Специалисты F.A.C.C.T. Threat Intelligence обнаружили новую волну вредоносных рассылок от группы вымогателей Werewolves. Целью атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, оценила рынок онлайн-пиратства в России в 2023 году в $38 млн — за год нелегальные распространители видеоконтента недосчитались 16% своих доходов, при этом число пиратских доменов увеличилось на 16%. Причины эксперты видят в успешной блокировке пиратских сайтов, снижении стоимости рекламы на ресурсах и оттоку зрителей в легальные онлайн-кинотеатры.

Начиная с марта 2024, специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (или PhantomGoDownloader). Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых эксперты с высокой долей уверенности атрибутировали PhantomDL к этой же группировке. Подробности — в новом блоге компании.

Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Эксперты полагают, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.

F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, сообщает об активизации новой преступной группы вымогателей MorLock. Злоумышленники атакуют российские компании как минимум с начала 2024 года и в апреле-мае существенно усилили интенсивность своих атак. Как и группа Muliaka, MorLock используют для распространения программы-вымогателя в сети жертвы популярный корпоративный антивирус.  

Специалисты компании F.A.C.C.T. обнаружили новые партнерские программы, нацеленные на пожилых людей — в том числе ветеранов. На мошеннические ресурсы, замаскированные под портал Роскачества, за последнюю неделю заходили около 1500 человек.

Скамеры обещают жертве единовременные выплаты от 50 000 до 300 000 рублей, но чтобы их получить, нужно уплатить «комиссию», «конвертацию» или различные «юридические услуги» в размере от 378 до 1112 рублей. В итоге — ни выплат, ни денег на счете.

F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил новую преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом.

Оборотни активны в полнолуния, а вымогатели из группировки Werewolves проявляют себя значительно реже.

Аналитики Центра Кибербезопасности F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves после длительного перерыва. Злоумышленники атаковали российские производственные, энергетические и геологоразведочные компании. В массовой атаке они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке.

Ранее мы уже писали об этих киберпреступниках.

В конце марта система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR обнаружила фишинговые письма, которые рассылались от имени транспортных компаний и липецкого ресторана с темами «Претензионное», «Запрос».

В свежих рассылках члены группировки под видом судебных претензий, требований и актов отправляли вредоносные .doc и .xls-файлы, являющимися загрузчиками Cobalt Strike Beacon – компонента инструмента Cobalt Strike.

К письмам были прикреплены файлы под названиями: «рекламация.doc», «акт сверки.xls» и «анкета.xls».

В Telegram замечена новая волна угонов аккаунтов. Цели атаки — российские медиаменеджеры, маркетологи, журналисты, пиарщики.

F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, публикует исследование о новой группе кибершпионов PhantomCore. Группа, с начала 2024 года атакующая российские компании, получила свое название из-за одноименного трояна удаленного доступа, который использует в своих кампаниях.

Специалисты департамента Threat Intelligence F.A.C.C.T. обнаружили новую группу кибершпионов, с января 2024 года активно атакующую российские компании. Группа была названа PhantomCore, по причине того, что злоумышленники используют уникальный, ранее не описанный, троян удаленного доступа — PhantomRAT.

В начале сентября 2023 года система киберразведки F.A.C.C.T. Threat Intelligence обнаружила на сервере, который использовался неизвестными для атак на российские компании, открытую директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и других доступных утилит для тестирования на проникновение. 

Поскольку подобные инструменты  не требуют глубоких знаний в области операционных систем, программирования или сетевых технологий, их нередко используют в атаках не очень опытные и не слишком квалифицированные злоумышленники. Каково же было удивление, когда в ходе дальнейшего анализа атак, техник, инструментов, сетевой и файловой инфраструктуры, была установлена связь "независимых" атакующих с крупной организованной преступной группой, известной как Shadow (Twelve/Comet/DARKSTAR). 

Сегодня команда компании F.A.C.C.T. представила новый ежегодный аналитический отчет «Киберпреступность в России и СНГ. Анализ, тренды, прогнозы. 2023–2024 гг.». Наше новое исследование станет незаменимым практическим руководством по стратегическому и тактическому планированию проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов. 

Специально для читателей Хабра, собрали основные ключевые выводы из отчета.

Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT.

Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT. Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.

Эксперты F.A.C.C.T. Threat Intelligence проанализировали новые атаки русскоговорящей хак-группы в Юго-Восточной Азии и Австралии

В октябре 2023 года команда F.A.C.C.T. Threat Intelligence обнаружила файлы, которые использовала шпионская группа RedCurl для атак на потенциальные цели в Австралии, Сингапуре и Гонконге. Речь о компаниях, работающих в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.

Несколько дней назад крупная российская компания была атакована с использованием программ-вымогателей, часть ее ИТ-инфраструктуры оказалась зашифрованной. Ущерб, нанесенный компании в результате атаки, мог быть гораздо больше. За прошедший год многие компании усилили меры безопасности, благодаря чему важная часть инфраструктуры осталась нетронутой.

"У пользователей, не установивших сертификаты безопасности Минцифры, с 30 января возникнут проблемы с доступом на сайт Госуслуг и в онлайн-банкинг". Испугались? На то и расчет: 25 января система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила фишинговые письма, отправленные якобы от Минцифры.

В конце 2023 года специалисты F.A.C.C.T. Threat Intelligence зафиксировали несколько фишинговых рассылок от преступной группы, которая использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди их целей были  маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании. 

В случае успеха злоумышленники могли бы получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров. Однако система защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR перехватила и заблокировала все фишинговые письма, отправленные на электронные адреса наших клиентов.

Эксперты проанализировали содержимое рассылок и обнаружили новый троян удаленного доступа  —  RADX. Подробнее о нем — в новом блоге рассказали Антон Баранов, аналитик Threat Intelligence компании F.A.C.C.T.  и Дмитрий Купин, руководитель отдела динамического анализа вредоносного кода компании F.A.C.C.T.

Кибершпионская APT-группа Sticky Werewolf попыталась испортить праздники и атаковала российские организации в новогодние каникулы. Так, 2 и 3 января они направили около 250 писем на электронную почту телекоммуникационной компании.

Система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила и заблокировала 22 декабря фишинговое письмо, которое было отправлено в фармацевтическую компанию якобы от имени МЧС. В сообщении говорится о вступлении в силу нового приказа ведомства с просьбой "проинструктировать (под роспись) сотрудников" о новом порядке действий по сигналу гражданской обороны.

Компания F.A.C.C.T. зафиксировала новые атаки шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию. Обе рассылки были перехвачены системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR. 

Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года. Чаще других целями Cloud Atlas становились промышленные предприятия и  госкомпании в России, Беларуси, Азербайджане, Турции и Словении.