30,000 ShareFile сървъра получиха заповед да бъдат изключени. 430,000 FortiGate firewalls с откраднати креденциали. 81 милиона опита за вход в Azure за 14 дни. 7 милиона записа с шофьорски книжки от един phishing удар. 2 милиона устройства в ботнет. Подписан от Microsoft драйвър, използван за заслепяване на EDR. Това бяха две седмици.
Progress казва на клиентите на ShareFile да изключат сървърите си
Нека започна с историята, която задава тона за всичко останало. Progress Software изпрати имейл до клиенти на ShareFile, които използват локални Storage Zone Controller (SZC), с инструкция, която рядко съм виждал от доставчик: изключете веднага Windows сървърите си. Не „обновете в рамките на 48 часа“. Не „приложете този workaround“. Физически ги изключете от тока.
Компанията се позова на „достоверна външна заплаха за сигурността“ срещу компонента Storage Zone Controller. Progress вече беше деактивирал достъпа от облака, но заяви, че това не е достатъчно. Те казаха на клиентите ръчно да изключат сървърите. Това следва две критични CVE уязвимости в SZC от по-рано тази година – CVE-2026-2699 (CVSS 9.8) и CVE-2026-2701 (CVSS 9.1), които се комбинират за remote code execution без удостоверяване.
WatchTowr изчислява, че към април 2026 г. има приблизително 30,000 SZC инстанции, достъпни от интернет. Progress не е разкрил дали текущата заплаха е нов zero-day или дали някои контролери са компрометирани.
Когато доставчик на софтуер ви каже да извадите щепсела вместо да обновявате, не чакате. Изключвате и питате после.
Какво да направите веднага: Ако използвате ShareFile с локален Storage Zone Controller, изключете Windows сървъра веднага. Не чакайте повече подробности. Ако ползвате управляван ShareFile, попитайте доставчика си какво правят. Това е същият модел на уязвимост при споделяне на файлове във веригата на доставки, който превърна MOVEit и GoAnywhere в новини от първите страници.
FortiBleed потвърден: Pipeline-ът от креденциали до ransomware е реален
Историята с FortiBleed стана още по-лоша. Отделът за изследване на заплахи на SOCRadar потвърди, че кампанията, която събра креденциали от над 430,000 FortiGate firewalls в световен мащаб, директно захранва две активни ransomware операции: INC Ransom и Lynx. Един единствен оператор е бил едновременно влязъл в панелите за преговори за откуп и на двете групи.
Ето какво е наистина разочароващото. Нападателите не използват сложни zero-day уязвимости. Те злоупотребяват с диагностичен инструмент, вграден във всеки FortiGate. Персонализиран packet sniffer на Go, наречен FortigateSniffer, използва родната команда на FortiOS diagnose sniffer packet, за да прихваща некриптиран authentication трафик през 24 протокола. Около 19,000 устройства са имали активно разположени такива sniffers.
Не са разбили тези firewalls. Влезли са през врата, която е била оставена отворена на управляващия интерфейс.
Pipeline-ът от кражба на креденциали до пълно ransomware разгръщане се оценява на 30 до 60 дни. Поне 12 ransomware атаки са потвърдени досега, със стотици криптирани крайни точки. Нападателите упорито инсталират backdoor акаунт на име „adminin“ на компрометирани устройства.
Какво да направите веднага: Ако използвате FortiGate firewall, сменете ВСИЧКИ локални admin, service account и SSL VPN креденциали. Деактивирайте diagnose sniffer packet инструмента, ако не ви трябва. Обновете FortiClient EMS до версия 7.4.7 или по-нова. И моля ви, махнете управляващия си интерфейс от публичния интернет. Само това би спряло по-голямата част от атаките. Разгледахме първоначалните констатации за FortiBleed в обобщението ни от миналата седмица, ако имате нужда от пълната история.
AssuranceAmerica: 7 милиона записа от един phishing удар
Американската застрахователна компания AssuranceAmerica потвърди пробив на данни, засягащ 6,998,886 души. Нападателите компрометираха един служителки акаунт чрез phishing атака за кражба на креденциали на 17 март. Откраднатите данни включват имена, контактна информация, номера на шофьорски книжки, детайли по полици, информация за автомобили, искове и потенциално социалноосигурителни номера и данъчни идентификатори.
Разследването продължи от 17 март до 15 юни. Три месеца, за да се установи пълният размер на щетите от един компрометиран креденциал.
Един служител. Седем милиона записа. Това е математиката на кражбата на креденциали през 2026 г.
Какво да направите веднага: Ако бизнесът ви събира номера на шофьорски книжки, социалноосигурителни номера или финансова информация, един единствен phishing удар може да изложи милиони записи. Phishing-resistant MFA, conditional access политики и строг контрол на достъпа вече не са опция за никой бизнес, който обработва лични данни. Прегледайте кой има достъп до най-чувствителните ви данни. Отговорът може да ви изненада.
81 милиона опита за вход: MFA нямаше никакъв шанс
Huntress документира мащабна password-spray кампания срещу Microsoft 365 през Azure CLI. Между 12 и 26 юни нападателите направиха 81 милиона опита за вход срещу клиентски акаунти на Huntress, компрометирайки 78 потребителски акаунта в 64 организации.
Ключовият детайл: нападателите злоупотребиха с OAuth Resource Owner Password Credentials (ROPC) потока. Това е отхвърлен метод за удостоверяване, който заобикаля MFA, защото изпраща креденциали директно към token endpoint-а, без да задейства MFA подкана. MFA не се провали. Изобщо не беше задействано. Както видяхме с кампанията BlueKit, нападателите активно намират начини да заобиколят MFA.
Често срещаните пропуски в конфигурацията включват MFA, приложено само към конкретни приложения, вместо към всички cloud приложения, MFA, изисквано само за администратори, и политики, оставени само в report-only режим. Huntress наблюдава 155-кратно увеличение на password-spraying атаките за шест месеца.
Какво да направите веднага: Блокирайте legacy authentication в Microsoft 365 tenant-а си. Прегледайте Conditional Access политиките си. MFA приложено ли е към „All Cloud Apps“ или само към подмножество? Въведете phishing-resistant MFA за всеки потребител, не само за админите. След това проверете sign-in логовете си за ROPC authentication опити.
JADEPUFFER: Първата AI-оркестрирана ransomware атака
Това не ми даде да спя. Екипът за изследване на заплахи на Sysdig документира JADEPUFFER, първата напълно автономна AI-управлявана ransomware кампания. Базиран на LLM агент изпълни цялата верига на атаката – от начална експлоатация до криптиране и генериране на откупно писмо. Без човешки оператор.
Агентът експлоатира CVE-2025-3248, Langflow RCE уязвимост (CVSS 9.8), добавена в каталога KEV на CISA преди повече от година. Той изпълни повече от 600 различни payload-а, възстанови се от собствените си грешки (поправи неуспешен вход за 31 секунди) и криптира 1,342 Nacos конфигурационни записа чрез AES-128.
Ето какво има значение. Ключът за криптиране беше генериран на случаен принцип, отпечатан веднъж и никога запазен. Възстановяване не е възможно, дори ако се плати откуп. Последният етап изтри цели бази данни.
Прагът за провеждане на разрушителна ransomware кампания току-що падна до нула. Нямате нужда от хакер. Имате нужда от достъп до AI агент и желание да го насочите към цел.
Какво да направите веднага: Обновявайте агресивно. CVE-2025-3248 е известна повече от година. Ако използвате Langflow, Nacos или каквито и да е AI или ML инструменти, изложени на интернет, обновете днес. Поддържайте immutable офлайн backup-и. Приемете, че AI-управляваното сканиране ще открие изложените ви услуги по-бързо от всеки човешки нападател.
GodDamn ransomware използва подписан от Microsoft драйвър, за да заслепи защитите ви
Ново ransomware семейство, наречено GodDamn (засечено за първи път на 21 май 2026 г.), използва kernel драйвер на име PoisonX, който носи валиден криптографски подпис на Microsoft. Драйверът се зарежда на kernel ниво и убива инструментите за откриване и реагиране на крайни точки преди да започне криптирането. Вашият антивирус, вашият EDR, вашите monitoring агенти. Всичко изчезва, преди да видите откупното писмо.
Атаките идват от група, следена като Hyadina, и вече са засегнали американски компании. GodDamn се присъединява към Akira, BlackByte, AvosLocker и RobbinHood в използването на техниката Bring Your Own Vulnerable Driver (BYOVD). Драйверът PoisonX първоначално беше свързан с китайскоезична заплаха, преди да бъде преназначен тук.
Стандартният EDR е безполезен, след като този драйвер се зареди. Атаката се случва, преди защитите ви да разберат, че има атака.
Какво да направите веднага: Проверете дали Microsoft Vulnerable Driver Blocklist е активиран на всички Windows системи. Отворете Windows Security > Device Security > Kernel Isolation и проверете дали превключвателят „Microsoft Vulnerable Driver Blocklist“ е включен. Това не е активирано по подразбиране на всички Windows версии и е едно от малкото неща, които могат да спрат тази атака, преди да започне. Само стандартната endpoint защита няма да ви помогне срещу GodDamn.
Vidar infostealer кампания директно атакува малкия и среден бизнес
Финансово мотивирана malvertising кампания използва пукнат и пиратски софтуер като примамка, за да достави двоен payload на малкия и среден бизнес: Vidar infostealer и криптоминьор. Веригата на атаката използва компрометирани WordPress сайтове, фалшиви CAPTCHA страници, HTA скриптове, MSI инсталатори и GoLang loader, който работи изцяло в паметта, за да избегне откриване. Vidar краде browser креденциали, криптовалутни портфейли, банкова информация и session cookies, включително cookies, които заобикалят MFA.
Infostealer-ите колективно са откраднали приблизително 1.8 милиарда креденциали през 2025 г., според данни на Flashpoint.
Какво да направите веднага: Един служител, който сваля „безплатен“ софтуер, може да изложи всеки креденциал, който бизнесът ви използва. Блокирайте използването на пиратски софтуер чрез приемливи политики за употреба и технически контроли, където е възможно. Активирайте защита на session token, където е налична, и третирайте паролите, съхранени в браузъра, като високорискови.
The Gentlemen: 20 жертви за 24 часа, вече най-активната ransomware група
Ransomware групата The Gentlemen публикува 20 нови жертви за 24 часа в 14 държави, превръщайки се в най-активната ransomware операция в света. Вече твърдят 483 жертви в 66 държави от старта си в средата на 2025 г.
Групата предлага на партньорите си невероятни 90% от откупа, над индустриалния стандарт от 80%, и демонстрира способности за самопридвижване подобно на червей. Стратегията им разчита на необновени edge устройства (особено FortiGate) и откраднати креденциали. Медианният размер на искания откуп през H1 2026 беше $150,000, със средна стойност от $1.36 милиона.
H1 2026 в числа: Comparitech регистрира общо 4,217 ransomware атаки през първата половина на 2026 г., което е 11% увеличение спрямо H2 2025. Това са 23 атаки на ден. САЩ бяха най-насочваната държава с 1,832 атаки.
Какво да направите веднага: Необновените FortiGate устройства и откраднатите креденциали са двата най-големи фактора. Приоритизирайте обновленията, наложете MFA навсякъде и поддържайте офлайн backup-и, които се тестват редовно.
NetNut ботнетът прекъснат: 2 милиона заразени устройства изключени
Това всъщност е добра новина. Екипът за разузнаване на заплахи на Google, заедно с ФБР и отдел „Криминално разследване“ на IRS, прекъснаха работата на NetNut residential proxy мрежата, известна още като Popa. Операцията изключи 2 милиона компрометирани Android устройства, включително smart TVs и streaming кутии, които се използваха като неволни proxy възли.
NetNut разпространяваше скрити SDK-та чрез IPTV приложения и streaming помощни програми, които тихо включваха устройствата в ботнета. Киберпрестъпници и espionage групи насочваха зловреден трафик през тези домашни IP адреси, за да скрият произхода си. Само за една седмица през юни Google наблюдава 316 различни клъстера от заплахи, използващи NetNut exit възли.
Какво да направите веднага: Прегледайте какво е свързано с бизнес мрежата ви. Онези smart TVs и streaming sticks в конферентните зали? Ако са на Android и са свързани към същата мрежа като работните ви станции, може да са компрометирани без видими признаци. Сегментирайте IoT устройствата от производствената си мрежа.
CISA добавя SharePoint RCE в KEV: крайният срок вече изтече
CISA добави CVE-2026-45659 (CVSS 8.8) в каталога си с известни експлоатирани уязвимости (KEV) на 1 юли с краен срок за отстраняване 4 юли. Това е deserialization пропуск в локалния Microsoft SharePoint Server, който позволява на удостоверени нападатели да постигнат remote code execution.
Microsoft пусна корекции в Patch Tuesday за май 2026 г. Засегнатите версии включват SharePoint Server 2016, 2019 и Subscription Edition. Наблюдавани post-exploitation дейности включват разгръщане на Velociraptor, Cloudflare Tunnels, Zoho Assist и SSH през VS Code. Крайният срок на CISA от 4 юли вече изтече.
Какво да направите веднага: Ако използвате локален SharePoint Server, проверете build версиите си днес. Нападателят трябва да е удостоверен, но комбинацията от компрометирани креденциали и тази RCE е мощна. Ако можете да преминете към SharePoint Online, това елиминира целия този класс риск.
Vect + TeamPCP: Supply chain атаките вече директно захранват ransomware
Изследователи от Sophos CTU документираха формално оперативно партньорство между Vect ransomware и TeamPCP, група за кражба на креденциали. TeamPCP компрометира 10,000 CI/CD workflows и открадна над 500,000 креденциали за вход чрез supply chain атаки срещу Trivy скенера на Aqua Security, LiteLLM, Checkmarx KICS и Telnyx Python SDK.
Vect също така си партнира с BreachForums, за да разпространи affiliate ключове до всички около 300,000 членове, което означава, че всеки във форума може да стане Vect affiliate без проверка на умения.
Какво да направите веднага: Сменете CI/CD secrets-овете си. Ако използвате Trivy, LiteLLM или KICS, прегледайте излагането на креденциали. Supply chain атаките вече не са само за кражба на данни. Те се превърнаха в директен ransomware фактор, както видяхме в обобщението ни за supply chain. Помислете за управляван партньор по сигурността, който да следи pipelines-те ви за неоторизиран достъп.
Накратко: ColdFusion, BeyondTrust, phishing с интервюта за работа и още
Adobe ColdFusion CVE-2026-48282 (CVSS 10.0): CISA добави тази уязвимост за path traversal с максимална тежест в каталога си KEV на 7 юли. Експлоатацията започна в рамките на два часа след публикуването на техническите детайли. Ако използвате ColdFusion 2025 или 2023, приложете Update 10 или Update 21 незабавно. Shadowserver проследява приблизително 800 изложени инстанции онлайн.
BeyondTrust коригира две критични pre-authentication уязвимости (CVSS 9.2 всяка) в Remote Support и Privileged Remote Access. Инструментите за отдалечена поддръжка са високоценни цели, защото компрометирането на един дава достъп до всяка система, до която той достига.
Phishing с интервюта за работа: Сложна кампания се представя за 34 известни марки чрез фалшиви покани за интервюта за работа, за да открадне Google акаунти. Нападателите използват истински имена на рекрутери и снимки от LinkedIn, както и фалшива browser-in-the-browser страница за вход. Активна от поне пет месеца. Обучете екипа си да проверява комуникацията от рекрутери независимо.
Руски атаки срещу рутери: Служби за сигурност от девет държави предупредиха, че руски държавно-спонсорирани хакери атакуват уязвими и лошо конфигурирани рутери. Малкият и среден бизнес с пароли по подразбиране на рутерите са точно меките цели, които търсят. Сменете паролите по подразбиране и деактивирайте отдалеченото управление, ако не ви трябва.
RoguePlanet (CVE-2026-50656): Microsoft пусна извънреден patch за elevation-of-privilege пропуск в Malware Protection Engine на Windows Defender. Уверете се, че версия 1.1.26060.3008 или по-нова на Windows Defender е инсталирана.
GhostLock (CVE-2026-43499): 15-годишна Linux kernel уязвимост за повишаване на привилегии. Ако използвате Linux сървъри, следете за корекции от вашия дистрибутор.
Две седмици. Това е периодът, който обхващат тези истории. И за това време видяхме доставчик да каже на клиентите си да изключат сървърите, AI агент да пусне ransomware без човешка помощ, подписан от Microsoft драйвър, използван за деактивиране на защитата на крайните точки, и 7 милиона записа, откраднати чрез една phishing парола.
Бариерите за провеждане на опустошителна кибератака са по-ниски от всякога. AI агенти, които не се нуждаят от човешки оператори. Ransomware партньори, които не се нуждаят от проверка на умения. Pipelines с креденциали, които заобикалят MFA напълно.
Въпросът не е дали бизнесът ви ще бъде атакуван. А дали вашите креденциали вече са изтекли и дали планът ви за възстановяване ще проработи, когато дойде обаждането.
Ако четете това и осъзнавате, че не сте сигурни в нито един от тези отговори, точно това е причината да получите ясна картина още сега.
Запазете 30-минутен преглед на креденциалите и възстановяването
Ще прегледаме MFA конфигурацията, ще проверим за изтекли креденциали и ще потвърдим backup стратегията ви. Без продажби, само списък за оправяне.