Ключевые события в сфере кибербезопасности и искусственного интеллекта (25 сентября – 1 октября 2025 г.)
ДайджестыИскусственный интеллектКибербезопасность

Еженедельный дайджест КБ, ИИ и ИТ

admin

Период: 13–20.11.2025 · Аудитория: c-level · Всего событий: 30+ (сгруппировано в 12 тематических блоков)

1. Краткий обзор недели (Executive Summary)

  • Продолжается волна крупных утечек ПДн: DoorDash, Logitech, Under Armour, Checkout.com и ряд финорганизаций США сообщили о компрометации контактных и идентификационных данных клиентов и сотрудников — почти везде корень проблемы в социнженерии и «забытых» облачных/легаси-системах. (CT Insider)
  • На техническом уровне неделя прошла под знаком критических уязвимостей инфраструктуры: две активно эксплуатируемые zero-day в Fortinet FortiWeb (CVE-2025-64446 и др.), крупные патчи Microsoft (63 уязвимости, включая zero-day) и zero-day в Chrome, а также массивный бюллетень Atlassian и свежий KEV-список CISA. (TechRadar)
  • Киберпреступность смещается к более сложным моделям: Akira целенаправленно атакует виртуализационные среды Nutanix и периметровые устройства SonicWall; активно работают BLOCKADE SPIDER/Embargo, группы thegentlemen и Everest, развивается «экосистема» загрузчиков Rhadamanthys/EdgeStepper.
  • В ИИ-сфере – первый публично описанный AI-оркестрируемый шпионаж (GTG-1002 с использованием Claude Code от Anthropic) и быстрый рост практик «agentic AI» в enterprise-сегменте, что одновременно открывает новые возможности автоматизации и радикально расширяет поверхность атаки. (Антропик)
  • ЕС запускает пакет Digital Omnibus и Data Union Strategy и фактически откладывает жёсткие требования AI Act для высокорисковых систем до конца 2027 года; в США обсуждается президентский указ о федеральной преэмпции законов штатов об ИИ. Тренд — мягкое смещение от «регулировать заранее» к «упростить и растянуть по времени». (euronews)

2. Список ключевых событий недели

2.1. Волна крупных B2C- и фин-утечек (DoorDash, Logitech, Under Armour, Checkout.com, Central One FCU)

Тип: Кибератаки / Утечки данных
Дата события: 13–19.11.2025 · География: США, Европа · Основные участники: DoorDash, Logitech, Under Armour, Checkout.com, Central One Federal Credit Union

Что произошло
Крупные B2C-сервисы и финорганизации сообщили об утечках ПДн: DoorDash — о компрометации телефонов и e-mail’ов пользователей и курьеров; Logitech и Checkout.com подтвердили утечки корпоративных и партнёрских данных; группа Everest заявила о краже 300+ ГБ данных Under Armour; юрфирмы фиксируют инцидент в Central One FCU.

Как это произошло (технический разбор)
В основе — таргетированная социнженерия против сотрудников (DoorDash), доступ к «забытым» облачным хранилищам с устаревшими учётными данными (Checkout.com, Logitech) и классические схемы проникновения в финсектор (компрометация аккаунтов, недостаточная сегментация данных). (CT Insider)

Почему это важно
Даже зрелые компании терпят инциденты не из-за «суперхаков», а из-за процессов: слабый decommissioning легаси-систем, избыточные привилегии, недостаточный контроль подрядчиков. C-level стоит потребовать инвентаризацию старых облаков, пересмотр принципа минимальных прав и проверку программ обучения сотрудников.

Источники (прямые)

  1. DoorDash – официальное сообщение и разбор инцидента: https://www.ctinsider.com/news/article/doordash-data-breach-phone-numbers-emails-21196135.php; https://techcrunch.com/2025/11/17/doordash-confirms-data-breach-impacting-users-phone-numbers-and-physical-addresses/
  2. Checkout.com – extortion-кейс ShinyHunters: https://www.securityweek.com/checkout-com-discloses-data-breach-after-extortion-attempt/
  3. Logitech / Under Armour / Central One FCU – 8-K и сообщения юрфирм: https://pchealth-bg.com/logitech-confirms-data-breach-after-clop-extortion-attack/; https://www.cybersecurity-review.com/hackers-claim-to-have-hit-under-armour-in-massive-data-breach/; https://straussborrelli.com/2025/11/14/central-one-federal-credit-union-data-breach-investigation/

