Киберугрозы на новом уровне: Jumpy Pisces объединяется с Play для атак на компании

316     0
Киберугрозы на новом уровне: Jumpy Pisces объединяется с Play для атак на компании
Киберугрозы на новом уровне: Jumpy Pisces объединяется с Play для атак на компании

Правительственные хакеры открывают новую эру вымогательских атак.

Специалисты из Unit 42 обнаружили, что хакерская группировка Jumpy Pisces, связанная с разведкой Северной Кореи, теперь сотрудничает с группой, занимающейся распространением программы-вымогателя Play (Fiddling Scorpius).

Ранее Jumpy Pisces (Andariel, Onyx Sleet) была известна как кибершпионская группировка, но сейчас, похоже, она начала помогать киберпреступникам распространять вирусы для вымогательства. Это первое зафиксированное сотрудничество между северокорейскими хакерами и иностранной кибергруппой, работающей с программами-вымогателями.

Расследование конкретного случая показало, что впервые хакеры получили доступ к атакованной сети в мае 2024 года, используя скомпрометированный аккаунт сотрудника компании. Доступ позволил Jumpy Pisces постепенно заразить другие компьютеры сети, распространяя через них вирусы Sliver и DTrack. Группировка использовала данные инструменты для слежки и контроля над сетью на протяжении нескольких месяцев, скрывая свои действия. Основная атака началась в сентябре 2024 года, когда группа запустила в сети программу-вымогатель Play, чтобы заблокировать данные компании и требовать за них выкуп.

Первичные признаки атаки появились, когда через взломанный аккаунт хакеры вошли в сеть и начали распространять вредоносные файлы. Эксперты отметили, что хакеры использовали специальный инструмент для кражи паролей. Через этот доступ они загружали вредоносное ПО на разные устройства компании, используя для передачи файлов сетевые протоколы. После этого программы DTrack и Sliver начали связываться с управляющим сервером, контролируемым хакерами, что позволяло группе оставаться в сети и управлять зараженными компьютерами.

С наступлением сентября действия хакеров стали более интенсивными. В этот период они удалили с компьютеров программное обеспечение для защиты от кибератак и установили инструменты для сбора паролей и повышения своих привилегий в сети. Всё это подготовило почву для запуска программы-вымогателя Play. Помимо известных инструментов, хакеры использовали собственное вредоносное ПО, которое помогало собирать данные о банковских картах и истории интернет-браузеров пользователей.

Специалисты уверены, что Jumpy Pisces и Play действовали скоординированно, так как использовался один и тот же взломанный аккаунт и схожие техники для распространения вирусов и дальнейшего контроля сети. Примечательно, что злоумышленники использовали поддельные сертификаты, которые помогли маскировать вредоносные файлы под легальные, что позволяло избежать обнаружения.

Остаётся открытым вопрос, действительно ли Jumpy Pisces официально сотрудничает с Play, или же северокорейская группа просто продала доступ к сети для атаки. Play работает как RaaS-программа. То есть доходы от выкупов делятся между операторами вируса и их партнёрами. Иногда хакеры, которые взламывают сети, и те, кто активирует вирус, могут быть разными. Подобную тактику раньше использовала группа Evil Corp, которая меняла названия своих программ после введения санкций, чтобы продолжать атаки. Так же действуют и иранские хакеры.

Если Play не является RaaS-программой, то, скорее всего, Jumpy Pisces была лишь посредником. Однако такое сотрудничество указывает на рост активности северокорейских хакеров в сфере вымогательских атак. Теперь КНДР может угрожать не только кибершпионажем, но и более разрушительными атаками на компании и организации по всему миру.

Страница для печати

Читайте по теме:

Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Министерство труда Франции усиливает защиту данных после кибератаки на информационную систему центров Missions Locales
Meta внедрит систему защиты подростков от недостоверного возраста в Instagram* с помощью ИИ
Взлом почтового ящика U.S. Soccer: имена и номера соцстрахов затронутых пользователей под угрозой
Проблемы после кибератаки на Transport for London: скидки для малообеспеченных пассажиров заморожены, бизнесы страдают от задержек оплат
Безопасность под угрозой: как утечка из системы «Безопасный регион» скомпрометировала Подмосковье
В Италии разоблачили сеть, торговавшую секретными данными граждан из архивов МВД
Северная Корея укрепляет сотрудничество с Россией: десятки визитов и обмен посланиями
Под защитой силовиков: кто крышевал «ментовскую мафию» Липецкой области?
Sophos выпустила обновления для защиты от китайских хакеров

Комментарии:

comments powered by Disqus