Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Заключенный вывел конфискованные у него $290 000 в криптовалюте.
Интерпол перехватил $293 млн и арестовал почти 6000 человек.
Исследователи: вместо защиты от трекинга бесплатные VPN часто сами шпионили за пользователями.
Власти США тайно выплатили хакерам 9,4 BTC.
Заключенный вывел конфискованные у него $290 000 в криптовалюте
Осужденный гражданин Болгарии Росен Иосифов сумел организовать незаконный вывод $290 000 в криптовалюте, отбывая тюремный срок. Ранее правительство конфисковало эти активы, сообщил Минюст США.
В 2021 году суд Восточного округа Кентукки приговорил владельца криптовалютной биржи RG Coins Иосифова к 111 месяцам тюремного заключения за участие в масштабной схеме мошенничества с онлайн-аукционами. В ее ходе было отмыто около $5 млн в криптовалюте. Суд также обязал его выплатить более $2,6 млн в качестве компенсации жертвам.
По данным следствия, новый инцидент произошел в январе 2024 года. Находясь под стражей, Иосифов вступил в сговор с целью перемещения цифровых активов. Для запутывания следов и предотвращения возврата средств властями злоумышленник пропустил транзакции через несколько криптовалютных бирж и миксеров.
Если Иосифова признают виновным по новым статьям, включая сокрытие имущества и сговор, ему грозит до 25 лет лишения свободы.
Интерпол перехватил $293 млн и арестовал почти 6000 человек
Интерпол подвел итоги глобальной спецоперации First Light 2026, направленной на борьбу с транснациональным мошенничеством и социальной инженерией.
В скоординированных мероприятиях участвовали правоохранительные органы из 97 стран. Активная фаза расследований и рейдов длилась с 15 января по 30 апреля 2026 года. Главной мишенью силовиков стали организованные группировки, специализирующиеся на инвестиционных аферах, компрометации деловой переписки, романтическом скаме и шантаже.
Для оперативного отслеживания и пресечения незаконных финансовых потоков ведомства активно использовали механизм I-GRIP (Global Rapid Intervention of Payments). Система позволила следователям в кратчайшие сроки замораживать не только традиционные банковские транзакции, но и переводы на криптокошельки.
В рамках операции:
задержано 5811 подозреваемых;
конфискованы и перехвачены активы на сумму $293 млн;
установлены личности свыше 15 600 предполагаемых участников преступных схем;
заблокировано более 31 000 банковских счетов и криптокошельков;
раскрыто свыше 23 700 уголовных дел;
выявлено более 142 000 потерпевших по всему миру.
В отчете ведомства отмечаются масштабные локальные инциденты. Один из крупнейших раскрыли правоохранители Таиланда, арестовавшие двух подозреваемых в отмывании доходов от «романтического скама». В ходе расследования силовики выявили криптокошелек, через который всего за 10 месяцев прошло более $122,5 млн нелегальных средств. Для сокрытия следов и запутывания транзакций преступная сеть конвертировала фиат в цифровые активы и использовала сложные кроссчейн-свопы.
На Шри-Ланке власти провели массовые рейды на местные скам-центры, арестовав сотни их работников.
В Эсватини местная полиция при поддержке оперативной группы ликвидировала сеть, занимавшуюся нелегальными онлайн-казино и отмыванием денег.
Источник: Интерпол.
В ходе одного из обысков силовики обнаружили реалистичную декорацию бразильского полицейского участка — с поддельной формой, вывесками и оборудованием, которая использовалась для изощренных схем видеошантажа.
Исследователи: вместо защиты от трекинга бесплатные VPN часто сами шпионили за пользователями
В рамках пилотного тестирования исследователи проанализировали более 280 бесплатных VPN из Google Play. Результаты оказались неутешительными: многие сервисы не справляются с базовыми задачами безопасности, а суммарное число скачиваний проблемных утилит превысило 2,4 млрд.
Группа исследователей из Мичиганского университета, Университета Нью-Мексико и Индийского технологического института в Дели использовали платформу MVPNalyzer, предназначенную для автоматизированного аудита мобильных VPN. В ходе анализа трафика они выявили критические дефекты архитектуры:
перехват туннеля. Пять приложений скачивали файлы конфигурации через незашифрованный протокол HTTP. Это позволяет злоумышленнику в той же сети (например, в публичном Wi-Fi) подменить файл и перенаправить весь трафик пользователя на подконтрольный хакерам сервер;
утечки данных. 29 приложений (около 360 млн установок) допускали утечку DNS-запросов, раскрывая посещаемые сайты, а шесть сервисов сливали трафик браузера за пределы зашифрованного туннеля. Четыре программы и вовсе запускали соединение без шифрования;
деанонимизация. 169 приложений никак не маскировали свой трафик. Государственные цензоры или провайдеры могут легко идентифицировать и заблокировать такие соединения, хотя две трети из этих сервисов заявляли в рекламе об успешном обходе блокировок.
Источник: MVPNalyzer.
По данным экспертов, вместо защиты от трекинга бесплатные VPN часто сами шпионят за пользователями. Более 80% приложений связывались с рекламными серверами. Из них 76 утилит передавали уникальный рекламный идентификатор устройства (Advertising ID), а также метаданные (модель телефона, версию ОС и параметры экрана) для формирования цифрового отпечатка. Одно из приложений отправляло на сторонние серверы точные GPS-координаты устройства.
При изучении конфигураций OpenVPN выяснилось, что 89% сервисов используют лишь один метод аутентификации вместо двух. Каждое пятое приложение полагалось на устаревшие и уязвимые шифры Blowfish и Triple DES, а в нескольких программах шифрование туннеля было принудительно отключено.
Эксперты отметили, что значки «Проверено» и отметки безопасности в Google Play зачастую служат лишь маркетинговой уловкой и не гарантируют надежность софта.
Власти США тайно выплатили хакерам 9,4 BTC
13 июня 2025 года правительственная структура в США (предположительно, администрация округа Юнион, штат Огайо) выплатила киберпреступникам из группировки Kairos выкуп в размере около 9,44 BTC (~$1 млн на момент инцидента). Об этом сообщили исследователи Ransom-ISAC.
Проанализировав логи переговоров и ончейн-данные, эксперты выяснили, что хакеры угрожали опубликовать похищенную конфиденциальную информацию граждан. Отличительной чертой инцидента стал полный отказ злоумышленников от использования классических программ-вымогателей — инфраструктура не была зашифрована, а атака свелась к прямому шантажу фактом утечки 2 ТБ информации.
Изначальное требование хакеров составляло $3 млн. Злоумышленники давили на жертву, угрожая публикацией папки «офис прокурора» (что помогло бы преступникам избежать обвинений), номеров социального страхования, финансовых данных и отпечатков пальцев. В ходе длившихся месяц торгов сумму снизили до $1 млн.
При получении преступники раздробили перевод и пропустили средства через цепочку кошельков, направляя на депозитные адреса, связанные с криптобиржами Bybit, OKX и российским сервисом BELQI.
В качестве подтверждения «сделки» Kairos предоставила лишь список файлов с пометкой об удалении, что, по мнению экспертов, не дает никаких реальных гарантий.
Фрагмент из переписки Kairos с жертвой после получения выкупа. Источник: Ransom-ISAC.
Специалисты отметили глобальный сдвиг в тактике киберкриминала: хакерские синдикаты все чаще переходят на чистую кражу и шантаж, поскольку это избавляет их от необходимости поддерживать сложное ПО для шифрования. Сама группировка Kairos в настоящее время свернула публичную активность, однако связанные с ней криптокошельки продолжали перемещать средства вплоть до мая 2026 года.
Хакеры превращали устройства пользователей в прокси-узлы для сокрытия действий и последующих атак
Хакеры заражали компьютеры и смартфоны пользователей, тайно превращая их в узлы резидентных прокси, которые затем сдавали в аренду другим киберпреступникам. О действиях группировки Lurking Lizard сообщили эксперты Infoblox.
Для распространения вредоносов хакеры использовали установщики популярных программ с троянами. В одной из кампаний они распространяли зараженный архиватор 7-Zip через домен с именем, похожим на настоящее. Кроме того, группировка маскировала вирусы под инсталляторы WhatsApp, загрузчики видео из TikTok и YouTube, а также под вредоносные VPN-сервисы. Связанное с хакерами мобильное приложение wirevpn — Fast Unlimited Proxy уже преодолело отметку в 1 млн скачиваний.
По данным Infoblox, инфраструктура Lurking Lizard, функционирующая как минимум с августа 2022 года, насчитывает свыше 230 поддельных доменов. Злоумышленники активно перехватывают сетевые адреса с истекшим сроком годности, чтобы использовать их историю в поисковых системах для продвижения вредоноса.
После формирования масштабного прокси-ботнета группировка переходила к монетизации. Lurking Lizard выдавали себя за известных прокси-провайдеров: IPIDEA, SmartProxy, IP Royal и 911Proxy. Кроме этого, она контролировала сеть фейковых сайтов с «независимыми отзывами», которые перенаправляли клиентов в подпольные магазины.
Источник: Infoblox.
Аналитики отметили, что нелегальные прокси-сети становятся все более серьезной угрозой. Чужие IP-адреса используются для сокрытия следов хакерских атак, из-за чего легитимный трафик обычных пользователей может блокироваться провайдерами или помечаться как подозрительный.
Также на ForkLog:
Socket нашла ворующую ключи версию SDK Injective в npm.
Исследователи описали риск ботнетов на базе галлюцинаций ИИ-агентов.
В ЕС вернули режим сканирования сообщений Chat Control.
Эксперты призвали перепроверить старые смарт-контракты из-за ИИ.
В Coinspect предупредили об угрозе для тысяч криптокошельков.
Ethereum-пользователь потерял на фишинге почти 1 млн USDT.
Исследователи научились замедлять ИИ-модели логическими ловушками.
ИИ вычислил анонимный текст Виталика Бутерина.
Казна BonkDAO лишилась $20 млн из-за вредоносного предложения.
CertiK оценила потери криптоиндустрии от взломов в $1,32 млрд за полгода.
DeFi-протокол Summer.fi взломали на $6 млн.
Что почитать на выходных?
В новых карточках «Крипториума» рассказываем, как появились федеративные системы и почему сейчас ими пользуются не только энтузиасты и сторонники анонимности, но целые корпорации, военные и правительственные ведомства.
Что такое федеративные системы и Fediverse?