Против российских организаций из разных отраслей развернута кампания по краже учетных данных пользователей, в том числе паролей, с помощью вредоносного программного обеспечения (ВПО) Umbral, которое доставляется через фишинговые письма. Об этом «Известиям» 30 мая сообщили эксперты киберразведки компании по управлению цифровыми рисками Bi.Zone.
Как сообщили в компании, к письмам были приложены ISO-файлы (дисковые образы), в которых в свою очередь содержались вредоносные ярлыки. Преступники замаскировали их под документы с названием «План рейдеров». Открытие такого файла и запускало процесс компрометации устройства.
При этом отмечается, что исходные коды ВПО размещены в открытом доступе на веб-сервисе для хранения IT-проектов GitHub и доступны всем желающим.
«Umbral Stealer позволяет злоумышленникам обходить средства защиты, повышать привилегии, собирать информацию о скомпрометированной системе и извлекать аутентификационные данные из таких приложений, как Brave, Chrome, Chromium, Comodo, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord. Многие из этих приложений могут содержать не только пароли для личных учетных записей, но и для корпоративных», — предупредили в Bi.Zone.
Отмечается, что это может позволить атакующим получить первоначальный доступ к целевой сети, например используя деловую электронную почту для рассылки фишинговых писем внутри организации или получения паролей к иным сервисам путем анализа почтовой переписки. При этом Umbral не использует традиционные методы коммуникации с командным сервером — вместо этого данные выгружаются через инфраструктуру мессенджера Discord.
«Сегодня многие киберпреступники, в том числе те, что вовлечены в атаки с использованием программ-вымогателей, используют легитимные учетные данные для получения первоначального доступа к корпоративным сетям. Одним из главных источников таких данных являются стиллеры. Данные, собранные стиллерами, можно найти в продаже, а иногда и загрузить бесплатно на многих теневых форумах и маркетплейсах. Именно поэтому мы видим всё новые и новые семейства стиллеров», — отметил руководитель управления киберразведки Bi.Zone Олег Скулкин.
Чтобы снизить риск подобных атак, необходимо наладить защиту электронной почты: именно этот вектор распространения чаще всего используют операторы ВПО наподобие Umbral Stealer. Важно, чтобы компания могла остановить кибератаку на любой ступени ее развития. Для этого мы рекомендуем доверить выявление, реагирование и предупреждение киберугроз экспертам по мониторингу событий кибербезопасности.
Эксперты объяснили, как правильно устанавливать софт
23 мая Bi.Zone сообщила, что хакерская группировка Sneaking Leprechaun за последний год атаковала более 30 организаций из России и Белоруссии с целью получения выкупа.
Отмечается, что в числе жертв также есть компании из сфер промышленности, финансов, логистики, медицины, а также государственные структуры, многие из которых занимаются разработкой и интеграцией программного обеспечения. По данным экспертов, члены Sneaking Leprechaun взламывали серверы и проникали в инфраструктуру организаций.
