Согласно новому исследованию Sophos, количество запросов на выкуп и объём самих выплат в сфере образования США и Великобритании резко сократились на фоне повышения устойчивости и возможностей восстановления. В последнее время отрасль стала привлекательной целью для атак программ-вымогателей.

Средний размер требований о выкупе, предъявляемых киберпреступниками образовательным учреждениям низшего звена, снизился на 74% по сравнению с 2024 годом — с 3,85 млн до 1,02 млн долларов. В сфере высшего образования падение было ещё более значительным — с 3,55 млн до 697 тыс. долларов (на 80%). Между тем в среднем по всем секторам снижение составило 34%. «Это говорит о том, что злоумышленники, возможно, переориентировались с крупных сумм на получение небольших и быстрых выплат», — заявили исследователи.

Что касается непосредственно выплат, то в случае со школами средняя сумма упала на 88% — с 6,60 млн долларов в 2024 году до 800 тыс. в 2025 году, в то время как в вузах она уменьшилась с 4,41 млн до всего лишь 463 тыс. долларов. Таким образом, по мнению аналитиков, поставщики образовательных услуг стали эффективнее противостоять завышенным требованиям хакеров.

Из учреждений, согласившихся на выкуп, 41% заплатил меньше первоначально запрошенного — часто в результате переговоров со злоумышленниками. Средние затраты на восстановление после атак программ-вымогателей в сфере высшего образования в текущем году снизились на 77% — с 4,02 млн до 900 тыс. долларов. В секторе начального динамика была более скромной: с 3,76 млн до 2,28 млн.

Также исследователи обнаружили, что образовательные организации быстрее восстанавливаются после атак. Половина школ и 59% вузов полностью восстановились в течение недели. Кроме того, 97% тех, у кого были зашифрованы данные, смогло их вернуть.

В отчёте Sophos содержатся результаты опроса 441 руководителя ИТ-отделов и отделов кибербезопасности образовательных учреждений, пострадавших от программ-вымогателей в последние 12 месяцев.

Усам Оздемиров

В мессенджере Max стартовал пилот «Цифрового ID». Его могут создать совершеннолетние пользователи в разделе «Профиль», обновив приложение до последней версии.

Для запуска новой опции нужно будет дать согласие на «Вход по лицу или отпечатку пальца», обработку данных в «Госуслугах» и подтверждение личности по биометрии, а также сделать селфи. После система сгенерирует динамический QR-код, обновляемый каждые 30 секунд. При этом «Цифровой ID» будет доступен через распознавание лица или отпечатка пальца и работать только на устройстве, где был создан. На скриншотах, как уточняется, код не отобразится.

Протестировать профиль уже можно на кассах самообслуживания в десяти магазинах «Магнит» в Москве и Санкт-Петербурге. До конца года технологию собираются внедрить ещё 300 торговых точек минимум. Также в планах использовать «Цифровой ID» для заселения в гостиницы.

В прошлых заметках мы поговорили о реестрах пользователей и хостов, а также некоторых других объектов. Сегодня хотелось бы закрыть тему с реестрами, поговорив о более диковинных из них. Начнём с тех, которые были лишь вскользь упомянуты ранее.

Во-первых, это реестр подсетей. Создать актуальный реестр хостов с владельцами каждого из них — задача очень непростая; если сил, времени и иных ресурсов на это не хватает — стоит задуматься о реестре подсетей, когда за каждой подсетью закрепляется ответственный сотрудник. Так в случае чего можно будет быстро найти человека, который хотя бы в общем понимает, что происходит в этой подсети.

Следующий момент — это доступные из интернета ресурсы: межсетевые экраны, веб-порталы, API-шлюзы и так далее. Для каждого такого устройства хочется знать как минимум публичный IP-адрес и краткое описание предоставляемого сервиса. Неплохо также иметь сведения об операционной системе и ключевых её компонентах: это очень актуально в момент выхода очередного «зеродея».