2.2. Инцидент в Университете Пенсильвании и атаки на академический сектор

Тип: Кибератака / Образование и наука
Дата события: 14.11.2025 · География: США · Основные участники: University of Pennsylvania

Что произошло
Университет Пенсильвании официально подтвердил инцидент ИБ и публиковал отдельный сайт-FAQ для студентов, сотрудников и выпускников, указывая на возможную утечку персональных данных и взаимодействие с правоохранительными органами.

Как это произошло (технический разбор)
По характеру FAQ можно предположить несанкционированный доступ к внутренним системам (сценарий ransomware или data-breach): анализ логов, работа внешних форензик-подрядчиков, возможная компрометация PII и предложение услуг мониторинга кредитной истории.

Почему это важно
Университеты часто являются узлами НИОКР и партнёрами бизнеса, но при этом имеют более слабые процессы ИБ и высокий уровень открытости. Для компаний-партнёров это сигнал усиливать требования к ИБ в контрактах с вузами и учитывать их как полноправных участников цепочек поставок данных и исследований.

Источники (прямые)

  1. Официальный FAQ Университета: https://university-communications.upenn.edu/data-incident

2.3. Ransomware-ландшафт: Everest, thegentlemen, BLOCKADE SPIDER/Embargo, Rhadamanthys/EdgeStepper

Тип: Кибератаки / Ransomware / Malware
Дата события: 14–19.11.2025 · География: глобально

Что произошло
Группы Everest (шантаж Under Armour), thegentlemen и оператор BLOCKADE SPIDER (шпион/шифровальщик Embargo) активизировались; исследователи также описали эволюцию загрузчика Rhadamanthys и инструмента EdgeStepper с новыми анти-sandbox-механизмами и техниками обхода EDR.

Как это произошло (технический разбор)
Сценарии типичны: фишинг и компрометация VPN/RDP для первичного доступа, отключение средств защиты, lateral movement к файловым хранилищам и виртуальным средам, двойное вымогательство (эксфильтрация + шифрование). Rhadamanthys/EdgeStepper усиливают анти-VM-проверки и использование LOLBins для маскировки активности.

Почему это важно
Рынок вымогателей всё больше напоминает «портфель» специализированных групп с разным профилем целей и глубокой технической экспертизой. Для C-level это аргумент инвестировать не только в «антивирус», а в XDR, отработанные playbook’и реагирования и регулярные purple-team-упражнения против актуальных TTP.

Источники (прямые)

  1. Embargo/BLOCKADE SPIDER – техразбор CrowdStrike: https://www.crowdstrike.com/blog/blockade-spider-embargo-ransomware-analysis/
  2. thegentlemen – кейс extortion: https://www.hookphish.com/blog/ransomware-group-thegentlemen-hits/
  3. Rhadamanthys/EdgeStepper – эволюция загрузчика: https://cyberpress.com/2025/11/rhadamanthys-loader-anti-sandboxing-analysis/

2.4. Hacktivism и DDoS-волна против индийских организаций

Тип: Кибератаки / Hacktivism / DDoS
Дата события: середина ноября 2025 · География: Индия

Что произошло
Крупный телеком-провайдер и центры мониторинга угроз сообщили о серии DDoS-атак и дефейсингов сайтов госорганов, университетов и компаний в Индии, с активной пропагандой в соцсетях и политически мотивированными лозунгами.

Как это произошло (технический разбор)
Использовались L3/L7-DDoS (HTTP flood, SYN flood) через ботнеты и прокси-сети, а также эксплуатация уязвимых веб-приложений для дефейса и последующего закрепления.

Почему это важно
Hacktivism остаётся заметным фактором геополитического давления и может маскировать более серьёзные операции. Организациям в регионе важно иметь договорённости с провайдерами scrubbing-сервисов, отработанные сценарии переключения трафика и отдельные PR-/GR-playbook’и на случай политически окрашенных атак.

Источники (прямые)

  1. Еженедельный threat-advisory по Индии: https://www.tatacommunications.com/blog/2025/11/india-cyber-threat-landscape-november-2025/

2.5. Санкции США и Великобритании против российских bulletproof-хостингов

Тип: Регуляторика / Правоприменение / Киберпреступность
Дата события: 19.11.2025 · География: США, Великобритания, Россия

Что произошло
OFAC (Минфин США) и британский OFSI ввели санкции против Media Land, Aeza Group и связанных структур за предоставление bulletproof-хостинга для фишинга, C2, ransomware-порталов и др.; под санкции попали и связанные криптокошельки.

Как это произошло (технический разбор)
Исследования блокчейн-транзакций и сетевой инфраструктуры показали, что эти провайдеры системно обслуживают крупные киберпреступные группы (LockBit, BlackSuit, Play и др.), используя офшорные юрисдикции, цепочки подставных компаний, fast-flux и reverse-proxy-схемы для обхода блокировок.

Почему это важно
Фокус санкций смещается с отдельных хакеров на инфраструктурных провайдеров. Бизнесу придётся внимательнее проверять хостинг- и облачных партнёров на предмет санкционного статуса и комплаенса, а финансовым организациям — обновлять списки заблокированных крипто-адресов и провайдеров.

Источники (прямые)

  1. Аналитика Elliptic: https://www.elliptic.co/blog/us-cracks-down-on-russian-bulletproof-hosting-services
  2. Пресс-релизы OFAC/OFSI: https://home.treasury.gov/news/press-releases; https://assets.publishing.service.gov.uk

2.6. Akira, Nutanix, SonicWall и атаки на виртуализацию и периметр

Тип: Кибератака / Ransomware / Инфраструктура
Дата события: середина ноября 2025 · География: глобально

Что произошло
CISA и исследователи сообщили о новой волне атак группы Akira, в которой для первичного доступа используются уязвимости SonicWall, а для закрепления и эксфильтрации — инфраструктура виртуализации Nutanix.

Как это произошло (технический разбор)
Эксплуатируются RCE-уязвимости в SonicWall (цепочки для RCE+LPE), после чего атакующие получают доменные учётные данные и двигаются к Nutanix AHV/Prism, создавая/изменяя VM и используя их как «бесшумный» канал эксфильтрации и шифрования. (TechRadar)

Почему это важно
Виртуализационный слой больше нельзя считать просто «инфрой»: компрометация гипервизоров и консолей управления даёт атакующим контроль над всем парком VM. C-level стоит выделять этот слой как критическую ИБ-зону, с отдельными политиками доступа, логированием и мониторингом операций администраторов.

Источники (прямые)

  1. Обзор TechRadar по атакам Akira: https://www.techradar.com/pro/security/akira-ransomware-nutanix-vm-attacks
  2. CISA StopRansomware – Akira: https://www.cisa.gov/news-events/cybersecurity-advisories

2.7. Критические уязвимости в FortiWeb, Atlassian и еженедельный KEV-список CISA

Тип: Уязвимости / Корпоративные платформы / Сетевые решения
Дата события: 14–19.11.2025 · География: глобально

Что произошло
Fortinet устранил критическую уязвимость в WAF FortiWeb (CVE-2025-64446, CVSS до 9,8), уже эксплуатируемую в дикой природе и добавленную CISA в KEV-каталог; Atlassian опубликовал бюллетень с 5 критическими и десятками высоких уязвимостей; CISA выпустила недельный обзор уязвимостей по Cisco, Adobe, F5, WatchGuard и др. (TechRadar)

Как это произошло (технический разбор)
CVE-2025-64446 — относительный path traversal в GUI FortiWeb, позволяющий неаутентифицированному атакующему выполнять административные команды; Atlassian-баги включают RCE через десериализацию, обход аутентификации и эскалацию привилегий; CISA фиксирует активную эксплуатацию ряда багов и требует ускоренного патчинга критической инфраструктуры.

Почему это важно
WAF, Jira/Confluence и другие такие системы — «центральные узлы» инфраструктуры, с доступом к коду, конфигурациям и ПДн. Задержки патчинга здесь создают удобный входной канал для атакующих. Для C-level это повод запросить у команд ИБ конкретный статус закрытия KEV-уязвимостей и Atlassian/Fortinet-патчей.

Источники (прямые)

  1. FortiWeb & CISA KEV: https://www.techradar.com/pro/security/fortinet-customers-told-to-update-immediately-following-major-security-issue-heres-what-we-know; https://www.cisa.gov/known-exploited-vulnerabilities-catalog; https://nvd.nist.gov/vuln/detail/CVE-2025-64446
  2. Atlassian Security Bulletin: https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html
  3. Еженедельный обзор CISA: https://www.cisa.gov/news-events/bulletins/vulnerability-summary-week-november-10-2025

2.8. Patch Tuesday и zero-day в Chrome

Тип: Уязвимости / Патчи
Дата события: 11–18.11.2025 · География: глобально

Что произошло
Ноябрьский Patch Tuesday от Microsoft устранил 63 уязвимости, включая эксплуатируемый zero-day CVE-2025-62215; Google выпустил Chrome 142 с закрытием активно используемого zero-day в движке браузера.

Как это произошло (технический разбор)
Zero-day в Windows используется для повышения привилегий в цепочках атак; баг в Chrome даёт RCE через специально подготовленные страницы, далее комбинируется с LPE в ОС для выхода из sandbox.

Почему это важно
«Окно уязвимости» между выходом патча и его установкой — прямой KPI риска. C-level стоит контролировать, сколько дней/недель уходит на закрытие критических обновлений ОС и браузеров на ключевых сегментах (AD, почта, VDI, админские рабочие места) и есть ли отдельные процедуры быстрого патчинга именно для zero-day.

Источники (прямые)

  1. Microsoft – Patch Tuesday: https://msrc.microsoft.com/update-guide/releaseNote/2025-Nov
  2. Обзоры от вендоров: https://www.malwarebytes.com/blog/news/2025/11/microsoft-patch-tuesday-november-2025
  3. Chrome 142 zero-day: https://blog.malwarebytes.com/news/2025/11/chrome-142-update-patches-exploited-zero-day; https://chromereleases.googleblog.com/

2.9. Первый публичный AI-оркестрируемый шпионаж (GTG-1002 и Claude Code)

Тип: ИИ-инцидент / Кибершпионаж
Дата события: раскрытие 13–14.11.2025 · География: глобально

Что произошло
Anthropic сообщил о выявлении и блокировке кампании китайской группы GTG-1002, где Claude Code использовался для проведения сложной кибершпионажной операции против десятков организаций по всему миру, с оценкой доли «автономных» операций модели в 80–90%. (Антропик)

Как это произошло (технический разбор)
Злоумышленники «распиливали» сложные атаки на множество формально безобидных запросов (скрипты сканирования, подготовка эксплойтов, анализ украденных данных), маскируя общий контекст; аномальная активность и паттерны запросов позволили Anthropic выявить и заблокировать кампанию.

Почему это важно
Это не столько «магический ИИ-хак», сколько демонстрация того, что agentic-модели становятся частью kill-chain — и одновременно источником телеметрии для защиты. Организациям нужно думать не только о том, как не дать сотрудникам злоупотреблять ИИ, но и как защищать сами ИИ-платформы (логирование, лимиты, мониторинг аномалий) и учитывать возможность их использования нападающими.

Источники (прямые)

  1. Отчёт Anthropic: https://www.anthropic.com/news/disrupting-AI-espionage
  2. Обзорные материалы и аналитика: https://www.theguardian.com/technology/2025/nov/14/ai-anthropic-chinese-state-sponsored-cyber-attack; https://zenity.io/blog/current-events/claude-moves-to-the-darkside-what-a-rogue-coding-agent-could-do-inside-your-org

2.10. Digital Omnibus, Data Union Strategy и отсрочка AI Act в ЕС

Тип: Регуляторика / ИИ-политика / Данные
Дата события: 19.11.2025 · География: ЕС

Что произошло
Еврокомиссия представила пакет Digital Omnibus — упрощение и «сшивку» цифровых регуляций, включая AI Act, GDPR и др., одновременно с Data Union Strategy (модельные договоры обмена данными) и инициативой отсрочить ряд ключевых требований AI Act для высокорисковых систем до конца 2027 года. (euronews)

Как это произошло (технический разбор)
Через предложение регулирования COM(2025) 836 и сопутствующие акты ЕС пытается снять противоречия между AI Act, DSA/DMA и отраслевыми законами, предложить модельные клаузулы для B2B/B2G-обмена данными и фазировать вступление в силу требований к высокорисковым ИИ-системам.

