2SDnjd76ePt
Эксперты Kaspersky Security Services обнаружили сложную кампанию, в рамках которой злоумышленники массово заражают контейнерные среды криптомайнером Dero. Чтобы получить доступ к таким средам, они используют открытые API Docker — программные интерфейсы для платформы с открытым исходным кодом Docker, предназначенной для контейнерной разработки. Помимо майнера, атакующие запускают сетевой червь, позволяющий продолжать цепочку заражений.
Кибератака направлена на организации, которые используют контейнерную инфраструктуру, не обеспечивая при этом строгий контроль за интерфейсами с точки зрения безопасности. В числе потенциальных мишеней — технологические компании, разработчики ПО, хостинг-провайдеры, поставщики облачных сервисов.
Сначала злоумышленники ищут API Docker, опубликованные небезопасным способом. По данным поисковой системы Shodan, в 2025 году в среднем по миру ежемесячно публиковалось 485 API Docker на стандартных портах, в том числе в России и странах СНГ. Далее атака развивается следующим методом: компрометируются уже существующие контейнеры и создаются новые на основе стандартного легитимного образа Ubuntu. После их заражают двумя вредоносными компонентами — nginx и cloud. Cloud — это и есть сам криптомайнер Dero, а nginx отвечает за обеспечение его работы, а также сканирует сеть для поиска других незащищённых сред. Злоумышленники, вероятно, назвали этот компонент nginx, чтобы замаскировать его под известный одноимённый легитимный веб-сервер и попытаться таким образом избежать обнаружения. Доставка зловреда в рамках этой кампании происходит без участия традиционного командного сервера: заражённые контейнеры могут сканировать сеть независимо друг от друга и продолжать распространять майнер.
«Такой метод может привести к огромному росту числа заражений. Каждый скомпрометированный контейнер — это потенциальный источник кибератак, если в сетях, которые могут стать мишенью, не будут заблаговременно приняты меры безопасности, — объясняет Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского». — Контейнеры имеют важнейшее значение для разработки, развёртывания и масштабирования программного обеспечения. Они широко используются в нативных облачных средах, DevOps и микросервисной архитектуре, что делает их целью кибератак. Поскольку организации всё больше зависят от контейнеров, необходимо применять комплексный подход к безопасности: использовать надёжные защитные решения, осуществлять проактивный поиск угроз и на регулярной основе выявлять признаки компроментации информационных систем, привлекая для этого внешних экспертов».
Атакующие встроили названия файлов (nginx и cloud) непосредственно в исполняемый файл. Это классический метод маскировки, который позволяет выдавать вредоносные инструменты за легитимные, чтобы их не могли обнаружить ИБ-специалисты и автоматизированные системы защиты.
Чтобы снизить риски, связанные с атаками на контейнеры, «Лаборатория Касперского» рекомендует:
UserGate, российский разработчик решений в области кибербезопасности и архитектор сетевого доверия, озвучил результаты аналитического исследования характера актуальных угроз и киберинцидентов у российских заказчиков в 2025 году.
Атака началась с отправки на корпоративную почту сотрудника организации фишингового письма с заголовком «Исх.
В рамках конференции «Цифровая индустрия промышленной России» (ЦИПР) – главного делового события по цифровой экономике и технологиям в России – «Группа Астра» и NGR Softlab заключили соглашение о стратегическом партнерстве.
Компании представили на конференции ЦИПР-2026 результаты совместного исследования по расчёту возврата инвестиций в ИБ для крупных российских предприятий.
«ГИГАНТ Комплексные системы» получил сертификат совместимости средства доверенной загрузки ViPNet SafeBoot 3 версии 3.
Критическая уязвимость в HTTP-сервере NGINX активно эксплуатируется злоумышленниками, об этом сообщают СМИ со ссылкой на данные исследователей.
Школы Мурманской области активно приступили к замене иностранного программного обеспечения российским.
Microsoft предупредила о критической уязвимости CVE-2026-42897 в локальных версиях Exchange Server 2016, 2019 и Subscription Edition.
Microsoft начала отменять внутренние лицензии на Claude Code - ИИ-инструмент Anthropic для работы с кодом, который с декабря активно использовали сотрудники компании.
В работе каршеринга «Делимобиль» 18 мая произошел массовый сбой: пользователи жаловались на неработающее приложение, невозможность завершить аренду и проблемы с доступом к автомобилям.
