15 апреля 2026 года криптобиржа Grinex, зарегистрированная в Кыргызстане, встала колом после кибератаки с выводом примерно $13,7 млн - около 1 млрд рублей. Площадка публично обвинила «западные спецслужбы», не предоставив ни единого IOC. Для аналитика Threat Intelligence это классический маркер: атрибуция к государственным акторам без технических деталей означает одно - реальный вектор компрометации биржа раскрывать не готова. То ли расследования не было, то ли его результаты слишком неудобны.
Q1 2026 года принёс не только Grinex: на андеграундных форумах и в Telegram-каналах всплыли десятки миллионов строк персональных данных российских пользователей, первые реальные оборотные штрафы за утечки перестали быть теорией, а supply chain атаки начали бить по инструментам безопасности - тем самым, которые должны защищать. Ниже - разбор инцидента с Grinex по MITRE ATT&CK, угрозы утечек баз данных РФ за первый квартал и конкретный detection-чеклист для SOC-аналитиков.
Хронология взлома Grinex: от Garantex к миллиарду рублей
Контекст инцидента невозможно понять без его предшественника. Garantex - российская криптобиржа, попавшая под санкции OFAC в 2022 году. В марте 2025 американские власти заморозили USDT-активы Garantex, формально прекратив её работу. Но по данным Elliptic, средства клиентов начали перетекать на новую площадку - Grinex - через рублёвый стейблкоин A7A5, который сработал мостом между старой и новой инфраструктурой.Масштаб операций A7A5 показателен. По данным TRM Labs, токен предположительно обработал десятки миллиардов долларов совокупного объёма транзакций за 2025 год. К началу 2026 года A7A5, по оценкам аналитиков, стал одним из крупнейших недолларовых стейблкоинов. Торговля концентрировалась на Grinex и кыргызской площадке Meer (TengriCoin).
Санкционное давление нарастало волнами: OFAC (март 2025), Великобритания (август 2025), ЕС в 19-м пакете (октябрь 2025). Суточные объёмы A7A5 просели. Uniswap внёс токен в блок-лист в ноябре 2025. Крупные биржи начали замораживать USDT-депозиты, привязанные к кошелькам A7A5.
И 15 апреля Grinex объявляет о приостановке - по данным Chainalysis, причина: кибератака с выводом $13,7 млн. По информации SecurityBoulevard, площадка возложила ответственность на «западные спецслужбы» без каких-либо индикаторов компрометации.
Что известно о векторе атаки
Grinex не опубликовала технический postmortem. Атрибуция без доказательств - характерный ход для ситуации, когда организация либо не провела расследование, либо его результаты указывают на внутреннюю проблему: компрометацию учётных данных оператора или архитектурную слабость hot wallet.По данным TRM Labs, в 2025 году через взломы криптобирж были похищены миллиарды долларов, включая крупный инцидент с Bybit, составивший значительную долю всех потерь года. Grinex по масштабу скромнее, но для санкционированной площадки с подорванной репутацией - это финальный гвоздь.
Исходя из паттернов атак на криптобиржи за 2025–2026 годы и архитектуры подобных площадок, наиболее вероятные векторы:
- Компрометация валидных учётных данных - Valid Accounts (T1078, Initial Access / Persistence). Атакующий получает доступ к ключам подписи транзакций через фишинг оператора, компрометацию CI/CD или инсайдерский канал. Основной вектор финансовых киберинцидентов Q1 2026
- Эксплуатация публичного приложения - Exploit Public-Facing Application (T1190, Initial Access). API криптобирж - приоритетная цель, особенно если площадка унаследовала кодовую базу от предшественника без полного аудита
- Прямое финансовое хищение - Financial Theft (T1657, Impact). Вывод $13,7 млн - не ransomware, не шифрование, а прямая кража криптовалюты с hot wallet
TTPs атак на криптобиржи: маппинг по MITRE ATT&CK
На основании анализа инцидентов за Q1 2026 и данных TRM Labs выстраивается типовая kill chain для атак на финансовые платформы:| Этап | Техника MITRE ATT&CK | Контекст для криптобиржи |
|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | Эксплуатация API биржи, уязвимости в веб-интерфейсе управления |
| Initial Access / Persistence | T1078 Valid Accounts | Скомпрометированные ключи подписи, украденные API-токены |
| Collection | T1005 Data from Local System | Сбор приватных ключей, конфигов кошельков на сервере |
| Collection | T1213.006 Databases | Выгрузка пользовательских баз, транзакционных логов |
| Collection | T1560 Archive Collected Data | Упаковка данных перед выводом |
| Exfiltration | T1041 Exfiltration Over C2 Channel | Вывод данных через C2 или прямой вывод криптоактивов on-chain |
| Impact | T1657 Financial Theft | Хищение криптовалюты с hot wallet |
| Defense Evasion | T1070 Indicator Removal | Очистка логов, удаление следов доступа к signing keys |
Каждая техника подтверждена паттернами реальных инцидентов. T1657 - прямой вывод средств, как в Grinex. T1078 - компрометация легитимных учётных данных, основной вектор по статистике TRM Labs. T1070 - систематическая зачистка следов, которая объясняет, почему Grinex не смогла (или не захотела) предоставить IOC.
Утечки баз данных РФ Q1 2026: что сейчас ломают
Взлом Grinex - один инцидент на фоне масштабной картины компрометации персональных данных. По данным Ведомостей, за 2025 год в открытый доступ попала 61 утечка с 36,5 млн записей. По оценке Cyberbird Fintech Group (источник - RBC), за тот же период скомпрометировано более 767 млн записей. Разница между источниками - двадцатикратная. Методологии подсчёта различаются, но тренд однозначен: объёмы растут, и растут быстро.Q1 2026 продолжил эту траекторию. На андеграундных форумах и в Telegram всплыли крупные дампы с данными российских пользователей - общий объём исчисляется десятками миллионов строк. Продажа баз данных в даркнете стала рутиной: парсинг типичного Telegram-канала с утечками за один квартал даёт от 30 до 50 уникальных дампов с полями вида ФИО + телефон + email + хэш пароля.
Оборотные штрафы: регуляторный контекст
С начала 2026 года регуляторное давление вышло на новый уровень:| Нарушение | Штраф |
|---|---|
| Неуведомление об инциденте | 1–3 млн рублей [согласно ст. 13.11 КоАП РФ, требует верификации актуальной редакции] |
| Утечка данных (по масштабу) | 3–15 млн рублей [согласно ст. 13.11 КоАП РФ, требует верификации актуальной редакции] |
| Повторное нарушение | 1–3% выручки, до 500 млн рублей [согласно поправкам к ст. 13.11 КоАП РФ, требует верификации актуальной редакции] |
Верховный суд, по имеющимся данным, с начала 2026 года подтвердил: за утечку данных полностью отвечает оператор, даже если обработку проводил внешний подрядчик [номер и дата постановления Пленума ВС РФ требуют верификации]. Для SOC-команд в банках и финтехе это конкретный сигнал: мониторить нужно не только собственную инфраструктуру, но и подрядчиков. Threat Intelligence в части утечек данных теперь напрямую бьёт по финансовому результату компании.
Supply chain как мультипликатор ущерба
Q1 2026 показал, что цепочка поставок бьёт по инструментам безопасности изнутри. Атака на Trivy (CVE-2026-33634, CVSS 9.4 CRITICAL, CWE-506 - Embedded Malicious Code; включена в CISA KEV 2026-03-26, подтверждена активная эксплуатация) привела к каскадной компрометации: через скомпрометированные credentials мейнтейнера был опубликован вредоносный Trivy v0.69.4, выполнен force-push 76 из 77 тегов в aquasecurity/trivy-action и подмена всех 7 тегов в aquasecurity/setup-trivy. Встроенный инфостилер собирал облачные токены и SSH-ключи прямо в процессе сборки. Атака распространилась на Checkmarx и LiteLLM - инструменты безопасности сами стали вектором. Иронично, но закономерно.Параллельно в axios раскрыли SSRF-уязвимость CVE-2025-27152 (CVSS 7.7 HIGH, CWE-918 - Server-Side Request Forgery): при передаче абсолютных URL axios игнорировал baseURL и отправлял запрос на произвольный хост, открывая путь к SSRF и утечке учётных данных. Уязвимость исправлена в версии 1.8.2. При десятках миллионов загрузок axios в неделю даже такая уязвимость (не supply-chain в чистом виде) создаёт огромную поверхность атаки.
Для финансового сектора supply chain - не абстрактная угроза. Скомпрометированная зависимость в production-среде процессинга открывает путь к hot wallet ровно так же, как прямая эксплуатация API.
SOC расследование инцидентов: detection-чеклист
Требования к окружению
- SIEM: Elastic SIEM 8.x / Splunk Enterprise 9.x / любая платформа с поддержкой Sigma
- Источники логов: WAF, API Gateway, события аутентификации (AD/LDAP/OAuth), сетевой трафик (NetFlow/DNS)
- TI-фиды: OSINT (abuse.ch, OTX AlienVault); для крипто - интеграция Chainalysis/TRM Labs
- Для парсинга дампов: Python 3.10+, минимум 8 ГБ RAM при обработке крупных CSV/JSON
Чеклист: что проверить прямо сейчас
1. Аномалии аутентификации к критическим сервисам (T1078)Коррелируйте логины к key management, wallet API, signing services с baseline:
YAML:
title: Anomalous Auth to Financial Critical Systems
logsource:
category: authentication
detection:
selection:
target_service|contains:
- 'wallet-api'
- 'key-management'
- 'signing-service'
condition: selection | count(source_ip) by user > 3
timeframe: 1h
level: high2. Массовая выгрузка из БД (T1213.006). Алерт на SELECT-запросы к таблицам с пользовательскими данными, превышающие baseline по объёму выборки или времени выполнения. Нетипичный пользователь БД в нерабочее время - немедленная эскалация.
3. Архивация на серверах без cron-задачи (T1560). Создание tar/zip/7z на продакшн-серверах вне штатных процессов бэкапа - в сочетании с последующим сетевым соединением наружу (T1041) - прямой индикатор эксфильтрации.
4. Очистка audit log (T1070). Мониторинг событий удаления syslog, изменения политик ротации логов, обнуления журналов аутентификации вне maintenance window.
5. Скомпрометированные легитимные хосты. Блок, который часто пропускают: атакующий, получивший доступ через T1078, действует от легитимного хоста с легитимными правами. Стандартные правила на «внешний IP» или «новый процесс» тут не сработают. Нужен поведенческий baseline: объём запросов к API за смену, частота обращений к signing service, время активности пользователя. Отклонение от baseline - алерт.
Ограничения подхода
Sigma-правило выше ловит аномалию по количеству source_ip за час. Если атакующий работает с одного IP (скомпрометированный VPN-аккаунт сотрудника) - правило не сработает. В таком случае нужен второй слой: корреляция времени доступа с графиком работы пользователя и baseline объёма транзакций. Для Elastic это реализуется через ML-job, для Splunk - через| anomalydetection или кастомный SPL с | eventstats.Decision tree: реагирование на алерт
| Условие | Действие |
|---|---|
| Логин к key management с нового IP/устройства | Блокировка сессии, верификация через второй канал |
| Аномальный объём SELECT из production DB | Snapshot БД, проверка пользователя, изоляция |
| Архив на сервере без штатной cron-задачи | Карантин хоста, анализ parent process |
| Удаление audit log вне maintenance | Эскалация на L3, snapshot памяти, full forensic |
| Легитимный пользователь с нетипичным паттерном | Тихий мониторинг + параллельная верификация |
Incident response криптобиржа: lessons learned
Из разбора Grinex и финансовых киберинцидентов Q1 2026 вытекают уроки, применимые далеко за пределами крипторынка.Hot wallet сегментация. Биржа, хранящая $13,7 млн в горячем кошельке с одним контуром доступа - архитектурная ошибка на уровне проектирования. Multisig с geographic distribution подписантов, HSM для приватных ключей, time-lock на крупные транзакции - необходимый минимум для любой организации, работающей с финансовыми активами.
Наследование инфраструктуры = наследование уязвимостей. Grinex унаследовала клиентскую базу Garantex через A7A5. Часть кодовой базы, конфигураций и, возможно, скомпрометированных секретов перешла вместе с ней. При миграции на новую платформу - полный аудит унаследованного кода и ротация всех секретов. Без исключений.
Атрибуция без IOC - красный флаг. Когда организация обвиняет государственных акторов, не предоставляя хэшей, IP-адресов, timeline - расследование либо не проведено, либо его результаты неудобны. Для SOC-команд, анализирующих инцидент извне, отсутствие IOC означает: проверить собственную инфраструктуру на те же TTPs не получится. Приходится работать по аналогии.
Мониторинг supply chain. CVE-2026-33634 (Trivy, CVSS 9.4, активно эксплуатируется - CISA KEV) показал: инструменты безопасности сами становятся вектором. Dependency pinning, верификация хэшей CI/CD-артефактов, мониторинг npm/PyPI на аномальные публикации - для финансового сектора это не рекомендация, а требование.
Регуляторный риск как драйвер бюджета. Оборотные штрафы до 500 млн рублей - конкретный аргумент для CISO при обосновании расходов на detection и incident response. Каждая пропущенная утечка теперь имеет финансовую стоимость, привязанную к выручке.
За два года работы с дампами из криптобиржевых утечек - от мелких DEX до площадок уровня Garantex - я вижу один и тот же паттерн: плоская структура доступа, отсутствие сегментации между hot и cold wallet, один-два человека с правами на подпись транзакций без мультифакторной верификации. Grinex, судя по скорости вывода $13,7 млн, не стал исключением. Атакующему достаточно одного скомпрометированного ключа - и архитектура рушится за минуты.
Меня не удивляет, что биржа обвинила спецслужбы: признать архитектурную уязвимость by design - значит признать, что миллиард клиентских рублей лежал за одной дверью.
Для SOC-команд в финансовом секторе главный урок Q1 2026 не в конкретном CVE и не в конкретном акторе, а в системном вопросе: если ваш detection pipeline не покрывает все события доступа к критическим активам в реальном времени - вопрос не «будет ли утечка», а когда именно вы о ней узнаете. Из алерта или из Telegram-канала с дампами. Если у вас другой стек детекции и нужно адаптировать эти Sigma-правила под конкретный SIEM - на codeby.net в тематическом треде по финансовым инцидентам разбираем варианты для разных платформ.
