Поделиться
Хакеры отбросили принятые ограничения и используют в России, здесь же созданное вредоносное ПО
Эксперты по кибербезопасности заметили тренд на нарушение хакерами географических запретов. Обычно киберпреступники не используют вредоносы на той территории, где сами находятся, чтобы вычислить их было сложнее. Однако стилер Meduza атаковал российские предприятия в 2024 г. в половине случаев.
Географические запреты больше не работают
С начала 2024 г. хакеры стали активно атаковать российские промышленные компании с использованием вредоносного ПО (ВПО) для кражи данных – стилера Meduza. Его разработчики ранее системно запрещали использовать в России и странах СНГ, выяснили «Ведомости».
Стилер Meduza появился в продаже в даркнете в июне 2023 г. Кто его создал неизвестно, но территориальные ограничения, по словам руководителя BI.Zone Threat Intelligence Олега Скулкина, хакеры обычно выставляют на тот регион, где они сами и находятся: «Они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний».
Тренд на нарушение географических запретов разработчиков ВПО и доработку хакерских программ наметился в 2023 г. и усилился с начала 2024 г., уточнил представитель BI.Zone.
Жертвы Meduza
По статистике «Лаборатории Касперского», в 2024 г. около половины от всех атак Meduza приходилось на Россию, остальная часть — на США, Германию и Китай. Точные цифры количества атак не приводятся.
BI.Zone сообщил о девяти компаниях промышленной автоматизации в России и СНГ, атакованных в 2024 г. при помощи стилера Meduza. Специалисты «Инфосистемы джет» фиксировали также атаки на транспортную и промышленную отрасль, а F.A.C.C.T. и «Солар» — на энергетические компании.
Хакерская группировка Stone Wolf, например, рассылала вредоносные архивные вложения и легитимные документы-приманки, после открытия которых автоматически активировалась установка Meduza. Зловред давал злоумышленникам доступ к данным расширений браузеров, менеджеров паролей и мог считывать с устройства входящие сообщения с кодами двухфакторной аутентификации, рассказал представитель BI.Zone
Почему нарушаются хакерские ограничения
В июне 2024 г. продавец стилера Meduza был заблокирован на известном теневом ресурсе XSS «за работу по зоне .ру/экс-СССР», так как это запрещено правилами площадки, сказала изданию ведущий эксперт Kaspersky GReAT Татьяна Шишкова.
По данным руководителя отдела защиты информации InfoWatch ARMA Романа Сафиуллина, разработчики Meduza рассказывали о персональных заказах на ВПО и винили заказчиков в нарушении запретов. «Разработчики, по их словам, придерживаются прежней позиции не работать по организациям в СНГ, но на заказчиков повлиять не могут», — сказал Сафиуллин.
Нарушение запрета на использование ВПО на организации из региона разработчика может происходить из-за экономической выгоды или политических или культурных мотивов, полагает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков.
«Злоумышленники варьируют инструментарий для более широкого покрытия объекта атаки и ищут новые варианты обхода средств и методов защиты», — добавил руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы джет» Руслан Амиров.
Киберпреступники изобретают все более изощренные методы. В апреле 2024 г. CNews писал, что полигоном для испытания своих средств взлома и атак хакеры со всего мира сделали развивающиеся страны, где они тестируют новые виды вредоносного ПО.
Поделиться
Короткая ссылка
