У хакеров-шантажистов появляется все больше подражателей

У хакеров-шантажистов появляется все больше подражателей

Специалисты компании Recorded Future сообщают: у хакерской группы Armada Collective, зарабатывающей на жизнь вымогательством, появились последователи. Точно известно, что группа DD4BC (DDoS «4» Bitcoin) тоже наживается на DDoS-атаках и требует выкуп за их прекращение.

Однако DD4BC не единственные, кто понял всю перспективность данной тактики.

Эксперты Recorded Future пишут, что за последний год жертвами хакерской группы DD4BC стал ряд компаний, преимущественно в финансовом секторе. Злоумышленники действуют точно так же, как ранее делали Armada Collective: инициируют DDoS-атаку на предприятие и требуют от жертвы выкуп за прекращение атаки. В качестве предупреждения DD4BC, как правило, используют слабую атаку, мощностью порядка 10-15 Гбит/с. Она длится всего несколько минут, пишет xakep.ru.

Ранее группа DD4BC уже попадала на радары компании Akamai. Исследование, датированное сентябрем текущего года, гласит, что за период с сентября 2014 года по август 2015 года хакеры осуществили 141 атаку против компаний в Северной Америке, Европе, Азии и Австралии. По данным Akamai, самая серьезная атака DD4BC достигла мощности 56 Гбит/с, тогда против цели использовали NTP (22%), SSDP (15%), UDP (15%) и SYN (13%) флуд.

Средняя мощность DDoS-атаки DD4BC составляет 13,34 Гбит/с, хотя хакеры заявляют, что им доступны мощности до 400-500 Гбит/с. Также специалисты Akami подсчитали, что в среднем злоумышленники требуют у своих жертв от 25 ($6000) до 100 ($24000) биткоинов. Если компания не хочет платить, хакеры угрожают атакой на страницы в социальных сетях и угрожают скомпрометировать бренд вообще.

Тогда как из отчета Akamai было ясно, что киберспреступники активно наращивают обороты, то отчет Recorded Future свидетельствует о том, что DD4BC испугались быть пойманными. Более того, эксперты считают, что после недавней кампании против почтового сервиса ProtonMail, родоначальник такого рода атак — группа Armada Collective опасается того же.

Атака на ProtonMail произошла в начале ноября 2015 года и значительно превосходила по мощности все предыдущие DDoS-атаки, исполненные группами Armada Collective и DD4BC. Хотя хакеры действовали от имени Armada Collective, позже с сотрудниками ProtonMail связался неизвестный, заявивший о непричастности группы к данному инциденту. Аноним уверял, что он представляет настоящих хакеров Armada Collective. Сами сотрудники ProtonMail тоже подозревают, что стали жертвой какой-то серьезной хакерской команды, спонсируемой правительством. Компания даже попыталась заплатить выкуп, но хакеры из настоящей Armada Collective вернули почтовому сервису деньги и продолжили отрицать свою причастность к происходящему.

Исходя из этих данных, специалисты Recorded Future предполагают, что другие группы уже взяли тактику на вооружение и активно копируют «стиль» Armada Collective и DD4BC. Яркий пример — недавняя атака на греческие банки, якобы тоже произведенная группой Armada Collective. В Recorded Future уверены, что за этим инцидентом стояли совсем другие люди. В частности, хакеры потребовали огромный выкуп (7,2 млн долларов с каждого из трех банков), что совсем непохоже на поведение известных экспертам группировок.

Специалисты Recorded Future также отмечают явный рост интереса к механизмам проведения DDoS-атак в даркнете. Скрипт кидди со всего мира осознали, что кибервымогательство посредством DDoS-атак, это очень перспективное и, главное, простое в освоении направление. Исследователи Recorded Future полагают, что в ближайшем будущем стоит ожидать появления еще большего числа подражателей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российские компании атакует неуловимая кибергруппировка

С мая 2023 года финансовые подразделения российских компаний атакует ранее неизвестная группировка DarkGaboon. Её особенностью является использование вредоносной программы Revenge RAT и поддельных документов, имитирующих легитимные материалы финансовой тематики.

Активность DarkGaboon впервые привлекла внимание департамента киберразведки Positive Technologies (PT Expert Security Center) в октябре 2024 года, когда была обнаружена волна атак с использованием Revenge RAT, нацеленная на российские финансовые структуры.

Хотя первые версии этой программы появились ещё в 2018 году, исследователи выявили, что элементы инфраструктуры злоумышленников носят названия, связанные с африканской тематикой. Это позволило связать их с новой финансово мотивированной APT-группировкой, названной DarkGaboon в честь габонской гадюки, обитающей вблизи горы Килиманджаро.

В октябре 2024 года группировка атаковала один из российских банков. В филиал банка было отправлено письмо с темой «Сверка взаиморасчётов». Оно содержало грамотно составленный текст на русском языке, касающийся бухгалтерии, и архив-приманку «Акт сверка.z». В архиве находились таблица Excel, пояснительная записка и вредоносный файл, замаскированный под PDF-документ.

 

Рассылки осуществлялись с ранее скомпрометированного аккаунта Gmail. Управляющий сервер находился за пределами России и использовал адрес 31.13.224[.]86 с панелью управления Revenge RAT. Домены, связанные с инфраструктурой, формировали кластер под названием "kilimanjaro", при этом сами серверы располагались в Европе.

Вредоносная программа защищена криптером с использованием алгоритма AES и обфускацией .NET Reactor. Все образцы Revenge RAT подписаны поддельными сертификатами X.509. Для обхода эвристического анализа зловред активирует пятиминутный таймер, после чего начинается извлечение и расшифровка полезной нагрузки.

Программа закрепляется в системе через каталог автозапуска или директорию C:\Users<user>\AppData\Roaming, внося изменения в реестр Windows. После закрепления Revenge RAT собирает информацию о системе и отправляет её на управляющий сервер.

DarkGaboon регулярно обновляет свои вредоносные программы и документы-приманки, используя четыре основных шаблона с небольшими изменениями. Эта стратегия позволила долгое время оставаться незамеченными. С марта 2024 года частота обновлений увеличилась, что может указывать на рост активности группировки.

Основные жертвы DarkGaboon — российские компании. Среди пострадавших оказались банки, предприятия розничной торговли, сферы услуг, спорта и туризма.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru