Новости / Group-IB

Дешевый троян удаленного доступа Millenium RAT превратился в массовый инструмент для кражи данных с Windows-компьютеров

трояны

Новая версия 4.* ушла с .NET на C++, продолжает управляться через Telegram Bot API и не требует от операторов собственной серверной инфраструктуры, говорится в исследовании Group-IB. По данным Group-IB, специалисты нашли 62 289 зараженных устройств более чем в 160 странах, передаёт Securitylab. Основной рывок пришелся на первый квартал 2026 года: з …

Читать пост

Злоумышленники выдавали себя более чем за 260 предприятий в 72 странах в рамках операции Smishing Error524

хакеры

Кампания была активна со второй половины 2025 года и затронула Латинскую Америку, Европу, Азиатско-Тихоокеанский регион и Северную Америку. Всего специалисты нашли 4389 фишинговых доменов, связанных с одной схемой. Об этом пишет Securitylab. Главной целью стали пользователи мобильных устройств. Жертвам отправляли SMS от имени известных компаний, ба …

Читать пост

Как теневые площадки торгуют старыми данными под видом свежих утечек

данные

В новом отчёте Group-IB описала китайскоязычные площадки и Telegram-каналы, где массово продают массивы данных, похожие на похищенные базы, передаёт Securitylab. Среди таких источников названы Exchange Market, также известный как Deepmix, и Chang’An Sleepless Night, а также каналы Aiqianjin, Yiqun Data и Phoenix Overseas Resources.

Читать пост

Масштабная фишинговая кампания направлена на европейские организации из сферы логистики, промышленности и технологий

взлом

С ноября 2025 по январь 2026 года злоумышленники провели пять волн рассылок, пишут в отчёте Group-IB. Письма отправляли в один день сразу в несколько компаний, не связанных между собой, что характерно для сервисной модели распространения вредоносного ПО.

Читать пост

Злоумышленники используют поддельные сайты и приложения для атак клиентов Филиппинских банков

https://blog.itsjack.com/insight-en/largest-banks-in-philippines/

Атака началась ещё в начале 2024 года и к 2026 году не только не затихла, но и заметно усложнилась. Под удар попали пользователи как минимум трёх крупных банков, а не сами банки.

Читать пост

Бывший партнёр Qilin оформился в собственную вымогательскую группу

вымогатели

По данным Group-IB, The Gentlemen выросла из ArmCorp, активного партнёра программы Qilin, а управляет операцией злоумышленник под ником «Hastalamuerte». Первые следы собственного шифровальщика появились ещё 17 июля 2025 года, за несколько дней до публичного конфликта с операторами Qilin на теневом форуме RAMP, поясняют в Securitylab. В Group-IB счи …

Читать пост

Иранская MuddyWater развернула новую волну атак на Ближнем Востоке и в Северной Африке

иранские хакеры

Кампания получила название Operation Olalampo и стартовала в конце января 2026 года. По данным специалистов из компании Group-IB, злоумышленники задействовали несколько новых инструментов, часть которых перекликается с ранее замеченными разработками этой же структуры, пишет Securitylab.

Читать пост

Злоумышленники переходят с прямых атак на компании на заражения цепочек поставок

хакеры

В новом отчёте High-Tech Crime Trends 2026 компания Group-IB описывает, как злоумышленники всё чаще бьют не по конечным целям, а по поставщикам программного обеспечения, SaaS-платформам и подрядчикам, чтобы получить доступ сразу к сотням организаций

Читать пост

ShadowSyndicate продолжает развиваться, усложняя маскировку связей между серверами

вредоносы

ShadowSyndicate объединяет разные кампании за счёт пересечений инфраструктуры. Авторы отчёта отмечают, что участники кластера активно используют OpenSSH и обычно опираются на повторяющиеся SSH-отпечатки, которые позволяют связывать между собой большое число серверов. Ранее Group-IB описывала один из таких отпечатков, а команда Intrinsec позже сообщ …

Читать пост

Группировка DeadLock использует смарт-контракты в блокчейне Polygon для скрытия инфраструктуры управления атаками

хакеры

Такой подход позволяет динамически менять адреса прокси-серверов, через которые пострадавшие связываются с группой, делая их блокировку практически невозможной, пишет Securitylab. Технически это реализуется через HTML-файл, оставляемый на заражённой системе, который предлагает установить децентрализованный мессенджер Session. Он служит основным кан …

Читать пост