Неделя в кибербезопасности: аресты, крупные мошенничества и уязвимости музеев

Мы собрали ключевые события в области кибербезопасности за прошедшую неделю.

Правоохранительные органы Европы задержали девять подозреваемых в организации хакерской схемы, в результате которой было похищено свыше 600 миллионов евро у жертв из различных стран. Информация представлена в пресс-релизе Eurojust.

Мошенники разрабатывали поддельные инвестиционные платформы, маскируясь под легитимные криптовалютные сервисы, обещая пользователям высокую прибыль. Жертвами становились люди, привлеченные через социальные сети, телефонные звонки и рекламу. Переведя деньги, пользователи теряли доступ к своим средствам.

Операция прошла 27 и 29 октября в Испании, Германии и на Кипре. Задержанным предъявлены обвинения в отмывании денег, произведенных в результате мошеннической деятельности. В ходе обысков были обнаружены 800 000 евро на банковских счетах, криптовалюта на сумму 415 000 евро и 300 000 евро наличными.

4 ноября Министерство финансов США опубликовало информацию о введении санкций против международных финансовых учреждений Северной Кореи и связанных с ними лиц.

Эти лица обвиняются в отмывании средств, полученных от незаконной деятельности, включая киберпреступность и мошенничество. По мнению властей, данные средства напрямую направляются на финансирование программ разработки оружия массового уничтожения и баллистических ракет.

В списке оказались два банкира из Северной Кореи, которые участвовали в управлении средствами, включая около $5,3 миллиона в криптовалюте, через Cheil Credit Bank. Кроме того, OFAC также ввело санкции против иностранных представителей северокорейских банков, включая высокопоставленных сотрудников Koryo Commercial Bank, Ryugyong Commercial Bank, Foreign Trade Bank и Центрального банка КНДР.

Некоторые из них были связаны с группировкой, занимающейся программами вымогательства, которая атаковала американские компании и отмывала доходы от IT-работников за границей.

Согласно данным TRM Labs, в список попали 53 криптоадреса, на которых хранится более $5,4 миллиона. Большая часть средств в USDT была заморожена в результате масштабной блокировки, проведенной Tether в апреле-мае 2025 года.

Адреса, связанные с Cheil Bank, демонстрируют регулярные транзакции, которые могли бы напоминать выплаты зарплат. Это может отражать доход IT-специалистов, работающих под вымышленными именами за пределами страны. С июня 2023 по май 2025 года, под управлением Cheil, зарегистрированы поступления свыше $12,7 миллиона.

По информации Минфина США, за последние три года Северная Корея похитила более $3 миллиарда, в основном в криптовалюте, применяя сложные кибератаки. По оценкам TRM Labs, только в 2025 году хакеры, связанные с КНДР, украли $2,7 миллиарда, унаследованных главным образом в результате рекордного взлома биржи Bybit в феврале.

Власти Гонконга выдвинули обвинения против 16 человек, среди которых экс-юрист и инфлюенсер Джозеф Лам, в связи с громким делом с криптобиржей JPEX. Об этом сообщается в South China Morning Post.

В апреле 2024 года было арестовано 72 человека по подозрению в мошенничестве, связанном с этой торговой площадкой. JPEX действовала как платформа для криптотрейдинга без лицензии, вводя клиентов в заблуждение и позиционируя себя как легитимная биржа.

Согласно данным следствия, руководство JPEX смогло обмануть более 2700 инвесторов на сумму 1,6 миллиарда гонконгских долларов (~$205,8 миллиона).

Информация из СМИ указывает на то, что это одно из крупнейших финансовых мошенничеств в истории Гонконга. Шесть обвиняемых были ключевыми фигурами в команде JPEX, семь других, включая Лама, были инфлюенсерами или операторами внебиржевой торговли криптовалютой. Интерпол выпустил «красные» уведомления на троих беглецов, которых следствие считает ключевыми фигурами в схеме.

По сведениям Европола, в результате международной операции были ликвидированы три мошеннические структуры. Они занимались кражей средств с кредитных карт и отмыванием денег на общую сумму около $344 миллионов.

4 ноября сотрудники правоохранительных органов девяти стран провели совместную операцию, нацелившись на 44 подозреваемых, включая предполагаемых операторов схем, поставщиков платежных услуг и менеджеров по рискам. В результате были задержаны 18 человек, в том числе пять руководителей четырех компаний из Германии.

Следствие считает, что с 2016 по 2021 год злоумышленники использовали украденные данные для создания более 19 миллионов скам-подписок на порносайтах, сайтах знакомств и стриминговых сервисах. Списания с карт были сравнительно маленькими — около $58 в месяц — и сопровождались неясными описаниями.

Для укрытия своих действий мошенники использовали множество подставных компаний, в основном зарегистрированных в Великобритании и на Кипре, применяя инфраструктуру Crime-as-a-Service. В результате их деятельности пострадали более 4,3 миллиона пользователей по всему миру.

В рамках 29 обысков, проведенных в Германии, было изъято имущества на сумму свыше $40 миллионов, включая дорогие автомобили, криптовалюту, ноутбуки и мобильные устройства.

Кибербезопасность Лувра оказалась слабой, а серьезные сбои в системе не устранялись годами, что, вероятно, и было использовано участниками недавнего ограбления. Об этом говорится в расследовании, опубликованном французской газетой Libération.

По словам журналистов, еще в 2014 году специалисты Национального агентства по кибербезопасности выявили уязвимости в системе безопасности музея.

В ходе аудита эксперты смогли осуществить доступ к сети Лувра с обычных офисных компьютеров. Это дало возможность дистанционно нарушить работу системы видеонаблюдения и изменить права доступа на пропусках.

Упрощили взлом и пароли систем безопасности. Журналисты выяснили, что в 2014 году для доступа к серверу, управлявшему видеонаблюдением, нужно было вводить пароль “Louvre”.

В 2015 году музей организовал повторный аудит, который продолжался полтора года. Отчет, подписанный как «конфиденциальный», с которым ознакомились журналисты, был подготовлен в 2017 году. В нем, как и в предыдущем, эксперты оценили защиту музея как недостаточную. Руководству Лувра рекомендовалось чаще менять пароли и не игнорировать обновление антивирусного программного обеспечения.

Изучая технические документы, предоставленные музеем в период с 2019 по 2025 год, расследователи отметили, что некоторые проблемы оставались нерешенными на протяжении восьми лет. Это касается как минимум восьми программ, отвечающих за видеонаблюдение, контроль доступа и управление серверами. В документе 2021 года также указано, что программное обеспечение Sathi функционирует на устаревшей версии Windows Server 2003, поддержка которой была прекращена Microsoft в 2015 году.

По информации Libération, в начале 2025 года парижская полиция инициировала новый аудит безопасности музея и его контрольных центров. Ни музей, ни префектура полиции, ни Министерство культуры Франции не комментировали результаты расследования.