Стоящая за вредоносом Triton группа снова атакует КИИ по всему миру

Олег Иванов 24 Мая 2018 - 16:01

...

Стоящая за вредоносом Triton группа снова атакует КИИ по всему миру

Киберпреступная группа, стоящая за атаками вредоноса Triton (также известен как Trisis и HatMan), до сих пор активна. Злоумышленники атакуют организации по всему миру. Группа получила имя Xenotime, известно, что она действует с 2014 года.

Несмотря на достаточно продолжительный период активности, обнаружить киберпреступников смогли лишь в 2017 году, когда была совершена кибератака на организацию КИИ на Ближнем Востоке.

Группа атаковала противоаварийную защиту Schneider Electric, используя 0-day уязвимость. Атакованная организация привлекла к расследованию Dragos и FireEye, специалисты пришли к выводу, что противоаварийная защита была затронута злоумышленниками в ходе операции случайно.

Теперь же исследователи из Dragos, которые не прекращали следить за активностью группы Xenotime, сообщают о новых атаках злоумышленников на организации по всему миру. Какими-либо деталями, к сожалению, эксперты не поделились, однако отметили, что хакеры сосредоточились на контроллерах безопасности, отличных от атакованных ранее Triconex (Schneider Electric).

Некоторые исследователи полагают, что за этими кибератаками стоит Иран, но это непроверенная информация, которую специалисты Dragos никак не комментируют.

«Эта группа киберпреступников создала настраиваемые вредоносные инструменты позволяющие собирать учетные данные, однако их ошибка привела к тому, что атаки провалились. Не стоит ожидать, что Xenotime допустит подобную ошибку и в будущем», — пишет Dragos в блоге.

В декабре прошлого года мы писали, что специалисты компании FireEye обнаружили новое семейство вредоносных программ Triton (или Trisis), напомнившее экспертам Stuxnet. Triton получил статус редкого вредоноса, действующего преимущественно на Ближнем Востоке. Целью зловреда является отключение промышленных систем безопасности, имеющих отношение к защите жизнедеятельности.

Исследователи пишут, что новая вредоносная программа нацелена на оборудование, выпускаемое Schneider Electric, оно используется в нефтегазовых установках и на ядерных объектах.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Татьяна Никитина 23 Января 2026 - 19:10

Атаки на сайты DDoS-атаки Малый и средний бизнес Корпорации

Число DDoS-атак на российские игровые сервисы возросло в четыре раза

В 2025 году DDoS-Guard зафиксировала 2,5 млн инцидентов на территории России — лишь на 1,6% больше, чем в 2024-м. Особо эксперты отметили учащение DDoS-атак на игровые порталы и серверы (на 310%), а также на госсервисы (почти на 250%).

Незначительный рост общего показателя по DDoS, по словам аналитиков, связан с тем, что они перестали учитывать хактивистские атаки. В статистику также не вошли мелкие, не критичные инциденты и атаки на ресурсы без спецзащиты, которые тоже участились.

Подавляющее большинство (80%) DDoS-атак, как и в 2024 году, пришлось на уровень приложений, однако их плотность заметно увеличилась. В ходе самой мощной атаки L7 эксперты насчитали 859 млн вредоносных запросов.

В разделении по областям хозяйственной деятельности лидерами по числу инцидентов остались телеком и финансы. Бизнес опустился с 3-го на 5-е место, пропустив вперед госсектор и игровые сервисы.

Комментируя новую статистику, Денис Сивцов, возглавляющий в DDoS-Guard направление защиты сети на уровне L3-4, объяснил высокую активность дидосеров в игровой индустрии ростом рынка:

«Мы видим колоссальный прирост атак на игровые сервисы, потому что индустрия развивается, в нее вливаются огромные деньги — за новые игровые серверы часто ведется жесткая конкурентная борьба, где DDoS-атаки часто выступают как оружие, чтобы переманивать аудиторию. Дополнительно следует отметить, что в игровых сервисах часто используются собственные самописные сетевые протоколы, поэтому многие стандартные меры защиты не работают там должным образом».

В отчетный период существенно возросла средняя продолжительность DDoS-атак. Большинство зафиксированных инцидентов длились от 20 минут до 1 часа.

При этом применялись различные тактики. В I квартале наблюдались высокопараллельные атаки: злоумышленники несильно, но настойчиво долбили по множеству мелких ресурсов одного владельца. В других случаях DDoS-удар был очень мощный, но кратковременный, с последующей сменой вектора (видимо, из-за отсутствия искомого эффекта).

За год также в полтора раза возросла распределенность атак. Рекорд по числу источников мусорного потока поставил крупнейший IoT-ботнет: в проведенной с его участием атаке было задействовано свыше 2 млн уникальных IP. В разделении по странам наибольшее количество источников вредоносного трафика было выявлено в США, России и Индонезии.