Украина и Германия провели операцию против Black Basta, одной из самых заметных вымогательских группировок последних лет. 15 января прошли обыски в Львовской области и Ивано-Франковске, задержаны двое граждан Украины, которых называют техническими специалистами. Изъяли компьютеры, телефоны, носители, рукописные заметки и криптовалютные активы.
Главная новость не в задержаниях, а в том, что немецкая федеральная криминальная полиция заявила об установлении личности руководителя. Им назван 35-летний гражданин России, Олег Евгеньевич Нефедов, который, по данным следствия, использовал несколько псевдонимов: kurva, Washington, S.Jimmi, Tramp, GG, AA. Следствие считает, что он выбирал цели, набирал участников, координировал атаки, вел переговоры о выкупе и распределял доходы в криптовалюте.
Black Basta работает с апреля 2022 года по модели вымогательство как услуга: ядро дает инфраструктуру, а исполнители проводят атаки. Группировка заявляла о более чем 500 жертвах в Северной Америке, Европе и Австралии, включая более 100 компаний в Германии. В материалах расследования также всплыла связь Нефедова с Conti, преемником Ryuk. В августе 2022 Госдеп США назначал награду $10 млн за информацию о пяти участниках Conti, и там фигурировал псевдоним Tramp, один из алиасов Нефедова.
В начале 2025 в сеть утек массив переписок Black Basta за год. Он подсветил структуру, участников и используемые уязвимости, а также намекал на возможные связи с высокопоставленными российскими структурами. Эти связи, по некоторым данным, могли сыграть роль в том, что после ареста в Ереване в июне 2024 он не оказался в юрисдикции, где его могли бы быстро экстрадировать. Сейчас Нефедов в розыске, его имя в списке EU Most Wanted и в базе Интерпола.
Взлом Верховного суда США: признание вины и странный мотив
Вторая история не про организованную группу, а про человека и чужой доступ. 24-летний Николас Мур из Теннесси признал вину во взломе системы электронной подачи документов Верховного суда США, а также портала AmeriCorps и медицинской платформы MyHealtheVet Департамента по делам ветеранов.
Следствие говорит, что с 29 августа по 22 октября 2023 года он 25 раз заходил в систему Верховного суда, используя украденные учетные данные легитимного пользователя. Он получил доступ к персональным данным: имя, email, дата рождения, домашний адрес и ответы на три контрольных вопроса для восстановления пароля. Параллельно он использовал другие украденные доступы для проникновения в AmeriCorps (17 августа – 13 октября 2023) и MyHealtheVet (14 сентября – 14 октября 2023).
Мур вел Instagram под ником @ihackedthegovernment и публиковал скриншоты данных, включая имена, даты рождения, адреса, телефоны, статус гражданства, историю службы, группы крови, последние четыре цифры соцстрахования и даже сведения о назначенных лекарствах. Аккаунт сейчас недоступен. Он признал вину по одному пункту компьютерного мошенничества, это правонарушение класса A. Максимум по нему до года тюрьмы и штраф до $100 000. Приговор назначен на 17 апреля 2026, рассматривать будет судья Берил Хауэлл. В документах также указано, что Мур участвовал в слушаниях удаленно, потому что у него нет машины, он не водит и не может работать из-за проблем с психическим здоровьем. Как именно он получил украденные учетные данные, в материалах не раскрыто.
Учебные приложения как вход в облако: сканеры работают лучше людей
Третий сюжет самый будничный и от этого самый неприятный. Pentera обнаружила массовую эксплуатацию уязвимых учебных веб-приложений, которые люди ставят для обучения и тестов, а потом забывают и оставляют в интернете. Речь про DVWA, OWASP Juice Shop, Hackazon и bWAPP. Они специально сделаны уязвимыми, чтобы тренироваться. Проблема в том, что их иногда связывают с облачными учетными записями с избыточными правами.
Pentera нашла 1,926 открытых экземпляров в AWS, Google Cloud и Microsoft Azure. Многие жили со стандартными логинами и паролями и были привязаны к ролям IAM с широкими разрешениями. Среди владельцев таких экземпляров оказались компании уровня Fortune 500, включая Cloudflare, F5 и Palo Alto Networks. После ответственного уведомления они оперативно закрыли проблему.
Что делали злоумышленники, видно по следам. Около 20% найденных DVWA-экземпляров содержали вредоносные артефакты, включая майнер XMRig для добычи Monero. Встречался скрипт watchdog.sh, который восстанавливал инструменты после удаления, подтягивал дополнительные зашифрованные компоненты с AES-256 и удалял конкурирующие майнеры. Также находили веб-шеллы вроде filemanager.php с жестко заданными учетными данными для удаленного управления.
Риск здесь не в майнинге как таковом. Опаснее то, что через такие тестовые системы можно добраться до облачных хранилищ и секретов. В отчете описаны сценарии доступа к S3, Google Cloud Storage и Azure Blob, к менеджерам секретов, к реестрам контейнеров и в отдельных случаях к уровню всего облачного аккаунта. Один пример касается bWAPP, привязанного к аккаунту Google Cloud с доступом к хранилищам данных. Другие случаи показывали более широкую видимость проектов в AWS и Google Cloud.
Международные расследования могут приносить результат, но экстрадиция и реальные сроки зависят от юрисдикции. Государственные системы по-прежнему уязвимы к украденным паролям и повторному использованию доступов. А тестовые среды и учебные приложения остаются тихой дырой даже у больших технологических компаний. Базовая гигиена, инвентаризация, минимальные права и удаление временных стендов до сих пор решают больше, чем красивые плакаты про киберустойчивость.
