Disney взломал хактивист: доступ получил через поддельный ИИ-инструмент

Disney взломал хактивист: доступ получил через поддельный ИИ-инструмент

Disney взломал хактивист: доступ получил через поддельный ИИ-инструмент

25-летний житель Калифорнии Райан Митчелл Крамер признал вину в кибератаке на компанию Disney. По данным Минюста США, он незаконно получил доступ к корпоративным системам и угрожал нанести ущерб, выдавая себя за участника хактивистской группировки под названием NullBulge.

Атака произошла летом 2024 года. Disney начала внутреннее расследование после того, как некая группа NullBulge заявила о краже 1,1 ТБ данных из внутренних Slack-каналов компании.

В руках злоумышленников оказались сообщения, данные о проектах, которые ещё не вышли, логины, пароли и даже исходный код.

NullBulge позиционировали себя как борцов за права художников и справедливую оплату труда, но, как выяснилось, всё было не так благородно.

По информации аналитиков из SentinelOne, действия Крамера больше напоминали типичную киберпреступность: он распространял вредоносный код через популярные платформы вроде GitHub и Hugging Face, маскируя его под инструменты для создания ИИ-арта.

В случае с Disney всё началось с того, что один из сотрудников скачал поддельный ИИ-инструмент на личный компьютер. Через этот заражённый девайс Крамер получил доступ к корпоративному Slack-аккаунту сотрудника, а затем — ко множеству внутренних каналов Disney.

Обнаружив, сколько информации ему удалось получить, он попытался шантажировать сотрудника, а после игнорирования — слил в Сеть как его персональные данные, так и корпоративную информацию.

После утечки Disney, по слухам, отказалась от использования Slack внутри компании. А вот сам сотрудник, с устройства которого всё началось, лишился работы за нарушение политики безопасности и подал на Disney в суд за несправедливое увольнение.

Крамер также признался во взломе как минимум двух других жертв, чьи имена не разглашаются. Ему грозит до 10 лет лишения свободы — по две уголовные статьи, каждая из которых предусматривает до пяти лет.

И, как добавляют американские власти, это не единственная хакерская история, связанная с Disney за последнее время: месяц назад бывший сотрудник Disney World получил три года тюрьмы за попытку вмешательства в работу серверов и изменения внутренних меню.

Solar inRights начнёт блокировать учётки, чьи пароли утекли в даркнет

ГК «Солар» выпустила Solar inRights 3.11 — новую версию системы управления доступом, которая умеет автоматически реагировать на утечки корпоративных логинов и паролей. Система интегрирована с сервисом мониторинга внешних угроз Solar AURA.

Он ищет учётные данные сотрудников в открытых источниках и даркнете, после чего Solar inRights проверяет, действуют ли они во внутренних системах компании.

Если найденная связка совпадает с актуальной корпоративной учётной записью, доступ блокируется, а служба ИБ получает уведомление.

Сценарий вполне жизненный: сотрудник использовал рабочую почту и знакомый пароль на стороннем сайте, база утекла, а злоумышленник решил проверить, не подойдёт ли эта комбинация к корпоративной системе. Если пароль повторяется, вход может выглядеть совершенно легитимно.

По данным исследования «Солара», у одной крупной российской компании в открытых и теневых источниках в среднем обнаруживается более 600 уникальных корпоративных учётных записей. При этом только около 4% записей напрямую указывают на компрометацию инфраструктуры. Остальные тоже нельзя считать безобидными: старый добрый повтор пароля способен быстро превратить внешнюю утечку во внутренний инцидент.

Yandex Cloud ранее сообщал, что в первом полугодии 2025 года использование действительных учётных записей встречалось в 54% из более чем 25 тыс. попыток атак на облачные и гибридные инфраструктуры.

Раньше между обнаружением пароля в даркнете и блокировкой учётки могло пройти немало времени — особенно если данные сверяли вручную. Теперь этот промежуток пытаются сократить до минимума.

В версии 3.11 также обновили поиск, фильтры заявок и шаблоны интеграции с Active Directory, Exchange и 1С. Но главное здесь всё же другое: пароль ещё не успели использовать, а дверь перед ним уже захлопнулась.

RSS: Новости на портале Anti-Malware.ru