Ликвидация «последнего пристанища» вымогателей, слив документов CISA в ChatGPT и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Хакеры из КНДР атаковали блокчейн-разработчиков для кражи криптовалют

Северокорейская хакерская группировка Konni использовала созданный с помощью ИИ вредонос для атак на блокчейн-разработчиков. Об этом сообщили аналитики Check Point. 

Основная цель злоумышленников — получить доступ к средам разработки, что открывает путь к учетным данным API, инфраструктуре и, в конечном итоге, к криптовалютным кошелькам компаний. 

По данным экспертов, атака начинается в Discord, где жертве присылают ссылку на ZIP-архив. Внутри находятся PDF-приманка и вредоносный LNK-файл. Запуск ярлыка активирует сложную цепочку:

1. Запускается загрузчик PowerShell, который открывает документ DOCX для отвлечения внимания.
2. В фоновом режиме извлекается архив CAB с бэкдором, пакетными файлами (BAT) и инструментом для обхода контроля учетных записей.
3. Создается ежечасная задача в планировщике под видом процесса OneDrive, которая запускает зашифрованный скрипт прямо в оперативной памяти, заметая следы после исполнения.

Аналитики пришли к выводу, что вредоносный скрипт создан с помощью LLM. На это указывают несколько факторов:

• нетипичная структура. Наличие четкой документации в начале кода и модульный, аккуратный макет, что редко встречается в «ручном» вредоносном ПО;
• характерные комментарии. В коде обнаружена строка # < — — your permanent project UUID (ваш постоянный UUID проекта).

Специалисты связали кампанию с Konni на основе сходства форматов загрузчиков и названий файлов, использовавшихся в предыдущих операциях.

Активная с 2014 года группировка традиционно атаковала цели в Южной Корее, России и Европе. Новая кампания сосредоточена на трех странах Азиатско-Тихоокеанского региона: Индии, Японии, Австралии.

ФБР уничтожило «последнее пристанище» вымогателей

ФБР в координации с Минюстом США арестовало популярный форум кибервымогателей RAMP. Об этом сообщает BleepingComputer.

RAMP позиционировал себя как «последнее пристанище» для вымогателей, что привлекло множество группировок, которые использовали форум для вербовки партнеров, а также покупки и продажи доступов к корпоративным сетям.

По данным СМИ, хотя официального заявления от властей пока не последовало, DNS-серверы домена изменены на те, которые ФБР обычно использует при конфискации:

• ns1.fbi.seized.gov;
• ns2.fbi.seized.gov.

Информацию подтвердил один из администраторов форума под ником Stallman, признав, что годы его работы уничтожены.

По данным издания, в распоряжении спецслужб оказался огромный массив конфиденциальных данных: IP-адреса, личные сообщения и почтовые ящики пользователей. Для участников форума, не соблюдавших строгую анонимность, это прямая угроза деанонимизации и последующего ареста. 

Площадка возникла в 2021 году в ответ на запрет рекламы программ-вымогателей на других хакерских порталах вроде Exploit и XSS. За ресурсом стоит хакер Михаил Матвеев под ником Orange.

В 2023 году Министерство юстиции США предъявило Матвееву обвинения в причастности к разработке вредоносов Babuk, LockBit и Hive. Его внесли в список самых разыскиваемых киберпреступников ФБР, а в ноябре 2024 года арестовали в Калининграде.

Хакеры взломали системы единого входа для атаки на корпорации

Группировка ShinyHunters инициировала масштабную волну вишинговых атак, нацеленную на системы единого входа (SSO) от Okta, Microsoft и Google. Об этом хакеры сообщили BleepingComputer.

Злоумышленники используют продвинутую социальную инженерию: звонят сотрудникам под видом поддержки и убеждают их ввести логины и коды на поддельных сайтах. 

Отчет Okta подтвердил использование продвинутых фишинговых наборов. Эти инструменты включают веб-панель управления, которая позволяет хакеру в реальном времени менять содержимое сайта, пока он говорит с жертвой по телефону:

• если злоумышленнику при вводе украденных данных требуется код, он мгновенно выводит соответствующее поле на экран жертвы;
• если нужно подтверждение через Push-уведомление, на фишинговом сайте появляется инструкция по его одобрению.

Успешный взлом одного SSO-аккаунта открывает преступникам доступ ко всей корпоративной экосистеме, включая Google Workspace, Slack и Microsoft 365. Для подготовки атак ShinyHunters используют данные из своих предыдущих утечек, зная имена, должности и телефоны сотрудников, что делает их звонки максимально убедительными.

Группировка также перезапустила свой сайт для «слива» данных, опубликовав информацию о взломах SoundCloud, Betterment и Crunchbase. Представители пострадавших компаний подтвердили факты инцидентов.

Глава CISA спровоцировал скандал, загрузив служебные документы в ChatGPT

Исполняющий обязанности директора Агентства по кибербезопасности и защите инфраструктуры США (CISA) Мадху Готтумуккала стал фигурантом внутреннего расследования после того, как загрузил чувствительные контрактные документы ведомства в ChatGPT. Об этом сообщает Politico. 

Большинству сотрудников CISA доступ к чат-боту заблокирован, однако Готтумуккала запросил спецразрешение на использование продукта OpenAI вместо одобренных защищенных инструментов.

По данным СМИ, система безопасности федеральных сетей выдала несколько предупреждений об утечке данных. Хотя загруженная информация не была секретной, она имела гриф «для служебного пользования». Теперь данные могут быть использованы нейросетью для ответов пользователям, ставя под удар конфиденциальность государственных контрактов.

Готтумуккале могут грозить дисциплинарные меры — от официального предупреждения до отзыва допуска к секретной информации.

Кибератака на энергетику Польши: новые подробности

В конце декабря энергетическая инфраструктура Польши подверглась скоординированной атаке, нацеленной на объекты распределенной энергетики по всей стране. Удары пришлись по ТЭЦ, а также системам управления ветровой и солнечной энергией, сообщает Reuters.

Несмотря на то, что злоумышленники взломали операционные системы и повредили «ключевое оборудование без возможности восстановления», им не удалось прервать подачу электроэнергии. Общая мощность атакованных объектов составила 1,2 ГВт, что эквивалентно 5% энергоснабжения Польши. 

По официальным данным, поражено 12 объектов. Однако эксперты компании в сфере кибербезопасности Dragos заявили, что реальное число пострадавших площадок достигло 30.

Специалисты «со средней степенью уверенности» приписали атаку российской хакерской группировке Electrum. Хотя ее деятельность пересекается с известной группой Sandworm (APT44), исследователи выделили ее в отдельный кластер.

Ранее Electrum связывали с атаками на украинские сети с использованием вредоносного ПО Caddywiper и Industroyer2. В Польше хакеры применили новый вайпер — DynoWiper.

Согласно Dragos, злоумышленники продемонстрировали глубокое понимание промышленного оборудования. Они целенаправленно атаковали:

• уязвимые системы диспетчеризации и связи;
• удаленные терминалы и пограничные сетевые устройства;
• системы мониторинга и управления на базе Windows.

Хакеры успешно отключили оборудование связи на ряде объектов, лишив операторов возможности удаленного управления, хотя генерация энергии продолжилась в автономном режиме. 

Эксперты считают, что отключение всех целевых объектов не привело к блэкауту. Однако резкое выпадение 1,2 ГВт мощности могло вызвать критическое отклонение частоты в сети. Ранее подобные колебания приводили к каскадным авариям в других странах, включая масштабный коллапс иберийской энергосистемы в 2025 году.

Также на ForkLog:

• Минюст США конфисковал $400 млн у биткоин-миксера Helix.
• Хакеры украли $2,9 млрд криптовалют за 2025 год.
• В ИИ-агенте Clawdbot обнаружили критические уязвимости.
• Хвастовство в Telegram помогло раскрыть кражу $40 млн у правительства США.
• ZachXBT обвинил Circle в бездействии после взлома SwapNet на $16,8 млн.

Что почитать на выходных?

Василий Смирнов разобрался в сути Ханойской конвенции ООН о киберпреступлениях. В новом материале он выяснил возможные сценарии ее применения в странах-подписантах.