Дайджест Start X № 431

1. Мошенники обзванивают пенсионеров под предлогом замены цифрового телевидения.
2. Во время звонка они сообщают, что для обновления телевизионной сетки необходимо назвать код из смс.
3. После выполнения этой просьбы с человеком связывается подставной специалист Роскомнадзора. Он уверяет собеседника, что его аккаунт на Госуслугах якобы взломали и оформили доверенность на распоряжение банковскими счетами. Для убедительности мошенник может назвать потерпевшему, какие суммы и в каких банках у него находятся.
4. Затем злоумышленники просят для «сохранения средств» перевести все деньги на «новые выпущенные карты», которые на самом деле являются сторонними счетами аферистов.

Из-за этой схемы уже пострадала 73-летняя пенсионерка из Иркутской области. Она перевела мошенникам более 1,1 млн рублей.

Британская телекоммуникационная компания Colt Technology Services попала в неприятную историю, которая тянется с 12 августа. Сначала у компании начались «технические неполадки» с порталами и программными интерфейсами — пользователи не могли получить доступ к сервисам. Руководство молчало о причинах сбоев, но к 21 августа пришлось признаться: это была атака вымогателей WarLock, которые не только зашифровали данные, но и украли их.

Пока Colt искал способы восстановления систем, преступники уже торговали похищенными документами на теневых площадках. Они устроили настоящий аукцион корпоративных данных, что подтверждает успешность их операции.

Почему так получилось? Телекоммуникационные компании — лакомая цель для киберпреступников. У них сложнейшая IT-инфраструктура с множеством интеграций, а простои обходятся в миллионы. Современные вымогатели работают по принципу «тройного шантажа»: шифруют данные, крадут их и угрожают опубликовать, плюс нарушают работу сервисов. Компания оказывается под давлением сразу с трёх сторон.

Orange Belgium сообщила о серьёзном инциденте: в результате июльского взлома злоумышленники получили доступ к персональным данным примерно 850 тысяч клиентов. Это очередной крупный эпизод в европейской телекоммуникационной отрасли, которая в последнее время регулярно становится мишенью хакеров.

Телекоммуникационные гиганты хранят огромные массивы персональных данных — от номеров телефонов до истории звонков и местоположения абонентов. При этом они являются частью критической инфраструктуры, поэтому атаки на них дают преступникам и деньги, и мощные рычаги давления на власти.

Для обычных пользователей главный урок прост: после таких новостей особенно внимательно относитесь к подозрительным SMS и письмам — мошенники наверняка попытаются использовать украденные данные для целевых атак.

Apple выпустила срочные обновления для iPhone, iPad и компьютеров Mac, закрыв критическую уязвимость CVE-2025-43300 в компоненте ImageIO. Компания прямо заявила, что баг уже активно эксплуатируется в «очень изощрённых целевых атаках» — злоумышленники могли взломать устройство, просто заставив пользователя открыть специально подготовленное изображение.

Такие уязвимости особенно любят создатели коммерческого шпионского ПО и продвинутые хакерские группы. Атака через обработку изображений практически незаметна для жертвы — человек может даже не понимать, что его устройство взломано. Совет простой, но важный: установите обновление немедленно. В случае с активно эксплуатируемыми уязвимостями каждый день промедления играет против пользователя.

Центр реагирования на компьютерные инциденты обнаружил серьёзные уязвимости в программном продукте Workhorse Software, который используют сотни городов и городков в штате Висконсин. Среди проблем — хранение паролей к базам данных в открытом виде и создание незашифрованных резервных копий прямо из окна входа в систему. Через эти «дыры» можно было получить доступ к персональным данным жителей, финансовым записям муниципалитетов и нарушить целостность городского учёта.

Программное обеспечение для госучреждений часто страдает от недостаточного внимания к безопасности. Такие системы годами работают «как есть», редко проходят независимые проверки, а их разработчики больше фокусируются на функциональности, чем на защите. В результате организационные недосмотры вроде неправильного хранения паролей становятся не менее опасными, чем сложные технические уязвимости.

Федеральное бюро расследований США выпустило предупреждение: группа Berserk Bear массово эксплуатирует старую уязвимость CVE-2018-0171 в сетевом оборудовании Cisco. Баг появился в 2018 году в протоколе Smart Install, но многие организации до сих пор не установили исправления. Хакеры меняют конфигурации устройств для получения скрытого доступа и могут годами «прописываться» в сетях критической инфраструктуры.

История показывает главную проблему корпоративной безопасности: сетевое оборудование обновляют гораздо реже, чем компьютеры и телефоны. Маршрутизаторы и коммутаторы могут работать годами с теми же настройками, что были при установке.

План действий для компаний: срочно проверить все сетевые устройства Cisco, отключить Smart Install, обновить прошивки и проверить сети на признаки взлома.

Министерство юстиции США объявило о разрушении инфраструктуры ботнета RapperBot и предъявлении обвинений его предполагаемому администратору. Ботнет использовал взломанные «умные» устройства для мощных DDoS-атак, способных обрушить целые сайты и сервисы. Операция правоохранителей временно ослабила возможности сети и даёт компаниям время усилить защиту.

Проблема в том, что IoT-устройства массово продают с заводскими паролями типа «admin/admin» или «123 456», которые пользователи никогда не меняют. Умные камеры, роутеры, телевизоры становятся идеальной «пищей» для ботнетов. Правоохранители научились эффективно бить по центрам управления преступными сетями, но сами устройства остаются уязвимыми до тех пор, пока мы не начнём регулярно их обновлять и правильно настраивать.

Американская Inotiv, специализирующаяся на доклинических исследованиях лекарств, сообщила регуляторам о серьёзном инциденте: злоумышленники зашифровали часть корпоративных систем и данных. Бизнес-процессы компании серьёзно нарушены, привлечены внешние эксперты по кибербезопасности. Пока неясно, были ли украдены данные, но современные вымогатели обычно совмещают шифрование с кражей информации.

Фармацевтические компании — особо привлекательная цель для киберпреступников. У них дорогостоящие многолетние исследования, критически важные сроки вывода препаратов на рынок, большие бюджеты. Злоумышленники рассчитывают, что такие компании быстро заплатят выкуп, чтобы не потерять годы работы.

Типичный сценарий атаки: фишинговое письмо сотруднику, компрометация VPN-доступа, затем развёртывание шифровальщика по всей сети с одновременным воровством данных.

Независимый исследователь безопасности описал цепочку серьёзных уязвимостей во внутренних веб-приложениях Intel. Баги позволяли обойти аутентификацию и получить доступ к системам с «зашитыми» администраторскими паролями. По оценке исследователя, через эти «дыры» можно было выгрузить персональные данные сотрудников компании по всему миру. Intel утверждает, что все проблемы были закрыты ещё в 2024 году и утечек не произошло.

Внутренние корпоративные порталы иногда выпадают из поля зрения служб безопасности — считается, что «раз они внутри сети, значит, в безопасности». Но злоумышленнику достаточно одной уязвимости и возможности выйти наружу через подрядчика или партнёра, чтобы превратить внутренний баг в серьёзный инцидент. Хорошая новость: после получения отчёта Intel расширила свою программу поиска уязвимостей на такие внутренние сервисы.

TPG Telecom, один из ведущих телекоммуникационных операторов Австралии, сообщил о несанкционированном доступе к системе управления заказами своего бренда iiNet. По предварительной оценке компании, инцидент имеет ограниченный масштаб, но TPG всё же привлёк внешних экспертов по кибербезопасности и уведомил регулирующие органы.

«Второстепенные» IT-системы вроде обработки заказов или CRM часто оказываются связанными с основными корпоративными данными. Компрометация такой точки может стать входными воротами в более ценные сегменты сети. Поэтому правильное разделение сетей и принцип минимальных привилегий — это не бюрократия, а реальный способ ограничить масштабы ущерба при взломе.

Bragg Gaming Group, разработчик программного обеспечения для азартных игр, столкнулся с кибератакой на свою внутреннюю инфраструктуру. По предварительной оценке компании, основная операционная деятельность не пострадала, но руководство оперативно привлекло специалистов по реагированию на инциденты и цифровой криминалистике.

Индустрия онлайн-гeмблинга традиционно привлекает киберпреступников из-за больших денежных оборотов и множества партнёрских интеграций. Даже если внешние сервисы продолжают работать, внутренние системы хранят контрактную информацию, персональные данные сотрудников и коммерческие секреты. Поэтому компании всё чаще сообщают об инцидентах сразу после их обнаружения, ещё до завершения полного расследования.

Международный поставщик HR-решений Workday сообщил, что злоумышленники получили доступ к данным в его сторонней CRM-системе после успешной социальной инженерии. Речь идёт преимущественно о бизнес-контактах, а не о данных клиентов в самих арендуемых средах Workday. По информации журналистов, это часть масштабной серии атак группы ShinyHunters на инстансы Salesforce: преступники внедряли вредоносные OAuth-приложения и через них выгружали базы данных.

Уязвимое звено в современной корпоративной безопасности — не только программное обеспечение, но и люди. Поддельные звонки от якобы службы ИБ или IT-отдела с просьбой «разрешить доступ приложению для удобства работы» стали классикой 2025 года. Важно минимизировать права OAuth-интеграций и регулярно проводить ревизию всех подключённых к корпоративным системам приложений.

Allianz Life подтвердила масштабные последствия июльского инцидента: персональные данные более чем 1,1 миллиона человек оказались скомпрометированы в ходе той же серии атак на Salesforce-окружения крупных американских компаний. Это один из крупнейших инцидентов года в страховой отрасли.

Киберпреступники всё чаще атакуют не саму «крепость», а её «ворота» — облачные интеграции и сторонние сервисы. Когда весь бизнес-процесс компании построен вокруг CRM-системы, компрометация OAuth-доверия превращается в масштабную кражу данных. Современные корпорации настолько интегрированы с внешними сервисами, что атака на партнёра может оказаться эффективнее прямого взлома.

Исследователи описали изощрённую технику кражи учётных данных Microsoft 365: злоумышленники используют легальные ссылки office.com и перенаправления Active Directory Federation Services (ADFS), чтобы незаметно перекинуть жертву на поддельную страницу входа. Хитрость в том, что изначальный URL выглядит абсолютно правильным — пользователь видит знакомый адрес Microsoft и расслабляется.

Киберпреступники годами совершенствуют искусство «маскировки под норму». Если процедура входа выглядит привычно, человек машинально вводит пароль, не проверив конечный адрес страницы. Лучшая защита — переход на FIDO-ключи или приложения для аутентификации без паролей, плюс привычка всегда обращать внимание на домен итоговой страницы входа, а не только на первоначальную ссылку.