Арест похитителей аккаунтов Roblox подо Львовом, взлом китайского планировщика задач с целью майнинга и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Правоохранители провели операции против скам-центров в Европе, ОАЭ и Таиланде.

Эксперты обнаружили набор для фишинга с ИИ-функциями.

Хакеры из Дрогобыча продали учетные данные игроков Roblox почти на 10 млн гривен.

Критическая ошибка в софте вымогателей приводит к безвозвратной потере данных.

Правоохранители провели операции против скам-центров в Европе, ОАЭ и Таиланде

В ходе совместной операции правоохранители США, Китая, ОАЭ и Таиланда пресекли деятельность девяти криптовалютных скам-центров и арестовали 276 подозреваемых. Отчет об этом опубликовал американский Минюст.

Задержанные в ОАЭ и Таиланде использовали схемы «забоя свиней». После согласия жертвы теряли доступ к «инвестированной» криптовалюте. Преступники также убеждали потерпевших занимать деньги у родственников и брать кредиты.

Гражданину Мьянмы Тет Мин Ньи предъявлены обвинения в сговоре с целью мошенничества и отмывания денег. Как считает следствие, он был менеджером и вербовщиком в одной из криминальных структур, известной как Ko Thet Company. Также суда ожидают члены группировок Sanduo Group и Giant Company. 

В Европе на прошедшей неделе ликвидировали сеть скамеров, которая, как предполагается, нанесла жертвам по всему миру ущерб на сумму более 50 млн евро.

Совместная операция Европола и Евроюста, начатая в июне 2023 года, привела к аресту 10 подозреваемых, а также обыскам в трех колл-центрах и девяти частных резиденциях в Австрии и Албании.

Скам-центр в Тиране. Источник: Европол.

По данным следствия, жертв заманивали на фейковые инвестиционные платформы через рекламу в поисковых системах и соцсетях. В действительности средства направлялись в международную схему отмывания денег. В случаях вторичного обмана преступники повторно связывались с «клиентами», предлагая помочь восстановить потерянные активы. От людей требовали внести еще 500 евро в криптовалюте в качестве вступительного взноса.

Мошенническая сеть была зарегистрирована как легальное предприятие с 450 сотрудниками. Операторы работали в группах по шесть-восемь человек, разделенных по языковому признаку, и получали ежемесячную зарплату в размере около 800 евро, а также бонусы.

Эксперты обнаружили набор для фишинга с ИИ-функциями

Специалисты по кибербезопасности Varonis обнаружили набор инструментов для фишинга Bluekit. Он предоставляет злоумышленникам более 40 шаблонов, имитирующих популярные сервисы, а также включает встроенного ИИ-помощника для создания черновиков вредоносных кампаний.

Набор предлагает скрипты нацеленные на электронную почту (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub и криптокошелек Ledger.

Главной особенностью Bluekit является панель AI Assistant, которая поддерживает несколько ИИ-моделей, включая Llama, GPT-4.1, Claude, Gemini и DeepSeek. Инструмент помогает киберпреступникам составлять тексты фишинговых писем.

По мнению Varonis, функция находится на экспериментальной стадии. Протестированный черновик атаки имел полезную структуру, но содержал общие поля для ссылок, плейсхолдеры для QR-кодов и текст, требующий доработки перед использованием.

Источник: Varonis.

Помимо ИИ, Bluekit объединяет в одной панели управление всем циклом атаки:

регистрация доменов. Покупка и настройка адресов прямо из интерфейса;

управление кампаниями. Создание фишинговых страниц с реалистичным дизайном и логотипами известных брендов вроде Zara, Zoho и Ledger;

тонкая настройка. Блокировка трафика через VPN и прокси, отсечение автоматизированных систем анализа и установка фильтров на основе цифровых отпечатков устройств;

перехват данных. Передача украденной информации через Telegram в приватные каналы хакеров.

Источник: Varonis.

Платформа позволяет отслеживать сессии жертв в режиме реального времени, включая куки, локальное хранилище и состояние активной сессии после входа. Это помогает хакерам корректировать атаки для достижения максимальной эффективности.

По мнению экспертов, несмотря на стадию активной разработки, продукт быстро эволюционирует и может получить широкое распространение.

Хакеры из Дрогобыча продали учетные данные игроков Roblox почти на 10 млн гривен

Правоохранители Львовской области арестовали мошенников, которые похитили аккаунты в Roblox на 10 млн гривен, сообщил Офис Генпрокурора Украины.

По данным следствия, трое жителей Дрогобыча продвигали инфостилеры под видом инструментов для улучшения игры. С помощью вредоноса хакеры получали доступ к учетным данным жертв.

Источник: Офис Генпрокурора Украины.

Полученные доступы проверяли с помощью специальной программы (чекера), которая показывала содержимое аккаунта. С октября 2025 по январь 2026 года таким способом отфильтровано более 610 000 кабинетов для поиска самых ценных. Данные продавали за криптовалюту на российских ресурсах.

В результате 10 обысков правоохранители изъяли технику, записи, более 2500 евро и около $35 000. Фигурантам сообщено о подозрении в краже и киберпреступности.

Критическая ошибка в софте вымогателей приводит к безвозвратной потере данных

Специалисты Check Point обнаружили серьезный дефект в механизме обработки криптографических одноразовых чисел (nonce) в вымогателе VECT 2.0. Вместо шифрования ошибка приводит к уничтожению данных без возможности восстановления.

Проблема кроется в том, как VECT 2.0 обрабатывает файлы размером более 128 КБ. Чтобы ускорить процесс, программа делит объекты на четыре части и шифрует их отдельно. Однако ошибки в логике программирования приводят к катастрофическим последствиям:

1. Все части файла используют один и тот же буфер памяти для вывода nonce. Каждый новый сгенерированный ключ перезаписывает предыдущий.
2. В итоге вместо всех частей остается только одна, которая записывается на диск.
3. Восстановить можно лишь последние 25% файла. Первые три части данных расшифровать невозможно, так как необходимые для этого уникальные числа были безвозвратно утеряны в процессе работы.

Даже если жертва заплатит выкуп, злоумышленники не смогут дешифровать данные, поскольку удаленные nonce не передаются на сервера хакеров.

Исследователи отметили, что порог в 128 КБ крайне мал. Под него подпадают практически вся ценная корпоративная информация:

образы виртуальных машин;

базы данных и резервные копии;

офисные документы, таблицы и почтовые ящики.

Это превращает вредоносную программу из вымогателя в обычный уничтожитель данных (вайпер), что делает выплату выкупа бессмысленной. Ошибка присутствует во всех вариантах VECT 2.0 — для Windows, Linux и ESXi.

Некорректное название алгоритма шифрования в рекламе вымогателей. Источник: Check Point.

По данным экспертов, VECT активно рекламировался на хакерской платформе BreachForums. Операторы приглашали пользователей стать партнерами и рассылали ключи доступа через личные сообщения. 

Позже группа объявила о партнерстве с TeamPCP — командой, стоящей за недавними атаками на цепочки поставок Trivy, LiteLLM, Telnyx, а также на Европейскую комиссию. Целью союза было использование жертв для развертывания программ-вымогателей.

Хакеры взломали планировщик задач Qinglong с целью майнинга

Злоумышленники использовали две уязвимости обхода аутентификации в планировщике задач Qinglong для скрытого майнинга криптовалют на серверах разработчиков. Об этом сообщили эксперты кибербезопасности Snyk.

Qinglong — платформа управления задачами на Python/JS с открытым исходным кодом, популярная среди китайских разработчиков.

Цепочка заражения для удаленного выполнения кода затронула Qinglong версии 2.20.1 и старше.

По данным специалистов, основная причина уязвимостей кроется в несоответствии логики авторизации промежуточного ПО и поведения маршрутизации веб-фреймворка Express.js. Уровень аутентификации предполагал, что определенные шаблоны URL всегда будут обрабатываться одним способом, в то время как Express.js использовал другой.

Согласно Snyk, кампания злоумышленников стартовала 7 февраля 2026 года. Пользователи Qinglong первыми обнаружили скрытый вредоносный процесс .FULLGC. Для скрытности его название имитирует стандартную ресурсоемкую задачу. 

Майнер использовал 85–100% мощности процессора и был нацелен на системы Linux, ARM64 и macOS. Разработчики Qinglong исправили уязвимость в PR 2941.

Также на ForkLog:

Апрель побил рекорд по числу взломов в криптоиндустрии.

Хакер вывел из протокола Wasabi более $5 млн.

В ZetaChain раскрыли детали кроссчейн-атаки на $334 000.

Хакеры атаковали DeFi-протокол Scallop.

В Litecoin провели реорганизацию блоков из-за ошибки нулевого дня.

Что почитать на выходных?

Специально для тех, кто пропустил самое важное за месяц, ForkLog подготовил краткий обзор. 

Источник