Дайджест Start X № 433

1. Всё схемы начинается с создания иллюзии угрозы. «Взлом госуслуг», «утечка данных», «несанкционированный доступ».
2. Приходит сообщение, в котором гражданину «подкинут» номер, звонок по которому решит проблему. Вот только этот номер приведет напрямую в кол-центр.

Как распознать подделку:

• Нестандартный отправитель. Поддельные сообщения приходят с личных аккаунтов в мессенджерах, email-адресов (как в примере) или номеров, не имеющих отношения к официальным.
• Призыв к немедленному действию. Настоящие госорганы никогда не требуют перезвонить «срочно» по неизвестному номеру. Это ключевой маркер мошенничества.
• Ошибки и неформатный стиль. В поддельных сообщениях могут встречаться стилистические ошибки, неформальное обращение и некорректные данные.

Помните: официальные службы никогда не просят перезвонить по сомнительному номеру для решения проблем. Не поддавайтесь панике!

1. В рекламе или сообщении они обещают бесплатную поддержку: «Психолог 24/7», «Анонимно и без записи», «Помощь пострадавшим в кризисе».
2. Когда пользователь заходит в чат или на сайт, его встречает бот или «консультант». Первые вопросы, которые он задает: «Как вы себя чувствуете?», «Что вас тревожит?» Дальше включается механизм обмана.
3. Через 10−15 минут разговора человеку выдвигают условие: «Чтобы продолжить, нужно подтвердить личность или внести символическую оплату. Это возвратный взнос — 200 или 500 рублей». Введенные данные карты уходят мошенникам.
4. Существует второй вариант, при котором жертву просят заполнить «анкету для подбора специалиста» с ФИО, телефоном и местом работы.
5. Третий сценарий выглядит следующим образом: человеку предлагают «подтвердить аккаунт для продолжения работы с ботом» и перебрасывают на фейковую страницу, имитирующую Telegram. Ввод номера и кода из SMS в таком «окне» приводит к краже самой учетной записи мессенджера.

С помощью анкет и карт злоумышленники собирают цифровой профиль жертвы, который потом может использоваться для шантажа, оформления микрозаймов или целевых атак. В некоторых случаях добыча еще ценнее — полный доступ к Telegram-аккаунту, где есть личная переписка, контакты и данные для дальнейших атак.

Автомобилестроительная компания Jaguar Land Rover (JLR) была вынуждена отключить ряд систем из-за хакерской атаки.

В JLR сообщают, что сейчас ведутся работы по контролируемому перезапуску всех глобальных приложений. В компании не называют конкретных сроков возвращения к нормальной работе и не раскрывают никаких подробностей об атаке, с которой ей пришлось столкнуться.

Первые сообщения о сбоях в работе JLR поступили от дилеров в Великобритании, которые пожаловались, что лишились возможности регистрировать новые автомобили и поставлять детали в сервисные центры.

Атака произошла в последние выходные августа, и из-за инцидента JLR пришлось отключить ряд систем, в том числе те, которые использовались на производственном предприятии компании в Солихалле, где собираются модели Land Rover Discovery, Range Rover и Range Rover Sport.

В понедельник 1 сентября работникам завода компании в Хейлвуде разослали уведомление по электронной почте с просьбой не выходить на работу, и других сотрудников тоже отправили домой.

Пока ни одна хакерская группа не взяла на себя ответственность за атаку.

Около десяти дней назад злоумышленники проникли в правительственные сети штата Невада, что привело к временной остановке работы ключевых государственных служб. Эксперты уже назвали этот инцидент крупнейшим киберинцидентом в истории американских штатов, так как впервые атака затронула весь аппарат управления регионом.

Теперь власти Невады подтвердили: многодневные сбои в системах штата вызваны вымогательской кибератакой. Злоумышленники не только заблокировали работу государственных структур, но и выгрузили массивы данных, масштабы утечки которых пока неизвестны.

По данным официального ресурса, который информирует жителей о ходе ликвидации последствий, частично или полностью восстановлена работа экстренных служб, системы начисления зарплаты, департамента автомобильного транспорта, службы занятости и медицинских учреждений. Однако власти пока не уточняют, какие ведомства остаются парализованными.

Особенность этой атаки заключается в её беспрецедентных последствиях: под ударом оказались транспорт, медицина и безопасность. Этот случай наглядно продемонстрировал, что кибератака может парализовать целый регион, а не только отдельные организации.

Генеральная прокуратура Пенсильвании подтвердила, что причиной трёхнедельного сбоя в работе офисов по всему штату стала программа-вымогатель.

Впервые об инциденте стало известно 11 августа, когда вся сеть офиса вышла из строя, включая веб-сайт, электронную почту и основную телефонную линию. К 14 августа доступ к веб-сайту был частично восстановлен.

18 августа генеральный прокурор Дэйв Санди объявил, что сотрудникам постепенно возвращается доступ к их почтовым ящикам. Телефонные линии оставались недоступными ещё неделю.

Подразделения и соответствующие отделы офиса продолжали работать во время сбоя, хотя и использовали альтернативные каналы и методы.

29 августа генеральный прокурор Сандей подтвердил, что при атаке использовался шифровальщик-вымогатель, но не предоставил информацию об ответственной за это группе, сославшись на продолжающееся расследование.

«Сбой был вызван тем, что постороннее лицо зашифровало файлы, чтобы заставить офис заплатить за восстановление работы. Мы отказались платиьт выкуп», — заявили в Генеральной прокуратуре.

На текущий момент большинство сотрудников получили доступ к электронной почте, основная телефонная линия была восстановлена, но работа по восстановлению полноценной работы продолжается.

По данным компании, атака представляла собой UDP-флуд, который исходил от ряда облачных и IoT-провайдеров, одним из которых был Google Cloud. Подробный отчет об этом инциденте представители Cloudflare обещают опубликовать в ближайшее время.

Судя по приложенному к сообщению компании изображению, рекордная атака длилась всего около 35 секунд.

Предыдущий рекорд был установлен в июне текущего года. Тогда Cloudflare сообщала, что нейтрализовала DDoS-атаку, направленную на неназванного хостинг-провайдера, пиковая мощность которой достигла 7,3 Тбит/с.

Эта атака на 12% превосходила предыдущий рекорд, установленный в январе 2025 года — 5,6 Тбит/с.

Тогда специалисты писали, что всего за 45 секунд был передан огромный объем данных — 37,4 ТБ. Это эквивалентно примерно 7500 часам потокового HD-вещания или передаче 12 500 000 фотографий в формате jpeg.

Множество крупных компаний сообщают, что пострадали от хакерской атаки, связанной со взломом Salesloft Drift. Среди них: ИБ-компании Zscaler и Palo Alto Networks, SaaS-платформы Workiva, PagerDuty и Exclaimer, компания Cloudflare и многие другие.

Атаки стали возможными в результате компрометации платформы автоматизации продаж Salesloft и кражи OAuth и refresh-токенов клиентов из её ИИ-агента Drift, предназначенного для интеграции с Salesforce.

Атака длилась с 8 по 18 августа 2025 года. В результате взлома злоумышленники получили клиентские токены Drift, используемые для интеграции с Salesforce, а затем использовали их для кражи данных из Salesforce.

Аналитики Google рекомендовали всем компаниям, использующим Drift, интегрированный с Salesforce, считать свои данные скомпрометированными.

Представители компании Zscaler сообщили, что её инстанс Salesforce подвергся взлому в рамках этой атаки на цепочку поставок, в результате чего была раскрыта информация о клиентах.

В руки хакеров попала следующая информация:

• имена;
• адреса электронной почты;
• должности;
• номера телефонов;
• региональная информация;
• данные о лицензировании продуктов Zscaler и коммерческая информация;
• содержимое некоторых запросов в поддержку.

Компания подчеркивает, что утечка данных затронула только Salesforce, и никакие продукты, услуги и инфраструктура Zscaler не пострадали.

Ещё одной жертвой этой атаки на цепочку поставок стала Palo Alto Networks. Специалисты заявляют, что компания стала одной из сотен жертв этой вредоносной кампании. В данном случае инцидент тоже ограничился CRM-системой Salesforce и не затронул какие-либо другие продукты, системы и сервисы.

Злоумышленники похитили контактную информацию и связанную с ней информацию об учётных записях, а также внутренние записи о продажах. Подчеркивается, что украденные данные, связанные с обращениями в службу технической поддержки, содержали только контактную информацию и текстовые комментарии, но не файлы или вложения.

Другой крупной жертвой компрометации Salesloft Drift стала компания Cloudflare. Злоумышленники получили доступ к инстансу Salesforce, который использовался для внутреннего управления обращениями и поддержки клиентов, а также содержал 104 токена API Cloudflare.

Специалисты Cloudflare узнали об атаке еще 23 августа, и ко 2 сентября оповестили всех пострадавших клиентов об инциденте. Перед тем как сообщить клиентам об атаке, компания аннулировала все 104 токена, похищенных во время взлома.

Любая информация, которой клиент мог поделиться с Cloudflare через систему поддержки, должна считаться скомпрометированной. Пользователям настоятельно рекомендуется сменить любые учётные данные, которыми они могли делиться с компанией.

Также о компрометации Salesforce, последовавшей за взломом Salesloft Drift, сообщили SaaS-платформы Workiva, PagerDuty и Exclaimer; ИБ-компании Tanium и SpyCloud и Astrix Security; облачная компания Cloudinary. Список пострадавших продолжает быстро пополняться.

Хакеры попытались украсть 130 миллионов долларов США у бразильского филиала Evertec Sinqia S.A., получив несанкционированный доступ к его среде в платёжной системе центрального банка, работающей в режиме реального времени (Pix).

Evertec — публичный гигант в сфере финансовых технологий, который является крупным поставщиком комплексных услуг по обработке транзакций в Латинской Америке, Пуэрто-Рико и странах Карибского бассейна.

Sinqia, приобретенная Evertec в 2023 году, — это публичная компания из Сан-Паулу, которая занимается разработкой финансового программного обеспечения и ИТ-услуг для банковской и финансовой отраслей.

Компания Evertec сообщила в заявлении, поданном в Комиссию по ценным бумагам и биржам США (SEC), что 29 августа хакеры взломали системы Sinqia и попытались провести несанкционированные транзакции.

Обнаружив инцидент, компания Sinqia приостановила обработку транзакций в своей среде Pix и начала сотрудничать с внешними экспертами по кибербезопасности.

Pix — это бразильская система мгновенных платежей, запущенная Центральным банком Бразилии в ноябре 2020 года и позволяющая осуществлять мгновенные переводы средств круглосуточно и без выходных.

Он стал самым распространённым способом оплаты в Бразилии и часто становится мишенью для вредоносных программ для Android-банкинга.

Хакеры попытались провести несанкционированные межкорпоративные транзакции с участием двух финансовых учреждений, являющихся клиентами Sinqia.

Компания Evertec отмечает, что часть из похищенных 130 миллионов долларов США уже возвращена, но не уточняет, какая именно. Работа по возвращению средств продолжается.

Расследование инцидента показало, что хакеры получили доступ к среде Pix компании Sinqia, используя украденные учётные данные поставщика ИТ-услуг.

Центральный банк Бразилии заблокировал доступ Sinqia к Pix, но компания работает над скорейшим восстановлением доступа, предоставляя властям все необходимые сведения и гарантии.

Bridgestone расследует кибератаку, которая повлияла на работу некоторых производственных предприятий в Северной Америке.

Компания считает, что благодаря оперативному реагированию атака была пресечена на ранней стадии, что позволило избежать кражи данных клиентов или глубокого проникновения в сеть.

Во вторник, 2 сентября 2025 года, появились сообщения об инциденте в сфере кибербезопасности, затронувшем два производственных объекта BSA в округе Айкен, Южная Каролина.

На следующий день канадские СМИ сообщили об аналогичных сбоях на производственном предприятии BSA в Жольетте, Квебек.

Пока криминалистическая экспертиза продолжается, но в компании уверены, что киберинцидент удалось локализовать на ранней стадии. Представители компании не подтверждают, что какие-либо данные клиентов или интерфейсы были скомпрометированы. Сотрудники работают круглосуточно, чтобы смягчить последствия и минимизировать сбои в цепочке поставок, которые могут привести к дефициту продукции на рынке.

Компания не ответила на вопрос, была ли атака связана с программами-вымогателями. Пока ни одна группировка не взяла на себя ответственность за атаку.