Хакеры украли полмиллиона долларов у пенсионеров в Австралии, власти поддержали руководителей британских компаний разработкой киберкодекса, риск кибервойны поставил крест на цифровых проектах, эксперты предупредили о коварных свойствах нового фишинга, Европол провел обыски и аресты в ходе операции «Эндшпиль», а Китай на Западе «похвалили» за сдержанность при проведении кибератак.
Австралийские пенсионные вкладчики подверглись волне атак с подделкой учетных данных
В прошлые выходные австралийские поставщики пенсионных фондов подверглись массовым атакам: было взломано около 20 тыс. клиентских счетов в ходе, по всей видимости, рейда по подмене учетных данных. Отраслевая организация Ассоциация пенсионных фондов Австралии в своем заявлении сообщила, что хакеры атаковали «ряд фондов» в предыдущие выходные.
«Хотя большинство попыток были отражены, к сожалению, некоторые достигли цели. Фонды связываются со всеми пострадавшими членами, чтобы сообщить им об этом, и помогают всем, чьи данные были скомпрометированы, — сказано в заявлении. — Вкладчики должны быть уверены, что пенсионные фонды и их поставщики услуг уже имеют надежную киберзащиту».
Местные СМИ предполагают, что десятки тысяч аккаунтов могли быть скомпрометированы, и с них украли до 500 тыс. долларов. Australian Super — крупнейший фонд страны, объёмом около 365 млрд австралийских долларов (219 млрд долларов США), которым пользуются около 3,5 млн участников. В заявлении, опубликованном в пятницу, говорится, что 600 из этих участников пострадали от кибератак.
После всплеска подозрительной активности на портале участников и в мобильном приложении сотрудники фонда призвали потенциальных жертв принять меры для своей защиты в Интернете. Киберпреступники могли использовать украденные пароли сотен участников для совершения мошенничества. Администрация заблокировала эти аккаунты и попросила участников принять меры для своей защиты в Интернете.
Rest Super, управляющая примерно 93 млрд австралийских долларов (56 млрд долларов США), заявила, что около 8000 участников имело «некоторые ограниченные личные данные», включая имя, адрес электронной почты и идентификационный номер участника. Однако компания заверила, что средства ни одной из этих жертв не пострадали.
Insignia Financial назвала причиной атак подмену учетных данных. Ее генеральный директор Лиз Маккарти рассказала о подозрительной активности на счетах около 100 клиентов Expand Wrap Platform, которая все же не вылилась в какие-то финансовые последствия для клиентов. По ее словам, команда по кибербезопасности компании предприняла шаги по ограничению нежелательных действий на Expand Platform и активно работает над применением дополнительного мониторинга и мер по смягчению последствий для клиентов.
Советы директоров призывают следовать новому киберкодексу
Новая правительственная инициатива, запущенная на днях, направлена на повышение киберустойчивости в британских организациях путем выработки новых рекомендаций для советов директоров. Кодекс практики киберуправления описывает действия, которые руководители компаний и члены советов директоров должны предпринять для обеспечения эффективного управления киберрисками.
Правительство утверждает, что улучшение надзора на этом уровне имеет жизненно важное значение для роста экономики, учитывая, что 74% крупных и 70% средних компаний столкнулись с атаками и нарушениями в прошлом году. Такие инциденты обходились национальной экономике почти в 22 млрд фунтов стерлингов в год в период с 2015 по 2019 год. Министр кибербезопасности Ферьял Кларк заявила, что успешные кибератаки могут нарушить работу и «унести миллионы» из чистой прибыли.
Предусмотренный для средних и крупных предприятий кодекс и связанные с ним ресурсы были разработаны экспертами из Национального центра кибербезопасности (NCSC), Департамента науки, инноваций и технологий (DSIT), Института директоров, профессионального объединения NEDonBoard и других организаций. Он включает:
Согласно NCSC, пакет обучения по киберуправлению построен вокруг пяти столпов кодекса — это управление рисками; стратегия; люди, планирование инцидентов, реагирование и восстановление; а также обеспечение и надзор. В нем утверждается, что прохождение каждого модуля занимает всего 20 минут.
«Подавляющее большинство современных предприятий полагаются на информацию, данные и цифровые технологии для своего функционирования. Это означает, что риск кибербезопасности — как и финансовый и юридический риск — должен быть в повестке дня совета директоров, — констатировал генеральный директор NCSC Ричард Хорн. — Все более сложные цепочки поставок затрудняют понимание киберрисков для деятельности компании и, следовательно, более важно эффективно ими управлять».
Новый кодекс практики появился в то время, когда регулирующие органы стали уделять больше внимания руководителям организаций и членам совета директоров. Например, NIS2 возлагает прямую ответственность на высшее руководство за серьезные нарушения.
Половина компаний приостанавливает цифровые проекты из-за роста риска кибервойны
По данным Armis, критически важные проекты цифровой трансформации задерживаются и останавливаются из-за предполагаемого увеличения риска кибератак, спонсируемых государствами. Отчет Armis Cyberwarfare Report 2025 от поставщика услуг безопасности основан на глобальном исследовании более 1800 организаций, принимающих решения в области ИТ (ITDM), включая 501 из Великобритании, и на собственных данных Armis Labs.
49% опрошенных британских организаций столкнулось с перебоями в цифровых проектах в связи с угрозами атак из разряда «кибервойны». Около 88% британских ITDM заявило, что обеспокоено влиянием кибератак на свои организации со стороны национальных государств — это огромный скачок (на 32%) по сравнению с предыдущим годом. Кроме того, 47% сообщило, что уже подверглось атаке и уведомило власти, а 68% пересматривает поставщиков из-за растущей геополитической напряженности.
Плюс, усилиям защитников сетей мешают нормативные акты и пробелы в навыках. Более половины (52%) британских ITDM заявило, что сложные нормативные акты перегрузили их команды по безопасности, в то время как почти половина (48%) признала, что им не хватает внутренних экспертов для использования инструментов безопасности на базе ИИ. Аналогичная доля (50%) указала бюджетные и ресурсные ограничения как ограничение своих инвестиций в ИИ.
«Компании сталкиваются с идеальным штормом атак, поддерживаемых национальными государствами, угроз на базе ИИ и разрушительных платежей за вымогательство, — сказал Энди Нортон, европейский специалист по киберрискам в Armis. — Однако 58% реагирует на атаки только по мере их возникновения или после нанесения ущерба. Цена бездействия совершенно очевидна: для успешной защиты компании должны перейти к проактивной позиции кибербезопасности, чтобы устранять уязвимости до того, как ими смогут воспользоваться».
По результатам опросов, Китай (74%), Россия (71%) и Северная Корея (37%) были названы как представляющие наибольшую киберугрозу для британских организаций. Эксперты по безопасности давно утверждают, что проекты цифровой трансформации имеют шанс на долгосрочный успех только в том случае, если они построены на прочной и безопасной основе.
Фишинг с высокой точностью повышает риск кражи учетных данных
Появился сложный метод фишинга, называемый кражей учетных данных с точной проверкой, позволяющий злоумышленникам нацеливаться на дорогостоящие учетные записи, обходя традиционные меры безопасности.
Исследователи из Cofense Intelligence заметили, что эта тактика использует проверку электронной почты в реальном времени, чтобы гарантировать, что только проверенные, активные адреса электронной почты получают вредоносные страницы входа, а это повышает показатели успешности злоумышленников и усложняет ответные действия защитников.
В отличие от массовых фишинговых кампаний, эта техника выборочно привлекает пользователей, адреса электронной почты которых соответствуют предварительно собранным спискам. Когда жертва вводит адрес электронной почты на фишинговой странице, система проверяет его по контролируемым злоумышленником базам данных. Если он действителен, пользователь продолжает вводить учетные данные; в противном случае страница возвращает ошибку или перенаправляет на безопасный сайт.
Эта проверка часто осуществляется с помощью сценариев на основе JavaScript или интеграций API, которые проверяют подлинность электронной почты в реальном времени. Например, в недавних кампаниях использовались URL-адреса в кодировке Base64 для хранения предварительно проверенных списков адресов электронной почты, которые скрипты декодировали для фильтрации целей.
Свежие примеры показывают, что злоумышленники встраивают скрипты проверки в наборы для фишинга. Одна кампания была нацелена на корпоративных пользователей, перенаправляя недействительные письма на легитимные сайты, такие как Wikipedia, маскируя истинные намерения. Этот подход гарантирует, что фишинговая инфраструктура останется незамеченной автоматическими сканерами и изолированными средами, поскольку вредоносный контент появляется только для одобренных целей.
Традиционные средства защиты полагаются на отправку тестовых учетных данных для анализа фишинговых страниц. Однако кампании с точной проверкой отклоняют несоответствующие письма, что делает эту стратегию неэффективной. Избирательный характер этих атак также затрудняет обмен данными об угрозах, поскольку вредоносный контент не является общедоступным. В результате организации теперь должны отдавать приоритет поведенческой аналитике и обнаружению аномалий, чтобы упреждать кампании до их развертывания.
Операция «Эндшпиль» продолжается: аресты клиентов Smokeloader
Правоохранительные органы в Европе и Северной Америке провели еще больше арестов в ходе продолжающейся операции, призванной пресечь процветающую подпольную торговлю вредоносным ПО.
Операция Endgame была запущена в мае 2024 года с целью прервать цепочку поставок кибератак путем устранения разработчиков и инфраструктуры, связанных с несколькими популярными семействами вредоносных программ. К ним относятся IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot.
Теперь Европол объявил о последующих арестах клиентов, связанных с платным ботнетом Smokeloader. Их имена и контактные данные были найдены в базе данных, которую ведет его оператор, субъект угрозы, известный как «Superstar». Европол сообщил, что клиенты вредоносного бота использовали его для доступа к компьютерам жертв для кейлоггерства, доступа к веб-камере, развертывания программ-вымогателей, майнинга криптовалют и других целей.
Полиция заявила, что задействованные органы связали онлайн-персоны и имена пользователей в базе данных с реальными людьми, в их домах были проведены обыски, выписаны ордера на арест. Некоторые решили сотрудничать с полицией, разрешив судебную экспертизу своих устройств. Также выяснилось, что несколько из этих клиентов перепродали Smokeloader с наценкой, добавив больше потенциальных подозреваемых для расследования полицией.
Правоохранительные органы из США, Канады, Дании, Франции, Германии, Нидерландов и Чехии приняли участие в последней итерации операции Endgame вместе с Евроюстом. По данным Европола, в прошлом году была проведена самая крупная в истории операция против вредоносных программ ботнетов. Скоординированные действия привели к четырем арестам, нарушению или отключению более 100 серверов, а также к тому, что полиция взяла под контроль более 2000 доменов.
Google Cloud: Китай получает статус «киберсверхдержавы»
По словам Сандры Джойс, вице-президента Google Threat Intelligence Group, Китай достиг статуса «киберсверхдержавы», и очень сложно что-либо ему противопоставить. Выступая перед прессой во время мероприятия Google Cloud Next 2025, Джойс сказала, что можно наблюдать значительное увеличение кибервозможностей Китая.
Это включает в себя продолжающийся рост использования уязвимостей нулевого дня «в дикой природе» (in the wild) китайскими государственными хакерами, который с 2021 года происходит в геометрической прогрессии. Особенно тревожным событием является способность этих субъектов обходить средства контроля безопасности и оставаться незамеченными в сетях.
Это было продемонстрировано продолжительным кибервторжением группы Volt Typhoon в правительственные и критически важные инфраструктурные сети США. Джойс отметила: «Они используют то, что мы называем разрывом видимости, концентрируя свои усилия на тех устройствах, где решения по обнаружению и реагированию на конечные точки (EDR) традиционно не работают, таких как межсетевые экраны и периферийные устройства».
В то время как ранее китайские хакеры могли быть обнаружены путем идентификации контролируемой субъектом инфраструктуры, используемой для вторжений, теперь они используют арендованную инфраструктуру, которая обновляется примерно каждые 30 дней. Другой распространенный метод, используемый этими группами, — это использование вредоносного ПО массового производства во время первоначального вторжения, перед развертыванием полнофункциональных бэкдоров после получения полного доступа.
Примечательно, что Китай пока не начал никаких разрушительных атак, сосредоточившись исключительно на шпионаже. И это несмотря на доступ, который он получил к критически важной инфраструктуре США и союзников, такой как энергия и вода. Правительственные чиновники предупредили, что Китай, вероятно, заранее позиционирует себя в этих системах, чтобы иметь возможность начать разрушительные атаки в случае эскалации геополитической напряженности или военного конфликта.
По словам Джойс, вероятно, есть возможности, которые пока не известны, но, безусловно, шпионаж — это прежде всего большой рычаг для Китая. Несмотря на высокую обеспокоенность по поводу киберактивности национальных государств, эксперт признала, что финансово мотивированные киберпреступники несут ответственность за большинство атак, наблюдаемых сегодня.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
