Апрель 2026: волна геополитических DDoS-атак и успешные операции правоохранителей против киберпреступности

Основной удар пришелся на Южную Корею. Группировка NoName057(16), заявила о повторных атаках на государственные учреждения, общественные институты и коммерческие компании. В одном только сообщении злоумышленники перечислили до 22 целей одновременно. Параллельно хактивисты из 313 Team взяли на себя ответственность за атаки на японский и американский сайты eBay, а также связали свою активность с крупным сбоем в работе социальной сети Bluesky.

Отчет аналитиков, обобщающий эти данные, подчеркивает, что из-за анонимности источников часть информации сложно полностью верифицировать. Однако тренд на политически мотивированные атаки очевиден. Группировка Handala, например, атаковала объекты инфраструктуры в Объединенных Арабских Эмиратах и сайт округа Сент-Джозеф в штате Индиана (США). RuskiNet Group сообщила о DDoS-атаках против десяти израильских компаний.

Помимо DDoS, в апреле были зафиксированы и реальные взломы. Особенно тревожная ситуация сложилась в Японии. Там подтвержден несанкционированный доступ к внешней VPN-системе компании Alps Alpine, крупного производителя электронных компонентов. Кроме того, в муниципальной больнице Нара произошел сбой системы электронных медицинских карт (EMR). Одновременно с этим специалисты обнаружили фишинговую кампанию, которая имитировала сервис PayPay - популярную в Японии платежную систему.

Отдельного внимания заслуживает широкомасштабная APT-атака. Злоумышленники использовали технику перехвата домена приложения AppDomainManager. Вредоносный документ был замаскирован под официальные бумаги Министерства финансов Саудовской Аравии. Эта техника позволяет перехватывать выполнение кода еще до запуска основного приложения, что делает обнаружение атаки крайне сложным для стандартных средств защиты.

Федеральное бюро расследований США (ФБР) выпустило предупреждение о том, что преступники активно нацеливаются на сетевые устройства с помощью вредоносной программы AVrecon. Этот зловред заражает SOHO-роутеры (малые офисные и домашние маршрутизаторы) и превращает их в ботнет - сеть зараженных устройств, которую используют для проведения атак. Атаки на цепочки поставок также были в центре внимания: группы TeamPCP и Vect заявили о компрометации глобальных компаний, работающих со спортивными данными.

Правоохранители не оставались в стороне. Парижские прокуроры изъяли учетные записи пользователей HexDex на форуме DarkForums и арестовали подозреваемого. Личность предполагаемого администратора BreachForums под псевдонимом NA - была раскрыта. Немецкое ведомство по уголовным делам (Bundeskriminalamt, BKA) также обнародовало имя оператора программ-вымогателей REvil и GandCrab, известного как UNKN.

Кроме того, закрыты ресурсы Maxstresser (сервис по заказу DDoS), маркетплейс VerifTools и инфраструктура для распространения фишингового набора W3LL. В России пресечена деятельность обменника Cryptex и раскрыта сеть отмывания криптовалюты. Наконец, переговорщик, работавший с группировкой ALPHV/BlackCat (оператором программ-вымогателей), признал свою вину в суде.

Подводя итог, можно сказать, что апрель продемонстрировал двойственную картину. Хактивисты продолжают использовать DDoS как оружие информационного воздействия, а профессиональные киберпреступники совершенствуют методы фишинга, APT и атак на цепочки поставок. В ответ правоохранительные органы усиливают координацию и наносят удары по ключевым узлам теневой экономики. Организациям необходимо одновременно защищать публичную инфраструктуру, усиливать безопасность удаленного доступа, внедрять меры противодействия фишингу и проверять цепочки поставщиков. Только комплексный подход позволит противостоять столь разнообразным угрозам.

Domains

• Maxstresser.com