Новый ботнет Darkness набирает обороты

Исследователи в области безопасности из Shadowserver пристально наблюдают за активностью нового ботнета Darkness, который уже «зарекомендовал» себя в определенных кругах интернет-сообщества.

Согласно источнику, он был обнаружен в начале ноября и за это время успел навредить более 100 сайтам компаний, работающих в финансовой области и в сфере розничной торговли. Darkness обладает всеми современными средствами, а также имеет три отдельных канала управления и  «внушительную» пропускную способность, благодаря чему может производить большие объемы атакующего трафика. Кроме этого операторы бот-сети хвастаются, что она способна вывести из строя крупные сайты всего лишь 100 ботами. При этом продукт постоянно обновляется и совершенствуется; на момент опубликования отчета была выпущена седьмая версия.  

Исследователи отмечают, что помимо своего функционала, ботнет активно продвигается в сети как средство для проведения DDoS атак и уже обогнал по популярности своего конкурента BlackEnergy. Причем, количество желающих получить этот ботнет в свой арсенал не убавляется, ведь создатели предлагают «хорошие» условия для аренды ботнета по цене всего 50$ в сутки, при этом не забывая о постоянных клиентах.

Отметим также, что помимо многих других ресурсов, ботнет был обнаружен в и российской доменной зоне на сайтах greatfull-tools.ru и greatfull.ru.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперты Solar JSOC обнаружили новую профессиональную кибергруппировку

В киберпространстве зафиксированы атаки новой группировки. На активность злоумышленников обратили внимание специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC, которые также подчеркнули, что группа использует уникальную вредоносную программу.

Эксперты Solar JSOC присвоили группировке имя — TinyScouts. Операторы действуют профессионально, используют сложную схему атаки. Основными целями выступают банки и энергетические компании.

Всё начинается с фишингового письма, предупреждающего о начале второй волны пандемии коронавирусной инфекции COVID-19. Сотрудникам организаций рекомендуют пройти по ссылке для получения дополнительной информации.

Часто киберпреступники используют более таргетированный подход: письма напрямую связаны с деятельностью организации, что придаёт им легитимность.

Пройдя по содержащейся в письме ссылке, жертва запускает цепочку, приводящую к загрузке и установке компонента вредоносной программы. Здесь, по словам специалистов Solar JSOC, злоумышленники действуют особенно осторожно.

Пейлоад загружается через анонимную сеть TOR, что нивелирует такую меру защиты, как блокировка соединений с конкретными IP-адресами.

Попавший в систему вредонос начинает собирать информацию о заражённом компьютере, после чего она оказывается в руках у операторов. Позже загружается программа-вымогатель, которая шифрует все данные на устройстве.

Есть и второй сценарий: на представляющий интерес компьютер сотрудника организации скачивается дополнительный PowerShell-вредонос, открывающий преступникам удалённый доступ. С его помощью операторы могут полностью контролировать устройство, а также выводить денежные средства, красть конфиденциальные данные и вести шпионаж.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru