Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Шпионская программа FinFisher, за распространением которой стоит Gamma Group, обзавелась новыми функциональными возможностями. Теперь вредонос использует UEFI-буткит, который внедряется в загрузчик Windows Boot Manager.

FinFisher также известна под именами FinSpy и Wingbird. Зловред разрабатывается в коммерческих целях и является, по сути, шпионским софтом с вредоносными функциями.

Разработчики FinFisher не скрывают, что продают своё детище исключительно государственным учреждениям и правоохранительным органам по всему миру. Тем не менее специалисты в области кибербезопасности также фиксировали кампании целевого фишинга, в которых фигурировал FinFisher.

На новые возможности шпиона обратили внимание эксперты «Лаборатории Касперского». В своём отчёте исследователи пишут:

«В ходе анализа мы выявили UEFI-буткит, загружающий FinSpy. На всех заражённых машинах установщик Windows Boot Manager (bootmgfw.efi) был подменён вредоносной копией».

«Такой подход позволяет злоумышленникам установить буткит без необходимости обходить поверку безопасности прошивки. Заражения UEFI встречаются довольно редко, поскольку их трудно реализовать».

С новой функциональностью FinFisher фактически стал самым подвинутым шпионским софтом, который сложнее всего детектировать. Специалисты отмечают огромную работу, подделанную авторами вредоноса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Злоумышленники могут попросить 70 млн долларов за возврат украденных ПДн

Киберпреступники по-прежнему интересуются персональными данными, как показывает новое исследование Positive Technologies. В некоторых случаях сумма выкупа, который запросят у атакованной организации, может доходить до десятков миллионов долларов.

Positive Technologies изучила атаки за прошлый год и пришла к выводу, что злоумышленники утащили ПДн в 45% таких инцидентов. Кроме того, преступников интересовала коммерческая тайна (19%), учётные данные и даже медицинские данные (10%).

Поскольку скомпрометированные данные надо как-то монетизировать, киберпреступники пытаются либо сбыть их на рынках дарквеба, либо получить выкуп у жертвы.

Иногда доходит до баснословных сумм. Например, операторы шифровальщика LockBit запросили у тайваньского производителя чипов TSMC 70 миллионов долларов за неразглашение украденных внутренних данных.

Похожие инциденты с утечками можно наблюдать и в России. Например, почти год назад мы писали о сливе информации «Буквоед» и «Леруа Мерлен». Ранее пострадали book24.ru, Аскона, Gloria Jeans, а также торговые сети Ашан и Твой Дом.

«Украденные персональные данные могут быть использованы злоумышленниками для социальной инженерии, — отмечает Ирина Зиновкина, руководитель исследовательской группы Positive Technologies. — По нашим оценкам, в 2023 году её использовали практически в половине успешных атак на организации. Основным каналом социальной инженерии была электронная почта (85% атак)».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru