Географические запреты больше не работают
С начала 2024 г. хакеры стали активно атаковать российские промышленные компании с использованием вредоносного ПО (ВПО) для кражи данных – стилера Meduza. Его разработчики ранее системно запрещали использовать в России и странах СНГ, выяснили «Ведомости».
Стилер Meduza появился в продаже в даркнете в июне 2023 г. Кто его создал неизвестно, но территориальные ограничения, по словам руководителя BI.Zone Threat Intelligence Олега Скулкина, хакеры обычно выставляют на тот регион, где они сами и находятся: «Они рассчитывают, что их будет сложнее вычислить и привлечь к ответственности, если их софт не будет применяться против местных компаний».
Тренд на нарушение географических запретов разработчиков ВПО и доработку хакерских программ наметился в 2023 г. и усилился с начала 2024 г., уточнил представитель BI.Zone.
Жертвы Meduza
По статистике «Лаборатории Касперского», в 2024 г. около половины от всех атак Meduza приходилось на Россию, остальная часть — на США, Германию и Китай. Точные цифры количества атак не приводятся.
BI.Zone сообщил о девяти компаниях промышленной автоматизации в России и СНГ, атакованных в 2024 г. при помощи стилера Meduza. Специалисты «Инфосистемы джет» фиксировали также атаки на транспортную и промышленную отрасль, а F.A.C.C.T. и «Солар» — на энергетические компании.
Хакерская группировка Stone Wolf, например, рассылала вредоносные архивные вложения и легитимные документы-приманки, после открытия которых автоматически активировалась установка Meduza. Зловред давал злоумышленникам доступ к данным расширений браузеров, менеджеров паролей и мог считывать с устройства входящие сообщения с кодами двухфакторной аутентификации, рассказал представитель BI.Zone
Почему нарушаются хакерские ограничения
В июне 2024 г. продавец стилера Meduza был заблокирован на известном теневом ресурсе XSS «за работу по зоне .ру/экс-СССР», так как это запрещено правилами площадки, сказала изданию ведущий эксперт Kaspersky GReAT Татьяна Шишкова.
По данным руководителя отдела защиты информации InfoWatch ARMA Романа Сафиуллина, разработчики Meduza рассказывали о персональных заказах на ВПО и винили заказчиков в нарушении запретов. «Разработчики, по их словам, придерживаются прежней позиции не работать по организациям в СНГ, но на заказчиков повлиять не могут», — сказал Сафиуллин.
Нарушение запрета на использование ВПО на организации из региона разработчика может происходить из-за экономической выгоды или политических или культурных мотивов, полагает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков.
«Злоумышленники варьируют инструментарий для более широкого покрытия объекта атаки и ищут новые варианты обхода средств и методов защиты», — добавил руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы джет» Руслан Амиров.
Киберпреступники изобретают все более изощренные методы. В апреле 2024 г. CNews писал, что полигоном для испытания своих средств взлома и атак хакеры со всего мира сделали развивающиеся страны, где они тестируют новые виды вредоносного ПО.
Поделиться