Российская кибергруппа стоит за BEC-атаками на компании из Fortune 500

Екатерина Быстрова 08 Июля 2020 - 09:00

...

Исследователи из компании Agari рассказали о новой группе кибермошенников, занимающейся целевыми атаками на корпоративную почту (BEC). Специалисты считают, что преступники действуют из России.

По словам команды Agari, которая назвала группировку Cosmic Lynx, киберпреступникам удалось вывести BEC-атаки на новый уровень. Основная цель злоумышленников — международные корпорации.

В ходе своих операций участники Cosmic Lynx пытаются перевести крупные суммы (сотни тысяч и даже миллионы долларов) «денежным мулам», в роли которых выступают аккаунты в Гонконге.

Эксперты из Agari заявили, что группировка Cosmic Lynx провела более 200 BEC-атак с июля 2019 года. При этом операторы демонстрируют очень сложный подход к атакам, несвойственный для BEC-кампаний.

Более того, в своих атаках группировка Cosmic Lynx привыкла использовать инфраструктуру, которую исследователи связывают с Emotet и TrickBot (тоже принято считать, что эти операции идут из России).

Практически все организации, атакованные Cosmic Lynx, находятся в списке Fortune 500. Как правило, злоумышленники представляются генеральным директором атакуемой компании.

Также преступники похищают цифровую личность реального юриста, от лица которого ведут диалог с целевой организацией. Цифровая подпись, фотография, имя реального юриста, а также зарегистрированные мошенниками домены дополняют картину и убеждают представителей компании, что опасаться нечего.

Заключительным шагом операторы Cosmic Lynx просят сотрудников атакуемой организации перевести деньги «денежным мулам» из Гонконга.

«Обычно другие киберпреступные группы запрашивают у одной организации около $55 000. А вот операторы Cosmic Lynx действуют иначе — просят сотни тысяч, а то и миллионы долларов», — объяснили эксперты Agari.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 12:01

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Американские разработчики ИИ-моделей выявляют и банят россиян

Разработчики моделей искусственного интеллекта (ИИ) Claude, ChatGPT и Gemini активно выявляют пользователей из неподдерживаемых регионов, включая Россию, и блокируют им доступ. При этом чем крупнее проект, тем выше риск столкнуться с ограничениями.

Недавно стало известно о масштабной блокировке российских пользователей компанией Anthropic, которой принадлежит ИИ-модель Claude. По данным СМИ, она затронула сотни людей и компаний. При этом удалялись все данные и аналитика, хотя деньги за подписки возвращались.

Как отметил директор по экспериментальным продуктам MWS AI, входящей в МТС Web Services, Сергей Пономаренко в беседе с РИА Новости, зарубежные разработчики продолжат применять такую практику в отношении россиян. По его оценке, под наиболее серьёзной угрозой находятся крупные проекты, по которым есть признаки корпоративного использования. Это связано с соблюдением санкционных ограничений, введённых властями США ещё в 2024 году.

«Американские компании-разработчики ИИ Anthropic, OpenAI и Google активно применяют инструменты выявления пользователей из неподдерживаемого региона и будут дальше совершенствовать их, поэтому россиян ждут новые волны блокировок в Claude, ChatGPT и Gemini», — предупредил Сергей Пономаренко.

По его словам, ограничения вводятся постепенно. Российские IP-адреса долгое время могли помечаться в базах, которыми пользуются зарубежные компании, как европейские, однако со временем такие данные уточняются. В результате сетевые адреса начинают определяться как российские, после чего к ним применяются ограничения.

Использование прокси и VPN зарубежные компании также могут отслеживать. «Подозрение могут вызвать постоянные входы из разных стран за короткое время, использование известных VPN или прокси, слишком большое количество запросов, массовое создание аккаунтов, а также попытки обойти блокировки или фильтры безопасности», — пояснил эксперт.

Часто сомнительные учётные записи сначала отправляют на проверку и не блокируют полностью. Доступ к ним могут восстановить после обращения в техническую поддержку. Однако при удалении аккаунта уничтожаются все данные. При этом сами диалоги владельцы ИИ-моделей могут сохранять, что создаёт дополнительные риски утечки информации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!