1. В кампании используются образы успешных мужчин 30—35 лет.
2. Общение начинается на платформах знакомств и в Telegram-чатах, после чего быстро переводится в личную переписку.
3. Мошенник представляется владельцем сети салонов красоты и предлагает подарок — бесплатную процедуру премиум-класса.
4. Жертве присылается ссылка на сайт бронирования и уникальный промокод. Сайт оформлен в стиле реального московского салона, включая логотип и фирменные цвета.
5. После ввода имени и номера телефона пользователь получает разные инструкции в зависимости от операционной системы. Владельцам Android предлагается установить фирменное приложение, которое на деле является трояном. Программа предоставляет злоумышленникам удалённый доступ к смартфону, перехватывает данные карт, SMS и даже позволяет списывать деньги.
6. На устройствах Apple пользователю предлагается авторизоваться через Apple ID. После ввода логина, пароля и кода двухфакторной аутентификации злоумышленники получают доступ к аккаунту и контролю над устройством.

За семь дней с момента обнаружения кампании ущерб составил 2,7 млн рублей, в среднем более 14 тысяч с каждой жертвы.

В середине марта 2023 года независимый ИБ-исследователь уведомил Keenetic о том, что БД официального мобильного приложения могла быть скомпрометирована. После проверки специалисты убедились, что эксперт прав и устранили проблему в тот же день. Исследователь заверил компанию, что не передавал кому-либо обнаруженные данные и уничтожил те образцы, к которым получил доступ.

Однако 28 февраля 2025 года компании стало известно, что часть информации из базы данных была раскрыта интернет-ресурсу Cybernews.

Сообщается, что было раскрыто ограниченное количество полей БД, а именно:

• идентификаторы Keycloak;
• адреса электронной почты (логины) и имена учетных записей Keenetic;
• региональные настройки;
• конфигурации учетных записей пользователей устройств, включая хеши паролей MD5 и NT;
• кастомные имена KeenDNS;
• конфигурации сетевых интерфейсов, включая идентификаторы Wi-Fi SSID и preshared ключи;
• настройки каналов Wi-Fi, идентификаторы и ключи роуминга;
• настройки политик IP и шейпинга трафика;
• адреса удаленных peer’ов, логины и пароли VPN-клиентов, назначенные IP-адреса;
• имена и MAC-адреса зарегистрированных хостов;
• конфигурации IPsec site-to-site;
• конфигурации сервера IPsec Virtual-IP;
• настройки пула DHCP;
• настройки NTP;
• списки доступа IP и MAC.

Ascom заверяет, что инцидент не повлиял на бизнес-процессы, а клиентам и партнёрам не требуется принимать каких-либо дополнительных мер.

Сообщается, что хакеры похитили около 44 ГБ данных, среди которых исходные коды продуктов, проектная документация, счета и конфиденциальные записи из тикет-системы.

Попавшие под удар иранские компании NITC и IRISL — ключевые игроки в морских перевозках региона, находящиеся под санкциями США, Великобритании и Евросоюза. Всего были заблокированы каналы связи на 116 судах.

Экипажи судов оказались отрезаны друг от друга. Они не могли передавать сообщения даже в экстренных ситуациях. Также отсутствовала связь с портами и глобальной логистической инфраструктурой. Полное восстановление коммуникаций может занять несколько недель.

По предварительным данным, хакеры проникли в спутниковые коммуникационные системы судов, получили доступ к серверному оборудованию и уничтожили критически важные данные, необратимо повредив часть цифровой инфраструктуры.

Иранские власти пока не прокомментировали произошедшее.

Свои заявления rose87168 подкрепил публикацией нескольких текстовых файлов с образцами данных из БД и информацией LDAP, а также списка из 140 621 домена, которые принадлежат компаниям, якобы пострадавшим от этой утечки.

По словам хакера, данные были украдены во время взлома серверов login.(регион).oraclecloud.com и включают зашифрованные пароли SSO, файлы Java Keystore (JKS), файлы ключей и ключи JPS для менеджера предприятия.

В качестве дополнительного доказательства доступа к серверам Oracle Cloud, злоумышленник предоставил журналистам ссылку на Internet Archive, которая показывает, что rose87168 смог загрузить текстовый файл с адресом электронной почты ProtonMail на сервер login. us2.oraclecloud.com. Это подтверждает, что хакер мог создавать файлы на сервере Oracle.

Компания Oracle отрицает факт взлома федеративных SSO-логин-серверов Oracle Cloud и кражу данных 6 млн клиентов, однако СМИ сообщают, что в нескольких компаниях уже подтвердили подлинность образцов данных, предоставленных злоумышленником.

Сообщается, что проблемы были вызваны атакой шифровальщика, которая затронула два крупных подразделения компании, и восстановление систем может занять около суток.

По информации Telegram-канала Baza, атака была обнаружена утром 26 марта, когда сотрудники компании увидели на экранах рабочих компьютеров «странное сообщение о поломке, подозрительно похожее на взлом». После этого якобы поступило распоряжение «не заходить в рабочие аккаунты, используя логины и пароли, чтобы избежать утечки данных».

По данным Telegram-канала Shot, «парализована работа офисов на Сретенском бульваре, Якиманке и Покровском бульваре. Сотрудники компании не могли воспользоваться электронными пропусками, а охрана запускала людей внутрь после сверки данных вручную».

Представители Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) подтвердили СМИ, что фиксируют хакерскую атаку на «Лукойл», но подчеркнули, что критическая инфраструктура компании от этого инцидента не пострадала.

Известный ИБ-эксперт и основатель агрегатора утечек Have I Been Pwned Трой Хант (Troy Hunt) стал жертвой фишинговой атаки, в результате которой злоумышленники получили доступ к списку рассылки в Mailchimp и данным 16 тыс. человек

Хант принес пользователям извинения и сообщил, что «очень расстроен тем, что попался на эту удочку». По его словам, фишинговая атака была хорошо продумана, но специалист признает, что большую роль в произошедшем сыграла его собственная усталость после перелетов и смены часовых поясов.

Мошенники прислали основателю HIBP письмо от лица Mailchimp. В послании сообщалось, что из-за жалобы на спам функциональность учетной записи временно ограничена, и Хант не может рассылать письма своим подписчикам. Эксперту предлагалось войти в свой аккаунт и просмотреть кампании, чтобы привести их в соответствие с правилами.

По словам Ханта, это создало нужную степень давления и ощущения срочности. Не такую сильную, чтобы вызвать подозрения, но достаточную, чтобы потребовать быстрой реакции.

В итоге специалист перешел по ссылке из письма, ввел свои учетные данные и одноразовый код доступа (one-time passcode, OTP), а затем увидел, что страница «зависла» и перестала реагировать.

На этом этапе Хант понял, что произошло, и поспешил изменить пароль для своей учетной записи, но все же опоздал: ему пришло настоящее письмо от Mailchimp, уведомляющее, что список рассылки был успешно экспортирован.

Злоумышленники похитили 6260 токенов Ethereum у De-Fi платформы Abracadabra Finance. По текущему курсу ущерб оценивается примерно в 12,9 млн долларов США

Сообщают, что уязвимость была обнаружена в компоненте «cauldrons» — изолированные пулы займов, позволяющие пользователям брать кредиты под обеспечение различными криптовалютами.

Abracadabra Finance заявила, что инцидент расследуется профильными инженерами и разработчиками, а также подчеркнула, что каждый из пулов прошёл аудит сторонними специалистами. Несмотря на наличие систем защиты, атака была обнаружена лишь после того, как киберпреступник совершил несколько транзакций. На данный момент Abracadabra Finance занимается оценкой нанесённого ущерба.

Платформа предложила хакеру вознаграждение в виде 20% от украденной суммы, чтобы побудить вернуть хотя бы часть активов. При этом официальный сайт Abracadabra Finance был временно отключён. На домене размещено сообщение о недоступности пользовательского интерфейса.

Инцидент затронул работу всех бизнес-подразделений, включая переработку мяса, поставки продукции и выпуск кормов. Компания была вынуждена экстренно задействовать все планы по реагированию на чрезвычайные ситуации.

Сбои продлились почти неделю и вызвали простой на производстве, срывы поставок и нарушение логистических цепочек. Astral Foods оценила прямые убытки в 20 млн южноафриканских рэндов, что эквивалентно примерно одному млн долларов США.

Несмотря на масштабы атаки, по заявлению Astral Foods, работа всех подразделений была восстановлена. По утверждению компании, никакая конфиденциальная информация клиентов, поставщиков или других заинтересованных сторон не была скомпрометирована в результате вторжения.

Тип атаки и личности злоумышленников пока не раскрываются. Ни одна из известных группировок вымогателей не взяла на себя ответственность за инцидент, а представители Astral Foods не комментируют детали произошедшего.

Утром 22 марта злоумышленник взломал веб-страницу учебного заведения и в течение как минимум двух часов распространял конфиденциальную информацию, включая имена, баллы тестов, предполагаемые специальности, почтовые индексы, а также сведения о родственниках и финансовой поддержке.

Главная страница сайта временно была заменена на сообщение, обвиняющее университет в продолжении использования расово ориентированной системы приёма, несмотря на решение Верховного суда США в 2023 году, отменившего практику позитивной дискриминации. Хакерская группа утверждает, что в процессе отбора средние баллы у абитуриентов азиатского и белого происхождения оказались выше, чем у кандидатов, идентифицирующих себя как латиноамериканцы или афроамериканцы.

На взломанной странице были размещены три диаграммы с якобы усреднёнными показателями поступивших в 2024—2025 учебном году. Также были доступны четыре CSV-файла, содержащие данные о приёмной кампании NYU, начиная с 1989 года. В них находилась не только информация о принятых, но и об отклонённых заявках, включая расовую принадлежность, гражданство, почтовые адреса, номера семей, сведения о родителях, братьях и сёстрах, а также записи о подаче на программу Early Decision и заявках на финансовую помощь.

Как показала активность в блокчейне, злоумышленник в течение нескольких недель подготавливал инфраструктуру — финансировал криптокошельки, разворачивал контракты и предпринимал неудачные попытки получить контроль над системой. 21 марта одна из таких атак завершилась успешно. После вывода средств злоумышленник оперативно обменял их сначала на DAI, а затем на ETH.

Сейчас украденные активы находятся на адресе 0x7b0cd0D83565aDbB57585d0265b7D15d6D9f60cf. Команда проекта уже начала активное расследование, привлекла внешних специалистов и компанию Crystal Blockchain BV, чтобы проследить путь средств и попытаться вернуть их.

Сообщают, что 73% общего объёма заблокированной стоимости (TVL) удалось защитить немедленно после инцидента.

Представители Lovit сообщили, что DDoS-атака началась около полудня 21 марта 2025 года. Инцидент затронул ключевые элементы инфраструктуры, что «привело к временным техническим трудностям в работе сервисов».

Ситуация осложнилась тем, что Lovit является единственным провайдером в домах «ПИК». Сообщалось, что из-за атаки во многих домах возникли проблемы с домофонами (которыми многие жильцы пользовались с помощью приложения и не покупали магнитные ключи), а также со сбоями столкнулись коммерческие организации, расположенные в пострадавших зданиях, так как у них не работали терминалы для оплаты и бонусные системы.

В субботу, 22 марта, в компании сообщили, что доступ в интернет полностью восстановлен, и порекомендовали абонентам перезагрузить роутер, если проблемы сохраняются. Однако позже в Lovit обновили сообщение, уточнив, что «сервис доступен только на части локаций».

Согласно сообщению от 23 марта, большинство сервисов должно работать в штатном режиме, однако «некоторые клиенты все еще могут испытывать технические трудности с доступом к сайту lovit.ru, мобильному приложению и личному кабинету».

В Роскомнадзоре подтвердили, что Lovit подвергся DDoS-атаке, пиковая мощность которой составляла до до 219,06 Гбит/с и 22,39 млн пакетов в секунду.