Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры стали чаще использовать коммерческое ВПО, которое разработчики запретили применять против российских организаций

30/08/24

Бай Зона

С начала 2024 года для атак на российские компании все чаще используется коммерческое вредоносное ПО, разработчики которого запретили применять его против организаций в странах СНГ. Атакующие отключают модуль ПО, который ограничивает возможности атак на территории региона. Такие «пиратские» версии ВПО распространяются на теневых форумах и в Telegram.

В 73% случаев коммерческое ВПО используют финансово мотивированные злоумышленники, которые стремятся получить выкуп от своих жертв или перепродать украденные данные в даркнете. Значительно реже (14%) коммерческий вредоносный софт используют с целью шпионажа, а на долю хактивистов приходится всего 3% подобных атак. Еще в 10% случаев группировки, использующие коммерческое ВПО, руководствуются смешанной мотивацией.

При этом около 5% кластеров активности, атакующих компании из России и стран СНГ с помощью коммерческого ВПО, нарушают предписания разработчиков, запретивших использовать свой софт для атак на организации этого региона. Такие запреты могут быть связаны с тем, что сами разработчики вредоносных программ физически находятся на территории СНГ — они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний.

Тренд на нарушение запретов создателей ВПО и «доработку» вредоносных программ наметился в 2023 году и усилился с начала 2024-го. Его хорошо иллюстрирует деятельность группировки Stone Wolf, которую недавно обнаружили специалисты BI.ZONE Threat Intelligence.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

Группировка Stone Wolf совершила не менее 9 атак на российские компании с использованием стилера Meduza. По заверениям разработчиков, в него встроен модуль, ограничивающий реализацию атак на территории СНГ. Однако Stone Wolf модифицировала софт, отключив функцию запрета. Доработанный таким образом стилер преступники рассылали во вложениях к фишинговым письмам от лица реальной компании, которая работает в сфере промышленной автоматизации.

К письму прилагался ZIP-архив, в котором содержались файл цифровой подписи, легитимный документ для отвлечения пользователя, а также замаскированная под PDF-файл вредоносная ссылка для загрузки Meduza Stealer. После установки на компьютер жертвы стилер начинал собирать информацию об операционной системе, процессоре, оперативной памяти и других параметрах скомпрометированного устройства, данные браузеров, установленных приложений, электронных кошельков и т. д.

Стилер Meduza появился в продаже на теневых ресурсах в июне 2023 года по цене 199 долларов за месяц использования, 399 долларов за три месяца или 1199 долларов за бессрочную лицензию. С марта 2024 года стали доступны дополнительные возможности: например, по цене от 20 долларов можно арендовать выделенный сервер с выбором параметров количества ядер, оперативной памяти и места на диске.

Как правило, когда становится известно о применении того или иного ВПО против компаний в странах СНГ, его продажи блокируют на теневых форумах, а разработчики переносят свою деятельность в Telegram.

Так, в августе 2023 года команда BI.ZONE Threat Intelligence выпустила исследование стилера White Snake. Злоумышленники распространяли вредоносную программу под видом требований Роскомнадзора, атакуя российские компании, несмотря на запрет разработчиков. Вскоре после публикации исследования тему о продаже White Snake на популярном теневом форуме закрыли, и единственной площадкой для распространения стилера остался телеграм-канал разработчика. В настоящее время приобрести программу можно по цене от 200 (1 месяц использования) до 1950 долларов (бессрочная лицензия).

Похожая ситуация сложилась со стилером Rhadamantys, цены на который варьировались от 59 долларов за 1 неделю использования до 999 долларов за бессрочную лицензию. Продажи стилера заблокировали на теневых ресурсах в апреле 2024 года, после того как стало известно, что группировка Sticky Werewolf применяют программу для атак на российские и белорусские организации.

Если злоумышленникам удалось обойти превентивные средства защиты и незаметно проникнуть в инфраструктуру, угрозу важно нейтрализовать до того, как бизнес понесет значительный ущерб. Отследить атаку на ранних стадиях и оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности помогут решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. А обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз помогут данные о ландшафте киберугроз, получаемые из порталов киберразведки, например BI.ZONE Threat Intelligence.

Темы:Пресс-релизУгрозыBI.Zoneтактики киберпреступников
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Главное, чтобы исследователь не ушел от нас с негативной реакцией
    Ольга Гурулева, директор департамента информационной безопасности “Группы Астра”
    В 2023 г. в “Группе Астра" была запущена корпоративная программа BugBounty. Это первый опыт среди российских разработчиков операционных систем. Ольга Гурулева, директор департамента информационной безопасности “Группы Астра”, ответила на вопросы о ходе программы и ее результатах.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...