Сентябрь 2025 года ознаменовался серией серьезных киберинцидентов в финансовом секторе по всему миру, включая Южную Корею. Аналитики зафиксировали увеличение активности злоумышленников, использующих как традиционные методы, такие как фишинг и вредоносное программное обеспечение, так и сложные атаки, включающие программы-вымогатели (ransomware) и целевые проникновения через цепочку поставок. В центре внимания оказались кражи баз данных, масштабные атаки программ-вымогателей на управляющие компании и активная торговля украденными учетными данными в теневых сегментах интернета.
Описание
Одним из ключевых трендов стало распространение фишинговых писем, нацеленных именно на сотрудников финансовых организаций. Эти письма часто маскировались под внутренние служебные коммуникации или уведомления от регуляторов, что повышало их эффективность. Целью таких кампаний был сбор учетных данных для доступа к корпоративным системам или первоначальное заражение сетей для последующих атак. Параллельно с этим в открытых и закрытых каналах, таких как Telegram, наблюдался рост объема данных, связанных с учетными записями клиентов южнокорейских финансовых сервисов, включая банки и криптобиржи. Эти утечки создают прямой риск для клиентов, так как украденные логины и пароли могут быть использованы для несанкционированного доступа к счетам.
На темной стороне интернета (dark web) продолжалась активная торговля украденными данными. Ярким примером стал инцидент с индонезийским банком, данные которого, как утверждалось, содержали информацию о 20 миллионах клиентов. На киберпреступном форуме актор под псевдонимом предлагал к продаже базу данных, предположительно включающую полные имена клиентов, номера удостоверений личности, даты рождения, адреса, телефоны, электронные почты и детальную банковскую информацию. Однако последующий анализ показал, что данные, вероятно, были перепроданы или сфабрикованы, что привело к блокировке аккаунта продавца. Этот случай демонстрирует, что даже неподтвержденные утечки могут нанести значительный репутационный ущерб финансовым институтам, вызывая беспокойство клиентов и подрывая доверие. Эксперты подчеркивают необходимость для банков не только усиливать системы защиты, но и разрабатывать четкие планы коммуникации для оперативного опровержения ложных заявлений злоумышленников.
Наиболее резонансным событием сентября стала скоординированная атака программы-вымогателя под названием Qilin на южнокорейские компании, управляющие активами. Группировка смогла одновременно скомпрометировать 28 финансовых фирм, опубликовав информацию о взломе на своих специальных сайтах утечек (Dedicated Leak Sites, DLS). Это не была серия разрозненных атак, а спланированная операция против целого сегмента финансовой индустрии. Во всех сообщениях о взломе злоумышленники использовали единый шаблон: указывали название компании, ее тип деятельности и детализировали объем похищенной информации. Особенностью было упоминание в каждом посте о планах на дальнейшую публикацию данных и заявления о доступе к информации множества корейских финансовых компаний, что указывает на стремление вызвать максимальный общественный резонанс и давление на жертв.
Расследование показало, что вектор атаки был связан не с прямым взломом каждой компании, а с компрометацией общего IT-провайдера. Некоторые из пострадавших управляющих компаний использовали файловые серверы, размещенные у одного и того же поставщика услуг по управлению IT-инфраструктурой. Инфицирование серверов этого провайдера привело к одновременному заражению всех его клиентов. Данный инцидент является классическим примером атаки через цепочку поставок (supply chain attack), когда злоумышленники проникают в несколько организаций через взлом их общего технологического партнера. Это подчеркивает критическую важность оценки кибербезопасности не только самой финансовой организации, но и всех ее контрагентов и поставщиков услуг.
Активность других групп вымогателей, таких как Daixin и INC Ransom, также не ослабевала. Они продолжали атаковать финансовые компании по всему миру, выкладывая украденные данные на своих DLS-площадках, если жертвы отказывались платить выкуп. Это свидетельствует о том, что бизнес-модель двойного шантажа - когда преступники угрожают не только заблокировать данные, но и обнародовать конфиденциальную информацию - остается крайне популярной среди киберпреступных группировок.
Общая картина сентября 2025 года указывает на необходимость комплексного подхода к кибербезопасности в финансовом секторе. Требуется усиление мониторинга фишинговых атак, внедрение продвинутых систем обнаружения вторжений (IDS), регулярный аудит безопасности цепочек поставок и разработка эффективных планов реагирования на инциденты. Финансовым институтам также рекомендуется активнее отслеживать активность в даркнете, чтобы заранее узнавать о потенциальных утечках и ложных заявлениях, что позволит минимизировать репутационные и финансовые потери.
Индикаторы компрометации
MD5
- 01377880245b1621f9c81cd171bb81bc
- 031c4fcdce5a18eb6a144bd7602153ab
- 162601343c8b8541d27534580e74b82b
- 5138fc07ae7ee1bdca165f5619b7db2a
- 624c9a73248ee6b0cb45d68809a86d53
