Дайджест Start X № 426

Инвестиционные мошенники атакуют рождённых в СССР

Сайт Downdetector зафиксировал глобальный сбой почтового сервиса Outlook.com. Мобильные и настольные клиенты не работали 4-6 часов. На пике зарегистрировано более 2800 жалоб, почтовые ящики не открывались даже при успешной авторизации.

Microsoft признала, что виновата «ошибочная конфигурация» компонентов аутентификации: первый хот-фикс не сработал, пришлось выкатывать второе исправление и разворачивать его ускоренным методом по всем регионам. Всего одна неправильная строка в настройках парализовала глобальный SaaS-сервис, в очередной раз демонстрируя важность человеческого фактора.

11 июля бренд подтвердил, что в результате атаки 2 июля злоумышленники похитили имена, контакты и историю покупок британских клиентов; платежные реквизиты остались нетронутыми. Это уже третий инцидент в группе LVMH за три месяца.

Расследование указывает на возможное проникновение через аккаунты поставщиков или фишинговые письма персоналу. Серия атак на люксовых ритейлеров демонстрирует, что злоумышленники нацелились на аудиторию с высокой платёжеспособностью, чтобы позже монетизировать данные через целевой фишинг и мошеннические возвраты товаров.

Партийное руководство разослало уведомления о несанкционированном доступе к серверам, который привёл к возможной утечке всех писем, вложений и документов — от e-mail-адресов до банковских данных сторонников.

Партия признала, что «не знает полного объёма затронутых данных» и сочла «непрактичным» уведомлять каждого пострадавшего, ограничившись сообщением на сайте и в рассылке. Такой подход уже раскритиковали юристы: хотя политические организации в Австралии частично выводятся из-под штрафов Privacy Act, новый инцидент «серьёзного вторжения в частную жизнь» может стать прецедентом, если пострадавшие подадут коллективный иск.

В 16:00 МСК 10 июля пользователи по всей стране пожаловались на зависшие переводы и ошибки мобильных банковских приложений. Downdetector показал резкий всплеск инцидентов. НСПК заявила о «проблемах у провайдера», Роскомнадзор опроверг DDoS-атаку.

Даже без «хакерского следа» инцидент демонстрирует, что массовый отказ критичного узла экосистемы мгновенных платежей фактически возвращает граждан «в 2007-й» — к наличным и SMS-чекам. По итогам очевидна необходимость создания дополнительных резервных каналов для платежей и проведения стресс-тестов. Кроме того, компаниям стоит проявить больше открытости, оперативно сообщая о проблемах, чтобы исключить панические слухи, негативно влияющие на деловую репутацию.

Вымогательская группировка DragonForce взяла ответственность за майскую атаку на сеть Belk и опубликовала 156 ГБ похищенных документов — от резервных копий до профилей сотрудников, поскольку ритейлер отказался платить выкуп.

Исследователи связывают DragonForce с апрельским взломом Marks & Spencer; по сути, это RaaS-«филиал» более крупной коалиции Scattered Spider. Сценарий типичен: доступ через уязвимый VPN, двойное вымогательство (шифрование + угроза публикации). Для Belk утечка грозит исками о конфиденциальности и репутационными потерями в пике летнего сезона распродаж.

В отчёте за 15 июля компания подтвердила, что между 27 января и 6 февраля злоумышленники копировали базы с ФИО, адресами, SSN, страховыми номерами и выписками пациентов. Платёжные данные в утечку не попали. Всего пострадали 5 418 886 человек.

Атака выявлена лишь спустя пять месяцев через подачу сведений в регистр HHS OCR, что указывает на позднее обнаружение и сложность расследования киберинцидентов в медсекторе. Масштаб подчёркивает растущую ценность «полных» медицинских досье на чёрном рынке: они стоят дороже, чем данные банковских карт, поскольку позволяют оформить ложные страховки и кредиты.

Операция «Elicius» 14 июля привела к аресту 44-летнего румынского лидера группы, шифровавшей NAS-хранилища Synology различных компаний в Ломбардии и вымогавшей десятки и сотни тысяч долларов США в качестве выкупа. В рейдах участвовали силы Италии, Франции, Румынии при координации Европола.

«Diskstation» действует с 2021-го. За это время они сменили несколько названий («Quick Security», «Umbrella Security» и др.). Их целью были устройства, которые многие фирмы выставляют в интернет без защиты. Эксперты рекомендуют во избежание взлома держать NAS за файрволлом, обновлять прошивку и отключать лишние сервисы, иначе даже домашний медиасервер легко превращается в точку входа вымогателей.

NS Solutions, дочерняя компания Nippon Steel Solutions, сообщила, что ещё в марте злоумышленники, использовав неизвестную уязвимость нулевого дня, получили доступ к серверам с персональными данными клиентов, партнёров и сотрудников.

Расследование показало, что брешь в сетевом оборудовании позволила проникнуть внутрь инфраструктуры и похитить конфиденциальную информацию. Пока похищенные данные не опубликованы в дарквебе, однако это вполне может произойти в ближайшее время. Инцидент напомнил: промышленный сектор остаётся лакомой мишенью, а патчи для «железа» выходят медленнее, чем хочется. Любая забытая прошивка может стать той самой «ахиллесовой пятой», уязвимой даже для одиночного исследователя, не говоря о профессиональных кибергруппировках.

Сайт и магазины компании перестали работать. 15 июля курс акций упал на 5,5%, но к концу дня снижение составило около 1%. 16 июля курс снизился на 0,35%. 14 июля прекратились отгрузки продукции и платежные операции.

По неофициальным данным, инфраструктура была заражена шифровальщиком. Злоумышленники потребовали выкуп, но компания отказалась его платить.

Утечки данных не произошло. Novabev восстанавливает инфраструктуру, ущерб оценивается в 1,5 млрд рублей.