Модель AlphaGenome — генетический ИИ-конструктор стал ещё удивительнее.

Телескоп зафиксировал то, что раньше считалось невозможным.

Учёные вышли за пределы классической физики хранения информации.

Учёные впервые применили выборку бозонов для практической задачи.

Крошечное устройство ловит смертельный газ до того, как человек его вдохнёт.

Мориарти хотел избавиться от Холмса. А уничтожил предсказуемость — заодно подарив нам ценные формулы.

Паспортами, данными и банковскими выписками уже торгуют, как на рынке.

Мошенники знают: отчаявшиеся фанаты платят втридорога и не задают лишних вопросов.

Загружаешь фото — получаешь досье. Когда официальные данные работают против системы.

Пока что телескопы бессильны в загадках прошлого. Но учёные нашли другой выход…

Google отключил машинам интернет и они стали работать даже лучше.

Как баскетбольная команда юниоров стала прикрытием для международной банды.

Анализ недавнего крушения Boeing 787 Dreamliner в Индии похож на то, как реагируют в компаниях после обнаружения следов атаки. Считавшаяся безопасной инфраструктура теперь будет под угрозой, пока не удастся дать объяснение найденным артефактам. Как расследовать инцидент? Пример с лайнером может стать наглядным. ВведениеПочему Boeing 787-8 Dreamliner считался надёжным до момента крушенияВерсии причин крушения Boeing 787: как находят уязвимости в ИБНеобъяснимое в инцидентах: как искать рациональные причины в ИБ и авиацииГаллюцинации ИИ в ИБ и катастрофах: как не сбиться с курса при анализеВыводыВведениеШокирующие кадры 12 июня, когда произошло падение самолета Boeing 787-8 Dreamliner (регистр…

Автоматизированные системы управления технологическими процессами (АСУ ТП) всегда были под прицелом киберпреступников и иностранных спецслужб и в последнее время подвергаются атакам особенно часто.

Эксперты в студии AM LiveУчастники эфира, справа налево:Егор Куликов , руководитель направления безопасности КИИ и АСУ ТП, «К2 Кибербезопасность».

Как изменился ландшафт киберугроз для промышленных предприятий в 2025 году?

Какой главный вызов в обеспечении ИБ промышленных предприятий в 2025 году?

Виталий Сиянов, руководитель отдела развития, ГК «Солар»Будущее ИБ в промышленности: как изменятся подходы к защите АСУ ТП?

Сегодня, когда атаковать могут каждого, к ИБ-инцидентам приходится относиться как к неизбежности.

Эффективный подход к киберустойчивости должен основываться на анализе влияния на бизнес (BIA) и оценке рисков, а не только на соблюдении регуляторных требований.

Сначала необходимо проанализировать приоритеты бизнеса, выявить критически важные услуги и их взаимосвязь, а также оценить потенциальный ущерб.

Завершающий этап — проверка эффективности через настольное тестирование планов и киберучения с вовлечением всей команды, а не только ключевых сотрудников.

В малых организациях важные сервисы можно идентифицировать быстро, тогда как в корпорациях требуется анализ сотен операций.

Кратко об анализаторах исходного кода и принципах их работыРанее мы разбирали, что собой представляют анализаторы исходного кода, их виды и методы работы.

Теперь все доступные в ней языки работают и в Windows, и в Linux.

В целом объем российского рынка безопасной разработки ПО в 2022 году Центр стратегических разработок оценивал в 8,3 млрд рублей.

Отечественные анализаторы исходного кодаПосле ухода иностранных решений рынок анализаторов исходного кода в России начал стремительно развиваться.

Интерфейс Solar appScreenerОсобенности:Поддержка 36 языков программирования, 10 форматов исполняемых файлов и программ-полиглотов, а также бинарного анализа и анализа байт-кода.

Для Linux также существует программное обеспечение практически на все случаи жизни, в том числе предназначенное для решения довольно специфичных и нишевых задач.

3) сочетает как средства, ориентированные на проведение тестирований защищенности и расследования инцидентов, так и инструменты, предназначенные для обеспечения повышенной конфиденциальности и безопасности.

Рабочий стол Astra Linux Special EditionУникальной особенностью Astra Linux является возможность установки не только на компьютеры и ноутбуки, но и мобильные устройства.

Например, для браузера можно создать «куб» с усиленными настройками для проведения финансовых операций и с базовыми для обычного серфинга.

Некоторые, использующ…

И к середине 2023 года организаторы атак подошли к тому, чтобы распространить свои акции в киберпространстве и на интернет-провайдеров.

Распределение целевых атак по отраслям на основе статистики Solar 4RAYSМежду тем, сама возможность таких атак связана с множеством факторов, на первый взгляд, неочевидных.

Основные техники атак на провайдеров: от проникновения до DDoSЗлоумышленники используют в основном две техники при атаках на интернет-провайдеров.

Также в Красногорске находятся довольно значимые предприятия, и атака на крупнейшего провайдера в городе на них неизбежно сказалась бы.

Объявление компании «АйПильсин» с сообщением об атакеСледующим в списке стал оператор «Миранда-медиа», работ…

Чем больше имен, тем чаще ошибкиДоговориться об одинаковых именах для группировок должны были давно.

Подобная атрибуция релевантна разве что для группировок хактивистов.

Например, словом для обозначения китайских группировок в «Лаборатории Касперского» стало Dragons, в Microsoft — Typhoon, в Palo Alto Networks — Tauruses, в CrowdStrike — Pandas, в SecureWorks — BRONZES.

Например, организация MITRE стала регистрировать группировки в своем каталоге под уникальными номерами G[XXX], присваивая очередной номер по мере появления новых участников.

«Элементоподобные» названия группировок (Dragos)Другая известная компания Accenture Cyber Intelligence (ACI) активно использует собственные имена для им…

Для достижения практического результата Positive Technologies разработала собственные стандарты PT Essentials, которые созданы на основе мировых стандартов безопасности и опыта экспертов компании в проведении пентестов.

Стандарты PT Essentials формируются с опорой на 20-летний опыт Positive Technologies, рекомендации вендоров, а также новости информационной безопасности.

Positive Technologies разрабатывает свои стандарты на основе многолетнего опыта проведения пентестов, имитирующих реальные атаки на сеть или приложения организаций из различных отраслей.

Стандарты PT Essentials учитывают актуальные требования к безопасности инфраструктуры, в том числе практики по защите ядра Linux, которые …

Специалисты «ICL Системные технологии» рассказывают об опыте перевода большой организации на продукты UserGate.

Особенно остро встал ключевой вопрос российского ИБ-рынка: какие решения использовать взамен и как обеспечить их совместимость с уже существующей ИТ-инфраструктурой?

Результатом стали десятки страниц схем и описаний:как устроена ЛВС,какие каналы связи используются,где и как подключены системы защиты,как со всем этим взаимодействуют бизнес-приложения.

Реализация проекта: конкурс, пилот и первый успешный этапПроект был вынесен на конкурс, и «ICL Системные технологии» предложила решение, которое оказалось самым точным и взвешенным.

Результаты внедрения: спецификации, защищённые канал…

Рассмотрим какие именно продукты и сервисы резервного копирования и восстановления данных предоставляют вендоры и дистрибьюторы в России.

Postgres Pro Backup EnterpriseУтилита для резервного копирования и восстановления кластеров PostgreSQL и Postgres Pro.

Сервисы резервного копированияВыделим особо предложения по аутсорсингу услуг резервного копирования и восстановления данных, а также отметим облачные сервисы.

«MWS Резервное копирование»Сервис резервного копирования и оперативного восстановления данных разных типов и объёмов от MTS Web Services (MWS).

Сравнение базовых возможностей российских систем резервного копированияПродукт Базовые возможности систем резервного копирования в России Ф…

Описание системы контроля доступа к сети Blazar NAC 1.1Система контроля доступа к сети Blazar NAC 1.1 представляет собой продукт, подходящий для внедрения и использования в рамках политики импортозамещения.

Функции и возможности системы контроля доступа к сети Blazar NAC 1.1Blazar NAC не ограничивается одним лишь мониторингом подключений к корпоративной сети.

Архитектура системы контроля доступа к сети Blazar NAC 1.1Архитектура системы контроля доступа к сети Blazar NAC 1.1 представляет собой многокомпонентную структуру.

Компоненты системы контроля доступа к сети Blazar NAC 1.1Основное меню Blazar NAC 1.1 расположено в левой части интерфейса.

Системные требования системы контроля доступа к …

Однако есть и более тревожная новость для обладателей компьютеров и ноутбуков от Apple: обновление до новой версии macOS 26 (рис.

1), которая анонсирована на Apple Worldwide Developers Conference 2025 9 июня, получили лишь три серии устройств на платформе Intel.

Сначала была миграция с Motorola 68k на PowerPC в 1994 году, затем с PowerPC на Intel в 2006 году.

Вендоры, и Apple в том числе, закрывают все эти бреши, причем довольно оперативно.

Возможность установки Windows, в том числе как единственной операционной системы, была и есть на всех системах Apple архитектуры Intel.

Эксперты рынка разобрали ключевые критерии выбора российского Kubernetes для бизнеса: от технических характеристик и безопасности до поддержки и интеграции с отечественным ПО.

Часто компания одновременно использует несколько разнотипных решений, например, Managed Kubernetes в облаке и своя опенсорс-разработка.

Давид Мэгтон объяснил, почему нельзя сравнивать российские платформы с чистым Kubernetes: последний можно сравнить с двигателем, а платформу — с автомобилем.

Максим Морарь, независимый экспертПрогнозы экспертов по будущему российской контейнеризацииМаксим Ксенофонтов уверен, что в платформы контейнеризации будет внедрён искусственный интеллект.

Миграция на российские платформы контейн…

А также покажем на реальном примере, как системы на базе Linux и KasperskyOS по-разному справляются с киберугрозами.

Фреймворк для разработки операционных систем Genode предлагает методологию по переносу драйверов Linux в системы на его основе.

Инцидент продемонстрировал серьезность угрозы, так как в результате атаки скомпрометированными оказались тысячи государственных и частных организаций по всему миру.

В отличие от мира Windows, где имеется практика подписывания драйверов и их централизованное распространение, в Linux практически единственным эффективным решением оказывается использование харденингов, затрудняющих эксплуатацию.

Благодаря иной организации архитектуры и разделению компоне…

В этой статье расскажу, как интегрировать SELinux в Debian.

SELinux на Debian: реальностьDebian традиционно отдавал предпочтение AppArmor за его простоту и лёгкость интеграции.

Зачем использовать SELinux на Debian?

Заключение: Повышение уровня защиты Debian с SELinuxSELinux предлагает модель безопасности промышленного уровня, которая значительно усиливает защиту Linux‑систем по сравнению с традиционными средствами контроля доступа.

Интеграция SELinux в рабочий процесс Debian обеспечивает:Надёжную защиту от несанкционированного доступа.

Моя цель — помочь заказчику быстро понять, подходит ли продукт под его требования, и потратить на это минимум времени — выделить удобный день на полноценное тестирование и изучение продукта и не ждать подготовку стенда.

Таким образом, испытания по ПМИ целесообразно проводить по результатам проектирования систем защиты под конкретные случаи и на основе практических результатов завершенных «пилотов».

Максимальная унификация образа PT AF и отсутствие постнастройки после развертывания образа — разница в назначаемом инфраструктурном IP-адресе, он же идентифицирует определенный инстанс PT AF.

Виртуальная машина PT AF PRO является внешней для кластера Kubernetes, при этом хотелось упростить сущнос…

Что такое физический размер сенсора и почему он не совпадает с маркетинговыми обозначениями?

Что такое размер сенсора и почему это не так просто.

Например, сенсор с маркировкой 1/2" — это не 12,7 мм (как логично было бы ожидать), а всего около 8 мм по диагонали.

А главное — указанный «размер» сенсора это не его реальная диагональ, а исторический привет из эпохи ламповых телевизоров.

А создание объективов с большим зумом — это не просто «нажал кнопочку и получил приближение», а настоящая инженерная головоломка.

Посмотрим, кто занимается такими проектами и что в целом происходит с квантовыми коммуникациями в мире.

— и в ответ неизменно слышит: "Ещё нет, но скоро".

Компания Microsoft, в свою очередь, анонсировала чип Majorana 1 — и по заявлениям разработчиков, его архитектура якобы способна вместить до миллиона кубитов.

физических кубитов в течение пяти лет, а это — важный майлстоун.

И как бы продолжая эту работу, в начале мая Cisco показали прототип чипа, способного связать несколько квантовых компьютеров в единую сеть.

Какой инструмент мы используем для взаимодействия с операционной системой для ввода команд через командную строку, например, для запуска VPN-соединения?

Какой инструмент используется для проверки соединения с помощью запроса ICMP Echo?

Как называется наиболее распространенный инструмент для поиска открытых портов?

Он используется для реализации текстового терминального интерфейса по сети, т.е.

Это первая статья из серии Starting Point, оставайтесь с нами!

В этой —расскажем историю, что бывает, если вовремя не защитить контейнер, и что делать, чтобы с вами такого не приключилось.

И помогут нам в этом несколько базовых сервисов, которые быстро приходят на помощь, чтобы устроить полную доминацию над уязвимостями в контейнерной инфраструктуре.

Что может произойти, если не использовать инструменты контейнерной безопасности, или как минимум не пройтись по шагам новичка, чтобы себя обезопасить?

Сайт компании, развернутый в контейнере на KubernetesОн получился небольшой и крутиться всего лишь на одном поде.

Регулярно обновляться и делать патчинг: убедиться, что все образы контейнеров и их зависимости регулярно обновляются и патчатся для устранения и…

В этом посте я поделюсь опытом того, как с использованием DevOps практик и CI/CD процессов мы смогли достичь 99.99% аптайма и эффективно обслуживать миллионы запросов в день на платформе almsports.

Инструменты: Мы использовали GitLab CI для автоматизации пайплайнов, где каждый коммит автоматически запускал линты, юнит-тесты и интеграционные тесты.

Ingress Controllers и Load Balancer: Для распределения нагрузки между подами мы использовали NGINX Ingress Controller, который действовал как балансировщик нагрузки.

Сетевые изоляции: Для предотвращения DDoS атак мы использовали Cloudflare для фильтрации трафика и защиты от нежелательных запросов.

Это позволило нам наблюдать за поведением новых фу…

Особенно остро это заметно в области решений сетевой безопасности и в части сетевого оборудования.

Функционал, который ранее покрывался импортными решениями, теперь представлен либо не в полной мере, либо не представлен вовсе.

Результат:Сталкиваемся с необходимостью в сжатые сроки в рамках проектного цикла внедрять изменения как «на бумаге», так и «в полях».

В остальном… Времена изменились, и все, что было построено, спроектировано и введено в эксплуатацию в XX веке шло в ногу со временем, но со своим временем.

В современных условиях необходимо заранее видеть свет в конце туннеля: горизонт планирования должен совпадать со сроком эксплуатации АСУ ТП, а это в среднем 5-10 лет.

Однако, мы решили использовать комбинацию из подходов, и в результате получили более 100 рабочих учеток.

Самым приятным здесь было то, что на стороне сервера создаётся отдельный сетевой интерфейс, что очень сильно упрощает задачу перенаправления трафика.

Здесь очень сильно помогло то, что утилита написана на Go (и я его немного знаю) и что её код хорошо читается.

Теперь всё работало как надо, и мы были готовы к фишинговой рассылке.

Первая ligolo-сессия открыла нам врата во внутреннюю инфраструктуру и мы принялись искать уязвимости и способы повышения привилегий до доменного администратора.

Эксплойты ядра iOS всегда вызывали у меня огромный интерес.

Разрабатывая джейлбрейк для iOS 14 (Apex), я реализовал собственный эксплойт для уязвимости Physpuppet.

Эта работа не была бы возможна без помощи @staturnz, который также писал эксплойт для PhysPuppet для iOS 12 и 13.

У нас есть случайное количество страниц памяти по случайным адресам, часть которых может быть использована ядром под свои нужды.

Весь процесс heap spray выглядит так:Выделяем большое количество объектов IOSurface (они размещаются в памяти ядра).

В пересчете на караты — это не один и не два бриллианта, а целая россыпь.

А уж если речь о земле в пределах Садового кольца… Только вместо сейфа — база данных, а вместо охраны — продуманная ИБ-инфраструктура.

Московское городское бюро технической инвентаризации (МосгорБТИ) — это не просто база данных о недвижимости.

Именно поэтому внутренняя система МосгорБТИ — это не просто информационный реестр, а критически важный элемент городской инфраструктуры.

Ошибка в данных или уязвимость в системе — это не просто баг, а возможный повод для приостановки сделок, имущественных споров или даже уголовных дел.

На прошлой неделе специалисты команды Cisco Talos сообщили о серьезной уязвимости в программном обеспечении ASUS Armoury Crate.

Armoury Crate — универсальная утилита, предназначенная для управления параметрами аппаратного обеспечения, такими как профиль энергопотребления в ноутбуках или параметры подсветки клавиатуры.

Утилита установлена на большом количестве устройств, соответственно, любая серьезная уязвимость в ней теоретически может быть использована для проведения масштабной кибератаки.

Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее.

Организаторы атаки научились встраивать свои номера в…

Специалисты Akamai подробно описали два новых метода, которые могут использоваться для выведения из строя майнинговых ботнетов.

«Мы создали две техники, которые эксплуатируют майнинговые технологии и политики пулов, позволяя снижать эффективность майнинговых ботнетов вплоть до их полного отключения, что вынуждает злоумышленников вносить радикальные изменения в инфраструктуру или вообще прекращать кампании», — пишут эксперты.

Именно он используется, чтобы выдать себя за майнера, подключиться к майнинговому прокси, передать плохие шары и добиться бана прокси.

В этом случае можно эксплуатировать тот факт, что пул может забанить адрес на один час, если тот использует более 1000 воркеров.

В Akam…

Им были предъявлены обвинения в приобретении и хранении электронных средств, предназначенных для неправомерного осуществления перевода денежных средств, совершенных организованной группой (ч.

Однако следствие смогло вменить в вину восьми предполагаемым злоумышленникам лишь два дистанционных хищения средств, к тому же совершенных в США неизвестно у кого, где и на какую сумму.

В итоге удалось обвинить подозреваемых только в махинациях с банковскими картами двух живущих в США мексиканцев.

187 УК РФ), а предполагаемому лидеру группы — жителю Санкт-Петербурга Даниилу Пузыревскому — добавили еще и обвинение по ст.

Следствие сочло, что в упомянутых строках отражены номера банковских карт граждан С…

Но по желанию мож­но было отка­тить­ся на Mac OS 9.2.2 — самую пос­леднюю редак­цию клас­сичес­кой «макоси», вышед­шую в кон­це 2001 года.

Подумав, что на OS X я могу вдо­воль полюбо­вать­ся и на сов­ремен­ном мак­буке, я решил обра­тить­ся к клас­сике.

Про­цес­сы в клас­сичес­кой Mac OS выпол­нялись в общем адресном прос­транс­тве, без какого‑либо механиз­ма раз­гра­ниче­ния.

Mac OS не вме­шива­лась в сам про­цесс перек­лючения задач, не пре­рыва­ла их при­нуди­тель­но и не кон­тро­лиро­вала вре­мя выпол­нения.

С перехо­дом на дру­гие про­цес­соры нуж­но было менять и опе­раци­онную сис­тему — и Apple сде­лала это, добавив под­дер­жку PPC в вер­сии Mac OS 7.1.2.

Проблема заключается в том, что на сайте поддержки компании любой желающий мог открыть тикет, указав лишь произвольный адрес электронной почты и тему письма.

Например «[СРОЧНО]: vault.trezor.guide — Создайте хранилище Trezor прямо сейчас, чтобы защитить активы, которые могу быть под угрозой».

Устройства Trezor представляют собой аппаратные холодные кошельки, которые работают в автономном режиме и требуют физического подтверждения и одобрения транзакций.

Представители Trezor напоминают владельцам устройств, что seed-фразы нельзя раскрывать посторонним ни при каких обстоятельствах.

Также в компании заверили, что уже работают над внедрением защитных мер, которые предотвратят подобные злоупотре…

Из-за возможных проблем с безопасностью Палата представителей Конгресса США запретила устанавливать и использовать WhatsApp на любых устройствах, принадлежащих сотрудникам Конгресса.

При этом служащие Конгресса могут продолжать пользоваться WhatsApp на своих личных устройствах, которые, согласно существующим правилам, нельзя приносить на секретные брифинги и охраняемые объекты.

Палата представителей США (The United States House of Representatives) — это нижняя палата Конгресса США, в которой количество представителей от штатов пропорционально численности их населения.

Главный административный директор Палаты представителей Кэтрин Шпиндор (Catherine Szpindor) подтвердила СМИ, что такое письм…

Атакующие заражают маршрутизаторы кастомным бэкдором ShortLeash, который обеспечивает им скрытый и долгосрочный доступ к скомпрометированным устройствам.

Исследователи отмечают, что при установке бэкдор может генерировать самоподписанные сертификаты TLS, выдавая себя за «LAPD», то есть департамент полиции Лос-Анджелеса.

«Взломанные устройства используются для поддержания скрытой и надежной инфраструктуры, а не для проведения шумных и разрушительных атак.

Они функционируют как гибкая инфраструктура и могут обеспечивать оперативное прикрытие для вредоносной активности.

Скомпрометированные устройства продолжают функционировать как обычно во время кампаний, что может затруднять атрибуцию и обна…

Злоумышленники эксплуатируют критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.

Проблема связана с виджетом Login Register и некорректной валидацией личности пользователя при обновлении пароля, что позволяет неаутентифицированным злоумышленникам изменять пароли администраторов.

Такие запросы содержат недопустимые символы UTF-8 в значении hash_check, что в итоге приводит к некорректному сравнению хешей при сбросе пароля.

@#;rzkkd$SP3znjrn;Kurd@Kurd12123;owm9cpXHAZTk;Получив доступ, злоумышленники входят в панель управления WordPress в качестве администраторов и…

В начале 2025 года исследователи «Лаборатории Касперского» обнаружили в Apple App Store и Google Play троян SparkCat, предназначенный для кражи данных.

Новая малварь распространяется через App Store, Google Play, а также мошеннические и сторонние сайты в составе неофициальной, модифицированной версии TikTok и под видом приложений, связанных с криптовалютами и азартными играми.

В App Store SparkKitty выдавал себя за приложение для отслеживания курсов криптовалют и получения торговых сигналов.

На поддельных страницах, имитирующих официальный магазин приложений для iPhone, зловред распространялся в составе модификаций TikTok и приложений, связанных с азартными играми.

Злоумышленники атаковали …

Далее кло­ниру­ем исходный код LLVM и запус­каем сбор­ку.

h" #include "llvm/ IR/ PassManager.

h" #include "llvm/ IR/ Function.

h" #include "llvm/ IR/ Module.

registerPipelineParsingCallback ( [] ( llvm : : StringRef Name , llvm : : ModulePassManager & MPM , llvm : : ArrayRef < llvm : : PassBuilder : : PipelineElement > ) { if ( Name == "debug-trace" ) { MPM .

СМИ сообщают, что пользователям могут запретить перепрошивать устройства и изменять идентификационные номера (IMEI), привязанные к их номерам.

«Известия» пишут, что новые поправки являются частью объемного законопроекта, направленного на борьбу с киберпреступностью, который сейчас разрабатывается в ведомстве.

Также IMEI меняют владельцы SIM-боксов, использующихся для спам-обзвонов, рассылок и применяющихся в мошеннических контакт-центрах.

Пока в материалах Минцифры не указаны конкретные санкции, которые могут применяться в отношении лиц, меняющих IMEI.

Издание отмечает, что запрет на подмену IMEI согласуется с другими предложениями по борьбе с кибермошенничеством и незаконными манипуляциями.

Разработчики вымогателя Qilin предложили своим партнерам помощь и консультации команды юристов, чтобы те могли оказать давление на жертв и заставить их заплатить выкуп.

Напомним, что шифровальщик Qilin появился еще в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован.

У экспертов есть основания полагать, что сейчас некоторые партнеры RansomHub перешли на использование Qilin, что способствует всплеску активности малвари в последние месяцы.

«Наряду с растущим присутствием на форумах и трекерах активности вымогателей, Qilin обладает технически развитой инфраструктурой.

Однако в Cybereason предостерегают, что Qilin становится одной из доминирующих на RaaS-сцене (rans…

Эксперт Positive Technologies Егор Филатов обнаружил критическую уязвимость в приложении Shortcuts («Быстрые команды»).

Впервые Shortcuts был представлен в macOS Monterey в 2021 году и с тех пор входит в состав Ventura, Sonoma и Sequoia.

До исправления ошибка позволяла атакующему обойти механизмы безопасности macOS и выполнить произвольный код в операционной системе жертвы», — объясняет Егор Филатов, младший специалист группы исследования безопасности мобильных приложений, Positive Technologies.

Уязвимость была найдена в Shortcuts 7.0 (2607.1.3), получила идентификатор BDU:2025-02497 и оценивается в 9,8 балла из 10 по шкале CVSS 3.0.

Если обновить ОС не удается, эксперты советуют внимательн…

Минцифры опубликовало новую версию правил, согласно которым силовые органы смогут получать информацию от маркетплейсов и классифайдов.

Предыдущая версия документа была опубликована в мае и разрешала силовым органам запрашивать личные данные, указанные ими при регистрации (номер телефона, адрес электронной почты, а также IP-адрес) и информацию о покупках и услугах пользователя.

Уточненный список также позволит запрашивать и предоставлять более конкретную информацию и снизит вероятность дополнительного запроса».

— Важно найти баланс между интересами государства и возможностями бизнеса, иначе даже добросовестные игроки рынка окажутся не в состоянии формально соблюсти требования».

При этом пред…

Компания Microsoft объявила, что будет периодически удалять устаревшие драйверы из каталога Windows Update, чтобы снизить риски и улучшить совместимость.

«Целью этой инициативы является предоставление оптимального набора драйверов в Windows Update для различных аппаратных решений в экосистеме Windows, а также обеспечение безопасности Microsoft Windows, — гласит сообщение компании.

— Эта инициатива предполагает периодическую очистку драйверов в Windows Update, в результате чего некоторые драйверы не будут предоставляться системам в нашей экосистеме».

Как уточнили в компании, первый этап процедуры «очистки» затронет драйверы, для которых в Windows Update уже имеются более новые альтернативы.

…

New research has uncovered continued risk from a known security weakness in Microsoft's Entra ID, potentially enabling malicious actors to achieve account takeovers in susceptible software-as-a-service (SaaS) applications.

Identity security company Semperis, in an analysis of 104 SaaS applications, found nine of them to be vulnerable to Entra ID cross-tenant nOAuth abuse.

The authentication implementation flaw essentially allows a bad actor to change the mail attribute in the Entra ID account to that of a victim's and take advantage of the app's "Log in with Microsoft" feature to hijack that account.

Semperis' threat model focuses on a variant of nOAuth, specifically finding applications th…

Citrix has released security updates to address a critical flaw affecting NetScaler ADC that it said has been exploited in the wild.

The shortcoming impacts the below versions -NetScaler ADC and NetScaler Gateway 14.1 prior to 14.1-47.46NetScaler ADC and NetScaler Gateway 13.1 prior to 13.1-59.19NetScaler ADC and NetScaler Gateway 12.1 and 13.0 (vulnerable and end-of-life)NetScaler ADC 13.1-FIPS and NDcPP prior to 13.1-37.236-FIPS and NDcPP"Secure Private Access on-prem or Secure Private Access Hybrid deployments using NetScaler instances are also affected by the vulnerabilities," Citrix said.

"Customers need to upgrade these NetScaler instances to the recommended NetScaler builds to addres…

"The research discovered that SAP GUI input history is stored insecurely, both in the Java and Windows versions," Pathlock researcher Jonathan Stross said in a report shared with The Hacker News.

SAP GUI user history allows users to access previously entered values in input fields with the goal of saving time and reducing errors.

SAP GUI for Windows - %APPDATA%\LocalLow\SAPGUI\Cache\History\SAPHistory.dbSAP GUI for Java - %APPDATA%\LocalLow\SAPGUI\Cache\History or $HOME/.SAPGUI/Cache/History (Windows or Linux) and $HOME/Library/Preferences/SAP/Cache/History (macOS)The issue is that the inputs are saved in the database file using a weak XOR-based encryption scheme in the case of SAP GUI for …

Thousands of personal records allegedly linked to athletes and visitors of the Saudi Games have been published online by a pro-Iranian hacktivist group called Cyber Fattah.

The information was published by a forum user named ZeroDayX, a burner profile that was likely created to promote this breach.

Cyber Fattah, which calls itself an "Iranian cyber team," has a history of targeting Israeli and Western web resources and government agencies.

The company also singled out another pro-Iranian group named DieNet that, despite its pro-Iranian and pro-Hamas stance, is believed to include Russian-speaking members and connections to other cyber communities in Eastern Europe.

In all, more than 5,800 m…

If you invite guest users into your Entra ID tenant, you may be opening yourself up to a surprising risk.

All the guest user needs are the permissions to create subscriptions in their home tenant, and an invitation as a guest user into an external tenant.

BeyondTrust's Identity Security Insights product has helped customers uncover many similar misconfigured dynamic groups that unintentionally expose hidden Paths to Privilege™.

This includes gaining a consolidated understanding of Entra Guest accounts and their True Privilege™.

To gain a snapshot of potential identity-based risks in your environment, including those introduced through guest access, BeyondTrust offers a no-cost Identity Secu…

Unknown threat actors have been distributing a trojanized version of SonicWall's SSL VPN NetExtender application to steal credentials from unsuspecting users who may have installed it.

"NetExtender enables remote users to securely connect and run applications on the company network," SonicWall researcher Sravan Ganachari said.

The malicious payload delivered via the rogue VPN software has been codenamed SilentRoute by Microsoft, which detected the campaign along with the network security company.

"By modifying these settings, threat actors create their own remote access malware that pretends to be a different software like an AI-to-image converter by Google Chrome," security researcher Kars…

Cybersecurity researchers have uncovered a fresh batch of malicious npm packages linked to the ongoing Contagious Interview operation originating from North Korea.

According to Socket, the ongoing supply chain attack involves 35 malicious packages that were uploaded from 24 npm accounts.

Each of the identified npm packages contains a hex-encoded loader dubbed HexEval, which is designed to collect host information post installation and selectively deliver a follow-on payload that's responsible for delivering a known JavaScript stealer called BeaverTail.

BeaverTail, in turn, is configured to download and execute a Python backdoor called InvisibleFerret, enabling the threat actors to collect s…

Microsoft on Tuesday announced that it's extending Windows 10 Extended Security Updates (ESU) for an extra year by letting users either pay a small fee of $30 or by sync their PC settings to the cloud.

The development comes ahead of the tech giant's upcoming October 14, 2025, deadline, when it plans to officially end support and stop providing security updates for devices running Windows 10.

As part of the new enrollment options announced by Microsoft, individuals can opt-in to the program from their personal Windows 10 PC through an "enrollment wizard" available in the Settings app.

The enrollment wizard is currently available in the Windows Insider Program, and is expected to be rolled ou…

The United States Embassy in India has announced that applicants for F, M, and J nonimmigrant visas should make their social media accounts public.

Under the new rules, Indian students and others planning to pursue academia or enroll in vocational or exchange programs are mandated to ensure that their social media profiles are set to public before submitting their visa applications.

The embassy noted that the United States has required visa applicants to provide social media identifiers on immigrant and nonimmigrant visa application forms since 2019.

The development comes weeks after U.S. President Donald Trump's administration ordered embassies around the world to stop scheduling appointme…

The techniques, the web infrastructure company said, hinge on exploiting the Stratum mining protocol such that it causes an attacker's mining proxy or wallet to be banned, effectively disrupting the operation.

While a mining proxy acts as an intermediary and shields an attacker's mining pool and, by extension, their wallet addresses, it also becomes a single point of failure by interfering with its regular function.

"Consecutive bad shares will eventually get the proxy banned, effectively halting mining operations for the entire cryptomining botnet."

This, in turn, entails using an in-house developed tool called XMRogue to impersonate a miner, connect to a mining proxy, submit consecutive b…

Unidentified threat actors have been observed targeting publicly exposed Microsoft Exchange servers to inject malicious code into the login pages that harvest their credentials.

The attack chains involve exploiting known flaws in Microsoft Exchange Server (e.g., ProxyShell) to insert keylogger code into the login page.

"The target page's source code contains a handler function that reads the incoming request and writes the data to a file on the server."

"A large number of Microsoft Exchange servers accessible from the Internet remain vulnerable to older vulnerabilities," the researchers said.

"By embedding malicious code into legitimate authentication pages, attackers are able to stay undet…

Each brought a unique vantage point to a common challenge: applying Continuous Threat Exposure Management (CTEM) to complex production environments.

Gartner made waves in 2023 with a bold prediction: organizations that prioritize CTEM will be three times less likely to be breached by 2026.

"You need to understand your adversaries, simulate their TTPs, and test your defenses against real-world scenarios, not just patching CVEs."

Exposure management is about figuring out whether your controls actually work to block threats.

From Concept to ActionWant to hear how these defenders are putting CTEM into action without drowning in noise?

We analyze two reverse tunnels (Laret and Pinar), a backdoor (Whisper), a malicious IIS module (PrimeCache), and various supplementary tools.

The string to look for, PMO , is in the configuration file used by Whisper; we were unable to collect the other configuration file.

The email is formatted with these particulars:sending email address: inbox from Step 1,recipient: email address from Step 4,subject: Email (from the configuration file, line 14, key="send_sign" ),(from the configuration file, line 14, ), message body: Hey There!

Example contents of the configuration file used by Laret and Pinar reverse tunnelsThe BladedFeline developers refer to this as Delocking and the opposite (writing…

According to one estimate, the average person has 168 passwords for personal accounts.

Yet inactive accounts are also a security risk, both from a personal and a work perspective.

There are many reasons why you might have a large number of forgotten, inactive accounts.

Consider the following:Periodically audit and delete any inactive accounts.

The chances are that most of us have dozens if not scores of inactive accounts sprawled across the internet.

From a flurry of attacks targeting UK retailers to campaigns corralling end-of-life routers into botnets, it's a wrap on another month filled with impactful cybersecurity newsIt's that time of month again when ESET Chief Security Evangelist Tony Anscombe offers his take on some of the most impactful cybersecurity news of the past 30 or so days.

Here's a selection of what stood out to him in May 2025:a warning from Google that Scattered Spider, the hacking gang that orchestrated recent attacks at high-street UK retailers, is now turning their sights to US companies,earlier in May, Marks & Spencer confirmed that some customer data was stolen in the flurry of attacks on UK retailers, which had…

How does Docusign phishing work?

