Спецпроекты

Безопасность Пользователю Стратегия безопасности

Новая группа ReaverBits атакует российские компании

Специалисты F.A.C.C.T. Threat Intelligence обнаружили новую группу злоумышленников, которые рассылают вредоносные письма по российским организациям от имени разных компаний и министерств. Группе было присвоено название ReaverBits: reaver (в переводе «вор»), поскольку атакующие похищали данные с помощью стилера MetaStealer, шпионского ПО, направленного на кражу конфиденциальной информации с компьютера жертвы, а bits – из-за использования в URL-адресах bitbucket и bitrix. Об этом CNews сообщили представители F.A.C.C.T.

На текущий момент экспертам F.A.C.C.T. известно уже о пяти рассылках группы, две из них были зафиксированы в декабре 2023 г., две — в январе 2024 г., а последняя — в мае 2024 г. Атаки направлены на российские компании из сферы ритейла, телекоммуникаций, процессинговую компанию, агропромышленное объединение, федеральный фонд. Все рассылки были заблокированы системой F.A.С.С.T. Managed XDR, клиенты F.A.C.C.T. получили оперативные уведомления об угрозах с их полным техническим анализом.

Основные черты, характеризующие обнаруженную группу ReaverBits: известные на сегодняшний день атаки со стороны группы были направлены исключительно на российские организации; группа активно применяет спуфинг; злоумышленники используют MetaStealer в качестве нагрузки; в одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.

Короткая ссылка