Поделиться
BI.Zone: хакеры стали чаще использовать коммерческое ВПО, которое разработчики запретили применять против российских организаций
С начала 2024 г. для атак на российские компании все чаще используется коммерческое вредоносное ПО, разработчики которого запретили применять его против организаций в странах СНГ. Атакующие отключают модуль ПО, который ограничивает возможности атак на территории региона. Такие «пиратские» версии ВПО распространяются на теневых форумах и в Telegram.
В 73% случаев коммерческое ВПО используют финансово мотивированные злоумышленники, которые стремятся получить выкуп от своих жертв или перепродать украденные данные в даркнете. Значительно реже (14%) коммерческий вредоносный софт используют с целью шпионажа, а на долю хактивистов приходится всего 3% подобных атак. Еще в 10% случаев группировки, использующие коммерческое ВПО, руководствуются смешанной мотивацией.
При этом около 5% кластеров активности, атакующих компании из России и стран СНГ с помощью коммерческого ВПО, нарушают предписания разработчиков, запретивших использовать свой софт для атак на организации этого региона. Такие запреты могут быть связаны с тем, что сами разработчики вредоносных программ физически находятся на территории СНГ — они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний.
Тренд на нарушение запретов создателей ВПО и доработку вредоносных программ наметился в 2023 г. и усилился с начала 2024. Его хорошо иллюстрирует деятельность группировки Stone Wolf, которую недавно обнаружили специалисты BI.Zone Threat Intelligence.
Олег Скулкин, руководитель BI.Zone Threat Intelligence, сказал: «Группировка Stone Wolf совершила не менее 9 атак на российские компании с использованием стилера Meduza. По заверениям разработчиков, в него встроен модуль, ограничивающий реализацию атак на территории СНГ. Однако Stone Wolf модифицировала софт, отключив функцию запрета. Доработанный таким образом стилер преступники рассылали во вложениях к фишинговым письмам от лица реальной компании, которая работает в сфере промышленной автоматизации».
К письму прилагался ZIP-архив, в котором содержались файл цифровой подписи, легитимный документ для отвлечения пользователя, а также замаскированная под PDF-файл вредоносная ссылка для загрузки Meduza Stealer. После установки на компьютер жертвы стилер начинал собирать информацию об операционной системе, процессоре, оперативной памяти и других параметрах скомпрометированного устройства, данные браузеров, установленных приложений, электронных кошельков и т.д.
Стилер Meduza появился в продаже на теневых ресурсах в июне 2023 г. по цене $199 за месяц использования, $399 за три месяца или $1199 за бессрочную лицензию. С марта 2024 г. стали доступны дополнительные возможности: например, по цене от $20 можно арендовать выделенный сервер с выбором параметров количества ядер, оперативной памяти и места на диске.
Как правило, когда становится известно о применении того или иного ВПО против компаний в странах СНГ, его продажи блокируют на теневых форумах, а разработчики переносят свою деятельность в Telegram.
Так, в августе 2023 г. команда BI.Zone Threat Intelligence выпустила исследование стилера White Snake. Злоумышленники распространяли вредоносную программу под видом требований Роскомнадзора, атакуя российские компании, несмотря на запрет разработчиков. Вскоре после публикации исследования тему о продаже White Snake на популярном теневом форуме закрыли, и единственной площадкой для распространения стилера остался Telegram-канал разработчика. В настоящее время приобрести программу можно по цене от $200 (1 месяц использования) до $1950 (бессрочная лицензия).
Похожая ситуация сложилась со стилером Rhadamantys, цены на который варьировались от $59 за 1 неделю использования до $999 за бессрочную лицензию. Продажи стилера заблокировали на теневых ресурсах в апреле 2024 г., после того как стало известно, что группировка Sticky Werewolf применяют программу для атак на российские и белорусские организации.
Если злоумышленникам удалось обойти превентивные средства защиты и незаметно проникнуть в инфраструктуру, угрозу важно нейтрализовать до того, как бизнес понесет значительный ущерб. Отследить атаку на ранних стадиях и оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности помогут решения для защиты конечных точек от сложных угроз, например BI.Zone EDR. А обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз помогут данные о ландшафте киберугроз, получаемые из порталов киберразведки, например, BI.Zone Threat Intelligence.
Поделиться
Короткая ссылка
