Еженедельный обзор угроз: уязвимость Windows Server Update Services эксплуатируется, LockBit 5.0 возвращается
В этом выпуске: критическая уязвимость в WSUS уже используется злоумышленниками, реномированная группа LockBit вернулась с версией 5.0, обнаружена новая «задняя дверь» в Telegram-экосистеме и разрастается утечка через F5 Networks .
Для компаний это означает — концентрация внимания не только на отдельных инцидентах, но на системной готовности и управлении рисками.
Основные угрозы недели
1. Уязвимость WSUS (CVE-2025-59287)
- Уязвимость в службе управления обновлениями Microsoft (WSUS) с рейтингом CVSS 9.8.
- Уже опубликованы PoC-код и подтверждены случаи эксплуатации.
- Нападение целится на Windows-сервера, позволяет выполнять произвольный код с системными правами.
2. Возвращение LockBit 5.0
- Группа LockBit, долгое время объявленная «сломленной», перезапустила операцию с новой версией «5.0».
- Особенности версии 5.0: мультиплатформенная поддержка (Windows + Linux/ESXi), более агрессивное шифрование, произвольные расширения файлов.
- В рамках этой волн атак уже зарегистрировано «более десятка» компаний-жертв.
📊 Статистика и таблицы
| Показатель | Значение |
|---|---|
| CVSS уязвимости WSUS | 9,8 / 10 |
| Число известных жертв новой версии LockBit 5.0 | > 10 компаний |
| Частота операций LockBit (оценка) | Более 2 000 жертв с 2020 года |
| Увеличение атак рансомваре YoY | ~ 50 % рост за последние отчёты |
Таблица: рекомендуется проверка критических компонентов
| Компонент системы | Дата последнего патча | Обновлён (Да/Нет) | Комментарий |
|---|---|---|---|
| WSUS (Windows Update Service) | … | Уязвимость под активной атакой | |
| Сервер виртуализации (ESXi) | … | Прицел LockBit 5.0 | |
| Периметральный брандмауэр | … | Первый рубеж защиты | |
| Службы резервных копий | … | Требуется изоляция от сети |
Почему ваша организация должна воспринимать это серьёзно
- Атака на WSUS может породить «обратную цепь»: обновляющийся сервер становится точкой входа для атакующего, и он может распространиться по сети компании.
- Возвращение LockBit 5.0 означает, что устаревшие системы и виртуальные среды (например ESXi) вновь становятся мишенью.
- Снижение «времени пребывания» (dwell time) атакующих: современные рансомваре-компании действуют быстрее, чем когда-то.
- Это не просто ИТ-проблема — это бизнес-риск: остановка систем, утечка данных, регуляторные последствия и репутация.
Практические решения для защиты
Пошаговый план для компаний:
- Патчинг WSUS и актуальных серверов
Установите обновление для CVE-2025-59287 немедленно. - Изоляция критичных компонентов
Отделите сервера обновлений от общей сети, ограничьте доступ по сети. - Резервное копирование и проверка восстановления
Убедитесь, что резервные копии вне зоны прямого доступа атакующего. - Мониторинг поведения, раннее обнаружение
Используйте EDR и SIEM-инструменты для отслеживания необычных действий (например, массовое шифрование, рывки CPU, процессы «powershell.exe»). - Обновление политики доступа
Удалите неиспользуемые аккаунты, включите многофакторную аутентификацию (MFA) для всех администраторов. - Проверка среды виртуализации
Удостоверьтесь, что ESXi-хосты, гипервизоры и резервные среды не имеют устаревших панелей или открытых RDP/SSH. - Быстрая реакция и план инцидента
Предварительно подготовьте сценарии «если WSUS/виртуальная среда взломана», планы восстановления, коммуникации.
Итог
Эта неделя показала, что злоумышленники не ждут ошибок — они немедленно атакуют известные уязвимости (WSUS) и возвращаются с обновлёнными инструментами (LockBit 5.0).
Для организаций сегодня важно не просто «следить за патчами», а воспринимать безопасность как непрерывное состояние готовности, интегрированное в бизнес-процессы.
Если ваша система работает на Windows Server/WSUS или у вас есть виртуальные среды (ESXi, гипервизоры), настоятельно рекомендую провести экспресс-аудит с чек-листом выше.