Киберпреступники Lazarus переключились на Центральную Америку

Олег Иванов 25 Апреля 2018 - 15:00

Домашние пользователи

...

Специалисты ESET обнаружили новые следы активности кибергруппы Lazarus. Эксперты установили, что хакеры стоят за атаками на онлайн-казино в Центральной Америке и некоторые другие цели.

Группа Lazarus получила известность после кибератаки на Sony Pictures Entertainment в 2014 году. Далее специалисты по информационной безопасности детально изучили и связали с этой группой целый ряд инцидентов: эпидемию Wannacry, атаки на банки в Польше и Мексике, фишинговые атаки на подрядчиков Министерства обороны США и др. В этих кампаниях атакующие использовали схожие вредоносные инструменты, включая деструктивное ПО (вайпер) KillDisk, которое запускалось на зараженных устройствах.

Эксперты ESET изучили инструменты, обнаруженные на серверах и рабочих станциях ИТ-сети онлайн-казино в Центральной Америке, и установили их связь с Lazarus. По оценке специалистов, это была сложная многоэтапная атака с использованием десятков защищенных инструментов.

Один из этих инструментов – бэкдор Win64/NukeSped.W, поддерживающий 20 команд, которые совпадают с функциями ранее изученных образцов Lazarus. Второй – консольное приложение Win64/NukeSped.AB. Анализ подтвердил, что этот файл связан с ПО, используемым в атаках на польские и мексиканские объекты.

Эти инструменты использовались в сочетании с двумя вариантами вайпера Win32/KillDisk.NBO, заразившим больше ста машин в сети. Есть несколько возможных объяснений его появления: хакеры могли скрывать следы после атаки, либо использовать KillDisk для вымогательства или киберсаботажа. В любом случае, это масштабное заражение, указывающее на значительные ресурсы атакующих.

Данные телеметрии ESET, а также одновременное использование Win32/KillDisk.NBO и других известных инструментов Lazarus в зараженной сети указывают на то, что вайпер развернули именно хакеры Lazarus, а не какая-либо другая кибергруппа.

Помимо этого, атакующие использовали как минимум два дополнительных инструмента: модифицированную версию Mimikatz для извлечения учетных данных Windows и Browser Password Dump для восстановления паролей из популярных веб-браузеров.

Большинство перечисленных инструментов Lazarus устанавливалось на рабочие станции с помощью вредоносных загрузчиков на начальном этапе атаки. Кроме того, обнаружены индикаторы, указывающие на использование средств удаленного доступа, включая Radmin 3 и LogMeIn, для контроля целевых устройств.

Антивирусные продукты ESET детектируют вредоносные программы группы как Win32/NukeSped и Win64/NukeSped. Они использовались в сочетании с двумя вариантами деструктивного ПО Win32/KillDisk.NBO.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Июня 2026 - 21:37

Соответствие законодательству РФ Общее Защита от мошенничества

Путин подписал Антифрод-2: что изменится для банков, операторов и абонентов

Президент России Владимир Путин подписал закон, который вводит новый пакет мер против телефонного и финансового мошенничества. Документ уже окрестили «Антифрод-2», и он заметно расширяет правила игры как для операторов связи и банков, так и для самих пользователей.

Одно из главных нововведений — возможность установить самозапрет на входящие международные звонки. Снять его можно будет только лично через МФЦ, чтобы мошенники не смогли отменить ограничение дистанционно.

Ещё одна мера касается банковских карт. Теперь один человек сможет оформить не более 20 карт, что должно осложнить использование подставных счетов в мошеннических схемах.

В законе появилась и так называемая красная кнопка. Через портал «Госуслуги» и мессенджер МАКС пользователи смогут быстро сообщать о попытках мошенничества.

Кроме того, в России создадут единую базу IMEI — уникальных идентификаторов мобильных устройств. В неё будут включаться сведения о разрешённых и запрещённых к использованию устройствах. Наполнять базу станут операторы связи и уполномоченные государственные органы.

Документ также ограничивает массовые обзвоны. Без согласия абонента они будут разрешены только в случаях, прямо предусмотренных законодательством. Для остальных информационных звонков потребуется согласие пользователя, а Минцифры сможет устанавливать предельную стоимость таких услуг.

Ещё одно важное изменение — механизм компенсации ущерба. Если банк или оператор связи не выполнили предусмотренные законом меры по предотвращению мошенничества, пострадавший сможет рассчитывать на возмещение убытков. Однако если организация соблюдала все требования, а человек добровольно перевёл деньги злоумышленникам, компенсация не предусмотрена.

Также закон устанавливает минимальный срок действия договора связи: расторгнуть его теперь можно будет не раньше чем через 90 дней после заключения. По мнению авторов инициативы, это должно сократить использование одноразовых сим-карт в преступных схемах.

Новый закон стал продолжением пакета антифрод-мер, принятого в России в 2025 году.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!