ThreatScope by DIAMATIX
Месечен обзор на киберрисковете – февруари 2026
🎧 Чуйте кратък обзор на месечния доклад
Февруари 2026 потвърди продължаващата ескалация на високорискови уязвимости и постоянна ransomware активност в различни индустрии.
Месецът се характеризираше със:
Множество CVE уязвимости с CVSS стойности между 9.0 и 10.0
Няколко CVE с оценка 10.0, позволяващи пълен системен компромис без сложни експлоатационни изисквания
Продължаваща диверсификация на ransomware групите
Supply-chain и developer-таргетирани malware кампании
Мащабен инцидент с изтичане на данни с национално въздействие
Този месечен обзор консолидира най-критичните технически експозиции и модели на заплахи, наблюдавани през февруари.
Преглед на критичните уязвимости (февруари 2026)
| CVE | Тежест | Засегната област | Категория риск |
|---|---|---|---|
| CVE-2026-25049 | 9.4 | n8n | Изпълнение на системни команди |
| CVE-2026-25253 | 8.8 | OpenClaw | Remote Code Execution |
| CVE-2025-15027 | 9.8 | WordPress | Ескалация на привилегии |
| CVE-2026-21643 | 9.8 | Fortinet | SQL инжекция |
| CVE-2026-21510 | 8.8 | Microsoft Windows | Заобикаляне на защитен механизъм |
| CVE-2026-26221 | 10.0 | Hyland OnBase | Remote Code Execution |
| CVE-2026-1357 | 9.8 | WordPress | Качване на произволен файл |
| CVE-2026-1615 | 9.8 | jsonpath | Инжектиране на произволен код |
| CVE-2025-65717 | 9.1 | VS Code | Критична уязвимост |
| CVE-2025-65716 | 8.8 | VS Code | Критична уязвимост |
| CVE-2025-65715 | 7.8 | VS Code | Критична уязвимост |
| CVE-2025-14009 | 10.0 | NLTK | Remote Code Execution |
| CVE-2025-30411 | 10.0 | Acronis | Неправилна автентикация |
| CVE-2025-30412 | 10.0 | Acronis | Неправилна автентикация |
| CVE-2025-30416 | 10.0 | Acronis | Неправилна автентикация |
| CVE-2026-2577 | 10.0 | Отвличане на сесия | |
| CVE-2026-22769 | 10.0 | Dell | Неавтентифициран отдалечен root достъп |
| CVE-2026-26030 | 10.0 | Microsoft Semantic Kernel | Remote Code Execution |
| CVE-2026-20127 | 10.0 | Cisco | Zero-Day заобикаляне на автентикация |
| CVE-2026-28363 | 9.9 | OpenClaw | Заобикаляне на валидация |
Основни модели при уязвимостите
1. Експозиция на enterprise платформи
Високорискови уязвимости засегнаха широко използвани enterprise платформи, включително Cisco SD-WAN, Hyland OnBase, Fortinet продукти, Microsoft компоненти и Acronis.
Заобикалянето на автентикация и неправилният контрол на достъпа останаха доминиращи модели.
2. Риск в developer екосистемата
Критични уязвимости засегнаха:
VS Code
jsonpath
NLTK downloader
Microsoft Semantic Kernel
Инструментите за разработка и AI рамките продължават да представляват execution слой с високо доверие. Компромис в тези среди често се пренася към production системите.
3. Риск при web приложения и CMS
WordPress плъгини бяха засегнати от:
Ескалация на привилегии
Качване на произволни файлове
CMS екосистемите остават честа цел поради широката си attack surface експозиция.
4. Zero-Day и провали в автентикацията
Няколко CVE с оценка 10.0 включваха:
Cisco Zero-Day
WhatsApp session hijack
Dell неавтентифициран root достъп
Acronis уязвимости при автентикация
Тези уязвимости изискват минимална сложност на експлоатация и позволяват пълни компромиси.
Ransomware активност – февруари 2026
Ransomware активността остана изключително висока.
Според наличните данни:
680 организации бяха публикувани в leak сайтове
54 различни ransomware групи оперираха активно
Най-активни групи
Qilin – 104 жертви за втори пореден месец
TheGentlemen – почти двойно увеличение спрямо януари
CL0P, Play, Akira и LockBit – стабилно и диверсифицирано присъствие
Най-засегнати индустрии
Производство
Здравеопазване, като инцидентите почти се удвоиха спрямо предходния месец
Ransomware екосистемата остава устойчива, разширяваща се и индустриално таргетирана.
Malware активност
Malware активността през февруари беше разнообразна и с високо въздействие.
Developer-таргетирани supply-chain кампании
Бяха открити зловредни репозитории, маскирани като легитимни Next.js проекти. Разработчиците биват подмамвани да изпълнят in-memory malware, който осигурява персистентен достъп и намалява възможностите за детекция.
APT кампании с нови варианти
Operation Olalampo въведе нови malware варианти, използващи Telegram като канал за командване и контрол, демонстрирайки еволюиращи post-exploitation техники.
Ransomware-свързан malware
Фамилии като Reynolds интегрираха BYOVD техники за деактивиране на endpoint detection системи, което показва сливане между класически malware и extortion инструменти.
Mobile и IoT заплахи
Идентифицирани бяха нови Android malware семейства, включително Keenadu, което подчертава продължаващата експанзия извън традиционните PC среди.
Malware доставката и изпълнението продължават да използват основни пропуски в сигурността, комбинирани с автоматизация и AI-асистирано социално инженерство.
Инцидент на месеца – Conduent Data Breach
Засегнатите лица започнаха да получават уведомления този месец за мащабно изтичане на данни в Conduent Business Services, технологичен доставчик, обработващ плащания, здравни искове и административни услуги.
Компанията потвърди, че неоторизирана страна е имала достъп до системите ѝ близо три месеца в края на 2024 и началото на 2025 година.
Публичните регулаторни данни показват:
Най-малко 15.4 милиона засегнати в Тексас
10.5 милиона в Орегон
Стотици хиляди в други щати
Ransomware групата Safepay твърди, че е ексфилтрирала над 8 терабайта данни.
Изтеклата информация включва:
Имена
Социалноосигурителни номера
Адреси
Медицинска история
Данни за здравни застраховки
Инцидентът демонстрира въздействието на продължителен неоторизиран достъп в среди с масова обработка на чувствителни данни.
Препоръчани мерки за защита
Контроли за сигурност
Endpoint Detection and Response (EDR)
Anti-ransomware поведенчески мониторинг
Patch management за операционни системи и софтуер на трети страни
Email защита и URL филтриране
Immutable и регулярно тествани резервни копия
Оперативно внедряване
Тези контроли могат да бъдат управлявани централно с цел подобряване на видимостта, ускоряване на реакцията и повишаване на устойчивостта в разпределени среди.
Стратегически наблюдения за февруари 2026
Провалите в автентикацията остават най-бързият път към компромис
Developer инструментите и AI рамките се превръщат във високорисков execution слой
Ransomware екосистемата остава стабилна по обем и диверсификация
Мащабните пробиви продължават да разкриват системни слабости в контролните механизми
Скоростта на patch-ване и контролът на привилегиите са решаващи фактори
ThreatScope by DIAMATIX анализира клъстериране на уязвимости, оперативно въздействие и execution-layer риск — не просто списък от CVE.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
