кибератаки

Хакери разпространяват близо 1000 уебстраници, имитиращи Reddit и услугата за споделяне на файлове WeTransfer, които водят до изтегляне на зловредния софтуер Lumma Stealer.

Тези, свързани със социалната мрежа, показват фалшива дискусия по определена тема. Създателят на темата моли за помощ за изтегляне на конкретен инструмент. Друг потребител предлага да помогне, като го качи в WeTransfer и сподели връзката, а трети му благодари, за да изглежда всичко легитимно.

Нищо неподозиращите жертви, които щракват върху връзката, биват отвеждани до фалшив сайт на WeTransfer. Той имитира интерфейса на популярната услуга за споделяне на файлове. Бутонът „Изтегляне“ обаче сваля полезния товар на Lumma Stealer.

Атаката започва през злонамерени реклами и уебсайтове, SEO poisoning, директни съобщения в социалните медии и други средства.

Lumma Stealer е мощен инструмент с усъвършенствани механизми за заобикаляне на системите за сигурност. Обикновено той се използва за извличане на чувствителни данни за вход от компании, които впоследствие се продават в хакерски форуми.

Нова кампания на руската група за криптоизмами Crazy Evil таргетира инфлуенсъри в областта на технологиите, игрите и криптовалутите.

Тя пренасочва легитимен трафик към злонамерени целеви страници, които разпространяват усъвършенствани зловредни инструменти като Stealc (за Windows) и AMOS (за macOS).

Изследователите по сигурността от Insikt Group са идентифицирали поне 10 активни платформи за криптоизмами на Crazy Evil. Те се популяризират през социалните медии.

Списъкът включва:

• Voxium – фалшив инструмент за децентрализирана комуникация, изграден върху блокчейн инфраструктурата на криптовалутата Solana;
• Rocket Galaxy – фалшива игра, която разпространява злонамерени полезни товари;
• TyperDex – фалшив софтуер за продуктивност, подпомаган от изкуствен интелект;
• DeMeet – фалшива платформа за „развитие на общносттаˮ с функционалности за чат, планиране на събития и лоялност към марката;
• Фалшиви Zoom и WeChat;
• Selenium Finance – фалшива платформа за управление на цифрови активи;
• Gatherum – фалшив AI софтуер за виртуални срещи.

Crazy Evil има над 3000 последователи в публичния си канал в Telegram. Тя е генерирала над 5 млн. долара незаконни приходи и е заразила десетки хиляди устройства със зловреден софтуер по целия свят. Това я прави изключително голяма заплаха.

За да се защитите от подобни групи:

• използвайте усъвършенствани EDR решения за наблюдение и блокиране на изпълнението на известни семейства зловреден софтуер;
• внедрете инструменти за филтриране на уеб страници за блокиране на достъпа до известни злонамерени домейни, както и на подозрителни изтегляния. Това важи с особена сила за кракнат „безплатен“ софтуер;
• актуализирайте редовно знанията си за напредналите киберзаплахи.

Хиляди данни за акаунти на големи доставчици на киберсигурност са изтекли в Dark Web.

Според Cyble от началото на 2025 удостоверителни пълномощни от поне 14 доставчици на услуги за сигурност са били продадени в незаконни онлайн пазари. Те варират от вътрешни акаунти до достъп на клиенти в уеб и облачни среди. Това предполага, че са били компрометирани както самите клиенти, така и служителите на доставчиците на инструменти за киберсигурност.

Данните са откраднати чрез infosteаler от мениджъри на пароли, системи за удостоверяване, платформи за управление на устройства или интернет услуги като GitHub, AWS, Microsoft Online, WordPress, Oracle и Zoom.

Тази новина трябва да вдигне високо червения флаг за всеки един бизнес. Щом най-големите доставчици на услуги за сигурност могат да бъдат засегнати, то това може да се случи и с всяка организация. Киберсигурността трябва да е е основен приоритет за вашата компания, а не нещо пожелателно.

DDoS атака, достигнала максимална скорост от 5,6 Tbps (терабита в секунда), счупи световния рекорд. Тя е извършена от ботнет Mirai с 13 000 компрометирани устройства и е била насочена срещу доставчик на интернет услуги в Източна Азия.

Атаката е продължила 80 секунди, но не е оказала влияние върху целта. Нейното откриване и смекчаване е било напълно автоматично.

Доскорошният рекорд за най-обемна DDoS атака беше 3,8 Tbps от октомври 2024, продължила 65 секунди.

Според Cloudflare хиперволуметричните DDoS атаки зачестяват – тенденция, станала особено забележима през Q3/2024. През Q4 атаките, надхвърлящи 1 Tbps, са скочили с 1885% на тримесечна база.

Тези над 100 млн. pps (пакета в секунда) също са се увеличили със 175%, като забележителните 16% от тях са надхвърлили и 1 млрд. pps.

Компанията твърди, че най-атакуваните цели през последното тримесечие на 2024 са в Китай, Филипините и Тайван, следвани от Хонконг и Германия. Повечето от тях са били в областта на телекомуникациите, доставчиците на услуги, интернет сектора и маркетинга и рекламата.

