Хакеры начали публиковать IP-адреса атакованных компаний после взлома

Изображение: recraft
Группа хакеров Fog начала размещать в даркнете IP-адреса атакованных организаций, помимо уже украденных данных. Такой способ давления на пострадавших был зафиксирован исследователями из Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»).
Как подчёркивают эксперты, публичный доступ к IP-адресам усложняет ситуацию для пострадавших компаний: компрометация становится очевидной, а угроза вторичных атак — более реальной. Это первый случай, когда группа преступников пошла дальше обычной схемы с шифровкой данных и вымогательством — теперь они активно раскрывают технические данные о жертвах.
По данным специалистов, группа Fog действует в модели Ransomware-as-a-Service — она предоставляет другим преступникам платный доступ к вредоносному инструментарию и инфраструктуре. Впервые её активность была зафиксирована в начале 2024 года. Под удар попали организации, работающие в сферах образования, отдыха, финансов и туризма.
По наблюдениям аналитиков, атаки ориентированы на системы с Windows и Linux. Для проникновения злоумышленники используют похищенные учётные данные и через корпоративные VPN быстро получают доступ к внутренней информации. Как отмечают эксперты, в некоторых случаях весь процесс шифровки занимает не более двух часов.
Игорь Кузнецов, директор Kaspersky GReAT, обратил внимание на серьёзные риски, связанные с новой тактикой группы. Он отметил, что, помимо усиления давления на жертв, публикация IP-адресов открывает дорогу для новых атак. Преступники могут воспользоваться ими для проведения атак перебором данных, подстановкой логинов и паролей, либо задействовать ботнеты для атак на инфраструктуру организаций.
Чтобы снизить риски от подобных киберугроз, специалисты «Лаборатории Касперского» рекомендуют компаниям:
- проводить обучающие занятия по информационной безопасности для сотрудников;
- регулярно создавать резервные копии информации и хранить их в изолированном сегменте;
- устанавливать надёжное антивирусное решение на все рабочие устройства, с доказанной эффективностью;
- применять инструменты класса XDR для отслеживания нетипичной сетевой активности;
- в случае нехватки внутренних специалистов, передавать задачи по мониторингу и реагированию внешним экспертам в сфере информационной безопасности.



