Обзор новостей информационной безопасности с 23 мая по 5 июня 2025 года

Дайджест Start X № 421

5 июня 2025
8 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Как действуют преступники
  1. Злоумышленники получают неправомерный доступ к аккаунту водителя в сервисе заказа такси или доставке.
  2. Ищут потенциальную жертву, которая размещает заказ, после чего обманным путем получают код для авторизации, завладевая аккаунтом пользователя.
  3. С использованием скомпрометированного аккаунта мошенники оформляют фиктивные заказы на поездки, с помощью другого аккаунта эти «поездки» совершают.
  4. Деньги за несуществующие поездки списываются с привязанной к аккаунту банковской карты. Списанные средства поступают не на счет сервиса, а на счета мошенников, которые они прикрепили к аккаунту жертвы.
Особенности кампании
  1. Мошенники ищут жертв на сайтах знакомств и в Telegram-ботах.
  2. Злоумышленники стараются заинтересовать собеседника «источником дохода», предложив поделиться опытом в криптотрейдинге или попросив помочь в инвестировании.
  3. В любом случае потенциальной жертве дают ссылку на поддельный «трейдинговый» бот в Telegram, в подлинности которого стараются убедить.
  4. Жертву несколько раз пробуют уговорить внести депозиты.
  5. Фейковую анкету можно распознать по нескольким признакам: возраст от 23 до 27 лет, общие интересы без конкретики, проживание в городах России с населением от 200 до 600 тыс. человек, занятие криптотрейдингом и используют высококачественные фото.
  6. Мошенники используют фотографии, видео и голосовые сообщения настоящих людей. У них есть шаблоны ответов на различные вопросы и ситуации в общении, они могут вести диалог со своей жертвой вплоть до нескольких дней.
Схема кампании
  1. От имени поддельного аккаунта работника образовательной организации с ребенком связываются мошенники и сообщают ребенку, что тот не прошёл регистрацию на каком-нибудь образовательном сервисе, поэтому не будет допущен до ОГЭ или ЕГЭ.
  2. Затем аферисты либо подсовывают ребенку фишинговую ссылку, проходя по которой он потеряет свои средства, либо потребуют включить режим демонстрации экрана на смартфоне, что позволит похитить доступ к его аккаунтам.
  3. Школьнику начинают поступать угрозы за то, что предоставил мошенникам доступ к своим счетам, совершил преступление, а уголовную ответственность за это будет нести вся его семья.
  4. Манипулируя таким образом, детей заставляют либо передать доступ к платёжным средствам родителей, то есть передать банковские карты, например, сфотографировав банковскую карту с двух сторон, либо передать наличные средства курьеру.

Инциденты

Посетителей официального сайта встречает следующее сообщение:

«Уважаемые клиенты, мы обнаружили инцидент, связанный с нарушением безопасности, и принимаем меры для его устранения. В качестве меры предосторожности мы закрыли наш сайт и ограничили ряд услуг в магазинах. Наша команда работает круглосуточно, чтобы полностью восстановить работу».

Компания привлекла к расследованию инцидента и устранению последствий внешних ИБ-экспертов. О характере произошедшей атаки пока ничего не сообщается.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Компания АСВТ предоставляет доступ в интернет в нескольких жилых комплексах Москвы и близлежащих районов. Проблемы начались около 8:00 28 мая. Пик жалоб пользователей пришёлся на 18:00. В основном люди жаловались на недоступность сайта компании и предоставляемых услуг.

Компания подтвердила факт атаки в своём официальном телеграм-канале:

«28 мая в 8:10 наша сеть подверглась одной из самых мощных DDoS-атак. Из-за непрекращающихся атак каналы связи перегрузились, что привело к проблемам в работе сервисов, включая внутренние ресурсы. В частности, были недоступны каналы связи с технической поддержкой, личный кабинет и сайт компании».

Для устранения последствий атаки был привлечён Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), который подчиняется Роскомнадзору.

По информации пресс-службы ведомства, мощность атаки составила 70,07 Гбит/с, а интенсивность — 6,92 миллиона пакетов в секунду. Для фильтрации трафика была задействована Национальная система противодействия DDoS-атакам (НСПА).
Одним из наиболее пострадавших стал город Дюрант в штате Огайо. Цифровая инфраструктура города была парализована вымогательским ПО. Официальный сайт города недоступен, жители не могут использовать цифровые платёжные инструменты.

Представители администрации сообщили, что ведётся восстановление с привлечением правоохранительных органов. Полицейское управление города также столкнулось с перебоями в работе коммуникационного центра. Служба 911 остаётся доступной, но в условиях сетевых сбоев время ожидания может быть увеличено.
Причиной для проведения проверки послужили многочисленные звонки, которые начали поступать высокопоставленным государственным деятелям, политикам и представителям деловых кругов.

Возникли подозрения после того, как звонивший задавал вопросы, ответы на которые настоящая Сьюзи Уайлс должна была знать заранее. Кроме того, стиль сообщений отличался от обычного: в них были допущены грубые ошибки.

Примечательно, что звонки и сообщения приходили в то время, когда Уайлс сопровождала Дональда Трампа в его поездке по странам Ближнего Востока.
В одном случае злоумышленники требовали перевести денежные средства от сенатора. Также от имени Уайлс просили составить список лиц, которых президент Трамп мог бы помиловать.
«Недавно Adidas стало известно, что неавторизованная третья сторона получила некоторые данные о покупателях от стороннего поставщика по обслуживанию клиентов, — сообщают представители Adidas. — Мы немедленно приняли меры по локализации этого инцидента и начали расследование, сотрудничая с ведущими экспертами в области информационной безопасности».

Среди похищенной информации не было каких-либо платежных данных или паролей, так как злоумышленники смогли получить доступ только к контактам клиентов.

Пока неизвестно название пострадавшей от атаки компании-подрядчика, дата обнаружения инцидента, количество пострадавших, а также затронул ли этот взлом сеть самой Adidas.
Перебои в работе продолжаются до сих пор. Например, не работает облачный центр, обмен файлами, центр лицензий и магазин MathWorks.
В течение нескольких дней пользователи не могли получить доступ к своим аккаунтам из-за проблем с подписями, но 21 мая MathWorks восстановила работу многофакторной аутентификации и SSO (Single Sign On).

Некоторые пользователи по-прежнему сталкиваются с проблемами, мешающими создавать новые учетные записи. Кроме того, те, кто не входил в систему с 11 октября 2024 года, вообще не могут залогиниться.

Пока MathWorks не раскрыла никакой дополнительной информации об инциденте. Неизвестно, какой именно вымогатель атаковал компанию, и были ли данные клиентов похищены во время атаки. Ни одна хакерская группа не взяла на себя ответственность за этот инцидент.
Пока неизвестно, как хакер проникает в сети жертв, но большинство атак было обнаружено в системах с установленными программами управления интернет-кафе.

Для получения контроля над скомпрометированными системами атакующий использовал малварь Gh0st RAT. Большинство выявленных в сетях интернет-кафе вредоносов представляли собой либо сам Gh0st RAT, либо дропперы для его установки. Также злоумышленник использовал малварь для "патчинга" памяти ПО для управления интернет-кафе. А в конечном итоге на машинах развертывался майнер T-Rex.
Инцидент вынудил Cetus Protocol приостановить работу своего смарт-контракта на время проведения расследования. Вскоре представители проекта подтвердили факт кражи средств и сообщили, что «162 млн скомпрометированных средств были успешно заморожены».

В последующем заявлении представители Cetus Protocol рассказали, что хакер воспользовался неким уязвимым пакетом, однако не раскрыли никаких подробностей произошедшего.

Сообщается, что удалось идентифицировать адрес Ethereum-кошелька и аккаунт злоумышленника, и в настоящее время платформа сотрудничает с третьими сторонами для отслеживания и заморозки украденных средств.

Биржа готова заплатить 5 млн долларов США за любую информацию, которая поможет идентифицировать и арестовать злоумышленника.

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.