Узнайте, как одна система закрывает буквально все ИБ-потребности.

Разработчики по всему миру столкнулись с вызовом, к которому никто не был готов.

Как новые шпионские программы обходят защиту iPhone.

Предприимчивый мужчина целых 5 лет обманывал педофилов, подсовывая им пустые архивы.

Владельцы техники даже не подозревали о тайной жизни своих устройств.

Платформа MioLab превратила хвалёную безопасность macOS в пустой звук.

Даже бдительные антивирусы в упор не замечают эту угрозу. Но почему?

Обновиться «когда получится» больше нельзя: злоумышленники бьют в цель почти сразу после публикации бага.

Финансовый сектор страны получил систему, которая меняет правила игры на уровне инфраструктуры.

Испытания в Пекине показали, что удаленное управление катетером может снять физическую нагрузку с хирурга и ускорить сложную сосудистую диагностику.

Пример ошибки: атака на SolarWinds (2020 год)В 2020 году при атаке на SolarWinds злоумышленники скомпрометировали учётную запись, которая имела доступ и к исходному коду, и к процессу сборки, и к механизму подписи обновлений.

Проксирование сессий тоже не используется: все действия пользователя не записываются, не контролируются и не прерываются при подозрительной активности.

Ручной отзыв всегда медленный и фрагментарный: можно отозвать доступ к почте, но забыть про доступ к серверам или сервисным учёткам.

Сама PAM-система не изолирована от общей сети, не обновляется своевременно и не подвергается регулярному аудиту.

Технология оказывается бессильна там, где не меняется культура безопасности…

Какие продукты лучше всего подходят для МСБТема средств защиты для МСБ затрагивалась в недавнем эфире AM Live.

Рассмотрим, какие средства могут использовать предприятия сегмента малого и среднего бизнеса для закрытия перечисленных потребностей.

Данное решение отлично подходит не только для крупного и среднего бизнеса, но и для небольших компаний, а также госучреждений.

Данный продукт представляет собой сбалансированное решение для компаний малого и среднего бизнеса, позволяющее эффективно управлять уязвимостями без внедрения сложных и дорогостоящих платформ.

Данный продукт представляет собой сбалансированное решение для компаний малого и среднего бизнеса, позволяющее эффективно управлять уя…

Интеграция ИТ и АСУ ТП обещает эффективность, но часто оборачивается скрытыми сбоями.

Разбираемся на конкретных примерах, где именно на стыке ИТ и АСУ ТП (автоматизированных систем управления технологическим процессом) формируются системные проблемы, почему зрелые корпоративные практики начинают работать против надёжности и какие архитектурные решения чаще всего приводят к инцидентам.

Точки архитектурной уязвимости при сближении сегментовСближение ИТ и АСУ ТП редко происходит через одно крупное решение.

В сфере информационных технологий приоритетом является своевременное устранение уязвимостей, в АСУ ТП — гарантированная непрерывность технологического цикла.

Сближение ИТ и АСУ ТП само по се…

Несмотря на ограниченное число игроков, сегмент российских решений по расследованию киберинцидентов развивается и формирует собственную технологическую экспертизу.

Её платформа Magnet AXIOM предназначена для сбора, обработки и анализа данных с компьютеров, мобильных устройств и облачных сервисов.

Российский рынок решений по расследованию инцидентовОтечественный рынок решений по расследованию инцидентов информационной безопасности остаётся узкоспециализированным и структурно ограниченным.

Подробный анализ текущего состояния отечественного сегмента Threat Intelligence и детальное описание продуктов российских компаний представлены статье «Обзор рынка платформ и сервисов киберразведки (Threat …

Введение17 февраля в пресс-центре МИА «Россия сегодня» было объявлено о создании автономной некоммерческой организации «Институт развития криптоиндустрии».

Пресс-конференция, посвящённая созданию АНО «Институт развития криптоиндустрии»Появление «Института развития криптоиндустрии» происходит не на пустом месте.

Генеральным директором АНО «Институт развития криптоиндустрии» стал Алексей Зюзин, исполнительным директором — Максим Зеленевский, являющийся также вице-президентом Российской ассоциации криптоиндустрии и блокчейна (РАКИБ).

ВыводыВ России открыт Институт развития криптоиндустрии, который должен стать отраслевым центром компетенций по вопросам регулирования и внедрения решений на базе…

Алексей Крылов, менеджер продукта Deckhouse Kubernetes Platform по направлению информационной безопасности, «Флант»Станислав Проснеков добавил, что уязвимости могут скрываться не только в коде, но и в самой среде исполнения.

Поэтому контроль необходим не только за исходным кодом и зависимостями, но и за средой, в которой всё это работает.

Но важно следить не только за самим Kubernetes, но и за тем, что его окружает.

И это полезно не только для безопасности, но и для ускорения разработки и эксплуатации.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка информационной безопасности и информационных технологий.

Например, если в компании есть критическая инфраструктура, регуляторы предъявляют жёсткие требования к её защите — такие, например, как использование сертифицированных средств защиты.

Организация закрывает требования на уровне отчётности: решения куплены, галочки проставлены, но системы не работают или функционируют иначе, чем предполагалось.

Экономить на решениях для информационной безопасности можно, но только если опираться на фактические процессы, а не на формальные требования.

В таких случаях, когда модель угроз не пересматривается годами, компания продолжает защищать то, что давно перестало быть критичным, и не видит реальных рисков.

Когда команда ИБ сама не понимает, какие процессы д…

К 2026 году защита конфиденциальных данных окончательно перестала быть историей про периметры и файрволы: сегодня данные живут в облаках, на устройствах сотрудников и в бизнес-процессах, которые постоянно меняются.

Сергей Добрушский объяснил, что с изменением периметра датацентричный подход расширился на частные облака, требуя проецировать привычные методы защиты на новые среды.

Первый опрос выяснил, используют ли зрители датацентричный подход в кибербезопасности в своих компаниях:В процессе внедрения — 27 %.

Мария Мозгалёва: «Искусственный интеллект будет использоваться повсеместно для ускорения процессов и в бизнесе, и в безопасности.

Инвентаризация, классификация данных и жёсткая минимиз…

Схема работы ALD Pro в мультивендорной средеОсновные функции продуктаВ основу разработки ALD Pro легла служба каталога FreeIPA, обеспечивающая полную поддержку нативных механизмов безопасности Linux.

Инструменты управления инфраструктурой ALD ProУправление устройствамиУправление службой каталога ALD Pro можно осуществлять через веб-портал, который является собственной разработкой вендора.

Системные требования ALD ProРазвёртывание контроллера домена службы каталога ALD Pro производится на сервере под управлением Astra Linux.

Сценарий использования ALD Pro для полного замещенияКейсы практического применения ALD Pro в организациях различного масштаба можно найти на сайте вендора.

Новые версии …

Top-10 устройств NGFW западных вендоров и их базовые функции (Cyber Press, 2026)Интеграция NGFW и SD-WAN: функциональная и аппаратнаяИдея объединения средств управления NGFW и SD-WAN должна была возникнуть неизбежно.

Совместное управление функциями SD-WAN и NGFWРаздельное применение NGFW и SD-WANОтсутствие интеграции с SD-WAN не означает, что NGFW устарел.

Раздельное развёртывание NGFW и SD-WAN также способно обеспечить организациям гибкость и контроль над безопасностью и сетевой инфраструктурой, но по-своему.

Раздельное применение NGFW и SD-WAN vs. интеграция этих устройствГлавные издержки, возникающие при отсутствии интеграции NGFW и SD-WAN, — это повышенные трудозатраты.

Для них интеграц…

Все группы и каналы в Compass по умолчанию приватны, присоединиться к ним можно при наличии приглашения от администратора Модерирование групповых чатов и каналов Да Да Да Да Да Да Закрепление чатов / каналов/ сообщений Да Да Да Да Да В разработке Создание ссылки / QR-кода для присоединения к чату / каналу Нет Да Да Да Да (ссылка) Нет Создание ссылки / QR-кода для контакта Нет Нет Да Нет (возможно поделиться контактом внутри мессенджера, а также поделиться контактом при помощи @ в чате) Нет Нет Треды (обсуждения) Да Нет Да Да Да Да Меншены (упоминания) Да Да Да Да Да Да Теги, группировка пользователей по тегам Да Нет Да Нет В планах вендора 2026 Да IP-телефония Да Да Да Да Да Нет Просмотр ис…

Косвенно подтверждает рост «способностей» ИИ в написании кода и то, что такие инструменты начинают применять при создании вредоносных программ.

Раньше угрозу написания вредоносного кода с помощью ИИ считали сугубо теоретической из-за его низкого качества.

Ведущий бизнес-аналитик ГК «Наносемантика» Егор Кириллов считает, что разработчики Claude Code Security вышли из старой парадигмы анализа кода и полностью изменили подход.

Уровень развития генерации кода и его анализа на ошибки и уязвимостиТакже, как отметил Сергей Карпович, инструментарий анализа кода с ИИ повышает стоимость разработок на 30 %.

Будут востребованы навыки управления ИИ, потребуется разработать процессы интеграции новых анал…

Закон №168-ФЗ требует от компаний перевода информации, предназначенной «для публичного ознакомления потребителей и не являющейся рекламой», на русский язык.

В. В. Виноградова.

Также необходимо обязательно указывать, пусть и в скобках, исходный англоязычный термин, например Next-Generation Firewall (NGFW).

Многие переводы формальны: они либо являются калькой с английского, либо звучат обобщённо и не отражают архитектурных различий.

И действительно, в некоторых стандартах, в частности по разработке безопасного ПО, есть довольно полные и вполне адекватные глоссарии терминов в данной сфере.

Это работает, но не удовлетворяет принципам REST и не так красивоЯ выбираю второй вариант – вот почему.

Наша задача – проверить корректность переданного id и в соответствии с этим передавать пользователю данные конкретного секрета.

При реализации помним – на входе имеем указатель на GetSecretRequest – на выходе возвращаем указатель на GetSecretResponse и, опционально, ошибку.

func createSignature(data string) string { h := hmac.New(sha256.New, secretKey) h.Write([]byte(data)) return base64.RawURLEncoding.EncodeToString(h.Sum(nil)) }Функция validateSignature (data, signature string) boolФункция проверяет – соответствует ли подпись данным.

Делается это просто – создаётся экземпляр http.Cookie…

Причём не по красивой суммарной цифре, а по каждому типу ошибки отдельно.

Функция sprintf в строке 630 может форматировать строку, которая никогда не попадёт в SPI_execute в строке 650.

Он работает не с соседством строк, а с реальными путями передачи данных.

Верификация: гибридный подходВ итоге я не выбрасывал шаблоны и не делал вид, что они больше не нужны.

Не на наших внутренних примерах, где всегда есть соблазн себе подыграть, а на внешнем квалификационном наборе.

Как я сделал шифрование поверх MAX, когда приватность стала роскошьюКогда единственный работающий мессенджер — в «белом списке», а тебе нужно отправить что-то, что видеть должен только получатель.

