🇷🇺 РОССИЯ
📈 Рынок
«Сибинтек» (ИТ-интегратор «Роснефти») готовит создание корпоративного киберполигона
TAdviser зафиксировал восемь запросов предложений «Сибинтека» на специализированное ПО для киберполигона — платформы, моделирующей реальные атаки для обучения ИБ-специалистов. «Роснефть» регулярно становится целью хакеров, в том числе в 2017 году подвергалась крупным атакам. Формирование собственного учебного полигона говорит о зрелости корпоративных ИБ-стратегий в нефтегазовом секторе и нарастающем спросе на практическую подготовку команд.
🤖 Продукты и технологии
Kaspersky обновила SIEM-платформу KUMA до версии 4.2 с AI-модулями
«Лаборатория Касперского» выпустила Kaspersky Unified Monitoring and Analysis Platform 4.2 с инструментами на базе ИИ для выявления компрометации учётных записей и поддержкой запуска длительных поисковых запросов в фоновом режиме. Одновременно UserGate опубликовала стабильные версии межсетевого экрана NGFW 7.3.3 и 7.4.1. Оба обновления ориентированы на устойчивую работу в высоконагруженных средах — ключевое требование для объектов КИИ в условиях надвигающихся регуляторных проверок.
«Лаборатория Касперского» анонсировала выход собственного продукта Vulnerability Management
Решение разрабатывается совместно со Сбером — в его основе мультиагентная GenAI-система, автоматизирующая поиск уязвимостей и ускоряющая устранение ошибок конфигурации. Партнёрство двух крупнейших компаний страны — в кибербезопасности и финансах — сигнализирует о том, что ИИ в российском ИБ переходит из экспериментального статуса в продуктовый. Выход на рынок запланирован на текущий год, что прямо конкурирует с MaxPatrol VM от Positive Technologies.
🔎 Исследования и аналитика
Positive Technologies: 64% успешных атак на организации в России заканчивались утечками данных
По итогам первых трёх кварталов 2025 года против российских организаций действовали не менее 18 хактивистских группировок, на долю которых пришлось 19% всех успешных кибератак. В 64% успешных атак злоумышленники добивались утечки конфиденциальных данных. Коммерческая тайна, учётные данные и персональные данные составляют равные доли похищаемого. Телеком стал главной мишенью — 40% всех попыток атак, причём почти половина из них критичные. Главный вектор проникновения — загрузка заражённых программ (70% всех инцидентов).
DLBI: объём утечек данных в России сократился в 10 раз — до 36,5 млн уникальных номеров
Российский сервис мониторинга утечек DLBI зафиксировал резкое падение объёмов: за 2025 год в даркнете и Telegram появились 61 утечка против сотен в предыдущие годы — итог оборотных штрафов, принятых в конце 2024 года. Базы содержали 36,5 млн уникальных телефонных номеров и 28,7 млн email-адресов. Основная доля пострадавших — логистика (60%), розничная торговля (18%) и e-commerce (6,5%). Тренд объясняется как реальным улучшением защиты, так и уходом части утечек в закрытые каналы.
Habr: AI-атаки в 2026 году работают быстрее, чем успевает реагировать SOC
Специалисты фиксируют качественный сдвиг: автономные AI-агенты способны провести полный цикл атаки — от разведки до эксфильтрации данных — за считанные часы, тогда как человеческие команды безопасности всё ещё согласуют время совещания. «Теневой AI» внутри организаций создаёт слепые зоны: сотрудники передают корпоративные данные несанкционированным нейросервисам. Эксперты прогнозируют первый крупный инцидент с компрометацией Model Context Protocol (MCP) в текущем году.
🌍 МИРОВЫЕ НОВОСТИ
💰 Сделки и инвестиции
Arctic Wolf закрыл покупку Sevco Security: exposure management входит в MDR-платформу Aurora
Arctic Wolf закрыла сделку по поглощению Sevco Security: cloud-native платформа объединяет контекст уязвимостей, покрытие средств контроля и видимость активов на платформе Aurora. Цель — дать заказчикам и MSP возможность проактивно выявлять риски ещё до начала атаки. Президент по технологиям Dan Schiappa: «Нельзя выстроить проактивную безопасность без управления экспозицией». Сделка продолжает стратегию Arctic Wolf по переходу от реагирования на инциденты к непрерывному управлению киберрисками.
🔬 Исследования и аналитика
Darktrace Annual Threat Report 2026: уязвимости +20%, идентификация заменила периметр, Azure — самый атакуемый облачный провайдер
Darktrace опубликовал Annual Threat Report 2026 на основе данных за 2025 год: уязвимости выросли на 20%, однако атакующие всё чаще обходят их в пользу кражи учётных данных. В Северной и Южной Америке 70% инцидентов начинаются с украденных аккаунтов; в Европе 58% атак стартуют через скомпрометированные облачные аккаунты и email. Azure — самый атакуемый облачный провайдер (43,5% образцов ВПО против 33,2% у GCP и 23,2% у AWS). Через глобальный флот Darktrace в 2025 году зафиксировано 32 млн фишинговых писем; QR-атаки в email выросли на 28%, доля AI-assisted фишинга — с 32% до 38%.
📋 Регулирование и стандарты
OFAC впервые применил PAIPA: санкции против Operation Zero, экс-топ L3Harris приговорён к 87 месяцам за продажу 8 эксплойтов
Министерство финансов США ввело санкции против российского брокера эксплойтов Operation Zero (Matrix LLC, Санкт-Петербург) и его основателя Сергея Зеленюка — это первое применение закона PAIPA. Параллельно суд приговорил Питера Уильямса, бывшего директора по операциям подразделения Trenchant (L3Harris), к 87 месяцам тюрьмы за кражу 8 zero-day эксплойтов и их продажу Operation Zero за $1,3 млн в криптовалюте. Эксплойты, созданные эксклюзивно для правительства США, оказались у посредников в Южной Корее. Для рынка offensive security — сигнал о распространении экспортных ограничений на нематериальные активы.
Индия: 83 стандарта безопасности смартфонов — производителей могут обязать передать исходный код правительству
Правительство Индии опубликовало пакет из 83 стандартов безопасности в рамках плана премьер-министра Моди: производители смартфонов могут быть обязаны передать исходный код правительству и обеспечить возможность внесения изменений в ПО устройств. По данным Reuters, ряд производителей выразил протест, ссылаясь на угрозу раскрытия проприетарных данных. Для мирового ИБ-рынка Индия становится третьим крупным регуляторным блоком с собственными требованиями к доступу к коду — после США и ЕС.
Пентагон впервые назвал американскую компанию «риском цепочки поставок» — Anthropic отказал в слежке и автооружии
Министр обороны Пит Хегсет присвоил Anthropic статус «supply chain risk» — ярлык, ранее применявшийся только к иностранным компаниям вроде Huawei. Поводом стал отказ снять два ограничения: массовая слежка за гражданами США и полностью автономное оружие. Трамп приказал федеральным агентствам перейти с Anthropic в течение шести месяцев. В тот же вечер OpenAI подписал соглашение с Пентагоном — с теми же двумя ограничениями, за которые был наказан Anthropic. Компания готовится оспаривать решение в суде. Для корпораций с оборонными контрактами — новый класс риска: «AI vendor liability» при использовании Claude в рабочих процессах.
⚠️ Угрозы и инциденты
Anthropic: DeepSeek, Moonshot AI и MiniMax провели distillation-атаки на Claude — 16 млн обменов через 24 тыс. фейковых аккаунтов
Anthropic задокументировала промышленный шпионаж со стороны трёх китайских AI-лабораторий: через около 24 тыс. фиктивных аккаунтов проведено свыше 16 млн обменов с Claude для переноса его способностей в собственные модели. Все три лаборатории целились в агентное рассуждение, вызов инструментов и программирование. MiniMax — крупнейший нарушитель с 13 млн обменов — перенаправил половину трафика на новую версию Claude в течение 24 часов после её релиза. Anthropic использовала раскрытие как аргумент в пользу экспортного контроля чипов: операции такого масштаба требуют доступа к передовому вычислительному оборудованию.
Supply chain worm SANDWORM_MODE: 19 вредоносных npm-пакетов крадут крипто-ключи, CI-секреты и API-токены
Socket обнаружила активную supply chain worm-кампанию SANDWORM_MODE: минимум 19 вредоносных npm-пакетов автоматически распространялись по зависимостям, похищая криптографические ключи, секреты CI-пайплайнов и API-токены. Кампания обнаружена 23 февраля. CI/CD-инфраструктура имеет доступ к production-среде, и один скомпрометированный пакет в пайплайне поражает все зависимые организации одновременно — классический multiple-victim инцидент с minimal effort.
UFP Technologies: атака на производителя медоборудования, данные клиентов скомпрометированы — уведомление в SEC
UFP Technologies (производитель медоборудования, выручка $600 млн) подал уведомление в SEC об атаке, произошедшей 14 февраля: злоумышленники проникли в системы обработки этикеток и биллинга, похитили корпоративные данные. Официального подтверждения ransomware нет. Атаки на медицинских производителей продолжают серию инцидентов в секторе: длинные цепочки устаревшего операционного ПО делают его уязвимым вектором с устойчивым спросом на специализированную защиту OT-инфраструктуры.
DOJ изъял $61 млн Tether по делу pig butchering — blockchain-форензика становится стандартным инструментом правоохранителей
Министерство юстиции США объявило об изъятии $61 млн в Tether, связанных с pig butchering-схемами: HSI Charlotte применяло инструменты blockchain-форензики для трассировки активов через несколько юрисдикций. Изъятие — новый сигнал коммерческого спроса на криптоаналитические платформы и anti-fraud инструменты со стороны государственного и правоохранительного сегмента.
Kimwolf — крупнейший ботнет в истории: оператор «Dort» доксирует ИБ-исследователей и вызывает SWAT
KrebsOnSecurity опубликовал профиль оператора ботнета Kimwolf под ником «Dort»: сеть признана крупнейшим деструктивным ботнетом на сегодняшний день. После того как исследователь раскрыл уязвимость в сборке Kimwolf, «Dort» организовал DDoS, доксинг, email-флуд и SWAT-вызов к дому исследователя. Инцидент обнажает системный пробел: у исследователей, раскрывающих уязвимости в публичной инфраструктуре, фактически нет правовой защиты от физической угрозы — ИБ-вендорам, развивающим bug bounty и threat intel, следует включать OPSEC исследователей в программы ответственного раскрытия.
📈 Рынок
«Сибинтек» (ИТ-интегратор «Роснефти») готовит создание корпоративного киберполигона
TAdviser зафиксировал восемь запросов предложений «Сибинтека» на специализированное ПО для киберполигона — платформы, моделирующей реальные атаки для обучения ИБ-специалистов. «Роснефть» регулярно становится целью хакеров, в том числе в 2017 году подвергалась крупным атакам. Формирование собственного учебного полигона говорит о зрелости корпоративных ИБ-стратегий в нефтегазовом секторе и нарастающем спросе на практическую подготовку команд.
🤖 Продукты и технологии
Kaspersky обновила SIEM-платформу KUMA до версии 4.2 с AI-модулями
«Лаборатория Касперского» выпустила Kaspersky Unified Monitoring and Analysis Platform 4.2 с инструментами на базе ИИ для выявления компрометации учётных записей и поддержкой запуска длительных поисковых запросов в фоновом режиме. Одновременно UserGate опубликовала стабильные версии межсетевого экрана NGFW 7.3.3 и 7.4.1. Оба обновления ориентированы на устойчивую работу в высоконагруженных средах — ключевое требование для объектов КИИ в условиях надвигающихся регуляторных проверок.
«Лаборатория Касперского» анонсировала выход собственного продукта Vulnerability Management
Решение разрабатывается совместно со Сбером — в его основе мультиагентная GenAI-система, автоматизирующая поиск уязвимостей и ускоряющая устранение ошибок конфигурации. Партнёрство двух крупнейших компаний страны — в кибербезопасности и финансах — сигнализирует о том, что ИИ в российском ИБ переходит из экспериментального статуса в продуктовый. Выход на рынок запланирован на текущий год, что прямо конкурирует с MaxPatrol VM от Positive Technologies.
🔎 Исследования и аналитика
Positive Technologies: 64% успешных атак на организации в России заканчивались утечками данных
По итогам первых трёх кварталов 2025 года против российских организаций действовали не менее 18 хактивистских группировок, на долю которых пришлось 19% всех успешных кибератак. В 64% успешных атак злоумышленники добивались утечки конфиденциальных данных. Коммерческая тайна, учётные данные и персональные данные составляют равные доли похищаемого. Телеком стал главной мишенью — 40% всех попыток атак, причём почти половина из них критичные. Главный вектор проникновения — загрузка заражённых программ (70% всех инцидентов).
DLBI: объём утечек данных в России сократился в 10 раз — до 36,5 млн уникальных номеров
Российский сервис мониторинга утечек DLBI зафиксировал резкое падение объёмов: за 2025 год в даркнете и Telegram появились 61 утечка против сотен в предыдущие годы — итог оборотных штрафов, принятых в конце 2024 года. Базы содержали 36,5 млн уникальных телефонных номеров и 28,7 млн email-адресов. Основная доля пострадавших — логистика (60%), розничная торговля (18%) и e-commerce (6,5%). Тренд объясняется как реальным улучшением защиты, так и уходом части утечек в закрытые каналы.
Habr: AI-атаки в 2026 году работают быстрее, чем успевает реагировать SOC
Специалисты фиксируют качественный сдвиг: автономные AI-агенты способны провести полный цикл атаки — от разведки до эксфильтрации данных — за считанные часы, тогда как человеческие команды безопасности всё ещё согласуют время совещания. «Теневой AI» внутри организаций создаёт слепые зоны: сотрудники передают корпоративные данные несанкционированным нейросервисам. Эксперты прогнозируют первый крупный инцидент с компрометацией Model Context Protocol (MCP) в текущем году.
🌍 МИРОВЫЕ НОВОСТИ
💰 Сделки и инвестиции
Arctic Wolf закрыл покупку Sevco Security: exposure management входит в MDR-платформу Aurora
Arctic Wolf закрыла сделку по поглощению Sevco Security: cloud-native платформа объединяет контекст уязвимостей, покрытие средств контроля и видимость активов на платформе Aurora. Цель — дать заказчикам и MSP возможность проактивно выявлять риски ещё до начала атаки. Президент по технологиям Dan Schiappa: «Нельзя выстроить проактивную безопасность без управления экспозицией». Сделка продолжает стратегию Arctic Wolf по переходу от реагирования на инциденты к непрерывному управлению киберрисками.
🔬 Исследования и аналитика
Darktrace Annual Threat Report 2026: уязвимости +20%, идентификация заменила периметр, Azure — самый атакуемый облачный провайдер
Darktrace опубликовал Annual Threat Report 2026 на основе данных за 2025 год: уязвимости выросли на 20%, однако атакующие всё чаще обходят их в пользу кражи учётных данных. В Северной и Южной Америке 70% инцидентов начинаются с украденных аккаунтов; в Европе 58% атак стартуют через скомпрометированные облачные аккаунты и email. Azure — самый атакуемый облачный провайдер (43,5% образцов ВПО против 33,2% у GCP и 23,2% у AWS). Через глобальный флот Darktrace в 2025 году зафиксировано 32 млн фишинговых писем; QR-атаки в email выросли на 28%, доля AI-assisted фишинга — с 32% до 38%.
📋 Регулирование и стандарты
OFAC впервые применил PAIPA: санкции против Operation Zero, экс-топ L3Harris приговорён к 87 месяцам за продажу 8 эксплойтов
Министерство финансов США ввело санкции против российского брокера эксплойтов Operation Zero (Matrix LLC, Санкт-Петербург) и его основателя Сергея Зеленюка — это первое применение закона PAIPA. Параллельно суд приговорил Питера Уильямса, бывшего директора по операциям подразделения Trenchant (L3Harris), к 87 месяцам тюрьмы за кражу 8 zero-day эксплойтов и их продажу Operation Zero за $1,3 млн в криптовалюте. Эксплойты, созданные эксклюзивно для правительства США, оказались у посредников в Южной Корее. Для рынка offensive security — сигнал о распространении экспортных ограничений на нематериальные активы.
Индия: 83 стандарта безопасности смартфонов — производителей могут обязать передать исходный код правительству
Правительство Индии опубликовало пакет из 83 стандартов безопасности в рамках плана премьер-министра Моди: производители смартфонов могут быть обязаны передать исходный код правительству и обеспечить возможность внесения изменений в ПО устройств. По данным Reuters, ряд производителей выразил протест, ссылаясь на угрозу раскрытия проприетарных данных. Для мирового ИБ-рынка Индия становится третьим крупным регуляторным блоком с собственными требованиями к доступу к коду — после США и ЕС.
Пентагон впервые назвал американскую компанию «риском цепочки поставок» — Anthropic отказал в слежке и автооружии
Министр обороны Пит Хегсет присвоил Anthropic статус «supply chain risk» — ярлык, ранее применявшийся только к иностранным компаниям вроде Huawei. Поводом стал отказ снять два ограничения: массовая слежка за гражданами США и полностью автономное оружие. Трамп приказал федеральным агентствам перейти с Anthropic в течение шести месяцев. В тот же вечер OpenAI подписал соглашение с Пентагоном — с теми же двумя ограничениями, за которые был наказан Anthropic. Компания готовится оспаривать решение в суде. Для корпораций с оборонными контрактами — новый класс риска: «AI vendor liability» при использовании Claude в рабочих процессах.
⚠️ Угрозы и инциденты
Anthropic: DeepSeek, Moonshot AI и MiniMax провели distillation-атаки на Claude — 16 млн обменов через 24 тыс. фейковых аккаунтов
Anthropic задокументировала промышленный шпионаж со стороны трёх китайских AI-лабораторий: через около 24 тыс. фиктивных аккаунтов проведено свыше 16 млн обменов с Claude для переноса его способностей в собственные модели. Все три лаборатории целились в агентное рассуждение, вызов инструментов и программирование. MiniMax — крупнейший нарушитель с 13 млн обменов — перенаправил половину трафика на новую версию Claude в течение 24 часов после её релиза. Anthropic использовала раскрытие как аргумент в пользу экспортного контроля чипов: операции такого масштаба требуют доступа к передовому вычислительному оборудованию.
Supply chain worm SANDWORM_MODE: 19 вредоносных npm-пакетов крадут крипто-ключи, CI-секреты и API-токены
Socket обнаружила активную supply chain worm-кампанию SANDWORM_MODE: минимум 19 вредоносных npm-пакетов автоматически распространялись по зависимостям, похищая криптографические ключи, секреты CI-пайплайнов и API-токены. Кампания обнаружена 23 февраля. CI/CD-инфраструктура имеет доступ к production-среде, и один скомпрометированный пакет в пайплайне поражает все зависимые организации одновременно — классический multiple-victim инцидент с minimal effort.
UFP Technologies: атака на производителя медоборудования, данные клиентов скомпрометированы — уведомление в SEC
UFP Technologies (производитель медоборудования, выручка $600 млн) подал уведомление в SEC об атаке, произошедшей 14 февраля: злоумышленники проникли в системы обработки этикеток и биллинга, похитили корпоративные данные. Официального подтверждения ransomware нет. Атаки на медицинских производителей продолжают серию инцидентов в секторе: длинные цепочки устаревшего операционного ПО делают его уязвимым вектором с устойчивым спросом на специализированную защиту OT-инфраструктуры.
DOJ изъял $61 млн Tether по делу pig butchering — blockchain-форензика становится стандартным инструментом правоохранителей
Министерство юстиции США объявило об изъятии $61 млн в Tether, связанных с pig butchering-схемами: HSI Charlotte применяло инструменты blockchain-форензики для трассировки активов через несколько юрисдикций. Изъятие — новый сигнал коммерческого спроса на криптоаналитические платформы и anti-fraud инструменты со стороны государственного и правоохранительного сегмента.
Kimwolf — крупнейший ботнет в истории: оператор «Dort» доксирует ИБ-исследователей и вызывает SWAT
KrebsOnSecurity опубликовал профиль оператора ботнета Kimwolf под ником «Dort»: сеть признана крупнейшим деструктивным ботнетом на сегодняшний день. После того как исследователь раскрыл уязвимость в сборке Kimwolf, «Dort» организовал DDoS, доксинг, email-флуд и SWAT-вызов к дому исследователя. Инцидент обнажает системный пробел: у исследователей, раскрывающих уязвимости в публичной инфраструктуре, фактически нет правовой защиты от физической угрозы — ИБ-вендорам, развивающим bug bounty и threat intel, следует включать OPSEC исследователей в программы ответственного раскрытия.
Понравился материал?