Антивирусная защита *

На протяжении всей истории бизнеса компании учились учитывать то, что становилось для них критически важным.

Когда экономика была простой, владельцу мастерской достаточно было понимать, сколько товара лежит на складе и сколько денег осталось в кассе. По мере роста компаний появились бухгалтерия, управленческий учёт, финансовая отчётность и аудит. Затем бизнес научился учитывать оборудование, сотрудников, логистику, производительность, риски и эффективность процессов.

Каждый новый этап развития экономики порождал новые системы учёта.

В 2026 году искусственный интеллект стал неотъемлемой частью бизнес-процессов: от автоматизации клиентских операций до внутреннего мониторинга данных. Но с ростом числа AI-агентов увеличиваются и риски. Непреднамеренное поведение AI может вызвать сбои в финансовых потоках, нарушение нормативов и утечку данных.

Например, в банковской среде AI, который управляет транзакциями, может заблокировать сотни счетов одновременно, если возникнет ошибка в алгоритме. В логистике автономные системы управления складами и роботами могут остановить цепочку поставок, если не предусмотрен механизм контроля. Такие сценарии уже фиксировались в корпоративных исследованиях 2024–2025 годов (см. IBM Research AI Risk Report, 2024).

Вывод: компании остро нуждаются в инструментах, которые позволяют сохранять контроль над действиями AI, минимизировать риски и при этом не замедлять инновации.

Еще несколько лет назад искусственный интеллект воспринимался как экзотический инструмент для крупных корпораций, исследовательских лабораторий и энтузиастов машинного обучения.

Сегодня ситуация выглядит совершенно иначе.

Практически каждую неделю появляются новые AI-сервисы, AI-агенты, корпоративные помощники, инструменты автоматизации и специализированные модели для бизнеса. Многие компании уже используют десятки различных AI-инструментов одновременно, зачастую даже не осознавая масштаб происходящих изменений. Если посмотреть на происходящее со стороны, можно заметить интересную закономерность: компании активно внедряют искусственный интеллект, но почти не думают о его управлении.

Это напоминает ситуацию начала двухтысячных годов, когда организации стремительно подключали компьютеры к сети, не уделяя достаточного внимания вопросам информационной безопасности. Сначала появлялись технологии. Только потом появлялись политики, процессы и инструменты управления.

С искусственным интеллектом происходит примерно то же самое. Сегодня во многих компаниях можно встретить следующую картину - маркетинг использует собственные AI-сервисы. Разработка использует другой набор моделей. Отдел продаж работает через третьи инструменты, HR использует свои решения. Отдельные сотрудники подключают публичные модели напрямую, зачастую без какого-либо контроля со стороны компании.

На первый взгляд это выглядит как нормальная адаптация новых технологий. Но если посмотреть глубже, возникает интересный вопрос. Кто на самом деле управляет всем этим? Кто может ответить на вопрос, какие именно AI-системы используются внутри организации? Кто контролирует, какие данные передаются внешним моделям? Кто может объяснить, почему AI принял то или иное решение? Кто способен быстро остановить действия интеллектуального агента, если он начинает работать некорректно?

Всем салют! Это снова Илья Борисов из антивирусной лаборатории Positive Technologies. 

Защита от киберугроз, в том числе от атак шифровальщиков, начинается с построения безопасной экосистемы. Ее техническую основу составляют взаимосвязанные продукты разных классов: песочницы, антивирусы, системы защиты конечных точек (EDR), NGFW. Каждый из продуктов на разных этапах атаки имеет реальную возможность распознать угрозу типа ransomware, остановить ее или передать сигнал о необходимости начать расследование.

Важно! При попытке атаки с помощью ransomware, вывести из строя средства защиты — приоритетная цель для злоумышленника.

Привет, Хабр!

Я Илья Борисов, старший специалист отдела экспертизы MaxPatrol EDR антивирусной лаборатории Positive Technologies.