Это бессмысленно — если приложение не в белом списке, оно просто не будет работать.

Кроссплатформенность: где я потерял неделю жизниСамое весёлое началось, когда я решил сделать приложение и для Android, и для iOS, и для Windows.

Решение: на Android я написал собственную реализацию PBKDF2, которая принимает пароль как UTF-8 байты напрямую, минуя стандартный Java API.

Проблема 2: Буква «а»Во время тестирования я зашифровал слово «привет» с паролем «а» на Android, отправил на iPhone — не расшифровыв…

Логинюсь на него и на рабочем столе вижу файл Your_files_have_been_encrypted.htmlЯ. Понял.

Очевидно, что это фиаско, но я еще не думал о последствиях, способах решения, не думал вообще ни о чем осязаемом.

Я подкрутил и закрыл все, что мог, но было очевидно, что необходимо создавать инфраструктуру чуть ли не с нуля.

Внутри крутятся: AD1,2, Exchange/Office 2016, 3CX, Veeam, NFS, SMB – все на 2012R2, достаточно свежие уже мои линуксовые сервера со всяким разным.

Смотрю бэкапы, но что я вижу?

И выбор пал не на интернет-магазин массовой торговли, а на обычный офлайн-магазин DNS, так как цены на его отдельные товарные позиции дешевле, чем в Озоне, более чем вдвое.

И все было бы хорошо и не было бы текущей статьи, если бы я не выбрал "доставку курьером" и способ оплаты "по карте при получении товара".

По срокам доставки никаких нареканий не возникло, но первый тревожный звоночек был после общения по телефону с курьером уже в день доставки.

Введя в банковский терминал сумму для оплаты, он протягивает его мне, чтобы я приложился банковской картой для оплаты и ввел пин-код для её подтверждения.

А ведь в теории не исключен вариант перевода и на финансирование иностранных агентов или да…

Соединение зашифровано, но предлагаемый сервером сертификат на устройстве не проверялтся.

Angeet/Yeeso ES3 KVMА вот в устройстве Angeet/Yeeso ES3 KVM нашлась реально серьезная проблема.

Первая уязвимость аналогична проблеме в устройстве GL-iNet: по мнению Eclypsium, недостаточно тщательно проверялась подлинность файлов обновления прошивки.

В этой атаке, нацеленной на пользователей в России, используются в том числе зараженные файлы легитимного клиентского приложения TrueConf.

Исследователи TASZK Security Labs проанализировали прошивку и нашли три уязвимости, две из которых в комбинации открывают возможность удаленного выполнения произвольного кода на устройстве.

Там основной фокус был смещен на продукт и его конкурентов, а также метрики NER моделей, в этой статье мы рассмотрим как инструменты для анонимизации персональных данных влияют на работу LLM систем.

МетодологияСравнивать работу LLM-агента будем на трёх типах данных:Чистые Замаскированные: замена на “XXX…X” совпадающей длины Псевдонимизированные: замена на PERSON_1, PHONE_1 и т.п.

В то же время, при подмене имён на другие, но настоящие, помощь от агента не зависит от того, Иванов пользователь или Петров.

Варианты очистки (2) и (3) делаем с помощью встроенной в Hivetrace системы для очистки персональных данных, далее Hivetrace Dataclean или просто Dataclean.

Хотите получить выписку только по …

Там основной фокус был смещен на продукт и его конкурентов, а также метрики NER моделей, в этой статье мы рассмотрим как инструменты для анонимизации персональных данных влияют на работу LLM систем.

МетодологияСравнивать работу LLM-агента будем на трёх типах данных:Чистые Замаскированные: замена на “XXX…X” совпадающей длины Псевдонимизированные: замена на PERSON_1, PHONE_1 и т.п.

В то же время, при подмене имён на другие, но настоящие, помощь от агента не зависит от того, Иванов пользователь или Петров.

Варианты очистки (2) и (3) делаем с помощью встроенной в Hivetrace системы для очистки персональных данных, далее Hivetrace Dataclean или просто Dataclean.

Хотите получить выписку только по …

Вскоре после этого я понял, что в самокате есть критическая уязвимость безопасности, позволявшая не только разблокировать и контролировать мой самокат, но и любой другой самокат Äike.

В итоге, я в основном пользовался проектом hermes_rs разработчика Pilfer, потому что он оказался наиболее совершенным и мне нравится работать с кодом на Rust.

00 D4 00 03 00 00 00 01 00 00 Открыть аккумуляторный отсек 0x04 0x00 00 D4 00 04 00 00 00 00 00 00 Установить таймер автоматической блокировки 0x06 Минуты ( 0x00 - 0xFF ) 00 D4 00 06 00 00 00 0F 00 00 (15 минут) Режим автоматического торможения 0x07 0x00 = откл., 0x01 = вкл.

00 D4 00 07 00 00 00 01 00 00Кроме того, самокат отправляет уведомления в характ…

Представители Linux Foundation пояснили, что ландшафт безопасности усложняется, а ИИ-инструменты резко увеличивают скорость и масштаб обнаружения уязвимостей в опенсорсном софте.

В результате мейнтейнеры столкнулись с потоком ИБ-отчетов, которые зачастую сгенерированы автоматически, и попросту не располагают ресурсами и инструментами для их обработки.

Управлять новой инициативой, финансируемой Linux Foundation, будет проект Alpha-Omega (занимается безопасностью цепочек поставок в open source) совместно с Open Source Security Foundation (OpenSSF).

Грег Кроа-Хартман (Greg Kroah-Hartman), один из ключевых разработчиков ядра Linux, высказался осторожно: одними грантами проблему ИИ не решить.

Ко…

Хакеры внедрили инфостилер в популярный сканер уязвимостей Trivy, подменив почти все теги GitHub Actions и опубликовав вредоносный релиз.

Малварь похищала секреты из CI/CD-пайплайнов и с машин разработчиков, шифровала данные и отправляла на управляющий сервер.

Параллельно атакующие подменили файл entrypoint.sh в GitHub Actions на вредоносную версию и опубликовали троянизированные бинарники Trivy v0.69.4 через GitHub Releases, Docker Hub, GHCR и ECR.

Если эксфильтрация не удавалась, малварь создавала публичный репозиторий tpcp-docs в аккаунте жертвы на GitHub и загружала информацию туда.

Тогда хакеры скомпрометировали расширение Aqua Trivy для VS Code и получили учетные данные с правами запи…

Справка: сканирование портовСка­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке.

На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:#!/ bin/ bash ports = $( nmap -p- --min-rate = 500 $1 | grep ^[ 0- 9] | cut -d '/ ' -f 1 | tr ' ' ', ' | sed s/, $/ / ) nmap -p $ports -A $1Он дей­ству­ет в два эта­па.

На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A ).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала.

На фоне стремительно ухудшающейся работы Telegram в России пользователи все активнее ищут обходные пути, и многие устанавливают с этой целью сторонние клиенты.

Эталоном для исследования служил официальный APK Telegram v12.4.3, и тестируемые APK загружали из Google Play Store (Telegram Official, Telegram X, Plus Messenger, Nekogram, Graph Messenger, «Телега», iMe) и F-Droid (Forkgram, Mercurygram).

Параллельно Telega сообщает в VK (бывший Mail.ru) номер телефона, ID в Telegram и даже то, использует ли пользователь VPN», — заключают эксперты.

Graph Messenger и iMe также отправляют данные на серверы «Яндекса» и VK Group через встроенные рекламные и аналитические модули.

То есть альтернативные …

Правоохранительные органы США, Германии и Канады провели совместную операцию и отключили управляющую инфраструктуру четырех крупнейших IoT-ботнетов — Aisuru, Kimwolf, JackSkid и Mossad.

Согласно опубликованным судебным документам, ботнет Aisuru отдал более 200 000 команд на проведение DDoS-атак, JackSkid — более 90 000, Kimwolf — более 25 000, а Mossad — более тысячи.

Специалисты компании Lumen Black Lotus Labs заявили СМИ, что осуществили null-route для почти тысячи управляющих серверов, которые использовали Aisuru и Kimwolf.

Исследователи также подтвердили, что JackSkid и Mossad эксплуатировали ту же уязвимость в резидентных прокси-провайдерах (затрагивающую устройства с открытым Android …

В конце прошлой недели Telegram-канал Mash сообщил, что провайдеры домашнего интернета в Москве якобы срочно внедряют систему «белых списков» — аналогичную той, что уже работает на мобильных сетях.

Там же утверждали, что из-за необходимости круглосуточной фильтрации трафика общая скорость домашнего интернета может снизиться.

Представители Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации оперативно отреагировали на публикацию и назвали эту информацию фейком.

В ведомстве пишут, что при угрозах безопасности со стороны БПЛА в ряде регионов России точечно отключают исключительно мобильный интернет.

В «Билайне» сообщили, что не располагают информацией о подобных…

Джейк свер­нул на Фут­хилл: тут было пос­вобод­нее, и он при­бавил газу.

Иудей­ская тра­диция пред­писыва­ла раз­мещать мезузу у вхо­да в жилище, и здесь, в офи­се, она явно намека­ла на то, что Штейн бук­валь­но живет на работе.

Недав­ний инци­дент в Бра­зилии силь­но обес­поко­ил депар­тамент меж­дународ­ной кибер­безопас­ности, осо­бен­но в той свя­зи, что в нем ока­залась замеша­на инфраструк­тура вашей ком­пании.

Ска­жу вам по сек­рету: у нас есть подоз­рения, что в этом деле замеша­ны и рус­ские хакеры.

— Двад­цать, и не спорь со мной боль­ше, а то вооб­ще не про­дам.

Второй в 2026 году выпуск ежеквартального «Хакера» уже готовится к печати, и мы открываем предварительные заказы !

Четырежды в год мы будем выпускать полноценный глянцевый журнал объемом 240 полос — подшивку лучших материалов за прошедший квартал.

Что внутриКак и в первом выпуске, тебя ждут более 20 лучших материалов за прошедший квартал на плотной глянцевой бумаге — от практических гайдов до хардкорных технических разборов.

Учимся перебирать каталоги и искать скрытые файлы на сайтахБрутфорс с самого начала.

Покупая ежеквартальный номер, ты не только получаешь тщательно собранный и отредактированный журнал, но и помогаешь проекту жить и развиваться.

В Интерполе подсчитали, что ИИ повышает прибыль мошенников в 4,5 раза.

Потери от финансового мошенничества в 2025 году составили около 442 млрд долларов США, и в организации ожидают, что эта цифра будет расти, в первую очередь благодаря искусственному интеллекту.

По оценкам организации, мошеннические операции с использованием ИИ приносят в 4,5 раза больше прибыли по сравнению с обычными.

Также в организации фиксируют рост схем секс-вымогательства (sextortion) с использованием сгенерированных ИИ изображений.

В ряде изученных случаев жертвы сначала отказывались от традиционных предложений мошенников (крипто- и форекс-скам, романтическое мошенничество), однако после этого подвергались шантажу …

23 марта в Москве состоится бесплатная конференция «Приватность и Децентрализация: Тренды 2026», организованная сообществом DeFrens совместно с Dash.

Спикеры из Dash, «Сбера», «Шард», Symbiosis и Сколтеха обсудят будущее приватных криптовалют, анализ транзакций, MPC в централизованных финансах и применение децентрализации в вычислительных сетях.

«Будущее анонимных и приватных криптовалют в обычной жизни: какие сервисы и тулинги нам нужны?» — панельная дискуссия с участием Артёма Воротникова (ex-Fantom, разработчик нод Erigon и Akula), Ли Александра Джона (инженер в Miden) и Ивана Тихонова (основатель Bits.media).

«Децентрализация для вычислительных сетей и потенциальная роль блокчейна» — па…

В дефолтных установках Ubuntu Desktop 24.04 и новее нашли серьезную уязвимость (CVE-2026-3888, 7,8 балла по шкале CVSS), которая позволяет локальному атакующему повысить привилегии до уровня root.

В результате эксплуатация проблемы выглядит следующим образом: сначала нужно дождаться, пока демон удалит критически важный каталог /tmp/.snap, необходимый snap-confine для работы.

По умолчанию это происходит через 30 дней в Ubuntu 24.04 и через десять дней в более поздних версиях.

Патчи уже выпущены для Ubuntu 24.04 LTS (snapd до версии 2.73+ubuntu24.04.1), Ubuntu 25.10 LTS (snapd до 2.73+ubuntu25.10.1), Ubuntu 26.04 LTS Dev (snapd до 2.74.1+ubuntu26.04.1), а также для апстрима snapd (до версии 2…

Есть такой про­фес­сиональ­ный реф­лекс у людей, которые дол­го работа­ют в безопас­ности: ког­да тебе говорят «уста­нови при­ложе­ние по ссыл­ке», внут­ри что‑то сжи­мает­ся.

Два года назад, в 2024-м, мы рас­смат­ривали PWA и WebAPK как экзо­тичес­кий фишин­говый век­тор про­тив кли­ент­ских при­ложе­ний бан­ков.

Развитие угрозы за два годаВ 2024 году, ког­да ана­лити­ки Eset впер­вые забили тре­вогу, PWA и WebAPK рас­смат­ривались как новый и мно­гообе­щающий век­тор фишин­га.

Смерть sideloading и PWA как основной векторЗа два года, которые прош­ли с пер­вых круп­ных откры­тий Eset, лан­дшафт угроз изме­нил­ся кар­диналь­но.

С 2026 года в Google вве­ли обя­затель­ную верифи­кацию раз­рабо…

Появились подробности кибератаки на медтех-гиганта Stryker: выяснилось, что злоумышленники удаленно уничтожили данные на 80 000 устройств без использования малвари, через Microsoft Intune, а ФБР изъяло сайты хактивистской группировки Handala, стоявшей за этой атакой.

Через Intune — облачный сервис Microsoft для управления конечными точками — они отправили команду на удаленную очистку около 80 000 устройств.

Как уже сообщалось ранее, информация была удалена не только на корпоративных компьютерах и мобильных устройствах, но и на личных девайсах сотрудников, подключенных к корпоративной сети.

В Stryker подчеркивают, что атака не затронула продукцию компании — все медицинские устройства по-преж…

The North Korean threat actors behind the Contagious Interview campaign, also tracked as WaterPlum, have been attributed to a malware family tracked as StoatWaffle that's distributed via malicious Microsoft Visual Studio Code (VS Code) projects.

The victims are believed to have been infected via a malicious VS Code extension or an npm package.

"These men practically gave the keys to the online kingdom to likely North Korean overseas technology workers seeking to raise illicit revenue for the North Korean government — all in return for what to them seemed like easy money," Margaret Heap, U.S. attorney for the Southern District of Georgia, said in a statement.

They are "considered elite membe…

Cloud security firm Sysdig said that the attacks weaponize the vulnerability to steal sensitive data from compromised systems.

Cloud security firm Sysdig said that the attacks weaponize the vulnerability to steal sensitive data from compromised systems.

]145") associated with APT28 (aka Fancy Bear) has offered insights into the threat actor's espionage campaigns targeting government and military organizations across Ukraine, Romania, Bulgaria, Greece, Serbia, and North Macedonia.

FBI Says it is Buying Americans' location Data — FBI director Kash Patel admitted that the agency is buying location data that can be used to track people's movements without a warrant.

— FBI director Kash Patel ad…

The XM Cyber threat research team mapped exactly how attackers could exploit that connectivity inside Bedrock environments.

The result: eight validated attack vectors spanning log manipulation, knowledge base compromise, agent hijacking, flow injection, guardrail degradation, and prompt poisoning.

Knowledge Base Attacks - Data SourceBedrock Knowledge Bases connect foundation models to proprietary enterprise data via Retrieval Augmented Generation (RAG).

The data sources feeding those Knowledge Bases - S3 buckets, Salesforce instances, SharePoint libraries, Confluence spaces - are directly reachable from Bedrock.

What This Means for Security TeamsThese eight Bedrock attack vectors share a co…

Microsoft has warned of fresh campaigns that are capitalizing on the upcoming tax season in the U.S. to harvest credentials and deliver malware.

The details of some of the campaigns are below -Using Certified Public Accountant (CPA) lures to deliver phishing pages associated with the Energy365 PhaaS kit to capture victims' email and password.

The Energy365 phishing kit is estimated to be sending hundreds of thousands of malicious emails on a daily basis.

Using tax-themed domains for use in phishing campaigns that trick users into clicking on bogus links under the pretext of accessing updated tax forms, only to distribute ScreenConnect.

Microsoft said it also observed a large-scale phishing …

Cybersecurity researchers have uncovered malicious artifacts distributed via Docker Hub following the Trivy supply chain attack, highlighting the widening blast radius across developer environments.

It's been assessed with high confidence that the threat actor leveraged a compromised "Argon-DevOps-Mgt" service account for this purpose.

"This is a service/bot account (GitHub ID 139343333, created 2023-07-12) with a critical property: it bridges both GitHub orgs."

"A credential harvested during the Trivy GitHub Actions compromise months ago was weaponized today to deface an entire internal GitHub organization.

The Argon-DevOps-Mgt service account — a single bot account bridging two orgs with …

Threat actors are suspected to be exploiting a maximum-severity security flaw impacting Quest KACE Systems Management Appliance (SMA), according to Arctic Wolf.

The cybersecurity company said it observed malicious activity starting the week of March 9, 2026, in customer environments that's consistent with the exploitation of CVE-2025-32975 on unpatched SMA systems exposed to the internet.

CVE-2025-32975 (CVSS score: 10.0) refers to an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials.

Successful exploitation of the flaw could facilitate the complete takeover of administrative accounts.

Other actions undertaken by the threat a…

After gaining access, the actors can view messages and contact lists, send messages as the victim, and conduct additional phishing from a trusted identity."

CISA and the FBI said the activity has resulted in the compromise of thousands of individual CMA accounts.

In both cases, the social engineering scheme allows the threat actors to gain access to the victim's CMA account.

"To help prevent this, remember that your Signal SMS verification code is only ever needed when you are first signing up for the Signal app.

We also want to emphasize that Signal Support will *never* initiate contact via in-app messages, SMS, or social media to ask for your verification code or PIN.

Oracle has released security updates to address a critical security flaw impacting Identity Manager and Web Services Manager that could be exploited to achieve remote code execution.

The vulnerability, tracked as CVE-2026-21992, carries a CVSS score of 9.8 out of a maximum of 10.0.

CVE-2026-21992 affects the following versions -Oracle Identity Manager versions 12.2.1.4.0 and 14.1.2.1.0Oracle Web Services Manager versions 12.2.1.4.0 and 14.1.2.1.0According to a description of the flaw in the NIST National Vulnerability Database (NVD), it's "easily exploitable" and could allow an unauthenticated attacker with network access via HTTP to compromise Oracle Identity Manager and Oracle Web Service…

(Fixed in July 2025)(CVSS score: 8.8) - A vulnerability in Apple WebKit that could result in memory corruption when processing maliciously crafted web content.

(Fixed in December 2025)(CVSS score: 7.8) - A memory corruption vulnerability in Apple's kernel component that could allow a malicious application to cause unexpected changes in memory shared between processes.

(Fixed in December 2025)(CVSS score: 8.8) - A memory corruption vulnerability in Apple's kernel component that could allow a malicious application to cause unexpected system termination or write kernel memory.

(Fixed in December 2025) CVE-2025-32432 (CVSS score: 10.0) - A code injection vulnerability in Craft CMS that could al…

The threat actors behind the supply chain attack targeting the popular Trivy scanner are suspected to be conducting follow-on attacks that have led to the compromise of a large number of npm packages with a previously undocumented self-propagating worm dubbed CanisterWorm.

The name is a reference to the fact that the malware uses an ICP canister, which refers to tamperproof smart contracts on the Internet Computer blockchain, as a dead drop resolver.

The development marks the first publicly documented abuse of an ICP canister for the explicit purpose of fetching the command-and-control (C2) server, Aikido Security researcher Charlie Eriksen said.

The backdoor, as mentioned before, phones th…

The latest incident impacted GitHub Actions "aquasecurity/trivy-action" and "aquasecurity/setup-trivy," which are used to scan Docker container images for vulnerabilities and set up GitHub Actions workflow with a specific version of the scanner, respectively.

"These tags were modified to serve a malicious payload, effectively turning trusted version references into a distribution mechanism for an infostealer."

The payload executes within GitHub Actions runners and aims to extract valuable developer secrets from CI/CD environments, such as SSH keys, credentials for cloud service providers, databases, Git, Docker configurations, Kubernetes tokens, and cryptocurrency wallets.

"Pin GitHub Actio…

No online account is off the table.

If you can no longer access the account at all, go to the platform’s support pages and start the account recovery process.

Online services may ask for suspicious messages and other potential evidence during the reporting and account recovery process.

One-time 2FA recovery codes can help save the day if you lose access to the device to which normal 2FA codes are typically sent.

An email account deserves particular attention.

We provide a technical overview of EDR killers, including vulnerable drivers, in the The technology behind EDR killers section.

The technology behind EDR killersScriptsThe simplest EDR killers don’t rely on vulnerable drivers or other advanced techniques.

Driverless EDR killersFinally, a smaller but growing class of EDR killers achieves its goals without touching the kernel at all.

EDR killers and AIWhile the set of abused vulnerable drivers remains relatively small, the number of distinct user-mode components that are part of modern EDR killers in the wild is growing rapidly.

We outline how the past year saw increasingly commercialized offerings for EDR killers, and showcase how commercial…

Facial recognition is increasingly embedded in everything from airport boarding gates to bank onboarding flows.

The bank's facial recognition and eKYC (know your customer) platform accepted it as a genuine person.

Lastly, Jake added himself to a facial recognition watchlist at a busy train station in London.

The experiments also send a message to vendors of facial recognition systems and anyone responsible for identity verification systems.

The technology behind facial recognition is fragile in ways that matter when someone attempts to subvert it.

For most organizations, however, the more immediate risk plays out in cyberspace and involves all manner of threat actors.

Advanced Persistent Threat (APT) operations involving reconnaissance and initial access run in parallel or closely behind.

ESET researchers have previously documented close links between several Iran-aligned APT actors.

Muddying the waters further, several pro-Russian hacktivist groups have now apparently joined the fray in support of Iran, and there are reports of Iran-linked groups engaging with IABs on Russian cybercrime forums.

Spearphishing attachments and links have long been the most popular initial access techniques among most Iran-aligned APT groups, including …

Across 2025 and 2026, Sednit repeatedly deployed BeardShell together with Covenant, a third major piece of its modern toolkit.

Sednit profileThe Sednit group – also known as APT28, Fancy Bear, Forest Blizzard, or Sofacy – has been operating since at least 2004.

Moreover, because Xagent is a custom toolset used exclusively by the Sednit group for more than six years, we attribute SlimAgent to Sednit with high confidence.

To maintain persistent access to these high-value targets, Sednit systematically deploys another implant alongside BeardShell: Covenant, the final component of its modern arsenal.

Previously, in 2023, Sednit’s Covenant abused the legitimate cloud service pCloud, and in 2024–…

Cybersecurity is one of the few business functions where success is typically quiet.

While the need to prevent disruption is undeniable, justifying the cost of doing so against competing business priorities isn’t always straightforward.

Other parts of the business, especially profit centers, can usually point to visible changes: better sales or shorter time-to-market.

However, a couple of years where your business stayed out of harm’s way tell you little about the following year.

Theory meets realityThe lived security reality is often harsh, especially in perpetually resource-strapped and disproportionately targeted smaller organizations.

We recently caught up with Director of ESET Threat Research Jean-Ian Boutin to talk about the work of his team, and how threat research and intelligence feed into MDR workflows.

What do most small business users gain from ESET Threat Research?

ESET has a threat research team spread across multiple regions; I’m with the team in Montreal, but we have researchers spread across Europe and in the US, too.

As the head of a threat research team, what’s the difference that you see MDR having on customers?

From a threat research standpoint, this is the top advantage, and another key reason to value such visibility is the speed of response.

For the education sector, cybersecurity isn’t just about preserving reputation and minimizing financial damage.

The challenge for education institutions lies partly in the diversity of their adversaries.

How managed detection and response can helpManaged detection and response (MDR) is not a silver bullet solution to these problems.

Your MDR provider must adhere to any regulatory/industry-specific data privacy, residency or retention requirements and/or insurance policy clauses.

But disruption to learning is perhaps the most insidious impact of cyber incidents in the education sector.

In this roundup, Tony looks at how opportunistic threat actors are taking advantage of weak authentication, unmanaged exposure, and popular AI toolsWith the second month of 2026 (almost) behind us, it's time for ESET Chief Security Evangelist Tony Anscombe to look at cybersecurity stories that moved the needle and offered vital lessons over the past four weeks.

Here's Tony's rundown of some of what stood out in February 2026:Threat actors misused commercial generative AI tools to compromise more than 600 FortiGate devices located in 55 countries.

Rather than specific vulnerabilities, the attacks exploited exposed management ports and weak credentials without two-factor authentication, accor…

App permissions are almost like an invisible sentry, governing what type of data and device access your apps get.

What’s the deal with app permissions?

An app permission pop-up is essentially a dialog between your mobile OS and yourself.

Long list of permissions requested by a deceptive loan app back in 2023 (source: ESET Research)Which app permissions should ring alarm bells?

Managing app permissions safelyBefore allowing or blocking, always consider if a permission is necessary for the app in question to do its job.

Generative AI (GenAI) has democratized the creation of deepfake audio and video, to the point where generating a fabricated clip is as easy as pushing a button or two.

Organizations underestimate the deepfake threat at their peril.

How attacks workAs an experiment by ESET Global Security Advisor Jake Moore has also shown, it’s never been easier to launch a deepfake audio attack on your business.

They call the pre-selected target, using GenAI-generated deepfake audio to impersonate the CEO/supplier.

These programs should be updated to include deepfake audio simulations to ensure staff known what to expect, what’s at stake and how to act.

This Android malware also abuses the Accessibility Service to block uninstallation with invisible overlays, captures lockscreen data, records video.

This makes it difficult to automate with fixed scripts traditionally used by Android malware.

Based on these findings, we named the first stage of this malware PromptSpy dropper, and its payload PromptSpy.

9B1723284E3117949879 97CB7E8814EB6014713F mgappm-1.apk Android/Spy.PromptSpy.A Android PromptSpy dropper.

apk Android/Spy.PromptSpy.A Android PromptSpy.

High commission feeA 20% Poshmark commission for items over $15 means users are only too happy to complete deals off the platform.

Although Poshmark will authenticate certain items as part of its value-add services, it only does so for goods over $500.

Off-platform payment scamSimilar to the above, a buyer or seller suggests moving the transaction off Poshmark to avoid paying the 20% commission.

Poshmark support scamsA buyer contacts you with a phishing link purporting to come from Poshmark support claiming there’s a problem with your transaction.

Alternatively, a seller might sell a counterfeit item for just under the $500 threshold, over which Poshmark checks for authenticity.

The pros and cons of social mediaAlthough some would have you believe otherwise, social media is not inherently evil.

But it matters now more than ever, in an age when AI bots are scraping social media content to train large language models (LLMs).

But the correlation is clear, as this is the same period that smartphone and social media penetration surged in the West.

Experts have also claimed that social media can impact young people’s self-esteem, physical health, and quality of sleep.

Before you start a conversation about the pros and cons of your kids sharing selfies online, consider first reining in your “sharenting” behavior.

This is where dedicated leak sites, or data leak sites (DLSs), come in.

How do ransomware groups use data leak sites?

And that is, of course, the point – data leak sites are a coercion tool.

Data leak site of the Medusa ransomwarePressure by designEvery element of a leak site is designed to maximize psychological pressure.

World Leaks data leak siteBeyond extortionSome ransomware-as-a-service (RaaS) operators have expanded what leak sites do.

Relyance AI has announced the commercial availability of Lyo, an autonomous data defense engineer that monitors and secures how AI agents interact with enterprise data.

Provides comprehensive visibility into both AI and non-AI assets, creating a complete map of your technology stack showing how AI systems and data assets interact.

Identity-to-data intelligence: Maps relationships between AI agents and data assets to identify risky combinations.

Identifies which assets house highly sensitive data and monitors how AI agents interact with that data.

Identifies which assets house highly sensitive data and monitors how AI agents interact with that data.

Hadrian has announced the launch of its agentic penetration testing solution, Nova.

By autonomously replicating the methodologies of offensive security professionals, Nova enables organizations to identify and respond to emerging, AI-driven threats with greater speed, precision, and confidence.

“AI-driven automation now allows attackers to weaponize vulnerabilities at machine speed and attackers don’t wait,” says Rogier Fischer, CEO of Hadrian.

Human and AI collaboration: combine machine-scale testing with the expertise of elite hackers, enabling deeper validation, faster iteration, and more reliable results.

combine machine-scale testing with the expertise of elite hackers, enabling deeper…

Tim Nan, CEO of digiDations, says that assumption is the most persistent misconception he encounters when working with security leaders across industries.

The Forum of Incident Response and Security Teams (FIRST) has projected more than 160 new CVEs per day.

Training the SOC alongside testing the infrastructure“Continuous validation turns security into an ongoing training environment,” Nan says.

ATLAS includes TARA AI, which provides real-time payload analysis, detection recommendations, and remediation guidance to accelerate that learning and reduce investigation time.

“We’re working toward systems that incorporate human cognitive functions such as reasoning, adaptation, and decision-makin…

It’s an impressive feat, over a decade after the box was released:Since reset glitching wasn’t possible, Gaasedelen thought some voltage glitching could do the trick.

So, instead of tinkering with the system rest pin(s) the hacker targeted the momentary collapse of the CPU voltage rail.

This was quite a feat, as Gaasedelen couldn’t ‘see’ into the Xbox One, so had to develop new hardware introspection tools.

As a hardware attack against the boot ROM in silicon, Gaasedelen says the attack in unpatchable.

Moreover, Bliss allows access to the security processor so games, firmware, and so on can be decrypted.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Proton Mail Shared User Information with the Police404 Media has a story about Proton Mail giving subscriber data to the Swiss government, who passed the information to the FBI.

It’s metadata—payment information related to a particular account—but still important knowledge.

This sort of thing happens, even to privacy-centric companies like Proton Mail.

Posted on March 20, 2026 at 7:02 AM • 0 Comments

Hacking a Robot VacuumSomeone tries to remote control his own DJI Romo vacuum, and ends up controlling 7,000 of them from all around the world.

The IoT is horribly insecure, but we already knew that.

Posted on March 19, 2026 at 5:47 AM • 1 Comments

Meta’s AI Glasses and PrivacySurprising no one, Meta’s new AI glasses are a privacy disaster.

I’m not sure what can be done here.

This is a technology that will exist, whether we like it or not.

Meanwhile, there is a new Android app that detects when there are smart glasses nearby.

Posted on March 18, 2026 at 7:07 AM • 0 Comments

An expensive mistake:Someone jumped at the opportunity to steal $4.4 million in crypto assets after South Korea’s National Tax Service exposed publicly the mnemonic recovery phrase of a seized cryptocurrency wallet.

The funds were stored in a Ledger cold wallet seized in law enforcement raids at 124 high-value tax evaders that resulted in confiscating digital assets worth 8.1 billion won (currently approximately $5.6 million).

When announcing the success of the operation, the agency released photos of a Ledger device, a popular hardware wallet for crypto storage and management.

However, the images also showed a handwritten note of the wallet recovery phrase, which serves as the master key t…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on March 14, 2026 at 12:02 PM • 0 Comments

Friday Squid Blogging: Increased Squid Population in the FalklandsSome good news: squid stocks seem to be recovering in the waters off the Falkland Islands.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Blog moderation policy.

Posted on March 13, 2026 at 5:05 PM • 0 Comments

Since the launch of ChatGPT in 2022, concerns have grown in academia about an “AI brain drain.” Studies point to a sharp rise in university machine-learning and AI researchers moving to industry roles.

That proposition is increasingly attractive to tech firms that are betting that a large number of entry-level and even mid-level engineering jobs will be replaced by AI.

Universities should take precisely the opposite hiring strategy to that of the big tech firms.

Unlike big tech firms, universities should invest in enquiry that challenges authority.

We urge leaders of scientific institutions to reject the growing pay inequality rampant in the upper echelons of AI research.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

The only real alternative is to be bold and invest in a wholly Canadian public AI: an AI model built and funded by Canada for Canadians, as public infrastructure.

With funding from the federal government, a consortium of academic institutions—ETH Zurich, EPFL, and the Swiss National Supercomputing Centre—released the world’s most powerful and fully realized public AI model, Apertus, last September.

The case for public AI rests on both democratic principles and practical benefits.

These decisions will profoundly shape society as AI becomes more pervasive, yet corporate AI makes them in secret.

What’s needed now is a reorientation away from viewing this as an opportunity to attract private ca…

Jailbreaking the F-35 Fighter JetCountries around the world are becoming increasingly concerned about their dependencies on the US.

If you’ve purchase US-made F-35 fighter jets, you are dependent on the US for software maintenance.

The Dutch Defense Secretary recently said that he could jailbreak the planes to accept third-party software.

Posted on March 10, 2026 at 5:50 AM • 0 Comments

This cross-layer identity desynchronization is the key driver of AirSnitch attacks.

The attacker can be on the same SSID, a separate one, or even a separate network segment tied to the same AP.

It works against small Wi-Fi networks in both homes and offices and large networks in enterprises.

The AirSnitch MitM also puts the attacker in the position to wage attacks against vulnerabilities that may not be patched.

Attackers can also see the external IP addresses hosting webpages being visited and often correlate them with the precise URL.

This is a very weird story about how squid stayed on the menu of Byzantine monks by falling between the cracks of dietary rules.

At Constantinople’s Monastery of Stoudios, the kitchen didn’t answer to appetite.

It answered to the “typikon”: a manual for ensuring that nothing unexpected happened at mealtimes.

Medieval monks, confronted with a creature that was neither fish nor fowl, gave up and let it pass.

In a kitchen governed by prohibitions, the safest ingredient was the one that caused the least disturbance.

The feds say the four botnets — named Aisuru, Kimwolf, JackSkid and Mossad — are responsible for a series of recent record-smashing distributed denial-of-service (DDoS) attacks capable of knocking nearly any target offline.

The government alleges the unnamed people in control of the four botnets used their crime machines to launch hundreds of thousands of DDoS attacks, often demanding extortion payments from victims.

The oldest of the botnets — Aisuru — issued more than 200,000 attacks commands, while JackSkid hurled at least 90,000 attacks.

Aisuru emerged in late 2024, and by mid-2025 it was launching record-breaking DDoS attacks as it rapidly infected new IoT devices.

That disclosure help…

A hacktivist group with links to Iran’s intelligence agencies is claiming responsibility for a data-wiping attack against Stryker, a global medical technology company based in Michigan.

Meanwhile, a voicemail message at Stryker’s main U.S. headquarters says the company is currently experiencing a building emergency.

In a lengthy statement posted to Telegram, an Iranian hacktivist group known as Handala (a.k.a.

Palo Alto says Handala surfaced in late 2023 and is assessed as one of several online personas maintained by Void Manticore, a MOIS-affiliated actor.

The security firm said Handala also has taken credit for recent attacks against fuel systems in Jordan and an Israeli energy exploratio…

Microsoft Corp. today pushed security updates to fix at least 77 vulnerabilities in its Windows operating systems and other software.

It would hardly be a proper Patch Tuesday without at least one critical Microsoft Office exploit, and this month doesn’t disappoint.

Ben McCarthy, lead cyber security engineer at Immersive, called attention to CVE-2026-21536, a critical remote code execution bug in a component called the Microsoft Devices Pricing Program.

Microsoft has already resolved the issue on their end, and fixing it requires no action on the part of Windows users.

For a complete breakdown of all the patches Microsoft released today, check out the SANS Internet Storm Center’s Patch Tues…

The new hotness in AI-based assistants — OpenClaw (formerly known as ClawdBot and Moltbot) — has seen rapid adoption since its release in November 2025.

“The testimonials are remarkable,” the AI security firm Snyk observed.

WHEN AI INSTALLS AIOne of the core tenets of securing AI agents involves carefully isolating them so that the operator can fully control who and what gets to talk to their AI assistant.

Probably the best known (and most bizarre) example is Moltbook, where a developer told an AI agent running on OpenClaw to build him a Reddit-like platform for AI agents.

Claude Code Security is a legitimate signal that AI is reshaping parts of the security landscape.

In early January 2026, KrebsOnSecurity revealed how a security researcher disclosed a vulnerability that was used to build Kimwolf, the world’s largest and most disruptive botnet.

Dort was an extremely active player in the Microsoft game Minecraft who gained notoriety for their “Dortware” software that helped players cheat.

Dort also used the nickname DortDev, an identity that was active in March 2022 on the chat server for the prolific cybercrime group known as LAPSUS$.

Dort peddled a service for registering temporary email addresses, as well as “Dortsolver,” code that could bypass various CAPTCHA services designed to prevent automated account abuse.

The breach tracking service Constella I…

Most phishing websites are little more than static copies of login pages for popular online destinations, and they are often quickly taken down by anti-abuse activists and security firms.

Enter Starkiller, a new phishing service that dynamically loads a live copy of the target login page and records everything the user types, proxying the data to the legitimate site and back to the victim.

According to an analysis of Starkiller by the security firm Abnormal AI, the service lets customers select a brand to impersonate (e.g., Apple, Facebook, Google, Microsoft et.

“Starkiller represents a significant escalation in phishing infrastructure, reflecting a broader trend toward commoditized, enterp…

I2P users started reporting disruptions in the network around the same time the Kimwolf botmasters began relying on it to evade takedown attempts against the botnet’s control servers.

I2P is a decentralized, privacy-focused network that allows people to communicate and share information anonymously.

However, Lance James, founder of the New York City based cybersecurity consultancy Unit 221B and the original founder of I2P, told KrebsOnSecurity the entire I2P network now consists of between 15,000 and 20,000 devices on any given day.

Brundage said the Kimwolf operator(s) have been trying to build a command and control network that can’t easily be taken down by security companies and network …

The zero-day flaw CVE-2026-21513 is a security bypass bug targeting MSHTML, the proprietary engine of the default Web browser in Windows.

CVE-2026-21514 is a related security feature bypass in Microsoft Word.

The zero-day CVE-2026-21533 allows local attackers to elevate their user privileges to “SYSTEM” level access in Windows Remote Desktop Services.

Chris Goettl at Ivanti reminds us Microsoft has issued several out-of-band security updates since January’s Patch Tuesday.

On January 26, Microsoft patched a zero-day security feature bypass vulnerability (CVE-2026-21509) in Microsoft Office.

A prolific data ransom gang that calls itself Scattered Lapsus Shiny Hunters (SLSH) has a distinctive playbook when it seeks to extort payment from victim firms: Harassing, threatening and even swatting executives and their families, all while notifying journalists and regulators about the extent of the intrusion.

Some victims reportedly are paying — perhaps as much to contain the stolen data as to stop the escalating personal attacks.

That’s according to Allison Nixon, director of research at the New York City based security consultancy Unit 221.

Nixon said Com-based extortion groups tend to instigate feuds and drama between group members, leading to lying, betrayals, credibility destroyin…

The FBI said Badbox 2.0 was discovered after the original Badbox campaign was disrupted in 2024.

KrebsOnSecurity was initially skeptical of the claim that the Kimwolf botmasters had hacked the Badbox 2.0 botnet.

]net, a domain that was flagged in a March 2025 report by HUMAN Security as one of several dozen sites tied to the distribution and management of the Badbox 2.0 botnet.

However, the source of that Badbox 2.0 screenshot said the Kimwolf botmasters had an ace up their sleeve the whole time: Secret access to the Badbox 2.0 botnet control panel.

The source said it isn’t clear how Dort gained access to the Badbox botnet panel.

Kimwolf grew rapidly in the waning months of 2025 by tricking various “residential proxy” services into relaying malicious commands to devices on the local networks of those proxy endpoints.

Kimwolf mainly targeted proxies from IPIDEA, a Chinese service that has millions of proxy endpoints for rent on any given week.

The Kimwolf operators discovered they could forward malicious commands to the internal networks of IPIDEA proxy endpoints, and then programmatically scan for and infect other vulnerable devices on each endpoint’s local network.

Kimwolf’s close association with residential proxy networks and compromised Android TV boxes might suggest we’d find relatively few infections on corpor…

Microsoft today issued patches to plug at least 113 security holes in its various Windows operating systems and supported software.

“Today’s Windows patches remove agrsm64.sys and agrsm.sys.

This security feature is designed to protect against threats like rootkits and bootkits, and it relies on a set of certificates that are set to expire in June 2026 and October 2026.

Once these 2011 certificates expire, Windows devices that do not have the new 2023 certificates can no longer receive Secure Boot security fixes.

Windows admins should keep an eye on askwoody.com for any news about patches that don’t quite play nice with everything.

XLab said it suspected since October that Kimwolf and Aisuru had the same author(s) and operators, based in part on shared code changes over time.

In late October 2025, Brundage shared that the people selling various proxy services which benefitted from the Aisuru and Kimwolf botnets were doing so at a new Discord server called resi[.]to.

]to Discord channel would periodically post new IP addresses that were responsible for proxying traffic over the Kimwolf botnet.

All told, Synthient said it tracked at least seven static Resi Rack IP addresses connected to Kimwolf proxy infrastructure between October and December 2025.

]to Discord server vanished, Synthient’s website was hit with a DDoS at…

The most typical of these uninvited guests are small programs that turn the device into a residential proxy node that is resold to others.

Brundage says Kimwolf grew rapidly by abusing a glaring vulnerability in many of the world’s largest residential proxy services.

Kilmer said one model of unsanctioned Android TV boxes that is especially popular — the Superbox, which we profiled in November’s Is Your Android TV Streaming Box Part of a Botnet?

At that point, your home’s public IP address will show up for rent at the website of some residential proxy provider.

Brundage also has compiled a list of the unofficial Android TV boxes that are most highly represented in the Kimwolf botnet.

Pedestrians crossing a street in Denver, Colorado, got rather more than they bargained for last weekend, when the audio signals at two crosswalks began broadcasting a political message alongside their usual walking instructions.

"The walk signal is on, f*** Trump.

Passwords on the affected crosswalks have since been changed, and police say that they are investigating the matter.

After all, the audio of a crosswalk is something that people who are blind or are visually impaired depend upon for their safety.

Default passwords have plagued all manner of technology, including crosswalks and other roadside infrastructure in the past.

A ransomware gang that claims to be a group of "investigative journalists"? Meet LeakNet - the group using fake CAPTCHA pages to trick employees into hacking themselves. Read more in my article on the Fortra blog.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

Not because the city council suddenly decided to embrace generosity - but rather because hackers succeeded in knocking the city's payment system offline.

According to a Telegram post by local authorities, a "large-scale cyberattack" hit Perm's automated parking system, overwhelming the systems used to process parking payments.

In its post officials blamed the shutdown of the permparking.ru portal and other associated payment systems on a "massive DDoS attack."

In this way, systems can be overwhelmed and unable to process legitimate requests - such as, in this case, parking payments.

This certainly is not the first time that "smart" parking meters have attracted the attention of cybercrimina…

If you're in the middle of applying for a planning or zoning permit, there is some unwelcome news: cyber-criminals have found a way to exploit the bureaucratic tedium of the process against you. Read more in my article on the Fortra blog.

The problem is not with Signal itself, but rather with its users being tricked into handing over the keys to their accounts.

The hacking campaign uses two main techniques, neither of which requires exploiting any vulnerability in Signal or WhatsApp.

As Signal explained in its post, targeted victims receive an in-app message which purports to come from "Signal Security Support Chatbot", or a similar official-sounding account.

The reality is that scanning the QR code links the attacker's device to the victim's account, allowing their conversations to be monitored surreptitiously.

And if someone contacts you claiming to be the "Signal Security Support Chatbot" - well, they're an attacker.

All this, and much more, in episode 458 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Tricia Howard.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

X, Elon Musk's social media site that many people (me included) still prefer to call Twitter, has told British MPs that it suspended 800 million accounts in 2024 for breaching its rules on platform manipulation and spam.

The "massive" 800 million suspensions in 2024 covered accounts breaching X's rules on platform manipulation and spam, although the company declined to break down how many of those related specifically to interference by foreign powers.

Fernández confirmed to MPs that manipulation attempts had not subsided, with "several hundred million accounts" having been taken down in just the latter part of 2024.

The problem does not seem to be going away, and the site's approach to han…

Tycoon 2FA's key trick was how it could bypass MFA by sitting between the victim and the legitimate service.

A fake website that looked identical to the real one doesn't just collect a victim's login credentials - it immediately forwards them to the real site in real time, acting as a transparent proxy.

When the victim enters their one-time-password on the fake site, it is forwarded to the real site before it expires, and the attack gains a fully-authenticated session.

Meanwhile, law enforcement authorities in Latvia, Lithuania, Portugal, Poland, Spain, and the UK also seized infrastructure used by the criminal operation.

Obviously it's a good thing that one of the most dangerous phishing p…

All this, and much more, in episode 457 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Carl Miller.

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

South Korea's National Tax Service (NTS) has found itself in the middle of a deeply embarrassing — and costly — blunder after accidentally handing thieves the master key to a seized cryptocurrency wallet.

Publishing the access key in a press release, in plain sight for the entire world to see.

This seed phrase is the 12-to-24 word sequence that functions as the master key for a cryptocurrency wallet.

For those unfamiliar with how hardware wallets work, the mnemonic (or seed) phrase is essentially your wallet's ultimate password.

The moment a seed phrase is exposed, the offline protection is weaker than tissue paper.

A new report claims that the cost of insider security incidents has surged 20% in two years, reaching an average of US $19.5 million per organization annually, with no sign that the alarming figure is flattening. Read more in my article on the Fortra blog.

There is a certain poetic justice in a cybersecurity-related story that has emerged from Moscow this week: A man has been accused of trying to extort money... from a notorious Russian ransomware gang.

Conti, one of the world's most infamous cybercriminal operations, was allegedly the victim of an attempted scam by someone pretending to be an officer of Russia's Federal Security Service (FSB).

The irony that a ransomware group with a history of extorting money from hacked organisations was itself being extorted is surely not lost on anybody.

That data reinforced long-standing suspicions that the Conti group deliberately avoided Russian targets, and aligned itself with the interests of the Kr…

All this, a surprisingly zen Pick of the Week, and a gloriously splenetic rant against web forms, on episode 456 of the award-winning “Smashing Security” podcast, with cybersecurity veteran Graham Cluley and special guest Paul Ducklin.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

If you did, maybe you're one of those who were sat at your sofa fuming about Ring camera's TV ad.

In the ad, a family's dog goes missing, and Ring cameras across the neighbourhood scan their footage in search of the animal.

Ring probably hoped that the ad would sell the "Search Party" feature in a heartwarming way.

Others posted videos of themselves destroying their Ring devices in protest, and online forums were ablaze with discussions about data ownership and consent.

Instead, any winner of the bounty will need to demonstrate a method that allows affected Ring cameras to operate locally and redirect footage to the owner's own computer or server, without transmitting video footage to Amazo…

Рассказываем, как работает новая мошенническая схема и как на нее не попасться.

А как их используют мошенники?

Они создают опрос, вставляют в его тело ссылки на мошеннические сайты, а затем рассылают письма со ссылкой на этот опрос по своей базе адресатов.

Они не платят сервису за продвижение, не используют его таргетинг, а рассылают ссылку на опрос по своей собственной базе.

Как не попасться на удочкуНе доверяйте «надежным доменным именам» в ссылках безоговорочно — com или forms.gle в адресной строке еще не гарантируют безопасность содержимого.

В данном исследовании эксперты фокусировались не на том, как происходит заражение шпионским ПО, а на том, как вредоносная программа ведет себя после компрометации устройства.

Самой интересной находкой стали механизмы, с помощью которых трояну удается скрывать индикаторы использования камеры и микрофона в системе iOS и благодаря этому вести скрытое наблюдение за пользователем зараженного устройства.

В нашем посте сегодня расскажем о том, что представляет собой шпионское ПО Predator, как устроена система индикаторов использования камеры и микрофона в iOS и каким образом зловреду удается их отключать.

Как работает система индикаторов камеры и микрофона в iOSЧтобы понять, каким образом Predator…

Разумеется, бессмысленные пакеты в реестре появлялись и раньше, но в данном случае были найдены десятки тысяч не имеющих полезной функции модулей, единственный смысл которых заключался в добавлении совершенно ненужных зависимостей в проекты.

В именах пакетов фигурировали произвольно вставленные названия индонезийских блюд и связанных с кулинарией терминов (например, bakso, sate и rendang), из-за чего кампания и получила наименование IndonesianFoods.

Непонятно точно, что нужно искать, чтобы перепутать имя с названием индонезийского блюда, но в исходном исследовании пишут о том, что как минимум 11 пользователей NPM как-то включили пакеты в свои проекты.

В небольшую часть мусорных пакетов был …

Обход блокировок, которого нетРанее мы уже рассказывали о том, как злоумышленники шантажировали YouTube-блогеров, заставляя их распространять вредоносное ПО под видом программ обхода блокировок.

FixIt — это чистая приманка, и единственное предназначение этой «утилиты» — заставить вас скачать архив с вредоносом и самостоятельно установить его себе на компьютер с помощью BAT-файла.

Кампания использует YouTube по уже знакомой схеме.

Пока жертва тестирует разные варианты и нетерпеливо смотрит на прогресс-бар «инсталляции утилиты», на ее компьютер устанавливаются сразу две вредоносные программы: стилер Arcane и майнер криптовалюты Monero, транзакции которой труднее отследить.

Что крадет стилер A…

Чем чреваты два месяца непрерывного общения с ИИПосле трагедии отец Джонатана нашел на его компьютере полную транскрипцию общения сына с Gemini за последние два месяца.

Обучаясь на миллиардах текстов, доступных в Сети, они сталкиваются и с теми романами, фанфиками и драмами, где сюжеты часто граничат с паранойей, шизофренией и безумием.

В Google ожидаемо ответили, что «Gemini разработан так, чтобы не поощрять насилие в реальной жизни и не предлагать членовредительство.

Общение с ИИ, которое для кого-то окажется просто невинным развлечением и способам скоротать время, другой может воспринять как чудо, откровение или любовь всей жизни.

Как защитить себя и близкихКонечно, все это не повод отка…

Если жертвы ищут инструменты под macOS, то в качестве вредоносной нагрузки выступает тот же AMOS, а если под Windows — инфостилер Amatera.

А это значит, что подобные кампании несут угрозу не только для домашнего пользователя, но и для организаций.

Дело в том, что ассистента для кодинга Claude Code, как и агента для автоматизации рабочих задач OpenClaw достаточно часто используют сотрудники компаний.

Вредоносная нагрузкаТочно так же, как и в случае с оригинальным Claude Code, команда для macOS пытается через консольную утилиту curl установить приложение.

Она устанавливает инфостилер Amatera, который собирает данные браузера и криптокошельков и информацию папки пользователя и отправляет данны…

В одной кампании троян маскировался под официальное приложение для получения госуслуг в Бразилии, INSS Reembolso, в другой — под приложение Starlink.

Перед расшифровкой и переходом к следующим этапам заражения он проверяет, что находится на реальном смартфоне и в нужной стране.

BeatBanker прекращает работу, если найдет любые несоответствия или обнаружит себя на эмуляторе или в среде для анализа приложений.

Кстати, фальшивый «загрузчик обновлений» вообще загружает модули прямо в оперативную память, чтобы не создавать в смартфоне файлов, видимых защитному ПО.

Затем они активируют майнинг, но отключают эту функцию, если смартфон перегрелся, сильно разрядился или в данный момент им активно поль…

Другая проблема — локальное хранение данных с правами на чтение для любого приложения на устройстве.

Полтора года без патчей — и это для приложения, в котором хранятся журналы настроения, записи о сеансах терапии и графики приема лекарств.

Распространяется ли политика обработки данных не только на сайт, но и на приложение?

Распространяется ли политика обработки данных не только на сайт, но и на приложение?

Если вы не готовы, чтобы это прочитал случайный человек из Интернета, — то, наверное, не стоит записывать это в приложение с полутора сотнями уязвимостей, не обновлявшееся с позапрошлого года.

В этом посте еще раз разберем, что собой представляет атака browser-in-the-browser, покажем, как злоумышленники ее применяют, и, главное, объясним, как не стать жертвой.

Что такое атака «Браузер в браузере» (browser-in-the-browser, BitB)Для начала давайте вспомним, что же придумал mr.d0x.

Как не стать жертвойПрименение интернет-мошенниками атаки «браузер в браузере» в очередной раз демонстрирует, что используемые ими методы и уловки постоянно меняются.

Что представляют собой ключи доступа и как начать ими пользоваться, вы можете узнать из нашего подробного поста о данной технологии.

Что представляют собой ключи доступа и как начать ими пользоваться, вы можете узнать из нашего подробного пос…

Наши эксперты GReAT обнаружили в нем уязвимость CVE-2026-3102, которая проявляется при обработке вредоносного файла изображения (например, PNG), содержащего в метаданных команды оболочки.

При обработке такого файла с помощью ExifTool на macOS команда срабатывает, и на компьютере выполняются действия, задуманные злоумышленником, — например, загрузка и запуск вредоносного ПО с внешнего сервера.

В крупных библиотеках, издательствах и компаниях, занимающихся аналитикой изображений, ExifTool зачастую используется в автоматизированном режиме, его вызывают из написанных в организации приложений и скриптов.

Как защититься от уязвимости в ExifToolИсследователи GReAT сообщили об уязвимости автору Exi…

И еще один полезный для экспертов инструмент — для работы с локальной версией KTAE наши эксперты сделали плагин к популярному средству дизассемблирования — IDA Pro, доступный совершенно бесплатно.

Зачем нужен плагин атрибуции для дизассемблераДежурный аналитик для атрибуции найденного в инфраструктуре вредоносного файла просто загрузит его в сервис KTAE (будь то облачный или локальный) и получит вердикт: Manuscrypt (83%).

Для работы плагина нужно иметь IDA Pro (IDA Free, к сожалению, не подходит, поскольку не поддерживает Python-плагины).

К слову, это далеко не единственный плагин для IDA Pro, разработанный нашими экспертами Глобального центра исследований и анализа угроз (GReAT) для облегч…

Как отключить ИИ в Google Docs, Gmail, Google WorkspaceФункции ИИ-ассистента в почте и документах Google объединены под общим названием «умные функции».

Как отключить ИИ-обзоры в поиске GoogleУстранить ИИ-обзоры в результатах поиска можно как на компьютерах, так и на смартфонах, включая iPhone, и рецепт везде одинаков.

Можете также изучить нашу подробную инструкцию, как отключить и полностью удалить Microsoft Recall.

Как отключить ИИ в «Блокноте» и контекстных действиях WindowsИИ можно обнаружить во всех уголках Windows, включая «Проводник» и «Блокнот».

Как отключить ИИ в macOS и iOSВстроенные в платформу Apple ИИ-функции называются Apple Intelligence и отключаются максимально прямолинейно …

Суть атак с применением ClickFix сводится к тому, что жертву под разными предлогами убеждают выполнить вредоносную команду на собственном компьютере.

То есть с точки зрения защитных решений запускается она от лица активного пользователя и с его привилегиями.

В настоящее время протокол почти не используется, но поддерживается как в Windows, так и в macOS, а также в ряде систем на базе Linux.

Он применялся в атаке на пользователей, пытающихся найти инструмент для блокировки рекламных баннеров, трекеров, зловредов и другого нежелательного контента на веб-страницах.

Как защитить компанию от ClickFix-атакОт простейших атак, использующих технику ClickFix, можно защититься, заблокировав на рабочих…

Смогли добраться до чужого сервера SharePoint — рассылают через него; не смогли — отправляют уведомления через какой-нибудь бесплатный сервис, например через GetShared.

На этот раз дошла очередь до сервиса Google Задачи (Google Tasks).

Как выглядит фишинг через Google ЗадачиАдресат получает легитимную нотификацию с адреса @google.com с сообщением «у вас новая задача».

По сути, злоумышленники пытаются создать у жертвы впечатление, что в компании начали использовать трекер задач от Google, в связи с чем нужно незамедлительно пройти по ссылке и заполнить форму подтверждения сотрудника.

Автоматизировать процесс обучения сотрудников и поддержания их уровня осведомленности о современных киберугро…

Схема особенно коварна потому, что мини-приложения в Telegram модерируются лишь постфактум, если на них вообще поступают жалобы.

Срочно зайдите в раздел Настройки → Устройства в Telegram и завершите все остальные сеансы, а затем прочитайте нашу пошаговую инструкцию о том, что делать при угоне аккаунта Telegram и как восстановить к нему доступ.

В комментариях крупных каналов и в групповых чатах злоумышленники рассказывают о версии Telegram, которая якобы уже сейчас работает без замедлений.

Проверьте активные сеансыВ мобильной версии Telegram перейдите в Настройки → Устройства → Активные сеансы, в версии для десктопов — в Настройки → Активные сессии.

С недавних пор passkeys доступа можно подк…

Meet Cisco Talos Incident Response, or Talos IR – our frontline response team.

Talos IR works holidays, weekends, and through the night because someone on the other end of that call is counting on us.

The threats responders see in the field today become the protections in Cisco products tomorrow.

Different perspectives, same missionAsk a Talos IR team member why they do this work and you will get different answers.

Unlike many security roles, incident responders build deep connections with the people they help.

Part 2 is about the uncomfortable reality that our identity systems are unprepared for what’s already here.

The Attacks from Part 1 Were Identity FailuresEvery major attack examined in Part 1 was, at its core, an identity problem.

Every one expands the potential damage of a security breach, and our identity systems were not built for this.

What Workload Identity Gets Right — And Where It Falls ShortThe security industry’s answer to machine identity is SPIFFE, and SPIRE, a standard that gives every workload a cryptographic identity card.

Today’s workload identity systems typically assign the same identity to every copy of an application when instances are functionally identical.

But identity-based access control?

It brings Cisco’s proven identity and segmentation principles into a form factor purpose-built for Meraki-managed networks—delivering identity-based access control without enterprise-level operational burden.

It delivers identity-based access control as a cloud-native SaaS solution built directly into the Meraki Dashboard.

Experience It for YourselfCisco Access Manager is licensed as a subscription, aligned with Cisco’s SaaS model.

For a limited time Cisco Access Manager is available through a See, Try, Buy offer designed to eliminate adoption risk.

You can test drive these capabilities today with Secure Firewall Test Drive, an instructor-led course that will guide you through the Secure Firewall and its powerful roles in cybersecurity for your organization.

With the release of Cisco Secure Firewall version 10.0, expanded protections covering SQL injection attacks, Command Injection attacks, Cross-Site Scripting exploits are now available.

Cisco Secure Firewall version 10.0 ties DNS filtering to SGTs, enabling seamless and accurate policy application as the user moves across networks.

Cisco Secure Firewall version 10.0 brings new capabilities for clustered firewall configurations, allowing identification of portscan attempts even if th…

In support of this model, Orange Business has certified Cisco Catalyst SD-WAN Next-Generation Firewall (NGFW) capabilities as part of its Orange Flexible SD-WAN managed service.

Rather than treating networking and security as separate solutions, Catalyst SD-WAN enables partners like Orange Business to deliver an integrated service model built on consistent policy enforcement, visibility, and security across distributed environments.

Built-in security capabilities powered by Catalyst SD-WANCatalyst SD-WAN embeds security directly into the WAN fabric, enabling partners like Orange Business to deliver robust, enterprise-grade managed security without added complexity.

Learn more about how you …

As discussed in Peter Bailey’s recent LinkedIn post, the security conversation is shifting toward protecting the infrastructure software that underpins everything else.

Security agencies have warned that threat actors actively exploit vulnerabilities in network infrastructure devices to gain and maintain persistent access.

The exposure window CISOs can’t ignoreOne of the structural challenges in securing networking infrastructure is patch velocity.

Threat intelligence research has shown that vulnerabilities in network infrastructure are frequently exploited rapidly after disclosure, while remediation may take 30 days or more.

With eBPF at its core and Cisco’s networking leadership as its pl…

To address this reality, Cisco is expanding the remote browser isolation (RBI) capability of Cisco Secure Access with advanced isolation controls.

Introducing Advanced Isolation Controls in Cisco Secure AccessRBI advanced isolation controls in Cisco Secure Access extend policy enforcement into how users interact with web-based content.

By keeping policy enforcement within isolation, organizations may reduce tools for data protection, browser control, and end point enforcement.

RBI advanced isolation controls represent a natural next step, building on a proven isolation foundation to deliver practical, policy-driven protection at the last mile.

Read the Secure Access e-book or join a Secure …

While organizations have made significant progress securing their email domains with DMARC, attackers are exploiting an adjacent, less-defended surface: social media.

Why social media is the next impersonation frontierUnlike domain-based attacks, which require registering infrastructure and hosting phishing pages, social media impersonation is operationally simple.

Now, Brand Trust’s newest add-on, Social Media Monitoring, is now available through Cisco.

This gives Cisco customers the ability to detect and respond to fraudulent social media profiles that impersonate their company or executives.

For more information on domain protection and Social Media Monitoring, please visit Red Sift’s Ci…

Building on the lessons learned in the Security Operations Center (SOC) at major events, we challenged ourselves to build something new at Cisco Live Amsterdam 2026, a closed-loop integration with Cisco XDR and Splunk Enterprise Security.

The Splunk Security Product Labs team worked to utilize the power of the Cisco XDR correlation engine, to bring Splunk ES Risk index logs as Sources into the XDR Data Analytics Platform.

The integration between Cisco XDR and Splunk ES delivers a seamless experience for security operations teams by combining native XDR detections with Splunk’s extensive data backend and custom OCSF detections.

Key factors enabling this rapid setup included:Pre-validated Dat…

The Challenge of Encrypted Traffic InspectionTraffic inspection remains one of the most critical capabilities in modern firewall systems.

This is where Encrypted Visibility Engine (EVE) becomes a gamechanger, providing valuable insight into encrypted connections without requiring decryption.

What is Encrypted Visibility Engine?

This enables visibility into the source process by generating encrypted connections, a capability traditionally limited to endpoint antivirus and anti-malware software.

Without Encrypted Visibility Engine, this connection would have succeeded unnoticed by a security analyst.

During Cisco Live EMEA we noticed a variety of AI tools being used across the network.

To better understand which AI tools are the most popular I decided to dig into DNS data.

First, we queried DNS events categorized under Secure Access’ Generative AI classification to identify emerging and long-tail AI-related destinations.

This allowed us to discover AI services beyond well-known platforms and understand broader generative AI adoption trends.

Here is the Splunk query and the results specifically searching for Umbrella DNS events that have been categorized as Generative AI.

At Cisco Live EMEA in Amsterdam, we deployed an innovative and fully integrated security architecture, combining multiple technologies and products to deliver comprehensive protection for such a large-scale event.

As part of this innovation, we introduced the newly released Cisco Security Foundation AI Reasoning model, integrated into the security ecosystem through Cisco XDR.

In the SOCs at Cisco Live and Black Hat, we integrated Foundation via a workflow and playbook within Cisco XDR.

Cisco Live security analysts saw firsthand how embedding the Foundation AI model into their incident workflows enhanced speed, accuracy, and decision-making across the Security Operations Center.

Cisco Securi…

The Oosterscheldekering is a unique storm surge barrier designed to stay open to allow the natural tide to flow, preserving the ecosystem.

But the moment a storm surge is detected, its massive gates drop to protect the land.

The Oosterscheldekering is a unique storm surge barrier designed to stay open to allow the natural tide to flow, preserving the ecosystem.

But the moment a storm surge is detected, its massive gates drop to protect the land.

Splunk & Splunk ES: Since the acquisition, the synergy between Cisco XDR and Splunk Enterprise Security (ES) has become our North Star.

Excerpt: CTI-REALM is Microsoft’s open-source benchmark for evaluating AI agents on real-world detection engineering—turning cyber threat intelligence (CTI) into validated detections.

That’s why Microsoft is committed to AI model diversity and to helping defenders apply the latest AI responsibly.

CTI-REALM (Cyber Threat Real World Evaluation and LLM Benchmarking) is Microsoft’s open-source benchmark that evaluates AI agents on end-to-end detection engineering.

Building on work like ExCyTIn-Bench, which evaluates agents on threat investigation, CTI-REALM extends the scope to the next stage of the security workflow: detection rule generation.

For complete details around techniques and results…

To truly secure agentic AI, we must secure foundations—the systems that agentic AI is built and runs on and the people who are developing and using AI.

Gain visibility into risks across your enterpriseAs AI adoption accelerates, so does the need for comprehensive and continuous visibility into AI risks across your environment—from agents to AI apps and services.

Entra Internet Access Shadow AI Detection uses the network layer to identify previously unknown AI applications and surface unmanaged AI usage that might otherwise go undetected.

