Трояна Amadey подрядили работать проводником шифровальщика LockBit 3.0

Трояна Amadey подрядили работать проводником шифровальщика LockBit 3.0

Трояна Amadey подрядили работать проводником шифровальщика LockBit 3.0

Злоумышленники осваивают новый способ доставки LockBit на Windows-машины — с помощью ботов Amadey. В AhnLab изучили вложения в поддельные письма, которые авторы текущих атак рассылают на адреса компаний, и выяснили, что целевой полезной нагрузкой является новейшая версия шифровальщика — 3.0.

Вредоносные имейл-сообщения имитируют отклик на вакансию либо уведомление о нарушении авторских прав. Вложение в такие фальшивки может быть оформлено как документ Microsoft Word либо исполняемый файл, для отвода глаз снабженный Word-иконкой. При открытии любого из них в систему жертвы устанавливается Amadey — зловред, умеющий воровать данные и по команде загружать дополнительный софт.

При использовании вложения Resume.exe (с маскировочной иконкой Word) цепочка заражения коротка, троянский загрузчик запускается сразу после открытия файла. Вариант доставки Amadey с помощью документа Word более замысловат.

Анализ вредоносного вложения Sia_Sim.docx, поданного на VirusTotal 28 октября, показал, что оно загружает из интернета шаблон в формате DOTM с VBA-макросом. В тело внешнего документа вставлено изображение с подсказкой — включить активный контент, якобы для обеспечения совместимости формата.

 

Если пользователь последует инструкции, отработает макрос, который создаст вредоносный LNK-файл с сохранением в папке C:\Users\Public\. Содержимым skem.lnk является загрузчик Amadey; его запуск инициирует команда > rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk.

Внедренный таким образом троян при исполнении копирует себя в папку временных файлов и создает запланированное задание на автозапуск. Затем вредонос подключается к C2-серверу и отсылает на него данные зараженного хоста. В ответ он может получить команду на загрузку LockBit 3.0 — в виде обфусцированного PowerShell-скрипта (cc.ps1 или dd.ps1) либо бинарного файла (LBB.exe).

Целевая полезная нагрузка тоже оседает в папке TEMP. Шифровальщик обрабатывает файлы жертвы и создает записку с требованием выкупа. Следуя схеме двойного шантажа, вымогатели угрожают неплательщикам публикацией украденных данных.

Третья версия LockBit, она же LockBit Black, вышла в июне этого года. Тогда же ее авторы пошли на беспрецедентный шаг — запустили программу bug bounty для выявления дыр в созданных ими веб-ресурсах и кодах. Мишенями вымогательских атак обычно становятся большие организации; недавно стало известно, что LockBit 3.0 проник в сеть базирующейся во Франции ИТ-компании Thales.

Cloud.ru добавил внешние языковые модели в Foundation Models

Cloud.ru расширил сервис Foundation Models: теперь в нём доступны не только модели, развернутые в собственной инфраструктуре компании, но и внешние большие языковые модели от глобальных провайдеров, включая Alibaba, DeepSeek, Z.ai и других.

Пользователи смогут выбирать открытые и проприетарные модели под разные задачи, подключать их через единый API или веб-интерфейс, сравнивать параметры и стоимость, а платить — за фактическое использование.

В Cloud.ru называют Foundation Models единой точкой доступа к широкому набору моделей. В компании также отмечают, что сервис должен стать альтернативой OpenRouter, который ушёл с российского рынка в июне 2026 года.

Отдельный акцент сделан на работе с данными. В платформе предусмотрены инструменты контроля и безопасности, включая Guardrails. Они позволяют проверять запросы, маскировать корпоративные и пользовательские данные и снижать риск утечек при использовании сторонних моделей. Если система обнаруживает чувствительные данные, такие случаи фиксируются в мониторинговых алертах.

При этом Cloud.ru продолжит предлагать модели, развернутые в собственной инфраструктуре, для сценариев, где важно соблюдение требований 152-ФЗ. Внешние модели добавляются как отдельный вариант для задач, где нужен более широкий выбор или быстрый доступ к новым решениям глобальных провайдеров.

Сейчас в каталоге Foundation Models представлено более 20 больших языковых моделей из семейств GLM, Qwen, DeepSeek, MiniMax, GigaChat и других. Среди внешних моделей уже доступна GLM-5.2, вышедшая на мировой рынок в конце июня и привлекшая внимание результатами в задачах кодинга и агентных сценариях.

Сервис Foundation Models был запущен в коммерческую эксплуатацию в ноябре 2025 года. С тех пор модели обработали 450 млрд токенов. Среди наиболее популярных сценариев использования в Cloud.ru называют разработку, клиентскую поддержку, продажи и создание контента.

По сути, Cloud.ru расширяет витрину моделей: часть можно использовать внутри собственной инфраструктуры компании, часть — подключать у внешних провайдеров, но через единый интерфейс и с дополнительным контролем данных.

RSS: Новости на портале Anti-Malware.ru