Разработчик популярного текстового редактора Notepad++ сообщил о серьезном инциденте безопасности, который затронул систему обновлений программы. Злоумышленники, связанные с государственными структурами, смогли перехватить механизм проверки обновлений и перенаправляли пользователей на вредоносные серверы вместо официального сайта. Создатель проекта Дон Хо рассказал, что атака произошла не из-за ошибки в коде приложения. По его словам, была скомпрометирована инфраструктура у хостинг-провайдера. Это позволило атакующим перехватывать и перенаправлять сетевой трафик, который предназначался для домена notepad-plus-plus.org. Точный способ реализации атаки пока устанавливается. Примерно месяц назад вышла версия Notepad++ 8.8.9, в которой уже исправляли проблему с модулем обновления WinGUp. Тогда выяснилось, что он в отдельных случаях обращался к вредоносным доменам и мог загрузить подмененные исполняемые файлы. Причина была в механизме проверки целостности и подлинности загружаемых обновлений. Если злоумышленник получал возможность перехватить сетевое соединение между программой и сервером обновлений, он мог подменить файл другим двоичным содержимым. По имеющейся оценке, перенаправление трафика носило выборочный характер и затрагивало только часть пользователей. Их запросы отправлялись на подставные серверы, откуда загружались вредоносные компоненты. Предположительно атака началась в июне 2025 года и оставалась незамеченной более полугода. Независимый исследователь безопасности Кевин Бомонт сообщил, что уязвимость использовали хакерские группы из Китая. С ее помощью они перехватывали сетевые соединения и пытались заставить жертв устанавливать вредоносные программы. После обнаружения инцидента сайт Notepad++ перенесли к другому хостинг-провайдеру. Как уточнил разработчик, по данным прежнего провайдера общий сервер хостинга оставался скомпрометированным до 2 сентября 2025 года. Даже после потери прямого доступа к серверу злоумышленники сохраняли учетные данные к внутренним сервисам до 2 декабря 2025 года. Это позволяло им продолжать перенаправление запросов на обновление программы на вредоносные ресурсы.

Источник: https://www.securitylab.ru/news/568851.php

В WhatsApp появился новый уровень защиты, который работает незаметно для пользователя, но помогает блокировать скрытые вредоносные файлы. Разработчики внедрили крупный компонент, написанный на языке программирования Rust, чтобы снизить риск атак через изображения, видео и документы. Команда мессенджера рассказала, что система проверки медиафайлов теперь использует библиотеку на Rust, развернутую сразу на миллиардах устройств и в браузерах. Этот шаг стал частью стратегии усиления защиты от вредоносных вложений. Несмотря на сквозное шифрование переписки, опасность могут представлять сами файлы. Иногда вредоносный код маскируется под обычную картинку или ролик и пытается использовать уязвимости операционной системы или встроенных библиотек обработки медиа. Поводом для пересмотра подхода стала известная уязвимость Android под названием Stagefright, обнаруженная в 2015 году. Тогда проблема находилась в системных средствах обработки медиафайлов, и разработчики приложений не могли быстро её исправить. Обновления операционной системы доходили до пользователей месяцами. В WhatsApp тогда доработали собственную библиотеку обработки MP4, чтобы заранее выявлять подозрительные отклонения в структуре файлов и не допускать их использования. Это позволило защитить людей быстрее, чем ожидание обновлений платформы. Со временем стало ясно, что такие проверки должны выполняться максимально безопасным кодом, так как они работают с недоверенными данными. Поэтому вместо постепенной переделки старой библиотеки на C++ разработчики создали новую версию параллельно, уже на Rust. Обе реализации долго сравнивали с помощью автоматического тестирования и методов поиска ошибок. В итоге объём кода сократился, а производительность и расход памяти улучшились. Новая библиотека заменила около 160 000 строк кода на C++ версией примерно из 90 000 строк на Rust вместе с тестами. Сейчас она используется на Android, iOS, macOS, в веб-версии и на носимых устройствах. В компании заявляют, что это одно из самых масштабных внедрений Rust в пользовательских продуктах. Дополнительно система получила набор проверок под названием «Калейдоскоп». Она выявляет подозрительные структуры в файлах, отслеживает опасные типы документов и случаи, когда один формат выдаётся за другой. Отдельное внимание уделяется PDF, так как они часто используются для распространения вредоносного кода, особенно при наличии встроенных файлов и сценариев. Исполняемые файлы и приложения помечаются как потенциально опасные. Разработчики подчёркивают, что проверки формата не могут остановить 100% атак, но заметно снижают риск. Ежемесячно эти защитные компоненты доставляются на миллиарды телефонов и компьютеров пользователей сервисов компании. В WhatsApp отмечают, что большинство критических уязвимостей в отрасли связано с ошибками работы с памятью в программах на C и C++. Поэтому команда делает ставку на языки с встроенной защитой памяти для нового кода, усиливает проверки старых компонентов и сокращает потенциальную поверхность атаки. Ожидается, что доля Rust в инфраструктуре безопасности сервиса будет расти и дальше.