Generally available March 31.uses the network layer to identify previously unknown AI applications and surface unmanaged AI usage that might otherwise go u…

To truly secure agentic AI, we must secure foundations—the systems that agentic AI is built and runs on and the people who are developing and using AI.

Gain visibility into risks across your enterpriseAs AI adoption accelerates, so does the need for comprehensive and continuous visibility into AI risks across your environment—from agents to AI apps and services.

Entra Internet Access Shadow AI Detection uses the network layer to identify previously unknown AI applications and surface unmanaged AI usage that might otherwise go undetected.

Generally available March 31.uses the network layer to identify previously unknown AI applications and surface unmanaged AI usage that might otherwise go u…

Zero Trust for AI extends proven Zero Trust principles to the full AI lifecycle—from data ingestion and model training to deployment and agent behavior.

The Zero Trust Assessment evaluates hundreds of controls aligned to Zero Trust principles, informed by learnings from Microsoft’s Secure Future Initiative (SFI).

Zero Trust for AI reference architectureOur new Zero Trust for AI reference architecture (extends our existing Zero Trust reference architecture) shows how policy-driven access controls, continuous verification, monitoring, and governance work together to secure AI systems, while increasing resilience when incidents occur.

Get started:Explore Microsoft’s unique approach to Zero Tru…

In recent months, Microsoft Threat Intelligence identified email campaigns using lures around W-2, tax forms, or similar themes, or posing as government tax agencies, tax services firms, and relevant financial institutions.

Sample campaign phishing emailThe emails were sent through Amazon Simple Email Service (SES) from one of two sender addresses on edud[.

]site Domain Domain hosting email addresses used to send phishing emails in IRS ScreenConnect campaign 2026-02-10 2026-02-10 smartvault[.

]im Domain Domain hosting malicious content in IRS ScreenConnect campaign 2026-02-10 2026-02-10Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the…

Yet many organizations don’t understand the critical importance of observability for AI systems or how to implement effective AI observability.

AI systems are probabilistic by design and make complex decisions about what to do next as they run.

Traditional observability versus AI observabilityObservability of AI systems means the ability to monitor, understand, and troubleshoot what an AI system is doing, end-to-end, from development and evaluation to deployment and operation.

For Microsoft Agent 365 integrations, use the OTel-based Microsoft Agent 365 Observability SDK (in Frontier preview) to emit telemetry into Agent 365 governance workflows.

Benefits for security teamsMaking enterprise …

As organizations adopt AI, security and governance remain core primitives for safe AI transformation and acceleration.

The post New Microsoft Purview innovations for Fabric to safely accelerate your AI transformation appeared first on Microsoft Security Blog.

After a customer reached out for assistance in November 2025, DART uncovered a campaign built on persistent Microsoft Teams voice phishing (vishing), where a threat actor impersonated IT support and targeted multiple employees.

Following two failed attempts, the threat actor ultimately convinced a third user to grant remote access through Quick Assist, enabling the initial compromise of a corporate device.

The team confirmed that the compromise originated from a successful Microsoft Teams voice phishing interaction and immediately prioritized actions to prevent identity or directory-level impact.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedI…

After a customer reached out for assistance in November 2025, DART uncovered a campaign built on persistent Microsoft Teams voice phishing (vishing), where a threat actor impersonated IT support and targeted multiple employees.

Following two failed attempts, the threat actor ultimately convinced a third user to grant remote access through Quick Assist, enabling the initial compromise of a corporate device.

The team confirmed that the compromise originated from a successful Microsoft Teams voice phishing interaction and immediately prioritized actions to prevent identity or directory-level impact.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedI…

]org Domain Initial access domain (GitHub ZIP) ivanti-secure-access[.

]nl Domain Suspect initial access domain sophos-connect[.

]org Domain Suspect initial access domain vpn-fortinet[.

]com Domain Initial access domain (GitHub ZIP) watchguard-vpn[.

]com Domain Suspect initial access domain vpn-connection[.

With the latest Microsoft benchmarking data, we’re sharing what real-world telemetry reveals about how effectively modern email threats are detected, mitigated, and stopped by Microsoft Defender, secure email gateway (SEG) providers, and integrated cloud email security (ICES) solutions.

Post‑delivery malicious catch by Microsoft Defender (November 2025-January 2026), shown across vendors and overall average.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

1Clarity in complexity: New insights for transparent email security, Microsoft.

With the latest Microsoft benchmarking data, we’re sharing what real-world telemetry reveals about how effectively modern email threats are detected, mitigated, and stopped by Microsoft Defender, secure email gateway (SEG) providers, and integrated cloud email security (ICES) solutions.

The recent additions reinforce our belief that email security is strongest when it combines native platform intelligence with specialized partner capabilities, surfaced through a single pane of glass.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

1Clarity in complexi…

This post outlines how to turn your threat-modeling insights into operational defenses by detecting prompt abuse early and responding effectively before it impacts the business.

Understanding prompt abuse in AI systemsPrompt abuse refers to inputs crafted to push an AI system beyond its intended boundary.

AI assistant prompt abuse detection playbookThis playbook guides security teams through detecting, investigating, and responding to AI Assistant tool prompt abuse.

Step 3 – Secure Access AI could attempt to access sensitive documents or automate workflows influenced by hidden instructions.

With the guidance in the AI prompt abuse playbook, teams can put visibility, monitoring, and governan…

This post outlines how to turn your threat-modeling insights into operational defenses by detecting prompt abuse early and responding effectively before it impacts the business.

Understanding prompt abuse in AI systemsPrompt abuse refers to inputs crafted to push an AI system beyond its intended boundary.

AI assistant prompt abuse detection playbookThis playbook guides security teams through detecting, investigating, and responding to AI Assistant tool prompt abuse.

Step 3 – Secure Access AI could attempt to access sensitive documents or automate workflows influenced by hidden instructions.

With the guidance in the AI prompt abuse playbook, teams can put visibility, monitoring, and governan…

Today we're announcing a new program in Chrome to make HTTPS certificates secure against quantum computers.

Instead, Chrome, in collaboration with other partners, is developing an evolution of HTTPS certificates based on Merkle Tree Certificates (MTCs), currently in development in the PLANTS working group.

Since MTC technology shares significant architectural similarities with CT, these operators are uniquely qualified to ensure MTCs are able to get off the ground quickly and successfully.

The Chrome Quantum-resistant Root Program will operate alongside our existing Chrome Root Program to ensure a risk-managed transition that maintains the highest levels of security for all users.

First, we…

For Majik, Scam Detection was the intervention he needed: “The warning is what made me pause and avoid a bad situation”.

As scammers evolve their tactics and create more convincing and personalized threats, we’re using the best of Google AI to stay one step ahead.

Expanding Scam Detection for Calls to Samsung DevicesTo help protect you during phone calls, Scam Detection alerts you if a caller uses speech patterns commonly associated with fraud.

Scam Detection for phone calls on Google Pixel devices is available in the U.S., Australia, Canada, India, Ireland, and the UK.

Powered by Gemini’s on-device model, Scam Detection provides intelligent protection against scam calls while ensuring that…

Upgrading Google Play’s AI-powered, multi-layered user protectionsWe’ve seen a clear impact from these safety efforts on Google Play.

As Android’s built-in defense against malware and unwanted software, Google Play Protect now scans over 350 billion Android apps daily.

This proactive protection constantly checks both Play apps and those from other sources to ensure they are not potentially harmful.

Looking aheadOur top priority remains making Google Play and Android the most trusted app ecosystems for everyone.

Thank you for being part of the Google Play and Android community as we work together to build a safer app ecosystem.

That’s why we're committed to providing multi-layered defenses that help protect you before, during, and after a theft attempt.

Today, we're announcing a powerful set of theft protection feature updates that build on our existing protections, designed to give you greater peace of mind by making your device a much harder target for criminals.

These updates are now available for Android devices running Android 16+.

More User Control for Failed Authentications: In Android 15, we launched Failed Authentication Lock, a feature that automatically locks the device's screen after excessive failed authentication attempts.

This feature is now getting a new dedicated enable/disable toggle in settings,…

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

Our first rust memory safety vulnerability...almost: We'll analyze a near-miss memory safety bug in unsafe Rust: how it happened, how it was mitigated, and steps we're taking to prevent recurrence.

Our First Rust Memory Safety Vulnerability...AlmostWe recently avoided shipping our very first Rust-based memory safety vulnerability: a linear buffer overflow in CrabbyAVIF.

Unsafe Review and TrainingOperating system development requires unsafe code, typically C, C++, or unsafe Rust (for example, for FFI and interacting with hardware), so simply banning unsafe code is not workable.

Dmytro Hrybenko for leading the effort to develop training for unsafe Rust and for providing extensive feedback on …

Survey shows Android users’ confidence in scam protectionsGoogle and YouGov3 surveyed 5,000 smartphone users across the U.S., India, and Brazil about their experiences.

The findings were clear: Android users reported receiving fewer scam texts and felt more confident that their device was keeping them safe.

Android users were 58% more likely than iOS users to say they had not received any scam texts in the week prior to the survey.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

What's worse, many plaintext HTTP connections today are entirely invisible to users, as HTTP sites may immediately redirect to HTTPS sites.

To address this risk, we launched the “Always Use Secure Connections” setting in 2022 as an opt-in option.

We now think the time has come to enable “Always Use Secure Connections” for all users by default.

For more than a decade, Google has published the HTTPS transparency report, which tracks the percentage of navigations in Chrome that use HTTPS.

Since HTTP navigations remain a regular occurrence for most Chrome users, a naive approach to warning on all HTTP navigations would be quite disruptive.

To help accelerate adoption of AI for cybersecurity workflows, we partnered with Airbus at DEF CON 33 to host the GenSec Capture the Flag (CTF), dedicated to human-AI collaboration in cybersecurity.

Our goal was to create a fun, interactive environment, where participants across various skill levels could explore how AI can accelerate their daily cybersecurity workflows.

An overwhelming 85% of all participants found the event useful for learning how AI can be applied to security workflows.

This positive feedback highlights that AI-centric CTFs can play a vital role in speeding up AI education and adoption in the security community.

We are committed to advancing the AI cybersecurity frontier…

This page appears when Google automatically detects requests coming from your computer network which appear to be in violation of the Terms of Service .

The block will expire shortly after those requests stop.

In the meantime, solving the above CAPTCHA will let you continue to use our services.This traffic may have been sent by malicious software, a browser plug-in, or a script that sends automated requests.

If you share your network connection, ask your administrator for help — a different computer using the same IP address may be responsible.

Learn more Sometimes you may be asked to solve the CAPTCHA if you are using advanced terms that robots are known to use, or sending requests very qu…

At Made by Google 2025, we announced that the new Google Pixel 10 phones will support C2PA Content Credentials in Pixel Camera and Google Photos.

Pixel Camera attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

Google Photos attaches Content Credentials to JPEG images that already have Content Credentials and are edited using AI or non-AI tools, and also to any images that are edited using AI tools.

Building a More Trus…