СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
22.04.2025
#ИБ#Инфра

Хакеры используют российский защищенный хост Proton66 для глобальных атак и доставки вредоносного ПО

Хакеры используют российский защищенный хост Proton66 для глобальных атак и доставки вредоносного ПО

изображение: recraft

Специалисты Trustwave SpiderLabs зафиксировали резкий рост попыток вторжений в корпоративные сети по всему миру. Внимание исследователей привлекли IP-адреса, закреплённые за российским поставщиком услуг Proton66, который специализируется на хостинге с усиленной защитой.

По данным, обнародованным 8 января 2025 года, атаки охватывают широкий спектр направлений — от подбора паролей до эксплуатации уязвимостей. Павел Кнапчик и Давид Нестерович, работающие в сфере цифровой безопасности, отметили, что два сетевых блока — 45.135.232.0/24 и 45.140.17.0/24 — демонстрируют особенно высокую активность. По их словам, в некоторых случаях источники трафика до этого не проявляли вредоносной активности либо вообще не использовались более двух лет.

Proton66, как подчёркивают аналитики, тесно связан с другой автономной системой, известной под именем PROSPERO. Эти структуры, согласно сведениям, ранее были замечены в поддержке пуленепробиваемых сервисов, широко рекламируемых на российских форумах, ориентированных на киберпреступников. Об этом ещё в прошлом году сообщила французская компания Intrinsec, занимающаяся анализом цифровых угроз. По её информации, ресурсы под названиями Securehost и BEARHOST предоставляли площадки для размещения как фишинговых страниц, так и серверов управления вредоносными программами.

В числе используемых вредоносных утилит оказались GootLoader и SpyNote. Их контрольные серверы и фейковые сайты также были привязаны к инфраструктуре Proton66. Ранее, в феврале, журналист Брайан Кребс указывал на перемещение части деятельности Prospero в зону ответственности сетей, находящихся под управлением московской компании «Лаборатория Касперского».

Тем не менее, представители компании утверждают, что их участие в этих процессах исключено. В Kaspersky подчёркивают, что отображение технического префикса их автономной системы в маршрутизации — лишь результат взаимодействия с телекоммуникационными операторами. Подобное, по их словам, не означает прямого предоставления сервисов кому-либо и не свидетельствует о сотрудничестве с третьими сторонами.

Ситуация остаётся под наблюдением специалистов. Учитывая охват атак и масштабы вовлечённой инфраструктуры, исследователи призывают организации внимательно отслеживать входящий трафик и оперативно реагировать на признаки потенциального вторжения.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: