Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Раскрыта схема работы хакеров Wizard Spider

20/05/22

hack145Компания PRODAFT опубликовала результаты расследования в отношении группы Wizard Spider, которая предположительно связана с хакерскими группами Grim Spider и Lunar Spider. Группировка Wizard Spider управляет инфраструктурой из «сложного набора подкоманд и групп, контролирует огромное количество взломанных устройств и использует высокоразвитый рабочий процесс для обеспечения безопасности и высокого темпа работы».

Сейчас различные киберпреступные кампании для получения прибыли или работы в интересах государства часто используют бизнес-модель, которая включает в себя наем лучших специалистов и создание финансовой основы для депозита, перевода и отмывания доходов. Wizard Spider по такой модели вкладывает часть прибыли в развитие за счет инвестиций в инструменты, программное обеспечение и наём новых специалистов. Согласно отчету, группа владеет «активами на сотни миллионов долларов».

«Невероятная прибыльность группы позволяет ее лидерам инвестировать в незаконные исследования и разработки. Wizard Spider вполне способна нанимать талантливых специалистов, создавать новую цифровую инфраструктуру и приобретать доступ к расширенным эксплойтам», - заявили исследователи.

Wizard Spider фокусируется на компрометации корпоративных сетей и «имеет значительное присутствие почти во всех развитых странах мира, а также во многих странах с развивающейся экономикой». Жертвами группы являются оборонные предприятия, корпоративные фирмы, поставщики оборудования, больницы и компании в сфере инфраструктуры.

Атаки Wizard Spider начинаются со спама и фишинга с использованием QBot и SystemBC прокси-сервера. Группа также может проникать в бизнес через скомпрометированную электронную почту между сотрудниками в BEC схемах (Business Email Compromise, BEC).

После получения доступа к системе группа может развернуть Cobalt Strike и попытаться получить права администратора домена. Когда вредоносная программа Conti развернута, компьютеры и серверы гипервизора зашифрованы, хакер может потребовать от жертвы выкуп. Скомпрометированные устройства управляются через панель управления.

Для сокрытия следов Wizard Spider использует VPN и прокси-серверы. Группа инвестировала в VoIP системы и сотрудников, которые звонят жертвам и запугивают их, заставляя платить выкуп. Группировки Sekhmet, Maze и Ryuk раньше использовали такую тактику запугивания. Coveware подозревает, что такая работа «колл-центра» может быть передана киберпреступникам на аутсорсинг, поскольку используемые шаблоны и сценарии часто одинаковые.

Еще одним примечательным инструментом является станция взлома Wizard Spider. Специальный набор хранит взломанные хэши и запускает взломщики, чтобы подобрать учетные данные домена и другие формы хэшей. Станция также информирует команду о статусе взлома. На данный момент насчитывается 32 активных пользователя станции. Также было обнаружено несколько серверов, содержащих кэш с тактиками, методами, эксплойтами, информацией о криптокошельках и зашифрованные ZIP файламы с заметками атакующих групп.

«Команда Wizard Spider показала, что способна монетизировать многие аспекты своей деятельности. Группа несет ответственность за огромное количество спама на сотнях миллионов устройств, а также за утечки данных и атаки программ-вымогателей на важные объекты», - добавила PRODAFT.

Темы:ИсследованиеУгрозыКиберугрозыгруппы Spider
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...