Microsoft зафиксировала атаки фейкового шифровальщика против Украины

Олег Иванов 17 Января 2022 - 08:38

Государство

Программы-вымогатели

Программы-шифровальщики

Кибервойны

Целевые атаки

Таргетированные атаки

...

Microsoft зафиксировала атаки фейкового шифровальщика против Украины

Команда специалистов по кибербезопасности из Microsoft сообщила, что ей удалось найти доказательства проведения новой кампании правительственных хакеров против государственных учреждений, некоммерческих организаций и ИТ-систем Украины. Само собой, корпорация из Редмонда упомянула в этом контексте Россию.

О новой кибероперации рассказал Том Бёрт, отвечающий в Microsoft за безопасность клиентов. В частности, Бёрт отметил следующее:

«Используемая в атаках вредоносная программа замаскирована под шифровальщик, однако при активации оператором приводит к неработоспособности системы. Среди интересующих злоумышленников целей есть ИТ-компания, управляющая веб-сайтами как частного, так и государственного секторов».

Впервые Microsoft обратила внимание на разворачивающуюся кампанию 13 января 2022 года, после чего присвоила стоящей за ней кибергруппе кодовое имя «DEV-0586». По данным экспертов, тактика и методы этой группы не похожи на известные APT. На сегодняшний день специалисты обнаружили соответствующий вредонос более чем на десяти затронутых систем, однако ожидается, что по мере продвижения расследования эта цифра вырастет.

Как выяснили аналитики центра Microsoft Threat Intelligence (MSTIC) и эксперты подразделения Microsoft Digital Security (DSU), цепочка атак состоит из двух конкретных фаз:

Перезапись главной загрузочной записи (master boot record, MBR) атакуемого компьютера с целью отобразить фейковую записку, в которой атакующие якобы требуют перевести 10 тысяч долларов на биткоин-кошелёк.
На втором этапе в дело включается исполняемый файл, загружающий вредонос из Discord-канала. Этот зловред предназначен для поиска файлов с 189 различными расширениями и перезаписи содержимого таких файлов фиксированным числом 0xCC-байтов. Помимо этого, расширения найденных файлов переименовываются случайным набором из четырёх байтов.

По словам Microsoft, трюк с «шифровальщиком» — отвлекающий манёвр, потому что в записке киберпреступников даже не упоминается идентификатор жертвы. Более того, адреса криптовалютных кошельков и конкретные суммы выкупа редко упоминаются в современных атаках вымогателей.

Напомним, что в конце прошлой недели некие хакеры атаковали государственные сайты Украины и провели дефейс ресурсов Минобороны, Кабинета министров, Министерства иностранных дел и ряда других ведомств.

Чуть ранее правоохранительные органы Украины задержали киберпреступную группировку, управлявшую программой-вымогателем. По данным киберполиции, ущерб от действий операторов шифровальщика, которые атаковали 50 компаний в США и Европе, составил один миллион долларов.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 24 Декабря 2025 - 20:30

Кибершпионаж Информационные войны Корпорации Государство

Бывшие сотрудники Samsung арестованы за промышленный шпионаж

Подразделение прокуратуры Центрального округа Сеула по расследованию преступлений в сфере информационных технологий предъявило обвинения десяти бывшим сотрудникам Samsung по делу о промышленном шпионаже в пользу Китая. По версии следствия, они передали китайской компании ChangXin Memory Technologies (CXMT) технологии производства оперативной памяти.

Как сообщает газета Chosun Daily, фигурантам дела вменяется нарушение южнокорейского закона о защите промышленных технологий.

Речь идет о передаче технологий производства DRAM по 10-нм техпроцессу. В результате CXMT смогла занять до 15% мирового рынка оперативной памяти, потеснив, в том числе, южнокорейских производителей.

По оценке следствия, совокупный ущерб для экономики Южной Кореи составил около 5 трлн вон (примерно 230 млн долларов). При этом, по подсчетам делового издания Asia Business Daily, реальный ущерб может быть значительно выше и измеряться десятками триллионов вон, то есть миллиардами долларов.

CXMT начала активно переманивать ключевых сотрудников Samsung и SK Hynix еще в 2016 году. На тот момент только эти две южнокорейские компании обладали технологиями производства DRAM по 10-нм техпроцессу. Однако уже к 2023 году CXMT удалось освоить этот техпроцесс, адаптировав его под собственные производственные мощности и требования заказчиков.

Фигуранты дела занимали высокие должности в Samsung. Среди них — топ-менеджер подразделения по выпуску модулей памяти, специалист, отвечавший за запуск 10-нм производства, а также руководитель исследовательского подразделения. Последний, по данным Chosun Daily, сыграл ключевую роль в передаче технологий: он вручную переписывал значительные объёмы документации, чтобы избежать подозрений при электронном копировании или фотографировании.

Следствие считает, что участники группы систематически передавали конфиденциальные данные, используя подставные компании и строгие меры конспирации. Всё взаимодействие между участниками велось с применением криптографии повышенной стойкости.

На SOC Forum 2025 также отмечалось, что промышленный шпионаж остаётся одной из ключевых целей атак и на российские компании: с начала 2025 года он фигурировал в 61% выявленных инцидентов.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »