Правя това от достатъчно време, за да знам, че повечето седмици най-голямата история е вариация на нещо, което вече сме виждали. Нов вариант на ransomware. Поредна уязвимост в нещо, което вероятно използвате. Известие за пробив, което идва шест седмици след събитието.
Тази седмица не беше такава.
Тази седмица някой пусна AI агент, който автономно проникна в мрежа, открадна идентификационни данни, придвижи се латерално, криптира бази данни и пусна искане за откуп. Никой човек не го насочваше. Той поправи собствените си грешки за 31 секунди. Това е граница, която току-що прекрачихме. И няма връщане назад.
684 ransomware атаки в Европа за четири месеца. 31 секунди за AI агент да поправи собствения си неуспешен опит за вход. 2 милиона компрометирани smart TV, използвани като прокси изходни възли. 10.0 CVSS резултат в повсеместния софтуер за отдалечена поддръжка. 0 дни между разкриване и експлоатация за ColdFusion уязвимост. Това беше една седмица.
Ето какво се случи, какво означава за бизнеса ви и какво да предприемете.
1. JadePuffer: AI Ransomware-ът, който работеше сам
Източник: Sysdig research | 2 юли 2026
Да започнем с историята, която не ми даде да спя тази седмица. Sysdig документираха това, което според тях е първият потвърден случай на LLM-управляван AI агент, изпълнил пълна верига на ransomware атака без никаква човешка намеса. Нарекли са го JadePuffer.
Агентът използва стара Langflow уязвимост (CVE-2025-3248, пач от април 2025, в списъка на CISA KEV от май 2025), за да получи първоначален достъп. Оттам той извърши разузнаване, открадна идентификационни данни, придвижи се латерално, ескалира привилегии, криптира база данни и достави искане за откуп. Когато опит за вход се провали, агентът диагностицира проблема и опита отново успешно за 31 секунди.
Тридесет и една секунди.
Прагът за извършване на ransomware атаки току-що падна до нула. Няма човешки оператор за преговори, няма модел за профилиране, няма график за сън, който да използвате.
Защо е важно за SMB: Ако имате internet-достъпни Langflow инстанции, пачнете ги веднага. Този CVE е от 2025. Отвъд конкретния фикс, това е сигнално събитие. Когато AI агентите могат автономно да пускат ransomware, обемът на атаките не просто се увеличава. Той се мултиплицира. Всяко изложено AI/ML средство става потенциална входна точка. Уверете се, че продукционните ви бази данни са сегментирани отделно от всичко, което е internet-достъпно. Ако атакуващ компрометира сървър на приложение, той не трябва да може да достигне до клиентската ви база данни оттам.
2. SimpleHelp CVE-2026-48558: CVSS 10.0, MSP-тата на прицел
Източник: CISA KEV | 29 юни 2026
CISA добави максимално-тежка уязвимост за заобикаляне на удостоверяване в SimpleHelp софтуер за отдалечена поддръжка към своя каталог за известни експлоатирани уязвимости (KEV). CVSS резултатът е 10.0. По-лошо от това няма.
Проблемът засяга SimpleHelp версии 5.5.15 и по-ранни, плюс 6.0 пре-рийз версии. Когато OIDC удостоверяването е активирано, софтуерът не успява да провери криптографските подписи на токените за идентичност. Неудостоверен атакуващ може да фалшифицира токен и да получи напълно удостоверена техник сесия. При някои конфигурации това заобикаля напълно MFA.
Защо е важно за SMB: SimpleHelp е навсякъде в света на MSP. Това е инструментът, който вашият IT екип използва за отдалечен достъп до системите ви. Ако атакуващ компрометира SimpleHelp сървъра, той получава същото ниво на достъп, което вашият IT екип има. Пълен административен контрол над всяка машина, която MSP управлява. CISA даде краен срок за коригиране до 2 юли. Ако използвате SimpleHelp или вашият MSP го използва, проверете дали пачът е приложен. Попитайте ги директно.
3. BlueHammer: Ransomware групи въоръжават Microsoft Defender уязвимост
Източник: BleepingComputer | 30 юни 2026
CISA потвърди, че ransomware групи активно експлоатират CVE-2026-33825, известна като BlueHammer. Това е уязвимост за ескалация на привилегии в Microsoft Defender, която първоначално беше изтекла като zero-day през април от недоволен изследовател. Microsoft я пачнаха в априлското Patch Tuesday актуализация. Сега, месеци по-късно, атакуващите я използват, за да ескалират до SYSTEM привилегии и да поемат пълен контрол над Windows машини.
Защо е важно за SMB: Пачът е наличен от три месеца. Ако не сте разпространили априлската Patch Tuesday актуализация на всяка работна станция и сървър, това е вашият прозорец на уязвимост. Ransomware операторите активно сканират за непачвани системи. Това не е теоретичен риск. Имютабилните бекъпи са копието, което ransomware не може да изтрие, но само ако ги имате на място преди атаката. Проверете дали актуализацията е инсталирана навсякъде.
4. SharePoint Server RCE (CVE-2026-45659) Добавен в CISA KEV
Източник: CISA / SOCRadar | 1 юли 2026
CISA добави десериализационна RCE уязвимост в Microsoft SharePoint Server (CVSS 8.8) към своя KEV каталог с краен срок за отстраняване до 4 юли. Удостоверен атакуващ с разрешения на Site Member, стандартната роля на сътрудник, която много служители и външни партньори притежават, може да изпълни произволен код на SharePoint сървъра. Microsoft пусна пача през май, но забави бюлетина за сигурност до 21 май.
Защо е важно за SMB: SharePoint е основен инструмент в SMB и mid-market средите за управление на документи, интранет и клиентско сътрудничество. Прагът за разрешения Site Member е нисък. Много служители, контрактори и външни доставчици го притежават. Ако използвате on-premises SharePoint, потвърдете, че майската актуализация за сигурност от 2026 е инсталирана. Ако споделяте SharePoint сайтове с външни партньори, третирайте това като спешно.
5. Фалшиви IT обаждания в Microsoft Teams разпространяват EtherRAT
Източник: Unit 42 / Palo Alto Networks | 28 юни 2026
Unit 42 на Palo Alto Networks документираха кампания, която комбинира phishing имейли с гласови обаждания в Microsoft Teams. Атакуващите изпращат примамка под формата на Employee Survey със зловреден PDF, след което следват с гласово обаждане в Teams, представяйки се за IT поддръжка. Използват функцията за споделяне на екран в Teams, за да инсталират легитимни инструменти за отдалечен достъп като AnyDesk и HopToDesk, след което разпространяват EtherRAT, Node.js RAT, който използва Ethereum smart contracts за устойчива command-and-control инфраструктура. Unit 42 откриха девет версии на malware loader-а, което предполага активно развитие.
Защо е важно за SMB: Microsoft Teams е повсеместен в SMB средите. Тази атака експлоатира доверието във вътрешните комуникационни инструменти и заобикаля имейл сигурността, защото зловредният товар пристига чрез гласово обаждане и споделяне на екран, а не чрез имейл линкове. Обучавайте служителите да проверяват неочаквани IT обаждания чрез вторичен канал. Ако някой се обади, представяйки се за IT, и поиска отдалечен достъп до машината ви, затворете и се обадете директно на вашия IT екип на номер, който знаете, че е техен.
6. Adobe ColdFusion CVE-2026-48282: CVSS 10.0, Експлоатиран за Часове
Източник: BleepingComputer | Adobe пачна на 30 юни, експлоатация открита на 2 юли
Adobe пачна множество максимално-тежки ColdFusion уязвимости на 30 юни. В рамките на два часа след публикуването на техническите детайли на 2 юли, атакуващите започнаха да експлоатират CVE-2026-48282, path traversal уязвимост, позволяваща неудостоверено отдалечено изпълнение на код. Honeypot мрежата на KEVIntel улови активна експлоатация почти веднага след публикуването на PoC. Канадският център за киберсигурност издаде предупреждение.
Защо е важно за SMB: ColdFusion има дълга опашка в SMB средите. Много наследени вътрешни приложения, стари уебсайтове и MSP-хоствани решения все още работят на него. Shadowserver проследява близо 800 изложени инстанции. Двучасовият прозорец между разкриването и експлоатацията означава, че няма безопасно време за оценка преди пачване. Ако ColdFusion съществува някъде в стека ви, приложете юлските пачове веднага.
7. Ransomware в Европа нараснал с 55% спрямо предходната година
Източник: Black Kite research | 3 юли 2026
Първият насочен към Европа доклад за ransomware на Black Kite откри 684 атаки през първите четири месеца на 2026, в сравнение с 441 за същия период на 2025. Това е увеличение от 55%. Цифрата вече надхвърля 643-те атаки, регистрирани за цялото първо полугодие на 2025. Франция отбеляза най-висок ръст от 119%, следвана от Италия с 92% и Испания с 77%. Петте най-големи икономики представляват 69% от атаките.
Защо е важно за SMB: Ако сте в Европа или работите с европейски фирми, натискът от ransomware се ускорява драматично. Докладът отбелязва, че след успешни полицейски разбивания, ransomware екосистемата се е фрагментирала в повече, по-малки опортюнистични групи. Това означава, че всяко SMB, независимо от размера, вече е жизнеспособна цел. Преоценете модела си на заплахи и тествайте процесите си за възстановяване. Не само бекъпите ви, а действителното възстановяване. Първият час след като нещата се объркат задава тона за всичко, което следва.
8. Пробив в Kubota North America: Пет седмици присъствие
Източник: BleepingComputer | 1 юли 2026
Kubota North America разкри, че хакери са имали неоторизиран достъп до мрежовите им системи от 16 март до 20 април 2026, над пет седмици. Пробивът изложи HR файлове, съдържащи имена на служители, социалноосигурителни номера, дати на раждане, банкови данни за директен депозит, корпоративна платежна карта информация и здравноосигурителни данни. Засегнати са близо 5 900 души. Никоя ransomware група не е поела отговорност.
Защо е важно за SMB: Този пробив показва, че атакуващите могат да останат в мрежите седмици без да задействат аларми и че HR данните са първокласна цел дори без ransomware изнудване. За SMB това подчертава необходимостта от непрекъснат мониторинг, а не само периметърна защита. Типовете данни, които бяха изложени, социалноосигурителни номера плюс банкови сметки, са златна мина за кражба на самоличност и измами, насочени както към служителите, така и към техните зависими лица.
9. DHS Потвърди Пробив в HSIN
Източник: BleepingComputer | 1 юли 2026
Министерството на вътрешната сигурност на САЩ (DHS) потвърди кибератака, компрометираща Homeland Security Information Network (HSIN), чувствителна платформа, използвана от федерални, щатски, местни и частнопартньорски организации за споделяне на разузнавателна информация за заплахи и данни за спешна реакция. Разследването продължава.
Защо е важно за SMB: Ако бизнесът ви участва в програми за споделяне на информация с DHS или местни агенции за управление при извънредни ситуации, данните ви може да са били изложени. По-общо, пробив на тази система показва, че дори най-чувствителните правителствени платформи не са имунизирани. Заплахите могат да използват получената информация за насочване към партньори на критичната инфраструктура и по-малки организации във веригата за доставки.
10. FBI Завзе NetNut, Прекъсна Ботнет от 2 Милиона Устройства
Източник: KrebsOnSecurity | 2 юли 2026
FBI, съвместно с Google Threat Intelligence Group, Lumen и Shadowserver, завзеха стотици домейни, свързани с NetNut, residential proxy услуга, управлявана от публично търгуваната израелска фирма Alarum Technologies. Установи се, че NetNut е синоним на Popa ботнет. Мрежа от поне 2 милиона компрометирани smart TV и Android стрийминг кутии бяха превърнати в residential proxy изходни възли, използвани за събиране на данни, рекламни измами, превземане на акаунти и скриване на киберпрестъпен трафик. Google наблюдава 316 различни клъстера от заплахи, използващи NetNut изходни възли в рамките на една седмица.
Защо е важно за SMB: Това прекъсване е добра новина, но основният проблем няма да изчезне. Онези евтини Android стрийминг кутии, които служителите ви купуват за домашна употреба, могат да бъдат част от ботнети, които маршрутизират зловреден трафик през residential IP адреси, включително трафик, насочен към вашия бизнес. Същата residential proxy инфраструктура се използва за password spraying, разузнаване и credential stuffing срещу SMB мрежи. Защитете мрежата си от некорпоративни устройства.
11. ChocoPoC: Фалшиви GitHub Exploit-и Насочени към Изследователи по Сигурност
Източник: BleepingComputer / Sekoia | 1 юли 2026
Изследователи откриха кампания, използваща въоръжени proof-of-concept exploit хранилища в GitHub, които разпространяват базиран на Python RAT, наречен ChocoPoC. Атакуващите добавиха зловредни PyPI пакети, 'frint' и 'skytext', като зависимости. Когато разработчиците клонират и пуснат PoC, пакетите автоматично извличат и изпълняват RAT-а, който може да открадне браузърни идентификационни данни, бисквитки, autofill данни, shell история и файлове. Открити са поне седем PoC хранилища, насочени към уязвимости във FortiWeb, React2Shell, PAN-OS и други платформи.
Защо е важно за SMB: Ако имате някой в екипа си, вътрешен IT, MSP или консултант, който изтегля PoC exploit-и от GitHub за тестване, тази кампания е насочена директно към тях. RAT-ът улавя идентификационни данни, които могат да бъдат използвани срещу мрежата ви. Уверете се, че всеки, който прави тестове за сигурност, работи в изолирани, disposable среди и никога на системи, близки до продукцията.
12. OpenAI Отровен Tenant-ов Атак
Източник: Push Security | 26 юни 2026
Push Security разкриха кампания, при която атакуващи създават фалшиви OpenAI организационни tenants, представящи се за легитимни компании, и канят служители да се присъединят към тях. Поканите идват от легитимния имейл на OpenAI noreply@tm.openai.com, преминават всички имейл проверки за удостоверяване и изглеждат идентични на истински покани. Поканените служители получават Owner-ниво администраторски привилегии, а към акаунта за плащане се прикачва платежна карта за допълнителна легитимност. Целта е да се заблудят служителите да третират фалшивото работно пространство като корпоративна ChatGPT среда и да излагат чувствителни данни чрез промпти.
Защо е важно за SMB: Използването на AI инструменти се ускорява в SMB средите, а служителите все по-често използват ChatGPT за работни задачи. Тази атака експлоатира доверието в самата платформа, а не в фалшив имейл или фалшива страница за вход. Обучавайте служителите да проверяват неочаквани организационни покани, особено когато домейнът на имейла на канещия не съвпада с домейна на вашата компания. Това е нарастващ вектор на атаки, който всяко SMB, използващо AI инструменти, трябва да разбере.
Много беше. Знам.
Но ето какво е важното за седмици като тази. Сигналите сочат в една и съща посока. Атакуващите стават по-бързи, по-автоматизирани и по-креативни. AI агентите преминават от теоретична заплаха към оперативна реалност. Инструментите, на които бизнесът ви разчита, софтуер за отдалечена поддръжка, SharePoint, ColdFusion, Microsoft Defender, са активно атакувани.
Добрата новина е, че защитата все още е същата. Пачвайте каквото можете. Сегментирайте каквото не можете да пачнете. Обучавайте хората си. Тествайте възстановяването си. Основите не са се променили, но маржът за грешка току-що стана по-малък.
Ако четете това и осъзнавате, че не сте сигурни кога за последно са проверявани вашите пачове или дали процесът ви за възстановяване наистина работи, точно това е чувството, което трябва да изпитвате. Също така е чувството, което води до действие.
Заявете 15-минутен преглед на сигурността
Без продажби, само ясна картина къде се намирате и какво изисква внимание първо.