Вымогательство против Kraken, ФБР восстановило чаты Signal и другие ключевые события кибербезопасности
KrakenEXCHANGEЕженедельный обзор главных инцидентов в сфере кибербезопасности: шантаж криптобиржи Kraken, арест хакерских криптоактивов на $8,3 млн в Украине, троян ClipBanker и новый вирус PHANTOMPULSE.
Минувшая неделя ознаменовалась рядом серьёзных инцидентов в сфере кибербезопасности — от вымогательства в адрес одной из крупнейших криптобирж до обнаружения нового трояна, нацеленного на сотрудников финансовых компаний. Собрали основные события.
Арест криптоактивов хакерской группировки на $8,3 млн в Украине
Украинские правоохранительные органы задержали члена международной хакерской группы, осуществлявшей кибератаки на организации в Европе и США. Информацию подтвердил генеральный прокурор Руслан Кравченко.
Участники группировки применяли вредоносное программное обеспечение для хищения конфиденциальных данных и документов, требуя за них выкуп. Полученные средства переводились на криптовалютные кошельки, после чего обналичивались и легализовывались на территории Украины — в том числе путём приобретения недвижимости и дорогостоящего имущества.
Общий ущерб от деятельности группировки оценивается более чем в $100 млн. В ходе расследования проведено свыше 30 обысков, арестованы активы на сумму порядка $11,1 млн: жилые объекты, автомобили, $1 млн наличными и криптовалюта примерно на $8,3 млн. Кроме того, установлено местонахождение сообщника, ответственного за отмывание денег.
Почему это важно
События недели затрагивают сразу несколько критически значимых направлений — безопасность централизованных бирж, приватность мессенджеров и новые векторы атак через легитимное ПО. Для пользователей криптовалют каждый из этих инцидентов несёт практические уроки: от необходимости проверять источники загрузки софта до настройки уведомлений в мессенджерах.
Троян ClipBanker подменяет криптоадреса через поддельный Proxifier
Специалисты «Лаборатории Касперского» выявили кампанию распространения трояна ClipBanker, который отслеживает содержимое буфера обмена и подставляет адреса криптокошельков злоумышленников вместо оригинальных.
Вредоносная программа маскируется под популярную утилиту Proxifier, предназначенную для маршрутизации трафика через прокси-серверы. Ссылка на заражённый репозиторий GitHub занимала верхние позиции в поисковой выдаче Google и Яндекс.
При установке троян разворачивается скрытно, используя бесфайловую технику — код исполняется непосредственно в оперативной памяти. Далее через планировщик задач запускается скрипт из системного реестра, обращающийся к GitHub за файлом с кодом. Финальная нагрузка внедряется в процесс fontdrvhost.exe.
С начала 2025 года с этой угрозой столкнулись более 2000 пользователей «Лаборатории Касперского», преимущественно из Индии и Вьетнама.
Криптобиржа Kraken стала жертвой вымогателей
Руководитель службы информационной безопасности Kraken Ник Перкоко (Nick Percoco) рассказал о серии инцидентов, связанных с сотрудниками биржи, в результате которых руководство подверглось шантажу.
«Kraken Security Update — We are currently being extorted by a criminal group threatening to release videos of our internal systems with client data shown if we do not comply with their demands. It's important to start with the most important points: our systems were never…» — Nick Percoco (@c7five), оригинальный пост
Преступная группа угрожала обнародовать видеозаписи, на которых якобы отображаются пользовательские данные. По заявлению Перкоко, инфраструктура биржи не была скомпрометирована, клиентские средства не пострадали. Причиной утечки стал несанкционированный доступ сотрудников службы поддержки к информации с ограниченным допуском.
Уведомления получили владельцы затронутых аккаунтов — всего около 2000 учётных записей, что составляет 0,02% клиентской базы. Расследование показало, что один из сотрудников поддержки был завербован хакерами ещё в феврале 2025 года. Позднее произошёл аналогичный инцидент с другим работником. Kraken сотрудничает с правоохранительными органами нескольких юрисдикций и передала им собранные доказательства.
ФБР восстановило удалённые сообщения из Signal
Федеральное бюро расследований сумело извлечь переписку из мессенджера Signal, несмотря на удаление сообщений и самого приложения с iPhone. Об этом сообщило издание 404 Media.
В рамках судебного разбирательства по делу о нападении на центр ICE в Алверейдо (Техас) ФБР представило удалённые сообщения обвиняемой Линетт Шарп как доказательства. Данные удалось восстановить благодаря пуш-уведомлениям, сохранившимся во внутренней базе iOS.
Если в настройках Signal разрешён показ содержимого сообщений в превью на заблокированном экране, текст фиксируется в хранилище устройства даже после деинсталляции приложения. В Signal предусмотрена опция отключения отображения контента, однако обвиняемая, судя по всему, её не активировала.
Сооснователь Telegram Павел Дуров прокомментировал произошедшее, назвав это «ещё одним доказательством» превосходства секретных чатов как способа защиты переписки. Представители Signal подтвердили получение запроса от журналистов, но затем прекратили отвечать. Apple отказалась от комментариев.
Троян PHANTOMPULSE распространяется через приложение Obsidian
Исследователи Elastic Security Labs зафиксировали атаку, в которой злоумышленники используют популярное приложение для заметок Obsidian в качестве вектора доставки ранее неизвестного трояна PHANTOMPULSE. Целью являются сотрудники финансовых и криптовалютных организаций.
Механизм атаки выглядит так:
- Хакеры выдают себя за представителей венчурной фирмы и переносят общение в Telegram, где несколько «партнёров» создают видимость легитимного делового взаимодействия.
- Жертве предлагают подключиться к облачному хранилищу (vault) в Obsidian с якобы общим аналитическим дашбордом.
- Для запуска вредоносного кода задействуются плагины сообщества Obsidian: Shell Commands (исполнение команд) и Hider (сокрытие следов).
- Поскольку сторонние плагины отключены по умолчанию, жертву убеждают активировать их вручную, после чего конфигурация хранилища автоматически запускает вредоносные команды.
На Windows вирус загружается через скрипт. Среди его возможностей: использование блокчейна Ethereum в качестве Dead Drop Resolver для определения адреса командного сервера, сбор телеметрии, создание скриншотов, повышение привилегий до уровня SYSTEM. На macOS троян запускает AppleScript, а роль DDR выполняет Telegram, позволяя оперативно менять домены при обнаружении. По данным исследователей, PHANTOMPULSE создан с применением ИИ.
Часто задаваемые вопросы
Взломали ли саму биржу Kraken?
Нет, по заявлению главы информационной безопасности Kraken Ника Перкоко, инфраструктура биржи не была скомпрометирована, а средства клиентов остались в сохранности. Причиной инцидента стал несанкционированный доступ завербованных хакерами сотрудников поддержки к данным с ограниченным допуском.
Как ФБР восстановило удалённые сообщения из Signal?
ФБР извлекло переписку благодаря пуш-уведомлениям, сохранившимся во внутренней базе iOS. Если в настройках Signal разрешён показ содержимого в превью на заблокированном экране, текст сообщений остаётся в хранилище устройства даже после удаления приложения.
Что такое троян ClipBanker и чем он опасен?
ClipBanker — это вредоносная программа, которая отслеживает буфер обмена и подменяет адреса криптовалютных кошельков на адреса злоумышленников. Троян маскируется под утилиту Proxifier и использует бесфайловую технику заражения, работая непосредственно в оперативной памяти.
Как работает троян PHANTOMPULSE через Obsidian?
Злоумышленники выдают себя за представителей венчурной фирмы и убеждают жертву подключиться к хранилищу в Obsidian. Для выполнения кода используются плагины сообщества Shell Commands и Hider. Троян применяет блокчейн Ethereum в качестве Dead Drop Resolver для определения адреса командного сервера.
Сколько криптовалюты арестовали у хакеров в Украине?
В рамках расследования в Украине были арестованы криптоактивы на сумму примерно $8,3 млн. Общий объём изъятых активов составил около $11,1 млн, включая недвижимость, автомобили и $1 млн наличными. Ущерб от деятельности группировки оценивается более чем в $100 млн.
Читайте также
Атаки на видеопамять Nvidia, $21 млрд убытков от киберпреступлений и защита Chrome на уровне чипа: дайджест кибербезопасности
ФБР зафиксировало рекордные потери от киберпреступлений в $21 млрд за 2025 год, Google внедрила аппаратную привязку сессий в Chrome, а исследователи продемонстрировали три новых способа атаки на видеопамять Nvidia.
Инфостилер атакует 700+ криптокошельков, Solana используется как «мёртвый дроп» и санкции Великобритании против Xinbi
Еженедельный обзор ключевых событий кибербезопасности: новый стилер Torg Grabber нацелен на сотни браузерных расширений, хакеры прячут серверные адреса в блокчейне Solana, а Великобритания вводит санкции против криптомаркетплейса Xinbi.
ИИ-система Octane Security нашла критическую уязвимость в Ethereum-клиенте Nethermind
ИИ-система Octane Security обнаружила критическую уязвимость в Ethereum-клиенте Nethermind, способную остановить блокпроизводство у 38% валидаторов. Ethereum Foundation выплатил максимальную награду — $50 000.
Апрель 2026 стал рекордным месяцем по количеству криптовзломов
За апрель 2026 года произошло более 20 взломов криптопроектов с совокупным ущербом около $651 млн. Крупнейшими жертвами стали Kelp и Drift Protocol.
Drift Protocol на Solana взломан: хакер похитил $280 млн через атаку с durable nonces
DeFi-протокол Drift на Solana потерял не менее $280 млн в результате сложной хакерской атаки 1 апреля. Токен DRIFT обвалился на 37%, а участники рынка критикуют Circle за бездействие.
Атаки с подменой адресов в Ethereum выросли на 612% после обновления Fusaka
Снижение комиссий в сети Ethereum после хардфорка Fusaka привело к взрывному росту «пылевых» транзакций — мошенники массово засоряют историю кошельков поддельными адресами.