Новият Рансъмуер "Cephalus" Атакува Чрез Компрометирани RDP Акаунти
От средата на юни 2025 г. в киберпространството оперира нов рансъмуер, базиран на езика Go, наречен Cephalus. Той успява да проникне в организации, като краде идентификационни данни от акаунти за Протокола за отдалечен работен плот (RDP), които не са защитени с многофакторна автентикация (MFA).
Все още не е ясно дали Cephalus функционира като "рансъмуер като услуга" (RaaS).
"При изпълнението си, той деактивира защитата в реално време на Windows Defender, изтрива всички архиви на Volume Shadow Copy Service (VSS) и спира ключови услуги като Veeam и MSSQL, за да увеличи успеваемостта на криптирането и да намали шансовете за възстановяване," коментират от компанията AhnLab.
Cephalus използва един ключ AES-CTR за криптиране, като ключът се управлява така, че да минимизира излагането му на диска и в паметта. Впоследствие, AES ключът се криптира с вграден RSA публичен ключ, което гарантира, че само нападателите със съответния RSA частен ключ могат да го декриптират. Допълнително, зловредният софтуер генерира фалшив AES ключ за да затрудни динамичния анализ.
---
WhatsApp Въвежда Подобрена Защита за Високорискови Потребители
Потребителите, изложени на по-висок риск от целенасочени хакерски атаки, скоро ще могат да активират допълнителен набор от функции за сигурност в WhatsApp. Това става ясно от бета версия на приложението, анализирана от WABetaInfo.
Подобно на режима "Lockdown" на Apple, новата функция:
---
Aurologic Осигурява Хостинг на Санкционирани и Злонамерени Организации
Германският хостинг доставчик aurologic GmbH се очертава като "централна връзка в глобалната екосистема на злонамерената инфраструктура", предоставяйки транзитни и център-данни услуги на голям брой високорискови хостинг мрежи. Сред тях са мрежата за дезинформация Doppelgänger и наскоро санкционираната Aeza Group, както и други, свързани с разпространението на зловреден софтуер като AsyncRAT, njRAT, Quasar RAT, Cobalt Strike, Sliver, Remcos RAT и други.
Въпреки че компанията, създадена през октомври 2023 г., твърди, че се фокусира върху легитимни мрежови и център-данни операции, "Aurologic се превърна в хъб за някои от най-злоупотребяващите и високорискови мрежи, опериращи в глобалната хостинг екосистема," посочват от Recorded Future.
---
Австралия Налага Санкции на Севернокорейски Кибергрупи
Австралийското правителство наложи финансови санкции и забрани за пътуване на четири организации и едно физическо лице — Парк Джин Хьок, Kimsuky, Lazarus Group, Andariel и Chosun Expo. Те са санкционирани заради участие в киберпрестъпления, целящи подкрепа и финансиране на незаконните програми на Северна Корея за оръжия за масово унищожение и балистични ракети.
"Мащабът на участието на Северна Корея в злонамерени кибердейности, включително кражба на криптовалута, измамни ИТ дейности и шпионаж, е изключително тревожен," заявиха от Министерството на външните работи.
---
Великобритания Се Справя с Измамите с Фалшиви Мобилни Номера
Мобилните оператори във Великобритания ще надградят мрежите си, за да "премахнат възможността чуждестранни колцентрове да фалшифицират британски номера". Компаниите ще обозначават повикванията, идващи от чужбина, за да предотвратят измамници да се представят за британски телефонни номера.
Също така ще бъде въведена "усъвършенствана технология за проследяване на обажданията", която ще даде на правоприлагащите органи инструменти за издирване на измамниците, опериращи в страната, и разбиване на техните операции. Правителството на Обединеното кралство заяви, че това "ще направи по-трудно от всякога за престъпниците да мамят хора".
---
Уязвимост в Advanced Installer Създава Огромен Риск за Веригата на Доставки
Беше разкрита уязвимост в Advanced Installer (версия 22.7), рамка, използвана за създаване на инсталатори за Windows. Грешката може да позволи на нападатели да компрометират механизмите за актуализация на приложенията и да изпълняват злонамерен външен код, ако пакетите за актуализация не са цифрово подписани. По подразбиране, и в общата практика, те не са, съобщават от Cyderes.
Advanced Installer се използва от разработчици и системни администратори в над 60 държави. Поради популярността му, този пропуск представлява основен риск за веригата на доставки (Supply Chain Risk), отваряйки вратата за атаки тип "Bring Your Own Updates" (BYOU). Това позволява на нападателите да компрометират доверени актуализатори за изпълнение на произволен код, заобикаляйки контролите за сигурност.
"Тези атаки са особено опасни, защото експлоатират доверието и мащаба: една 'отровена' актуализация от широко използван инструмент може тихо да разпространи подписан, доверено изглеждащ зловреден софтуер до безброй глобални компании, причинявайки широка кражба на данни, оперативни сривове и тежки репутационни щети," обяснява изследователят по сигурността Реегун Джаяпаул.
---
Microsoft Въвежда Откриване на "Джейлбрейк/Руут" в Приложението Authenticator
Microsoft обяви, че ще въведе функция за откриване на "Джейлбрейк/Руут" (Jailbreak/Root detection) за Microsoft Entra идентификационни данни в приложението Authenticator, започвайки от февруари 2026 г.
"Тази актуализация засилва сигурността, като предотвратява функционирането на Microsoft Entra идентификационните данни на устройства с 'Джейлбрейк' (за iOS) или 'Руутнат' (за Android) достъп. Всички съществуващи идентификационни данни на такива устройства ще бъдат изтрити, за да се защити вашата организация," посочват от компанията.
---
Злонамерени Актьори Експлоатират Уязвимости в RMM Софтуер
Установено е, че нападатели използват известни пропуски в сигурността на платформата за Отдалечен мониторинг и управление (Remote Monitoring and Management – RMM) SimpleHelp (уязвимости CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728). Целта е придобиване на последващ достъп до клиентски мрежи и разполагане на рансъмуера Medusa и DragonForce.
"Чрез компрометиране на RMM сървъри на трети страни, работещи като SYSTEM, нападателите постигнаха пълен контрол върху мрежите на жертвите, разгръщайки инструменти за откриване, деактивиращи защитите, изнасящи данни чрез RClone и Restic, и накрая криптирайки системите," съобщават от Zensec.
---
Камбоджа Разби Измамнически Схеми в Бавет
Правителството на Камбоджа извърши акция в два комплекса за киберизмами в град Бавет на 4 ноември 2025 г., като задържа повече от 650 заподозрени, предимно чуждестранни граждани.
Единият комплекс е специализиран в имитиране на правителствени органи за заплашване на жертви, докато вторият е управлявал фалшиви високодоходни инвестиционни схеми, подправени банкови платформи, романтични измами, фалшиви регистрации за маратони, както и използване на AI "дийпфейк" видеа и изображения за фалшифициране на самоличности.
---
Съосновател на Samourai Wallet Получи Присъда от 5 Години Затвор
Кеоне Родригес, съосновател и главен изпълнителен директор на услугата за смесване на криптовалути Samourai Wallet, беше осъден на пет години затвор. Сайтът на Samourai Wallet беше затворен от властите през април 2024 г. Услугата е била използвана за изпиране на над 237 милиона долара в криптовалути, свързани с хакерски атаки, онлайн измами и трафик на наркотици.
Техническият директор на Samourai Wallet, Уилям Лонърган Хил, се очаква да бъде осъден по-късно този месец. И двамата се признаха за виновни по обвиненията в пране на пари през август.
---
Руснак Се Призна За Виновен за Атаките на Yanluowang
25-годишният руски гражданин Алексей Олегович Волков се призна за виновен в хакване на американски компании и продажба на достъп до групи за рансъмуер. Волков е оперирал онлайн под хакерското име chubaka.kor и е работил като брокер на първоначален достъп (Initial Access Broker – IAB) за рансъмуера Yanluowang, като е експлоатирал пропуски в сигурността между юли 2021 г. и ноември 2022 г.
През този период са били атакувани седем американски бизнеса, като инженерингова фирма и банка са платили общо 1,5 милиона долара откупи. Волков беше арестуван на 18 януари 2024 г. в Рим и по-късно екстрадиран в САЩ, за да бъде изправен пред съда.
---
Злонамерени AI Ботове Имитират Легитимни Агенти
Установено е, че нападатели разработват и внедряват ботове, които имитират легитимни AI агенти от доставчици като Google, OpenAI, Grok и Anthropic.
"Злонамерените актьори могат да експлоатират актуализираните политики за ботове, като фалшифицират самоличността на AI агенти, за да заобиколят системите за откриване, потенциално извършвайки мащабни атаки за придобиване на акаунти (Account Takeover – ATO) и финансови измами," предупреждават от Radware. "Нападателите трябва само да фалшифицират потребителския агент на ChatGPT и да използват жилищни проксита или техники за подправяне на IP адрес, за да бъдат класифицирани като 'добър AI бот' с POST разрешения."
---
Фалшиви Инсталатори Имитират Инструменти за Продуктивност
Продължаващите кампании за кражба на информация използват злонамерени инсталатори, които имитират легитимни инструменти за продуктивност, като същевременно имат способност за "задна врата" (backdoor). Вероятно те са създадени с помощта на EvilAI за разпространение на зловреден софтуер, известен като TamperedChef/BaoLoader.
Злонамерената "задна врата" може да извлича и DPAPI тайни и предоставя пълна функционалност за командване и контрол (Command-and-Control – C2), включително изпълнение на произволни команди, качване и изтегляне на файлове и изнасяне на данни, съобщават от CyberProof. В повечето случаи зловредният софтуер продължава с разгръщане на бинарни файлове от втори етап и установява допълнителни механизми за постоянство.
