Заявка на бесплатную консультацию
Ответим на вопросы и предложим продукт для решения ваших задач.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Заявка на бесплатный пилот
Запустим пилотный проект за 5 рабочих дней.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Обзор новостей информационной безопасности с 22 по 28 августа 2025 года
Дайджест Start X № 432
28 августа 2025
10 минут
эксперт по информационной безопасности в Start X
Андрей Жаркевич
Киберкампании
Особенности кампании
- С потенциальными жертвами — руководителями, владельцами малого и среднего бизнеса — связывается в Telegram мошенник, который разыгрывает роль потенциального клиента.
- Собеседник просит проконсультировать его по услугам компании и предлагает сделать это в Zoom, где у него якобы бизнес-версия, в которой удобнее общаться.
- После согласия жертвы мошенник направляет ссылку на видеоконференцию в Zoom, которая даже при беглом взгляде отличается от легитимной.
- После перехода по ней пользователь должен пройти несколько капч, а затем ему предлагается ввести данные для входа в Google-аккаунт на фишинговой странице. Капча в данном случае может использоваться для противодействия автоматизированным инструментам информационной безопасности.
- После ввода данных учетной записи Google фишинговая страница запрашивает код подтверждения, который приходит уже в Telegram и нужен злоумышленникам для угона аккаунта в мессенджере. Для дополнительного давления на пользователя мошенник в это время пишет или звонит с просьбами поторопиться.
- После получения доступа к учетной записи в Google злоумышленники проверяют привязанные к нему аккаунты в криптокошельках и криптобиржах, но могут также использовать скомпрометированную учетную запись для поиска чувствительной информации, доступа к банковским сервисам и другим ресурсам.
Особенности кампании
- Отправив сообщение через форму на сайте, преступники неделями ведут переписку, создавая впечатление делового партнёрства. Иногда к переписке добавляются поддельные соглашения о неразглашении. Лишь после этого сотрудникам отправляют ZIP-архив с вредоносом.
- Внутри архива находится ярлык Windows, запускающий PowerShell-скрипт. Он загружает в память систему MixShell, не оставляющую файлов на диске и общающуюся с сервером управления через DNS-туннелирование и HTTP. Такой способ позволяет выполнять команды удалённого оператора, передавать и скачивать файлы, организовывать обратный прокси и закрепляться в сети.
- В некоторых вариантах MixShell дополнен приёмами антиотладки и механизмами обхода песочниц, использует планировщик заданий Windows для сохранения доступа и умеет скрытно загружать дополнительные модули.
- Распространение вредоноса происходит через поддомены на сервисе herokuapp[.]com, что маскирует активность под легитимный сетевой трафик.
- ZIP-файл содержит документ-приманку, чтобы не вызвать подозрений.
Инциденты
Сбои затронули системы, через которые фиксируются больничные листы, планы по реабилитации, инциденты на рабочем месте и отчёты о производственных травмах. Продукты Miljödata используют около 80% органов местного самоуправления, поэтому последствия инцидента охватили большую часть страны.
Сбой был обнаружен 23 августа. Специалисты вместе с привлечёнными командами круглосуточно анализируют происшедшее, определяют, какие данные могли быть скомпрометированы, и пытаются восстановить сервисы. Затронуты порядка 200 муниципалитетов и регионов, а всего в Швеции 290 муниципальных образований и 21 регион.
Злоумышленники требуют у Miljödata выкуп в 1,5 биткоина, что эквивалентно примерно 168 тысячам долларов США. При этом злоумышленники угрожают опубликовать похищенные материалы, если компания откажется платить.
Сбой был обнаружен 23 августа. Специалисты вместе с привлечёнными командами круглосуточно анализируют происшедшее, определяют, какие данные могли быть скомпрометированы, и пытаются восстановить сервисы. Затронуты порядка 200 муниципалитетов и регионов, а всего в Швеции 290 муниципальных образований и 21 регион.
Злоумышленники требуют у Miljödata выкуп в 1,5 биткоина, что эквивалентно примерно 168 тысячам долларов США. При этом злоумышленники угрожают опубликовать похищенные материалы, если компания откажется платить.
Уже несколько дней власти борются с последствиями инцидента, который нарушил работу правительственных сайтов, телефонных систем и онлайн-платформ, а также привел к закрытию всех государственные учреждений в начале недели.
Впервые об инциденте стало известно 25 августа. Тогда власти описывали атаку как некий «сетевой инцидент», затронувший государственные сайты и телефонные системы. Подчеркивалось, что службы экстренной помощи не пострадали.
26 августа губернатор штата Джо Ломбардо (Joe Lombardo) распространил официальное заявление, в котором подтверждалось, что сбои вызваны хакерской атакой, и по данному факту уже начато уголовное расследование.
По совокупности признаков инцидент напоминает атаку шифровальщиков, однако власти Невады не раскрывают никаких технических подробностей об инциденте.
Впервые об инциденте стало известно 25 августа. Тогда власти описывали атаку как некий «сетевой инцидент», затронувший государственные сайты и телефонные системы. Подчеркивалось, что службы экстренной помощи не пострадали.
26 августа губернатор штата Джо Ломбардо (Joe Lombardo) распространил официальное заявление, в котором подтверждалось, что сбои вызваны хакерской атакой, и по данному факту уже начато уголовное расследование.
По совокупности признаков инцидент напоминает атаку шифровальщиков, однако власти Невады не раскрывают никаких технических подробностей об инциденте.
Сеть Auchan уведомила клиентов о несанкционированном доступе к данным программ лояльности: имена, адреса, почта, телефоны и номера карт лояльности. Банковские реквизиты и пароли, по заявлению компании, не затронуты.
Auchan заявляет, что предприняла все необходимые меры для локализации атаки и улучшения безопасности своих систем, а также уведомила правоохранительные и регулирующие органы об инциденте.
Компания советует пострадавшим клиентам сохранять бдительность в отношении возможного фишинга и мошенничества, так как злоумышленники могут попытаться использовать украденную информацию.
Auchan заявляет, что предприняла все необходимые меры для локализации атаки и улучшения безопасности своих систем, а также уведомила правоохранительные и регулирующие органы об инциденте.
Компания советует пострадавшим клиентам сохранять бдительность в отношении возможного фишинга и мошенничества, так как злоумышленники могут попытаться использовать украденную информацию.
Расследование показало, что злоумышленники получили доступ к внутренним системам за месяц до обнаружения — начиная с 17 апреля. За это время они могли собрать значительный массив информации. MathWorks заявила, что после выявления факта компрометации привлекла сторонних специалистов по цифровой криминалистике.
Похищенные данные содержат имена, адреса, даты рождения, номера социального страхования для граждан США и национальные идентификационные номера для клиентов из других стран.
Похищенные данные содержат имена, адреса, даты рождения, номера социального страхования для граждан США и национальные идентификационные номера для клиентов из других стран.
Оператор диализных центров подтвердил на портале регулятора масштаб инцидента: у злоумышленников оказались персональные и медицинские данные 2 689 826 человек.
Медицинский сектор остаётся лакомой целью — давление на больницы и поставщиков услуг часто вынуждает тех платить. Первопричина — человеческий фактор, фишинг и устаревшие системы в сложных сетях.
Медицинский сектор остаётся лакомой целью — давление на больницы и поставщиков услуг часто вынуждает тех платить. Первопричина — человеческий фактор, фишинг и устаревшие системы в сложных сетях.
Это оказался дипфейк, созданный с помощью нейросетей на основе реального ролика мэра о надвигающихся ливнях. Видео быстро разошлось по соцсетям, вызвав беспокойство среди жителей, и даже местные СМИ поначалу подхватили новость.
Власти Приморского края оперативно опровергли информацию, подтвердив, что никаких повышений тарифов не планируется, а топлива хватает. Инцидент стал частью волны подобных фейков по России, где дипфейки используются для манипуляции общественным мнением, часто затрагивая региональных лидеров. Жители были вынуждены проверять информацию через официальные каналы, чтобы избежать паники.
Аналогичное поддельное видео с главой региона пугает жителей Камчатки.
В ролике говорится, что на Камчатке с 1 сентября якобы поднимут тарифы на городской и пригородный транспорт сразу на 50% по причине проблем с топливом.
В Камчатском крае нет проблем с топливом, а видео с губернатором оказалось фейком. Глава Камчатки отметил, что ажиотажный спрос возник в выходные, при этом запас топлива находится на достаточном уровне.
В оригинальном ролике от 30 июля, который был взят за основу дипфейка, глава региона обращается к гражданам из-за произошедшего землетрясения и сообщает об угрозе цунами.
Власти Приморского края оперативно опровергли информацию, подтвердив, что никаких повышений тарифов не планируется, а топлива хватает. Инцидент стал частью волны подобных фейков по России, где дипфейки используются для манипуляции общественным мнением, часто затрагивая региональных лидеров. Жители были вынуждены проверять информацию через официальные каналы, чтобы избежать паники.
Аналогичное поддельное видео с главой региона пугает жителей Камчатки.
В ролике говорится, что на Камчатке с 1 сентября якобы поднимут тарифы на городской и пригородный транспорт сразу на 50% по причине проблем с топливом.
В Камчатском крае нет проблем с топливом, а видео с губернатором оказалось фейком. Глава Камчатки отметил, что ажиотажный спрос возник в выходные, при этом запас топлива находится на достаточном уровне.
В оригинальном ролике от 30 июля, который был взят за основу дипфейка, глава региона обращается к гражданам из-за произошедшего землетрясения и сообщает об угрозе цунами.
Компания, обслуживающая тысячи медучреждений в США, сообщила о компрометации персональных и финансовых данных, включая SSN и номера водительских удостоверений. Инцидент датируется осенью 2024-го, но масштабы раскрыли лишь сейчас.
Хотя ни одна группировка не взяла на себя ответственность за атаку, признаки свидетельствуют об инциденте с шифровальщиком: файлы были экспортированы на внешний ресурс, после чего зашифрованы.
Хотя ни одна группировка не взяла на себя ответственность за атаку, признаки свидетельствуют об инциденте с шифровальщиком: файлы были экспортированы на внешний ресурс, после чего зашифрованы.
Проект сообщил о продолжительной DDoS-кампании, мешавшей инфраструктуре сообщества. Разработчики включили фильтры и временные меры, сервисы постепенно стабилизировали.
Справиться с атакой быстро не удалось. Хотя в выходные сервисы практически восстановили свою работоспособность, в настоящее время проблемы сохраняются и периодически работа ресурсов ухудшается, как видно на статус-странице проекта. При этом отмечается, что некоторые сервисы могут ошибочно отображаться как недоступные из-за использующихся тактик защиты.
Справиться с атакой быстро не удалось. Хотя в выходные сервисы практически восстановили свою работоспособность, в настоящее время проблемы сохраняются и периодически работа ресурсов ухудшается, как видно на статус-странице проекта. При этом отмечается, что некоторые сервисы могут ошибочно отображаться как недоступные из-за использующихся тактик защиты.
Что еще почитать
Подпишитесь на дайджест Start X
Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.