В конце февраля Pay2Key атаковал медицинскую организацию в США. По данным Halcyon и Beazley Security, злоумышленники вошли в сеть через украденные учётные данные администратора, почти неделю не проявляли активности, затем подключились через TeamViewer и начали собирать пароли с помощью Mimikatz и LaZagne. После этого запустили архив, который распаковал шифратор. На полное шифрование ушло около трёх часов.

Сам файл из атаки на клинику найти в открытых базах не удалось. Зато обнаружилась более ранняя версия Pay2Key от 9 января 2026 года. Образец отличается от февральского, но использует тот же набор инструментов и схожую схему доставки. Шифратор упакован в самораспаковывающийся архив 7z и внутри тянет вспомогательные утилиты, включая средство безопасного удаления данных.

Программа построена на базе вымогателя Mimic, который, в свою очередь, вырос из утёкшего конструктора Conti. Для поиска файлов используется утилита Everything, а заблокированные процессы принудительно закрываются через системные механизмы Windows. Перед шифрованием вредонос завершает десятки служб и процессов, в том числе связанные с базами данных, резервным копированием и защитой системы.

Криптография реализована аккуратно и без явных ошибок. Для каждого файла генерируется уникальный 32-байтовый ключ с помощью встроенного генератора случайных чисел Windows. Далее используется потоковый алгоритм ChaCha20, а сами ключи защищаются через обмен ключами Curve25519. Без закрытого ключа злоумышленников расшифровать данные не получится.

Интересная деталь: во всех файлах используется нулевой одноразовый параметр, который обычно должен быть случайным. На практике проблема не возникает, потому что ключ для каждого файла новый. Повторения потока не происходит, значит уязвимость не появляется.

Ключи для расшифровки сохраняются локально в файле session.tmp в каталоге C:\temp. В январской версии вредонос не отправляет этот файл на сервер. Если файл удалить или повредить, восстановление становится невозможным даже для самих злоумышленников. Поэтому при расследовании такой файл нужно сохранять в первую очередь.

Главная особенность – режим частичного шифрования. Для крупных файлов программа шифрует только отдельные блоки, пропуская остальное. В результате от 70% до 87% содержимого может остаться в открытом виде. Для баз данных, виртуальных дисков и резервных копий это критично: значительную часть информации можно извлечь напрямую, даже если структура файла повреждена.

Размер зашифрованных блоков обычно составляет 1 МБ, а расстояние между ними рассчитывается на основе ключа. Шаблон меняется от файла к файлу, но в среднем большая часть данных не трогается. При этом начало и конец файла всё равно шифруются, поэтому стандартные инструменты восстановления часто не справляются без дополнительной обработки.

На практике частичное восстановление возможно. Из файлов баз данных удаётся извлечь таблицы, из образов виртуальных машин – файлы внутри диска, из архивов – отдельные сегменты. Полностью вернуть данные без ключа нельзя, но ущерб можно заметно снизить.

https://www.itsec.ru/news/obnaruzhen-nedostatok-v-yanvarskoy-sborke-vimogatelia-pay2key

⚡️Сын богатейшего депутата Перми оказался курьером на службе у украинских мошенников – его тайно отправили в СИЗО, а затем без лишнего шума перевели на домашний арест. Это кстати депутат который недавно осудил полицейских, увольняющихся из-за низких зарплат и предложил отправлять их на СВО.

По данным «Базы», ещё конце текущей зимы оперативники задержали курьера, который действовал по указке украинских мошенников — собирал деньги с обманутых пермских граждан. Подозреваемым оказался 20-летний Пётр Плотников — сын почётного гражданина Перми и депутата гордумы Владимира Плотникова, который более известен как один из богатейший людей края.

В феврале Пётр был задержан, но местные правоохранительные органы не сообщали о поимке участника крупной преступной схемы, лишившей пожилых жителей Перми миллионов рублей.

По решению Индустриального районного суда Перми отправлен под стражу. Но уже в марте Плотникову изменили меру пресечения на более мягкую — домашний арест, где он будет находится как минимум до 15 мая.

❗️Совсем недавно его отец Владимир Плотников и сам оказался в центре скандала, когда осудил полицейских, увольняющихся из-за низких зарплат. Богатейший депутат Перми предложил отправлять их на СВО.

🤔 Вот так вот, если "холоп" — 5-10 лет тюрьмы, а если сынишка депутата — посиди дома, оступился, с кем не бывает, да? А может на СВО, как папаня рекомендовал полицейским...

https://vk.ru/wall-219928800_1486982

В ноябре 2025 был зафиксирован новый тип фишинга с использованием псевдонима адреса в сети Vaulta (ранее EOS). Так, одна из жертв была около года в контакте с лицом обучавшим его инвестициям (обсуждение портфеля, монет). Пробовали вместе успешные сделки (переводы между биржами).

Однако, последние несколько раз жертва переводила якобы себе на адрес биржи (по псевдониму адреса anthinclar12), как и раньше при корректных транзакциях. Но средства по итогу не дошли, и как показал предварительный анализ были конвертированы (в токен A) и выведены уже через час. Поскольку у мошенника был идентичный с биржей псевдоним (без отображения самого адреса).

Злоумышленник позже советовал, если деньги не зачислились необходимо писать в техподдержку биржи и сервиса. Которая дала ответ (наряду с администраnорами токена A), что надо быть внимательнее. Примечательно, что в чатах техподдержки отписывались разного рода скамеры и предлагали различные услуги помощи.

К сожалению, через адрес прошли достаточно большие суммы в токене А (сеть Vaulta), что подтверждает наличие и других пострадавших. Аналитики VeroTrace провели анализ данного случая и нашли основные выводы (часть на Binance и OKX), а остальные средства ушли на транзитные и крупные консолидирующие адреса (подконтрольные мошенникам).

@VeroTrace | https://xn--r1a.website/verotrace

#VeroTrace #AML #CFT #KYC #KYT #AI #AML_AI #Vaulta #A #EOS #Scam #Phishing #Investigation

Краснодарскую чиновницу оштрафовали за американский хостинг сайта районной администрации
В Краснодарском крае замглавы администрации Абинского района оштрафовали на 100 тыс. руб. за нарушение требований законодательства о персональных данных. Об этом сообщает объединенная пресс-служба судов региона.

Чиновница, отвечающая за работу сайта районной администрации, не обратила внимание на то, что ресурс использовался на платформе, которая принадлежит американской компании.

«Это означает трансграничную передачу персональных данных на территорию Соединенных Штатов Америки, что представляет собой угрозу безопасности РФ в условиях проведения специальной военной операции»,— сообщила пресс-служба.

Как заявили в суде, на ресурсе размещались сведения о российских военных и членах их семей.

https://vk.ru/wall-119776219_819935

Правительственная комиссия одобрила законопроект, расширяющий обмен данными между ФНС и Банком России о переводах между физическими лицами. Цель инициативы - выявлять доходы, которые граждане получают на карты от других физлиц без уплаты налогов.

Согласно законопроекту, Банк России будет обязан передавать в налоговую службу сведения о физлицах, в отношении которых сработали критерии ведения предпринимательской деятельности. ФНС в таком случае сможет запрашивать у банков выписки по счетам таких граждан без проведения проверки. Как пишет РБК, речь идет о платежах по возмездным сделкам между физлицами, которые оформляются как обычные переводы на карты, счета и электронные кошельки. По оценке разработчиков, сейчас подобный заработок фактически находится за пределами налогового контроля

Изменения также предлагается внести в законы о налоговых органах и о противодействии отмыванию преступных доходов и финансированию терроризма. ФНС, в свою очередь, будет передавать Центральному банку информацию об открытии и закрытии счетов и вкладов физлиц, не являющихся индивидуальными предпринимателями, а также о получении и прекращении права на использование электронных платежных средств.

Кроме того, ИНН станет обязательным реквизитом для идентификации клиента банка. Для упрощенной идентификации перечень документов расширят: к нему добавят СНИЛС, полис ОМС и водительское удостоверение.

Законопроект направлен на расширение информационного обмена между налоговой службой и Центральным банком в рамках мер по легализации отдельных секторов экономики.

Подробнее: https://www.securitylab.ru/news/570710.php

❗Иран опубликовал новое нейросетевое видео, на котором они наносят удары по Украине.

В «Месть за всех» утверждается, что украинские дата-центры использовали для планирования убийства Верховного лидера Али Хаменеи, следовать по будут нанесены ракетные удары по объектам в Киеве, Харькове и Днепре.

🤔 Это будет полный финиш, если Иран нанесет удары точнее и сильнее чем мы. А у них никаких «договорнячков» и препятствий нет. Зато есть дальнобойные ракеты. Так что это вполне реально.

https://vk.ru/wall-219928800_1496121

🇷🇺 Минэнерго поддержало уголовное наказание за кражу электричества майнерами

Заместитель министра энергетики Петр Конюшенко в интервью ТАСС заявил, что Минэнерго поддерживает введение уголовной ответственности за незаконное подключение майнеров к электросетям и хищение электроэнергии.

«Мы поддерживаем меру уголовной ответственности, связанную с незаконным подключением к электрическим сетям. В прошлом году на правительственной комиссии был поднят этот вопрос, он сейчас находится в проработке. Первый этап — это административная ответственность. За повторное подключение нужно вводить уголовную ответственность. Это очень серьезные вопросы, это по сути хищение — как его ни назови, оно должно быть наказуемо», — заявил Конюшенко.

По его словам, энергокомпании совместно с правоохранительными органами и сотовыми операторами «довольно легко» выявляют незаконные майнинговые точки по профилю нагрузки и интернет-трафику, после чего отключают их от сетей и передают материалы правоохранителям.

В Минэнерго рассчитывают, что «существенный скачок» по этому вопросу может быть достигнут уже в 2026 году. По словам Конюшенко, инициативу поддерживают как в Госдуме, так и в ряде федеральных ведомств.

Присоединяйтесь к форуму РБК Крипто | Подписаться на канал

Ростех сделал антидроновую защиту доступнее для малого и среднего бизнеса

Новая программа предполагает аренду комплекса «Серп-ВС6Д» для подавления каналов управления БПЛА с возможностью последующего выкупа.

Аппаратура, разработанная холдингом «Росэл» (входит в Ростех), представляет собой автоматизированное средство борьбы с беспилотниками. Она совмещает в себе модуль РЭБ и высокоточный детектор, обнаруживающий даже малозаметные FPV-дроны. Комплекс эффективен как против одиночных целей, так и при отражении групповых атак.

«Серп-ВС6Д» непрерывно отслеживает воздушное пространство в секторе 360 градусов. При обнаружении угрозы система автоматически или в ручном режиме включает подавление радиосигналов.

Возможность объединения нескольких устройств в единую сеть позволяет организовать надежную защиту объектов с протяженным периметром.

https://vk.ru/wall-47275428_384726

Правоохранители передали соосновательницу финансовой пирамиды «Финико» из Турции в Россию, где ее обвиняют в мошенничестве на сумму свыше 1 млрд рублей, сообщили в МВД.

Соосновательница финансовой пирамиды «Финико» была депортирована из Турции в Россию. Женщину передали российским правоохранителям в аэропорту Стамбула турецкие власти. Она подозревается в мошенничестве в особо крупном размере и участии в преступном сообществе.

Следствие установило, что с 2019 по 2021 год фигурантка представляла интернет-проект «Финико», действовавший по принципу финансовой пирамиды. Организаторы обещали инвестировать привлечённые средства в ценные бумаги и криптовалюту с гарантией прибыли, однако на самом деле никаких реальных инвестиций не осуществлялось.

В результате деятельности «Финико» пострадали более 7 700 человек, общий ущерб превышает 1 млрд рублей. Уголовное дело расследуется Следственным департаментом МВД России по статьям 159 и 210 УК РФ.

Обвиняемая скрывалась за границей и была объявлена в международный розыск по линии Интерпола. Благодаря сотрудничеству российских и турецких правоохранителей она была задержана и экстрадирована на родину для дальнейшего расследования.

Ранее власти ОАЭ депортировали в Россию организатора «Финико», который подозревается в мошенничестве и нанесении ущерба гражданам на сумму свыше 1 млрд рублей.

Примечательно, что действующие сотрудники VeroTrace участвовали в расследованиях по Финико в 2020-2022 годах. Когда были найдены крупные консолидирующие кошельки на бирже Bitzlato (московская биржа с гонконгской лицензией).

@VeroTrace | https://xn--r1a.website/verotrace

#VeroTrace #AML #CFT #KYC #KYT #AI #AML_AI #Finiko #Scam #Deportation #Fraud

Верховный суд России направил в столичный суд дело о хищении 18 млрд рублей главой строительной компании «Автодор» Рамилем Шайдуллиным.

Шайдуллин обвиняется в растрате и легализации средств, связанных с хищением бюджетных денег при строительстве трассы М-12. Сам бизнесмен отрицает вину. В деле фигурируют и другие обвиняемые. Следствие продолжается, однако Верховный суд РФ изменил подсудность, вернув его региональному судебному органу. Однако предполагалось, что это будет рассматривать именно ВС РФ, туда материалы были направлены в апреле 2026 года. Верховный суд передал дело в Бутырский суд Москвы для рассмотрения.

https://vk.ru/wall-119776219_820316

Злоумышленник под именем Mirax Bot предлагает в аренду вредоносную программу для Android под названием Mirax и обещает почти полный контроль над заражённым устройством.

По описанию продавца, программа умеет подменять экраны банковских приложений и сайтов, показывая жертве фальшивые формы. Подготовлено более 700 шаблонов таких подмен, с помощью которых выманивают логины, пароли и коды подтверждения. Вредонос также перехватывает нажатия клавиш, включая ввод PIN-кодов и системные запросы, и работает с SMS: читает сообщения, отправляет их, удаляет и собирает историю переписки и контактов.

Mirax позволяет удалённо управлять устройством. Злоумышленник может запускать приложения, удалять их или блокировать доступ, показывая поддельное окно «технических работ». Есть возможность скрытого просмотра экрана через функции специальных возможностей Android, а также режим скрытого удалённого управления, при котором действия происходят незаметно для владельца устройства. Программа умеет получать данные о графическом ключе или пароле блокировки и разблокировать устройство.

Ещё одна заявленная функция – использование заражённого смартфона как промежуточного узла для выхода в интернет. Через такой прокси злоумышленники могут проводить операции с банковскими сервисами от имени жертвы, обходя антифрод-системы, которые ориентируются на «домашний» IP-адрес.

Продавец также заявляет защиту от удаления и обход встроенной системы безопасности Play Protect за счёт «шифрования» вредоносного кода. Все собранные данные – нажатия клавиш, SMS и информация из подменённых форм – можно выгружать в файлы для дальнейшего анализа.

Стоимость аренды начинается от 1000 долларов за две недели облегчённой версии и достигает 2500 долларов за месяц полной версии. Отдельно предлагается инструмент для распространения приложения.

https://www.itsec.ru/news/na-hakerskih-forumah-poyavilsia-noviy-instrument-dlia-krazhi-deneg-s-bankovskih-schetov

На полигоне Кура на Камчатке начались ракетные испытания с применением межконтинентальных баллистических ракет.

Об этом сообщает правительство Камчатки.

Учения пройдут с 6 по 10 мая.

«Для безопасности населения необходимо воздержаться от посещения полигона и близлежащих территорий в указанный срок», — говорится в публикации.

Власти также предупредили, что на время испытаний запрещено нахождение людей и передвижение любой техники в районе полигона.

Отмечается, что полигон Космических войск Воздушно-космических сил России расположен примерно в 500 км севернее Петропавловска-Камчатского и используется для отработки поражения целей ракетами.

https://vk.ru/wall-40316705_54829886

Согласно уведомлению, опубликованному на сайте Регистрационной палаты Великобритании, компания Zedxion Exchange Ltd., криптовалютная платформа, обвиняемая в переводе средств для Корпуса стражей исламской революции (КСИР) Ирана, будет ликвидирована.

Это решение было принято в связи с санкциями, введенными в январе Управлением по контролю за иностранными активами Министерства финансов США (Office of Foreign Assets Control, OFAC), которое включило Zedxion и связанную с ней компанию Zedcex в санкционный список за предполагаемую роль в содействии Ирану в обходе санкций и связи с финансистом Бабаком Занджани, также находящимся под санкциями.

Регистрационная палата заявила, что приостановка деятельности связана с информацией или заявлением в заявке на регистрацию, которые вводят в заблуждение, являются ложными или обманными. Ранее в организации Organized Crime and Corruption Reporting Project выяснили, что Элизабет Ньюман, указанная в качестве директора и лица, осуществляющего значительный контроль над компанией Zedxion, и названная в документах гражданкой Доминиканской Республики, скорее всего, была вымышленным лицом. Сообщалось также, что компания использовала стоковое изображение Ньюман в рекламных материалах.

TRM Labs выяснила, что Zedxion и родственная ей платформа Zedcex обработали около $1 млрд., связанных с КСИР, что составляет примерно 56% от общего объема транзакций. В 2024 эта доля выросла до 87%, когда объем транзакций, связанных с КСИР, достиг примерно $619,1 млн, а в 2025 снизилась до 48% на фоне роста активности в других сферах.

Компания Zedxion Exchange была зарегистрирована в мае 2021. Осенью того же года физическое лицо по имени Бабак Мортеза было указано в качестве директора и лица, осуществляющего значительный контроль над компанией. Согласно данным Регистрационной палаты, идентификационные данные, связанные с этим именем, совпадают с данными Бабака Занджани, иранского бизнесмена, которого давно обвиняют в уклонении от санкций. Согласно документам Регистрационной палаты, Мортеза перестал быть лицом, осуществляющим значительный контроль над компанией, в августе 2022. В том же месяце Ньюман была назначена директором.

В 2013 США и ЕС уже вводили санкции против Занджани за отмывание млрд долларов, полученных от продажи нефти, в интересах иранских государственных структур, в том числе КСИР. В 2016 в Иране его осудили за растрату государственных нефтяных средств и приговорили к смертной казни, но в 2024 приговор был смягчён после того, как он вернул деньги.

К 2025 Занджани снова оказался в центре внимания общественности в связи с его участием в экономических проектах, связанных с руководством. Он также руководит холдинговой компанией DotOne Holding Group, работающей в сфере криптовалют, валютных операций, логистики, авиации и телекоммуникаций. Все эти отрасли связаны с инфраструктурой, используемой для обхода санкций.

Регистрационная палата начинает использовать расширенные полномочия, предусмотренные Законом об экономических преступлениях и корпоративной прозрачности 2023, для запроса и удаления из реестра сомнительной информации, в том числе для обязательной проверки личности директоров и бенефициарных владельцев, введенной в конце 2025. Это часть более масштабных усилий по предотвращению неправомерного использования корпоративного реестра Великобритании.

С марта 2024 регистратор может запрашивать и удалять сомнительную информацию, а также требовать от компаний указывать зарегистрированный адрес электронной почты. С ноября 2025 все директора и лица, имеющие значительный контроль над компанией, должны подтвердить свою личность, а компании доказать создание в законных целях.

@VeroTrace | https://xn--r1a.website/verotrace

#VeroTrace #AML #CFT #KYC #KYT #AI #AML_AI #Zedxion #Zedcex #Sanctions #Iran #IRAQ

https://find-and-update.company-information.service.gov.uk/company/13404089

⚡БПЛА Украины поразили нефтебазу в Латвии, в Резекне, повредив терминал. Еще один дрон атаковал пассажирский поезд Рига – Даугавпилс, загорелся моторный отсек.

Прибалты снова решили пропустить хохлодроны через свою территорию для ударов по Ленинградской области, но что-то пошло не так. Получите и распишитесь.

https://vk.ru/wall-219928800_1502087

Сотрудники Бюро специальных технических мероприятий МВД России совместно с коллегами из Ростовской области задержали жителя Таганрога, подозреваемого в создании и администрировании одной из крупнейших международных хакерских платформ LeakBase. Об этом сообщила официальный представитель МВД Ирина Волк.

По данным ведомства, площадка работала на протяжении четырех лет и использовалась для торговли похищенными персональными данными. На платформе были размещены сотни миллионов учетных записей, банковские реквизиты, логины, пароли и корпоративные документы, полученные в результате взломов. На форуме было зарегистрировано более 147 тыс. пользователей, которые могли покупать и продавать украденные данные, а также использовать их для мошенничества.

При обыске по месту проживания задержанного были изъяты технические средства и другие предметы, имеющие доказательственное значение. Следователь ГСУ ГУ МВД России по Москве возбудил уголовное дело по ч. 3 и ч. 6 ст. 272.1 УК РФ. Фигуранту избрана мера пресечения в виде заключения под стражу.

Площадку LeakBase ликвидировали ранее в марте в ходе международной операции. По данным Министерства юстиции США, 3 и 4 марта правоохранительные органы 14 стран провели скоординированные действия против форума и его участников. Координацию взял на себя Европол. Власти закрыли площадку, изъяли базы данных и два домена. Обыски, задержания и допросы прошли в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.

Согласно судебным документам, форум насчитывал более 142 тыс. участников и свыше 215 тыс. сообщений. LeakBase работал в открытой сети на английском языке и был доступен пользователям по всему миру. ФБР заявило об изъятии учетных записей, публикаций, сведений о платежах, личных сообщений и журналов IP-адресов.

Закрытие LeakBase продолжает серию операций против подобных площадок: в 2022 году был ликвидирован форум RaidForums, в 2023-м закрыт BreachForums, а в 2025 году суд вынес приговор основателю BreachForums. По данным Министерства юстиции США, с 2020 года подразделение по борьбе с компьютерными преступлениями помогло добиться обвинительных приговоров более чем для 180 участников киберпреступных схем и вернуть пострадавшим свыше 350 млн долларов.

https://www.securitylab.ru/news/570780.php?r=2

В КНДР прописали в Конституции автоматический ядерный удар на случай гибели Ким Чен Ына

Согласно новым положениям, ядерный удар должен быть нанесен немедленно, если Ким Чен Ын погибнет или руководство потеряет контроль над вооруженными силами.

https://vk.ru/wall-13984605_818429

🇺🇸 Госдеп США предостерег дипломатов от ставок по Ирану на Polymarket

Госдепартамент США разослал дипломатам внутреннее предупреждение о недопустимости использования конфиденциальной государственной информации для ставок на предикшн-маркетах вроде Polymarket и Kalshi, пишет The Wall Street Journal.

В служебной записке говорится, что использование сотрудниками непубличной информации «в целях финансовой выгоды» является серьезным нарушением и «не будет допускаться».

По данным WSJ, власти США начали рассматривать стремительный рост предикшн-маркетов как потенциальную угрозу национальной безопасности.

Опасения связаны с тем, что чиновники могут использовать инсайдерскую информацию для заработка на ставках по геополитическим событиям, включая переговоры США и Ирана.

Присоединяйтесь к форуму РБК Крипто | Подписаться на канал