На практика обаче нито един бизнес не е застрахован – независимо от сферата и региона, в които оперира. За да се защитите:

• използвайте специализираните услуги за защита от DDoS атаки, предлагани от доставчиците на интернет услуги и хостинг компаниите;
• инсталирайте защитни стени и мрежови филтри, които могат да идентифицират и блокират подозрителен трафик;
• постоянно наблюдавайте мрежовия трафик за необичайни активности;
• използвайте CDN (Content Delivery Network) мрежи, които разпределят трафика към различни сървъри;
• поддържайте актуализирани всички софтуерни компоненти, за да няма уязвимости, които могат да бъдат използвани при DDoS атаки;
• инсталирайте AI решения за анализ на трафика в реално време и автоматично блокиране на злонамерени заявки.

Нова хакерска кампания подлъгва потребителите чрез фалшиви заявки на софруера за отдалечена поддръжка AnyDesk.

Тя използва тактика за социално инженерство, за да получи неоторизиран достъп до устройствата на жертвите. Това може да доведе до кражба на данни и други злонамерени действия.

Нападателите изпращат заявки за свързване чрез AnyDesk под претекст, че провеждат „одит, за да проверят нивото на сигурност“.

За да бъде успешна тази атака, трябва да бъдат изпълнени две важни условия:

• нападателят трябва да притежава идентификационния номер за AnyDesk на жертвата;
• софтуерът AnyDesk трябва да е стартиран на целевия компютър.

Според екипа за реагиране при компютърни инциденти на Украйна – CERT-UA нападателите са се сдобили с AnyDesk ID от предишни пробиви.

За да се защитите от подобни атаки:

• разрешавайте достъпа на софтуера за отдалечен достъп само за срока на неговото използване по предназначение;
• проверявайте и съгласувайте всяка работа с него чрез официални комуникационни канали.

Светът е под обсада и това не е новина. Спонсорирани от държавата киберпрестъпници и нарастваща армия от новаци, въоръжени с мощни инструменти от Dark Web, използват всяко слабо звено в нашата киберсигурност. А това обикновено са потребителите.

Многофакторната автентикация (MFA), която някога се славеше като непробиваема защита, се разпада под тежестта на остарялата си технология. Фишинг атаките, ransomware и сложните експлойти я заобикалят с изумителна лекота.

Бурята се разраства, а с навлизането на още по-напреднали технологии и тактики най-лошото тепърва предстои.

Наследените системи за MFA: Политика на отворени врати за фишинг и ransomware

Вълната от фишинг и ransomware атаки обхваща всички индустрии, оставяйки след себе си разрушения. Загуби за безброй милиарди долари са причинени от киберпрестъпници, които се възползват от слабостите на наследените решения за MFA.

Тези системи, изградени върху лесно преодолими принципи като еднократни пароли и SMS удостоверяване, невинаги могат да се противопоставят на иновативните подходи.

Фишинг атаките са станали тревожно ефективни. Те заобикалят MFA с помощта на сложни тактики за социално инженерство, които се възползват от човешката доверчивост.

Ransomware групите също се възползват от слабостите на старите MFA модели, за да получат неоторизиран достъп до мрежите. Това им позволява да държат критични системи като заложници и да искат астрономически откупи.

Тази технология се превърна от бариера във въртяща се врата за киберпрестъпниците, като с всеки изминал ден предизвиква все по-големи бедствия.

Генеративният изкуствен интелект: Любимото оръжие на киберпрестъпниците

Генеративният изкуствен интелект е нож с две остриета, а в неправилните ръце той е оръжие с несравнима сила. Киберпрестъпниците вече използват технологията, за да създават фишинг атаки. Те на практика не се различават от легитимните съобщения.

Няма ги типографските и граматическите грешки. Няма ги вече и спешността, твърде добрите, за да бъдат истински, оферти и други червени флагове. Новите кампании подмамват дори най-добре обучените потребители да предоставят по невнимание достъп до мрежата на киберпрестъпниците.

AI инструментите анализират моделите на корпоративна комуникация и ги възпроизвеждат със забележителна точност. AI чатботовете могат да участват във взаимодействия в реално време за продължителен период от време. Deepfake се превръщат в най-доброто оръжие на киберпрестъпниците, което лесно заблуждава дори най-предпазливите потребители.

С помощта на AI фишингът вече не е грубо изкуство, а точна наука. В комбинация със слабостите на старите MFA системи тези инструменти позволяват мащабни кампании с голям успех. Те предефинират пейзажа на киберпрестъпността и риска пред организациите.

Сривът на бдителността на потребителите

Стратегиите за киберсигурност са толкова силни, колкото са силни хората, които трябва да ги използват. Днешното MFA остава изцяло зависимо от потребителите и това е сърцевината на неговата уязвимост.

Ново проучване на Gallup установява, че ангажираността на служителите е достигнала 10-годишно дъно. Едва 31% от тях покриват критериите. А няма как тези, които не са ангажирани с организацията си, да са добри пазители на достъпа до нейната мрежа.

Единственото решение е бизнесите да спрат да разчитат единствено на поведението на потребителите и да намерят начин да защитят инфраструктурите си. А това не е възможно при сегашните MFA решения.

Преминаването към устойчиво на фишинг, следващо поколение MFA, което не разчита на старанието на потребителя, е задължително за всяка организация. Съществуват много иновативни стартиращи компании с разнообразни решения, които намаляват този сериозен риск. Отговорът е прост – ако престъпниците преодоляват вашите ключалки, вземете по-добри ключалки.

Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

Ако използвате подобно устройство:

• незабавно променете всички пароли и конфигурации;
• инсталирайте версия 7.2.2 на FortiOS или по-нова;
• проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
• редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
• сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
• ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.

Kиберпрестъпниците използват реклами в Google Search, за да крадат идентификационните данни на рекламодателите на платформата Google Ads.

Те са оформени като такива на технологичния гигант и се показват като спонсорирани резултати. На практика обаче пренасочват потенциалните жертви към фалшиви страници за вход, изглеждащи като официалната начална страница на Google Ads.

Атаките включват няколко етапа:

• жертвата въвежда информацията за профила си в Google във фишинг страницата;
• тя събира уникални идентификатори, бисквитки и данни за достъп;
• на официалния имейл адрес се получава съобщение, че е регистрирано влизане в системата от необичайно място;
• ако потребителят не успее да спре този опит, към акаунта в Google Ads се добавя нов администратор чрез различен адрес в Gmail;
• нападателят започва да харчи и блокира достъпа на жертвата.

Според Malwarebytes крайната цел на престъпниците е да продадат откраднатите акаунти на хакерски форуми. Някои от тях могат да бъдат използвани за бъдещи атаки.

Великобритания е напът да забрани на организациите от публичния сектор и критичната инфраструктура да плащат откуп при ransomware атаки.

Мярката е насочена към защитата на болници, училища, железници и други основни обществени услуги. Тя цели да направи критичните услуги непривлекателни цели за този тип атаки.

Правителството работи и по създаването на задължителен режим за докладване на подобни инциденти. По този начин то иска да помогне на службите да съберат повече информация за този тип заплахи и за групите, които ги организират.

Тези предложения идват в отговор на нарастващия брой ransomware атаки срещу обществената и критичната унфраструктура в Обединеното кралство.

Плащането на откуп при ransomware атака не се препоръчва поради няколко основни причини:

• Насърчаване на престъпността: Плащането на откуп стимулира киберпрестъпниците да продължат с атаките си, тъй като виждат, че техните методи са успешни и доходоносни.
• Липса на гаранция: Нямате никаква гаранция, че след плащането на откупа ще получите обратно достъп до своите файлове.
• Допълнителни рискове: Плащането може да ви направи цел за бъдещи атаки, тъй като престъпниците ще знаят, че сте склонни да изпълнявате техните искания.
• Финансиране на престъпни дейности: Плащането на откуп подпомага финансирането на други престъпни дейности и организации.

Киберзаплахите, базирани на браузъри, са нараснали рязко. Те са отговорни за 70% от наблюдаваните случаи на атака със зловреден софтуер през 2024.

Това очертава значителна промяна в тактиките, използвани от киберпрестъпниците.

Според доклада 2024 Threat Data Trends на eSentire Threat Response Unit зловредният софтуер, доставян по електронна поща, е намалял през миналата година. Неговият дял е 15%. За сметка на това кампании, включващи т.нар. drive-by downloads и злонамерени реклами, например са се увеличили значително.

Тези техники все по-често се използват за доставяне на зловредни инструменти като Lumma Stealer и NetSupport Manager RAT. Нападателите ги предпочитат заради способността им да заобикалят традиционните филтри за електронна поща и контрола на сигурността.

Злоупотребата с валидни пълномощия също отбелязва значителен ръст. Компрометираните такива са се превърнали в най-често срещаният първоначален вектор за достъп.

Останалите заключения сочат, че:

• случаите на атаки с Infostealer са се увеличили с 31% спрямо предходната година;
• ransomware атаките продължават да таргетират всички индустрии, като се наблюдава нарастване на случаите на пробиви в крайни точки;
• броят на атаките през лични устройства и акаунти на доставчици от трети страни расте, което поражда загриженост относно сигурността на веригата за доставки;
• тактики като quishing и ClickFix набират популярност.

За да бъдете защитени в тази променяща се среда на заплахи, трябва да разчитате на многопластова стратегия за киберсигурност. Тя включва:

• възможности за 24/7 откриване на заплахи;
• внедряване на EDR решения;
• използване на устойчива на фишинг MFA.

Освен това трябва да провеждате редовни симулации на фишинг атаки и обучения по киберсигурност за служителите си. По този начин ще повишите тяхната осведоменост за тактиките за социално инженерство.