В целевых атаках на российские субъекты КИИ есть китайский след

...

APT-группировка, присутствие которой недавно обнаружили в российских государственных системах, действовала слишком грубо, считают исследователи из компании Sentinel Labs. Именно поэтому маловероятны американские корни атакующих, а скорее можно говорить о китайском происхождении группы, подчеркнули специалисты.

Речь идёт об атаках, которые упомянули в своём исследовании эксперты «Ростелеком-Солар» и представители НКЦКИ. Напомним, что целевые кибернападения на субъекты критической информационной инфраструктуры (КИИ) России в 2020 году выросли на 40%.

В кампаниях злоумышленников якобы фигурировала вредоносная программа «Mail-O», а атакующие при этом использовали облачные хранилища от «Яндекс» и Mail.ru Group.

Представители Sentinel Labs считают, что сообщество слишком рано приписало авторство таргетированных кибератак Западу. Эксперты обращают внимание на слишком грубые и отчасти непрофессиональные действия APT-группировки, хотя от США стоит ожидать более высоких стандартов.

Герреро Саад из Sentinel Labs изучил Mail-O и предположил, что этот вредонос является вариантом другого зловреда — PhantomNet или SManager (упоминался в атаках группировки TA428). Такой вывод специалист сделал благодаря наличию одинаковой функции под названием «Entery» — ошибочного написания слова «Entry».

«Грамматические ошибки и опечатки — настоящий подарок для исследователей вредоносных программ», — объясняет Герреро.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 17 Июня 2021 - 09:04

Вирусы-вымогатели Вирусы-шифровальщики Домашние пользователи Государство

Полиция Украины задержала операторов шифровальщика Clop

Украинские правоохранители задержали банду киберпреступников, стоящих за распространением программы-вымогателя Clop. Также стражи правопорядка заявили, что им удалось ликвидировать инфраструктуру, которая с 2019 года использовалась в кибератаках на организации по всему миру.

Поймать злодеев помогла совместная операция, в ходе которой Национальная полиция Украины действовала заодно с Интерполом, а также правоохранителями США и Кореи.

В результате общими усилиями удалось поймать шестерых подозреваемых, которым вменяется использование схемы двойного вымогательства. Помимо стандартного шифрования файлов жертв, преступники ещё и крали их данные, используя угрозу их публикации как дополнительный рычаг при шантаже.

По словам полиции Украины, атаки этого семейства шифровальщиков привели к потерям в размере 500 миллионов долларов. Однако теперь вредонос не сможет больше распространяться, поскольку инфраструктура уже неактивна, а каналы отмывания денег заблокированы, подчеркнули правоохранители.

Помимо этого, полицейские провели в общей сложности 21 обыск в Киеве, в ходе которых у подозреваемых изъяли компьютерное оборудование, дорогие автомобили и пять миллионов в гривнах.