Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
В рамках оперативных действий была пресечена деятельность киберпреступной сети BlackSuit специализирующейся на распространении программ-вымогателей.
Киберполиция Украины присоединилась к международной операции Checkmate, в которой участвовали правоохранительные органы более пяти стран Европола и службы США.
Злоумышленники разработали вредонос, который кодировал пользовательские данные с использованием различных комбинаций алгоритмов. За расшифровку и нераспространение похищенной информации они требовали выкуп в криптовалюте.
По заявлению киберполиции Украины, группировка неоднократно меняла свое название:
Общий объем требований группировки превысил $500 млн, при этом крупнейшая разовая сумма составила $60 млн. Основными целями злоумышленников были преимущественно коммерческие и общественные структуры за пределами стран СНГ, в частности в США, Европе и Японии.
По сообщению Далласского ФБР, в рамках операции 15 апреля изъято более 20 биткоинов. Криптовалюту проследили до адреса, предположительно связанного с участником группировки Chaos под псевдонимом Hors.
Today, FBI Dallas made public the seizure of over $1.7 million worth of cryptocurrency as part of ongoing efforts to combat ransomware. The seized funds were traced to a cryptocurrency address allegedly associated with a member of the Chaos ransomware group, known as "Hors," who… pic.twitter.com/uWeIMMGE9J
— FBI Dallas (@FBIDallas) July 28, 2025По информации Минюста США, 24 июля 2025 года подан иск с требованием о конфискации более чем $2,4 млн.
28 июля представители «Аэрофлота» сообщили о затруднениях в работе информационных систем. В результате инцидента, ответственность за который взяли на себя хакерские группировки «Киберпартизаны BY» и Silent Crow, отменено более 100 рейсов.
По данным РБК, только за один день «Аэрофлот» мог потерять более 250 млн рублей. Учитывая затраты на восстановление инфраструктуры, недополученную выручку и убытки, ущерб может достигать нескольких миллиардов рублей.
С проблемами также столкнулись крупные аптечные сети «Столички» и «Неофарм» — они прекратили услугу онлайн-бронирования товаров, а также временно закрыли часть розничных точек. В Роскомнадзоре отметили, что признаков DDoS-атак обнаружено не было.
Ранее компания Novabev Group сообщила о кибератаке, которая затронула ресурсы розничной сети алкогольных магазинов «Винлаб». В результате не работали супермаркеты в Москве, Подмосковье, Санкт-Петербурге и других городах. Злоумышленники потребовали выкуп, однако руководство компании им отказало.
Губернатор Миннесоты Тим Уолз призвал Национальную гвардию в ответ на разрушительную кибератаку, которая 25 июля затронула столицу штата Сент-Пол.
Инцидент продолжался на протяжении 26-27 июля и вызвал масштабные сбои по всему городу, нарушив работу цифровых сервисов и критически важных систем.
«С момента обнаружения кибератаки власти Сент-Пола работают круглосуточно, тесно взаимодействуя со Службой информационных технологий Миннесоты и внешней компанией по кибербезопасности. К сожалению, масштаб и сложность инцидента превзошли возможности как внутренних, так и коммерческих служб реагирования», — говорится в чрезвычайном исполнительном указе.
На 29 июля были недоступны онлайн-платежи и приостановлена работа некоторых сервисов в библиотеках и центрах досуга. Власти столицы штата сотрудничают с местными, государственными и федеральными структурами для расследования инцидента и восстановления полной работоспособности систем.
25 июля популярное приложение для безопасных знакомств Tea столкнулось с утечкой данных, в результате которой были раскрыты 72 000 конфиденциальных изображений. Они включали селфи и фото удостоверений личности, используемых для верификации аккаунтов, а также изображения из сообщений и публикаций пользователей.
Позднее была выявлена вторая уязвимость, из-за которой утекли дополнительные пользовательские данные. 29 июля разработчики отключили функцию личных сообщений.
Интерфейс приложения Tea. Источник: Tea.
Разработчики заявляли, что первая утечка затронула только пользователей, зарегистрировавшихся до февраля 2024 года. Однако в комментарии 404 Media специалист по кибербезопасности Касра Рахджерди заявил, что в утекшей базе содержатся сообщения начиная с 2023 года вплоть до обнаружения атаки, всего — более 1,1 млн.
Согласно компании Group-IB, хакерская группировка UNC2891, также известная как LightBasin, в рамках недавно выявленного инцидента использовала мини-компьютер Raspberry Pi с поддержкой 4G для атаки одного из банков.
Одноплатный компьютер был физически подключен к коммутатору сети банкоматов, создав тем самым невидимый канал доступа во внутреннюю инфраструктуру банка. Это позволило злоумышленникам перемещаться по сети и устанавливать бэкдоры.
Схема гибридной атаки с помощью Raspberry Pi с 4G-модемом. Источник: GROUP-IB.
Group-IB обнаружила попытку вторжения в ходе расследования подозрительной активности. По данным экспертов, целью атаки была подделка авторизации в банкоматах и совершение мошеннических операций по снятию наличных.
Хотя LightBasin не удалось реализовать этот замысел, инцидент представляет собой редкий пример гибридной атаки, сочетающей физический доступ и удаленное проникновение с использованием техник максимального сокрытия следов.
Также на ForkLog:
Как получается, что миллионы скрываются за сотнями переводов по $50? Какие инструменты помогают разобраться в этом криптохаосе и можно ли вообще отследить, где заканчивается цифровой след? Обо всем этом рассказывает директор по расследованиям «Шард» Григорий Осипов.
Один токен — сто следов
JOIN
