Обзор новостей информационной безопасности с 16 по 22 мая 2025 года

Дайджест Start X № 420

22 мая 2025
10 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Как действуют преступники
  1. Злоумышленники создают фейковые аккаунты в Telegram с именами и логотипами, похожими на настоящие газовые компании.
  2. Они звонят людям через Telegram и сообщают о предстоящей плановой проверке газового оборудования.
  3. Под этим предлогом пытаются убедить человека заплатить якобы имеющийся долг в 15−20 рублей, угрожая многотысячным штрафом в случае неуплаты.
  4. Для оплаты предлагают перейти по ссылке на поддельный сайт, который выглядит как страница известного банка.
  5. Человек вводит данные карты и код из СМС, после чего деньги уходят мошенникам.
Жертвами мошенников уже стали 77 человек, сумма похищенных средств составила 657 тысяч рублей.
Особенности кампании
  1. Злоумышленники создают точную копию официального сайта «Госуслуг» или банка
  2. Привлекают жертв с помощью рассылки поддельных SMS от имени банка, звонков от «сотрудников службы безопасности» и сообщений в мессенджерах.
  3. Жертву убеждают срочно зайти на «официальный сайт», ввести личные данные, запрашивают коды подтверждения или предлагают установить вредоносное ПО под видом полезного.
  4. Финальная стадия:
  • кража доступа к реальным аккаунтам;
  • преводы средств;
  • оформление кредитов;
  • кража персональных данных.

Основные признаки мошенничества:
  • нестандартный адрес сайта;
  • незначительные отличия в дизайне;
  • требование ввести все данные сразу;
  • запросы кодов подтверждения;
  • угрозы и спешка в общении.
Важно: Мошенники постоянно совершенствуют свои методы, делая поддельные сайты практически неотличимыми от настоящих. Гражданам рекомендуется проявлять максимальную бдительность при работе с личными данными в интернете.
Схема кампании
  1. Злоумышленники получают доступ к аккаунту Microsoft 365 (через украденные учеёные данные или пробные версии)
  2. В настоящем письме о покупке подписки в раздел Billing information (платежные данные) добавляется:
  • подставной телефонный номер;
  • сообщение о возможности связаться с «поддержкой Microsoft».

3. Жертва, увидев подозрительную транзакцию, звонит по указанному номеру.
4. Мошенник убеждает установить вредоносный .exe-файл (вероятно, RAT), использует приемы социальной инженерии, запрашивает доступ к онлайн-банкингу.

Цель атаки — установка вредоносного ПО для кражи учётных данных при входе в онлайн-банк

Важные особенности:
  • письма отправляются с реального адреса Microsoft;
  • целевая аудитория — сотрудники компаний;
  • мошенники играют на страхе получения несанкционированных подписок;
  • на письмо невозможно ответить напрямую, что подталкивает к звонку.

Инциденты

Популярный сайт по кибербезопасности KrebsOnSecurity стал жертвой одной из крупнейших DDoS-атак в истории, достигшей пиковой нагрузки в 6,3 терабита в секунду. Атака началась 19 мая 2025 года и продолжалась более 12 часов, что сделало её второй по мощности за всю историю наблюдений.

Атака была направлена на полное отключение сайта от сети и использовала комбинацию различных векторов атаки, включая amplification attacks и reflection techniques. Несмотря на масштаб атаки, провайдер защиты от DDoS-атак успешно справился с нагрузкой, и сайт оставался доступным для пользователей. Эксперты отмечают, что подобные атаки становятся всё более мощными и сложными, что требует постоянного совершенствования систем защиты.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
В результате утечки данных с криптобиржи Coinbase были скомпрометированы персональные данные 69 461 пользователя. Инцидент произошел 26 декабря 2024 года, но был обнаружен только 11 мая 2025 года. Злоумышленники подкупили сотрудников службы поддержки клиентов биржи для получения доступа к пользовательским данным.

В результате утечки были раскрыты имена, адреса, телефоны, email, банковские реквизиты, фотографии документов и история транзакций пользователей. При этом пароли и средства пользователей остались незатронутыми. Злоумышленники потребовали выкуп в размере 20 миллионов долларов, угрожая опубликовать данные в даркнете. Coinbase отказалась платить и объявила награду в аналогичную сумму за информацию о преступниках.
Компания Curator сообщила о выявлении и нейтрализации масштабной DDoS-атаки. Атака была направлена на государственные ресурсы, в частности на общественные организации. В ходе отражения атаки было заблокировано 4,6 миллиона уникальных IP-адресов.

Атака развивалась в три этапа, на последнем из которых было задействовано 4,6 миллиона устройств. Наибольшее количество IP-адресов было зафиксировано в странах Южной и Северной Америки.

Генеральный директор Curator отметил, что ботнет такого масштаба способен генерировать десятки миллионов запросов в секунду, что создаёт риски для доступности целевых серверов.
Абоненты американского оператора Cellcom (Висконсин и Верхний Мичиган) почти неделю не могли совершать звонки и отправлять SMS из-за кибератаки. Изначально компания списывала сбои на технические неполадки, но позже подтвердила киберинцидент. Гендиректор Бригид Риордан заявила, что компания активировала подготовленные протоколы: привлекла внешних киберспециалистов, уведомила ФБР и власти штата.

По данным Cellcom, атака затронула только часть инфраструктуры, не связанную с персональными данными клиентов. Утечек информации не обнаружено. К 19 мая частично восстановлены SMS и внутрисетевые звонки, но полное возвращение услуг запланировано лишь «до конца недели». Пользователям советуют перезагружать устройства или включать авиарежим для восстановления связи.

Компания столкнулась с критикой за задержку в информировании клиентов, но позже опубликовала официальное письмо и видеообращение гендиректора. Причины атаки, включая возможную вымогательскую атаку, не раскрываются.
Утром 20 мая медицинская сеть Kettering Health в Огайо столкнулась с крупной кибератакой, которая вывела из строя ключевые цифровые системы. Инцидент привёл к отключению систем, используемых для оказания медицинской помощи.

Представители сети сообщили, что инцидент стал результатом несанкционированного доступа к внутренним системам. Специалисты пытаются локализовать проблему и исследуют возможные векторы атаки.

По данным CNN, сотрудники IT-отдела обнаружили записку с требованиями выкупа, предположительно от группировки Interlock, которая ранее атаковала другие медицинские и образовательные учреждения.

На фоне кибератаки были отменены все плановые процедуры, перестал работать колл-центр. Однако экстренные отделения и клиники продолжают приём пациентов в штатном режиме. У Kettering Health есть специальные процедуры на случай подобных инцидентов, что позволило сохранить базовый уровень оказания помощи.
Молочный гигант Arla Foods подтвердил кибератаку, которая 16 мая 2025 года нарушила работу завода в городе Упал (Германия). Инцидент затронул локальную IT-инфраструктуру предприятия, что вынудило компанию временно остановить производство. Введенные меры безопасности, включая изоляцию систем и привлечение экспертов по кибербезопасности, позволили ограничить распространение атаки, однако это привело к задержкам в поставках продукции .

Пострадавший завод специализируется на выпуске молочной продукции под брендами Lurpak, Castello и Starbucks. Хотя другие производственные объекты Arla не были затронуты, сбои на ключевом немецком предприятии уже вызвали локальные перебои в логистике. Компания уведомила клиентов о возможных отменах заказов и работает над восстановлением нормальной работы завода, которое планируется завершить до конца недели .

Ключевые детали инцидента

  • Масштаб атаки: Затронуты только IT-системы завода в Упале. Данные клиентов и персональная информация не пострадали, утечек не выявлено .
  • Причины и тип атаки: Arla не раскрывает деталей, но исключает связь с программами-вымогателями. На форумах хакерских групп информация об инциденте отсутствует, что усложняет идентификацию злоумышленников.
  • Экономический контекст: Германия — третий по значимости рынок для Arla с годовым оборотом 1,27 млрд €. Инцидент произошел на фоне подготовки к слиянию с немецким молочным кооперативом DMK, которое должно создать крупнейшего игрока в Европе .
Хакеры взломали официальный сайт RVTools, популярного инструмента для мониторинга и анализа виртуальной инфраструктуры VMware, и распространяли через него троянизированный установщик с загрузчиком малвари Bumblebee.
Первым на компрометацию обратил внимание ИБ-исследователь Эйдан Леон из ZeroDay Labs. Аналитики компании Arctic Wolf предупреждают, что троянизированные установщики распространяются через тайпсквоттинговые домены. Разработчики работают над восстановлением работы сервисов.

Пользователям рекомендуется проверять хеш установщика и следить за запуском файла version. dll в пользовательских каталогах.
Коллекторское агентство подверглось хакерской атаке, в результате которой были скомпрометированы личные данные более 1,2 миллиона человек. В результате инцидента злоумышленники получили доступ к именам, адресам, номерам телефонов, данным кредитных карт и финансовой информации клиентов.

Компания обнаружила несанкционированный доступ к своим системам 15 мая 2025 года. На данный момент ведется расследование обстоятельств инцидента. Пострадавшим пользователям рекомендовано принять меры по защите своих данных, включая мониторинг банковских счетов и обращение в кредитные организации для замены карт.

Компания уже уведомила регуляторов и начала процесс информирования пострадавших клиентов. Также предпринимаются дополнительные меры по усилению безопасности информационных систем.
20 мая в России произошёл массовый сбой в работе онлайн-сервисов. По данным Downdetector, недоступны СБИС, Госключ, система маркировки «Честный знак», а также сервисы Федеральной налоговой службы и ЕМИААС. Пользователи жалуются на невозможность отправки и получения документов, а также на проблемы с подписанием договоров.

Предположительно, причиной сбоя могла стать хакерская атака. В компании СБИС сообщили о DDoS-атаке высокой мощности. Позже работа ресурсов была восстановлена, включён защитный режим с ограничением зарубежного трафика.

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.