Хакеры стали чаще использовать вредоносное ПО из России для атак на российский бизнес
В 2024 году хакеры стали чаще использовать вредоносное ПО Meduza, которое, по мнению экспертов, было разработано в России, для атак на российские промышленные предприятия, пишут «Ведомости». По данным аналитиков, с начала 2024 года около половины от всех атак Meduza приходилось на Россию, остальные — на США, Германию и Китай. При этом ранее разработчики этого софта системно запрещали использовать его в России и странах СНГ
Хакеры в 2024 году стали чаще использовать для атак на российские промышленные компании стилер Meduza — вредоносный софт для кражи данных, который, по мнению экспертов, был разработан в России, пишут «Ведомости» со ссылкой на данные BI.Zone, F.A.C.C.T. и «Лаборатории Касперского». По данным газеты, этот софт распространяется в даркнете, а его разработчики ранее системно запрещали использовать его в России и странах СНГ.
Разработчик Meduza неизвестен, однако руководитель BI.Zone Threat Intelligence Олег Скулкин рассказал, что чаще всего хакеры выставляют территориальные ограничения на тот регион, где они сами находятся. «Они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний», — пояснил эксперт.
С начала 2024 года около половины всех атак Meduza приходилось на Россию, следует из данных «Лаборатории Касперского», которые приводит газета. Остальные атаки с помощью этого стилера были совершены в США, Германии и Китае. Сколько всего было таких атак, в компании не уточнили. Представитель BI.Zone сообщил, что с начала 2024-го хакеры атаковали с использованием Meduza девять компаний на территории России и СНГ. Для доставки стилера злоумышленники рассылали фишинговые письма якобы от лица компании, которая работает в сфере промышленной автоматизации. Эксперты «Инфосистемы джет» зафиксировали такие атаки на компании из транспортной и промышленной отраслей. В F.A.C.C.T. и «Солар» фиксировали атаки с помощью Meduza на организации энергетической отрасли.
По словам представителя BI.Zone, этот стилер для атак использовала в том числе хакерская группировка Stone Wolf. Злоумышленники рассылали людям письма, в которых содержались вложения в виде архива и документы-приманки. Переходя по ссылке из письма, пользователь открывал PDF-файл и автоматически активировал установку Meduza. За счет этого хакеры получали доступ к данным расширений браузеров и менеджеров паролей, а также получали возможность считывать с устройства входящие сообщения с кодами двухфакторной аутентификации.
С января по июнь 2024 года доля писем с такими ссылками в корпоративном почтовом трафике выросла к среднему уровню 2023 года более чем вдвое — на 105%, отмечают «Ведомости». Количество срабатываний решений «Лаборатории Касперского» на письма, содержащие вредоносное программное обеспечение, с января по июнь 2024-го увеличилось на 46% — с 575 286 писем в месяц до 837 005, рассказал газете руководитель группы защиты от почтовых угроз ИБ-компании Андрей Ковтун.
Тренд на нарушение географических запретов разработчиков вредоносного программного обеспечения стал проявляться в 2023 году и усилился с начала 2024-го, рассказал газете представитель BI.Zone. При этом разработчики Meduza неоднократно рассказывали о персональных заказах на вредоносное ПО, отметил руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин. «Разработчики, по их словам, придерживаются прежней позиции — не работать по организациям в СНГ, но на заказчиков повлиять не могут», — пояснил эксперт газете. Руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы джет» Руслан Амиров также подтвердил, что запрет на использование вредоносного ПО в определенных регионах регулярно нарушается.
В F.A.C.C.T. ранее рассказали Forbes, что во втором квартале 2024 года девять прогосударственных APT-групп вели кампании против организаций в России и СНГ. Несколько из них по ряду косвенных признаков можно отнести к проукраинским группам, другие — к азиатским и, предположительно, китайским, уточнили эксперты. Пять из девяти APT-групп специалисты F.A.C.C.T. обнаружили сами, данные об активностях еще четырех группировок были публично обнародованы и получены исследователями преимущественно во время реагирований и расследований инцидентов ИБ. К числу первых, в частности, относятся действия Core Werewolf, которая провела минимум девять атак против России, Армении и Белоруссии.
По данным аналитиков, злоумышленники из еще одной группировки — Sticky Werewolf — добавили в свой арсенал стилер Rhadamanthys и с его помощью с апреля по июнь провели более 10 атак на организации в России и Белоруссии. По данным F.A.C.C.T., группу интересовали организации в сферах здравоохранения, производства радиосвязи, телекоммуникаций, биотехнологий, оборонно-промышленного комплекса, авиации, энергетики и промышленности, разработки ПО.