12/11/20
Специалисты компании KELA обнаружили киберпреступную группировку, продающую административный доступ к сетям Пакистанских международных авиалиний. Доступ продается на двух русскоязычных и одном англоязычном подпольном форуме за $4 тыс.
Группировка была обнаружена во время расследования деятельности операторов вымогательского ПО. В частности, специалистов интересовала роль продавцов доступа в развертывании столь популярного сейчас вредоносного ПО.
«Мы отслеживали киберпреступную группу, на прошлой неделе выставившую на продажу доступ к сети Пакистанских международных авиалиний. В большинстве случаев мы видим, что киберпреступники покупают этот первоначальный доступ, чтобы обеспечить себе возможность бокового перемещения в сети с целью повышения привилегий и возможного развертывания вымогательского ПО или какой-либо другой атаки», - сообщили специалисты KELA изданию Infosecurity Magazine.
Через неделю после выставления на продажу доступа к сетям авиакомпании киберпреступники также заявили о продаже похищенных из них баз данных. Злоумышленники опубликовали предположительный образец украденных данных, в том числе «информацию обо всех людях, пользующихся услугами пакистанской авиакомпании, включая имена, фамилии, номера телефонов, паспорта». По словам продавцов, они продают порядка 15 баз данных, все с разным количеством записей – от 50 тыс. до 500 тыс. записей.
Если верить злоумышленникам, они дважды атаковали одну и ту же жертву, используя полученный им доступ к сети авиакомпании для похищения данных. Исследователи KELA отслеживают группировку с июля 2020 года, и за это время она выставила на продажу доступ к 38 сетям по совокупной цене не менее $118,7 тыс. «Мы знаем, что у них больше возможностей доступа, чем они предлагают в частном порядке», – сообщили специалисты KELA.
