В России была зафиксирована новая волна атак группировки Mythic Likho на критическую информационную инфраструктуру (КИИ). Злоумышленники разрабатывают уникальные фишинговые сценарии для каждой жертвы, а для доставки вредоносного ПО используют взломанные сайты российских компаний и поддельные ресурсы. Конечная цель – шифрование данных и вымогательство выкупа. Об этом «Газете.Ru» сообщили в пресс-службе компании Positive Technologies.
При подготовке атак хакеры изучают деятельность компании, ее партнеров и сотрудников. Письма приходят якобы от госорганов, ритейлеров или СМИ, причем первые сообщения могут не содержать вредоносных ссылок – так преступники втираются в доверие. В ход идут поддельные документы: договоры, счета, чеки и даже резюме, размещенные на фишинговых или взломанных ресурсах.
Арсенал группировки включает собственные разработки (загрузчики HuLoader и ReflectPulse, бэкдор Loki) и сторонние вредоносные программы. Проникнув в сеть, хакеры крадут учетные данные, перемещаются по инфраструктуре, шифруют ценную информацию и оставляют инструкции по выкупу.
«Mythic Likho в качестве жертв выбирает крупные платежеспособные предприятия, прежде всего из сфер машиностроения, добывающей и обрабатывающей промышленности. Киберпреступники продумывают каждый шаг атаки, используют сложные цепочки доставки ВПО, совершенствуют свои программы и стабильно обеспечивают анонимность вредоносной инфраструктуры», – сказал ведущий специалист группы киберразведки экспертного центра безопасности Positive Technologies Виктор Казаков.
В Positive Technologies прогнозируют, что угроза со стороны Mythic Likho для российских объектов КИИ сохранится надолго.
Ранее выяснилось, что с начала года на Россию обрушились сверхмощные DDoS-атаки.