Angara Security

С Днём России! Наша сила — в людях. В их таланте, трудолюбии и неравнодушии. Желаем двигаться только вперёд, верить в свои силы и вместе создавать будущее, которым можно гордиться.

🔝 За 2025–2026 учебный год мы провели масштабную серию мероприятий в ключевых партнерских университетах. МТУСИ, Московский Политех, РГУ имени Губкина, МЭИ, РГГУ, ТюмГУ, МИРЭА и другие ВУЗы стали площадками для живого диалога и обмена опытом. Мы использовали разные форматы: 🔘ярмарки вакансий и мастер-классы 🔘лекции с нашими экспертами 🔘конференции и выездные школы по кибербезопасности 🔘партнерское участие в CTF-соревнованиях (МИРЭА и НИУ ВШЭ). Результат: 25 событий, более 1000 студентов, 19 экспертов компании делились знаниями и готовили новое поколение специалистов. И, по доброй традиции, финальным аккордом года станет запуск стажировки Angara Start 2026. Заявки пришли из 26 ВУЗов — от ВШЭ и МГТУ им. Баумана до ДГУ и ТвГТУ. По итогам конкурса в программе участвуют 28 лучших студентов. Этим летом под руководством 14 наставников их ждут лекции, лабораторные работы и настоящие вызовы в сфере ИБ. 🅰️Карьера в кибербезопасности начинается с Angara Start! 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

🔝 За 2025–2026 учебный год мы провели масштабную серию мероприятий в ключевых партнерских университетах. МТУСИ, Московский Политех, РГУ имени Губкина, МЭИ, РГГУ, ТюмГУ, МИРЭА и другие ВУЗы стали площадками для живого диалога и обмена опытом. Мы использовали разные форматы: 🔸 ярмарки вакансий и мастер-классы 🔸 лекции с нашими экспертами 🔸 конференции и выездные школы по кибербезопасности 🔸 партнерское участие в CTF-соревнованиях (МИРЭА и НИУ ВШЭ). Результат: 25 событий, более 1000 студентов, 19 экспертов компании делились знаниями и готовили новое поколение специалистов. И, по доброй традиции, финальным аккордом года станет запуск стажировки Angara Start 2026. Заявки пришли из 26 ВУЗов — от ВШЭ и МГТУ им. Баумана до ДГУ и ТвГТУ. По итогам конкурса в программе участвуют 28 лучших студентов. Этим летом под руководством 14 наставников их ждут лекции, лабораторные работы и настоящие вызовы в сфере ИБ. Карьера в кибербезопасности начинается с Angara Start!

⚡️ Долг, которого не было: новая атака BoTeam на российские компании Злоумышленники рассылают фишинговые письма от имени микрокредитной организации с темой "Урегулирование задолженности по договору займа". Каждое письмо и вложение под конкретного получателя: используются реальные ФИО, реквизиты организаций и другие сведения, повышающие доверие к сообщению Во вложениях RTF-документы, с OLE-объектами на уязвимость CVE-2026-21509 в Microsoft Office. Что еще привлекло внимание: — документы почти не выявляются антивирусными средствами; — успешно обходят песочницы; — используют качественную социальную инженерию, а именование доменных имен неплохо мимикрирует под вполне легитимные ресурсы. После активации встроенного OLE-объекта происходит загрузка LNK-файла по UNC-ссылке. Каждая ссылка является одноразовой и уникальна. В ходе атрибуции выявлена инфраструктура, ранее связанная с деятельностью BoTeam (Hoody Hyena) Индикаторы компрометации: yandex-disk[.]com 5.188.60[.]161 ⚠️ Рекомендуем в кратчайшие сроки установить обновления Microsoft Office, содержащие исправление CVE-2026-21509. Если обновление пока невозможно, следует рассмотреть блокировку OLE-компонента Shell.Explorer.1 (CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B), который используется в цепочке эксплуатации 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

🔒«Ключи под ковриком» больше не работают: разбор приказа ФСТЭК №117 С 1 марта 2026 года правила игры для госкомпаний и бизнеса изменились. Привилегированные учётные записи — главная мишень хакеров: 4 крупнейшие утечки-2025 ударили по госсервисам. 🅰️Алексей Варлаханов — о том, почему доверие к администраторам превратилось в уязвимость и как рынок PAM вырос на 22% (до 47,6 млрд ₽). В статье: 🔘Как подрядчики становятся «серыми кардиналами» через RDP/SSH 🔘Почему запрещено объединять роли разработчика и админа 🔘Что дает видеозапись сеансов и поведенческая аналитика (UEBA) 🔎Читать на портале «Атомная энергия 2.0» 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

🔥Как проверить, защищает ли ваша система данные по требованиям ФСТЭК? В 2025 году ежедневно выявлялось в среднем 500 тысяч новых вредоносных файлов — на 7 % больше, чем в 2024 году. Распространение вредоносного ПО через скрипты и документы разных форматов входит в тройку основных угроз ИБ. База данных угроз регулятора содержит исчерпывающую информацию о том, какие меры должны быть реализованы для надёжной защиты. Мы разобрали 7 ключевых признаков того, что ваша система контроля файлов не соответствует требованиям ФСТЭК, и дали практические рекомендации по устранению уязвимостей. 📎Детали в новой статье на сайте 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

Майские вечера команды реагирования Angara MTDR с «привкусом» GOFFEE ☕️ В одном из недавних расследований мы снова столкнулись с активностью группировки GOFFEE (Paper Werewolf). Группа довольно известная, но в этом инциденте удалось зафиксировать несколько любопытных обновлений в их техниках проведения атак. ⚡️ Ключевой момент — использование CopyFail (CVE-2026-31431). Это та самая громкая уязвимость локального повышения привилегий в ядре Linux. Похоже, мы первыми увидели применение этого 732-байтного Python-скрипта «в полях» со стороны крупной группировки в российском ландшафте. Сама атака развивалась по классической схеме: вход через подрядчика в слепой зоне мониторинга, закрепление с помощью новой версии агента Mythic и стремительное продвижение по сети. Чтобы скрыть следы, злоумышленники действовали радикально, выводя из строя серверы первичного доступа. При этом некоторые действия были настолько «шумными», что поначалу даже не верилось, что это GOFFEE. Позднее обязательно поделимся конкретикой и индикаторами компрометации. Stay tuned. 🤓 Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara MTDR:

« Этот инцидент - подтверждение выводов нашего аналитического отчета за 2025 год: атаки через подрядчиков по-прежнему остаются одним из самых удобных и недооцененных сценариев входа в инфраструктуру, а громкие уязвимости злоумышленники начинают осваивать практически сразу после их появления. Совсем скоро мы представим наш годовой отчет за 2025 год, где подробно разберем эти тенденции и покажем, как они проявляются в реальных расследованиях. Да, кажется, немного затянули с выходом в публичное поле, но результат точно того стоит. »

📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

💬Вам пишет «представитель бренда», хвалит контент и предлагает сотрудничество или скидки. Приятно? Ещё бы. Но именно на этом играют злоумышленники. Эксперты отдела защиты бренда Angara MTDR разобрали свежую схему: 🟠Массовая рассылка сообщений в соцсетях. 🟠Ссылка на страницу бренда в легетимном сервисе Linkme. 🟠Дальше — переход в Telegram или другой мессенджер… и кража аккаунта через фишинговые домены. Главный нюанс: жертва сама передаёт доступ, думая, что подтверждает сотрудничество с брендом. ➡️Полный разбор с примерами и рекомендациями — в статье. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

📊За 2025 год через Angara MTDR прошло более 5000 клиентских обращений. Цифра не рекордная, но важна другая статистика: 🔵98.7% клиентов оценили обработку как «очень доволен». 🔵Средняя оценка — 4.86 / 5.0. Что стоит за этими процентами? Это не «анонимные опросники после закрытия тикета». Это реальная работа с возражениями, качеством аналитики и скоростью, которую мы фиксируем. Недовольный клиент в ИБ обычно молчит или уходит. Довольный — остается на годы. 4.86 при такой массе обращений означает только одно: система управления сервисом работает. Не для галочки, а для человека. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

⚠️Кто нажал rm -rf на проде? Сервер упал, данные утекают, инцидент. Вы открываете логи, а там — одна запись «admin». Под ней работало 5 человек и 2 подрядчика. Кто виноват? Неизвестно. С 1 марта 2026 года регулятор (ФСТЭК) больше не принимает эту неопределенность. Вступил в силу Приказ №117, и п. 48 четко говорит: так больше нельзя. 🔎Смотрим правде в глаза (и на инфографику): 1. Никаких анонимных рутов: учётные записи строго персонифицированы. 2. Подрядчики под запись: каждый сеанс RDP/SSH пишется на видео и в лог команд. 3. Поведенческая аналитика: сисадмин зашел в 1С в 3 часа ночи? Система уведомит SOC. 4. Строгая аутентификация: только усиленная или строгая, без вариантов. ✔️Как мы это решаем: Внедряем PAM-систему, которая делает именно то, что требует регулятор: ➡️Изолированные сеансы. ➡️Маскирование данных (подрядчик работает, но не видит паспорта клиентов). ➡️Мгновенное завершение подозрительной сессии. ➡️И самое важное — автоматическое заключение о соответствии п. 48. Хватит гадать. Пора контролировать. Читать больше 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

⚠️Кто нажал rm -rf на проде? Сервер упал, данные утекают, инцидент. Вы открываете логи, а там — одна запись «admin». Под ней работало 5 человек и 2 подрядчика. Кто виноват? Неизвестно. С 1 марта 2026 года регулятор (ФСТЭК) больше не принимает эту неопределенность. Вступил в силу Приказ №117, и п. 48 четко говорит: так больше нельзя. 🔎Смотрим правде в глаза (и на инфографику): 1. Никаких анонимных рутов: учётные записи строго персонифицированы. 2. Подрядчики под запись: каждый сеанс RDP/SSH пишется на видео и в лог команд. 3. Поведенческая аналитика: сисадмин зашел в 1С в 3 часа ночи? Система уведомит SOC. 4. Строгая аутентификация: только усиленная или строгая, без вариантов. ✔️Как мы это решаем: Внедряем PAM-систему, которая делает именно то, что требует регулятор: ➡️Изолированные сеансы. ➡️Маскирование данных (подрядчик работает, но не видит паспорта клиентов). ➡️Мгновенное завершение подозрительной сессии. ➡️И самое важное — автоматическое заключение о соответствии п. 48. Хватит гадать. Пора контролировать. Читать больше 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

⚠️Кто нажал rm -rf на проде? Сервер упал, данные утекают, инцидент. Вы открываете логи, а там — одна запись «admin». Под ней работало 5 человек и 2 подрядчика. Кто виноват? Неизвестно. С 1 марта 2026 года регулятор (ФСТЭК) больше не принимает эту неопределенность. Вступил в силу Приказ №117, и п. 48 четко говорит: так больше нельзя. 🔎Смотрим правде в глаза (и на инфографику): 1. Никаких анонимных рутов: учётные записи строго персонифицированы. 2. Подрядчики под запись: каждый сеанс RDP/SSH пишется на видео и в лог команд. 3. Поведенческая аналитика: сисадмин зашел в 1С в 3 часа ночи? Система уведомит SOC. 4. Строгая аутентификация: только усиленная или строгая, без вариантов. ✔️Как мы это решаем: Внедряем PAM-систему, которая делает именно то, что требует регулятор: ➡️Изолированные сеансы. ➡️Маскирование данных (подрядчик работает, но не видит паспорта клиентов). ➡️Мгновенное завершение подозрительной сессии. ➡️И самое важное — автоматическое заключение о соответствии п. 48. Хватит гадать. Пора контролировать. Читать больше 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

Приказ №117 уже действует. Вы готовы? 1 марта «правила игры» для ИБ в госсекторе изменились окончательно. Игнорировать новые требования ФСТЭК больше нельзя. Под действие документа теперь подпадают: ➡️Все организации, подключаемые к СМЭВ (включая муниципальные и коммерческие, но оказывающие госуслуги); ➡️Государственные унитарные предприятия (ГУП) и учреждения (ГБУ/МБУ); ➡️Организации, чьи системы раньше аттестовывались по старым упрощенным схемам. 28 мая в 11:00 (МСК) Angara Security и Ассоциация «АБИСС» проводят вебинар без воды: только суть Приказа №117 и алгоритм действий для вашей организации. Если вы еще не проанализировали, попадает ли ваша ИС-инфраструктура под новые требования, настоятельно рекомендуем присоединиться. На вебинаре мы дадим четкие критерии и чек-лист для самопроверки. ✔️Зарегистрироваться 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

В классической модели скорость обработки зависит от критичности тега. Если под угрозой ключевой сервер, то команда подключается за минуты. Если подозрительный файл у бухгалтера — можно подождать несколько часов. 🅰️Мы считаем, что такой подход уже не работает. В Angara MTDR процессы выстроены иначе: каждый инцидент обрабатывается как высококритичный. Наш фактический SLA обработки — 99,99%. Это не плановый ориентир и не маркетинговая формулировка, а реально достигнутый показатель. 🔎Почему это важно? По данным Angara MTDR, до 80% серьезных атак начинаются с «малозначительных» аномалий на непривилегированных рабочих станциях и крайне редко — с громкого сигнала на критичном сервере. Именно так злоумышленник может закрепиться в инфраструктуре, пока инцидент с низким приоритетом ждёт своей очереди. ⚠️Мы не делим атаки на «важные» и «неважные». Для бизнеса любая задержка может стоить слишком дорого. Angara MTDR обрабатывает инциденты с единым высоким приоритетом — и подтверждает это достигнутым SLA в 99,99%. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

🔥«КИБЕРВОЗДУХ 2026»: КАК ИМПОРТОЗАМЕЩЕНИЕ МЕНЯЕТ ПОДХОДЫ К ИБ 14–16 мая Angara Security выступила партнером конференции «Кибервоздух 2026», организованной Госкорпорацией по ОрВД. В деловой программе с докладом выступил руководитель проектов Центра киберустойчивости Angara MTDR Алексей Павлов. 🅰️ «Полный цикл ИБ: построение системы. Мониторинг угроз. Что дальше?» Главный тезис эксперта: сегодня импортозамещение — это не вынужденная мера, а реальная возможность вывести управление кибербезопасностью на качественно новый уровень. Вместо прямого копирования ушедших решений российский рынок получает уникальный шанс выстроить более эффективные, технологичные и адаптивные системы защиты — построенные на решениях включенных в реестр отечественного ПО с учетом собственного ландшафта угроз и лучших мировых практик. Конференция собрала порядка 70 участников — вендоров, интеграторов и профильных специалистов. С докладами также выступили представители Альтиус Лаб, ИнфоТеКС, Kaspersky, InfoWatch, UserGate и других лидеров рынка. В программе затронули защиту каналов связи, NGFW, киберразведку, deception-технологии, автоматизацию ИБ на базе машинного обучения и другие актуальные темы. 🤝Благодарим Госкорпорацию по ОрВД и всех участников за открытый диалог, насыщенную программу и обмен практическим опытом. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

🚨Технический долг или угроза безопасности? 🅰️Хаос в конфигурациях сетевого оборудования перестаёт быть просто техническим долгом в момент потери контроля над доступом, сегментацией, маршрутизацией и управлением устройствами. Дмитрий Кушнерёв, эксперт отдела сетевых технологий Angara Security, — о том, как навести порядок в сети. ⚡️Причинами беспорядка могут стать ошибки, забытые правила или «наследие» в конфигурации сети 🔎Проблема представляет критическую угрозу безопасности инфраструктуры компании, если влияет на один из контуров: ➡️управляющий доступ к устройствам; ➡️сегментацию сети; ➡️правила фильтрации; ➡️маршрутизацию; ➡️механизмы защиты и управления самим устройством; ➡️мониторинг и логирование. ➡️Почему не всегда работают регламенты управления? Причин много, в их числе неправильная работа системы управления конфигурациями, сложности в настройке и администрировании, отсутствие механизмов автоматических изменений и автоматизации проверок, а также существование возможностей без последствий вручную менять конфигурации. ➡️Как исправить ситуацию? Внедрить качественную систему контроля и управления конфигурациями. Но прежде — разделить зоны ответственности ИТ- и ИБ-департаментов для исключения конфликта интересов. ➡️С чего начать? С критичных устройств, их конфигураций, внедрения резервных копий и отслеживания изменений. В первую очередь управление конфигурациями стоит внедрять на: ➡️межсетевых экранах на периметре; ➡️VPN-шлюзах; ➡️коммутаторах или маршрутизаторах на корневом уровне или уровне дистрибуции. Эффект от контроля за конфигурациями такого оборудования будет виден через 2–3 месяца. ❓Что в итоге? Управление конфигурациями можно интегрировать с процессами управления уязвимостями и мониторингом инцидентов для усиления друг друга. Такой подход позволит сохранить контроль над ИТ-инфраструктурой компании и минимизировать поверхность атаки для злоумышленника. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

🔎Что такое «ярлык» на рабочем столе? «Ярлык» — привычная для многих иконка, символическая ссылка, которая позволяет быстро открыть объект или запустить программу. 🔥Но не все так очевидно. LNK-файлы или попросту «ярлыки» ➡️специальные файлы ОС Windows, предназначенные для обеспечения быстрого доступа к другим файлам и объектам системы; ➡️могут быть запущены простым двойным кликом. ⚠️Однако! ➡️За привычной функциональностью «ярлыков» скрывается один из наиболее востребованных инструментов в арсенале современных злоумышленников. ➡️Интенсивность использования LNK-файлов в массовых вредоносных рассылках и таргетированных APT-атаках 2024–2026 годов возросла многократно, что обусловлено тем, как их обрабатывает операционная система. LNK-файл эволюционировал в скрытный «загрузчик первой стадии». Его основная задача — оставаться невидимым для антивирусных решений, делегируя исполнение вредоносного кода доверенным системным утилитам. Классический статический анализ LNK-файла становится лишь отправной точкой исследования. 🅰️Что скрывается за обманчивой лаконичностью ярлыка — новое исследование «LNK — это гораздо больше, чем просто ярлык к файлу» Александра Гантимурова, руководителя направления обратной разработки Angara MTDR. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity

С Днём Великой Победы, друзья! Помним подвиг, чтим героев, гордимся историей. Желаем крепкого здоровья, благополучия и мирного неба над головой! Команда Angara Security.

Сегодня Всемирный день пароля! (хоть и неофициальный) ➡️Парадокс: пароль до сих пор остаётся самым слабым звеном в цифровой безопасности. Мы устали от сложных требований… и выбираем то, что проще запомнить. В топе самых популярных паролей по-прежнему: 123456, password, qwerty, admin, даты рождения, имена детей, клички питомцев. А есть и вовсе «гениальные»: neznayu, parol, zabylparol, ya_admin, letmein, privet123, rabota2024, companyname2025. Смешно? Да. Опасно? Очень. Хуже того — многие используют одну и ту же пару «логин-пароль» везде: на работе, в банках и магазинах, на портале Госуслуг. 🔎По данным Angara MTDR, у 60% компаний происходила компрометация корпоративных учеток. В 25% случаев вместе с логином утекал и пароль. Дальше — злоумышленники автоматически подставляют украденные пары везде, где только можно. Это входная точка в большинство кибератак. Не забудьте проверить свою электронную почту на утечки здесь: https://echo.angarasecurity.ru/ Берегите свой цифровой след!

Анализ защищенности: что изменилось за 15 лет 🅰️Сергей Гилев, директор Центра исследования киберугроз Angara Security, запускает цикл статей на Хабре — и первый акт уже вышел. Спойлер: это не про хардкорные техники. 🔎Это про «боль», которую многие из вас узнают: Когда пентест называют сканированием уязвимостей, а от Red Team ожидают перечень уязвимостей и рекомендации по их устранению. Очень часто заказчик с исполнителем говорят на разных языках еще на этапе пресейла и это становится проблемой. Данная статья - начало методичного разбора всех нюансов услуг наступательной безопасности, который начинается с честного экскурса в конец 2000-х – начало 2010-х: ➡️Как работали пентестеры до появления EternalBlue и атак на Kerberos ➡️Почему отчёты были похожи на распечатки сканера (и где эти сканеры сейчас в услугах) ➡️Откуда взялась путаница в услугах и когда этапы комплексного пентеста стали самостоятельным экспертным направлением Читать статью Stay tuned, акт второй уже в работе. 📲 MAX | 📱 ВКонтакте | 🌐 Сайт @angarasecurity