Руска хакерска група, чиито ръководители бяха обвинени от американската прокуратура през декември 2019 г., са започнали масови атаки срещу правителствени служби, големи компании и медии в САЩ. Този път пробивът се прави през личните компютри на служителите, които работят дистанционно по време на пандемията.
Новите атаки на групата Evil Corp. (името на групировката е вдъхновено от сериала Mr. Robot) са установени преди няколко дни от специалисти по киберсигурност на Symantec Corporation - една от фирмите, които следят корпоративни и държавни мрежи за евентуални пробиви.
Symantec е изпратила спешно предупреждение в четвъртък за това, че руските хакери са намерили начин да се възползват от промяната в работните навици на стотици хиляди американци. Според репортаж на New York Times, групировката е успяла да внедри своя софтуер със скорост и мащаб, каквито досега не са наблюдавани.
Кодът, който Evil Corp. използва, е от типа ransomware - чрез него хакерите блокират достъпа на "жертвите" си до собствените им данни чрез криптирането им и предявяват искане за откуп в замяна на код за възстановяване. Най-често се изисква транзакцията да бъде направена в криптовалута, което затруднява издирването на получателя на плащането.
Symantec не съобщава имената на компаниите, чиито системи са компрометирани от руските хакери, но посочват, че броят им е най-малко 31 и сред тях има големи американски брандове и компании от списъка Forbes 500. Не е ясно дали до тях вече са изпратени искания за откуп, т.е. дали ransomware-кодът вече е активиран.
Ransomware атаките се използват все по-често през последните години срещу административни и корпоративни обекти, които обработват големи бази данни. През 2019 г. местните власти в Балтимор беше атакувана със софтуер, наречен RobbinHood, като повечето системи бяха спрени.
Това, което притеснява службите за сигурност в САЩ, е, че активността на руските хакери се засилва само няколко месеца преди президентските избори. Министерството по вътрешната сигурност на САЩ полага усилия за засилване на защитата на системите за предварителна регистрация на гласоподавателите, които се администрират от градските и щатските власти. Ако те бъдат блокирани и избирателните списъци станат недостъпни на 3 ноември, това ще компрометира провеждането на изборите.
"Често обвиняват фирмите за киберсигурност, че преувеличават заплахите, но това, което видяхме през последните няколко седмици, е забележително. В момента основната цел е извличането на пари. Но инфраструктурата, която използват, може да се употреби и за изтриване на големи масиви от данни, при това не само в корпоративни структури", казва техническият директор на Symantec Ерик Чиен.
Тези предупреждения не са лишени от смисъл: през 2019 г. беше компрометиран интернет доставчик в Луизиана, през който хакерите са атакували няколко служители от администрацията на щата седмица преди провеждането на избори. През януари 2020 г. беше затворен достъпът до избирателните списъци в Тиламук, Орегон, по време на подготовката за провеждането на предварителните избори през май.
Evil Corp. беше осветена през декември 2019 г. в разследване на Министерството на правосъдието на САЩ.
Според прокуратурата, руската групировка се занимава с киберпрестъпления в "почти невъобразим мащаб", като използва кода си за кражба на десетки милиони долара от системи за онлайн банкиране. Финансовото министерство на САЩ наложи санкции срещу групата, а Държавният департамент обяви награда от 5 млн. долара в замяна на помощ в разследването.
Това е поредната руска организация, която целенасочено атакува американски обекти - след Internet Research Agency, която беше обвинена за намеса в изборите през 2016 г. Русия отказва да екстрадира своите граждани, които са идентифицирани като извършители на тежки киберпрестъпления. В съобщението на Министерството на финансите на САЩ, с което се налагат санкции на Evil Corp., се посочва, че част от ръководителите на групировката са работили за Федералната служба за безопасност, т.е. контраразузнаването на Русия.
Сред уличените хакери е Максим В. Якубец, за когото се твърди, че се е занимавал с проекти на руската държава за придобиване на конфиденциални документи и е изпълнявал кибероперации в полза на службата за сигурност. Въпреки че обвинението в САЩ спира временно дейността на Evil Corp., руснаците се активират отново през май. В последния месец са успели да атакуват няколко обекта със собствен ransomware.
Новите методи на хакерите потвърждават опасенията за активиране на киберпрестъпленията по време на пандемията, когато много от служителите в частния и публичния сектор са принудени да работят в домашни условия.
Зловредният код е интегриран в най-различни често посещавани сайтове, като е настроен така, че да идентифицира компютър, който е част от голяма корпоративна или административна мрежа. След като хакерите вече имат списък с потенциалните си жертви, ги използват, за да направят опит да пробият целевите мрежи.
Според данни на компанията Fox-IT хакерите са поставяли искания за откуп на данните от един-единствен атакуван обект в размер на повече от 10 милиона долара.
Ако нашият сайт ви харесва, можете да се абонирате за седмичния ни нюзлетър тук:
