На АТОЛ напали и вынесли сотни гигабайт данных

На АТОЛ напали и вынесли сотни гигабайт данных

На АТОЛ напали и вынесли сотни гигабайт данных

Производителя облачных касс и банковских терминалов — компанию АТОЛ атаковали киберпреступники. Сначала хакеры взломали сервера, потом разослали спам клиентам и партнерам, а в финале выложили базы данных в Сеть. В “АТОЛе” утверждают, что слитые сведения устарели.

Сайт ООО АТОЛ (“Автоматизация Торговли и Логистики”) перестал работать еще накануне, обратили внимание в “Ъ”. Также не отвечал портал облачных касс для онлайн-торговли. Почти сразу в профильных каналах стали писать о слитой базе данных организации.

По сведениям Telegram-канала “In2security”, файл содержит почти 160 тыс. строк информации о клиентах и партнерах компании, включая персональные данные (электронные адреса, ФИО и телефоны).

“Кроме базы клиентов, злоумышленники выложили довольно значительный объем информации, включая исходники веб-ресурсов, логи, скрипты, внутреннюю документацию, в том числе сканы актов о поставке оборудования, прочие базы данных, например, список участников форума, а также иные сведения, — пишут исследователи безопасности. — Общий объем запакованных архивов составляет порядка 9 гигабайт. А в распакованном виде все это переваливает уже за сотню гигабайт”.

АТОЛ признал взлом ИТ-сервисов, “вследствие которого менее 5% клиентов и партнеров получили спам-сообщения, а ряд сайтов был недоступен”.

При этом в компании заверили, что злоумышленники не получили доступ к клиентским и партнерским данным.

“Мы оперативно устранили уязвимость и принимаем дополнительные меры к тому, чтобы в дальнейшем эта ситуация не повторилась”, — заявил официальный представитель организации.

Позже слив баз АТОЛу пришлось всё-таки признать. В ответе на запрос РБК пресс-служба, помимо классического “программное обеспечение и клиентское оборудование компании продолжают работать в нормальном режиме”, добавляет:

“Часть базы данных, которая используется компанией в маркетинговых целях, попала в руки хакеров и была слита в Сеть. При этом до 70% этих сведений не являются актуальными и относятся к деятельности компании между 2007 и 2016 годами”.

При этом основатель сервиса мониторинга утечек DLBI Ашот Оганесян утверждает, что большая часть опубликованных данных датирована 31 января, что говорит о вероятном доступе к серверу баз данных.

Хакеры также сделали рассылку сообщений клиентам и партнерам от лица компании. АТОЛ отправил им предупреждение о спаме.

“Мы оперативно отреагировали на атаку и дополнительно усилили контур безопасности. Компания АТОЛ исполняет все требования законодательства с точки зрения информирования соответствующих государственных органов об инцидентах”, — отметили в АТОЛ.

Злоумышленники атаковали АТОЛ через основной сайт, а затем заблокировали доступ к базам, изменив учетные данные для подключения, считает аналитик центра мониторинга и противодействия кибератакам IZ:SOC компании “Информзащита” Шамиль Чич.

По его мнению, хакеры также могли зашифровать данные сайта, а выгруженная в Сеть информация необходима для подтверждения инцидента и запроса выкупа.

Компания АТОЛ специализируется на разработке и поставке оборудования и программного обеспечения для автоматизации работы ретейла, а также сферы услуг и онлайн-касс. Ее клиенты — сеть аптек “Ригла”, Burger King и ЦУМ.

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru