Polymarket, Wells Fargo, GitHub RCE — день масштабних витоків

Підсумок

Сьогоднішній ландшафт загроз визначається високою кількістю опортуністичних витоків даних, спрямованих на державний та освітній сектори, особливо в Індонезії та Латинській Америці, а також значними витоками у фінансовому секторі. Фахівцям із захисту слід першочергово закрити критичну вразливість RCE у GitHub (CVE-2026-3854) та враховувати, що варіант програми-вимагача VECT 2.0 тепер діє як деструктивний віпер, унеможливлюючи відновлення файлів для жертв. Повернення бразильської групи LofyGang із новим стилером, націленим на Minecraft, свідчить про подальший перехід до кампаній шкідливого ПЗ, пов'язаних з іграми.

Сьогоднішні події

Хвиля ймовірних витоків даних домінувала у звітах, причому кілька гучних інцидентів потребують негайної уваги. Найпомітнішим є ймовірний повний витік API Polymarket.com — американської платформи ринку прогнозів, де актор xorcat стверджує, що отримав доступ до понад 300 000 записів. Окремо актор RubiconH4ck заявляє про злам Wells Fargo, стверджуючи про базу даних на 4,6 мільйона записів. Ці інциденти у фінансовому секторі підкреслюють постійне націлювання на сховища даних високої цінності.

Державний та освітній сектори залишаються під інтенсивними атаками. В Індонезії кілька акторів заявили про злами бази даних поліції Індонезії (JAX7), Міністерства охорони здоров'я (Citizen) та кількох університетів, зокрема Universitas Gadjah Mada (Mr. Hanz Xploit). У Франції актори заявили про злами paris.fr (430 тис. записів, Data Breach VIP), MONDIAL RELAY та URSSAF (hackplanete). Гватемала зазнала значного ймовірного витоку RENAP (18 млн записів) та SAT (5,6 млн транспортних засобів) від актора GordonFreeman.

Галузевий аналіз надає критичний контекст цим подіям. Дослідники розкрили CVE-2026-3854 — критичну вразливість впровадження команд у GitHub.com та GitHub Enterprise Server (CVSS 8.7), яка дозволяє автентифікованим користувачам виконувати віддалений код за допомогою одного git push. Microsoft підтвердила активну експлуатацію CVE-2026-32202 — вразливості спуфінгу оболонки Windows. Крім того, мисливці за загрозами попереджають, що програма-вимагач VECT 2.0 безповоротно знищує файли розміром понад 131 КБ у Windows, Linux та ESXi, функціонуючи як віпер. Бразильська група LofyGang повернулася після трьох років із новим стилером LofyStealer, націленим на гравців Minecraft.

Сигнали ландшафту загроз

Помітна концентрація акторів: NoName057(16) відповідає за 16 DDoS-подій, а BABAYO EROR SYSTEM заявляє про 11 подій, переважно спрямованих на індонезійські об'єкти. Найбільше постраждалими країнами стали США (26 подій), Велика Британія (14) та Індонезія (13). Категорія витоків даних (68 подій) значно перевищує програми-вимагачі (21) та DDoS (43), що свідчить про зміщення акценту на викрадення даних та вимагання, а не на атаки на основі шифрування. Велика кількість ймовірних витоків у державному управлінні та освіті — особливо в Індонезії та Латинській Америці — вказує на те, що актори вважають ці об'єкти легкими цілями зі слабким захистом. Поява деструктивних варіантів програм-вимагачів, таких як VECT 2.0, та повернення LofyGang підкреслюють еволюцію багатовекторного середовища загроз, де традиційні стратегії відновлення можуть бути неефективними.