11,6 тыс подписчиков

Опасная активность хакеров из room155 в 2025

24 июня 202524 июн 2025

2 мин

Изображение: recraft Аналитики из АО «Будущее» (F6) и группы компаний «Солар» выявили устойчивую активность хакеров из room155, которые с 2022 года целенаправленно атакуют предприятия финансового сектора. По оценке F6, более половины зафиксированных эпизодов (51%) пришлись на банки, страховые и платёжные сервисы. Чуть реже атакующие выбирали транспортную отрасль (16%) и сферу ритейла (10%). Оставшаяся доля инцидентов распределена между промышленными, логистическими, медицинскими и строительными организациями. Согласно отчёту департамента киберразведки F6, злоумышленники из room155 действуют по схожему сценарию: отправляют фишинговые письма, содержащие вредоносные вложения, и устанавливают контроль над заражённой системой с помощью троянов удалённого доступа. В арсенале этой группы замечены такие инструменты, как Revenge RAT, XWorm, Stealerium, DarkTrack, DCRat, AveMaria RAT и VenomRAT. Финальный этап атаки связан с применением шифровальщика LockBit 3.0, после чего операторы требуют вык

Изображение: recraft

Аналитики из АО «Будущее» (F6) и группы компаний «Солар» выявили устойчивую активность хакеров из room155, которые с 2022 года целенаправленно атакуют предприятия финансового сектора. По оценке F6, более половины зафиксированных эпизодов (51%) пришлись на банки, страховые и платёжные сервисы.

Чуть реже атакующие выбирали транспортную отрасль (16%) и сферу ритейла (10%). Оставшаяся доля инцидентов распределена между промышленными, логистическими, медицинскими и строительными организациями.

Согласно отчёту департамента киберразведки F6, злоумышленники из room155 действуют по схожему сценарию: отправляют фишинговые письма, содержащие вредоносные вложения, и устанавливают контроль над заражённой системой с помощью троянов удалённого доступа. В арсенале этой группы замечены такие инструменты, как Revenge RAT, XWorm, Stealerium, DarkTrack, DCRat, AveMaria RAT и VenomRAT. Финальный этап атаки связан с применением шифровальщика LockBit 3.0, после чего операторы требуют выкуп за восстановление доступа.

В компании подчёркивают, что room155 не стремится менять тактику и продолжает использовать одни и те же инструменты, серверы и схемы доставки вредоносов, что может говорить об их высокой эффективности. Представитель F6 обратил внимание, что даже несмотря на схожесть методов с другими вымогательскими группировками, каждая структура демонстрирует собственный набор процедур, что позволяет выделить их в отдельные категории угроз.

Дополнительную информацию о деятельности room155 предоставили специалисты Solar 4RAYS, входящие в структуру группы компаний «Солар». Эксперт центра Антон Каргин отметил, что первые письма с вредоносными архивами, распространяемые группой, были замечены ещё в конце 2024 года. Он уточнил, что содержимое таких писем почти всегда включало исполняемый файл с RevengeRAT, маскируемый под легитимные документы.

По данным аналитиков, room155 активно использует социальную инженерию и рассчитывает на невнимательность пользователей, что позволяет ей стабильно сохранять позиции в числе самых опасных вымогательских групп начала 2025 года.

Оригинал публикации на сайте CISOCLUB: "Хакеры из room155 продолжают вымогательские атаки, сосредоточив усилия на финансовом секторе и используя неизменную тактику".