Хактивисты Forbidden Hyena применяют ИИ для атак на российские компании

Екатерина Быстрова 27 Февраля 2026 - 12:46

Таргетированные атаки

...

Хактивисты Forbidden Hyena применяют ИИ для атак на российские компании

Хактивистская группировка Forbidden Hyena начала использовать искусственный интеллект для разработки своих инструментов при атаках на российские компании. Об этом сообщили специалисты BI.ZONE Threat Intelligence, обнаружившие командный сервер кластера.

Forbidden Hyena заявила о себе в начале 2025 года. Среди её целей — органы госуправления, а также организации из сфер здравоохранения, энергетики, инженерии, ретейла и ЖКХ.

Аналитики BI.ZONE нашли на сервере группировки несколько скриптов с явными признаками ИИ-генерации. В их числе — два PowerShell-скрипта: один предназначался для закрепления в системе, другой — для установки AnyDesk на устройство жертвы. Также был обнаружен Bash-скрипт для загрузки и запуска обфусцированного импланта Sliver — инструмента, изначально созданного для пентеста.

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, признаки использования ИИ заметны по структуре кода: в скриптах присутствуют отладочные строки, подробные комментарии, понятные названия переменных и отсутствует обфускация — приёмы запутывания кода, которые обычно применяют злоумышленники при самостоятельной разработке.

При этом, по оценке экспертов, такие инструменты пока остаются довольно шаблонными и примитивными. В 2025 году доля атак на российские компании с использованием ИИ не превышала 1%. Тем не менее тренд на вредоносное использование искусственного интеллекта, вероятно, будет усиливаться, а атаки станут сложнее.

Сценарий атаки предполагал загрузку ранее неизвестного трояна удалённого доступа BlackReaperRAT, который позволял скрытно управлять заражённым устройством. Финальной целью было шифрование инфраструктуры и требование выкупа. Для этого злоумышленники использовали обновлённую версию шифровальщика Blackout Locker, переименованного в Milkyway.

По данным BI.ZONE, во втором полугодии 2025 года заметен ещё один тренд: доля атак, совершаемых по идеологическим мотивам, снизилась с 20% до 12%, а хактивистские группы всё чаще совмещают свои кампании с классическим вымогательством.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Апреля 2026 - 19:59

Ideco NGFW Novum Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Айдеко

В Ideco NGFW Novum появились новые функции ZTNA, DNS-Security и SD-WAN

Компания Ideco представила обновление межсетевого экрана Ideco NGFW Novum. Новый релиз заметно расширяет функциональность продукта: в него вошли централизованное управление, доработки модуля защиты DNS, новые сценарии ZTNA и встроенные механизмы SD-WAN.

Одним из главных изменений стала платформа Ideco Center для централизованного управления.

В ней появилась поддержка высокопроизводительных контекстов и геораспределённого кластера из двух узлов в разных дата-центрах. При этом отказ одного из узлов, как заявляется, не должен прерывать управление инфраструктурой. Также добавлен централизованный сбор журналов IPS и WAF с возможностью выгрузки в SIEM.

Отдельно доработан модуль DNS-Security. В системе появился журнал DNS-запросов, где можно отслеживать обмен DNS-сообщениями при включённом логировании и активированном модуле защиты. Сам модуль предназначен для выявления угроз, которые не всегда видны обычным механизмам межсетевого экрана, включая DGA-домены, DNS-туннелирование, обращения к управляющей инфраструктуре, фишинговые и недавно зарегистрированные домены.

Изменения затронули и ZTNA-клиент. Теперь пользователя можно привязывать к конкретному устройству, а сертификат использовать как дополнительный фактор авторизации в VPN. Сертификаты можно выпускать через NGFW или использовать собственные. В сочетании с логином, паролем и одноразовым кодом это позволяет собрать многофакторную схему доступа.

В блоке SD-WAN появились SLA-профили. Это означает, что маршрутизация теперь может учитывать параметры вроде задержки, джиттера и потери пакетов. Если канал перестаёт соответствовать заданному профилю, узел NGFW может переключить маршрут. Все такие переключения фиксируются в журнале с указанием причины.

Кроме того, в релиз добавили интеграцию с базой ФинЦЕРТ. Благодаря этому в правилах межсетевого экрана, контент-фильтра и IPS можно использовать соответствующие индикаторы компрометации.

Изменения затронули и кластеризацию. В обновлении заявлены синхронизация FIB-таблицы и состояния LACP-интерфейсов между узлами, поддержка Graceful Restart для BGP и OSPF, синхронизация базы отчётов между нодами, а также ускорение переключения внутри кластера.

В части ИБ-функций добавлены защита от ICMP-туннелирования, авторизация администраторов по SSH-ключу и двухфакторная аутентификация для административного доступа.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!