Ransomware: математический аппарат на службе зла. Способы защиты
Всем салют! Это снова Илья Борисов из антивирусной лаборатории Positive Technologies. Защита от киберугроз, в том числе от атак шифровальщиков, начинается с построения безопасной экосистемы. Ее техническую основу составляют взаимосвязанные продукты разных классов: песочницы, антивирусы, системы...
Ransomware: математический аппарат на службе зла
Привет, Хабр! Я Илья Борисов, старший специалист отдела экспертизы MaxPatrol EDR антивирусной лаборатории Positive Technologies. В 2025 году команда аналитиков антивирусной лаборатории PT ESC провела исследование актуальных семейств ransomware (aka шифровальщиков), чтобы повысить эффективность их...
Хакер спас мир и сел в тюрьму: Невероятная история Маркуса Хатчинса и червя WannaCry
12 мая 2017 года мир столкнулся с беспрецедентной киберкатастрофой. Больницы разворачивали машины скорой помощи прямо на ходу, вставали конвейеры автозаводов, парализовало серверы банков и министерств в 150 странах. На экранах сотен тысяч компьютеров загорелось агрессивное красное окно...
Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству
Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26 UTC, произошло одно из наиболее технически изощрённых событий в истории атак на цепочку поставок npm. Группировка TeamPCP опубликовала 84...
[Перевод] Вирусы-вымогатели в 2026 году: DDoS в нагрузку, вербовка инсайдеров и подрядчики «вслепую»
Вирусы-вымогатели (ransomware) — это вредоносные программы, шифрующие данные жертвы или похищающие их с угрозой публикации, в обмен на выкуп. В 2025 году публично известных атак стало на 47% больше, чем годом ранее, а суммарные выплаты — упали. Группировки в ответ перестраивают тактику: разбираем...
BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту
Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR...
Главные мифы и правда о программах-вымогателях: разбираем вместе. Часть 1
В этой серии из двух статей я попытаюсь представить необходимую информацию о программах-вымогателях и атаках, связанных с ними, включая рекомендации по ключевым этапам реагирования на подобные атаки. Первая часть посвящена основам, поговорим про развитие программ-вымогателей, а в частности...
Кибератаки на медицинскую инфраструктуру: реальные угрозы и последствия
Сегодня медицина невозможна без цифровых систем, которые хранят наши данные и обеспечивают работу больниц. В этой статье я предлагаю обсудить вопрос кибербезопасности в сфере здравоохранения. Читать далее...
DFIR-дежавю или несколько инцидентов и один Threat Actor
Всем привет, на связи команда DFIR JetCSIRT! Близится конец года, все готовят салаты и годовые отчеты. Мы тоже подводим итоги и заметили, что с одной из групп (или, по крайней мере, кластером злоумышленников) мы сталкивались чаще, чем с другими. Речь пойдёт о Rainbow Hyena — именно её активности мы...
Уроки свежих кибератак: принцип резервного копирования 3-2-1
Представьте: утро 29 июля 2025 года, аэропорты по всей России в хаосе. Крупная российская авиакомпания вынуждена отменить десятки рейсов, в основном внутренних, из-за мощной кибератаки. Системы бронирования и управления полетами парализованы, пассажиры в панике, а компания теряет миллионы. Это не...
Цифровые раскопки
Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows‑хостах. С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic). Злоумышленники получали доступ к сети жертвы...
Как ошибка в настройке RDP привела к атаке вымогателя
Утро в небольшой ИТ-компании обернулось кошмаром — файлы зашифрованы, ERP-система мертва, а на экране требование выкупа. Всё из-за одной ошибки в настройке RDP. Как хакеры захватили сеть, почему бэкапы подвели и что спасло бизнес? Читать далее...
Криптокошелек или жизнь (данных): Ransomware вчера, сегодня, завтра
Программы-вымогатели, шифровальщики, ransomware — одна из самых остроумных, эффективных и злободневных киберугроз нашего времени. Попробуем охватить этот занимательный феномен целиком, от его зарождения до самых ярких проявлений и перспектив на будущее. За 2024 год атаки ransomware в России выросли...
[Перевод] CyberProof — Отчет об анализе глобальных угроз за 2025 год — Часть 1 — Глобальное увеличение числа программ-вымогателей
Рекордные атаки, миллионы потерь, хаос в больницах — вымогатели снова диктуют правила. Кто стоит за крупнейшими киберинцидентами 2024 года? Почему здравоохранение оказалось под ударом? Как APT‑группы и ransomware‑операторы объединяют усилия? 450 миллионов долларов дохода, разрушенные...
35 лет назад под видом дискеты с «информацией о СПИДе» появилась первая в мире программа-вымогатель
В конце 1989 года мир столкнулся с первой в истории атакой программы‑вымогателя, которая была замаскирована под дискету с информацией о СПИДе. Около 20 000 подписчиков журнала PC Business World получили по почте 5,25-дюймовые дискеты с надписью «AIDS Information — Introductory Diskette 2.0». Это...
Хуже потопа, страшнее пожара: как подготовить свои бэкапы к визиту вируса-шифровальщика
Десятилетиями бэкапы защищали нас в первую очередь от физического выхода из строя оборудования и случайной порчи данных. Хорошая система резервного копирования (СРК) должна была пережить пожар, потоп, а потом оперативно дать возможность бизнесу продолжить нормальную работу. Но появилась другая...
Ресурсы для OSINT-исследования ransomware
В этом посте собрана подборка ресурсов, которые помогут сориентироваться и узнать много нового на тему шифровальщиков, либо найти что-то полезное по ходу расследования инцидентов. Читать далее...
Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков
Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp. В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим...
Назад