Новости информационной безопасности

89% корпоративных взломов за 2025 год связаны со слабостями управления доступом. Вывод данных ускорился вчетверо, до 72 минут. Медианный выкуп вырос до $1,5 млн. Отчёт Unit 42 на 750+ инцидентах.

Поддельные страницы загрузки семи VPN-компаний, подписанные DLL и инфостилер Hyrax. Microsoft раскрыла кампанию Storm-2561, которая крадёт корпоративные VPN-пароли через манипуляцию поисковой выдачей.

124 новые уязвимости за сутки, три критических. Veeam Backup с четырьмя уязвимостями (CVSS до 9.8), среди которых активно эксплуатируемая группировками-вымогателями Akira, Fog и Frag.

За две недели Claude Opus 4.6 нашёл в Firefox больше критичных уязвимостей, чем живые исследователи за месяцы. 14 из 22 оценены как высокой опасности. Одна получила CVSS 9.8.

Экстренный патч Chrome 146 закрывает два 0-day с CVSS 8.8 в графической библиотеке Skia и движке V8. Обе уязвимости уже применялись в атаках. Это второй и третий 0-day в Chrome за 2026 год.

432 000 трофеев, пять рекордов Гиннесса, 16 лет коллекционирования. Всё обнулено, потому что хакер обманул службу поддержки Sony. Для перехвата PSN-аккаунта оказалось достаточно имени и старого номера чека.

За 45 секунд исследователи Ledger извлекли PIN и seed-фразы из шести криптокошельков на Nothing CMF Phone 1. Уязвимость в Boot ROM чипа MediaTek вшита в кремний и не может быть полностью устранена обновлением.

При 90 миллионах пользователей в России Mesh-режим в Telegram сделал бы мессенджер неуязвимым для блокировок. Единственный способ противостоять, по словам эксперта, глушение Bluetooth и Wi-Fi.

Проиранская Handala заявила о стирании данных на 200 000 устройств медтехгиганта Stryker ($25,1 млрд выручки). Check Point Research называет это первой атакой группировки на крупную американскую компанию. Stryker подала 8-K в SEC.

Семь страниц вместо сорока. Новая киберстратегия Трампа делает ставку на наступательные операции и обещает бизнесу упрощение регулирования. Одновременно подписан указ о борьбе с транснациональной киберпреступностью.

Попытку прорвать защиту Национального центра ядерных исследований Польши остановили на ранней стадии. Первые следы указывают на Иран, но министр оговорился, что это может быть намеренной маскировкой.

420 новых CVE за сутки. Обход аутентификации в плагине Tutor LMS Pro для WordPress (CVSS 9.8) позволяет войти под любым пользователем. SQL-инъекция в системе автоматизации АЗС «Нефтепродукттехника» открывает базу данных заправки.

Впервые уязвимость с оценкой CVSS 9.8 обнаружил автономный ИИ-агент XBOW. Мартовский Patch Tuesday закрыл 83 уязвимости, включая две 0-day в SQL Server и .NET. Ни одна из них пока не использовалась в атаках.

Поддельное резюме в облачном хранилище запускает цепочку заражения и отключает антивирусы на уровне ядра Windows. По данным Aryaka, за кампанией BlackSanta стоит предположительно русскоязычная группировка, действующая более года.

Номера удостоверений, банковские реквизиты IBAN и личные телефоны сотрудников Минфина Испании появились в открытом доступе. Это второй инцидент с ведомством за 2026 год. Днём ранее утекли данные Налогового агентства.