Госорганизации и компании России под атакой новой кибергруппировки
Экспертный центр безопасности Positive Technologies обнаружили кибергруппировку, атакующие компании из России и ближнего зарубежья. Новая группировка занимается распространением опасного вредоносного программного обеспечения (ПО), хакеры целенаправленно атакуют предприятия и госорганы.
Новая группировка кибермошенников
Компания Positive Technologies обнаружила группировку Lazy Koala (в переводе «Ленивая Коала»), которая атакует российские предприятия и госорганизации с использованием инструментов для шпионажа и кражи конфиденциальной информации. Как сообщили изданию CNews, в Positive Technologies группировку Lazy Koala назвали из-за ее элементарных техник и имени пользователя Koala, который управлял Telegram-ботами с украденными данными. Связей с уже известными группировками, использующими такие же техники, компании установить на начало апреля 2024 г. не удалось.
По данным Positive Technologies, преступники используют простые, но эффективные техники атак. В рамках исследования угроз специалисты экспертный центр безопасности PT Expert Security Center (PT ESC) обнаружил серию атак, направленных на организации из России, Белоруссии, Казахстана, Узбекистана, Киргизии, Таджикистана и Армении. Жертвами атак стали государственные и финансовые компании, а также медицинские и образовательные учреждения из перечисленных стран.
Злоумышленники из Lazy Koala инвестирует серьезные финансовые и интеллектуальные ресурсы в развитие своего инструментария. Проработанные на высоком технологичном уровне архитектура и транспортная система позволяют ее бэкдору незаметно действовать в скомпрометированной инфраструктуре в течение долгого времени с целью шпионажа и кражи конфиденциальной информации или получения важных данных.
По данным Positive Technologies, на 4 апреля 2024 г. скомпрометировано порядка 867 учетных записей сотрудников. Основной целью хакеров была кража учетных записей от различных сервисов с компьютеров сотрудников госорганизаций. Эти данные преступники, вероятно, намерены использовать в дальнейших атаках уже на внутренние структуры компаний. Украденная информация также может быть продана на рынке киберуслуг в даркнете, отмечают эксперты по ИБ.
Бэкдор
Программа для доступа к компьютеру, серверу или другого устройства путем обхода аутентификации называется бэкдор. Утилиты родственны официальным программам для удаленного администрирования, но функциональность их обыкновенно шире. Кроме непосредственного управления процессами на уровне системы и даже BIOS, бэкдоры могут воровать персональные данные пользователя, скачивать и отправлять по сети файлы, открывать доступ для вирусов и червей, подключаться к удаленным хостам, превращать компьютер в «зомби», делая его частью ботнета, и все это незаметно.
«Хакеры Lazy Koala не прибегает к изощренному инструментарию, тактикам и техникам, но при этом добивается успеха. Их основное оружие - примитивный стилер, написанный на языке Python, который, по нашим предположениям, распространяется при помощи старого доброго фишинга. Мошенники убеждают жертву открыть вложение и запустить нужный файл в браузере», - рассказал руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов.
Бэкдор от Lazy Koala хорошо маскируется, а имена его исполняемых файлов похожи на названия легального ПО. Установленный на зараженных машинах, ряд образцов имеет действительную цифровую подпись. Разработчики Lazy Koala скрыли вредоносный код от анализа и детектирования с помощью упаковщиков разных видов, которые сжимают файлы, чтобы максимально усложнить обнаружение зловредного ПО.
Обнаружить подобные атаки на 2024 г. можно с помощью специализированных средств защиты, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов. Так, система MaxPatrol SIEM может обнаружить не только ключевое событие, но и предшествующие этапы. Также можно выявить подобные атаки с помощью систем для защиты конечных точек, таких как MaxPatrol EDR. Система поведенческого анализа сетевого трафика PT NAD обнаруживает обращения к Telegram API. Песочница PT Sandbox детектирует действия группировки за счет правила, написанного под эту APT-группировку.
Даркнет
На 2024 г. даркнетом называют зашифрованную часть интернета, которая не видна широкой публике через традиционные поисковые системы, такие как Google. Также известная как черный интернет, темная паутина составляет большую часть незаконной деятельности в интернете. В меньшей степени он также используется по законным причинам законными пользователями, например теми, кто хочет защитить конфиденциальность определенной информации, или людьми, желающими присоединиться к эксклюзивному онлайн-клубу или социальной сети.
Темная паутина - это небольшая, менее доступная часть всемирной паутины. У сайтов есть одна общая черта: ни один из них нельзя найти в результатах поисковых систем. Основное различие между ними заключается в том, как осуществляется доступ к их содержимому. Страницы общей паутины могут быть доступны любому пользователю обычного браузера, который знает URL-адрес. В отличие от них, страницы темного интернета требуют специального ПО и знаний о том, где найти содержимое.
Индексы ссылок на веб-сайты позволяют компании Google и другим поисковым системам возвращать релевантные результаты, когда пользователь вводит ключевое слово в строку поиска. Сайты в темной паутине не индексируются поисковыми системами. Вместо этого темная паутина использует информацию из индивидуальных учетных записей электронной почты или социальных сетей, баз данных и документов, чтобы предоставить пользователям доступ.
Кибербезопасность для бизнеса
В 2023 г. киберэкономика росла экспоненциально быстрее, чем мировая экономика, даже опережая рост технологического сектора, и на это есть веские причины. Всемирный экономический форум прогнозирует, что отсутствие кибербезопасности станет одним из главных мировых рисков в ближайшие два года, сразу после дезинформации, экстремальных погодных условий и социальной поляризации.
На 2024 г. проблемы, создаваемые злоумышленниками в интернете и хакерами одиночками, становятся все больше и сложнее по мере развития облачных вычислений, интернета вещей (IoT) и генеративный искусственного интеллекта (ИИ), который угрожает усилить мошенничество, кражу данных и атаки программ-вымогателей. Для того чтобы быть на шаг впереди, компании, занимающиеся кибербезопасностью, также инвестируют в ИИ, используя инструменты, которые не только выявляют скрытые угрозы, но и активно выявляют критически важные данные и открытые лазейки, которые хакеры могут использовать для их получения.
В Positive Technologies посоветовали пользователям не открывать подозрительные письма, не переходить по неизвестным ссылкам, не загружать ПО с непроверенных сайтов и торрент-площадок, пользоваться лицензионными версиями из доверенных источников. Организациям же следует информировать сотрудников о различных видах фишинга и новых схемах мошенничества.