Вірус-вимагач організації Qilin розпочав атаку на мережу постачання фінансової сфери Південної Кореї «Korean Leaks»! 28 компаній постраждали, 2 ТБ чутливих даних витікло.

Qilin, сумнозвісна організація, що займається програмами-вимагачами, запустила атаку на ланцюжок поставок під кодовою назвою «Корейські витоки», успішно зламавши GJTec, постачальника послуг IT-хостингу в Південній Кореї, який за один раз викрав 28 південнокорейських фінансових установ на загальну суму понад 1 мільйон файлів і 2 ТБ конфіденційних даних. (Синопсис: Охоронна компанія: північнокорейські хакери проникли в 15~20% криптовалютних компаній) (Довідкове доповнення: кросчейн-міст AI-проекту Port3 був зламаний: хакери надрукували 1 мільярд монет і розпродали, а ціна монет впала на 80%) За даними The Hacker News, сумнозвісна організація програм-вимагачів Qilin запустила атаку на ланцюжок поставок під кодовою назвою «Korean Leaks», успішно зламавши GJTec, постачальника послуг IT-хостингу в Південній Кореї, і зробила відразу 28 Загалом з корейських фінансових установ було викрадено понад 1 мільйон файлів і 2 ТБ конфіденційної інформації. Це найгірша кіберкриза для фінансового сектору Південної Кореї з 2025 року. Хто такий убивця? Хто є потерпілими? Натхненником є всесвітньо відома група програм-вимагачів Qilin (також відома як Agenda), надзвичайно активна група програм-вимагачів як послуги (RaaS), за якою, швидше за все, стоїть російське походження, але вони називають себе «політичними активістами». Цього року Qilin стала найактивнішою групою програм-вимагачів у світі, стверджуючи, що лише в жовтні атакувала понад 180 цілей. Зокрема, в цій операції, ймовірно, братиме участь північнокорейське (північнокорейське) підтримуване державою хакерське угруповання «Moonstone Sleet», що утворює рідкісну спільну модель «злочинне угруповання + державний хакер». Жертвами стали всі корейські компанії з управління активами, включаючи LX, Human, Bridge, Majesty та інших відомих операторів, загалом 28. Хакери не лише зашифрували комп'ютери компаній-жертв, а й викрали інформацію про клієнтів, внутрішні електронні листи, інвестиційні портфелі та навіть докази, підозрювані у причетності до маніпуляцій на фондовому ринку. Як хакери це роблять? Згідно з розслідуванням, хакери зламали лише постачальника IT-послуг під назвою GJTec, який спеціалізується на допомозі малим і середнім фінансовим установам в управлінні комп'ютерами, резервному копіюванні даних і обслуговуванні систем. Після того, як GJTec був зламаний, хакери безпосередньо увійшли в системи 28 клієнтів, розгорнули програму-вимагач Qilin і почали подвійне вимагання: розкрити дані без оплати + знищити систему. Варто зазначити, що вся операція призвела до витоку даних у даркнет у три хвилі: Перша хвиля: 14 вересня 2025 року, 10 жертв Друга хвиля: 17-19 вересня 2025 року, 9 постраждалих Третя хвиля: 28 вересня-4 жовтня 2025 року, 9 постраждалих Варто зазначити, що коли хакери злили дані в перші дві хвилі, вони були сповнені політичної пропаганди, стверджуючи, що «викривають фінансову корупцію в Південній Кореї», «можуть сильно вдарити по фондовому ринку Південної Кореї», і навіть називали «відомих політичних і бізнесових діячів». Лише під час третьої хвилі традиційний тон шантажу було відновлено, що вказує на те, що різними силами можуть маніпулювати повідомленням, яке за ним стоїть. Наскільки серйозним був цей напад? 2 ТБ даних звучить абстрактно, але це означає мільйони контрактів, ідентифікаційні номери клієнтів, банківські рахунки та інвестиційні записи, які були вкрадені. Як тільки всі вони дійсно будуть оприлюднені, вони можуть спричинити серйозні наслідки, зокрема: Витік особистої інформації клієнтів призводить до шахрайства та крадіжки особистих даних Викриття доказів маніпулювання фондовим ринком, що спричиняє паніку на ринку та навіть катастрофу на фондовому ринку Фінансові установи отримують значні штрафи від регулюючих органів, а клієнти колективно вимагають компенсації Загальна фінансова репутація Південної Кореї зазнає шкоди, а іноземні інвестиції стримуються Що ще небезпечніше, це свідчить про те, що «атаки на ланцюжки поставок» стали новим фаворитом хакерів: без боротьби одна за одною, доки ви пробиваєтеся через постачальників IT-послуг посередині, ви можете зібрати десятки або навіть сотні підприємств одночасно, з низькими витратами та високою прибутковістю. Як генеральні підприємства захищають себе? В умовах цієї атаки можуть бути вжиті наступні заходи для ефективного уникнення вторгнення: Обов'язково підпишіть «положення про відповідальність за безпеку» з усіма зовнішніми постачальниками ІТ, вимагаючи від них примусової багатофакторної автентифікації (MFA) і регулярного сканування вразливостей. Не розміщуйте всю важливу інформацію в одній системі, використовуйте «принцип найменших привілеїв»: хто не повинен її бачити, той її не показує. Ключові дані мають бути «резервними копіями за межами сайту» та «збереженими в автономному режимі», навіть якщо хакер шифрує хост. Регулярно імітуйте свердла «зламаний постачальником», щоб побачити, чи зможете ви швидко відключити та відновити свою систему. Читайте також: Ходять чутки, що DWF Labs була розкрадена північнокорейськими хакерами на $44 мільйони, але поки що це було приховано! ZachXBT: Зовсім не дивно, що черговий злом протоколу DeFi? Кредитну угоду Moonwell підозрюють у хакерській хакерській атакі, внаслідок чого було втрачено понад 1 мільйон доларів Помри від сміху! Хакери UXLINK вкрали 11,3 мільйона доларів США, але були атаковані фішингом, і валютне коло було чорним і його неможливо було запобігти [Організація програм-вимагачів Qilin запустила атаку на ланцюжок поставок «Korean Leaks» на фінансову індустрію Південної Кореї! 28 операторів завербовані, витік конфіденційних даних на 2 ТБ" Ця стаття була вперше опублікована в журналі BlockTempo “Динамічний тренд - найвпливовіше новинне медіа блокчейну”.