Благодаря Echobot число атак на АСУ ТП в 2019 году выросло на 2000%

Благодаря Echobot число атак на АСУ ТП в 2019 году выросло на 2000%

Благодаря Echobot число атак на АСУ ТП в 2019 году выросло на 2000%

Согласно последнему отчёту IBM «2020 X-Force Threat Intelligence Index», в 2019 году количество атак на системы автоматизации технологических процессов (OT) резко возросло. Исследователи полагают, что причиной скачка стал IoT-вредонос Echobot.

Команда IBM отметила, что в сравнении с 2018 годом в 2019-ом число подобных атак выросло на целых 2000%. Более того, прошлый год отметился самым большим количеством таких инцидентов (когда-либо зафиксированным).

«Число OT-атак достигло своего пика. Вредоносные кампании, в ходе которых злоумышленники атакуют АСУ ТП, за год увеличились на 2000%. Это самая крупная цифра за последние три года, когда велась соответствующая статистика», — пишет IBM.

Если посмотреть на график, который мы приводим ниже, действительно создаётся впечатление, что киберпреступники приложили немало усилий для атак на автоматизированные системы управления технологическими процессами.

Как правило, злоумышленники стараются использовать уязвимости в АСУ ТП/SCADA, а иногда прибегают к техникам вроде «password spraying» — когда атакующий пытается получить доступ к большому количеству аккаунтов за счёт подбора часто используемых паролей.

Также исследователи уточнили, что атаки на АСУ ТП чаще всего совершались в рамках двух вредоносных кампаний, одну из которых контролировала киберпреступная группировка Xenotime, а вторую — Hive0016 (APT33).

Также в отчёте IBM можно найти интересную информацию относительно эксплуатации древних уязвимостей в продуктах Microsoft.

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru