Киберугрозы недели: от рекордной кражи криптовалюты до глобального спама через Zendesk

Мы собрали самые важные события в сфере кибербезопасности за прошедшую неделю.

10 января 2026 года произошла одна из крупнейших атак с использованием социальной инженерии, в результате которой жертва лишилась биткоинов и Litecoin на общую сумму $282 миллиона, как указал ончейн-эксперт ZachXBT.

Злоумышленник, выдавший себя за сотрудника службы поддержки Trezor, обманом заставил пользователя раскрыть сид-фразу от аппаратного кошелька. Получив доступ, он вывел 2 050 000 LTC и 1459 BTC.

Для конвертации активов хакер воспользовался децентрализованным протоколом THORChain, преобразовав их в Monero, что способствовало ее резкому росту. Однако аналитики из ZeroShadow быстро отследили цепочку транзакций и заблокировали около $700 000.

20 января команда разработчиков парольного менеджера LastPass предупредила пользователей о новой фишинговой атаке, замаскированной под уведомления о технических работах.

Хакеры рассылают электронные письма с призывом срочно создать резервную копию хранилища паролей в течение 24 часов. В уведомлении содержится ссылка на якобы защищенную страницу для создания шифрованной копии, но нажатие кнопки Create Backup Now ведет на фишинговый сайт.

Таким образом, злоумышленники пытаются завладеть мастер-паролями пользователей. Эксперты предполагают, что вредоносная кампания стартовала 19 января.

На этой неделе тысячи людей, включая жертв торговли людьми, покинули скам-центры в Камбодже на фоне активной борьбы властей с преступностью, как сообщает BBC.

Пномпень инициировал новый этап в борьбе с мошенническими лагерями — крупными комплексами, где сотни человек участвуют в мошеннических операциях, обманывая жертв на миллиарды долларов по всему миру.

По мнению экспертов, многие из тех, кто попадает в такие места, делают это неосознанно, однако некоторые согласны работать там добровольно.

15 января в Камбодже был задержан бизнесмен Куонг Ли по подозрению в незаконной вербовке, эксплуатации людей, мошенничестве и отмывании денег. В марте 2023 года он стал объектом расследования BBC Eye о мошеннических центрах в Юго-Восточной Азии.

В передаче говорилось о комплексе в Сиануквиле, принадлежащем Ли, где работники обманом заманивались на работу из других стран, принуждались к ночной работе и занимались мошенничеством.

Полиции Германии и Украины удалось идентифицировать организатора хакерской группы-вымогателей Black Basta. Им оказался 35-летний россиянин Олег Нефедов. Интерпол и Европол внесли его, известного под псевдонимами tramp и kurva, в список разыскиваемых преступников, как сообщает Киберполиция Украины.

Следствие установило связь Нефедова с расформированным синдикатом Conti, который является прямым предшественником Black Basta после ребрендинга в 2022 году.

В ходе рейдов в Ивано-Франковской и Львовской областях были задержаны двое членов группы, специализировавшихся на взломе защищенных систем и краже паролей. Они обеспечивали первичный доступ в сети крупных компаний, подготавливая почву для шифрования данных и вымогательства многомиллионных выкупов.

В результате обысков были изъяты цифровые носители информации и крупные суммы криптовалюты.

С момента своего основания Black Basta совершила атаки на более чем 700 организаций, включая критически важные объекты, такие как немецкий оборонный концерн Rheinmetall, европейский филиал Hyundai и британскую телеком-компанию BT Group.

Хакерская группировка KongTuke запустила массовое распространение вредоносного расширения NexShield для браузеров Chrome и Edge, как сообщили специалисты по кибербезопасности Huntress.

Вредоносное расширение маскируется под легкий блокировщик рекламы, намеренно перегружая память и процессор, что приводит к зависанию вкладок и сбоям браузера, заставляя пользователя искать способы восстановления системы.

После перезапуска NexShield отображает фальшивое окно безопасности с предложением просканировать систему.

Под видом решения проблемы данный софт предлагает пользователю скопировать команду в буфер обмена и выполнить ее в командной строке Windows. На самом деле этот шаг запускает скрипт, загружающий в систему новый троян удаленного доступа — ModeloRAT.

Эксперты отметили, что основной удар направлен на корпоративный сектор. Вирус активируется с 60-минутной задержкой, чтобы не вызвать подозрений, и в первую очередь срабатывает в доменных сетях организаций. Оказавшись внутри, ModeloRAT позволяет злоумышленникам проводить глубокую разведку, изменять системный реестр, устанавливать стороннее ПО и скрытно управлять компьютером жертвы.

Исследователи из Huntress подчеркивают, что простое удаление расширения из браузера не решает проблему, поскольку троян глубоко интегрирован в систему. Владельцам ПК рекомендовано провести полную проверку антивирусом и избегать выполнения команд, предложенных веб-сайтами или расширениями.

Пользователи по всему миру стали жертвами необъяснимой волны спама, исходящей от уязвимых систем облачного сервиса техподдержки Zendesk. 18 января сообщества стали сообщать о получении сотен писем.

Письма, как кажется, не содержат вредоносных ссылок или явных попыток фишинга. Но их число и хаотичное распределение порождают беспокойство среди получателей.

Темы сообщений разнообразны: некоторые из них имитируют запросы правоохранительных органов или требования о блокировке контента, другие предлагают бесплатный Discord Nitro или содержат призывы «Помогите мне!».

По данным BleepingComputer, письма отправляются платформами поддержки компаний, использующих Zendesk в своей работе с клиентами. Злоумышленники нашли уязвимость, позволяющую неавторизованным пользователям отправлять запросы и получать автоматические ответы.

Среди пострадавших компаний можно отметить Discord, Tinder, Riot Games, Dropbox, CD Projekt (2k.com), Maya Mobile, NordVPN, Департамент труда Теннесси, Lightspeed, CTL, Kahoot, Headspace и Lime.

Представители Zendesk сообщили, что внедрили новые меры безопасности для выявления и предотвращения подобного спама в будущем.