Группа Carbanak стояла за фишинговыми атаками в России, Украине и Армении

Группа Carbanak стояла за фишинговыми атаками в России, Украине и Армении

Международная антивирусная компания ESET представляет детали расследования деятельности кибергруппы Carbanak. Наряду с другими инструментами группа активно использовала вредоносные программы семейства Win32/Spy.Agent.ORM, отмеченные в атаках на пользователей из России и Украины.

В начале лета 2015 года специалисты ESET зафиксировали повышенную активность семейства Spy.Agent.ORM. Программа распространялась с помощью набора эксплойтов через скомпрометированный новостной портал rbc.ua и банковский сайт unicredit.ua, а также в фишинговых рассылках, ориентированных на сотрудников финансовых учреждений из России и Украины, а также Центрального банка Армении.

Пользователям рассылались сообщения с вредоносными вложениями SCR-файлов или RTF-эксплойтов к уязвимостям Microsoft Office, включая одну из последних – CVE-2015-1770.

Троян Win32/Spy.Agent.ORM открывает атакующим удаленный доступ к компьютеру жертвы. Вредоносная программа подключается к управляющему серверу и выполняет различные команды: сделать снимок экрана, получить список запущенных процессов, собрать информацию о системе, загрузить исполняемый файл и др.

На связь трояна Spy.Agent.ORM и Carbanak указывают одинаковые фрагменты кода, которые встречаются в других вредоносных программах группы: «фирменном» инструменте Win32/Spy.Sekur и бэкдоре для кражи данных карт с PoS-терминалов Win32/Wemosis, замеченным в кибератаках на американские отели-казино.

Все вышеуказанные вредоносные программы подписаны одним и тем же цифровым сертификатом, зарегистрированным на московскую компанию Blik. Один из новейших образцов трояна Spy.Agent.ORM, обнаруженных специалистами ESET, подписан цифровым сертификатом киевской компании In Travel.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 2025 году 70% кибератак на науку и образование в России связаны с выкупом

Если ещё в 2024 году большинство атак на российскую науку и образование имело шпионские цели (62 % случаев), то в 2025 году картина изменилась. Теперь на первый план вышла финансовая мотивация: с начала года 70 % атак совершают преступники, которые требуют выкуп за расшифровку данных или продают украденную информацию на теневых площадках.

Доля шпионажа сократилась почти втрое — до 24 %. По словам Олега Скулкина, руководителя направления Threat Intelligence в BI.ZONE, возврат к финансовой мотивации — это скорее «норма» для киберпреступности.

Переключение шпионских группировок на промышленные и инженерные предприятия, по его мнению, связано с тем, что сейчас для них более интересны прикладные разработки, чем фундаментальные исследования. При этом сфера НИОКР (научные институты и инженерные комплексы) традиционно остаётся в числе приоритетных целей.

Отдельная категория атакующих — хактивисты, действующие по идеологическим мотивам. Их доля остаётся на уровне 6–8 %. Если в 2024 году они в основном атаковали университеты (например, выводили из строя ИТ-инфраструктуру или размещали политические лозунги на сайтах), то в 2025 году всё чаще их целями становятся школы.

Здесь акцент сместился на похищение персональных данных учеников, которые публикуются в открытом доступе ради огласки, а не ради выгоды.

Исследователи также отмечают, что мотивация хактивистских групп постепенно становится смешанной: идеология часто сочетается с финансовым интересом, и злоумышленники всё чаще требуют выкуп за украденные или зашифрованные данные.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru