Киберугрозы 2025: миллиардные вымогательства, утечка данных пользователей и угрозы для инфраструктуры

В ходе оперативных мероприятий была остановлена работа киберпреступной группы BlackSuit, занимающейся распространением программ-вымогателей.

Киберполиция Украины приняла участие в международной операции Checkmate, в которой участвовали органы правопорядка более пяти стран и службы США.

Преступники разработали вредоносное ПО, которое шифровало данные пользователей, применяя различные алгоритмические комбинации. За восстановление доступа к информации и её нераспространение они запрашивали выкуп в криптовалюте.

По данным киберполиции Украины, группировка часто меняла своё название:

Общий объём требований этой группы превысил $500 миллионов, из которых наибольшая единичная сумма составила $60 миллионов. Основными целями злоумышленников были коммерческие и общественные организации за пределами стран СНГ, в частности в США, Европе и Японии.

Согласно сообщениям ФБР в Далласе, в рамках операции 15 апреля было конфисковано более 20 биткойнов. Трассировка криптовалюты привела к адресу, предположительно связанному с участником группировки Chaos, известным под псевдонимом Hors.

По информации Минюста США, 24 июля 2025 года был подан иск о конфискации более $2,4 миллиона.

28 июля представители «Аэрофлота» сообщили о проблемах в работе своих информационных систем. В результате инцидента, ответственность за который взяли на себя хакеры «Киберпартизаны BY» и Silent Crow, было отменено более 100 рейсов.

По данным РБК, лишь за один день «Аэрофлот» мог понести убытки свыше 250 миллионов рублей. С учётом расходов на восстановление инфраструктуры и убытков, общие потери могут составить миллиарды рублей.

Проблемы также коснулись крупных аптечных сетей «Столички» и «Неофарм» — они временно остановили онлайн-бронирование товаров и закрыли часть своих магазинов. Роскомнадзор заявил, что признаков DDoS-атак не обнаружено.

Ранее компания Novabev Group сообщила о кибератаке, затронувшей алкогольную сеть магазинов «Винлаб». В результате работы супермаркетов в Москве, Подмосковье, Санкт-Петербурге и других городах были нарушены. Злоумышленники потребовали выкуп, однако руководство компании отказалось выполнять требования.

Губернатор Миннесоты Тим Уолз обратился к Национальной гвардии из-за разрушительной кибератаки, произошедшей 25 июля в столице штата, Сент-Поле.

Инцидент продолжался на протяжении 26-27 июля и спровоцировал масштабные сбои в работе городских цифровых сервисов и критически важных систем.

«С момента выявления кибератаки местные власти ведут круглосуточную работу, тесно сотрудничая со Службой информационных технологий Миннесоты и внешними специалистами по кибербезопасности. К сожалению, масштаб и сложность инцидента превзошли возможности обоих внутренних и коммерческих служб реагирования», — отмечается в экстренном исполнительном указе.

На 29 июля были недоступны онлайн-платежи, и работа некоторых библиотечных и развлекательных сервисов была приостановлена. Власти штата сотрудничали с местными, государственными и федеральными органами для расследования инцидента и восстановления системы.

25 июля популярное приложение для безопасных знакомств Tea столкнулось с утечкой данных, в результате которой были раскрыты 72 000 конфиденциальных изображений. Эти изображения включали селфи и фотографии удостоверений личности, которые использовались для верификации аккаунтов, а также контент из сообщений и публикаций пользователей.

Позднее была выявлена вторая уязвимость, приведшая к утечке дополнительных данных. 29 июля разработчики решили отключить функцию личных сообщений.

Разработчики заявили, что первая утечка затронула только пользователей, зарегистрировавшихся до февраля 2024 года. Однако в комментарии 404 Media специалист в области кибербезопасности Касра Рахджерди сообщил, что в утекших данных содержатся сообщения с 2023 года до момента обнаружения атаки, всего более 1,1 миллиона.

Согласно информации от компании Group-IB, хакерская группа UNC2891, известная как LightBasin, использовала мини-компьютер Raspberry Pi с поддержкой 4G для атаки на один из банков.

Этот одноплатный компьютер был физически подключен к коммутатору сети банкоматов, тем самым создав скрытый канал доступа к внутренней инфраструктуре банка. Это позволило злоумышленникам перемещаться по сети и устанавливать скрытые программы.

Group-IB обнаружила попытку вторжения во время расследования подозрительной активности. Эксперты считают, что целью атаки было подделка авторизации в банкоматах и совершение мошеннических операций с наличными.

Хотя LightBasin не удалось достичь своей цели, этот инцидент представляет собой редкий случай гибридной атаки, объединяющей физическое проникновение и удаленное вторжение с применением методов, направленных на максимальное скрытие следов.

Как же миллионы долларов скрываются за сотнями мелких переводов по $50? Какие инструменты помогают анализировать этот криптовалютный хаос и возможно ли вообще отследить, где заканчивается цифровой след? Обо всей этой теме расскажет директор отдела расследований «Шард» Григорий Осипов.