Microsoft: одна из самых опасных киберпреступных группировок расширила свой арсенал

Эксперты по безопасности Microsoft сообщили, что одна из самых опасных киберпреступных группировок расширила свой арсенал, включив в него новые зловреды-вымогатели.
Microsoft: одна из самых опасных киберпреступных группировок расширила свой арсенал

Microsoft: одна из самых опасных киберпреступных группировок расширила свой арсенал. Фото: СС0

Исследователи по кибербезопасности из Microsoft рассказали о том, как группа хакеров Octo Tempest, известная своими «сложными методами социальной инженерии, компрометацией личности и настойчивостью», теперь использует RansomHub и Qilin. 

Гeкппа Octo Tempest обычно нацелена на серверы VMWare ESXi и пытается внедрить программу-вымогатель BlackCat, поэтому добавление новых полезных нагрузок, которые, по-видимому, были представлены во втором квартале 2024 года, может быть связано с тем, что BlackCat в настоящее время не функционирует.

Ранее партнер группы хакеров взломал Change Healthcare и сумел получить от компании 22 млн $. Однако деньги так и не дошли до взломщика, а были присвоены мейнтейнерами BlackCat, которые закрыли всю операцию и исчезли.

В результате хакер остался с гигабайтами конфиденциальной информации, а позже взял псевдоним RansomHub. Его зловредную полезную нагрузку теперь используют в Octo Tempest. Несмотря на то, что RansomHub является относительно молодым игроком на рынке программ-вымогателей, он сделал себе имя, взяв ответственность за атаки на Christie's, Rite Aid и NRS Healthcare.

В Microsoft добавили, что нагрузка RansomHub была развернут в ходе действий Manatee Tempest после его взлома, последовавшего за первоначальным доступом Mustard Tempest через заражения FakeUpdates/Socgholish.

В компании Microsoft впервые рассказали Octo Tempest в октябре 2023 года, опубликовав подробный анализ источника угрозы. В нем отмечалось, что хакеры являются носителями английского языка, финансово мотивированы, обладают обширными знаниями, большим опытом и «нулевыми принципами». 

Octo Tempest была впервые сформирована в начале 2022 года и в то время была ориентирована в основном на продажу SIM-свопов и кражу аккаунтов, принадлежащих людям, имеющим криптовалют. Несколько месяцев спустя группа расширила свою деятельность и начала заниматься фишингом, социальной инженерией, а также сбросом огромного количества паролей взломанных поставщиков услуг, сообщают исследователи.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Больше интересного

Актуальное

Влияние негативных отзывов на бизнес: подробности исследования Revvy
Разработка системы учета производства для микропредприятий
API конфигурации безопасности кода в GitHub теперь включает проверки действительности, принудительное применение и удаление
Ещё…