Обновление: Статья обновлена с учётом того, что ShinyHunters заявили, что не были причастны к этой деятельности. Материал и заголовк были обновлены.
Злоумышленники, связанные с группой «Scattered Lapsus$ Hunters» (SLH), заявляют, что взломали системы компании по кибербезопасности Resecurity и украли внутренние данные. В то время как Resecurity утверждает, что злоумышленники получили доступ лишь к специально размещённой ловушке (honeypot), содержащей ложную информацию, предназначенную для мониторинга их активности.
Злоумышленники опубликовали скриншоты предполагаемого взлома в Telegram, утверждая, что украли данные сотрудников, внутренние коммуникации, отчёты об угрозах и информацию о клиентах.
«Мы хотим сообщить, что получили полный доступ к системам REsecurity», — написала группа в Telegram, утверждая, что украла «все внутренние чаты и логи», «полные данные сотрудников», «отчёты о киберугрозах» и «полный список клиентов с деталями».
В подтверждение своих заявлений злоумышленники опубликовали скриншоты, которые якобы были украдены из Resecurity, в том числе то, что было похоже на мессенджер для командной работы, Mattermost, на котором зафиксированы коммуникации между сотрудниками Resecurity и представителями Pastebin относительно вредоносного контента, размещённого на платформе обмена текстами.
Злоумышленники, которые называют себя «Scattered Lapsus$ Hunters» из-за предполагаемого объединения групп ShinyHunters, Lapsus$ и Scattered Spider, заявили, что атака была местью за, по их утверждению, продолжающиеся попытки Resecurity использовать социальную инженерию, чтобы узнать больше о деятельности их группы.
Злоумышленники утверждают, что сотрудники Resecurity притворялись покупателями во время продажи предполагаемой базы данных финансовой системы Вьетнама, запрашивая бесплатные образцы и дополнительную информацию.
После публикации этой статьи представитель ShinyHunters сообщил BleepingComputer, что они не были причастны к этой деятельности. Хотя ShinyHunters всегда утверждали, что являются частью группы Scattered Lapsus$ Hunters, они заявили, что не принимали участия в этой атаке.
Мы обновили статью с учётом этой информации.
Resecurity утверждает, что это был ханипот
Компания Resecurity оспаривает утверждения злоумышленников, заявляя, что предполагаемые взломанные системы не являются частью её инфраструктуры, а были специально развернутой ловушкой (honeypot), предназначенной для привлечения и мониторинга злоумышленников.
После того как BleepingComputer связался с Resecurity по поводу этого заявления, компания предоставила отчёт, опубликованный 24 декабря, в котором говорится, что они впервые обнаружили попытку злоумышленника исследовать их открытые публичные системы 21 ноября 2025 года.
Компания заявила, что её команда DFIR (Digital Forensics and Incident Response) рано обнаружила признаки разведывательной активности и зафиксировала несколько IP-адресов, связанных с атакой, включая те, которые поступали из Египта и использовали сервисы VPN Mullvad.
Resecurity сообщает, что они отреагировали на это, развернув аккаунт «honeypot» в изолированной среде, позволив злоумышленнику войти и взаимодействовать с системами, содержащими фальшивые данные сотрудников, клиентов и платёжных транзакций, при этом вся активность находилась под контролем исследователей.
Компания утверждает, что она заполнила ловушку синтетическими данными, созданными таким образом, чтобы они напоминали реальные данные бизнеса. Эти данные включали более 28 000 синтетических потребительских записей и более 190 000 синтетических платёжных транзакций, сгенерированных по официальному формату API Stripe.
По данным Resecurity, злоумышленник начал пытаться автоматизировать эксфильтрацию данных в декабре, создав более 188 000 запросов между 12 и 24 декабря, используя большое количество IP-адресов с прокси-серверов.
Во время этой активности компания собрала телеметрию о тактике, методах и инфраструктуре злоумышленников.
Resecurity утверждает, что злоумышленник кратковременно раскрыл подтверждённые IP-адреса несколько раз из-за сбоев в подключении прокси, и эта информация была передана правоохранительным органам.
После наблюдения за дополнительной активностью, Resecurity заявила, что добавила ещё фальшивые данные, чтобы изучить поведение злоумышленника, что привело к дополнительным нарушениям OPSEC (операционной безопасности) и помогло уточнить инфраструктуру злоумышленников.
Компания сообщает, что позже выявила серверы, используемые для автоматизации атаки через резидентные прокси, и передала информацию правоохранительным органам.
«Как только злоумышленник был локализован с использованием доступной сетевой разведки и временных меток, зарубежная правоохранительная организация, партнёр Resecurity, подала запрос на судебное разбирательство относительно данного злоумышленника», — говорится в заявлении Resecurity.
На момент написания статьи злоумышленники не предоставили дальнейших доказательств, ограничившись новым сообщением в Telegram, в котором говорится, что дополнительная информация появится скоро.
«Хорошая минимизация ущерба, Resecurity. Скоро появится больше информации!», — гласит сообщение в Telegram.
- Источник: https://www.bleepingcomputer[.]com/...-resecurity-hack-firm-says-it-was-a-honeypot/
Злоумышленники, связанные с группой «Scattered Lapsus$ Hunters» (SLH), заявляют, что взломали системы компании по кибербезопасности Resecurity и украли внутренние данные. В то время как Resecurity утверждает, что злоумышленники получили доступ лишь к специально размещённой ловушке (honeypot), содержащей ложную информацию, предназначенную для мониторинга их активности.
Злоумышленники опубликовали скриншоты предполагаемого взлома в Telegram, утверждая, что украли данные сотрудников, внутренние коммуникации, отчёты об угрозах и информацию о клиентах.
«Мы хотим сообщить, что получили полный доступ к системам REsecurity», — написала группа в Telegram, утверждая, что украла «все внутренние чаты и логи», «полные данные сотрудников», «отчёты о киберугрозах» и «полный список клиентов с деталями».
В подтверждение своих заявлений злоумышленники опубликовали скриншоты, которые якобы были украдены из Resecurity, в том числе то, что было похоже на мессенджер для командной работы, Mattermost, на котором зафиксированы коммуникации между сотрудниками Resecurity и представителями Pastebin относительно вредоносного контента, размещённого на платформе обмена текстами.
Злоумышленники, которые называют себя «Scattered Lapsus$ Hunters» из-за предполагаемого объединения групп ShinyHunters, Lapsus$ и Scattered Spider, заявили, что атака была местью за, по их утверждению, продолжающиеся попытки Resecurity использовать социальную инженерию, чтобы узнать больше о деятельности их группы.
Злоумышленники утверждают, что сотрудники Resecurity притворялись покупателями во время продажи предполагаемой базы данных финансовой системы Вьетнама, запрашивая бесплатные образцы и дополнительную информацию.
После публикации этой статьи представитель ShinyHunters сообщил BleepingComputer, что они не были причастны к этой деятельности. Хотя ShinyHunters всегда утверждали, что являются частью группы Scattered Lapsus$ Hunters, они заявили, что не принимали участия в этой атаке.
Мы обновили статью с учётом этой информации.
Resecurity утверждает, что это был ханипот
Компания Resecurity оспаривает утверждения злоумышленников, заявляя, что предполагаемые взломанные системы не являются частью её инфраструктуры, а были специально развернутой ловушкой (honeypot), предназначенной для привлечения и мониторинга злоумышленников.
После того как BleepingComputer связался с Resecurity по поводу этого заявления, компания предоставила отчёт, опубликованный 24 декабря, в котором говорится, что они впервые обнаружили попытку злоумышленника исследовать их открытые публичные системы 21 ноября 2025 года.
Компания заявила, что её команда DFIR (Digital Forensics and Incident Response) рано обнаружила признаки разведывательной активности и зафиксировала несколько IP-адресов, связанных с атакой, включая те, которые поступали из Египта и использовали сервисы VPN Mullvad.
Resecurity сообщает, что они отреагировали на это, развернув аккаунт «honeypot» в изолированной среде, позволив злоумышленнику войти и взаимодействовать с системами, содержащими фальшивые данные сотрудников, клиентов и платёжных транзакций, при этом вся активность находилась под контролем исследователей.
Компания утверждает, что она заполнила ловушку синтетическими данными, созданными таким образом, чтобы они напоминали реальные данные бизнеса. Эти данные включали более 28 000 синтетических потребительских записей и более 190 000 синтетических платёжных транзакций, сгенерированных по официальному формату API Stripe.
По данным Resecurity, злоумышленник начал пытаться автоматизировать эксфильтрацию данных в декабре, создав более 188 000 запросов между 12 и 24 декабря, используя большое количество IP-адресов с прокси-серверов.
Во время этой активности компания собрала телеметрию о тактике, методах и инфраструктуре злоумышленников.
Resecurity утверждает, что злоумышленник кратковременно раскрыл подтверждённые IP-адреса несколько раз из-за сбоев в подключении прокси, и эта информация была передана правоохранительным органам.
После наблюдения за дополнительной активностью, Resecurity заявила, что добавила ещё фальшивые данные, чтобы изучить поведение злоумышленника, что привело к дополнительным нарушениям OPSEC (операционной безопасности) и помогло уточнить инфраструктуру злоумышленников.
Компания сообщает, что позже выявила серверы, используемые для автоматизации атаки через резидентные прокси, и передала информацию правоохранительным органам.
«Как только злоумышленник был локализован с использованием доступной сетевой разведки и временных меток, зарубежная правоохранительная организация, партнёр Resecurity, подала запрос на судебное разбирательство относительно данного злоумышленника», — говорится в заявлении Resecurity.
На момент написания статьи злоумышленники не предоставили дальнейших доказательств, ограничившись новым сообщением в Telegram, в котором говорится, что дополнительная информация появится скоро.
«Хорошая минимизация ущерба, Resecurity. Скоро появится больше информации!», — гласит сообщение в Telegram.
- Источник: https://www.bleepingcomputer[.]com/...-resecurity-hack-firm-says-it-was-a-honeypot/