IT / Новости
информбезопасность
14.8.2020

Специалисты выявили новую хакерскую группировку

Сотрудники центра мониторинга и реагирования на киберугрозы Solar JSOC обнаружили новую хакерскую группировку TinyScouts. Преступники отправляют письма в банки с предупреждением о второй волне COVID-19.

Как сообщили в пресс-службе «Ростелеком», они используют сложную схему атаки и уникальное вредоносное ПО, не известное ранее. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

  • Сначала сотрудник получает фишинговое письмо, в котором находится предупреждение о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагается пройти по ссылке. В некоторых случаях сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку;
  • Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников;
  • Далее вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам.

Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование.

В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженным устройством.

То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.

Изображение: pixabay.com

Еще по теме

С чем индустрия киберспорта России вошла в 2023 год

Тренды и проблемы цифровизации промышленности в России

Почему буксует процесс внедрения Open Source в образовательных учреждениях

Как запустить отечественный Open Source

Что делают вузы для преодоления кадрового голода в отрасли

Каких мер господдержки ждут разработчики ВКС-решений

В правительстве РФ заявили о перевыполнении планов по программе «Цифровая экономика»

Что стоит за ростом производства компьютеров в России

Какой должна быть защита персональных данных в 2023 году

Мотивировать IT-специалистов к возвращению из эмиграции предлагается законодательно оформленной бронью и расширением льгот

Перспективы сертификации кибербезопасников в РФ и поможет ли она остановить утечки данных

Какие эффекты ожидаются от использования информсистемы пространственных данных

На портале можно будет записаться на прием к юристам

Каковы итоги уходящего года и перспективы будущего для рынка 1С

Как будет развиваться рынок low-code в России