Ростелеком-Солар получил право инициировать блокировку фишинговых ресурсов

Ростелеком-Солар получил право инициировать блокировку фишинговых ресурсов

Ростелеком-Солар получил право инициировать блокировку фишинговых ресурсов

Компания «Ростелеком-Солар» получила право инициировать блокировку фишинговых сайтов в нескольких доменных зонах. Об этом говорит соглашение с тремя российскими организациями, занимающимися администрированием доменов: АНО «Координационный центр национального домена сети Интернет» (администрирует домены .RU и .РФ), Фонд содействия развитию технологий и инфраструктуры Интернета FAITID (администрирует домены .MOSCOW и .МОСКВА) и АНО «РосНИИРОС» (администрирует домен .SU).

Таким образом, если специалисты «Ростелеком-Солар» выявят вредоносные сайты, которые злоумышленники используют в своих целях, они смогут сообщить об этом регистраторам доменных имён. Эта практика существует в России уже более десяти лет.

Например, на сегодняшний день у Координационного центра есть 11 партнёров среди частных компаний сферы информационной безопасности и государственных организаций. FAITID и «РосНИИРОС» располагают чуть меньшим числом партнёров — по пять на каждую.

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC, напомнил о постоянном росте количества фишинговых атак и праздничных пиках, когда число фишинговых сайтов увеличивается на 30-40%. Теперь, по словам Дрюкова, «Ростелеком-Солар» сможет занять более активную позицию в борьбе с фишингом.

К слову, информация о вредоносных и мошеннических ресурсах поступает «Ростелеком-Солар» из разных источников: статистка Solar JSOC, анализ поисковой выдачи, регулярное отслеживание активности в тёмной сети (даркнете). Передав все данные регистратору доменных имён, специалисты могут рассчитывать на блокировку незаконного ресурса в течение 1-2 дней.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

RSS: Новости на портале Anti-Malware.ru