Обзор атак программ-вымогателей и связанных с ними инцидентов безопасности за прошедшую неделю (1-7 июля)

Предлагаем ознакомиться с небольшим обзором атак программ-вымогателей и инцидентов безопасности, связанных с ними. В центре внимания: JadePuffer, Langflow, BlackMatter, DarkSide, Qilin, FortiBleed, FortiGate, 4BID, Blackfield, Nidec Corporation, Microsoft Defender, BlueHammer.
Исследователи Sysdig сообщили о кампании JadePuffer, в которой языковая модель самостоятельно выполнила все этапы атаки — от разведки и эксплуатации уязвимости CVE-2025-3248 в Langflow до уничтожения данных. По данным специалистов, оператор практически не вмешивался в процесс, что делает этот инцидент одним из первых примеров полностью автономной ransomware-атаки.
Программа-вымогатель BlackMatter стала одним из наиболее заметных представителей модели Ransomware-as-a-Service. Построенная по партнёрской схеме платформа позволяла операторам получать прибыль, передавая проведение атак аффилированным участникам. Исследователи считают BlackMatter преемником инфраструктуры группировки DarkSide.
Группировка Qilin вышла в лидеры рынка Ransomware-as-a-Service, заняв около 16% этого сегмента. После исчезновения нескольких крупных конкурентов операторы Qilin значительно нарастили активность и продолжают расширять географию атак, не ограничиваясь отдельными регионами.
Исследование кампании FortiBleed показало, что массовый сбор учётных данных с устройств FortiGate использовался не только для кражи информации, но и для последующей продажи первоначального доступа операторам программ-вымогателей. По оценкам специалистов, атака затронула более 430 тысяч устройств по всему миру.
Хакерская группа 4BID расширила географию своих атак, начав активные кампании против организаций в Казахстане, ОАЭ, Сирии и Египте. В своих операциях злоумышленники используют ProxyShell, трояны удалённого доступа и программы-вымогатели, постепенно смещая фокус с локальных целей на международные.
По оценкам экспертов, Германия остаётся наиболее пострадавшей страной Европы от атак программ-вымогателей. Темпы роста подобных инцидентов почти вдвое превышают показатели Франции, а проблема остаётся одной из главных тем национальной повестки в сфере кибербезопасности.
Группировка Blackfield потребовала у японской корпорации Nidec выкуп в размере 2 млн долларов после проведённой ransomware-атаки. Компания является одним из крупнейших мировых производителей электродвигателей и компонентов для автомобильной, промышленной и компьютерной отраслей.
Агентство CISA предупредило, что группировки, распространяющие программы-вымогатели, начали активно эксплуатировать уязвимость BlueHammer (CVE-2026-33825) в Microsoft Defender. Ошибка позволяет локально повысить привилегии и ранее уже использовалась в атаках нулевого дня. После публикации эксплойта злоумышленники быстро включили её в свой арсенал для проведения ransomware-кампаний.



