Специалисты выявили новую хакерскую группировку

Сотрудники центра мониторинга и реагирования на киберугрозы Solar JSOC обнаружили новую хакерскую группировку TinyScouts. Преступники отправляют письма в банки с предупреждением о второй волне COVID-19.

Как сообщили в пресс-службе «Ростелеком», они используют сложную схему атаки и уникальное вредоносное ПО, не известное ранее. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

• Сначала сотрудник получает фишинговое письмо, в котором находится предупреждение о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагается пройти по ссылке. В некоторых случаях сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку;
• Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников;
• Далее вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам.

Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование.

В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженным устройством.

То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.