🔒 Ransomware-атака 🇧🇪✈️ парализовала авиасообщение Европы

Прошедшие выходные стали 🚿холодным душем для европейской авиации и её кибербезопасности. Хакеры нанесли мощный удар по американской компании Collins Aerospace, дочерней структуре оборонного гиганта RTX.

По данным компании RTX (родительской структуры Collins Aerospace), инцидент затронул программное обеспечение, 🖥используемое примерно 300 авиакомпаниями в 100 аэропортах мира.

Целью хакеров стал программный комплекс MUSE, являющийся нервной системой для процессов регистрации пассажиров и обработки багажа во многих ключевых авиаузлах ЕС, включая лондонский Heathrow, Берлин-Бранденбург и Брюссель.

Вынужденно вернувшись к ручным процедурам регистрации, аэропорты погрузились в хаос длинных очередей и массовых отмен рейсов. Наиболее тяжелый удар пришелся по Брюсселю, администрация которого приняла беспрецедентное решение об отмене почти 140 из 276 запланированных на понедельник вылетов, чтобы избежать полного коллапса.

По данным RTX, инцидент затронул исключительно системы электронного взаимодействия с клиентами, однако этого оказалось достаточно, чтобы вызвать цепную реакцию по всей Европе.

Инцидент не просто очередная кибератака, а наглядная демонстрация уязвимости всей глобальной транспортной инфраструктуры через атаки на цепочку поставок. Как метко отметила Шарлотта Уилсон, руководитель отдела корпоративной безопасности Check Point, «когда один поставщик скомпрометирован, волновой эффект может быть немедленным и далеко идущим, вызывая повсеместные сбои за пределами государственных границ».

🕵️Согласно официальному заявлению ENISA (Агентство Европейского союза по кибербезопасности), причиной сбоев в системах регистрации стал 🥷❗️ «инцидент с программой-вымогателем у третьей стороны» (a third-party ransomware incident).

«Тип программы-вымогателя был идентифицирован. Правоохранительные органы приступили к расследованию»

— говорится в заявлении агентства ENISA.

✋ @Russian_OSINT

👮Дело Рокенхауса: Когда не поделился 🧅луковым трафиком

История преследования Конрада Рокенхауса продолжает будоражить сеть [1,2,3].

🎖 Ветеран боевых действий, а также по совместительству бывший оператор Tor-нод, ещё в далёком 2019 году отказался от сотрудничества с 🇺🇸ФБР в дешифровке трафика.

Как утверждает супруга ветерана, из-за отказа последовал арест по предлогу старого обвинения в нарушении Computer Fraud and Abuse Act (CFAA).

Она утверждает, что основанием для трехлетнего предварительного заключения послужило технически некорректное свидетельство офицера из Техаса Тиффани Раут. Под присягой та заявила, что Рокенхаус установил «ОС Linux под названием Spice». Супруга, в свою очередь, называет SPICE «графическим драйвером», что также является своего рода упрощением.

SPICE (Simple Protocol for Independent Computing Environments)* — это протокол для удалённого подключения и управления виртуальной машиной (ВМ).

⚖️ Смысл в том, что по версии супруги, технически неграмотный офицер заявила судье, что Рокенхаус установил «ОС Linux под названием Spice», дабы «отключить их программу мониторинга» и получить доступ в «дарквеб».

⚖️По версии эксперта ФБР, SPICE — протокол для удаленного доступа к виртуальным машинам.

Установив его, Рокенхаус мог работать внутри виртуальной машины, и программа мониторинга на его основном компьютере не могла отследить его действия в интернете.

По утверждению жены, на Конрада Рокенхауса начали фабриковать дело из-за конфликта с полицией. Некий офицер Джеффри Конал 29 апреля 2025 года подписал документ, в котором утверждалось, что Рокенхаус «скрывается от правосудия», в то время как в офисе службы пробации (полиции) имелись документальные подтверждения его госпитализации в учреждение для ветеранов боевых действий.

Рокенхауса пытались 🤕закрыть трижды.

Последний арест 4 сентября сопровождался рейдом 👮Службы маршалов США, в ходе которого Рокенхаусу разбили окна в доме и нанесли черепно-мозговую травму. Женщина утверждает, что сотрудники в тактическом снаряжении и с винтовками угрожали даже 🔫🐶пристрелить собаку и отказались предъявить ордер.

Видео с камер [1,2,3,4,5].

На 5 видео слышно, как офицер говорит:

Я не хочу стрелять в вашу собаку!

— вот здесь фрагмент.

🤕Черепно-мозговая травма, полученная во время рейда, спровоцировала у Рокенхауса эпилептический припадок прямо в зале суда спустя несколько часов после задержания. По заявлению супруги, ему отказывают в адекватной медицинской помощи. Рокенхаус останется под стражей как минимум до следующего судебного слушания и проведет в заключении 25 дней без адвоката.

Супруга считает, что первоначальный конфликт начался из-за того, что муж был принципиальным человеком и не хотел идти на сотрудничество.

«ФБР не смогло заставить моего мужа расшифровать его узлы Tor, поэтому они заявили судье, что он использовал свой ГРАФИЧЕСКИЙ ДРАЙВЕР для доступа в „дарквеб“, и посадили его в тюрьму на 3 года ДО СУДА»

— возмущается супруга потерпевшего.

Неравнодушные комментаторы высказывают гипотезу о том, что требование ФБР, скорее всего, заключалось не в "дешифровке Tor", а в установке шпионского ПО (имплантов) на его узел для проведения атак типа Man-in-the-Middle (MitM) и не только.

✋ @Russian_OSINT

💨 Игра BlockBlasters в Steam обернулась кражей $150 000 в криптовалюте и атакой на больного раком стримера

На игровой платформе Steam под видом инди-игры BlockBlasters (Steam ID 3872350) почти месяц распространялся 🦠крипто-дрейнер, который похитил в общей сложности $150 000, причем одной из жертв стал стример, больной раком IV стадии. Он потерял более $32 000, 😢предназначенные для лечения рака.

Несколько дней назад латвийский контент-мейкер Twitch и Steam, известный как RastaLandTV, который борется с саркомой 4 стадии, непреднамеренно стал жертвой в прямом эфире. Ему предложили оплату за стриминг демоверсии игры Block Blasters в Steam. Стример, ничего не подозревая, загрузил и запустил игру в прямом эфире, активировав ряд полезных нагрузок, которые 💴 опустошили его криптокошелек, включая средства, предназначенные для лечения рака.

Исследователь безопасности 💻Карстен Хан из GDATA и VX-Underground, а также ряд крипто-расследовательских сообществ оперативно отреагировали на ситуацию. Они провели анализ ПО и сделали трассировку до инфраструктуры злоумышленника.

Вредоносная программа действовала так, что сначала проверяла систему на наличие антивирусных процессов и, обнаружив лишь стандартный Windows Defender, распаковывала основные payloads из зашифрованных архивов.

В полном техническом отчёте подробно описывается, как мы уничтожили инфраструктуру командного сервера Block Blasters, которая позволяла злоумышленникам @ valvesoftware проникать на их платформу. Мы поговорили с мошенниками, которые без угрызений совести ограбили неизлечимо больного раком пациента.

— пишет ИБ-исследователь под ником 1989.

Злоумышленник использовали комплексный набор вредоносных компонентов, включающий не менее 16 вариантов стелера game.bat на основе пакетных файлов, бэкдор PyInstaller, бинарный файл StealC, многочисленные VBScript, ZIP-архивы с паролем "121" и Telegram-бота для эксфильтрации данных.

К счастью, сообщество не осталось равнодушным к истории и стримеру помогли вернуть $30к (ZssBecker).

Игру в Steam снесли.

👀 ОСИНТеры, исследователи и ИБшники (включая VX-underground+ZachXBT) подключились к расследованию и следы привели к аргентинцу Валентину Лопесу из Майами, который с очень высокой долей вероятности причастен к крипто-дрейнеру.

Он буквально выложил в сеть свои фотографии с того же TG_id, где были спортивные автомобили, и упомянул скейтбординг. ТОТ ЖЕ САМЫЙ ID TELEGRAM, который использовался для сбора данных о жертвах из инфраструктуры C2.

О нём уже сообщили в 👮 ICE.

Писали, что якобы скамера задержали, но официальных подтверждений этой информации нет.

Примечательно, что Лопес в TikTok грузил видео с часами Rolex и элитным шампанским, хвастаясь своей роскошной жизнью.

👆Ранее Valve уже попадала в неприятные истории с Sniper: Phantom's Resolution в марте 2025 года и PirateFi в феврале.

✋ @Russian_OSINT