Также: утечка данных Sudamerica, арест RaccoonO365 и заговорщик Nefilim признал себя виновным

Пуджа Тикекар (@PoojaTikekar) •
25 декабря 2025 года

Каждую неделю Information Security Media Group собирает инциденты и утечки в сфере кибербезопасности по всему миру. На этой неделе хакеры собрали метаданные Spotify, Nissan раскрыл утечку третьей стороны, миллионы аргентинцев были раскрыты в результате утечки брокера данных, африканские власти провели масштабные меры по борьбе с киберпреступностью, нигерийская полиция арестовала оператора RaccoonO365, Министерство юстиции США предъявило обвинения в продаже банковского джекпота, а аффилированный вымогатель Nefilim признал вину.

См. также: Топ-10 технических прогнозов на 2025 год

Библиотека Spotify скопирована, хактивисты заявляют о аудиофайлах и метаданных

Пиратская активистская группа под названием «Anna’s Archive» собрала музыкальную библиотеку Spotify, разместив метаданные популярной стриминговой платформы в интернете.

Хактивисты в блоге сообщили, что сборка данных включала 256 миллионов строк трековых записей и 86 миллионов аудиофайлов, или около 300 терабайт метаданных. По состоянию на 21 декабря группа опубликовала только метаданные и не публиковала музыкальные файлы.

«Конечно, на Spotify нет всей музыки мира, но это отличный старт», — отметила Anna’s Archive. Группа, основанная в ноябре 2022 года, обычно сосредоточена на книгах или научных статьях в рамках предполагаемой миссии «сохранения знаний и культуры человечества». В ней был описан «скрейп» в Spotify как попытка создать «музыкальный архив, главным образом направленный на сохранение».

«Расследование несанкционированного доступа показало, что третья сторона собрала публичные метаданные и использовала незаконные методы для обхода DRM и доступа к некоторым аудиофайлам платформы», — заявил представитель Spotify после инцидента. Расследование инцидента всё ещё продолжается.

Эд Ньютон-Рекс, композитор и активист за защиту авторских прав артистов, рассказал The Guardian, что утекшие музыкальные файлы, вероятно, будут использоваться для разработки моделей ИИ. «Обучение пиратским материалам, к сожалению, распространено в индустрии ИИ, поэтому эта украденная музыка почти наверняка станет обучающей модели ИИ», — сказал он. Гигант социальных сетей прославился тем, что использовал файл пиратских книг объемом 82 терабайта в качестве обучающих данных.

Информация о клиенте Nissan раскрыта в результате утечки данных третьей стороны

Японский автопроизводитель Nissan сообщил, что утечка данных третьей стороны в Red Hat затронула десятки тысяч его клиентов.

Компания заявила, что утечка возникла из-за инцидента в конце сентября, когда злоумышленники получили несанкционированный доступ к инстансу Red Hat GitLab, содержащему фрагменты кода, внутренние коммуникации и спецификации проекта. Red Hat сообщила об утечке в начале октября, заявив, что хакеры украли сотни гигабайт конфиденциальных данных из 28 000 различных репозиториев GitLab. Кибер-вымогательская группа Crimson Collective взяла на себя ответственность за сентябрьский взлом.

По данным Nissan, информация о клиентах, присутствующая в репозиториях Red Hat GitLab, включала имена, адреса, номера телефонов, частичные адреса электронной почты и сведения, связанные с продажами. В скомпрометированном хранилище не хранились данные по кредитным картам или финансовым картам, сообщили в Nissan.

Это второй крупный инцидент с безопасностью для Nissan в этом году. Первый случай произошёл в конце августа, когда группа программ-вымогателей Qilin атаковала дочернюю компанию Creative Box.

Миллионы раскрыты в темном интернете SudamericaData

Огромный запас персональных данных, якобы связанных с буэнос-айресским брокером данных SudamericaData, доступен для скачивания на криминальном форуме — возможно, одна из крупнейших утечек данных в истории Аргентины. Объем данных превышает один терабайт.

SudamericaData, известная продажей подробных отчётов о физических лицах и компаниях, якобы продолжила работу под именем «WorkManagement» после судебного остановки в 2023 году. Злоумышленник, стоявший за публикацией, подставил разоблачениеe — как источник информации о владельце компании и внутренних операциях. По сообщениям, фирма оказалась втянутой в скандал 2023 года, связанный с незаконным слежением за судьями.

Файлы, распространяющиеся в интернете, содержат базы данных, связанных с миллионами аргентинцев, с такими записями, как непубличная база данных граждан, владения транспортными средствами, трудовая история и зарплата, а также номера телефонов, адреса электронной почты и физические адреса. Сообщается, что набор данных также включает исходный код сайта и внутренние файлы приложений, связанные с инфраструктурой компании.

Африканская полиция арестовала 574 подозреваемых в рамках общерегиональной проверки киберпреступности

Полиция по всей Африке арестовала 574 подозреваемых и изъяла примерно 3 миллиона долларов незаконных средств в рамках киберпреступной операции, координированной Интерполом.

Месячная операция, получившая название Операция «Страж», шла с конца октября по ноябрь и включала полицейские силы в 19 странах. Следователи нацеливались на компрометацию бизнес-писем, вымогателей и схемы цифрового вымогательства.

Власти выявили случаи, связанные с попытками или реализованными убытками более 21 миллиона долларов. Операция привела к удалению тысяч вредоносных ссылок и множества штаммов программ-вымогателей, несколько из которых были успешно расшифрованы, что позволило жертвам восстановить данные без оплаты выкупа.

Эти меры проводятся на фоне более широкого роста киберпреступности по всему континенту. Недавние оценки правоохранительных органов показывают, что киберпреступления сейчас составляют более 30% всех зарегистрированных преступлений в некоторых регионах Западной и Восточной Африки, при этом две трети опрошенных стран считают, что цифровые преступления составляют «среднюю или высокую» долю преступности в их юрисдикции. Онлайн-мошенничество, фишинг, вымогатели и компрометация бизнес-электронной почты преобладают среди зарегистрированных инцидентов в нескольких регионах.

Нигерия поймала предполагаемого оператора фишинговой кампании RaccoonO365

Национальный центр по борьбе с киберпреступностью полиции Нигерии арестовал Окитипи Самуэля, также известного как «RaccoonO365» и «Мозес Феликс», идентифицировав его как предполагаемого разработчика фишинговой операции, использовавшейся для компрометации почтовых аккаунтов Microsoft 365 по всему миру.

Полиция сообщила, что Самуэль создал и управлял RaccoonO365 — платформой фишинга как услуги, которая создавала фейковые страницы входа Microsoft для получения учетных данных корпоративных, финансовых и образовательных организаций. Сервис работал по модели подписки, предлагая готовые фишинговые шаблоны и инфраструктуру за определённую плату.

С января по сентябрь 2025 года злоумышленники использовали фишинговые письма, имитирующие запросы аутентификации Microsoft, чтобы получить несанкционированный доступ к корпоративным почтовым системам, что приводило к компрометации бизнес-электронной почты, краже данных и финансовых потерь в различных юрисдикциях (см.: Breach Roundup: Microsoft, Cloudflare разобрали RaccoonO365).

Полиция Нигерии заявила, что Самуэль продавал фишинговые ссылки на канале Telegram в обмен на криптовалюту и размещал фейковые порталы для входа на Cloudflare, используя украденные или мошеннически полученные учетные данные. Участники использовали CAPTCHA и антиботовые органы управления, чтобы избежать автоматического обнаружения.

Ещё двое подозреваемых были арестованы во время скоординированных операций в штатах Лагос и Эдо, где полиция изъяла ноутбуки и мобильные устройства, связанные с кампанией. Власти заявили, что нет доказательств, связывающих этих двух лиц с разработкой или эксплуатацией фишинговой платформы.

Министерство юстиции взимает плату с 54 членов Tren de Aragua в схеме джекпотирования банкоматов

Федеральные прокуроры США предъявили обвинения 54 предполагаемым членам и лидерам венесуэльской банды Tren de Aragua в их участии в многомиллионной афере с джекпотом банкоматов с использованием вредоносного ПО Ploutus, сообщили в Министерстве юстиции США.

Большое жюри Небраски предъявило обвиняемым банковское мошенничество, ограбление банков, компьютерное мошенничество, отмывание денег и сговор с целью оказания материальной поддержки террористам. Прокуроры утверждают, что группа заразила банкоматы Ploutus, заставляя автоматы выдавать наличные без использования карт или учетных данных клиентов.

Ploutus — это семейство вредоносных программ для продажи банкоматов, впервые обнаруженных в Мексике более десяти лет назад, которое эволюционировало в несколько вариантов, включая Ploutus-D. Несколько вариантов, написанных на Microsoft .NET, позволяют злоумышленникам с физическим доступом к банкомату напрямую взаимодействовать с кассовым диспенсером через стандартное промежуточное программное обеспечение XFS, обходя контроль авторизации банков, согласно исследователям безопасности из CrowdStrike.

Злоумышленники нацеливались на банкоматы в нескольких штатах, якобы получая миллионы долларов незаконной выручки.

В июле Министерство финансов США по контролю за иностранными активами ввело санкции против высших лидеров Tren de Aragua, включая главу Гектора «Ниньо Герреро» Рустенфорда Герреро Флореса и пяти ключевых аффилитов, окрестив group «Иностранная террористическая организация» за её роль в торговле наркотиками, контрабанде людей, вымогательстве, сексуальной эксплуатации и отмывании денег по всему Западному полушарию.

Украинский гражданин признал себя виновным в заговоре с вымогательством Nefilim

Гражданин Украины Артем Стрыжак, 35 лет, признал себя виновным в федеральном суде Бруклина в сговоре с целью совершения компьютерного мошенничества за свою роль в масштабной кампании вымогателей Nefilim, направленной против корпораций в США и за рубежом.

Стрыжак признался в сговоре с целью совершения компьютерного мошенничества, используя вымогатели Nefilim против корпоративных сетей и требуя выплаты выкупа, сообщило в пятницу Министерство юстиции США.

Также пишется как «Nephilim», группа появилась в марте 2020 года. Хотя Nefilim, по-видимому, был неактивен, в начале этого десятилетия он проявил себя на высоком уровне, атаковав гиганта бытовой техники Whirlpool и атакуя неотремонтированные шлюзы Citrix.

Прокуроры заявили, что Стрижак действовал как аффилированный агент, используя инфраструктуру вымогателей, предоставленную администраторами группы, в обмен на долю от выручки. Стрижак был арестован в Испании в 2024 году и экстрадирован в США в начале этого года.

Власти США сообщают, что операцию с вымогательским вымогателем контролировал Владимир Викторович Тимошчук, который до сих пор находится на свободе. Тимощук находится в списке самых разыскиваемых беглецов ФБ и Европолом за предполагаемую роль в эксплуатации штампов вымогателей Nefilim, LockerGoga и MegaCortex, связанных с сотнями атак по всему миру (см.: Федеральные власти США предъявляют обвинения LockerGoga и хакеру-программисту MegaCortex).

С репортажем Грегори Сирико из Information Security Media Group из Нью-Джерси.