Преступники маскируются под российских хакеров и атакуют компании DDoS

Преступники маскируются под российских хакеров и атакуют компании DDoS

На протяжении последней недели группа киберпреступников организовывала DDoS-атаки на организации финансового сектора и требовала выкуп за их прекращение. При этом злоумышленники маскировались под знаменитых российских хакеров «Fancy Bear».

Напомним, страны-оппоненты считают, что «Fancy Bear» связана с российским правительством. Именно этой группе приписывают взлом Белого дома в 2014 году и Национального комитета Демократической партии США в 2016 году.

Факт атак преступников, маскирующийся под «Fancy Bear», подтвердили компании Link11 и Radware, предоставляющие услуги защиты от DDoS. Дэниел Смит, один из исследователей Radware, уточнил, что атаки начались на прошлой неделе. Основной целью был финансовый сектор.

«Киберпреступная группа запускает мультивекторные масштабные DDoS-атаки. Параллельно злоумышленники натравляют жертвам письмо с требованиями выкупа», — объясняет Смит.

Сотрудники Link11 опубликовали копию (PDF) письма преступников, из которой можно понять, что за прекращения атак у компаний требуют 2 биткоина. По нынешнему курсу — $15 тысяч.

Выдающие себя за «Fancy Bear» вымогатели заранее выбирали и тщательно изучали свои цели. Что примечательно — DDoS-атаки были направлены не на публичные сайты компаний, а исключительно на бекенд-серверы, которые обычно хуже защищены от DDoS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В рамках целевой атаки преступники заражают часто посещаемые сайты

Специалисты «Лаборатории Касперского» вышли на вредоносную целевую кампанию, в рамках которой киберпреступники заражают популярные сайты, чтобы добраться до посетителей этих ресурсов.

По словам исследователей, целевые атаки этой группировки начались в мае 2019 года. В качестве мишеней преступники выбирают сайты, связанные с религией, благотворительностью и волонтёрской деятельностью.

При посещении ресурса запускается атака вида «watering hole» — специально подготовленная вредоносная программа сразу же проникает на устройство пользователя.

Отталкиваясь от метода злоумышленников, «Лаборатория Касперского» назвала вредоносную кибероперацию Holy Water. Проанализировав атаки, эксперты пришли к выводу, что группировка использует нестандартный, но при этом технически несложный подход.

Главное отличие — преступники используют широкий набор инструментов, а сами атаки быстро эволюционируют. Например, злоумышленники в какой-то момент задействовали хранилище GitHub и софт с открытым исходным кодом.

Взламывая определённый сайт (принадлежащий как физлицу, так и организации), киберпреступники внедряли на его страницы загрузчик, устанавливающий на устройства посетителей бэкдор. Последний использовался для извлечения определённого набора данных.

Помимо этого, в кампаниях фигурировал и другой бэкдор, основная задача которого — обмениваться зашифрованными данными с командным сервером (C&C). Также вредонос загружал в систему плагин, демонстрирующий фейковое обновление Adobe Flash.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru