Кровь на руках хакеров: у пациента остановилось сердце из-за кибератаки
В Великобритании подтвердили первый случай смерти пациента, связанный с кибератакой на систему здравоохранения NHS. Инцидент произошёл в июне прошлого года и серьёзно нарушил работу больниц на юго-востоке Лондона. Тогда были отложены более тысячи операций, отменены две тысячи амбулаторных приёмов и задержаны свыше тысячи курсов лечения онкологических пациентов. Теперь больница King’s College официально заявила, что одна из смертей произошла на фоне этих сбоев. Представитель медучреждения сообщил, что пациент скончался внезапно во время инцидента, и расследование показало несколько факторов, повлиявших на исход. Среди них — задержка с результатами анализа крови, вызванная нарушениями в работе лабораторных систем, которые обслуживались атакованной IT-компанией Synnovis. Семье погибшего сообщили подробности внутреннего расследования. Сам инцидент стал следствием масштабной атаки программы-вымогателя , которую, по имеющимся данным, провела российская группировка Qilin . Под удар попали больницы Guy’s and St Thomas’, King’s College, Lewisham and Greenwich, а также учреждения первичной и психиатрической помощи в шести районах Лондона. Этот трагический случай не является единичным. Ранее в США уже был зафиксирован случай гибели ребенка из-за атаки вымогательского ПО на больницу в штате Алабама. Исследования показывают, что медицинские устройства в больницах остаются крайне уязвимыми перед кибератаками, а более половины специалистов здравоохранения наблюдали повышенную смертность в результате киберинцидентов. Атаки на системы здравоохранения становятся всё более частыми и разрушительными. Примеры включают нападения на канадскую провинцию Ньюфаундленд , где были отменены тысячи записей к врачам, и предупреждения ФБР о том, что 53% медицинского оборудования содержат критические уязвимости, дающие киберпреступникам полный контроль над жизнью пациентов. Эксперты отмечают растущую угрозу со стороны программ-вымогателей , которые эволюционировали от простого требования выкупа за расшифровку данных до двойного вымогательства с угрозой публикации украденной информации. Случай с NHS подчёркивает критическую важность защиты медицинских систем, где речь идёт не только о данных, но и о человеческих жизнях.
Windows 11 добавляет поддержку passkey от 1Password
Компания Microsoft выпустила новое обновление Windows 11 (сборка KB5060838) для участников программы Windows Insider в Dev-канале. Обновление включает в себя как общедоступные нововведения, так и функции, которые распространяются постепенно среди пользователей, включивших специальный переключатель в настройках центра обновлений. Одним из главных нововведений стало внедрение поддержки сторонних менеджеров passkey-ключей. Microsoft объединилась с 1Password, чтобы упростить вход на сайты с помощью ключей доступа без паролей. Пользователям нужно установить бета-версию 1Password, включить поддержку плагина в расширенных настройках passkey и пройти проверку через Windows Hello. После этого можно использовать уже сохранённые ключи или добавлять новые — всё это работает напрямую через Windows Hello, включая биометрию или PIN-код. Интеграция открыта и для сторонних разработчиков, которые могут использовать специальный API для поддержки ключей доступа в своих приложениях. Также в сборке появилась новая маркировка версии — 25H2. Это означает, что следующее крупное обновление Windows 11 выйдет во второй половине 2025 года. Такой ритм обновлений теперь станет ежегодным. Кроме того, были внесены изменения в настройки браузера. В странах Европы при выборе нового браузера по умолчанию он автоматически закрепляется на панели задач и в меню «Пуск», если пользователь сам не уберёт соответствующие галочки. В этом же разделе появилась новая кнопка для установки браузера по умолчанию для PDF-файлов. В этом обновлении исправлены ошибки, связанные с проводником: устранены сбои при запуске, проблемы с отображением избранных элементов и потеря настроек вида. В меню «Пуск» убрали дублирующиеся записи и ошибки в анимации раскрытия папок. Также исправлена ошибка, вызывавшая сбой службы ctfmon.exe, что мешало набирать текст, и устранена утечка памяти при использовании слайд-шоу на экране блокировки. Для всех участников Dev-канала устранён баг, из-за которого воспроизводился звук загрузки из Windows Vista. Теперь снова используется правильный звук Windows 11. Однако остаются и известные проблемы. Некоторые пользователи сталкиваются с ошибкой при установке обновления (код 0x80070005). В Microsoft рекомендуют воспользоваться инструментом восстановления в параметрах системы. На сенсорных устройствах новые элементы меню «Пуск» пока работают нестабильно. Есть и проблема с контроллерами Xbox, подключёнными по Bluetooth — в некоторых случаях они вызывают «синий экран». Для устранения ошибки пользователям нужно вручную удалить определённый драйвер в диспетчере устройств. Наконец, Microsoft напоминает, что часть новых функций доступна только при включённом переключателе в настройках обновлений. Некоторые из них могут быть изменены, удалены или вовсе не дойдут до финальных релизов.
10 из 10: Хакеры получили способ создать учётную запись администратора на сервере без пароля — и теперь проникают даже в выключенные системы
Хакеры начали активно использовать критическую уязвимость , которая позволяет им получить полный контроль над тысячами серверов, включая те, что выполняют ключевые задачи в дата-центрах. Об этом предупреждает Агентство по кибербезопасности и инфраструктурной безопасности США.Проблема обнаружена в прошивке AMI MegaRAC , которая используется для удалённого управления большими парками серверов. Эта прошивка встроена в микроконтроллеры на материнских платах, известные как контроллеры управления базовой платой. Они позволяют администраторам выполнять операции даже в случаях, когда операционная система не работает или питание отключено. Через такие контроллеры можно переустанавливать операционные системы, менять конфигурации и запускать приложения без физического доступа к серверу. Достаточно скомпрометировать всего один контроллер, чтобы получить доступ к внутренней сети и остальным устройствам в инфраструктуре. Уязвимость получила идентификатор CVE-2024-54085 и максимальную оценку опасности — 10 из 10. Её суть в том, что злоумышленник может обойти аутентификацию, просто отправив специальный HTTP-запрос к уязвимому устройству. Уязвимость обнаружила компания Eclypsium и сообщила о ней ещё в марте, приложив рабочий эксплойт, с помощью которого можно создать учётную запись администратора без пароля. На тот момент о реальных атаках известно не было. 26 июня уязвимость была включена в официальный список эксплуатируемых CISA, что свидетельствует о начале реальных атак. Подробностей о происходящем в агентстве не раскрыли, но в Eclypsium считают, что масштабы могут быть серьёзными. По их словам, при помощи цепочек уязвимостей злоумышленники могут внедрить вредоносный код прямо в прошивку BMC. Это делает атаку практически незаметной, а вредонос способен пережить даже переустановку системы или замену дисков. Такие атаки обходят антивирусы и системы мониторинга, а также позволяют удалённо включать, выключать или перезапускать сервер независимо от состояния ОС. Также возможна кража учётных данных, использование сервера в качестве точки входа в остальную сеть и даже повреждение прошивки с целью выведения оборудования из строя. Всё это делает угрозу особенно серьёзной для корпоративных и облачных инфраструктур. Исследователи полагают, что за атаками могут стоять китайские кибершпионские группы , известные своей работой с уязвимостями прошивок. В списке потенциальных производителей уязвимого оборудования указаны AMD, Ampere, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Некоторые из них уже выпустили обновления, но далеко не все. Специалисты советуют администраторам проверить все устройства с BMC в своих инфраструктурах. Из-за большого числа затронутых производителей лучше всего обратиться напрямую к вендору, если остаются сомнения по поводу уязвимости.
Обновляете горячий кошелёк в пятницу вечером? Поздравляем — Lazarus только что ушёл с вашими $11 млн
Криптовалютная биржа BitoPro, базирующаяся на Тайване, подтвердила , что стала жертвой хакерской атаки, в результате которой было похищено цифровых активов на сумму около 11 миллионов долларов. По результатам внутреннего расследования компания возлагает ответственность за инцидент на печально известную северокорейскую группировку Lazarus . В заявлении BitoPro подчёркивается, что характер атаки, методы проникновения и дальнейшая отмывка средств полностью соответствуют ранее зафиксированным схемам, использовавшимся Lazarus Group. В качестве аналогий упоминаются не только похищения с других криптовалютных бирж, но и нападения на международную систему SWIFT с целью перевода средств из банков. BitoPro — крупная криптобиржа, ориентированная прежде всего на тайваньских пользователей. Она поддерживает операции с фиатной валютой (тайваньский доллар, TWD), а также предлагает широкий выбор цифровых активов. На платформе зарегистрировано свыше 800 тысяч пользователей, а ежедневный объём торгов превышает $30 млн. Атака произошла 8 мая 2025 года во время проведения обновления горячего кошелька. Злоумышленники воспользовались уязвимостью старого кошелька, с которого была произведена несанкционированная массовая отправка криптовалюты. Средства были выведены в обход защиты сразу в нескольких блокчейнах: Ethereum, Tron, Solana и Polygon. Похищенные средства начали быстро отмываться с помощью децентрализованных платформ и микшеров: Tornado Cash , ThorChain и Wasabi Wallet. Эти инструменты широко используются хакерами для сокрытия следов и усложнения отслеживания транзакций. Информация об инциденте долгое время не разглашалась. BitoPro официально признала факт взлома только 2 июня, спустя почти месяц. Ключевые операции якобы затронуты не были, а пострадавшие горячие кошельки были оперативно восполнены из резервного фонда. Расследование также показало, что к атаке не были причастны сотрудники компании. Тем не менее хакеры провели сложную операцию социальной инженерии и внедрили вредоносное ПО на устройство сотрудника, отвечающего за управление облачной инфраструктурой. Через заражённую систему злоумышленники получили AWS-сессионные токены — временные ключи доступа к облаку Amazon Web Services, — что позволило обойти даже многофакторную аутентификацию (MFA) и получить административный доступ к облачной среде биржи. Далее управляющий сервер (C2) начал передавать команды вредоносному ПО. На этапе подготовки атаки скрипты внедрялись в систему, обслуживающую горячий кошелёк, что позволило хакерам маскировать свои действия под обычную техническую активность. Когда обновление кошелька было завершено и активы начали перемещаться, злоумышленники синхронно провели вывод средств, сделав это максимально похоже на стандартные внутренние операции, что отсрочило момент обнаружения взлома. После выявления компрометации компания остановила работу платформы и провела ротацию криптографических ключей. Однако утекшие богатства уже, увы, не вернуть. BitoPro сообщила об инциденте соответствующим регулирующим органам и привлекла стороннюю команду специалистов по кибербезопасности для полноценного расследования. Работа была завершена 11 июня. Группировка Lazarus давно известна как один из самых активных и технически оснащённых участников в сфере криптовалютного киберпреступления. Она стоит за рядом крупнейших хищений в отрасли, включая недавнюю кражу на 1,5 миллиарда долларов с платформы Bybit . В том случае речь шла не только о значительном ущербе, но и о продолжении долгосрочной тактики Lazarus по целенаправленным атакам на инфраструктуру Web3, криптобиржи и децентрализованные сервисы финансового обмена.
Команда PT SWARM нашла в Firefox дыру, которую Mozilla не замечала годами
Команда PT SWARM из Positive Technologies сообщила об устранении уязвимости в браузере Firefox, которая могла позволить злоумышленникам обойти механизм безопасной загрузки файлов. Проблему обнаружил сотрудник компании Даниил Сатяев, после чего разработчики Mozilla оперативно выпустили обновления. Уязвимость получила идентификатор CVE-2025-6430 . Её суть заключалась в некорректной обработке заголовка «Content-Disposition», отвечающего за указание браузеру, как следует поступать с загружаемым файлом. В нормальных условиях наличие этого заголовка должно принуждать браузер сохранять файл, а не открывать его напрямую. В результате файлы, предназначенные только для загрузки, могли открываться прямо в окне браузера. Такая ситуация создавала риск атак с внедрением вредоносного кода, включая сценарии с использованием уязвимостей типа XSS. Проблема затрагивала версии Firefox ниже 140, а также корпоративные сборки Firefox ESR младше 128.12. После получения уведомления от Positive Technologies специалисты Mozilla устранили уязвимость и включили необходимые исправления в свежие версии браузера. Подобные недостатки представляют серьёзную угрозу безопасности, особенно для сайтов, которые полагаются на механизм принудительной загрузки файлов для защиты от возможного исполнения контента внутри браузера. Игнорирование заголовка могло приводить к тому, что пользователи, сами того не осознавая, открывали потенциально опасные файлы прямо на веб-странице. Разработчики Mozilla призвали пользователей обновить браузеры до актуальных версий, чтобы минимизировать риск атак, связанных с этой уязвимостью. Компании также порекомендовали пересмотреть логику обработки вложений на своих сайтах, учитывая возможные обходы стандартных защитных механизмов.