Cybercriminals are not spoofing fake Docusign emails, but instead registering real accounts with the company, and using its APIs to send out legitimate envelopes spoofing popular brands.

Regular phishing emails spoofing the Docusign brand and taking the user to phishing login pages.

Things workers should be taught to look out for include:Destination URLs: hover over any links/buttons in Docusign emails to check the destination URLs are legitimate.

Attachments: there should be no attachments in an initial Docusign email.

ESET Research has been tracking Danabot’s activity since 2018 as part of a global effort that resulted in a major disruption of the malware’s infrastructureAs US authorities, along with Europol and Eurojust, have announced a global disruption operation of Danabot, ESET researchers have released their deep-dive analysis of this sprawling malware-as-a-service (MaaS) operation that according to US authorities compromised more than 300,000 computers around the world and caused at least US$50 million in damage.

ESET Research has been tracking Danabot’s activity since 2018 as part of a global effort that now resulted in a major disruption of the malware’s infrastructure.

Watch the video with ESET…

Our contribution included providing technical analyses of the malware and its backend infrastructure, as well as identifying Danabot’s C&C servers.

C&C server applicationThe standalone server application comes in the form of a DLL file and acts as the brain of the botnet.

This C&C server application is available for local installation only for affiliates paying for the higher tier personal server option.

]245 N/A GLOBAL CONNECTIVITY SOLUTIONS LLP 2025‑03‑25 Danabot proxy C&C server 212.18.104[.

]246 N/A GLOBAL CONNECTIVITY SOLUTIONS LLP 2025‑03‑25 Danabot proxy C&C server 34.16.215[.

The bustling cybercrime enterprise has been dealt a significant blow in a global operation that relied on the expertise of ESET and other technology companiesA global disruption operation has dealt a significant blow to Lumma Stealer, one of the most prolific malware-as-a-service (MaaS) operations.

The disruption effort, led by Microsoft and involving technical analysis by ESET researchers, targeted the infostealer's infrastructure, including all known C&C servers from the past year, and ultimately making the threat largely inoperative.

What else is there to know about the operation, as well as about the inner workings of the prolific info-stealer malware, which went after all manner of sen…

Key points of this blogpost: ESET took part in a coordinated global operation to disrupt Lumma Stealer.

Lumma Stealer identifierEach Lumma Stealer sample contains a unique hardcoded affiliate identifier known as LID.

Lumma Stealer C&C communication flowAnti-analysis obfuscation techniquesLumma Stealer employs a few, but effective, anti-emulation techniques to make analysis as complicated as possible.

The disruption operation, led by Microsoft, aims to seize all known Lumma Stealer C&C domains, rendering Lumma Stealer’s exfiltration infrastructure nonfunctional.

ESET will continue to track other infostealers while closely monitoring for Lumma Stealer activity following this disruption operat…

Today, the ESET research team released its latest issue of the APT Activity Report that details the operations of some of the world's most notorious nation state-affiliated hacking collectives from October 2024 to March 2025.

Their analysis reveals sustained efforts by advanced threat actors targeting a broad array of geographies and industry sectors, with objectives ranging from espionage all the way to data destruction and financial gain.

What kinds of techniques did the various APT groups use and what could be the implications for your organization?

Find out in Tony's video and make sure to read the report itself here.

ESET APT Activity Report Q4 2024–Q1 2025 summarizes notable activities of selected advanced persistent threat (APT) groups that were documented by ESET researchers from October 2024 until the end of March 2025.

During the monitored period, China-aligned threat actors continued engaging in persistent espionage campaigns with a focus on European organizations.

CyberToufan conducted destructive operations, deploying a wiper attack against multiple organizations in Israel.

Russia-aligned threat actors, notably Sednit and Gamaredon, maintained aggressive campaigns primarily targeting Ukraine and EU countries.

Malicious activities described in ESET APT Activity Report Q4 2024–Q1 2025 are detected…

Operation RoundPress targets webmail software to steal secrets from email accounts belonging mainly to governmental organizations in Ukraine and defense contractors in the EUESET researchers have discovered a cyberespionage operation that abuses cross-site scripting (XSS) vulnerabilities, including a zero-day XSS flaw in MDaemon webmail software, to steal confidential information from specific email accounts belonging to officials working for various governmental organizations in Ukraine and defense contractors in Europe and on other continents.

Operation RoundPress, so nicknamed by ESET, is most probably the work of the Russia-aligned Sednit APT group, who first took aim at Roundcube, but …

This blogpost introduces an operation that we named RoundPress, targeting high-value webmail servers with XSS vulnerabilities, and that we assess with medium confidence is run by the Sednit cyberespionage group.

Key points of this blogpost: In Operation RoundPress, the compromise vector is a spearphishing email leveraging an XSS vulnerability to inject malicious JavaScript code into the victim’s webmail page.

Operation RoundPress compromise chainGenerally, the email message looks benign and contains text about news events.

Furthermore, strings used by the code, such as webmail and C&C server URLs, are also obfuscated and contained in an encrypted list.

The payload is fully contained in the …

Tune in for an insightful look at disinformation and how we can fight one of the most pressing challenges facing our digital world.

Why are our brains wired in ways that make us vulnerable to believing and spreading things we shouldn't?

Which kinds of topics attract the most attention, and how are the tactics in disinformation playbooks evolving?

Speaking of AI, this episode features a quiz where you can test your own critical thinking skills and see if you can tell deepfakes apart from real images, video, and audio.

Tune in also for some practical advice that will come in handy when navigating the complex information landscape online.

One technique that has gained traction in recent years is the use of dynamically generated phishing pages.

Using dedicated phishing-as-a-service (PhaaS) toolkits, attackers can spin up authentic-looking phishing pages on the spot, all while customizing them for whoever they’re targeting.

Fake login page for Argentina’s Federal Administration of Public Income (AFIP)Figure 3.

Instead, navigate to the legitimate website or contact the organization through a trusted, known phone number or email address.

Combining vigilant awareness with strong technical defenses will go a long way toward keeping the ever-morphing phish at bay..

The UK’s Chartered Trading Standards Institute has in the past also warned about bogus texts inviting recipients to jury service, or risk facing fines.

Payment options: No court, police department or government agency will ask for payment over the phone for ‘missed’ jury service.

No court, police department or government agency will ask for payment over the phone for ‘missed’ jury service.

Requests for information: Scammers may ask for sensitive personal information like Social Security details, as well as demanding you send them funds.

Also be aware that failing to turn up for jury service will never be grounds for arrest.

A high-severity vulnerability (CVE-2025-49144) in the Notepad++ installer could be exploited by unprivileged users to gain SYSTEM-level privileges through insecure executable search paths.

CVE-2025-49144 is a local privilege escalation flaw that affects Notepad++ versions up until and including v8.8.1, and may allow attackers to surreptitiously run malicious executables on target systems.

If the (vulnerable) installer is run, it will also load the executable, with SYSTEM privileges.

Notepad++ wasn’t specifically targeted – we happened to identify this issue while analyzing common application installation patterns,” Raj told Help Net Security.

A commit addressing the vulnerability has alread…

Tines announced autonomous AI capabilities within its workflow automation platform via the launch of agents.

The addition of agents allows customers to choose the right level of AI involvement for every workflow, ensuring organizations can implement AI automation that aligns with their specific security requirements, levels of complexity, and operational needs.

Unlike traditional AI implementations that require external data sharing or compromise on security, Tines’ agents run entirely within the platform’s secure infrastructure.

Seamless system integration: Connect any tool, LLM, or proprietary app to build, augment, and orchestrate intelligent workflows.

“They advance our mission to redef…

Fortanix announced PQC Central, a new feature in the Fortanix Key Insight that reframes how enterprises approach the post-quantum cryptography (PQC) challenge.

Embedded in Key Insight, which handles cryptographic discovery and risk assessment within the Fortanix Armor platform, PQC Central helps organizations turn PQC migration complexity into actionable insights and strategic priorities.

Risk assessment: Identifying vulnerable keys and calculating a cryptographic readiness score to ensure quantum-vulnerable services are secured with the appropriate algorithms.

Identifying vulnerable keys and calculating a cryptographic readiness score to ensure quantum-vulnerable services are secured with …

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Legitimate UDP-based transmissions are used in especially time-sensitive communications, such as those for video playback, gaming applications, and DNS lookups.

UDP flood attacks send extremely high volumes of packets to random or specific ports on the target IP.

UDP floods typically send large numbers of datagrams to multiple ports on the target system.

The target system, in turn, must send an equal number of data packets back to indicate the ports aren’t reachable.

Eventually, the target system buckles under the strain, resulting in legitimate traffic being denied.

Friday Squid Blogging: Gonate Squid VideoThis is the first ever video of the Antarctic Gonate Squid.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Posted on June 20, 2025 at 5:04 PM • 0 Comments

Good article from 404 Media on the cozy surveillance relationship between local Oregon police and ICE:In the email thread, crime analysts from several local police departments and the FBI introduced themselves to each other and made lists of surveillance tools and tactics they have access to and felt comfortable using, and in some cases offered to perform surveillance for their colleagues in other departments.

The thread also includes a member of ICE’s Homeland Security Investigations (HSI) and members of Oregon’s State Police.

In the thread, called the “Southern Oregon Analyst Group,” some members talked about making fake social media profiles to surveil people, and others discussed being …

Self-Driving Car Video FootageTwo articles crossed my path recently.

First, a discussion of all the video Waymo has from outside its cars: in this case related to the LA protests.

Second, a discussion of all the video Tesla has from inside its cars.

Lots of things are collecting lots of video of lots of other things.

How and under what rules that video is used and reused will be a continuing source of debate.

The variations seem to be endless.

Here’s a fake ghostwriting scam that seems to be making boatloads of money.

This is a big story about scams being run from Texas and Pakistan estimated to run into tens if not hundreds of millions of dollars, viciously defrauding Americans with false hopes of publishing bestseller books (a scam you’d not think many people would fall for but is surprisingly huge).

In January, three people were charged with defrauding elderly authors across the United States of almost $44 million ­by “convincing the victims that publishers and filmmakers wanted to turn their books into blockbusters.”

But it may still be used whenever it has an advantage over humans in one of four dimensions: speed, scale, scope and sophistication.

AI models can do the job blazingly fast, a capability with important industrial applications.

AI models can do this for every single product, TV show, website and internet user.

Modern AI systems use a radically different approach: Deep learning systems built from many-layered neural networks take account of complex interactions—often many billions—among many factors.

Equally, when speed, scale, scope and sophistication are not primary barriers, it makes less sense to use AI.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:I’m speaking at the International Conference on Digital Trust, AI and the Future in Edinburgh, Scotland on Tuesday, June 24 at 4:00 PM.

The list is maintained on this page.

Posted on June 14, 2025 at 9:07 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Paragon Spyware used to Spy on European JournalistsParagon is a Israeli spyware company, increasingly in the news (now that NSO Group seems to be waning).

Citizen Lab caught them spying on multiple European journalists with a zero-click iOS exploit:On April 29, 2025, a select group of iOS users were notified by Apple that they were targeted with advanced spyware.

Among the group were two journalists that consented for the technical analysis of their cases.

We identify an indicator linking both cases to the same Paragon operator.

Apple confirms to us that the zero-click attack deployed in these cases was mitigated as of iOS 18.3.1 and has assigned the vulnerability CVE-2025-43200.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

New Way to Track Covertly Android UsersResearchers have discovered a new way to covertly track Android users.

Both Meta and Yandex were using it, but have suddenly stopped now that they have been caught.

Google says it’s investigating the abuse, which allows Meta and Yandex to convert ephemeral web identifiers into persistent mobile app user identities.

The covert tracking­implemented in the Meta Pixel and Yandex Metrica trackers­allows Meta and Yandex to bypass core security and privacy protections provided by both the Android operating system and browsers that run on it.

Posted on June 9, 2025 at 6:54 AM • 0 Comments

Friday Squid Blogging: Squid Run in Southern New EnglandSouthern New England is having the best squid run in years.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Posted on June 6, 2025 at 5:00 PM • 0 Comments

Hearing on the Federal Government and AIOn Thursday I testified before the House Committee on Oversight and Government Reform at a hearing titled “The Federal Government in the Age of Artificial Intelligence.”The other speakers mostly talked about how cool AI was—and sometimes about how cool their own company was—but I was asked by the Democrats to specifically talk about DOGE and the risks of exfiltrating our data from government agencies and feeding it into AIs.

My written testimony is here.

Video of the hearing is here.

Posted on June 6, 2025 at 1:43 PM • 0 Comments

Doppelganger campaigns use specialized links that bounce the visitor’s browser through a long series of domains before the fake news content is served.

Further investigation revealed LosPollos and TacoLoco were apps developed by a company called Holacode, which lists Cerutti as its CEO.

Asked to comment on the findings by Qurium and Infoblox, Cerutti vehemently denied being associated with VexTrio.

Virtually overnight, DollyWay and several other malware families that had previously used VexTrio began pushing their traffic through another TDS called Help TDS.

Uncheck the option to “allow websites to ask for permission to send notifications” if you wish to turn off notification requests entir…

Microsoft today released security updates to fix at least 67 vulnerabilities in its Windows operating systems and software.

Tenable’s Satnam Narang said organizations that have at least one Windows Server 2025 domain controller should review permissions for principals and limit those permissions as much as possible.

Adobe has released updates for Acrobat Reader and six other products addressing at least 259 vulnerabilities, most of them in an update for Experience Manager.

Mozilla Firefox and Google Chrome both recently released security updates that require a restart of the browser to take effect.

For a detailed breakdown on the individual security updates released by Microsoft today, chec…

Ukraine has seen nearly one-fifth of its Internet space come under Russian control or sold to Internet address brokers since February 2022, a new study finds.

For example, Ukraine’s incumbent ISP Ukrtelecom is now routing just 29 percent of the IPv4 address ranges that the company controlled at the start of the war, Kentik found.

From a website’s perspective, the traffic from a proxy network user appears to originate from the rented IP address, not from the proxy service customer.

However, proxy services also are massively abused for hiding cybercrime activity because they can make it difficult to trace malicious traffic to its original source.

There are now multiple companies that will pay…

The agency said Funnull directly facilitated pig butchering and other schemes that resulted in more than $200 million in financial losses by Americans.

Pig butchering is a rampant form of fraud wherein people are lured by flirtatious strangers online into investing in fraudulent cryptocurrency trading platforms.

The FBI has released a technical writeup (PDF) of the infrastructure used to manage the malicious Funnull domains between October 2023 and April 2025.

In May 2024, KrebsOnSecurity published a deep dive on Stark Industries Solutions that found much of the malicious traffic traversing Stark’s network (e.g.

vulnerability scanning and password brute force attacks) was being bounced thro…

Authorities in Pakistan have arrested 21 individuals accused of operating “Heartsender,” a once popular spam and malware dissemination service that operated for more than a decade.

Pakistan’s National Cyber Crime Investigation Agency (NCCIA) reportedly conducted raids in Lahore’s Bahria Town and Multan on May 15 and 16.

In January 2025, the FBI and the Dutch Police seized the technical infrastructure for the cybercrime service, which was marketed under the brands Heartsender, Fudpage and Fudtools (and many other “fud” variations).

Dawn reported that those arrested included Rameez Shahzad, the alleged ringleader of the Heartsender cybercrime business, which most recently operated under the P…

The FBI says a newer version of DanaBot was used for espionage, and that many of the defendants exposed their real-life identities after accidentally infecting their own systems with the malware.

Initially spotted in May 2018 by researchers at the email security firm Proofpoint, DanaBot is a malware-as-a-service platform that specializes in credential theft and banking fraud.

The government says the malware infected more than 300,000 systems globally, causing estimated losses of more than $50 million.

“In some cases, such self-infections appeared to be deliberately done in order to test, analyze, or improve the malware,” the criminal complaint reads.

Further reading:Danabot: Analyzing a Fal…

KrebsOnSecurity last week was hit by a near record distributed denial-of-service (DDoS) attack that clocked in at more than 6.3 terabits of data per second (a terabit is one trillion bits of data).

For reference, the 6.3 Tbps attack last week was ten times the size of the assault launched against this site in 2016 by the Mirai IoT botnet, which held KrebsOnSecurity offline for nearly four days.

Forky denied being involved in the attack on KrebsOnSecurity, but acknowledged that he helped to develop and market the Aisuru botnet.

Forky offered equivocal, evasive responses to a number of questions about the Aisuru botnet and his business endeavors.

But that leak also rapidly led to the creation…

“Pompompurin,” is slated for resentencing next month after pleading guilty to access device fraud and possession of child sexual abuse material (CSAM).

On January 18, 2023, denizens of Breachforums posted for sale tens of thousands of records — including Social Security numbers, dates of birth, addresses, and phone numbers — stolen from Nonstop Health, an insurance provider based in Concord, Calif.

Jill Fertel is a former federal prosecutor who runs the cyber litigation practice at Cipriani & Warner, the law firm that represented Nonstop Health.

Despite admitting to possessing more than 600 CSAM images and personally operating Breachforums, Fitzpatrick was sentenced in January 2024 to time …

The Windows CLFS is a critical Windows component responsible for logging services, and is widely used by Windows system services and third-party applications for logging.

In any case, windowslatest.com reports that Windows 11 version 24H2 shows up ready for downloads, even if you don’t want it.

“Even if you don’t check for updates, Windows 11 24H2 will automatically download at some point.”Apple users likely have their own patching to do.

On May 12 Apple released security updates to fix at least 30 vulnerabilities in iOS and iPadOS (the updated version is 18.5).

Apple also released updates for macOS Sequoia, macOS Sonoma, macOS Ventura, WatchOS, tvOS and visionOS.

Google’s Ads Transparency Center finds 360 Digital Marketing LLC ran at least 500 ads promoting various websites selling ghostwriting services .

Rameez Moiz is a Texas resident and former Abtach product manager who has represented 360 Digital Marketing LLC and RetroCube.

Moiz told KrebsOnSecurity he stopped working for 360 Digital Marketing in the summer of 2023.

That lawsuit helpfully showed an image of the office front door at 1910 Pacific Ave Suite 8025, which featured the logos of 360 Digital Marketing, Retrocube, and eWorldTrade.

Riley decided to sue, naming 360 Digital Marketing LLC and Retrocube LLC, among others.

GitGuardian’s systems constantly scan GitHub and other code repositories for exposed API keys, and fire off automated alerts to affected users.

GitGuardian’s Eric Fourrier told KrebsOnSecurity the exposed API key had access to several unreleased models of Grok, the AI chatbot developed by xAI.

“The credentials can be used to access the X.ai API with the identity of the user,” GitGuardian wrote in an email explaining their findings to xAI.

xAI told GitGuardian to report the matter through its bug bounty program at HackerOne, but just a few hours later the repository containing the API key was removed from GitHub.

“The fact that this key was publicly exposed for two months and granted access …

A 23-year-old Scottish man thought to be a member of the prolific Scattered Spider cybercrime group was extradited last week from Spain to the United States, where he is facing charges of wire fraud, conspiracy and identity theft.

Scattered Spider is a loosely affiliated criminal hacking group whose members have broken into and stolen data from some of the world’s largest technology companies.

His extradition to the United States was first reported last week by Bloomberg.

In August 2022, KrebsOnSecurity reviewed data harvested in a months-long cybercrime campaign by Scattered Spider involving countless SMS-based phishing attacks against employees at major corporations.

KrebsOnSecurity repor…

The whistleblower said accounts created for DOGE at the NLRB downloaded three code repositories from GitHub.

Berulis said the new DOGE accounts had unrestricted permission to read, copy, and alter information contained in NLRB databases.

Berulis said he discovered one of the DOGE accounts had downloaded three external code libraries from GitHub that neither NLRB nor its contractors ever used.

Elez was among the first DOGE employees to face public scrutiny, after The Wall Street Journal linked him to social media posts that advocated racism and eugenics.

KrebsOnSecurity sought comment from both the NLRB and DOGE, and will update this story if either responds.

The NLRB whistleblower said the unusual large data outflows coincided with multiple blocked login attempts from an Internet address in Russia that tried to use valid credentials for a newly-created DOGE user account.

Berulis said the new DOGE accounts had unrestricted permission to read, copy, and alter information contained in NLRB databases.

The DOGE staffers did not speak with Berulis or anyone else in NLRB’s IT staff, but instead met with the agency leadership.

Berulis said the container caught his attention because he polled his colleagues and found none of them had ever used containers within the NLRB network.

The message informed NLRB employees that two DOGE representatives would be …

A critical resource that cybersecurity professionals worldwide rely on to identify, mitigate and fix security vulnerabilities in software and hardware is in danger of breaking down.

Many of these CNAs are country and government-specific, or tied to individual software vendors or vulnerability disclosure platforms (a.k.a.

Put simply, MITRE is a critical, widely-used resource for centralizing and standardizing information on software vulnerabilities.

MITRE told KrebsOnSecurity the CVE website listing vulnerabilities will remain up after the funding expires, but that new CVEs won’t be added after April 16.

Former CISA Director Jen Easterly said the CVE program is a bit like the Dewey Decimal S…

Meanwhile, 60% of African countries report an increase in digital sextortion attacks, where criminals use either stolen or AI-generated sexual images to blackmail their targets.

Against this tidal wave of cybercrime, Africa appears to be a continent which is barely able to defend itself.

You get the impression that when it comes to the fight against cybercrime, Africa is outgunned and underfunded.

Over 86% of African law enforcement agencies reported insufficient international cooperation on cybercrime investigations, while nearly 90% cited a lack of strong public-private partnerships.

Clearly there has been some good work done by law enforcement agencies who are in need of great resources.

In episode 56 of The AI Fix, Anthropic and Apple have a bar fight, a woman describes her husband falling in love with ChatGPT as “not ideal”, WhatsApp’s AI helper isn’t helpful, Graham serenades a pack of headless robot dogs with his rendition of “Don’t stop me know”, and our hosts debate whether AI turning our brains to porridge is actually a bad thing.

Hosts:Graham Cluley:@grahamcluley.com@[email protected]Mark Stockley:@ai-fix-mark.bsky.socialEpisode links:Support the show:You can help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free e…

The Wall Street Journal reports that Aflac is investigating a breach that may have exposed claims information, health details, Social Security numbers, and other personal data.

That’s the kind of sensitive personal information you would expect your insurer to protect, not accidentally hand over to cybercriminals.

According to Aflac, the attack came from a “highly sophisticated and well-known group that has the insurance industry under siege”Under siege?

Sounds like they’ve been watching too many Steven Seagal movies (note to self: one Steven Seagal movie is too many…)But what’s more upsetting than that is the claim that the hackers are “highly sophisticated.”Is that because they exploited a…

When Marks & Spencer paused online orders after it was hit by ransomware, it was bad news for them… but GOOD news for other big online retailers.

Fashion rivals like Next, John Lewis, and Zara saw a nice little bump while M&S sales floundered.

Cyberattacks don’t just cause technical headaches, they can send customers straight into the arms of your competitors.

Make sure you have an incident response plan in place, and are prepared if you get hit by a cyber attack.

Follow Graham Cluley on Bluesky or Mastodon to read more of the exclusive content we post.

Because apparently being asked to explain how your social media platform handles hate speech and misinformation is an unconstitutional burden.

New York state’s law requires social media companies to report how they moderate hate speech and disinformation.

It just says “Tell us what your moderation policies are, and how you enforce them.”Which seems reasonable to me.

The one thing that is clear is just what a hellhole Twitter is these days, as its law suit shines a spotlight on once again.

Misinformation and disinformation aren’t just problems for society – they are also tools in the arsenal of bad actors.

Krispy Kreme, the dispenser of delectable doughnuts, has revealed that an astonishingly wide range of personal information belonging to past and present employees, as well as members of their families, was accessed by hackers during a cyber attack last year.

To its credit, Kreme's website now contains a large banner on its home page which links to information about the data breach.

In its notification, Krispy Kreme you will not see any sign of an apology from the company to those who have had their data stolen, but it does offer affected individuals free credit monitoring and identity protection services.

Ironically, putting in place a credit freeze requires handing over your personal infor…

In modern warfare, it’s not just about who has the biggest bombs — it’s about who controls the story.

Iranian state TV was hacked on Wednesday night, and instead of the usual government-approved programming, viewers were shown footage of women’s protests from 2022, and urged to rise up against the regime and take to the streets.

But more than that, it was further evidence that cyberwarfare also has its part to play in trying to control the narrative.

Normal programming was returned within a few minutes, and Tehran blamed the attack on Israeli-backed hackers.

Follow Graham Cluley on Bluesky or Mastodon to read more of the exclusive content we post.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

All this and more is discussed in the latest edition of the “Smashing Security” podcast by cybersecurity veterans Graham Cluley and Carole Theriault.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Follow Graham Cluley on Bluesky or Mastodon to read more of the exclusive content we post.

In a dramatic raid at a hotel in central Pattaya this week, Thai police have unearthed a criminal gang that was operating a ransomware and illicit gambling operation.

At 11:30pm local time on Monday 16 June, authorities conducted a floor-by-floor search of the eight-storey Antai Holiday Hotel, after it had been tipped off about suspected illegal activity.

There is currently a near-blanket ban on gambling in Thailand, with the exception of betting on horse races and the government-sponsored lottery.

Perhaps not unsurprisingly, when I visited a hotel booking site to see if I could reserve a room at the Antai Holiday Hotel, I was told that it was not taking reservations at the moment.

If you'r…

The Co-op is offering a £10 shopping discount to members after a cyber-attack saw hackers steal personal data including names, home address, email addresses, and membership card numbers.

The one-off offer — available until 24 June — is only available if you spend more than £40 in a shop at Co-op.

It’s not much of an offer – how often does someone spend £40 in a shop at Co-op?

Whether £10 off a shop compensates for having your personal information leaked is a question only you can answer.

Personally I’d rather you’d not have lost my data, thanks.

Graham finds out what happened when ChatGPT took on 1979’s Atari Video Chess at his favourite “sport”, and Mark explains why Apple has been raining on the AI reasoning parade.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow us:Follow the show on Bluesky, or subscribe for free in your favourite podcast app such as Apple Podcasts or Spotify, or visit our website for more information.

Follow Graham Cluley on Bluesky or Mastodon to read more of the exclusive content we post.

Ransomware gang infects insurance company, but DOESN’T install ransomware.

Instead it steals information about insurance company’s clients, learns which have cyberinsurance, and how much insurance cover they have.

Gang takes list of insured companies and goes through it – it’s a rolodex of ransomware – infecting each one with ransomware.

Once gang has gone through the entire list, it goes back to where it began – with the original hacked insurance company, and installs its ransomware there too.

Gang finds a new insurance company to hack, and so it continues…By the way, ransomware gangs are already doing this…Found this article interesting?

The Washington Post says that the email accounts of some of its journalists have been hacked.

Nonetheless, the Wash Post has wisely decided to force all employees to reset their login credentials.

As far back as 2013, Richard Murdoch claimed that China was hacking the Wall Street Journal.

Read more in the Wall Street Journal.

Follow Graham Cluley on Bluesky or Mastodon to read more of the exclusive content we post.

CVE-2025-34509 — получение доступа через предустановленную учетную записьВ CMS Sitecore имеется несколько дефолтных учетных записей, в числе которых sitecore\ServicesAPI.

Установка данного модуля необходима для работы ряда расширений Sitecore, например она обязательна при использовании Sitecore Experience Accelerator (одного из самых популярных расширений для этой CMS).

Как защититься от атак на Sitecore Experience PlatformПатчи, устраняющие три эти уязвимости, были выпущены еще в мае 2025 года.

Если ваша компания использует Sitecore, в особенности в сочетании с Sitecore PowerShell Extensions, мы рекомендуем как можно скорее обновить CMS.

CVE-2025-34510 содержится в Experience Manager, Expe…

Как SparkKitty попадает на устройстваСтилер распространяется двумя способами: в дикой природе — то есть на безымянных просторах Интернета, и в официальных магазинах приложений — App Store и Google Play.

Как бы то ни было, это уже второй случай проникновения трояна в App Store, и в этот раз мы также предупредили компанию (первым был SparkCat).

С Google Play все гораздо проще, там вредоносные приложения встречаются регулярно, и мы в блоге Kaspersky Daily частенько пишем об этом.

Разумеется, никаких смешных видео в этой версии TikTok не оказалось, только очередной магазин, как и в Android-версии.

Да, с одной стороны, здесь по-прежнему применим золотой совет: «не загружайте приложения из неофиц…

Что это за утечка и что нужно сделать прямо сейчас?

Что за утечка?

Особое внимание в этой истории уделено свежести данных: журналисты утверждают, что в 16 млрд не входят самые крупные утечки, про которые мы писали в блоге Kaspersky Daily.

Это и в самом деле набирающая силы угроза.

Да, мы достоверно не знаем, что это за утечка, чьи данные в ней есть.

Исследователи опубликовали технические детали и код, демонстрирующий эксплуатацию уязвимости (PoC) CVE-2025-6019 в библиотеке libblockdev, которая позволяет атакующему получить права root в большинстве дистрибутивов Linux.

Библиотека libblockdev служит для низкоуровневых операций с блочными устройствами (например, с жесткими дисками) в Linux.

Почти все современные популярные сборки Linux включают udisks — энтузиасты уже проверили возможность эксплуатации уязвимости CVE-2025-6019 на Ubuntu, Debian, Fedora и openSUSE.

CVE-2025-6018 присутствует как минимум в openSUSE Leap 15 и SUSE Linux Enterprise 15, но может быть релевантна и для других сборок.

Кроме того, мы рекомендуем забыть легенду о т…

С изобретением eSIM (встроенных цифровых SIM-карт), поддерживаемых большинством современных смартфонов, возня с физическими «симками» осталась в прошлом, но по-прежнему приходилось искать подходящую для нужного региона одноразовую eSIM и для каждой поездки делать это заново.

Данные, идентифицирующие абонента, теперь не зашиваются в чип SIM-карты при ее производстве, а передаются оператором абоненту в зашифрованном виде и записываются в eSIM на его устройстве.

На установку и активацию eSIM уйдет несколько минут, а сделать это можно как в стране назначения, так и дома.

По умолчанию eSIM начинает работать в момент покупки, и для краткосрочных тарифов с этого момента начинает отсчитываться срок…

Если проект использует устаревшие зависимости и в целом не идеален с точки зрения ИБ, лучше, конечно, выбрать что-то иное.

Практически в любом ПО и в любой индустрии потребуется аудит соответствия лицензионным требованиям.

Некоторые компоненты и приложения open source поставляются со строгими лицензиями вроде AGPL, которые ограничивают возможности распространения и использования ПО.

Благодаря анализу SBOM/SCA можно собрать все лицензии не только на ПО, но ни на его зависимости, а затем убедиться, что ваша модель использования не нарушает ни одну из лицензий.

Тем, кто в основном занимается вопросами поддержки OSS и безопасности этих проектов, нужно выделить время и бюджет еще и на регулярное…

Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP).

Что за уязвимость CVE-2025-33053 и что такое WebDAV?

Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.

Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge.

Стоит как можно скорее обновить операционную систему, благо Microsoft выпустила патчи даже для устаревших Windows Server 2012 и Windows 8 (найти их можно в описании CVE-2025-33053).

Эксперты «Лаборатории Касперского» выпустили два отчета, где подробно рассказали, как атакуют зумеров, которые любят игры, кино, сериалы и аниме.

У нас есть объяснение, почему именно эти игры в топе и геймеров, и злоумышленников: они реиграбельны, то есть геймеры могут возвращаться в них когда угодно и сыграть как в первый раз.

Поддельные инсталляторы наводнили игровые форумы, чаты в Signal и Telegram, каналы в Discord и популярные файлообменники.

Как защищаться зумерамТочно так же, как и всем остальным, кто любит сериалы, игры, кино, аниме и в целом активно пользуется Интернетом.

Загружайте игры, сериалы и аниме только из официальных источников .

Новая атака, предположительно связанная с печально известной группировкой APT31, продолжается, она опасна своей скрытностью и необычным способом защиты от нее, поэтому важно разобраться, зачем злоумышленникам роутеры и как защищаться от хакерских трюков.

Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру.

Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно.

Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно.

Как взламывают роутерыДва самых распространенных способ…

Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.

Здесь мошенники используют такую же схему, как и с журналистами: реальный видеоряд, ИИ-озвучка и синхронизация движений губ.

Но и это не все!

Обязательно читайте наш пост Сейчас вылетит (верифицированная) птичка, или Как распознать фейк, там мы подробно рассказали, как отличить настоящие фото и видео от подделок.

Решение заблокирует переходы по подозрительным ссылкам из мессенджеров и почты — и в случае угрозы не придется даже распознавать фейковые новости.

В SIEM всегда важно адаптировать сбор и обработку данных к реалиям организации — и собственная OSS-система предлагает для этого бесконечные возможности.

Время — деньгиКлючевой вопрос, важность которого постоянно недооценивается, — сколько времени пройдет, пока SIEM в компании не просто заработает, а начнет приносить пользу.

Конечно, и этот «коробочный» контент потребует значительных доработок, но доводить его до нужного организации состояния и быстрее, и проще.

И первоначальный запуск, и развитие OSS SIEM требуют зрелых специалистов, одновременно разбирающихся в практиках разработки и реалиях SOC.

Для OSS SIEM обновления приходится искать самостоятельно: в сообществах, на GitHub и в бесплат…

Поэтому так важно помогать свои детям ориентироваться в киберпространстве и направлять их в мир доступного и понятного контента.

Эксперты «Лаборатории Касперского» провели исследование и выяснили, что дети ищут в Сети и на YouTube, какие приложения используют на своих смартфонах, какие игры любят, какую музыку слушают и каких блогеров смотрят.

Слушают музыкуМузыка — абсолютный лидер детских поисковых запросов на YouTube с огромным отрывом: больше одной пятой всех запросов пришлось на эту категорию.

В общем же списке запросов в Google игры твердо удерживают второе место: 13,27% от общего числа запросов (больше игр дети гуглят только стриминговые сервисы).

Что еще интересно детям в ИнтернетеП…

Система управления контентом WordPress используется на 43,5% сайтов в Интернете, поэтому нет ничего удивительного в том, что злоумышленники постоянно ищут способы атаки на нее.

Именно VexTrio непосредственно занимается перенаправлением трафика, который приходит от DollyWay, на мошеннические сайты.

Сотрудничество DollyWay с Lospollos объясняет, почему в некоторых случаях редирект с зараженных сайтов приводит пользователей не на вредоносные сайты, а на страницы вполне легитимных приложений в Google Play, в том числе Tinder или TikTok.

Для этого DollyWay отслеживает все, что вводится в форму входа в админку сайта, и сохраняет эти данные в скрытый файл.

Как полагают эксперты, скрипт для обслужи…

В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей.

К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы.

Чем опасны расширения и как удобство ставит под угрозу безопасностьМы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно.

Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере.

С чего началось исследование подозрительных расширений в Chrome Web StoreИсследоват…

Cisco Secure Access delivers exactly that, serving as the common SSE foundation powering secure connectivity across every Cisco SD-WAN fabric.

Whether you’re using Catalyst SD-WAN, Meraki SD-WAN, or Cisco Secure Firewall (FTD), Cisco Secure Access ensures seamless, cloud-delivered security designed for modern distributed environments.

: Create and enforce a single access policy with Catalyst SD-WAN, Meraki SD-WAN, and FTD, simplifying operations and reducing complexity.

Unified Security Management with Security Cloud ControlManaging firewalls and SD-WAN security policies across locations can create operational drag.

Simpler, Smarter, Safer—Your Network, TransformedWith these latest updates,…

Despite these challenges, Cisco’s Secure Firewall 7.7 offers solutions Intelligent Decryption Bypass as part of enhanced Decryption Wizard to simplify policy creation and optimize resource utilization, making decryption more manageable and effective, focusing on decryption capabilities to ensure security visibility and effectiveness.

Decryption Policy Wizard: Key Features and CapabilitiesCisco Secure Firewall 7.7 addresses these challenges with advanced decryption capabilities, particularly through enhancements to the Decryption Policy Wizard.

Intelligent Decryption BypassThe Intelligent Decryption Bypass feature utilizes Cisco’s Encrypted Visibility Engine (EVE) to analyze encrypted traffi…

One year ago, we wrote about Extended Detection and Response (XDR) as an emerging security category because there were inherent, unmet needs for organizations.

GigaOm established this Radar four (4) years ago and invited Cisco XDR to participate our first year in market.

It means that Cisco XDR is delivering on the true promise of XDR and not making baseless claims or lip-service.

We also invite you to try Cisco XDR for yourself with one of our self-guided demos (Cisco XDR Demos and Webinars — Cisco).

As an XDR solution powered by built-in Forensics to support better telemetry acquisition, visibility, and operational maturity, Cisco XDR is the apropos choice for your organization.

Today’s agentic AI represents a fundamental shift: we’ve given these systems tools.

So how do we leverage the unparalleled potential of Agentic AI, safely?

We are doing this by extending the same principles of zero trust to Agentic AI.

Identity transcends traditional technology boundaries, giving you the ability to establish policies at an individual level for humans, machines, services—and now, Agentic AI.

Together, they provide powerful protection without compromising Agentic AI adoption or experience.

Better enforcement pointsWith the addition of the latest Secure Firewall 6100 and 200 series, Cisco has now completed a full refresh of our entire Secure Firewall portfolio in just two years and delivered top-to-bottom price performance leadership.

Security policies are centrally managed via Security Cloud Control, while switch management remains with familiar network tools.

Smarter segmentation and simplified managementBeside adding powerful new firewall hardware to the Hybrid Mesh Firewall, we’re proud to announce that we’re expanding the enforcement points of Cisco Hybrid Mesh Firewall to Cisco Application Centric Infrastructure (ACI).

Mesh Policy Engine: A multi-vendor segmentation poli…

A security reasoning model would be optimal for use by cybersecurity professionals, IT security teams, security researchers, and developers building security features into their applications who need assistance with complex security reasoning.

Foundation-sec-8b-reasoning enables organizations to build AI-driven security tools with strong reasoning capabilities that can be deployed locally, reducing dependency on cloud-based AI services while maintaining high performance on security reasoning tasks.

Our reasoning model is able to exploit test-time computation to answer security questions at higher accuracy rates than larger models without reasoning capabilities.

The upcoming public release o…

NIST Cybersecurity Framework 2.0 to the RescueNIST Cybersecurity Framework 2.0 offers valuable guidance for organizations looking to manage and mitigate cybersecurity risks.

: Utilizing an agent, Secure Workload provides visibility into the application workload runtime, enabling the detection of vulnerable packages and vulnerable container images.

1: Secure Workload solutionAs you can see, Secure Workload offers the breadth and depth of capabilities needed to serve as a core cybersecurity tool.

2: NIST Cybersecurity Framework 2.0 mapped to Secure Workload capabilitiesFig.

4: NIS2 mapping to NIST Cybersecurity Framework 2.0 with Secure WorkloadThe Microsegmentation Journey With NIST Cybersec…

That’s why I’m excited to announce the availability of Cisco Secure Access – DNS Defense, the newest member of the Secure Access product family.

Why Secure Access – DNS Defense?

Secure Access – DNS Defense delivers faster, more precise threat detection with fewer false positives.

A Seamless Upgrade for Umbrella DNS CustomersIf you’re an existing Cisco Umbrella DNS customer, we’ve designed Secure Access – DNS Defense with you in mind.

Whether you choose DNS Defense exclusively or explore the broader possibilities of Cisco’s Secure Access product family, Secure Access adapts as your needs change.

What if we told you that most breaches are not caused by advanced malware or zero-day exploits, but by everyday human mistakes?

This is the essence of the 90-5-5 Concept: a framework that shifts the conversation from reactive defenses to proactive design.

IBM, Stanford University and Verizon all highlight how human behavior, especially around everyday decision-making, is the dominant factor in security breaches.

The 90-5-5 Concept is not just an observation: it is a blueprint.

We can build environments where human mistakes are caught, guided, or even prevented entirely.

The Forrester Total Economic Impact™ (TEI) study, commissioned by Cisco, explored the experiences of organizations using Cisco Security Suites to implement zero trust.

The study highlights how Cisco Security Suites are enabling organizations to address key challenges associated with traditional security models.

One of the key findings is the ability of Cisco Security Suites to streamline security operations.

The study also highlights the impact of Cisco Security Suites on an organization’s overall security posture.

By implementing zero trust principles with Cisco, organizations reduced their risk of data breaches and other security incidents.

Cisco XDR has always been predicated on the knowledge that every customer and every SOC is different.

If a technology your team relies on isn’t supported out-of-the-box in Cisco XDR, that can be addressed by the vendor of that product, or even yourself.

These changes will make it easier to not only write custom content, but to also find and share content written by the Cisco XDR community.

This year, we’re excited to host DEVNET-2236, DEVNET-2387, and the DevNet Innovation Zone demo booth, where we’ll showcase groundbreaking updates for Cisco XDR.

Cisco XDR integrations can offer several different outcomes depending on what the technology does and how you want to use it.

Modern GPU allocation solutions must adapt to the varying nature of AI workloads and provide customized resource provisioning to avoid unnecessary idle states.

The Use of Market in the GPU Allocation FrameworkServices and GPU resources can adapt to the changing computational needs of AI workloads in dynamic and shared environments.

Framework Overview (Using an Example)Given our expertise in cybersecurity, we explore a GPU allocation scenario for a forensic AI system designed to support incident response during a cyberattack.

Instead, Company Z adopts an on-demand GPU allocation model, ensuring high-performance, AI-driven, forensic analysis while minimizing unnecessary resource waste.

GPU Re…

Cisco solves these challenges with Cisco Hybrid Mesh Firewall.

Intelligent centralized managementThe connective tissue for Cisco Hybrid Mesh Firewall is Cisco Security Cloud Control, an AI-native management system that unifies the administration of on-premises and cloud-based firewalls.

A simpler, more flexible way to achieve outcomesThe Cisco Cloud Protection Suite marries simplicity and flexibility for easy adoption of core hybrid mesh firewall capabilities.

Security that evolves with your needsCisco Hybrid Mesh Firewall is redefining network security.

Check out Cisco Hybrid Mesh Firewall and Cloud Protection Suite today and discover how it can help you protect your hybrid environment.

Announcing Cisco Secure Access China, Operated by Digital China CloudRegulatory ambiguity.

To support our customers’ growth in Mainland China and comply with the country’s cybersecurity and data protection laws, we are introducing our Secure Access China solution, operated in partnership with Digital China Cloud (DCC).

What Compliance-First MeansPurpose-built for China’s unique regulatory landscape, Secure Access China emphasizes compliance as the leading element in the organization’s security posture.

Secure Access China offers the core benefits of the global version of Secure Access.

Cisco Secure Access China clears the path for a more predictable and stable operating posture.

1: LLMs, agents, tools and frameworksThe figure above outlines the ecosystem of AI agents, showcasing the relationships between four main components: LLMs, AI Agents, Frameworks, and Tools.

2: AI red-team agent workflowThis illustrates a cybersecurity workflow for automated vulnerability exploitation using AI.

3: Red-team AI agent LangGraph workflowThe figure above illustrates a workflow for building AI agents using LangGraph.

The Testing EnvironmentThe figure below describes a testing environment designed to simulate a vulnerable application for security testing, particularly for red team exercises.

In SummaryThe AI red team agent showcases the potential of leveraging AI agents to streamli…

Through innovations like Microsoft Security Copilot, automated incident response, and attack disruption, Microsoft empowers security teams to operate at machine speed, reduce false positives, and proactively defend against sophisticated cyberattacks.

Learn moreRead The Forrester Wave™: Security Analytics Platforms, Q2 2025 report.

Microsoft Security is committed to empowering security operations (SecOps) teams with security tools and platforms that enable the critical protection your users rely on.

The Forrester Wave™: Security Analytics Platforms Q2 2025, Allie Mellen, Stephanie Balaouras, Katie Vincent, and Michael Belden.

²The Total Economic Impact™ Of Microsoft Sentinel: Cost Savings An…

*Vasu Jakkal, Corporate Vice President, Microsoft Security, frames the challenge like this: “Exposure management is critical for enabling teams to understand the posture of the organization—not just what’s visible, but what’s lurking in interconnected systems.” This obligation drove the creation of the eBook Navigating cyber risks with Microsoft Security Exposure Management, which covers exposure management and helps equip teams to anticipate adversarial tactics and neutralize risks before they escalate.

The eBook demonstrates how Microsoft Security Exposure Management enables this proactive approach, transforming security from a reactive function to a strategic advantage.

Through this guid…

Seventy-four percent of organizations surveyed experienced at least one data security incident with their business data exposed in the previous year as reported in Microsoft’s Data Security Index: Trends, insights, and strategies to secure data report.

The post Data Breach Reporting for regulatory requirements with Microsoft Data Security Investigations​​ appeared first on Microsoft Security Blog.

Regardless of industry or region, two core misconceptions tend to show up when we talk about cyber resilience.

Learn more ↗Cyber resilience may start in the security operations center, or SOC, but it does not end there.

How to be prepared: turning awareness into actionable stepsHow can an organization get cyber resilience right?

Most importantly, cyber resilience is not a one-and-done task, but an inherently continuous discipline.

Learn moreFor a summary of our Enterprise Resilience and Crisis Management Program, which encompasses Enterprise Resilience, Business Continuity Management, and Crisis Management, as well as information about some of our specific products and their Business Contin…

Microsoft will spotlight ​​its AI-first, end-to-end security platform at the Gartner Security & Risk Management Summit. Read our blog post for details on how to connect with us there and a teaser of what to expect from our sessions.​​

The post Connect with us at the Gartner Security & Risk Management Summit appeared first on Microsoft Security Blog.

This third installment in our Deputy Chief Information Security Officer (CISO) series highlights Kumar Srinivasamurthy, Geoff Belknap, and Ann Johnson.

You can read Part 1 and Part 2 of this series to learn about more Microsoft Deputy CISOs.

What keeps me here is I have yet to have a boring day…although I wouldn’t mind having a boring day, just once.”Ann Johnson: “Microsoft recruited me.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Microsoft Defender for Endpoint Apply AI-powered endpoint security across Windows, Linux, macOS, iOS, Android, and IoT devices.

Microsoft delivers comprehensive endpoint protectionNot only does Microsoft have the largest market share in modern endpoint security worldwide, we see more attack data than any other security vendor.

Defender for Endpoint is part of the Microsoft Defender XDR platform, natively integrated with the full breadth of security solutions that comprise our unified security operations platform.

It is offered only by Microsoft Defender XDR and available within Defender for Endpoint.

If you’re looking to supercharge endpoint security at your organization and keep up with th…

To help security teams protect critical assets while ensuring business continuity, Microsoft Defender developed automatic attack disruption: a built-in self-defense capability.

The post Discover how automatic attack disruption protects critical assets while ensuring business continuity appeared first on Microsoft Security Blog.

That’s why we are excited to announce that Microsoft and CrowdStrike are teaming up to create alignment across our individual threat actor taxonomies.

At Microsoft, we’ve published our own threat actor naming taxonomy to help researchers and defenders identify, share, and act on our threat intelligence, which is informed by the 84 trillion threat signals that we process daily.

Introducing a collaborative reference guide to threat actorsMicrosoft and CrowdStrike are publishing the first version of our joint threat actor mapping.

This reference guide helps to:Improve confidence in threat actor identification.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the lates…

In today’s evolving cyber threat landscape, threat actors are committed to advancing the sophistication of their attacks.

When clicked, the link returns a token for the Device Registration Service, allowing registration of the threat actor’s device to the tenant.

Post-compromise identity attacksIn addition to using phishing techniques for initial access, in some cases threat actors leverage the identity acquired from their first-stage phishing attack to launch subsequent phishing attacks.

Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog.

To hear stories and insights from the Microsoft Threat Intelli…

In this blog you will hear directly from Corporate Vice President and Deputy Chief Information Security Officer (CISO) for AI, Yonatan Zunger, about how to build a plan to deploy AI safely.

How do you deploy AI safely?

As Microsoft’s Deputy CISO for AI, my day job is to think about all the things that can go wrong with AI.

If you’re reading this, you’ve likely been asked to do something similar in your own organization—to develop AI systems for your own use, or deploy ones that you’ve acquired from others.

AI-specific principlesWhen it comes to building AI systems, we’ve uncovered a few rules that are exceptionally useful.

Our industry needs to continue working together on identity standards for agent access across systems. Read about how Microsoft is building a robust and sophisticated set of agents.

The post The future of AI agents—and why OAuth must evolve appeared first on Microsoft Security Blog.

We also thank our partners at the US Federal Bureau of Investigation for their continued collaboration on investigating Void Blizzard targeting.

Void Blizzard targetsVoid Blizzard primarily targets NATO member states and Ukraine.

Note, however, that this alert can be also triggered by Void Blizzard activity that is not related to the activity covered in this report.

Void Blizzard activityThe following alerts might indicate credential theft activity related to Void Blizzard utilizing commodity information stealers or conducting password spraying techniques.

Suspicious URL clickedThis query correlates Microsoft Defender for Office 365 signals and Microsoft Entra ID identity data to find the r…

Lumma Stealer delivery techniquesLumma Stealer leverages a broad and evolving set of delivery vectors.

Screenshot of the ClickFix landing after Prometheus TDS redirectionLumma Stealer malware analysisThe core Lumma Stealer malware is written in a combination of C++ and ASM.

Microsoft Defender Threat IntelligenceMicrosoft Security Copilot customers can also use the Microsoft Security Copilot integration in Microsoft Defender Threat Intelligence, either in the Security Copilot standalone portal or in the embedded experience in the Microsoft Defender portal to get more information about this threat actor.

Learn moreFor the latest security research from the Microsoft Threat Intelligence communi…

Below we describe our prompt injection mitigation product strategy based on extensive research, development, and deployment of improved security mitigations.

A layered security approachGoogle has taken a layered security approach introducing security measures designed for each stage of the prompt lifecycle.

From there, a key protection against prompt injection and data exfiltration attacks occurs at the URL level.

Users are encouraged to become more familiar with our prompt injection defenses by reading the Help Center article.

Moving forwardOur comprehensive prompt injection security strategy strengthens the overall security framework for Gemini.

The Chrome Root Program Policy states that Certification Authority (CA) certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion.

To safeguard Chrome’s users, and preserve the integrity of the Chrome Root Store, we are taking the following action.

Apple policies prevent the Chrome Certificate Verifier and corresponding Chrome Root Store from being used on Chrome for iOS.

Beginning in Chrome 127, enterprises can override Chrome Root Store constraints like those described in this blog post by installing the corresponding root CA certificate as a locally-trusted root on the platform Chrome is running (e.g., install…

Google Quantum AI's mission is to build best in class quantum computing for otherwise unsolvable problems.

In 2019, using the same physical assumptions – which consider qubits with a slightly lower error rate than Google Quantum AI’s current quantum computers – the estimate was lowered to 20 million physical qubits.

Normally more error correction layers means more overhead, but a good combination was discovered by the Google Quantum AI team in 2023.

Another notable error correction improvement is using "magic state cultivation", proposed by the Google Quantum AI team in 2024, to reduce the workspace required for certain basic quantum operations.

These algorithms can already be deployed to d…

Our dedication to your security is validated by security experts, who consistently rank top Android devices highest in security, and score Android smartphones, led by the Pixel 9 Pro, as leaders in anti-fraud efficacy.

Now, Google Play Protect live threat detection will catch apps and alert you when we detect this deceptive behavior.

We’ve made Google Play Protect’s on-device capabilities smarter to help us identify more malicious applications even faster to keep you safe.

Google Play Protect now uses a new set of on-device rules to specifically look for text or binary patterns to quickly identify malware families.

This update to Google Play Protect is now available globally for all Android…

To enhance these existing device defenses, Android 16 extends Advanced Protection with a device-level security setting for Android users.

Advanced Protection gives users:Best-in-class protection, minimal disruption: Advanced Protection gives users the option to equip their devices with Android’s most effective security features for proactive defense, with a user-friendly and low-friction experience.

Advanced Protection gives users the option to equip their devices with Android’s most effective security features for proactive defense, with a user-friendly and low-friction experience.

Defense-in-depth: Once a user turns on Advanced Protection, the system prevents accidental or malicious disab…

Tech support scams are an increasingly prevalent form of cybercrime, characterized by deceptive tactics aimed at extorting money or gaining unauthorized access to sensitive data.

Tech support scams on the web often employ alarming pop-up warnings mimicking legitimate security alerts.

Chrome has always worked with Google Safe Browsing to help keep you safe online.

Standard Protection users will also benefit indirectly from this feature as we add newly discovered dangerous sites to blocklists.

Beyond tech support scams, in the future we plan to use the capabilities described in this post to help detect other popular scam types, such as package tracking scams and unpaid toll scams.

Today, we’re announcing Sec-Gemini v1, a new experimental AI model focused on advancing cybersecurity AI frontiers.

This is why we are making Sec-Gemini v1 freely available to select organizations, institutions, professionals, and NGOs for research purposes.

Sec-Gemini v1 outperforms other models on key cybersecurity benchmarks as a result of its advanced integration of Google Threat Intelligence (GTI), OSV, and other key data sources.

Sec-Gemini v1 outperforms other models on CTI-MCQ, a leading threat intelligence benchmark, by at least 11% (See Figure 1).

If you are interested in collaborating with us on advancing the AI cybersecurity frontier, please request early access to Sec-Gemini v1…

In partnership with NVIDIA and HiddenLayer, as part of the Open Source Security Foundation, we are now launching the first stable version of our model signing library.

These challenges are addressed by using Sigstore, a collection of tools and services that make code signing secure and easy.

These features are why we recommend Sigstore’s signing mechanism as the default approach for signing ML models.

Today the OSS community is releasing the v1.0 stable version of our model signing library as a Python package supporting Sigstore and traditional signing methods.

This model signing library is specialized to handle the sheer scale of ML models (which are usually much larger than traditional so…

The Chrome Root Program launched in 2022 as part of Google’s ongoing commitment to upholding secure and reliable network connections in Chrome.

It is non-normative and considered distinct from the requirements detailed in the Chrome Root Program Policy.

Last spring, the Chrome Root Program led ecosystem-wide experiments, emphasizing the need for linting adoption due to the discovery of widespread certificate mis-issuance.

We recently landed an updated version of the Chrome Root Program Policy that further aligns with the goals outlined in “Moving Forward, Together.” The Chrome Root Program remains committed to proactive advancement of the Web PKI.

We continue to value collaboration with web…

We’re excited to announce that starting today, Titan Security Keys are available for purchase in more than 10 new countries:IrelandPortugalThe NetherlandsDenmarkNorwaySwedenFinlandAustraliaNew ZealandSingaporePuerto RicoThis expansion means Titan Security Keys are now available in 22 markets, including previously announced countries like Austria, Belgium, Canada, France, Germany, Italy, Japan, Spain, Switzerland, the UK, and the US.

What is a Titan Security Key?

How do I use a Titan Security Key?

Where can I buy a Titan Security Key?

You can buy Titan Security Keys on the Google Store.

In December 2022, we released the open source OSV-Scanner tool, and earlier this year, we open sourced OSV-SCALIBR.

With guided remediation support for Maven, you can remediate vulnerabilities in both direct and transitive dependencies through direct version updates or overriding versions through dependency management.

We also introduced machine readable output for guided remediation that makes it easier to integrate guided remediation into your workflow.

VEX Support: We're planning to add support for Vulnerability Exchange (VEX) to facilitate better communication and collaboration around vulnerability information.

Try OSV-Scanner V2You can try V2.0.0 and contribute to its ongoing developme…

Posted by Dirk GöhmannIn 2024, our Vulnerability Reward Program confirmed the ongoing value of engaging with the security research community to make Google and its products safer. This was evident as we awarded just shy of $12 million to over 600 researchers based in countries around the globe across all of our programs.Vulnerability Reward Program 2024 in NumbersYou can learn about who’s reporting to the Vulnerability Reward Program via our Leaderboard – and find out more about our youngest security researchers who’ve recently joined the ranks of Google bug hunters.VRP Highlights in 2024In 2024 we made a series of changes and improvements coming to our vulnerability reward programs and rel…

Scam Detection in Google Messages uses powerful Google AI to proactively address conversational scams by providing real-time detection even after initial messages are received.

You can turn off Spam Protection, which includes Scam Detection, in your Google Messages at any time.

Scam Detection in Google Messages is launching in English first in the U.S., U.K. and Canada and will expand to more countries soon.

Scam Detection for callsMore than half of Americans reported receiving at least one scam call per day in 2024.

If enabled, Scam Detection will beep at the start and during the call to notify participants the feature is on.

This includes memory-safe languages, now including high-performance ones such as Rust, as well as safer language subsets like Safe Buffers for C++.

In Android for example, the increasing adoption of memory-safe languages like Kotlin and Rust in new code has driven a significant reduction in vulnerabilities.

In this way, policymakers will gain the technical foundation to craft effective policy initiatives and incentives promoting memory safety.

Importantly, our vision for achieving memory safety through standardization focuses on defining the desired outcomes rather than locking ourselves into specific technologies.

The goal would be to objectively compare the memory safety assurance of diff…

Google Play’s multi-layered protections against bad appsTo create a trusted experience for everyone on Google Play, we use our SAFE principles as a guide, incorporating multi-layered protections that are always evolving to help keep Google Play safe.

Google Play Protect automatically scans every app on Android devices with Google Play Services, no matter the download source.

In 2024, Google Play Protect’s real-time scanning identified more than 13 million new malicious apps from outside Google Play1.

To prevent this, the Play Protect app scanning toggle is now temporarily disabled during phone or video calls.

To prevent this, the Play Protect app scanning toggle is now temporarily disabled …