Источник: https://www.securitylab.ru/news/568836.php

Компания F6 опубликовала ежегодный аналитический отчет «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26». По оценке аналитиков, в 2026 году на фоне геополитического конфликта давление на российские организации будет усиливаться: станет больше атакующих группировок, а общий ущерб — расти. Отдельно в F6 отмечают сближение подходов кибервымогателей и прогосударственных APT-групп: они заимствуют тактики друг у друга, а политически мотивированные команды все чаще используют шифрование данных с требованием выкупа. Один из заметных трендов 2025 года — снижение числа публичных утечек при одновременном росте объема похищенных данных. По данным Threat Intelligence F6, на андеграундных форумах и в тематических Telegram-каналах за год появилось 250 новых случаев публикации баз данных компаний СНГ, из них 230 относятся к российским организациям. Годом ранее таких случаев было 455. При этом суммарный объем утечек за 2025 год, по подсчетам F6, превысил 767 млн строк с данными российских пользователей против 457 млн строк в 2024 году. В топ-5 самых крупных утечек 2025 года по числу строк оказались сразу четыре госсервиса, на которые в сумме пришлось около 600 млн строк. Как и прежде, многие базы выкладывали в открытый доступ бесплатно — чтобы нанести максимальный ущерб компаниям и их клиентам. Наибольшую ценность для злоумышленников представляют наборы с электронными адресами, номерами телефонов и паролями: такую информацию затем используют в мошеннических схемах и каскадных атаках на крупные организации. В отчете также приводятся детали по структуре данных: более 315 млн записей содержали электронные адреса, но уникальными оказались только 88 млн; еще 156 млн записей включали пароли, из которых 142 млн были уникальными. Сохраняется и рост прогосударственной активности. В 2025 году F6 фиксировала действия 27 APT-групп, атакующих Россию и СНГ (для сравнения: 24 группы в 2024 году). Из этих 27 групп 24 атаковали российские компании, 8 — организации в Беларуси. На фоне конфликта, по оценке F6, за большинством атак стоят проукраинские группы, при этом кибершпионаж в России продолжают вести и группировки из других стран, преимущественно Азии. Впервые публично раскрыты семь новых APT-групп: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak и NGC5081; часть из них начала атаки раньше, но выявить их смогли только в 2025 году. В числе наиболее атакуемых отраслей в России за год, по данным отчета, оказались госучреждения, промышленность, НИИ, предприятия ВПК и ТЭК. Отдельно подчеркивается необычная для APT-профиля деталь: в атаках против российских организаций прогосударственные участники использовали 0-day-эксплойты, инструменты и доступы в инфраструктуру, которые, вероятно, были приобретены на андеграундных площадках — это чаще характерно для вымогателей и финансово мотивированных групп. Также сохраняют эффективность атаки через цепочку поставок и подрядчиков: в F6 приводят пример инцидента, когда две прогосударственные группы одновременно находились в сети ИТ-подрядчика компании-цели, а одна из них атаковала еще и клиентов жертвы. Прогноз на 2026 год — такие техники будут активно применять и вымогатели, и APT. Сегмент вымогателей, по данным F6, в 2025 году вырос на 15% по числу атак по сравнению с предыдущим годом, при этом увеличилась доля инцидентов, где целью была не монетизация, а диверсия и максимальный ущерб: 15% против 10% в 2024 году. Кроме групп-вымогателей, аналитики отмечают активность более чем 20 финансово мотивированных группировок, среди них Vasy Grek, Hive0117 и CapFIX. Среди наиболее активных проукраинских групп выделяются Bearlyfy (ЛАБУБУ) с не менее чем 55 атаками, THOR (не менее 12), а также 3119 (TR4CK), Blackjack (Mordor) и Shadow (у каждой не менее 4). В отчете также приведен рекорд по первоначальному требованию выкупа в 2025 году: группировка CyberSec’s запросила 50 BTC, что на момент атаки оценивалось примерно в 500 млн рублей; типичный диапазон стартовых требований, по данным F6, составлял от 4 млн до 40 млн рублей. По словам CEO F6 Валерия Баулина, в России заметен сдвиг от массовых атак к сценариям с максимальным ущербом — остановкой бизнеса, многомиллионными выкупами и кражей чувствительных данных. В компании ожидают, что в 2026 году продолжит расти число групп атакующих и суммы ущерба, включая запросы за расшифровку данных. Одновременно усилится тренд на коллаборации между прогосударственными группами, киберкриминалом и хактивистами, а вместе с реальными атаками будут чаще появляться информационные операции: фейковые новости и рассылки писем с угрозами, особенно в дни резонансных сообщений о взломах.

Источник: https://www.securitylab.ru/news/568827.php

Федеральная служба безопасности запретила включать в так называемые «белые списки» онлайн-сервисов банки, которые не начали устанавливать системы оперативно-розыскных мероприятий, рассказали РБК два источника на финансовом рынке. По их словам, из-за этого в перечнях ресурсов, которые продолжают работать при ограничениях мобильного интернета, отсутствуют сервисы Сбербанка, Т-банка и Газпромбанка. СОРМ представляет собой программно-аппаратный комплекс, который дает госорганам, включая ФСБ, удаленный доступ к разговорам, интернет-трафику и пользовательским данным. «Белые списки» формируются для ситуаций, когда мобильный интернет ограничивают, и доступ сохраняется только к заранее согласованным сервисам. Минцифры ранее поясняло, что список пополняется, но включение сервисов происходит по согласованию с профильными ведомствами, отвечающими за безопасность. В опубликованном перечне Минцифры среди банков упоминался только Альфа-банк. У операторов списки различаются: у «Билайна» и «МегаФона» в отдельных версиях фигурируют, например, ВТБ, ПСБ, Альфа-банк и МТС банк, а у Т2 банковских сервисов нет вовсе. Пользователи жаловались на недоступность банковских приложений при отключениях интернета еще с осени прошлого года, в том числе на форумах и в соцсетях. В Минцифры уточняют, что обязательное условие включения сервиса в «белый список» это размещение всех используемых вычислительных ресурсов на территории России. На региональном уровне, в частности в Минцифры Чувашии, в январе также указывали на требования к инфраструктуре как на одну из причин отсутствия приложений ряда банков в перечне. При этом в списках присутствуют отдельные сервисы, связанные с экосистемами крупных групп, например «Сбермобайл» и «Т Мобайл». Требование установить СОРМ ФСБ, по данным собеседников РБК, разослала ряду банков в октябре 2025 года. В качестве обоснования указывалось, что на банки распространяется статус «организатора распространения информации» (ОРИ). Для ОРИ действуют требования, известные как «пакет Яровой», включая хранение метаданных и содержимого сообщений на территории России и передачу информации по запросу правоохранительных органов вместе с ключами шифрования. С января 2026 года, как отмечается в материале, вступили в силу меры по борьбе с кибермошенничеством, увеличившие срок обязательного хранения части данных до трех лет. В реестре ОРИ, который ведет Роскомнадзор, уже значатся сервисы «Сбербанк Онлайн» и аналогичный ресурс Т-банка. Один из источников объяснил, что банки якобы не спешат с установкой СОРМ из-за конкуренции за клиентов и опасений возможного «перетока» пользователей. Участники рынка внедрения эту логику считают спорной: по их словам, требования предъявляются не к бренду в целом, а к конкретным юрлицам внутри группы, поэтому одни структуры могут уже выполнить процедуры, а другие еще находиться в процессе. Кроме того, СОРМ для ОРИ, как утверждают разработчики, обычно проще, чем СОРМ для операторов связи, и требует меньше оборудования. Передача содержимого переписки через СОРМ, по словам представителей интеграторов, возможна только по отдельному запросу уполномоченных органов или суда, а за неисполнение обязанностей ОРИ предусмотрены крупные штрафы для юрлиц, вплоть до оборотных.

Источник: https://www.securitylab.ru/news/568856.php

Минфин подготовил законопроект, который может заметно изменить правила пополнения счетов наличными. Ведомство предлагает обязать банки отказывать физлицам во внесении наличных на счет или вклад через банкоматы и другие технические устройства, если сумма таких операций превышает 1 млн рублей в месяц. Инициатива подготовлена в рамках плана мероприятий по «обелению» отдельных секторов экономики, который одобрило правительство. Законопроект предусматривает изменения в закон «О банках и банковской деятельности» (N17-ФЗ). Как сообщил «Интерфаксу» источник, знакомый с инициативой, документ направили на согласование в ЦБ и Росфинмониторинг в середине января. Сейчас законодательных лимитов на пополнение счетов и вкладов наличными через банкоматы нет. В пояснительной записке к проекту говорится, что из-за этого в безналичный оборот могут попадать деньги с неустановленным происхождением. В Минфине также указывают, что новые требования потребуют доработки банковских систем и бизнес-процессов, поэтому вступление нормы в силу предлагается отложить на 180 дней с даты официального опубликования. Тема усиления контроля за наличными поднималась и на уровне руководства страны. В начале декабря 2025 года Владимир Путин на совете по стратегическому развитию и национальным проектам призвал усилить контроль за обращением наличных в рамках «обеления» экономики. На том же совете вице-премьер Александр Новак заявил, что задача по «обелению» реализуется через отдельный план по ряду секторов, в том числе через меры, стимулирующие переход на безналичные формы оплаты. По данным источников «Интерфакса», ранее Минфин в рамках того же плана предлагал и другие шаги. Среди них — ввод обязательной инкассации для юрлиц и ИП с оборотом выше предельного значения, которое должен определить Банк России по согласованию с правительством. Еще одна идея — запретить госрегистрацию сделок с наличными между физическими и юридическими лицами, если расчеты по одной сделке превышают 5 млн рублей, либо если совокупный размер таких сделок за месяц составляет 50 млн рублей и более. Уточняется, что запрет может затронуть и сделки с недвижимостью.

Источник: https://www.securitylab.ru/news/568855.php