Под прицелом хакеров оказались корпоративные пользователи — сотрудники крупных компаний и предприятий.
Группа хакеров, известная как Librarian Ghouls, начала кибератаки в декабре 2024 года. Киберпреступники вели активность ночью, с 01:00 до 05:00, атакуя сотрудников производств и технических вузов. Используя преимущественно легальное программное обеспечение, хакеры организовывали масштабные атаки на информационные системы компаний в СНГ и России.
Ночные атаки были направлены на получение удаленного доступа к устройствам и хищение данных для авторизации в учетных записях компаний и предприятий. После того как доступ к системам был получен, хакеры скрыто устанавливали программное обеспечение для майнинга. Предполагается, что хакеры, помимо прочего, использовали фишинговые сайты, имитирующие популярную среди россиян почтовую службу.
Хакеры инициировали атаки, рассылая электронные письма с зараженными архивами. Запуск вредоносного архива приводит к автоматическому копированию его содержимого в системные папки, открывая киберпреступникам доступ к устройству. Такой алгоритм действий позволяет хакерам скрывать свое присутствие в системе.
Злоумышленники активируют вредоносное программное обеспечение в 01:00, а в 05:00 автоматически выключают зараженный компьютер. В течение четырех часов преступники извлекают и пересылают себе учетные записи и криптовалютные ключи.
По завершении атаки хакеры удаляют все следы, стирая файлы и загружая майнинговое ПО, которое затем самоудаляется.
Данный инцидент подчеркивает тенденцию к внедрению в информационные системы организаций через сотрудников. Обеспечение информационной безопасности, создание устойчивой системы защиты данных сегодня — острая необходимость для каждой компании и предприятия.
Читайте также: