Пришло время для традиционного ежемесячного обзора «классических» и нетривиальных ИБ-инцидентов. В ноябрьской программе: мстительный бывший устроил саботаж в ИТ-инфраструктуре работодателя, Intel в очередной раз столкнулась с утечкой конфиденциальных данных, а сотрудники японского медиахолдинга опять не распознали фишинг.
УЛЕТЕЛИ НА СЧЕТ
Что случилось: школьный округ в США стал жертвой BEC-атаки и 254 тысячи долларов.
Как это произошло: школьный округ Эксельсиор-Спрингс курировал строительство начальной школы «Корнерстоун». В 2022 году на одном из этапов строительства для школы нужно было заказать новые аудиовизуальные системы. Сотрудники школьного округа обратились за услугами к подрядчику Kansas City Audio Visual (KCAV), с которым ранее уже работали. За свои услуги подрядчик выставил счет в размере 254 тысяч долларов, бухгалтерия школьного округа перечислила указанную сумму, однако деньги так и не дошли до KCAV.
В ходе расследования полиция выяснила, что деньги, причитавшиеся KCAV, улетели на счет компании DK Global Services, которая принадлежит некой Энн Стронг. BEC-атака началась с сотрудника KCAV, который стал жертвой фишинга и открыл злоумышленникам доступ к внутренней информации KCAV. После этого Энн Стронг от лица финансового директора KCAV отправила школьному округу поддельное письмо об оплате услуг.
В письме злоумышленница указала, что деньги подрядчик будет принимать через платежную систему ACH (Automated Clearing House). Этот способ оплаты отличался от стандартного для округа способа оплаты чеком. Также в конце письма стояла подпись Опры Уинфри. Однако бухгалтер округа не заметила подвоха и отправила деньги на указанный счет.
Полиции потребовалось три года, чтобы выследить подозреваемую. Однако вернуть украденные 254 тысячи долларов подрядчику не удалось. Большую часть средств мошенница инвестировала в криптовалюту, а остальные деньги потратила на мелкие покупки. Школьный округ и поставщик KCAV договорились разделить убытки после того, как стало ясно, что украденные средства нельзя вернуть. В настоящее время выдан ордер на арест Энн Стронг, но судебные слушания по делу откладывались уже четыре раза.
ДЕНЬГИ ИЗ ВЕТРА
Что случилось: инженер криптомайнеры к сети работодателя, пока компания справлялась с последствиями кибератаки.
Как это произошло: инженер голландского оператора ветряных электростанций Nordex тайно установил оборудование для майнинга криптовалюты на двух электростанциях. Криптоферма экс-сотрудника проработала с августа по ноябрь 2022 года, криптомайнеры были подключены напрямую к маршрутизатору Nordex на подстанции.
Компания подала на экс-сотрудника в суд. В иске Nordex заявляет, что столкнулась с кибератакой незадолго до обнаружения компьютеров для майнинга криптовалют, которые установил сотрудник. Суд посчитал это отягчающим обстоятельством: инженер, вероятно, знал о проблемах в инфраструктуре после атаки и воспользовался проблемами работодателя в своих целях. Это обернулось для Nordex еще большим ущербом.
В итоге инженера признали виновным в хищении электроэнергии, взломе систем на двух объектах и злоупотреблении доступом. Он получил 120 часов общественных работ.
ОДНА РАБОТА ХОРОША, А ДВЕ...
Что случилось: NetApp бывшего технического директора в корпоративном шпионаже в пользу конкурентов.
Как это произошло: Йон Торгримур Стефанссон проработал в NetApp более 8 лет, перед увольнением он занимал одновременно две должности: технический директор и старший вице-президент. Стефанссон помогал NetApp создавать алгоритмы для управления облачными данными, а также принимал участие в разработке и интеграции облачных решений компании. По словам представителей NetApp, у Стефанссона был доступ к конфиденциальным материалам.
