15 октября 2024. Fingramota.org — Не менее 50 организаций в России с февраля 2023 года по июль 2024 года подверглись атакам хакерской группировки Shadow (известного также как Comet, DARKSTAR) и Twelve, сообщили fingramota.org в пресс-службе компании-разработчика технологий для борьбы с киберпреступлениями F.A.C.C.T.
Там пояснили, что эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. впервые выпустили подробное исследование «Тени не скроются: Расследование атак группировки Shadow» об группе хакеров с уникальным почерком при проведении атак с использованием программ-вымогателей.
В контексте
Термином «программа-вымогатель» называют вредоносную программу, шифрующую важные файлы в локальных и сетевых хранилищах, и не позволяющую владельцу файлов получить доступ к ним и информации в них, вместо этого появляется требование заплатить выкуп за ключ для дешифровки файлов. Шифровка таких программ-вымогателей не позволяет подобрать ключ для их деактивации. Нередко единственный способ восстановить информацию — использовать резервные копии.
Способ действия программ-вымогателей делает их особенно опасными. Другие разновидности вредоносных программ уничтожают или крадут данные, но при этом остается несколько вариантов восстановления. В случае с программами-вымогателями, если нет резервных копий, чтобы восстановить данные, приходится платить выкуп. Нередко, даже получив деньги, злоумышленники не присылают ключ для дешифровки.
«Группа применяла идентичные тактики, техники и процедуры, со временем совершенствуя их, помимо этого, специалистами F.A.C.C.T. выявлен уникальный почерк группы при использовании инструментов, а в ряде атак Shadow и Twelve одного периода времени зафиксирован факт использования общей сетевой инфраструктуры», — рассказали в F.A.C.C.T.
Согласно информации Лаборатории цифровой криминалистики, свою атаку группа начинала с использования уязвимостей в публично доступных приложениях, или через доступы IT-подрядчиков к ресурсам компаний (Trusted Relationship), купленные на закрытых площадках учетные данные, а также через внешние сервисы доступа через Протокол удалённого рабочего стола и VPN, и фишинг.
В контексте
Фишинговое письмо — наиболее распространенная форма кибератаки через почтовые сервисы: получателям рассылаются письма с вредоносным вложением или ссылкой, которые при открытии письма загружают вредоносное программное обеспечение на компьютер или любой другой гаджет, а в других случаях направляют адресата на поддельный веб-сайт. Эти уловки мошенников предназначены для кражи личной информации, паролей, банковских реквизитов у получателей фишинговых писем.
«Протокол удалённого рабочего стола» (от англ. Remote Desktop Protocol, или сокр. RDP) так называют технологию, разработанная для удобного подключения к компьютерам и серверам на базе ОС Windows.
«Одним из фирменных приемов группы стала кража учетных записей в Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление», — отметили в F.A.C.C.T.
Там напомнили, что программы-вымогатели в 2024 году сохраняют за собой первое место в списке главных киберугроз для российских компаний.
Автор: ЕС, fingramota.org
