СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
25.01.2025
#Dev#ИБ

Sophos: «русские» хакеры-вымогатели используют атаки по электронной почте и вишинг

Sophos: русские хакеры-вымогатели используют атаки по электронной почте и вишинг

изображение: recraft

Эксперты по информационной безопасности Sophos сообщили о новой тактике группировок киберпреступников, специализирующихся на вирусах-вымогателях. Две хакерские группы разработали схему, которая позволяет обманом получить удалённый доступ к корпоративным компьютерам, чтобы похитить конфиденциальные данные и прибегнуть к шантажу.

Компания Sophos фиксирует действия угроз, обозначенных как STAC5143 и STAC5777. Последняя связывается с кибергруппировкой Storm-1811, которая известна использованием программы-вымогателя Black Basta и ориентирована на финансовую выгоду. STAC5143 классифицируется как ранее неизвестное направление атак, которое, по оценкам специалистов, может быть связано с деятельностью группы FIN7.

В Sophos отмечают, что обе группы применяют сходные методы: вначале жертву заваливают огромным количеством спам-сообщений, достигающим 3000 писем в течение часа. Затем следует звонок через Teams от человека, который представляется сотрудником ИТ-отдела. Этот «помощник» предлагает установить программы удалённого доступа, такие как Quick Assist, либо активировать совместное использование экрана через Teams. Таким образом злоумышленники получают контроль над устройством жертвы и внедряют вредоносное ПО.

По данным Sophos, атаки этого типа впервые были зафиксированы в ноябре 2024 года. За три месяца зарегистрировано не менее 15 случаев подобных инцидентов, причём значительная часть из них произошла в последние недели. Итогом атак становится похищение данных и вымогательство денег у компаний.

Специалисты подчёркивают, что тактика и инструменты STAC5143 имеют определённое сходство с методами, используемыми FIN7. Компания Sophos оценивает со средней степенью уверенности, что вредоносное ПО на Python, применённое в этих атаках, связано с FIN7 или их субгруппой Sangria Tempest. Обфускация кода и использование инструмента RPivot также указывают на эту связь. Тем не менее цели атак отличаются: STAC5143 нацелена на менее крупные организации из иных бизнес-секторов, чем традиционные жертвы FIN7.

STAC5777 выделяется более активным использованием ручных действий и скриптовых команд, а также применением RDP и средств удалённого управления Windows для распространения в пределах заражённой сети. В одном из зафиксированных случаев был развёрнут вирус-вымогатель Black Basta.

Компания рекомендует ознакомиться с подробным отчётом по теме на официальном сайте.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: