимостей, 10 критических. Ключевая — CVE-2026-21385, уязвимость повреждения памяти в открытом компоненте графического драйвера Qualcomm, которая уже эксплуатируется в реальных атаках и затрагивает 234 чипсета — от бюджетных до флагманских. Открытая природа компонента, вероятно, ускорила и обнаружение уязвимости, и разработку рабочего эксплойта.
Chrome: уязвимость CVE-2026-0628 позволяла расширению захватить камеру, микрофон и файлы через панель Gemini
В боковой панели Chrome Gemini Live обнаружена уязвимость высокой степени опасности CVE-2026-0628: низкопривилегированное расширение могло внедрить код в панель Gemini и унаследовать её расширенные права — доступ к локальным файлам, снимки экрана, управление камерой и микрофоном. Устранена в январском обновлении, публичное раскрытие — только сейчас. Инцидент показывает, что расширение изолированной программной среды браузерных расширений не успевает за темпами наделения AI-агентов всё более широкими системными привилегиями.
🤖 ИИ в кибербезопасности
Непрямое внедрение инструкций в AI-агентов зафиксировано в реальных атаках — новый класс угроз с рабочим эксплойтом
Задокументированы первые реальные случаи атак типа Indirect Prompt Injection на AI-агентов в производственной среде: злоумышленники встраивают скрытые команды в веб-страницы и документы, которые обрабатывают автономные агенты, и те выполняют инструкции атакующего в убеждённости, что действуют штатно. Вектор принципиально отличается от атак на модель: для его применения не нужен доступ к весам или API — достаточно контролировать контент, который агент читает. Для продактов в agentive security — новый класс угроз с подтверждённой практической реализацией.
Microsoft: подписанное вредоносное программное обеспечение использует легитимные инструменты удалённого управления как бэкдоры
Microsoft зафиксировала фишинговые кампании без атрибуции конкретной группе: письма с PDF-файлами (финансовые документы, счета) и поддельными корпоративными уведомлениями устанавливают вредоносное программное обеспечение с действительной цифровой подписью, которое маскируется под легитимные инструменты удалённого мониторинга и управления. Действительная подпись позволяет обходить большинство традиционных антивирусных решений. Применение RMM-инструментов как бэкдоров становится устойчивой тактикой — особенно опасной для MSP и их клиентов.
Понравился материал?