изображение: recraft
Эксперты по информационной безопасности Sophos сообщили о новой тактике группировок киберпреступников, специализирующихся на вирусах-вымогателях. Две хакерские группы разработали схему, которая позволяет обманом получить удалённый доступ к корпоративным компьютерам, чтобы похитить конфиденциальные данные и прибегнуть к шантажу.
Компания Sophos фиксирует действия угроз, обозначенных как STAC5143 и STAC5777. Последняя связывается с кибергруппировкой Storm-1811, которая известна использованием программы-вымогателя Black Basta и ориентирована на финансовую выгоду. STAC5143 классифицируется как ранее неизвестное направление атак, которое, по оценкам специалистов, может быть связано с деятельностью группы FIN7.
В Sophos отмечают, что обе группы применяют сходные методы: вначале жертву заваливают огромным количеством спам-сообщений, достигающим 3000 писем в течение часа. Затем следует звонок через Teams от человека, который представляется сотрудником ИТ-отдела. Этот «помощник» предлагает установить программы удалённого доступа, такие как Quick Assist, либо активировать совместное использование экрана через Teams. Таким образом злоумышленники получают контроль над устройством жертвы и внедряют вредоносное ПО.
По данным Sophos, атаки этого типа впервые были зафиксированы в ноябре 2024 года. За три месяца зарегистрировано не менее 15 случаев подобных инцидентов, причём значительная часть из них произошла в последние недели. Итогом атак становится похищение данных и вымогательство денег у компаний.
Специалисты подчёркивают, что тактика и инструменты STAC5143 имеют определённое сходство с методами, используемыми FIN7. Компания Sophos оценивает со средней степенью уверенности, что вредоносное ПО на Python, применённое в этих атаках, связано с FIN7 или их субгруппой Sangria Tempest. Обфускация кода и использование инструмента RPivot также указывают на эту связь. Тем не менее цели атак отличаются: STAC5143 нацелена на менее крупные организации из иных бизнес-секторов, чем традиционные жертвы FIN7.
STAC5777 выделяется более активным использованием ручных действий и скриптовых команд, а также применением RDP и средств удалённого управления Windows для распространения в пределах заражённой сети. В одном из зафиксированных случаев был развёрнут вирус-вымогатель Black Basta.
Компания рекомендует ознакомиться с подробным отчётом по теме на официальном сайте.
Оригинал публикации на сайте CISOCLUB: "Sophos: «русские» хакеры-вымогатели используют атаки по электронной почте и вишинг".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.