Хорошо бы ясно понимать, куда поступает внешний трафик и через какие промежуточные точки он проходит. В большинстве случаев здесь используется технология NAT, когда публичный IP-адрес преобразуется во внутренний. Однако всё может быть сложнее: например, опубликованный в интернете портал компании может находиться под защитой анти-DDoS сервиса, когда трафик вначале поступает на внешние сервера этого сервиса — и лишь затем, после «очистки», попадает в нашу инфраструктуру. При этом оригинальный адрес клиента-источника запроса может быть скрыт.

Если не очень опытный сотрудник, увидев подозрительный запрос, решит заблокировать «вредоносный» IP-адрес, с которого этот запрос пришёл, это может сделать ресурс недоступным для всех внешних пользователей. Конечно, со временем такие подробности становятся известны всем безопасникам — однако очень часто они хранятся и передаются в формате «устных народных преданий». А хочется видеть больше структуры и организованности, которые спасают сотрудников от излишнего стресса, а компанию порой и от серьёзных убытков (вспомним февральскую историю, где сотрудники Cloudflare «удачно» заблокировали фишинговую ссылку, в результате чего почти на час перестали работать некоторые их сервисы).

В завершение цикла упомяну реестр информационных систем. Как показывает практика, бизнес периодически прибегает с вопросами «А хорошо ли защищены наши критичные бизнес-системы?» — и на этот случай хорошо бы заранее договориться, какие системы мы считаем критичными, а какие имеют более низкий приоритет. Для каждой критичной системы надо знать её бизнес-владельца, верховного администратора, а также список входящих в неё хостов.

Тема с реестрами получилась довольно объёмной потому, что при реагировании на инциденты способность быстро определить, с каким хостом, системой и пользователем мы имеем дело, трудно переоценить. К сожалению, понимание этого часто приходит слишком поздно. Надеюсь, что вас, уважаемый читатель, такая участь обойдёт стороной.

Канадская финтех-компания Wealthsimple подтвердила утечку данных, в результате которой была раскрыта конфиденциальная информация клиентов. Инцидент, обнаруженный 30 августа, был связан со скомпрометированным софтом, предоставленным сторонним поставщиком.

По информации Wealthsimple, слитые данные включали контакты, удостоверения личности, номера социального страхования, даты рождения, IP-адреса и номера счетов. Компания подчеркнула, что пароли не утекли, доступ к клиентским счетам не осуществлялся, а средства не были украдены.

Также организация заявила, что благодаря оперативным действиям смогла остановить взлом в течение нескольких часов. Её внутренняя служба безопасности при поддержке внешних экспертов начала расследование и уведомила органы, отвечающие за конфиденциальность и финансовую деятельность. Все пострадавшие клиенты получили прямые уведомления по электронной почте в течение нескольких дней. Wealthsimple представила пакет мер, которые подразумевают два года бесплатного кредитного мониторинга, защиту от кражи ПДн и страхование, мониторинг даркнета и специальную службу поддержки.

Эта утечка является частью более широкой тенденции киберинцидентов в Канаде. В последние месяцы об атаках сообщали Палата общин, WestJet и несколько школьных советов Онтарио. Исследование IBM, опубликованное этим летом, показало, что средняя стоимость утечки данных в Канаде выросла до 6,98 млн долларов, а в финансовом секторе средний ущерб от утечек составил почти 10 млн долларов.

Wealthsimple, управляющая клиентскими активами на сумму более 84 млрд канадских долларов (60 млн долларов США), заявила, что с тех пор усилила свою защиту для предотвращения подобных инцидентов. Компания настоятельно рекомендует клиентам включить двухфакторную аутентификацию, использовать надёжные уникальные пароли и быть бдительными к попыткам фишинга.

Усам Оздемиров

Издание The Washington Post рассказало о первом масштабном исследовании портрета пользователя ChatGPT — оно основано на анализе 130 тысяч чатов в период с мая прошлого года по июнь 2025-го.

Отчёт подготовила сама OpenAI. Так, например, выяснилось, что почти половина взрослых пользователей из выборки — молодые люди от 18 до 25 лет, а чаще всего чат-бота просят решить проблемы, не связанные с работой. Второй момент получил развитие именно в рамках исследуемого временного окна: если в прошлом мае рабочих и личных запросов было примерно поровну, то к концу отчётного периода соотношение было уже 73% — 27%.

В основном это так называемые «практические советы»; за ними идут написание или редактирование текста и поиск информации. Из менее популярных, но примечательных подвидов — вопросы об отношениях и личной жизни (1,9%) и ролевые игры с самим чат-ботом (0,4%). Также было установлено, что количество еженедельных пользователей ChatGPT превысило 700 млн человек, а к июню текущего года доля «типично женских» никнеймов достигла 52% (против 20% на заре ИИ-модели в начале 2023-го).

В OpenAI заверили, что использовали «автоматизированные» инструменты — исследователи не читали отдельные переписки.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) официально подтвердило свою поддержку программы «Общие уязвимости и риски» (Common Vulnerabilities and Exposures, CVE). Также ведомство обозначило некоторые будущие приоритеты программы в рамках так называемой «Эпохи качества» (Quality Era).

Стратегический документ под названием «Качество CVE для кибербезопасного будущего» опубликовали 10 сентября. Ранее было принято решение о продлении контракта с MITRE на 11 месяцев, что, как сообщается, обеспечит финансирование программы до марта 2026 года. В тексте содержится призыв к тому, чтобы CVE оставалась государственной и нейтральной по отношению к поставщикам, поскольку приватизация «снижает её ценность как общественного блага».

Однако агентство признало необходимость более активной руководящей роли в программе, а также потребность в дополнительных инвестициях. «Многие в сообществе просили CISA рассмотреть альтернативные источники финансирования», — добавили безопасники, которые и будут оценивать «потенциальные механизмы диверсификации».

Исследователь уязвимостей в VulnCheck Патрик Гаррити отметил в LinkedIn отсутствие в документе какого-либо упоминания MITRE: «Может ли это означать намерение CISA взять на себя роль секретариата в администрировании программы? Мы по-прежнему стремимся содействовать улучшению CVE посредством значительного расширения участия, включая содействие развитию рабочей группы исследователей безопасности в сотрудничестве с Cisco Talos, инициативой Zero Day от Trend Micro, GitHub и другими организациями по нумерации CVE (CVE Numbering Authorities, CNA), занимающимися исследованиями в области безопасности».

В тексте также официально закреплён разрыв между предыдущей «эрой роста» программы и предстоящей «эрой качества». По данным CISA, эпоха роста «характеризуется успешным привлечением обширной всемирной сети из более чем 460 центров нумерации CVE, способствующих экспоненциальному росту возможностей ИБ-сообщества выявлять, определять и каталогизировать сотни тысяч уязвимостей».

Однако теперь программе нужно развиваться, чтобы «отвечать потребностям глобального сообщества кибербезопасности». Следовательно, сместить фокус на новые направления, в частности, на повышение доверия, оперативности реагирования и качества данных об уязвимостях. «Нам необходимо внедрить автоматизацию в экосистему для более быстрого устранения уязвимостей. И мы продолжаем развивать эту сферу», — отметил Кристофер Бутера, исполняющий обязанности исполнительного директора CISA.

Усам Оздемиров

Минцифры направило ассоциации исследовательских компаний «Группа 7/89» письмо, в котором говорится о готовности разработать перечень структур, которые смогут «инициировать массовые вызовы без получения обязательного согласия абонента». В министерстве уточнили, что список сформируют после согласования с заинтересованными органами исполнительной власти.

С 1 сентября клиенты российских телеком-компаний могут отказаться от участия в массовых обзвонах и рассылках — это право предполагает мартовский пакет антифрод-поправок. При этом вызовы от госорганов и подведомственных организаций под ограничения не попадают.

Ранее СМИ сообщали, что новые требования уже привели к блокировке в том числе «полезных» вызовов — например, для подтверждения операций, так как закон не разделяет массовые звонки на типы, а значит, оператор «обязан заблокировать все звонки, которые идентифицируются как массовые».