HTB TheFrizz. Захватываем веб-сервер на Gibbon LMS #статьи #подписчикам
Сегодня я покажу, как эксплуатировать несложную веб‑уязвимость в системе удаленного обучения Gibbon, работающей на Windows. Получив возможность удаленного выполнения кода в системе, мы извлечем из базы данных учетки пользователей и полностью захватим сервер.
https://xakep.ru/2025/08/25/htb-thefrizz/
Сегодня я покажу, как эксплуатировать несложную веб‑уязвимость в системе удаленного обучения Gibbon, работающей на Windows. Получив возможность удаленного выполнения кода в системе, мы извлечем из базы данных учетки пользователей и полностью захватим сервер.
https://xakep.ru/2025/08/25/htb-thefrizz/
В любой сети устройства должны получать IP-адреса, шлюзы и DNS-серверы, чтобы корректно обмениваться данными и иметь доступ в Интернет.
На помощь приходит протокол DHCP. Его задача проста - автоматически раздавать клиентам все необходимые сетевые параметры, включая IP, маску подсети, шлюз и DNS.
— В этой статьe мы подробно разберём, как работает DHCP, от процесса обмена сообщениями DORA, через анализ сетевого трафика в Wireshark, до настройки DHCP-сервера на MikroTik и Ubuntu-Server.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
18 августа Винлаб 🍷 официально сообщил, что компания восстановила свою деятельность после атаки, начавшейся в середине июля, когда Винлаб признал факт несанкционированного воздействия на свои онлайн и физические активы. Компания не раскрывает деталей инцидента, но крупными мазками указывает, что она будет делать для улучшения своей системы ИБ 🍷
Эксперты при этом пытаются оценивать убытки, понесенные компанией в результате этой "мелочи", как часто рассматриваются кибератаки бизнесом🏝 Например, Алексей Чеканов оценивает один день потери Винлаба в 65 миллионов рублей, используя два метода, вычитания (более простой) и сложения (более сложный). Об аналогичной процедуре подсчета (на примере гипотетической кофейни) писала Ника у себя в канале 🧮
В Ведомостях писали про ущерб в 1,5 миллиарда рублей, но откуда взята эта цифра не очень понятно🤑 Ее озвучили уже спустя 3 дня после опубличивания факта инцидента. Мой коллега прислал мне оценку убытков "в 0,3-0,5 млрд руб. (5%-8% от чистой прибыли 2025 года) с потерей 1%-1,5% роста выручки". Если учесть, что график, отображающий снижение размера потерь 📉 по мере восстановления магазинов сети Винлаб, будет похож на степенное убывание (убытки постепенно "затухают"), то можно предположить, что максимальные убытки в начале инцидента будут быстро снижаться к его финалу, а значит на круг, за месяц, сумма потерь может составить от 1,3 до 1,5 миллиардов (точное значение зависит от показателя степенной кривой, который зависит от того, как быстро идет восстановление продаж в оффлайне и в онлайне в начале инцидента и с течением времени) 🧮
ЗЫ. Не претендую на точный математический расчет, но цифры потерь все равно кажутся мне достаточно значительными даже если речь идет о нижней границе расчета🤔 Ну и не забываем про иные формы потерь.
#антикризис #ущерб
Эксперты при этом пытаются оценивать убытки, понесенные компанией в результате этой "мелочи", как часто рассматриваются кибератаки бизнесом
В Ведомостях писали про ущерб в 1,5 миллиарда рублей, но откуда взята эта цифра не очень понятно
ЗЫ. Не претендую на точный математический расчет, но цифры потерь все равно кажутся мне достаточно значительными даже если речь идет о нижней границе расчета
#антикризис #ущерб
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from BI.ZONE
Мисконфигурации в Samba — классика, из-за которой общий доступ к файлам и даже контроллер домена на ее базе становятся легкой добычей.
В новой статье разобрали, как безопасно настроить Samba в роли файлового сервера и контроллера домена, чтобы защититься от атак.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
• Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника.
• В этой статье автор рассматривает различные методы и инструменты, которые помогут найти всевозможные признаки присутствия атакующих в системе Linux. Содержание следующее:
• Если есть трудности с английским, то воспользуйтесь chatgpt и deepl.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Продолжаем отслеживать наиболее трендовые уязвимости, среди которых выделим следующие:
1. Доступен PoC и технические подробности для недавней 0-day Apple, отслеживаемой как CVE-2025-43300.
2. Logan Goins из SpecterOps представил новую технику offsec для аутентификации прокси-трафика в LDAP в среде AD без кражи каких-либо билетов или хэшей.
3. Atlassian выпустила обновления безопасности в рамках августовского PatchTuesday.
4. Исследователи EmbraceTheRed раскрыли подробности атаки SpAIware в отношении Windsurf Cascade AI, которая изначально была нацелена на ChatGPT.
5. Раскрыты подробности атаки, связанной с масштабированием изображений для сокрытия вредоносных инструкций и нацеленной на Google Assistant, Google Gemini CLI и Vertex AI.
6. Guardio предупреждает об уязвимости браузеров с ИИ для подсказок, скрытых на вредоносных веб-сайтах. Этот тип атаки получил наименование Scamlexity.
7. WatchTowr Labs представила описание четырех уязвимостей, которые были обнаружены в корпоративном решении для резервного копирования Commvault. RCE нашли еще в апреле, а новые могут быть объединены в две разные цепочки RCE до аутентификации. На этой неделе они все были исправлены.
8. Уязвимость в промышленных маршрутизаторах mbNET и Helmholz REX позволяет злоумышленникам захватывать устройства и получать доступ к сетям OT. Уязвимость влияет на устройства.
Для эксплуатации требуются учетные данные для веб-панели, но, по словам Марселя Рик-Сена, многие маршрутизаторы по-прежнему используют дефолтные креды.
9. Microsoft без широкой огласки исправила уязвимость в своем Copilot AI, которая позволила злоумышленникам снимать ограничения доступа к файлам, не оставляя следов в журналах активности.
Security firmPistachio отмечает, что Microsoft исправила ошибку на этой неделе, но не раскрыла ее, не уведомила клиентов и не назначила CVE.
10. Cisco выпустила новые три рекомендации по безопасности по своим решениям.
11. Исследователи Datadog обнаружили уязвимость SQL-инъекции в сервере Postgres MCP от Anthropic.
1. Доступен PoC и технические подробности для недавней 0-day Apple, отслеживаемой как CVE-2025-43300.
2. Logan Goins из SpecterOps представил новую технику offsec для аутентификации прокси-трафика в LDAP в среде AD без кражи каких-либо билетов или хэшей.
3. Atlassian выпустила обновления безопасности в рамках августовского PatchTuesday.
4. Исследователи EmbraceTheRed раскрыли подробности атаки SpAIware в отношении Windsurf Cascade AI, которая изначально была нацелена на ChatGPT.
5. Раскрыты подробности атаки, связанной с масштабированием изображений для сокрытия вредоносных инструкций и нацеленной на Google Assistant, Google Gemini CLI и Vertex AI.
6. Guardio предупреждает об уязвимости браузеров с ИИ для подсказок, скрытых на вредоносных веб-сайтах. Этот тип атаки получил наименование Scamlexity.
7. WatchTowr Labs представила описание четырех уязвимостей, которые были обнаружены в корпоративном решении для резервного копирования Commvault. RCE нашли еще в апреле, а новые могут быть объединены в две разные цепочки RCE до аутентификации. На этой неделе они все были исправлены.
8. Уязвимость в промышленных маршрутизаторах mbNET и Helmholz REX позволяет злоумышленникам захватывать устройства и получать доступ к сетям OT. Уязвимость влияет на устройства.
Для эксплуатации требуются учетные данные для веб-панели, но, по словам Марселя Рик-Сена, многие маршрутизаторы по-прежнему используют дефолтные креды.
9. Microsoft без широкой огласки исправила уязвимость в своем Copilot AI, которая позволила злоумышленникам снимать ограничения доступа к файлам, не оставляя следов в журналах активности.
Security firmPistachio отмечает, что Microsoft исправила ошибку на этой неделе, но не раскрыла ее, не уведомила клиентов и не назначила CVE.
10. Cisco выпустила новые три рекомендации по безопасности по своим решениям.
11. Исследователи Datadog обнаружили уязвимость SQL-инъекции в сервере Postgres MCP от Anthropic.
GitHub
n-days/CVE-2025-43300.md at main · b1n4r1b01/n-days
Contribute to b1n4r1b01/n-days development by creating an account on GitHub.
🖥 Репозиторий: Covenant — мощный инструмент для поддержки доступа
Covenant — это фреймворк для поддержки доступа, написанный на C#, который предоставляет возможности для создания и управления обратными соединениями с скомпрометированными системами.
— Он предлагает графический интерфейс и позволяет надежно управлять скомпрометированными хостами, обеспечивая гибкость и мощные функции для эффективного тестирования на проникновение и антикриминалистики.
⏺ Ссылка на GitHub (https://github.com/cobbr/Covenant)
#PenetrationTesting #PostExploitation #OpenSource
@hackernews_lib
Covenant — это фреймворк для поддержки доступа, написанный на C#, который предоставляет возможности для создания и управления обратными соединениями с скомпрометированными системами.
— Он предлагает графический интерфейс и позволяет надежно управлять скомпрометированными хостами, обеспечивая гибкость и мощные функции для эффективного тестирования на проникновение и антикриминалистики.
⏺ Ссылка на GitHub (https://github.com/cobbr/Covenant)
#PenetrationTesting #PostExploitation #OpenSource
@hackernews_lib
This media is not supported in your browser
VIEW IN TELEGRAM
👁️ Nvidia представила модуль Jetson AGX Thor — «мозг для роботов» за $2999.
Новый чип на базе архитектуры Blackwell в 7.5 раза быстрее предшественника, имеет 128 ГБ памяти и способен запускать генеративные ИИ-модели для работы гуманоидных роботов.
Первые клиентские заказы уже сделали Amazon, Meta и Boston Dynamics.
Новый чип на базе архитектуры Blackwell в 7.5 раза быстрее предшественника, имеет 128 ГБ памяти и способен запускать генеративные ИИ-модели для работы гуманоидных роботов.
Первые клиентские заказы уже сделали Amazon, Meta и Boston Dynamics.
— Как только его учётку отключили, скрипт сработал;
— Компания потеряла доступ к серверам;
— Внутри активировались вечные циклы, которые жрали систему, параллельно удаляя файлы.
👨⚖️ Судья приговорил, хитрого Дэвиса к четырёхлетнему отпуску от выгорания в отеле «Тюрьма».
Тот самый случай, когда один обиженный дев смог положить корпорацию.
@overbafer1
Please open Telegram to view this post
VIEW IN TELEGRAM
Ransomware AI
Появился первый в истории вирус-вымогатель, который генерирует вредоносный код в реальном времени.
Специалисты зафиксировали совершенно новую малварь, где движком выступает не хацкер, а сама нейронка.
Вирус называется PromptLock. Написан на Go, и юзает локальную модель gpt-oss:20b от OpenAI, подключённую через Ollama. То есть он не хранит, а генерирует Lua-скрипты на лету, прямо на устройстве жертвы.
Возможности вредоноса:
— Перечисляет все файлы на диске, анализирует содержимое и выбирает, что интереснее, выгружает данные наружу, зашифровывает их и потом может полностью уничтожить.
Особенность в том, что скрипты уникальны на каждой атаке.
В отличие от классического вируса, тут ИИ конструирует уникальный вредоносный код под каждую атаку.
Появился первый в истории вирус-вымогатель, который генерирует вредоносный код в реальном времени.
Специалисты зафиксировали совершенно новую малварь, где движком выступает не хацкер, а сама нейронка.
Вирус называется PromptLock. Написан на Go, и юзает локальную модель gpt-oss:20b от OpenAI, подключённую через Ollama. То есть он не хранит, а генерирует Lua-скрипты на лету, прямо на устройстве жертвы.
Возможности вредоноса:
— Перечисляет все файлы на диске, анализирует содержимое и выбирает, что интереснее, выгружает данные наружу, зашифровывает их и потом может полностью уничтожить.
Особенность в том, что скрипты уникальны на каждой атаке.
В отличие от классического вируса, тут ИИ конструирует уникальный вредоносный код под каждую атаку.
🇩🇪Хакеру из 🥷 Anonymous предъявили обвинение за атаку на Rosneft
Прокуратура Берлина выдвинула официальное обвинение 30-летнему гражданину Германии, предположительно связанному с немецкой ячейкой Anonymous, за кибератаку на Rosneft Deutschland GmbH («Роснефть Дойчланд ГмбХ»). Кибератака произошла в марте 2022 года, сразу после начала специальной военной операции на Украине. Потерпевшая компания отнесена к объектам критически важной инфраструктуры (нем. Kritische Infrastruktur, KRITIS) в секторе энергетики. Обвиняемому вменяется два эпизода неправомерного сбора данных, один из которых совершен в совокупности с компьютерным саботажем при особо отягчающих обстоятельствах.
По данным расследования, проведенного👮BKA и прокуратурой Берлина, обвиняемый в ходе кибератак на «Роснефть Дойчланд ГмбХ» похитил в совокупности около 20 терабайт данных и вайпнул системы, относящихся к КИИ. Впоследствии похищенные данные были опубликованы на интернет-ресурсе, администрируемом обвиняемым и двумя другими участниками группировки Anonymous. С середины 2023 года данный ресурс неактивен.
Кибератака на дочернее предприятие российского энергетического концерна «Роснефть» повлекла за собой ущерб в размере нескольких миллионов евро. Компания была вынуждена перевести все свои системы в автономный режим и по горячим следам инициировать компьютерно-техническую экспертизу.
👺 Финансовые последствия цифрового саботажа колоссальны: общий ущерб превысил €12,3 млн, из которых €9,756 млн пошли на восстановление IT-архитектуры и форензику, а €2,59 млн — прямые убытки от паралича логистики и бизнес-процессов.
✋ @Russian_OSINT
Прокуратура Берлина выдвинула официальное обвинение 30-летнему гражданину Германии, предположительно связанному с немецкой ячейкой Anonymous, за кибератаку на Rosneft Deutschland GmbH («Роснефть Дойчланд ГмбХ»). Кибератака произошла в марте 2022 года, сразу после начала специальной военной операции на Украине. Потерпевшая компания отнесена к объектам критически важной инфраструктуры (нем. Kritische Infrastruktur, KRITIS) в секторе энергетики. Обвиняемому вменяется два эпизода неправомерного сбора данных, один из которых совершен в совокупности с компьютерным саботажем при особо отягчающих обстоятельствах.
По данным расследования, проведенного👮BKA и прокуратурой Берлина, обвиняемый в ходе кибератак на «Роснефть Дойчланд ГмбХ» похитил в совокупности около 20 терабайт данных и вайпнул системы, относящихся к КИИ. Впоследствии похищенные данные были опубликованы на интернет-ресурсе, администрируемом обвиняемым и двумя другими участниками группировки Anonymous. С середины 2023 года данный ресурс неактивен.
Кибератака на дочернее предприятие российского энергетического концерна «Роснефть» повлекла за собой ущерб в размере нескольких миллионов евро. Компания была вынуждена перевести все свои системы в автономный режим и по горячим следам инициировать компьютерно-техническую экспертизу.
Please open Telegram to view this post
VIEW IN TELEGRAM
Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности pinned «Ransomware AI Появился первый в истории вирус-вымогатель, который генерирует вредоносный код в реальном времени. Специалисты зафиксировали совершенно новую малварь, где движком выступает не хацкер, а сама нейронка. Вирус называется PromptLock. Написан на…»
Forwarded from Positive Technologies
Наше исследование актуальных киберугроз за первое полугодие 2025 года показало, что использование вредоносного ПО — по-прежнему самый популярный метод успешных атак (63% случаев). При этом злоумышленники в два раза чаще, чем год назад, распространяют ВПО через сайты. По данным наших аналитиков, это связано с ростом популярности схем, нацеленных на разработчиков.
Киберпреступники размещают на популярных платформах GitHub и GitLab фиктивные проекты. А потом обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Например, в России, Бразилии и Турции от такой вредоносной кампании пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии обнаружено не менее 233 жертв кампании группировки Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.
Также с начала года злоумышленники активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга (создания вредоносных пакетов с названиями, похожими на легальные), рассчитывая на ошибки и опечатки пользователей при вводе этих названий.
Специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.
«Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще», — поделилась Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.
Эксперты рекомендуют вендорам, производящим ПО, выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. А именно — внедрить инструменты, позволяющие выявлять уязвимости в коде и тестировать безопасность приложений, а также решения для динамического анализа кода и анализаторы пакетов. Ну и конечно, нужно своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.
💡 Полный текст нового исследования со всеми подробностями ищите на сайте.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Записки Безопасника
Библиотека fast-glob, используемая в тысячах публичных проектов на Node.js и более чем в тридцати системах Министерства обороны США, оказалась проектом одного единственного разработчика.
Его онлайн-профили указывают , что это российский программист Денис Малиночкин, сотрудник «Яндекса».
Fast-glob — это утилита для поиска файлов и папок по заданным шаблонам. Её автор на GitHub использует никнейм mrmlnc, а связанные с ним профили и сайт подтверждают личность разработчика.
Hunted Labs подчёркивает, что никаких связей Малиночкина с хакерскими группировками не выявлено.
Please open Telegram to view this post
VIEW IN TELEGRAM
Positive Technologies: атаки через GitHub и GitLab достигли рекордного уровня
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
https://xakep.ru/2025/08/29/supply-chain-stats/
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
https://xakep.ru/2025/08/29/supply-chain-stats/
Forwarded from CyberINS // Лаборатория ИБешника
WiFite – инструмент для автоматизированной атаки беспроводных сетей, зашифрованных с помощью технологий WEP, WPA, WPA2 и WPS
— Этот инструмент сможет настраивается до автоматизма всего лишь несколькими аргументами
Особенности:
1. сортирует цели по сигналу (в dB); первыми взламывает самые близкие точки доступа;
2. автоматически деаутентифицирует клиентов скрытых сетей для раскрытия их SSID;
3. набор фильтров для точного указания, что именно атаковать (wep/wpa/обе, выше определённой силы сигнала, каналы и т.д.);
4. гибкие настройки (таймауты, пакеты в секунду, другое);
5. функции «анонимности»: смена MAC на случайный адрес перед атакой, затем обратная смена, когда атака завершена;
6. все захваченные рукопожатия WPA копируются в текущую директорию wifite.py;
7. умная деаутентификация WPA; циклы между деаутентификацией всех клиентов и широковещательной;
8. остановка любого взлома по Ctrl+C с опциями для продолжения, переход к следующей цели, пропуск взлома или выход;
9. отображение общей информации по сессии при выходе; показ всех взломанных ключей;
10. все пароли сохраняются в cracked.txt.
#Tools #Network #WPS #WPA #WEP //
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Лаборатория хакера
BruteSpray — Python-утилита для автоматизации атак перебора паролей на найденные сервисы.
— Инструмент анализирует XML-отчёт, выделяет сервисы и по шаблону запускает атаки. BruteSpray поддерживает множество сервисов, включая SSH, FTP, Telnet, VNC, RDP, SMB, HTTP, PostgreSQL и другие.
Некоторые возможности BruteSpray:
1. позволяет использовать свои словари логинов и паролей;
2. умеет «размазывать» атаки по времени или параллелить;
3. предоставляет подробную статистику, ведёт логи и сохраняет успешные результаты.
#Python #Brutespray
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from LAMERLAND - overbafer1
Фактически это может стать обнулением всей индустрии кибербеза в РФ.
@overlamer1
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PWN AI (Artyom Semenov)
Новые шифровальщики
Раньше шифровальщики были простыми: вирус запускается, шифрует файлы, и вы видите унылое окно «кидай на этот кошелёк…». Всё предсказуемо. Но в конце августа прозвучал первый звонок о новой эпохе. Это уже не сухие отчёты – PoC ожил в реальности.
В статье "Ransomware 3.0: Self-Composing and LLM-Orchestrated" исследователи показали концепцию шифровальщика, управляемого моделью: от разведки и шифрования до эксфильтрации.
Особенность подхода – внутри бинарника нет готового вредоносного кода, только инструкции для LLM (self-hosted/API). Запустил – модель генерирует вредоносные скрипты в реальном времени, подстраиваясь под ОС и окружение жертвы. Новый подход – новые проблемы.
Эксперименты показали впечатляющие результаты: на 30 виртуальных машинах с Windows, Linux и macOS модель генерировала скрипты с 100% успешной компиляцией. Lua-скрипты были длиной 245–310 строк, а полный цикл атаки занимал всего 45–60 секунд. Каждый экземпляр уникален: при повторном запуске на той же машине скрипт отличался минимум на 15–20%, что делает невозможным обнаружение по статическим сигнатурам.
Фактически, это «живая» малварь: сама создаёт скрипты, ищет файлы, проверяет возможности системы и даже может назначать цену за выкуп (хе-хе). Стабильных IoC нет, а о методах обнаружения пока нет слов.
А недавняя находка ESET "PromptLock" показывает практическую реализацию такого PoC. Малварь, которую они нашли на VirusTotal написана на Go и обращается к Ollama через API модели gpt-oss:20b. Бинарник содержит промпты для генерации Lua-скриптов, которые выполняют полный цикл шифровальщика с использованием алгоритма SPECK 128 (разработаны - АНБ, но это вовсе не говорит что малварь сделана АНБ). Скрипты кроссплатформенны.
И да, в коде был найден Bitcoin-адрес Сатоши Накамото – штрих, который пока что просто как штрих - ничего с этим не связано.
Пока что такие шифровальщики не представляют широкой угрозы: серьёзных кейсов в природе нет, PoC – больше предупреждение. Но это чётко показывает, что подход к разработке малвари может измениться. Для защиты это значит: сигнатуры будут работать ещё хуже, а методы обнаружения придётся расширять. Например, добавлять модели, проверяющие код написанный моделями.
Раньше шифровальщики были простыми: вирус запускается, шифрует файлы, и вы видите унылое окно «кидай на этот кошелёк…». Всё предсказуемо. Но в конце августа прозвучал первый звонок о новой эпохе. Это уже не сухие отчёты – PoC ожил в реальности.
В статье "Ransomware 3.0: Self-Composing and LLM-Orchestrated" исследователи показали концепцию шифровальщика, управляемого моделью: от разведки и шифрования до эксфильтрации.
Особенность подхода – внутри бинарника нет готового вредоносного кода, только инструкции для LLM (self-hosted/API). Запустил – модель генерирует вредоносные скрипты в реальном времени, подстраиваясь под ОС и окружение жертвы. Новый подход – новые проблемы.
Эксперименты показали впечатляющие результаты: на 30 виртуальных машинах с Windows, Linux и macOS модель генерировала скрипты с 100% успешной компиляцией. Lua-скрипты были длиной 245–310 строк, а полный цикл атаки занимал всего 45–60 секунд. Каждый экземпляр уникален: при повторном запуске на той же машине скрипт отличался минимум на 15–20%, что делает невозможным обнаружение по статическим сигнатурам.
Фактически, это «живая» малварь: сама создаёт скрипты, ищет файлы, проверяет возможности системы и даже может назначать цену за выкуп (хе-хе). Стабильных IoC нет, а о методах обнаружения пока нет слов.
А недавняя находка ESET "PromptLock" показывает практическую реализацию такого PoC. Малварь, которую они нашли на VirusTotal написана на Go и обращается к Ollama через API модели gpt-oss:20b. Бинарник содержит промпты для генерации Lua-скриптов, которые выполняют полный цикл шифровальщика с использованием алгоритма SPECK 128 (разработаны - АНБ, но это вовсе не говорит что малварь сделана АНБ). Скрипты кроссплатформенны.
И да, в коде был найден Bitcoin-адрес Сатоши Накамото – штрих, который пока что просто как штрих - ничего с этим не связано.
Пока что такие шифровальщики не представляют широкой угрозы: серьёзных кейсов в природе нет, PoC – больше предупреждение. Но это чётко показывает, что подход к разработке малвари может измениться. Для защиты это значит: сигнатуры будут работать ещё хуже, а методы обнаружения придётся расширять. Например, добавлять модели, проверяющие код написанный моделями.