Киберугрозы на новом уровне: Jumpy Pisces объединяется с Play для атак на компании

332     0
Киберугрозы на новом уровне: Jumpy Pisces объединяется с Play для атак на компании
Киберугрозы на новом уровне: Jumpy Pisces объединяется с Play для атак на компании

Правительственные хакеры открывают новую эру вымогательских атак.

Специалисты из Unit 42 обнаружили, что хакерская группировка Jumpy Pisces, связанная с разведкой Северной Кореи, теперь сотрудничает с группой, занимающейся распространением программы-вымогателя Play (Fiddling Scorpius).

Ранее Jumpy Pisces (Andariel, Onyx Sleet) была известна как кибершпионская группировка, но сейчас, похоже, она начала помогать киберпреступникам распространять вирусы для вымогательства. Это первое зафиксированное сотрудничество между северокорейскими хакерами и иностранной кибергруппой, работающей с программами-вымогателями.

Расследование конкретного случая показало, что впервые хакеры получили доступ к атакованной сети в мае 2024 года, используя скомпрометированный аккаунт сотрудника компании. Доступ позволил Jumpy Pisces постепенно заразить другие компьютеры сети, распространяя через них вирусы Sliver и DTrack. Группировка использовала данные инструменты для слежки и контроля над сетью на протяжении нескольких месяцев, скрывая свои действия. Основная атака началась в сентябре 2024 года, когда группа запустила в сети программу-вымогатель Play, чтобы заблокировать данные компании и требовать за них выкуп.

Первичные признаки атаки появились, когда через взломанный аккаунт хакеры вошли в сеть и начали распространять вредоносные файлы. Эксперты отметили, что хакеры использовали специальный инструмент для кражи паролей. Через этот доступ они загружали вредоносное ПО на разные устройства компании, используя для передачи файлов сетевые протоколы. После этого программы DTrack и Sliver начали связываться с управляющим сервером, контролируемым хакерами, что позволяло группе оставаться в сети и управлять зараженными компьютерами.

С наступлением сентября действия хакеров стали более интенсивными. В этот период они удалили с компьютеров программное обеспечение для защиты от кибератак и установили инструменты для сбора паролей и повышения своих привилегий в сети. Всё это подготовило почву для запуска программы-вымогателя Play. Помимо известных инструментов, хакеры использовали собственное вредоносное ПО, которое помогало собирать данные о банковских картах и истории интернет-браузеров пользователей.

Специалисты уверены, что Jumpy Pisces и Play действовали скоординированно, так как использовался один и тот же взломанный аккаунт и схожие техники для распространения вирусов и дальнейшего контроля сети. Примечательно, что злоумышленники использовали поддельные сертификаты, которые помогли маскировать вредоносные файлы под легальные, что позволяло избежать обнаружения.

Остаётся открытым вопрос, действительно ли Jumpy Pisces официально сотрудничает с Play, или же северокорейская группа просто продала доступ к сети для атаки. Play работает как RaaS-программа. То есть доходы от выкупов делятся между операторами вируса и их партнёрами. Иногда хакеры, которые взламывают сети, и те, кто активирует вирус, могут быть разными. Подобную тактику раньше использовала группа Evil Corp, которая меняла названия своих программ после введения санкций, чтобы продолжать атаки. Так же действуют и иранские хакеры.

Если Play не является RaaS-программой, то, скорее всего, Jumpy Pisces была лишь посредником. Однако такое сотрудничество указывает на рост активности северокорейских хакеров в сфере вымогательских атак. Теперь КНДР может угрожать не только кибершпионажем, но и более разрушительными атаками на компании и организации по всему миру.

Страница для печати

Читайте по теме:

Microsoft закрепилась на госрынке с помощью стратегии «предложения Белого дома»
Хакеры атаковали «Auchan» и увеличили риск мошенничества
Мошенники крадут аккаунты через поддельные «подарки Telegram Premium»
Фишинг-атаки на Чёрную пятницу: китайская группировка SilkSpecter использует фальшивые интернет-магазины
Роберт Пурбек осуждён за серию кибератак и угрозы раскрытия личной информации более 132 тысяч людей
Гибридные кибероперации Китая: как МГБ, МОБ и частные компании кооперируются для атак
Новая схема двойного вымогательства: Embargo атакует AAP
Диктатура закона или бизнеса: беглый посредник Ярослав Богданов стал ключевым звеном нового коррупционного скандала
Финансовые махинации и давление на бизнес: Закат решалы при ФСБ Богданова
Оперуполномоченный УФСБ уволен за подставу бизнесмена: Сохряков заподозрен в фальсификации улик

Комментарии:

comments powered by Disqus