В 2025 году команда аналитиков антивирусной лаборатории PT ESC провела исследование актуальных семейств ransomware (aka шифровальщиков), чтобы повысить эффективность их обнаружения нашим продуктом. Этот вид ВПО оказался одной из наиболее значимых и заметных разновидностей вредоносов, используемых в атаках в 2025 году.

Мы проанализировали образцы, замеченные в период с конца 2024 года по конец 2025-го. Были разобраны как давно известные семейства шифровальщиков, такие как Black Basta, MedusaLocker и LockBit, и относительно недавно появившиеся Lynx, HellCat и BERT.

В этой статье хочу поделиться результатами этого исследования. Для начала расскажу про типы шифровальщиков, на кого они нацелены, как работают, подсвечу технические детали, а также ретроспективно прослежу некоторые тенденции в эволюции ransomware.

Привет, Хабр!

Мы вернулись через четыре года. Зимой мы уже отметились в блоге Samsung статьёй для тех, кто думает сделать свой MDM. Теперь решили возродить свой блог. Пока на три месяца, а дальше посмотрим. 

Мы всегда стараемся доходчиво объяснять сложные вещи, и поэтому начать вторую жизнь нашего блога решили с разбора свежего документа от ФСТЭК России в части защиты мобильных устройств. 

Из статьи вы узнаете, что теперь BYOD для госорганов — это не принеси (bring), а купи (buy) себе устройство для работы, и что MDM для мобильных устройств теперь нужен не меньше, чем антивирус. На самом деле даже больше. Почему? Давайте под кат!

Аутсорсинг - передача компанией на основании договора части своих задач или функций другой компании, действующей в нужной области. Например, на аутсорсинг могут быть переданы такие функции, как ведение бухгалтерского учёта, уборка помещений, рекламные услуги, транспортные услуги, внедрение и сопровождение информационных систем и, даже, обеспечение информационной безопасности. Тех, кому передаются задачи/функции по договору подряда, еще называют подрядчики. И они составляют подмножество контрагентов, с которыми нужно и можно взаимодействовать безопасно, сокращая поверхность атак и снижая киберриски. Об этом мы писали в нашей статье «Киберугрозы при взаимодействии с контрагентами и как защититься от них». В статье мы выделяли основные киберриски:

Не успели мы анонсировать долгожданную интеграцию ZentrySpace с Telegram, как случилось то, к чему нас жизнь точно не готовила — зловещее уведомление у скачивающих от «Лаборатории Касперского» о наличии трояна в приложении. По мотивам недавних реальных атак в Telegram, в борьбе с которыми Касперский преуспел, наши потенциальные пользователи, конечно же, насторожились. После получения серии отзывов о том, что ZentrySpace вредоносный и подозрительный, мы начали разбираться в том, что же могло пойти не так.

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки».

Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси.

Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. 

На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev. Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети.

Ключевые моменты

- C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf.

- Используют вредоносный клиент TrueConf.

- Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте.

- В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp.

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак, проведенных Mandiant в 2025.

Делимся с вами подробностями.

Для завода или сети магазинов кибератака — это остановка линии, неработающие кассы, сорванные поставки, конфликт с контрагентами и вопросы от регуляторов. Один удачный шифровальщик может одновременно ударить по производству, складам и фронту продаж — именно поэтому для промышленности и ритейла киберугрозы это не просто «технический риск» — это прямая угроза бизнесу. 

Kaspersky выпустил глобальный отчёт по киберугрозам на основе данных своих сервисов MDR, Incident Response и Compromise Assessment. Внутри — статистика по реальным атакам на 200 000 корпоративных клиентов, разбор тактик злоумышленников и неожиданные цифры о том, насколько плохо большинство SOC используют собственные данные.

Разбираю главное

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

Когда я только начинал в ИБ, я часами лазил по сайтам в попытках понять: а что вообще нужно знать новичку? Какими базовыми вещами должен владеть специалист по защите информации — будь то внутри контура организации или за его пределами.

Так я наткнулся на статьи про СЗИ — средства защиты информации. По сути, это тот самый инструментарий, с помощью которого специалист и строит защиту.

Думаю, выпущу несколько материалов, где своими словами разберу разные виды СЗИ. Для тех, кто только вникает в профессию, — чтобы было проще ориентироваться в этих штуках.

СПИСОК СЗИ ПРО КОТОРЫЕ Я РАССКАЗЫВАЮ В ЭТОЙ СТАТЬЕ:

1. Межсетевой экран (МЭ) — он же Firewall (англ.) или Brandmauer (нем.).

2. IDS/IPS — Intrusion Detection System / Intrusion Prevention System

3. DLP — Data Leak Prevention

4. SIEM — Security Information and Event Management

5. Sandbox — «песочница»

Межсетевой экран

Думаю, многие уже слышали о межсетевых экранах. Их называют по-разному: Firewall — с английского «огненная стена», или Brandmauer — с немецкого тоже «огненная стена». В общем как ни назови, он делает одно и то же — не дает нежелательному трафику проникнуть в сеть.

Антифрод — это комплекс мер, технологий и процессов, направленных на предотвращение, выявление и минимизацию ущерба от мошеннических действий. Простыми словами — это система, которая борется со злоумышленниками во всех ипостасях. Коллеги на Хабре недавно делали обзор по теме. Также рекомендуем ещё свежую аналитику за 2025 год.

А наша статья посвящена патентам и свидетельствам на антифрод‑системы в России и мире.

Начну немного с вводной, кому неинтересно, можно сразу перейти к технической части статьи.

Недавно я пробовал пройти собеседование в Kaspersky. Ну, как пробовал, если честно даже не дошел до технического этапа :) В общем, я получил реджект. Причина отказа: "решили выйти с предложением к кандидату, который прошел все финальные встречи". Не сказать, что у меня не было опыта в реверсе. Я пару раз реверсил прошивки, но в основном тестировал способы обхода лицензий в продуктах компании. Но вот именно анализом malware как таковым не занимался. Поэтому, буду восполнять этот пробел, ну и попутно буду документировать это все в небольших статьях, поскольку когда пробуешь что-то объяснить другим, сам разбираешься в вопросе еще глубже.

Я работаю директором по цифровой трансформации. И каждый раз, когда собираю бюджет, вижу одну и ту же картину: на ИТ денег мало, на ИБ — ещё меньше. При этом требования растут, угрозы множатся, а формулировка от бизнеса : «сделай так, чтобы работало удобно, из любого места и без пароля желательно, ну и не ломалось».

Как и многие я ищу идеальную формулу: минимум вложений → максимум защиты. Не «купить всё и сразу», не «внедрить SOC за 10 миллионов в год», а именно базовую базу по ИТ и ИБ, которая закрывает 80% рисков и не требует армии сотрудников для ее поддержания.

Эта статья — про то, как за разумные деньги выстроить защиту основывая на собственных ошибках и опыте. С цифрами, с инструментами, с калькулятором.

ИБ‑гигиена — это не SOC, не «киберщит» и не магический короб. Это несколько приземлённых вещей: MFA, антивирус, бэкапы, ролевая модель и обучение людей. Всё это стоит сильно дешевле одного серьёзного инцидента.

Agentic SOC — это не «ещё один модный модуль с ИИ», а переход от ручной обработки инцидентов и цепочек автоматизации к более самостоятельной модели, где агенты собирают контекст, обогащают инциденты, предлагают действия и иногда запускают безопасные реакции под контролем человека.
Проблема в том, что вместе с ускорением появляются новые риски: слишком широкие полномочия, ошибки сопоставления, внедрение вредоносных подсказок, неверные решения по изоляции и ложная уверенность в «умной автоматизации».

ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать архитектура и безопасность.

В марте в обзорах уязвимостей рядом всплыли несколько критичных багов именно в этих штуках. Там есть и SQL‑инъекции, и JSONPath‑инъекции, и обход проверки доверия при загрузке моделей. В статье разбираю, что это значит для тех, кто уже тащит ИИ в прод, и даю чек‑лист, который можно прямо отнести своей команде.