Согласно новому отчёту, несколько хакерских группировок, ранее концентрировавших свои идеологически мотивированные атаки на российских организациях, кардинально сменили вектор деятельности. Теперь их целью стала финансовая выгода, а география операций расширилась на новые регионы.
В фокусе злоумышленников оказались страны, ранее не входившие в их список интересов, включая Казахстан, ОАЭ, Сирию и Египет. Под удар попали государственные и медицинские учреждения, а также предприятия авиационной отрасли. Анализ вредоносной активности, в частности со стороны группы 4BID, показал, что за операциями могут стоять сразу несколько связанных объединений, таких как «Хакерский кiт», C.A.S и Goffee.
Технически атаки начинаются с эксплуатации уязвимостей в Microsoft Exchange. Для дальнейшего проникновения и нанесения ущерба злоумышленники используют как обновлённое, так и совершенно новое вредоносное ПО. Ключевыми инструментами стали:
– Blackout Locker: обновлённый шифровальщик с функцией блокировки экрана компьютера жертвы.
– BlackSalt: ранее неизвестный бэкдор, предназначенный для скрытого управления заражённой системой.
– ClearWater: ещё один шифровальщик, применяемый для уничтожения данных.
Кроме того, атакующие активно используют легитимное коммерческое ПО «двойного назначения» — инструменты для удалённого администрирования и сканирования сетей, чтобы маскировать свою активность.
Эксперты отмечают, что эта трансформация — переход от идеологии к коммерции и расширение географии — представляет серьёзную угрозу для организаций по всему миру. Это подчёркивает необходимость постоянного мониторинга киберугроз не только в своём регионе, но и глобально, чтобы вовремя отслеживать активность групп, нацеленных на конкретные отрасли.
