Кибербезопасность на грани: утечки, выкупы и теневая борьба за данные

Мы собрали ключевые события недели в области кибербезопасности.

Недавние действия злоумышленников привели к утечке данных о 30 клиентах Coinbase. Это подтвердили представители биржи, сообщает BleepingComputer.

Официальное заявление компании было опубликовано вскоре после того, как группа Scattered Lapsus$ Hunters разместила в Telegram скриншоты внутреннего интерфейса службы поддержки биржи, которые затем удалили. На изображениях была видна панель поддержки с доступом к личным данным клиентов, включая электронные адреса, имена, даты рождения, номера телефонов, данные KYC, балансы криптовалютных кошельков и информацию о транзакциях.

Инцидент произошел в декабре 2025 года и не связан с более ранними случаями. В настоящее время неизвестно, имела ли группа прямое отношение к новой атаке.

Также 3 февраля суд вынес приговор Руи-Сян Линю, предполагаемому администратору даркнет-площадки Incognito Market, назначив ему 30 лет лишения свободы. Об этом сообщил Минюст США.

Министерство отметило, что решение суда завершает одно из крупнейших судебных разбирательств с нелегальными маркетплейсами со времен Silk Road.

Каждое объявление на Incognito Market размещалось конкретным продавцом, который должен был зарегистрироваться и уплатить вступительный взнос. Площадка взимала 5% с каждой продажи, и вырученные средства шли на поддержку функционирования маркетплейса, включая оплату серверов и вознаграждения для сотрудников. По данным властей, чистая прибыль Линя составила более 6 миллионов долларов.

Для упрощения финансовых операций на Incognito Market был создан собственный «банк» (Incognito Bank), который позволял пользователям вносить криптовалюту прямо на платформе. После завершения сделок средства перераспределялись от покупателя к продавцу за вычетом комиссии, обеспечивая условную анонимность.

Правоохранительные органы вышли на след преступников путём анализа блокчейна и проведения контрольных закупок, также используя неосторожные действия Линя в области кибербезопасности.

31 января руководство Step Finance сообщило о выявленной уязвимости в системе безопасности. Привлеченные эксперты помогли платформе DeFi вернуть часть украденных средств.

По их оценкам, несколько казначейских кошельков были взломаны с использованием «распространенного вектора атаки». Первоначально аналитики компании CertiK оценили потери в 261 854 SOL (примерно 28,9 миллионов долларов на тот момент), однако в ходе расследования сумма возросла до приблизительно 40 миллионов долларов.

К настоящему моменту удалось вернуть около 3,7 миллионов долларов в активах Remora и 1 миллион долларов в других токенах благодаря защитным мерам стандарта Token22 и совместным усилиям с партнерами.

Из-за инцидента некоторые операции были временно приостановлены для повышения уровня безопасности. Платформа подчеркнула, что ее протокол Remora Markets не пострадал и все токены rTokens остаются полностью обеспеченными в соотношении 1:1.

Пользователям рекомендовали воздержаться от операций с токеном STEP до окончания расследования. Планируется создать снапшот сети до момента взлома для подготовки решений по компенсации.

Step Finance пока не раскрыла подробностей атаки и личности злоумышленников, из-за чего в сообществе появились подозрения о возможности экзит-скама или участия инсайдеров, которые пока не были опровергнуты.

В 2025 году хакеры, нацеленные на криптовалюты, предоставляют жертвам все меньше времени для реакции, к такому выводу пришли эксперты Global Ledger.

По их данным, во втором полугодии процессы отмывания средств ускорились по сравнению с первой половиной года и достигли нового рекорда. В отчете упоминается случай, когда средства были перемещены всего за две секунды — вдвое быстрее, чем в первой половине года, и в два раза быстрее, чем самое быстрое публичное сообщение о инциденте.

Во многих случаях злоумышленники начинали перемещать средства еще до того, как рынок информировался о самом факте взлома. В среднем в прошлом году это происходило в ~76,4% инцидентов, а во втором полугодии этот показатель возрос до 84,6%, по сравнению с 68,1% в первой половине.

Исследователи отметили, что сами операции по отмыванию стали медленнее примерно на 25%. Если в первой половине года отмывание длилось в среднем около восьми дней, то во втором — уже 10,6 дней.

По данным Global Ledger, во втором полугодии хакеры стали чаще дробить суммы и использовать некастодиальные кошельки, DeFi-протоколы, DEX, кроссчейн-мосты и миксеры.

После снятия санкций использование Tornado Cash увеличилось более чем на 31%. За год в миксер пришло более 2,05 миллиарда долларов в Ethereum, из которых около 655 миллионов долларов — высокорисковые. Доля средств, переведенных с Tornado Cash на CEX, возросла с 0,16% (во время действия ограничений) до 4,74% (после их снятия).

Специалисты подчеркнули, что на взломы смарт-контрактов пришлась около 64% всех инцидентов, однако наибольшие потери понесли пользователи, подписывающие фейковые разрешения — $1,5 миллиарда.

В январе 2025 года хакеры потребовали у одной из российских рыбопромышленных компаний рекордный выкуп в криптовалюте, сообщает F6.

Согласно отчету, злоумышленники запросили 50 BTC (около 500 миллионов рублей на момент публикации) за восстановление доступа к зашифрованной информации. Название пострадавшей компании не раскрывается.

Для российского рынка это максимальная сумма выкупа за всю историю. Атаку связывают с группировкой CyberSec’s, известной своими взломами компаний в России и кражами данных с их последующей публикацией. Эта группа приобрела известность после утечки базы данных форума sysadmins.ru и заявлений о массовых взломах серверов “Битрикс”.

2 февраля разработчик Notepad++ Дон Хо поделился результатами расследования, проведенного с привлечением внешних киберспециалистов и сотрудников бывшего хостинг-провайдера сайта notepad-plus-plus.org.

По его словам, сервис подвергся атаке еще в июне 2025 года через взлом хостинг-инфраструктуры.

Злоумышленники действовали избирательно, нацеливаясь на определённых жертв. Несколько независимых экспертов пришли к выводу, что за атакой стоит некая китайская «государственная» группировка.

Сервер хостинга, на котором находился сайт с механизмом обновлений, был взломан до 2 сентября 2025 года. В этот день на сервере проводили плановое обслуживание, и после этого в логах пропали подозрительные паттерны.

Бэкдор предоставлял хакерам возможность перенаправлять часть трафика, направленного на notepad-plus-plus.org/update/getDownloadUrl.php, на свои серверы, где пользователям предлагали ссылки на обновления с вредоносными файлами.

Ожидается выпустить версию 8.9.2 в ближайший месяц, где проверка сертификатов и подписей будет обязательной. Дон Хо рекомендовал пользователям вручную скачать версию 8.9.1, которая уже содержит необходимые защитные механизмы.

Вопрос о праве пользователей вмешиваться в работу ИИ-агентов стал темой изучения Андрея Асмакова.