27 июня Стефанссон уволился из NetApp. Через неделю он основал новую компанию Red Stapler, а еще через несколько месяцев прямой конкурент NetApp VAST Data приобрел Red Stapler и назначил Стефанссона генеральным менеджером по облачным решениям. В ноябре 2025 года NetApp подала иск, в котором утверждает, что перед увольнением Стефанссон переманивал сотрудников, похищал коммерческие тайны и развивал конкурирующий бизнес.
Юристы NetApp утверждают, что бывший технический директор нарушил трудовой договор, в котором обязался не участвовать в конфликтующих коммерческих проектах, не переманивать сотрудников или партнеров NetApp в течение года после увольнения, а также не разглашать и не использовать конфиденциальную информацию компании не по назначению. Основанием для обвинений, по мнению NetApp, являются короткие сроки, за которые компания Red Stapler разработала собственные облачные технологии.
В качестве доказательства представители NetApp ссылаются на сообщения, которые указывают на то, что Стефанссон согласился присоединиться к VAST еще в январе. Кроме того, компания обнаружила переписку, в которой Стефанссон обсуждал переманивание сотрудников NetApp перед своим уходом. Также компания ссылается на учетную запись на GitHub под названием «redstapler-is», которая уже была активна, когда Стефанссон еще работал в NetApp. Это может свидетельствовать о том, что проектирование и разработка для Red Stapler велись задолго до официального основания стартапа и, возможно, основывалась на чужих ноу-хау.
NetApp направила Стефанссону письма с требованием прекратить противоправные действия вскоре после обнаружения предполагаемого нарушения, однако после увольнения тот переехал из США в Исландию. Теперь компании предстоит дождаться экс-директора в суде.
(НЕ)УЛОВИМЫЙ МСТИТЕЛЬ
Что случилось: уволенный инженер Intel у компании конфиденциальные данные.
Как это произошло: Цзиньфэн Ло проработал в Intel около 10 лет на должности инженера, однако в июле 2024 попал под волну массовых увольнений. Примерно за неделю до увольнения инженер попытался скачать файлы со своего служебного ноутбука на внешнее устройство, однако встроенные защитные механизмы Intel заблокировали его действия. Спустя три дня сотрудник решил повторить попытку, которая на этот раз оказалась успешной: он перенес данные на свой NAS. Представители компании утверждают, что экс-инженер украл десятки тысяч файлов, среди которых были данные с грифом «Совершенно секретно Intel».
Как и герой предыдущего кейса, после инцидента Ло предпочел скрыться. Компания в течение трех месяцев пыталась связаться с Цзиньфэн Ло, но безуспешно. Экс-сотрудник не отвечал на телефонные звонки и игнорировал электронные и бумажные письма. В итоге Intel подала на него в суд и требует компенсацию в размере 250 тысяч долларов.
Кстати: нарушения со стороны уволенных сотрудников актуальны и для российских компаний, в 2024 году 42% компаний с попытками уволенных сотрудников навредить компании. Подготовили о том, как расстаться с инсайдером по букве закона.
Это не первый случай, когда Intel на экс-сотрудников за кражу данных. В августе 2025 года бывший инженер Intel получил два года условно и штраф в размере 34 тысяч долларов за кражу конфиденциальных данных. Экс-работодатель полагает, что украденные данные помогли инженеру получить новую должность в Microsoft.
WASTED
Что случилось: еще один «обиженный бывший» – на этот раз подрядчик – нанимателю за увольнение и взломал сервер.
Как это произошло: компания Waste Management уволила подрядчика ИТ-отдела Максвелла Шульца. Сотрудник был не согласен с увольнением и решил отомстить экс-работодателю. Вскоре после увольнения Максвелл связался с компанией, выдав себя за другого подрядчика, и получил доступ к учетным данным. Затем он запустил скрипт PowerShell, который сбросил около 2500 паролей, из-за этого тысячи сотрудников не могли получить доступ к рабочим ПК по всей стране. В попытках замести следы взлома Шульц удалил записи журнала событий PowerShell.
В компании не уточняют, как выявили нарушителя. По подсчетам Waste Management, атака Шульца нанесла компании ущерб в размере 862 тысяч долларов (простой сотрудников, перебои в обслуживании клиентов и затраты на восстановление сети после инцидента). Экс-подрядчик признал вину и рассказал, что организовал атаку, поскольку был расстроен увольнением. Теперь ему грозит до десяти лет лишения свободы и штраф до 250 тысяч долларов.
НЕ ОПЯТЬ, А СНОВА
Что случилось: конфиденциальные данные японского медиахолдинга Nikkei (в него, например, входит Financial Times) через аккаунт сотрудника в Slack.
Как это произошло: в сентябре этого года хакеры заразили компьютер сотрудника японского медиахолдинга Nikkei вредоносным ПО и после этого использовали его данные для авторизации в корпоративном Slack. В результате атаки злоумышленники получили доступ к именам, адресам электронной почты и истории чатов. По подсчетам Nikkei, от утечки могли пострадать более 17 тысяч сотрудников и партнеров холдинга, которые используют мессенджер Slack.
После обнаружения инцидента специалисты Nikkei сбросили пароли и отключили подозрительные сессии. Компания утверждает, что редакционные материалы не пострадали в результате инцидента, но хакеры могли получить доступ к деловой переписке с партнерами.
Nikkei периодически страдает от подобных инцидентов. Например, в 2022 году сингапурское подразделение компании стало жертвой с использованием программы-вымогателя, а в 2019 году сотрудник компании стал жертвой и перевел злоумышленникам 29 миллионов долларов со счетов работодателя.
ВАМ ПИСЬМО
Что случилось: Принстонский университет с утечкой данных из-за ошибки сотрудника.
Как это произошло: в ноябре этого года сотрудник университета стал жертвой фишинговой атаки, в результате которой злоумышленники получили доступ к базе данных с личными данными выпускников, спонсоров, преподавателей и студентов.
ИТ-директор университета отметил, что украденная база данных не содержит финансовой информации, учетных данных или другой конфиденциальной информации. Однако злоумышленники получили доступ к данным о всех выпускниках и их супругах, родителях студентов и выпускников, спонсорах, преподавателях и сотрудниках. Представители университета заявили, что заблокировали злоумышленникам доступ к базе данных сразу, как обнаружили подозрительную активность.
Принстонский университет – не единственный в Лиге плюща, кто столкнулся с кибератаками за последнее время. В начале ноября университет Пенсильвании сообщил о том, что от утечки данных. Хакеры использовали социальную инженерию, чтобы скомпрометировать учетные данные сотрудника, а затем с их помощью взломали инфраструктуру университета. Злоумышленники похитили 1.71 ГБ внутренних документов с платформ SharePoint и Box.
ЛЕГКИМ ДВИЖЕНИЕМ РУКИ
Что случилось: сотрудница детского сада более 10 тысяч долларов из корпоративного бюджета на личные нужды.
Как это произошло: детский сад Fuzzy Bear Ministry в штате Индиана обвиняет сотрудницу в нецелевой растрате корпоративных средств. Об инциденте стало известно после того, как руководство детсада объявило о его закрытии в социальных сетях.
В судебном иске говорится, что после проверки финансовой отчетности руководство учреждения выявило многочисленные нарушения, которые свидетельствовали о растрате средств. Виновницей, как выяснилось, была Аврора Доусон: она проработала в детском саду шесть лет и была ответственной за финансы
В ходе расследования правоохранительные органы выяснили, что Аврора потратила более 10 тысяч долларов на различные покупки: компьютерный стол, стиральную машину, матрас, кулер, уличные шезлонги, корм для кошек, ароматические палочки и даже очки для наблюдения за солнечным затмением. Также «финансистка» тратила средства детсада на ремонт своего автомобиля и оплату коммунальных услуг.