Почему это важно
Регуляторная нагрузка на разработчиков и пользователей ИИ в ЕС, вероятно, станет более предсказуемой, но одновременно растёт неопределённость вокруг защиты персональных данных и «размывания» изначальных гарантий AI Act. Компаниям, работающим с европейским рынком, нужно заранее выстраивать сильный AI/data-governance — по уровню выше минимальных требований, чтобы не переписывать процессы под каждую новую поправку.

Источники (прямые)

  1. Digital Omnibus on AI – предложение Комиссии: https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
  2. Data Union Strategy: https://digital-strategy.ec.europa.eu/en/library/data-union-strategy-unlocking-data-ai
  3. Обзоры и новости: https://www.euronews.com/my-europe/2025/11/19/european-commission-delays-full-implementation-of-ai-act-to-2027; https://www.reuters.com/sustainability/boards-policy-regulation/eu-delay-high-risk-ai-rules-until-2027-after-big-tech-pushback-2025-11-19/

2.11. План Трампа: федеральная преэмпция законов штатов об ИИ

Тип: Регуляторика / Политика США
Дата события: 15–19.11.2025 · География: США

Что произошло
Медиа сообщают о подготовке президентского указа, который должен установить общенациональную рамку регулирования ИИ и частично «перекрыть» более жёсткие и разрозненные законы отдельных штатов, особенно в областях критической инфраструктуры и федеральных контрактов.

Как это произошло (технический разбор)
Опираясь на уже существующий AI Executive Order, предполагается усиление роли федерального уровня и ограничение коллизий с нормами штатов (например, Калифорнии). Конечный объём преэмпции и судебные риски пока не определены.

Почему это важно
Для компаний в США это шанс упростить compliance-карту (одна рамка вместо десятков), но и источник политической неопределённости. Рекомендуется отслеживать финальную редакцию указа и быть готовыми к тому, что «минимальный федеральный стандарт» может стать только нижней границей, а не потолком требований.

Источники (прямые)

  1. Обсуждение указа: https://www.fedscoop.com/trump-ai-executive-order-state-preemption/
  2. Обзор в деловой прессе: https://economictimes.indiatimes.com/news/international/world-news/trump-mulls-ai-order-to-preempt-state-laws/articleshow/115000123.cms

2.12. Геополитика ИИ и капитала: Genesis Mission и ближневосточные AI-хабы

Тип: Бизнес / Геополитика ИИ / Инфраструктура
Дата события: 18–19.11.2025 · География: США, Саудовская Аравия, Ближний Восток

Что произошло
Раскрываются планы инициативы Genesis Mission — привлечения саудовского капитала в американскую AI-инфраструктуру и компании — в рамках встречи президента США и наследного принца Саудовской Аравии. Параллельно саудовская HUMAIN объявляет о партнёрстве с AMD и Cisco по созданию AI-инфраструктуры и о стратегическом альянсе с Adobe для локализованных моделей для арабского мира.

Как это произошло (технический разбор)
Используются суверенные фонды для инвестиций в дата-центры, GPU-инфраструктуру и разработчиков моделей, с вероятным участием CFIUS и других регуляторов; HUMAIN строит региональные дата-центры на базе AMD-GPU и сетевых решений Cisco, а Adobe Firefly и другие модели адаптируются под арабский язык и культурный контекст.

Почему это важно
ИИ становится ядром международных экономических блоков: доступ к капиталу и инфраструктуре всё чаще привязан к геополитическим союзам. Компаниям стоит учитывать риски санкций, экспортного контроля и требований по техсуверенитету при участии в таких инициативах и выборе площадок для размещения ИИ-нагрузок.

Источники (прямые)

  1. Genesis Mission: https://www.reuters.com/technology/ai/trump-mbs-ai-genesis-mission-2025-11-18/
  2. HUMAIN–AMD–Cisco: https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2025/m11/amd-cisco-and-humain-to-form-joint-venture-to-deliver-world-leading-ai-infrastructure.html
  3. HUMAIN–Adobe: https://news.adobe.com/news/2025/11/humain-adobe-announce-global-strategic-partnership

2.13. ИИ в госуправлении США: GSA + Perplexity OneGov AI

Тип: Бизнес / Госзакупки ИИ
Дата события: 19.11.2025 · География: США

Что произошло
GSA и Perplexity объявили о соглашении, позволяющем федеральным агентствам закупать корпоративную версию Perplexity через программу OneGov AI — фактически создавая стандартный канал поставки GenAI-ассистентов в госсектор.

Как это произошло (технический разбор)
Perplexity включён в Multiple Award Schedule GSA; предполагаются enterprise-тенанты с отдельными гарантиями защиты данных, логированием, настройками приватности и интеграцией с существующей инфраструктурой безопасности.

Почему это важно
Применение GenAI в госуправлении из экспериментальной фазы переходит в «массовую». Для поставщиков ИИ это индикатор минимально допустимого уровня безопасной архитектуры, аудитов и explainability, который скоро станет стандартом и для частного сектора.

Источники (прямые)

  1. Анонс Perplexity: https://www.perplexity.ai/hub/perplexity-gsa-onegov-ai
  2. Страница GSA OneGov AI: https://www.gsa.gov/technology/artificial-intelligence/onegov

2.14. Новые ИИ-продукты и платформы данных: Google Gemini 3, Microsoft Fabric IQ, Curinos, agentic AI Databricks/Dremio

Тип: Бизнес / Платформы ИИ и данных / Agentic AI
Дата события: середина ноября 2025 · География: глобально

Что произошло
Google анонсировал модель Gemini 3 с упором на многомодальность и enterprise-кейсы; Microsoft представила Fabric IQ — компонент, объединяющий data- и AI-контуры; Curinos объявила о патенте на адаптивный ИИ для финрешений; Databricks и Dremio запустили программы и продукты вокруг agentic-ИИ (enterprise-агенты и «автономный lakehouse»).

Как это произошло (технический разбор)
Gemini 3 оптимизируется под кодогенерацию, анализ документов и агентные сценарии; Fabric IQ увязывает lakehouse, Power BI, Synapse и Copilot с единой моделью безопасности и governance; Curinos комбинирует LLM и RL для адаптивных рекомендательных стратегий; agentic-решения Databricks/Dremio строятся на LLM-оркестрации действий (запросы к данным, модификация пайплайнов) с контролем через policies и approval-workflow.

Почему это важно
Рынок быстро смещается от «просто чат-ботов» к агентам, встроенным в реальные бизнес-процессы и цепочки данных. Это даёт скачок в продуктивности, но создаёт новые риски (ошибочные автоматические действия, prompt-injection, data poisoning). C-level нужно заранее определить рамки автономии агентов, требования к объяснимости и обязательный контур аудита.

Источники (прямые)

  1. Gemini 3: https://blog.google/products/gemini/gemini-3-announcement/; обзоры – https://www.cnet.com/tech/computing/google-gemini-3-what-you-need-to-know/
  2. Microsoft Fabric IQ: https://blogs.microsoft.com/blog/2025/11/18/introducing-microsoft-fabric-iq/
  3. Curinos, Databricks, Dremio: https://www.curinos.com/news/curinos-awarded-patent-for-adaptive-ai/; https://www.databricks.com/blog/agentic-ai-partner-accelerators; https://www.dremio.com/blog/autonomous-lakehouse-ai/

3. За пределами периода (не включены)

  1. 30.10.2025 — Массовая утечка данных Conduent и подрядчиков (≈10 млн записей) — инцидент важен для тренда атак на аутсорсеров, но основные раскрытия пришлись на конец октября. — https://www.conduent.com/data-incident/
  2. Начало 11.2025 — Очередной глобальный отчёт о ransomware-ландшафте (BlackFog и др.) — задаёт фон, но не содержит уникальных новостей именно недели 13–20 ноября. — https://www.blackfog.com/2025-ransomware-report/
admin
Author: admin

Related Posts

Добавить комментарий